Firma Digital en Panamá para Facturación Electrónica: Certificados AIG y Entidades
La firma digital en Panamá para facturación electrónica requiere un certificado emitido por una Entidad de Certificación autorizada por la AIG.
Si estás integrando facturación electrónica en Panamá, el primer obstáculo técnico real no es el XML ni la API del PAC: es la firma digital. Sin un certificado válido emitido por una entidad reconocida por la AIG, el XML no se firma, el PAC no lo acepta, y la DGI nunca ve tu documento. Es un single point of failure que pocos integradores resuelven bien al principio.
Esta guía te explica qué entidades emiten certificados válidos en Panamá, qué tipo de firma exige el SFEP, cómo se almacena el certificado en producción y qué errores típicos te vas a encontrar en los primeros sprints. Lo cuento desde la mirada del desarrollador que integra, no desde la del compliance.
El rol de la AIG
La Autoridad Nacional para la Innovación Gubernamental (AIG) es el organismo que regula y supervisa el ecosistema de firma electrónica en Panamá, bajo la Ley 51 de 2008 y sus reglamentos. La AIG no emite certificados directamente al público: lo que hace es habilitar a entidades certificadoras privadas (Prestadores de Servicios de Certificación) para emitirlos.
Para efectos del SFEP, solo cuentan los certificados emitidos por entidades habilitadas por la AIG. Usar un certificado autofirmado o de una autoridad no reconocida implica que el XML se rechace en validación.
Tipo de firma exigida por la DGI
El SFEP exige firma electrónica calificada sobre el XML del documento. Técnicamente se trata de XAdES-BES con canonicalización C14N Exclusive y algoritmos SHA-256/RSA. El certificado X.509 del firmante se embebe dentro del bloque KeyInfo del XML, y el digest se calcula sobre la representación canonicalizada del documento.
Detalle importante: la firma se aplica al XML completo (enveloped signature), no a un hash aparte. Si tu librería no genera un Signature node dentro del documento, estás usando una variante incorrecta para Panamá.
Entidades certificadoras autorizadas
La AIG mantiene el listado oficial de Prestadores de Servicios de Certificación habilitados. Los actores históricos en Panamá incluyen el Tribunal Electoral en su rol de proveedor de identidad digital (firma ciudadana), y entidades certificadoras privadas autorizadas para certificados corporativos y de persona jurídica.
Antes de comprar un certificado, verifica en el sitio web oficial de la AIG que la entidad emisora figura como habilitada y está en estado vigente. Un certificado de una autoridad cuya habilitación está suspendida implica firmas inválidas para la DGI.
Tipos de certificado según el caso de uso
Certificado de persona jurídica
Es el habitual para emisión masiva. Lo solicita la empresa indicando RUC y representante legal, y el certificado se asocia a la entidad. Permite que un sistema firme automáticamente miles de documentos sin intervención humana, instalando el certificado en un HSM, un servidor con almacén protegido o un servicio gestionado por el PAC.
Certificado de persona natural
Aplicable a profesionales independientes y comerciantes individuales. Se asocia a la cédula del contribuyente. Técnicamente es idéntico al de persona jurídica, pero los datos del titular en el sujeto del certificado son la persona, no una entidad.
Cómo se firma en producción
Hay tres modelos comunes en Panamá. Primero: el cliente firma localmente con su certificado almacenado en su infraestructura (HSM o KeyStore), envía el XML firmado al PAC. Da máxima soberanía sobre el certificado pero exige stack técnico para mantener librerías XAdES. Segundo: firma delegada en el PAC, donde el cliente carga el certificado en la bóveda del PAC y el PAC firma en su nombre vía API. Es lo más simple operacionalmente y lo más usado por SaaS y ERPs.
Tercero: firma híbrida, donde el certificado vive en el cliente pero el PAC orquesta el proceso. Es menos común y solo justifica el costo en escenarios regulatorios específicos. Para el 95% de casos productivos en SaaS, el modelo de firma delegada en PAC es el correcto.
Errores típicos con la firma en Panamá
Los más comunes que vemos en sprints de integración: 1) Usar canonicalización incorrecta (C14N inclusiva en vez de exclusiva) lo cual invalida la firma; 2) firmar después de generar el CUFE (el orden es: firmar XML, enviar al PAC, el PAC valida y asigna CUFE —no al revés); 3) no embebar el certificado en KeyInfo; 4) usar SHA-1 en vez de SHA-256; 5) certificado expirado o revocado.
Cada uno de estos errores produce un rechazo del PAC con un código de error distinto. La buena noticia es que son determinísticos: si tu primera factura firma correctamente, las siguientes 100,000 también lo harán hasta que el certificado expire.
Rotación y renovación del certificado
Preguntas frecuentes
¿Puedo usar un certificado autofirmado para emitir factura electrónica en Panamá? No. El SFEP exige certificado emitido por una entidad certificadora habilitada por la AIG bajo la Ley 51 de 2008. Un certificado autofirmado o de una autoridad no reconocida produce rechazo inmediato del XML al validar la firma, antes de llegar a la DGI. Esto aplica incluso en sandbox: las pruebas válidas exigen certificado emitido por entidad oficialmente habilitada.
¿Qué tipo de firma usa el SFEP? Firma XAdES-BES (Basic Electronic Signature) con canonicalización C14N Exclusive y algoritmos SHA-256/RSA. Es una firma enveloped: el bloque Signature vive dentro del XML del documento, no aparte. El certificado X.509 se embebe en el bloque KeyInfo. Usar XAdES-T o XAdES-X-L (variantes con sellos de tiempo o referencias archivadas) no es necesario para el SFEP.
¿Puedo firmar yo mismo los XML o tiene que firmar el PAC? Ambos modelos son válidos. Firma local: tú firmas con tu certificado en tu infraestructura y envías el XML firmado al PAC. Firma delegada: cargas tu certificado en la bóveda del PAC y el PAC firma en tu nombre. Para SaaS y ERPs el modelo de firma delegada es lo más usado porque elimina la necesidad de mantener librerías XAdES en producción. Ambos producen documentos igual de válidos para la DGI.
¿Qué pasa cuando mi certificado expira? Mientras esté vigente, todas las firmas son válidas. Cuando el certificado expira, dejas de poder emitir nuevas facturas (rechazo inmediato del PAC al validar firma con certificado caducado). Los documentos previamente firmados con ese certificado siguen siendo válidos: la firma electrónica no se invalida retroactivamente. La práctica estándar es renovar el certificado al menos 30 días antes del vencimiento para evitar cualquier interrupción de facturación.
Artículos Relacionados
Errores de rechazo de la DGII en e-CF: cómo diagnosticarlos y corregirlos desde un agente de IA
Los rechazos de la DGII en e-CF tienen causas precisas y acciones correctivas definidas. Esta guía explica el ciclo de vida del documento, los códigos de error más frecuentes y cómo un agente de IA puede diagnosticar y corregir rechazos de forma autónoma.
Cómo conectar un agente de IA a la DGII en República Dominicana: guía paso a paso con el MCP de Alanube
Guía completa para conectar un agente de IA a la DGII de República Dominicana usando el único servidor MCP de infraestructura fiscal disponible actualmente: configuración del cliente, primer e-CF en lenguaje natural y emisión programática con TypeScript.
Las 30 herramientas del MCP de infraestructura fiscal de República Dominicana: referencia completa
Referencia consolidada en español de las 30 herramientas del único servidor MCP de infraestructura fiscal conectado a la DGII en República Dominicana: organización por capas, casos de uso y cuándo usar el orquestador vs. emisión directa.