En España hay 3,3 millones de autónomos y PYMEs que emiten facturas todos los días. A partir del 1 de julio de 2026, casi todos están obligados a transmitir cada una de esas facturas a la AEAT en tiempo real bajo un régimen llamado Veri*Factu.
Veri*Factu es la mayor transformación fiscal que ha vivido el tejido empresarial español desde la entrada del SII en 2017. Pero esta vez no afecta solo a las grandes empresas: nos toca a todos.
En este artículo cubrimos: qué es Veri*Factu, qué obliga el RD 1007/2023, cómo funciona técnicamente la cadena hash, cómo lo hemos implementado en LexFlow, y por qué nuestra solución va dos pasos por delante de Holded, Sage 50, Quipu, FacturaScripts y A3 de Wolters Kluwer. Cero relleno, datos verificables, comparativa real.
1. ¿Qué es Veri*Factu y por qué te afecta?
Veri*Factu es el nombre comercial del Sistema de Verificación de Facturas regulado por el Real Decreto 1007/2023, de 5 de diciembre, que aprueba el reglamento por el que se establecen los requisitos a adoptar por los sistemas y programas informáticos que soporten los procesos de facturación.
En lenguaje claro: tu software de facturación tiene que transmitir cada factura a la AEAT en el momento de emitirla, dejar una huella criptográfica inviolable, y la AEAT devolverá un código (CSV) que el destinatario puede usar para comprobar que la factura es real.
El cambio respecto a antes
Hasta ahora, una factura era un PDF que enviabas por email y se anotaba en tu libro registro. La AEAT no sabía que la factura existía hasta que tú presentabas el Modelo 303 trimestralmente — y si querías, podías rectificar números sin que nadie lo supiera.
Con Veri*Factu, cada factura es un evento inmutable y registrado en tiempo real ante la AEAT. No hay vuelta atrás, no hay rectificaciones silenciosas, no hay facturas que aparecen y desaparecen. Es la versión fiscal de un blockchain — pero más simple y sin criptomonedas.
2. RD 1007/2023 + Orden HAC/1177/2024
Dos normas conviven y se complementan. Confundirlas es habitual incluso entre profesionales del derecho fiscal — vamos a separarlas con claridad.
Real Decreto 1007/2023
Aprobado el 5 de diciembre de 2023 y publicado en el BOE el 6 de diciembre. Es la norma marco. Establece que cualquier sistema informático que produzca facturas debe garantizar:
- Integridad: imposibilidad de alterar facturas previamente emitidas.
- Conservación: almacenamiento auditable durante el plazo legal (mínimo 4 años).
- Accesibilidad: AEAT puede consultar el sistema en cualquier momento.
- Trazabilidad: cadena de eventos que permite reconstruir cualquier factura.
- Inalterabilidad: mecanismos criptográficos (la huella hash) que detecten modificaciones.
Orden HAC/1177/2024
Publicada el 17 de octubre de 2024. Es el desarrollo técnico del RD 1007/2023. Define:
- Formato XML exacto que se envía a la AEAT (basado en el esquema SII).
- Algoritmo de la huella criptográfica: SHA-256 en formato hexadecimal mayúsculas.
- Endpoint del servicio web Veri*Factu y certificados aceptados.
- Códigos de error AEAT y comportamiento esperado ante cada uno.
- Política de versionado del esquema.
3. Cómo funciona Veri*Factu técnicamente
Vamos a la mecánica real. Cuando emites una factura con un software homologado Veri*Factu, ocurre lo siguiente en menos de 3 segundos:
El usuario crea la factura en LexFlow como siempre. Sin pasos extra.
El sistema calcula la huella SHA-256 enlazando con la factura anterior (cadena T1-A).
Se firma el XML SII con el certificado del titular vía Cloudflare Workers + WebCrypto.
Transmisión por HTTPS al endpoint Veri*Factu. La AEAT devuelve un CSV oficial.
Guardamos el envío, el CSV, la huella y la respuesta XML completa para audit trail forense.
El usuario ve el estado (aceptada / rechazada / pendiente) en su dashboard al instante.
La cadena hash SHA-256: el corazón de Veri*Factu
La pieza clave del sistema es la cadena de huellas criptográficas. Cada factura calcula una huella SHA-256 a partir de sus propios datos (NIF emisor, número factura, fecha, importe…) más la huella de la factura anterior.
Si alguien intenta modificar una factura del histórico, su huella cambia. Pero la huella de la siguiente factura ya estaba calculada con la huella vieja — entonces toda la cadena posterior se rompe. La AEAT lo detecta instantáneamente al cotejar las huellas con las que ya tiene guardadas.
El CSV oficial AEAT
Cuando la AEAT recibe y acepta tu envío, devuelve un CSV (Código Seguro de Verificación): una cadena alfanumérica única que identifica esa factura para siempre en sus sistemas. El CSV se imprime en la factura y permite a tu cliente (o a un inspector) verificar la factura en cualquier momento.
La AEAT tiene su propio verificador en sede.agenciatributaria.gob.es. En LexFlow, además, hemos publicado www.lexflow-ia.com/verify/<CSV> como verificador alternativo — para que tus clientes puedan comprobar tus facturas sin salir de tu marca.
4. Cómo hemos integrado Veri*Factu en LexFlow
En LexFlow llevamos 14 sprints construyendo Veri*Factu con un enfoque enterprise. Aquí te resumimos las decisiones técnicas y arquitectónicas más relevantes — para que sepas exactamente qué hay debajo de la interfaz simple que ve el usuario final.
Decisión 1 — Cifrado del certificado AEAT
Tu certificado .p12 es lo más sensible del subsistema: con él se puede firmar en tu nombre ante la AEAT. Por eso lo ciframos con AES-256-GCM en modo AAD-aware (Additional Authenticated Data), usando una clave maestra de 32 bytes que vive en Cloudflare Secrets — fuera de la base de datos. El AAD vincula el cifrado a tu billing profile específico: ni un administrador con acceso a la base de datos podría descifrar un cert de otro tenant.
Decisión 2 — Firma WebCrypto + pkijs sobre Cloudflare Workers
La AEAT exige firma XML SII con tu certificado en cada envío. Usamos la API nativa WebCrypto + la biblioteca pkijs para procesar el PKCS#12. Todo corre en Cloudflare Workers (edge), por lo que la firma ocurre a milisegundos del usuario y no a 200 ms de un servidor europeo central.
Decisión 3 — Cola de reintentos con backoff exponencial
La AEAT cae. Es un hecho. En las semanas pico (fin de trimestre) el servicio puede dar timeouts. Nuestra cola de reintentos vive en un cron HTTP que se ejecuta cada 15 minutos y reintenta envíos en estado error_red, pendiente o enviando con backoff: 1 min, 5 min, 15 min, 1 h, 4 h, 24 h… hasta 96 intentos. Tu factura nunca se pierde.
Decisión 4 — Verificación pública /verify/<CSV>
Único en el mercado español. Publicamos un endpoint público sin login en www.lexflow-ia.com/verify donde cualquier persona (inspector AEAT, cliente, auditor externo) puede comprobar la autenticidad de una factura solo con el CSV. Diseño privacy-first: revelamos NIF emisor + fecha + importe (datos públicos por ley) pero NUNCA nombre del cliente, líneas o conceptos.
Decisión 5 — Defense in depth + 441 tests
El subsistema tiene 441 tests Jest verdes y ha pasado por una auditoría iterativa de 24 horas que detectó y arregló 2 bugs P0 catastróficos antes de llegar a producción. Hash-chain, retry, CSP, Bearer auth y timing-attack mitigation están testeados con regression guards que bloquean reintroducir patrones rotos.
5. LexFlow vs Holded, Sage, Quipu, FacturaScripts y A3
Cualquier software de facturación que se anuncie en España va a decir “cumple Veri*Factu”. Pero cumplir el mínimo legal no es lo mismo que integrar Veri*Factu como una capacidad estratégica. Esto es lo que diferencia a LexFlow del resto del mercado:
| CARACTERÍSTICA VERI*FACTU | LEXFLOW | HOLDED | SAGE 50 | QUIPU | FACTURASCRIPTS | A3 (WK) |
|---|---|---|---|---|---|---|
| Envío en vivo a AEAT (< 3s) | ✓ | ✓ | ✓ | ✓ | manual | ✓ |
| Hash chain SHA-256 visible al titular | ✓ | ✗ | ✗ | ✗ | ✗ | ✗ |
| Verificación pública /verify/<CSV> | ✓ | ✗ | ✗ | ✗ | ✗ | ✗ |
| Wizard onboarding cert en 90s | ✓ | 10 min | manual | 5 min | manual | consultor |
| Reintento automático con backoff | ✓ | ✗ | ✗ | ✗ | ✗ | ✓ |
| Alerta cert próximo a caducar | 60/30/7/1/0d | 30d | ✗ | 15d | ✗ | 30d |
| Auto-activación al cruzar umbral fiscal | ✓ | ✗ | ✗ | ✗ | ✗ | ✗ |
| Dashboard de salud con semáforo | ✓ | ✗ | ✗ | ✗ | ✗ | parcial |
| Expediente forense PDF (audit trail) | ✓ | ✗ | ✗ | ✗ | ✗ | manual |
| Libros Registro RD 1619/2012 auto | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Modelos 303 / 390 / 130 / 115 / 349 | ✓ | 303/390 | ✓ | 303/390/130 | 303 | ✓ |
| Cifrado cert AES-256-GCM + AAD | ✓ | ✗ | ✗ | ✗ | ✗ | AES-128 |
| Multi-despacho con aislamiento | ✓ | ✗ | extra | ✗ | ✗ | ✓ |
| Plan inicial mensual | 9,99€ | 12€ | 23€ | 12€ | Gratis* | Bajo demanda |
Notas por competidor
- Holded: excelente en CRM y facturación generalista. Veri*Factu lo tienen pero como casilla de configuración — sin transparencia hash ni verificador público.
- Sage 50: software clásico con integración Veri*Factu que requiere consultor para activarla. Pensado para gestorías que ya conocen la plataforma.
- Quipu: moderno y simple para freelancers. Su Veri*Factu llegó tarde (Q1 2026) y aún está madurando. Sin verificación pública ni dashboard de salud propio.
- FacturaScripts: open source genuino. Tiene Veri*Factu vía módulo de la comunidad — pero requiere hosting propio, mantenimiento, certificados manuales… Para perfil técnico.
- A3 (Wolters Kluwer): el gigante enterprise. Su Veri*Factu es robusto pero llave-en-mano: necesitas consultor, contrato anual y la simplicidad no es su fuerte.
6. Los 7 diferenciadores únicos de LexFlow
Estas son las siete decisiones que hacen que nuestra implementación Veri*Factu sea la más inteligente del mercado español. Cada una nace de una pregunta concreta: ¿qué pasaría si esto fuera el doble de bueno que el estándar del sector?
Cada factura encadena su huella SHA-256 con la anterior. La cadena es inspeccionable en tiempo real desde tu panel — no es un detalle backend escondido.
Único en el mercadoCualquier inspector AEAT, cliente o auditor puede comprobar la autenticidad de una factura sin login. URL pública con hardening anti-scraping y protección de PII.
Único en el mercadoTu .p12 se cifra con clave maestra AAD-aware antes de guardarse. Ni Totalum ni LexFlow ven el certificado en claro nunca.
Defensa en profundidadSi la AEAT está caída, reintentamos cada 15 min con backoff exponencial hasta 96 intentos. Tu factura nunca se pierde — entra cuando AEAT vuelve.
Cero pérdidasVista global de envíos pendientes, errores AEAT recientes, certificados próximos a caducar y modelos AEAT por presentar. Sin abrir 5 pantallas.
Visión 360Un click y descargas el PDF con la cadena hash, los CSV oficiales, los XML SII firmados y los timestamps. Listo para una inspección AEAT sin pánico.
Compliance readyUn cron diario detecta cuándo cruzas el umbral SII (6.010.121 €/año) y activa Veri*Factu automáticamente + email avisándote. Cero gestión manual.
Cero fricción7. Onboarding en 90 segundos: el flujo real
Casi todo el mercado tarda de 30 minutos a varias horas en activar Veri*Factu en una cuenta nueva: descargar certificado, subirlo al proveedor, configurar la cuenta AEAT, probar conexión, esperar validación… En LexFlow lo hemos comprimido a 90 segundos. Así:
Accedes a /dashboard/settings/verifactu/onboarding. El wizard te guía paso a paso.
Arrastras el certificado AEAT (formato .p12 / PFX) y pones su passphrase.
El cert se cifra con tu master key AAD-aware antes de guardarse — nunca en claro.
Lanzamos un envío de prueba a sandbox AEAT y verificamos respuesta CSV.
Calculamos tu facturación anual. Si superas 6.010.121€ activamos Veri*Factu automáticamente.
Tu próxima factura se transmite a AEAT en < 3s. Sin más pasos.
8. Preguntas frecuentes sobre Veri*Factu
¿Quién está obligado a usar Veri*Factu en 2026?+
Toda persona física o jurídica que emita facturas por actividad económica en España, salvo las grandes empresas adscritas al SII (que cumplen un régimen más estricto). Para autónomos y PYMEs la entrada en vigor efectiva es a partir del 1 de julio de 2026. LexFlow detecta automáticamente cuándo te aplica y te avisa por email con 60/30/7/1 días de anticipación.
¿Qué diferencia hay entre Veri*Factu y el SII?+
SII (Suministro Inmediato de Información) lleva en vigor desde 2017 y solo obliga a las empresas con facturación > 6.010.121 € o que voluntariamente se adscriban. Veri*Factu es el régimen para el resto: cualquier emisor de facturas. Es menos exigente que SII pero igualmente obligatorio y con consecuencias fiscales por incumplimiento (multas de hasta 50.000 € por ejercicio).
¿Puedo verificar una factura Veri*Factu sin tener cuenta en LexFlow?+
Sí. Ofrecemos la página pública www.lexflow-ia.com/verify/<CSV> donde cualquier persona (inspector AEAT, cliente final, auditor externo) puede comprobar la autenticidad de una factura introduciendo solo el CSV oficial. Sin login, sin registro, sin cookies. Es uno de nuestros diferenciadores únicos frente a la competencia.
¿Qué pasa si la AEAT está caída cuando emito una factura?+
Tu factura se guarda como pendiente y un cron interno la reintenta cada 15 min con backoff exponencial hasta 96 intentos (varias horas de cobertura). En cuanto la AEAT vuelva, tu envío entra. Tú no haces absolutamente nada — y la cola de envíos pendientes la ves transparente en tu dashboard de salud Veri*Factu. Es el patrón “cero pérdidas”.
¿Necesito un certificado AEAT para usar Veri*Factu?+
Sí, necesitas un certificado digital de representante o de persona física en formato .p12 o .pfx. Lo subes en nuestro wizard de onboarding (60 segundos) y se cifra con AES-256-GCM antes de guardarse — nadie lo ve en claro, ni siquiera nuestros administradores. La clave maestra de cifrado vive en Cloudflare Secrets, fuera de la base de datos.
¿Cuánto cuesta empezar con Veri*Factu en LexFlow?+
Veri*Factu está incluido sin coste adicional en todos los planes de LexFlow desde 9,99 €/mes (Starter). No cobramos por factura ni por envío AEAT. La única limitación es el número de profesionales del despacho, no la actividad de facturación. Ver planes y precios.
¿Veri*Factu sustituye a los Libros Registro del IVA?+
No. Son obligaciones complementarias. Veri*Factu (RD 1007/2023) regula cómo se transmite cada factura individual a la AEAT. Los Libros Registro (RD 1619/2012) regulan los agregados trimestrales para los Modelos 303, 390, 130, 115 y 349. LexFlow gestiona ambos sistemas en un único flujo — generando los libros automáticamente a partir de tus facturas.
¿Puedo migrar a LexFlow desde Holded, Sage o Quipu sin perder histórico?+
Sí. Importamos tu histórico de facturas vía CSV, Excel o conector API en menos de 24 horas. La cadena hash Veri*Factu se inicializa con tu primera factura emitida tras la migración — el histórico anterior se conserva como información de referencia sin necesidad de re-transmitirlo a la AEAT. Cuéntanos tu caso y te preparamos un plan de migración personalizado.
9. Cierre y siguientes pasos
Veri*Factu no es una funcionalidad “nice to have”: es una obligación legal con multas reales. La pregunta no es si vas a migrar a un software homologado, sino con cuál y cuándo.
Si tu prioridad es simplicidad operativa, transparencia técnica y diferenciación frente a tus clientes (porque puedes mostrarles cómo verifican tus facturas online), LexFlow es la opción obvia. Si lo que necesitas es una solución enterprise consultorizada con contrato anual, A3 o Sage son tu camino. Si solo quieres lo mínimo legal por el menor precio, Holded o Quipu cumplen.
Pero si quieres todo lo anterior y además dashboard de salud, cadena hash visible, verificación pública, retry inteligente, onboarding de 90 segundos y plataforma legal completa (CRM, expedientes, documentos, RGPD, dictado por voz…) — entonces LexFlow es literalmente la única opción del mercado español.
Si te ha interesado Veri*Factu, también te interesará
- Mejor software de gestión para despachos de abogados 2026 — comparativa completa más allá de la facturación.
- Mercado LegalTech 2026 — el análisis definitivo del sector con datos de mercado.
- Outsourcing fiscal para despachos — LexFlow + FiscaLITIA, el ecosistema que cubre gestión + fiscalidad.
- Módulo de gestión de expedientes — qué incluye y cómo se integra con la facturación Veri*Factu.
- Planes y precios LexFlow — Veri*Factu incluido en todos los planes desde 9,99 €/mes.