Código CSV verificable: la garantía pública de la factura electrónica

Junto al código QR, la factura emitida por un Sistema Informático de Facturación incorpora un identificador alfanumérico llamado Código Seguro de Verificación —CSV—. A primera vista parece una cadena más entre los muchos datos del documento, pero su función es central: ofrece una vía adicional para comprobar la autenticidad de la factura, sin depender de escáneres ni de aplicaciones específicas. Conviene entender qué es exactamente, cómo se genera y para qué sirve.

Qué es el CSV

El Código Seguro de Verificación es una cadena alfanumérica única que identifica de forma inequívoca un documento electrónico generado por un sistema oficial o por un sistema reconocido por la Administración. Originalmente, los CSV se aplicaron a los documentos administrativos —resoluciones, certificados, notificaciones— que la Administración pública española emite electrónicamente. Cualquier ciudadano puede comprobar la autenticidad de un documento administrativo introduciendo el CSV en la sede electrónica del organismo emisor.

El SIF traslada este mecanismo al ámbito privado de la facturación. Cada factura emitida por un SIF lleva impreso un CSV propio, generado por el sistema en el momento de la emisión, que el receptor puede utilizar para verificar la factura en la página correspondiente del emisor o, eventualmente, en una página pública de verificación cuando la modalidad VeriFactu lo permita.

La estructura del CSV combina caracteres alfanuméricos —letras mayúsculas y dígitos, sin caracteres ambiguos como la O y el 0 o la I y el 1— y tiene una longitud típica que permite la introducción manual sin excesiva dificultad. La generación es determinista a partir de los datos de la factura y de elementos adicionales que garantizan la unicidad.

La generación técnica del CSV

El CSV se genera mediante un algoritmo definido en la normativa que combina los datos identificativos de la factura, una marca temporal de generación y elementos de aleatoriedad controlada para garantizar la unicidad. El resultado es una cadena que no se puede predecir conociendo solo los datos de la factura, pero que sí se puede verificar comparando con el registro del emisor.

El algoritmo de generación no es estrictamente criptográfico en el sentido del hash o de la firma electrónica. Su función no es garantizar la integridad del contenido —de eso se encargan el hash encadenado y la firma electrónica— sino servir como identificador único y verificable del documento. La verificación del CSV consiste en localizar la factura en el registro del emisor y comprobar que existe, que tiene el CSV indicado y que sus datos coinciden con los que se está verificando.

La regulación detalla las especificaciones técnicas del CSV en los anexos del RD 238/2026 y la Orden HAC/1177/2024. Los proveedores de software deben implementarlas con precisión para que los CSV generados sean compatibles con los procedimientos de verificación estándar.

La verificación del CSV

El receptor de una factura puede verificar el CSV de varias maneras. La más directa es acceder a la página web de verificación del emisor —típicamente integrada en la web corporativa o alojada en un dominio específico— e introducir el CSV. La página consulta el registro y devuelve la información de la factura: si existe, si los datos coinciden, si la firma electrónica es válida.

En el caso de la modalidad VeriFactu, la verificación puede realizarse adicionalmente en la página pública habilitada por la Agencia Tributaria, que mantiene un registro de todas las facturas emitidas en VeriFactu y permite comprobar su existencia. Esta verificación pública añade una capa de garantía institucional al sistema: la confirmación no depende solo del emisor, sino que se contrasta con un registro independiente.

Para la modalidad No-VeriFactu, la verificación se realiza directamente con el emisor, sin intermediación pública. El emisor mantiene en su SIF el registro de las facturas emitidas y proporciona la página de verificación correspondiente. La verificación es igualmente efectiva, pero requiere confiar en el sistema del emisor, no en uno público.

En ambas modalidades, la verificación del CSV se complementa con los otros mecanismos del SIF: la firma electrónica garantiza la integridad del contenido, el hash encadenado garantiza la trazabilidad de la secuencia, y el CSV proporciona el identificador único para localizar la factura en el registro correspondiente.

La utilidad práctica para el receptor

El CSV resulta particularmente útil en situaciones donde el QR no es operativo. Si la factura se recibe en papel y se escanea para archivar digitalmente, el QR puede degradarse y no ser legible posteriormente. El CSV, transcrito o introducido manualmente, permite la verificación incluso en esa situación.

También resulta útil cuando la factura se comunica por canales no visuales —teléfono, dictado, transcripción— o cuando la verificación se realiza en sistemas que no integran lectores de QR. Un CSV puede introducirse en cualquier formulario web sin requerir hardware específico.

Para empresas con volúmenes importantes de facturación recibida, el CSV facilita la integración de la verificación en los flujos automatizados de gestión documental. Un campo CSV en la base de datos de facturas recibidas permite consultas programáticas a las páginas de verificación correspondientes, automatizando comprobaciones que serían inviables manualmente.

El CSV en el contexto de la Administración

La adopción del CSV en la facturación electrónica no es aislada; forma parte de una estrategia más amplia de la Administración española para extender los mecanismos de verificación pública a todos los documentos electrónicos relevantes. La Ley 39/2015 del Procedimiento Administrativo Común consagra el CSV como mecanismo de identificación de los documentos administrativos electrónicos, y el SIF extiende este principio a la facturación.

La continuidad conceptual permite que ciudadanos y empresas se familiaricen con un sistema unificado de verificación. Quien ha verificado alguna vez una resolución administrativa por CSV no necesita aprender un mecanismo nuevo para verificar una factura: el procedimiento es esencialmente el mismo.

Para la Administración, la generalización del CSV facilita las inspecciones y las verificaciones cruzadas. Una factura presentada en un procedimiento administrativo puede contrastarse rápidamente con el registro del emisor, sin requerir trámites formales adicionales. Para el ciudadano y la empresa, ofrece transparencia y la capacidad de demostrar la autenticidad de los documentos sin recurrir a originales en papel.

La diferencia entre QR y CSV

QR y CSV son mecanismos complementarios, no equivalentes. El QR es la representación gráfica que codifica los datos relevantes de la factura, incluido el CSV, en una matriz visual legible por máquina. El CSV es el identificador alfanumérico que figura también en formato legible para introducción manual.

Quien escanea el QR obtiene, entre otra información, el CSV. Quien tiene el CSV puede verificar la factura aunque no disponga del QR. La duplicidad responde al objetivo de cubrir todos los escenarios de verificación posibles: con cámara móvil y conectividad, con cámara móvil sin conectividad, sin cámara con conectividad, con transcripción manual.

En la práctica, el receptor de la factura puede elegir el método más cómodo según las circunstancias. El sistema garantiza que cualquiera de los dos métodos conduce al mismo resultado: la confirmación o no de la autenticidad del documento.

Las implicaciones para el emisor

El emisor de la factura debe mantener operativa la infraestructura de verificación a la que conduce el CSV. Esto implica disponer de una página web accesible, mantener el registro de facturas durante el plazo legal de conservación —típicamente cuatro o seis años según la naturaleza de la operación— y responder en tiempos razonables a las consultas de verificación.

La interrupción del servicio de verificación —caída de la web, eliminación accidental del registro, cambio de dominio sin redirecciones— afecta a la capacidad del receptor de verificar sus facturas, y puede generar reclamaciones o desconfianza. La estabilidad del servicio es, por tanto, una responsabilidad operativa del emisor.

Para emisores con volúmenes elevados o con clientes que verifican rutinariamente, la infraestructura de verificación debe estar dimensionada para responder a consultas concurrentes sin degradación. Los proveedores de software SIF suelen ofrecer este servicio como parte de su producto, integrando la verificación en sus plataformas.

Los errores frecuentes en torno al CSV

Tres errores se repiten en el manejo del CSV. El primero es confundir el CSV con el número de factura. Son dos identificadores distintos: el número es el correlativo asignado por el emisor según su propia serie, y el CSV es el identificador único generado por el SIF para verificación. Una factura tiene ambos elementos, y conviene no mezclarlos en los registros.

El segundo error es confiar en la verificación local del CSV sin acceder al registro del emisor. La verificación verdadera del CSV requiere consultar el registro: el CSV por sí solo no acredita autenticidad, solo identifica el documento. Una factura falsificada puede llevar un CSV inventado que no conduce a ningún registro válido.

El tercer error es no incorporar la verificación de CSV en los flujos de control de facturas recibidas. Para empresas con volúmenes significativos, la verificación rutinaria de los CSV de las facturas recibidas detecta facturas falsas o manipuladas con un coste operativo muy bajo, y supone una mejora significativa del control interno.

La consulta profesional

La gestión adecuada del CSV en el SIF combina aspectos técnicos —generación correcta, almacenamiento, infraestructura de verificación— y operativos —integración en flujos contables, política de verificación de facturas recibidas—. Un análisis previo permite establecer una práctica coherente.

Si estás preparando la implantación del SIF y quieres ver cómo Invoseal genera y verifica los códigos CSV, puedes consultar las funcionalidades y los planes en invoseal.es.

← Volver al blog