El error de solicitar copias del DNI en operaciones a través de Internet

La verificación de identidad en la contratación por Internet se ha convertido en una práctica habitual, pese a que, por su inutilidad y alto nivel de exposición, debería haberse prohibido hace años. Aun así, sigue siendo frecuente —a menudo sin una base jurídica suficiente— exigir copias del DNI como medio de identificación en operaciones no presenciales.

Esta práctica, que muchos padecemos en nuestra vida diaria y genera rechazo en la población, plantea serios desafíos jurídicos y técnicos ante el elevado número de casos diarios de suplantación de identidad y fraude online, agravados por la falta de una supervisión exhaustiva de unos procedimientos que, por su propia naturaleza, implican un riesgo significativo. No puede ser que desde organismos públicos te recomienden no compartir tu DNI por Internet y luego cualquier empresa, con cualquier excusa, te lo exija bajo amenaza de no poder contratar o dar de baja un servicio, sin que no se haga nada al respecto.

Esta práctica plantea importantes desafíos jurídicos y técnicos ante el elevado número de casos de suplantación de identidad y fraude online diarios

Además, el riesgo se incrementa de forma notable cuando, en condiciones próximas al concepto jurídico de extorsión, se exige a los clientes que dichas copias se envíen por correo electrónico sin campos censurados y sin marcas de agua que permitan identificar la fecha, finalidad o destinatario de la copia, lo que permite el fraude en caso de que la documentación sea comprometida. Esta situación, ya de por sí altamente peligrosa, podría agravarse significativamente con la futura prohibición de acceso a los menores de 16 años a las redes sociales, medida que podría obligar a la totalidad de los usuarios de redes sociales a remitir copias de su DNI para verificar su edad. Tal exigencia, en un contexto marcado por las brechas de seguridad sufridas en plataformas como Facebook, LinkedIn, Twitter o TikTok y con sede en otros países, podría generar un escenario de consecuencias potencialmente desastrosas.

Una gran parte del problema reside en la redacción del artículo 12 la Ley 10/2010 de prevención del blanqueo de capitales y de la financiación del terrorismo, dedicado a ‘Relaciones de negocio y operaciones no presenciales’, que dice lo siguiente: “Con independencia de que la identidad del cliente quede acreditada de conformidad con lo dispuesto en la normativa aplicable de firma electrónica, en todo caso, y en el plazo de un mes desde el establecimiento de la relación de negocio, los sujetos obligados deberán obtener de estos clientes una copia de los documentos necesarios para practicar la diligencia debida”.

Este artículo 12 plantea cuatro problemas en operaciones no presenciales:

1. No se establece que, en una operación no presencial, la mera capacidad de aportar una copia del DNI por vía telemática no equivale a acreditar la identidad de la persona que posee dicha copia.
2. Se otorga a la copia del DNI un valor probatorio y de diligencia debida superior al de una firma digital cualificada del titular, lo cual constituye un grave error conceptual. Sin embargo, para realizar una firma digital cualificada con un DNI electrónico es imprescindible disponer físicamente del soporte y conocer el PIN que protege la clave privada del certificado que, además, no puede extraerse del chip del DNI electrónico y puede ser revocada en caso de robo o pérdida del documento.
3. Únicamente se exige la obtención de una copia de los documentos como parte de la diligencia debida, sin especificar el procedimiento adecuado para su recopilación según las circunstancias, ni las medidas técnicas necesarias para su protección y custodia durante los diez años que impone la Ley.
4. Se abre la puerta a que numerosas organizaciones, que no son sujetos obligados por la norma, interpreten erróneamente que la mejor forma de acreditar la identidad de un cliente en la contratación en línea de un producto o servicio es mediante la solicitud una copia del DNI.

(Imagen: Policía Nacional)

Se otorga a la copia del DNI un valor probatorio y de diligencia debida superior al de una firma digital cualificada del titular, lo cual constituye un grave error conceptual

Las consecuencias de estas prácticas son muy peligrosas para la ciudadanía ya que es un problema que se realimenta.

1. La transmisión de documentos digitalizados por Internet y su posterior almacenamiento en sistemas informáticos entraña un riesgo significativo para sus titulares. En caso de una brecha de seguridad —ya sea por un ciberataque deliberado o por un error humano— pueden producirse suplantaciones de identidad y diversos tipos de fraude.
2. Cuantas más copias del DNI se compartan y se acepten por Internet, mayor será el riesgo de suplantación y fraude asociado a su uso indebido.
3. Las suplantaciones de identidad son posibles, en gran medida, porque numerosas organizaciones asumen erróneamente que la capacidad de enviar una copia del DNI en una operación en línea equivale a una identificación fehaciente del remitente. Esta premisa carece de fundamento técnico y jurídico, y debería considerarse un tratamiento ilegítimo al no garantizar ni la autenticidad del sujeto ni la integridad del proceso de verificación.
4. El análisis del riesgo derivado de una posible fuga de datos de alta sensibilidad, como el DNI, debe abordarse desde una perspectiva holística que contemple todos los factores relevantes. Esto implica evaluar formalmente el entorno en el que se recopila la información, los mecanismos de seguridad aplicados durante su obtención, los procedimientos de tratamiento posteriores, la eventual participación de terceros y las condiciones de almacenamiento y protección de dichos datos. Solo una evaluación integral permite determinar con precisión el nivel real de exposición y adoptar medidas de mitigación adecuadas.
5. No debe olvidarse, además, el riesgo que supone la actuación de un insider —un empleado desleal— que pueda extraer copias del DNI para utilizarlas de forma fraudulenta, un escenario que ya se ha producido en diversas ocasiones.

(Imagen: E&J)

Las suplantaciones de identidad son posibles, en gran medida, porque numerosas organizaciones asumen erróneamente que la capacidad de enviar una copia del DNI en una operación en línea equivale a una identificación fehaciente del remitente

Algunas personas creen erróneamente que basta con censurar ciertos datos del DNI para eliminar el riesgo de enviarlo por Internet. Sin embargo, si una entidad acepta una copia parcialmente censurada como medio válido de verificación, es razonable asumir que otras también podrían hacerlo, lo que facilita usos indebidos y, en la práctica, mantiene intacta la posibilidad de fraude y suplantación de identidad. La situación conduce a escenarios especialmente complejos y a errores de notable gravedad. Por ejemplo, en el caso de los sujetos obligados por la Ley 10/2010, parece prevalecer la idea de que las obligaciones de diligencia debida están por encima de las exigencias de la normativa de protección de datos, asumiéndose erróneamente que enviar copias del DNI por correo electrónico es un riesgo aceptable para los clientes, en lugar de emplear plataformas seguras para el intercambio de información sensible.

La propia normativa de protección de datos tampoco contribuye de manera decisiva a mitigar este problema, al tratarse de un marco jurídico habilitante y sancionador que no establece requisitos técnicos específicos en función del entorno en el que se recopilan, procesan y almacenan datos tan sensibles como son las copias digitalizadas del DNI. El artículo 5.1.f del Reglamento (UE) 2016/679 (RGPD), se limita a señalar que “los datos personales serán tratados de tal manera que se garantice una seguridad adecuada de los mismos, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas”, sin concretar estándares mínimos adaptados al nivel de riesgo inherente a este tipo de información.

Según la normativa de protección de datos, todo tratamiento debe cumplir con licitud, transparencia y lealtad, limitación de la finalidad, minimización de datos, exactitud, limitación del plazo de conservación, integridad y confidencialidad, y ya hemos visto que la petición de una copia del DNI por Internet —no así en presencial­— no cumple con la finalidad que se pretende, por lo que debería ser siempre, con independencia de la ley que ampare la solicitud, un tratamiento ilegítimo y sancionable, algo que no ocurre si se solicita una firma cualificada del titular, en la que aparece el nombre completo y número de DNI. Recordemos que la firma electrónica cualificada es el tipo de firma digital que ofrece el máximo nivel de seguridad y no repudio, siendo equivalente a la firma manuscrita tradicional. Es el mecanismo que garantiza legalmente que un firmante no puede negar la autoría de una firma y, por lo tanto, su identidad digital.

(Imagen: Sede Electrónica/ Gobierno de España)

La petición de una copia del DNI por Internet (no así en presencial), no cumple con la finalidad que se pretende, por lo que debería ser siempre, con independencia de la ley que ampare la solicitud, un tratamiento ilegítimo y sancionable

En ciberseguridad hay leyes inmutables, que dicen:

1. Lo que la tecnología permite, le ley no protege. Es decir, si no hay medidas técnicas verdaderamente efectivas para la protección de un activo, el riesgo se acabará materializando, por un ataque o por un error de alguien.
2. La realidad es tan tozuda, que al final nos pone a todos en nuestro sitio. O como dijo con ocasión del accidente del Callenger el notable físico Richard Feynman: “Para que una tecnología sea exitosa, la realidad debe ir por delante de las relaciones públicas, puesto que la realidad no puede ser engañada”.

Como demostración de lo que lo anterior es cierto, tenemos dos casos recientes de fugas de DNIs digitalizados. El primero de diciembre de 2025, afecta a varios despachos de notarios, que cumpliendo con legislación vigente que les obliga a recabar documentos de Identidad, sufren un ataque a la cadena de suministro a través del grupo de ransomware Everest (origen ruso). Dicho grupo asegura haber exfiltrado 145 gigabytes de datos de la compañía proveedora del software de gestión de notarías, entre los que hay 114.000 documentos e imágenes que contienen DNIs y pasaportes digitalizados. El segundo caso, de octubre de 2025, está detallado en el expediente N.º: EXP202403096 de la Agencia Española de Protección de Datos y afecta a la Fundación para el Desarrollo de la Enfermería (FUDEN) y al Sindicato de Enfermería (SATSE). En esta ocasión, según dicho expediente, se han filtrado 23.000 copias de DNI.

Con independencia de las sanciones que pueda imponer la autoridad de protección de datos, el daño ya está hecho: las personas afectadas quedan expuestas a un riesgo significativo de suplantación de identidad, derivado de la extendida, lesiva, errónea —y poco aclarada normativamente— presunción de que, en operaciones en línea, la exigencia del envío de una copia del DNI por internet equivale a verificar la identidad de su titular. Además, el problema no depende del volumen de documentos filtrados: basta con que una sola copia sea comprometida y utilizada de forma fraudulenta para que sea necesaria una respuesta judicial adecuada. La situación se agrava si, tras la suplantación, se contratan productos o servicios en nombre de la víctima y estos se emplean en la comisión de otros delitos, añadiendo un riesgo jurídico adicional al económico.

La situación se agrava si, tras la suplantación, se contratan productos o servicios en nombre de la víctima y estos se emplean en la comisión de otros delitos, añadiendo un riesgo jurídico adicional al económico

Por desgracia, las estadísticas sobre incidentes de seguridad —incluidos robos de datos, ataques de ransomware y fraude online— continúan en ascenso, lo que hace previsible que se produzcan nuevas brechas que involucren copias de DNI y, en consecuencia, un aumento del número de ciudadanos afectados por este grave problema. En la práctica, la gestión de ciberincidentes muestra con frecuencia fraudes informáticos vinculados a cuentas bancarias con IBAN español, cuya apertura se realiza presumiblemente de forma remota mediante copias digitalizadas o documentos sustraídos, en lugar de exigir una firma cualificada. Resulta especialmente paradójico que la Ley 10/2010, destinada a prevenir el blanqueo de capitales y la financiación del terrorismo, priorice la copia del documento físico frente a la firma cualificada como prueba de diligencia debida y que con ello se produzca el efecto contrario al que pretende dicha norma, favoreciendo la suplantación de identidad y el fraude.

En estas circunstancias solamente queda como alternativa lo siguiente:

1. Considerar en la legislación que la firma cualificada de un usuario es un medio de prueba suficiente para verificar su identidad en operaciones no presenciales y para que los sujetos obligados puedan acreditar la diligencia debida. O en su defecto aprobar medios más seguros para la verificación de la identidad y cumplimiento de la diligencia debida para operaciones no presenciales. Como ejemplo: videoidentificación, Comunicación de Campo Cercano (NFC) del DNIe, el sistema Cl@ve (España), eIDAS ID Wallet (UE), el sistema BankID (países nórdicos), la aplicación mi DNI, o mediante entidades que ya han verificado presencialmente y de forma estricta la identidad del usuario y actúen como terceros de confianza, etc.
2. Prohibir y sancionar cualquier petición de una copia del DNI por internet o de la digitalización del mismo, con independencia del motivo y de la entidad pública o privada que lo solicite.
3. Aclarar en la normativa que cuando se hace un tratamiento del DNI (número), no es lo mismo que tratar el DNI (soporte).
4. Establecer con urgencia un mecanismo estándar, seguro y que respete la privacidad de los usuarios, para poder demostrar la edad en el acceso a redes sociales y otros servicios de Internet.

(Imagen: E&J)

Cuadro de legislación

1. Ley 10/2010 Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo. https://www.boe.es/buscar/act.php?id=BOE-A-2010-6737
2. Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). https://www.boe.es/buscar/doc.php?id=DOUE-L-2016-80807

Cuadro de jurisprudencia

1. APD Expediente N.º: EXP202403096 resolución de terminación del procedimiento por reconocimiento de responsabilidad y pago voluntario incoado a la Fundación para el Desarrollo de la Enfermería (FUDEN), y Sindicato de Enfermería (SATSE). https://www.aepd.es/documento/ps-00329-2025.pdf