REGLAMENTO
DE INFRACCIONES Y SANCIONES DE LOS
PRESTADORES DE SERVICIOS DE CERTIFICACION DIGITAL
El ltimo sbado 4 de marzo de 2017, se public en el
diario de El Peruano, el nuevo Reglamento de
Infracciones Y Sanciones de los Prestadores de Servicios
de Certificacin Digital (Resolucin de la Presidencia del
Consejo Directivo del INDECOPI N 39-2017-
INDECOPI/COD).
El mencionado reglamento tiene como objeto regular el
procedimiento, criterios y requisitos para la aplicacin
de sanciones por parte de la Comisin que gestiona la
Infraestructura oficial de la Firma Electrnica a los
prestadores del servicio de certificacin digital
acreditados y reconocidos en la referida infraestructura.
Asimismo, encontramos en el reglamento las conductas
tipo que sern consideras infracciones.
ASPECTOS GENERALES
1. mbito de ampliacin: Se considera infraccin a
toda conducta u omisin que se encuentre
tipificado como tal en los Cuadros N 1; 2; 3 y 4. Las
infracciones puede ser calificadas como leves,
graves y muy graves.
La potestad sancionadora se aplica al momento de
incurrir en la infraccin cuenten con la acreditacin
o el reconocimiento otorgada por la Comisin, pese
a que con posterioridad la acreditacin o el
reconocimiento haya sido cancelada, expirada,
suspendida o estuvieran inhabilitados.
2. Alcance: (i) Prestadores de Servicios de
Certificacin Digital debidamente acreditados por
la Comisin o por el rgano funcional que la
antecedi en sus funciones o (ii) Prestadores de
Servicios de Certificacin Digital reconocidos por
la CNB o por la CFE.
3. rgano competente: La Comisin Transitoria
para la Gestin de la Infraestructura Oficial de Firma
Electrnica y su correspondiente, Secretaria
Tcnica.
PROCEDIMIENTO ADMINISTRATIVO
SANCIONADOR
1. Actuaciones previas: la Secretaria Tcnica podr
realizar las investigaciones necesarias a fin de
determinar la existencia de indicios para informar a
la Comisin. La Comisin evaluar el informe
recibido por la Secretaria y determinar si
corresponde abrir un procedimiento administrativo
sancionador. Tanto la Secretara como la Comisin
podrn disponer actuaciones previas para la
investigacin, tales como la inspeccin.
2. Presentacin de descargos: Los descargos
debern hacerse por escrito dentro de los 5 das
hbiles siguientes la notificacin del inicio del
procedimiento. Excepcionalmente, dicho periodo
podr ser ampliado a solicitud del Prestador de
Servicios.
3. Recurso: procede apelacin ante el Tribunal de
Defensa de la Competencia y de la Propiedad
Intelectual. El recurso se interpondr ante la
Comisin en el plazo de 15 das hbiles desde la
fecha de notificacin de la resolucin sancionadora.
LAS INFRACCIONES Y SANCIONES
Tipos de sanciones
- Multas pecuniarias
- Suspensin temporal de la acreditacin
- Cancelacin definitiva de la misma
La graduacin de las infracciones se presenta en los
cuadros anexos.
Escala de sanciones
Los prestadores que incurran en las infracciones
tipificadas, se le aplica la sancin del primer cuadro. Sin
embargo, cuando en un perodo de dos (02) aos se
imponga a un Prestador dos (02) o ms sanciones que
en conjunto sumen veinticuatro (24) meses o ms de
suspensin temporal, una siguiente infraccin grave
ser sancionada con la cancelacin definitiva de la
acreditacin.
CRITERIOS PARA EXIMIR, IMPONER Y REDUCIR
SANCIONES
1. Criterios de graduacin: Agravantes son los
casos de (i) obstruccin o directa negativa a
prestar colaboracin durante la investigacin o
 Cmo
(ii) reincidencia o incumplimiento reiterado. Por
el contrario, lo Atenuantes son (i) Reparacin
voluntaria del dao causado (ii) Subsanacin de
la conducta infractora durante el procedimiento
y (iii) Reconocimiento expreso de
responsabilidad.
2. Subsanacin de infraccin: en caso la
infraccin de carcter leve y el Prestador
corrigiese su conducta dentro de los 5 das
posteriores a la fecha de notificacin de la
Resolucin de inicio del procedimiento, ser
eximido de sancin, salvo que tenga
antecedentes de infracciones inscritas en el
Registro. En todos los casos, se deber renunciar al
3. La Reiteracin de la misma infraccin y
gravedad, se considerar como agravante.
4. Persistencia: si los hechos u omisiones
persisten luego de 30 das calendarios
posteriores a la fecha de la resolucin firme,
podra imponrsele una nueva sancin.
5. Reduccin de multa:
a. Por una infraccin leve pague el 50% de la
multa dentro de los 15 das hbiles
a
posteriores a la notificacin de la
Resolucin sancionadora, se dar por
cancelada la totalidad de la multa.
b. Por una infraccin grave pague el 70% de la
multa dentro de los 15 das hbiles
posteriores a la notificacin de la
Resolucin sancionadora, se dar por
cancelada la totalidad de la multa
c. Por una infraccin muy grave pague el 85%
de la multa dentro de los 15 das hbiles
posteriores a la notificacin de la
Resolucin sancionadora, se dar por
cancelada la totalidad de la multa.
derecho de apelar la resolucin que le impuso
la multa.
6. Registro: En el Registro de Prestadores de
Servicios de Certificacin Digital Sancionados
se anotar el nombre del prestador, la
infraccin, la sancin, las resoluciones, la fecha
de cancelacin. El registro se mantendr por 2
aos contados a partir del da siguiente de la
notificacin de la Resolucin firme.
 Cmo a

Cuadro N 1
Infracciones y sanciones base por tipo de infraccin
Entidades de Certificacin

TIPO DE FACTOR
I. DE LAS ENTIDADES DE CERTIFICACIN INFRACCI GRAVEDAD
N (UIT)
No emitir certificados digitales manteniendo una secuencia correlativa en el nmero de serie. LEVE 10
No reconocer certificados digitales emitidos por entidades de certificacin extranjeras que
LEVE 10
hayan sido incorporadas por reconocimiento a la Infraestructura Oficial.

No cumplir con los requerimientos de la Comisin Transitoria para la Gestin de la

Infraestructura Oficial de Firma Electrnica en lo referente a la Poltica de Certificacin,
Declaracin de Prcticas de Certificacin, Poltica de Seguridad, Poltica de Privacidad y Plan
GRAVE 19
de Privacidad. Estos documentos debern ser aprobados por la Comisin Transitoria para la
Gestin de la Infraestructura Oficial de Firma Electrnica dentro del procedimiento de
acreditacin y de los seguimientos anuales.
No informar a los usuarios de todas las condiciones de emisin y de uso de sus certificados
LEVE 15
digitales, incluyendo las referidas a la cancelacin de stos.
No mantener el control y la reserva de la clave privada que emplea para firmar digitalmente
MUY GRAVE 25
los certificados digitales que emite.
No mantener la debida diligencia y cuidado respecto a la clave privada de la Entidad de
Certificacin, estando en la obligacin de comunicar inmediatamente a la Comisin
MUY GRAVE 24
Transitoria para la Gestin de la Infraestructura Oficial de Firma Electrnica cualquier
potencial o real compromiso de la clave privada.

No mantener depsito de los certificados digitales emitidos y cancelados, consignando su

GRAVE 16
fecha de emisin y vigencia.

Almacenar las claves privadas de los usuarios finales. MUY GRAVE 24

No cancelar el certificado digital pese a suscitarse alguna de las causales establecidas en el

artculo 17 del Reglamento de la Ley de Firmas y Certificados Digitales; y, No estipular en
MUY GRAVE 25
los contratos de los titulares y suscriptores las causales y condiciones bajo las cuales deba
efectuarse la cancelacin del certificado.

No mantener la confidencialidad de la informacin relativa a los titulares y suscriptores de

certificados digitales o no limitar su empleo a las necesidades propias del servicio de MUY GRAVE 22
certificacin.
No mantener la informacin relativa a los certificados digitales, por un perodo mnimo de diez
LEVE 15
(10) aos a partir de su cancelacin.
No cumplir los trminos bajo los cuales obtuvo la acreditacin, as como los requerimientos
adicionales que establezca la Comisin Transitoria para la Gestin de la Infraestructura MUY GRAVE 22
Oficial de Firma Electrnica conforme a lo establecido en el Reglamento.
No informar a la Comisin Transitoria para la Gestin de la Infraestructura Oficial de Firma
Electrnica respecto de acuerdos de certificacin cruzada que proyecte celebrar, as como GRAVE 17
los trminos bajo los cuales dichos acuerdos se suscribiran.

No solicitar autorizacin a la Comisin Transitoria para la Gestin de la Infraestructura Oficial

de Firma Electrnica respecto de acuerdos de certificacin cruzada que proyecte celebrar, GRAVE 17
as como los trminos bajo los cuales dichos acuerdos se suscribiran.
No informar a la Comisin Transitoria para la Gestin de la Infraestructura Oficial de Firma
Electrnica para efectos del reconocimiento de certificados emitidos por entidades GRAVE 20
extranjeras.
No solicitar autorizacin a la Comisin Transitoria para la Gestin de la Infraestructura Oficial
de Firma Electrnica para efectos del reconocimiento de certificados emitidos por entidades GRAVE 17
extranjeras.
No cumplir con las disposiciones de la Comisin Transitoria para la Gestin de la
Infraestructura Oficial de Firma Electrnica a que se refiere el artculo 27 del presente LEVE 13
Reglamento.
No brindar todas las facilidades al personal autorizado por la Comisin Transitoria para la
Gestin de la Infraestructura Oficial de Firma Electrnica para efectos de supervisin y MUY GRAVE 22
auditora.

 Cmo a

No demostrar que los controles tcnicos que emplea son adecuados y efectivos a travs de
la verificacin independiente del cumplimiento de los requisitos especificados en el estndar GRAVE 18
WebTrust for Certification Authorities y la obtencin del sello Webtrust.

No acreditar domicilio en el pas durante las supervisiones que lleve a cabo la AAC MUY GRAVE 22

 Cmo a

Cuadro N 2
Infracciones y sanciones base por tipo de infraccin
Entidades de Registro o Verificacin

FACTOR
TIPO DE GRAVEDAD
II. DE LAS ENTIDADES DE REGISTRO O VERIFICACIN
INFRACCIN (UIT)

No identificar a los titulares y/o suscriptores del certificado digital contenidas en

sus polticas de registro o verificacin, declaracin de prcticas de registro, MUY GRAVE 23
verificacin, poltica de seguridad y poltica y plan de privacidad.

No aprobar las solicitudes de emisin, modificacin, re-emisin, suspensin o

cancelacin de certificados digitales, comunicndolo a la respectiva Entidad de
MUY GRAVE 22
Certificacin, segn se encuentre estipulado en la correspondiente Declaracin
de Prcticas de Certificacin.
No denegar las solicitudes de emisin, modificacin, re-emisin, suspensin o
cancelacin de certificados digitales, comunicndolo a la respectiva Entidad de
GRAVE 20
Certificacin, segn se encuentre estipulado en la correspondiente Declaracin
de Prcticas de Certificacin.
No cumplir con los requerimientos de la Comisin Transitoria para la Gestin
de la Infraestructura Oficial de Firma Electrnica respecto de la Poltica de
Registro o Verificacin, Declaracin de Prcticas de Registro o Verificacin,
Poltica de Seguridad y Poltica y Plan de Privacidad. Estos documentos MUY GRAVE 23
debern ser aprobados por la Comisin Transitoria para la Gestin de la
Infraestructura Oficial de Firma Electrnica dentro del procedimiento de
acreditacin.
No determinar objetivamente y en forma directa la veracidad de la informacin
proporcionada por los solicitantes del certificado digital, bajo su responsabilidad. MUY GRAVE 24

No mantener la confidencialidad de la informacin relativa a los suscriptores y

titulares de certificados digitales, limitando su empleo a las necesidades
propias del servicio de registro o verificacin, salvo orden judicial o pedido del
titular o suscriptor del certificado digital, segn sea el caso, realizado mediante
MUY GRAVE 23
un mecanismo que garantice el no repudio, debiendo respetar para tales
efectos los lineamientos establecidos por la Comisin Transitoria para la
Gestin de la Infraestructura Oficial de Firma Electrnica en la Norma Marco
sobre Privacidad.
No recoger nicamente informacin o datos personales de relevancia para la
emisin de los certificados. GRAVE 17

No acreditar domicilio en el pas durante las supervisiones que lleve a cabo la MUY GRAVE 22
AAC.
No cumplir con las disposiciones de la Comisin Transitoria para la Gestin de
la Infraestructura Oficial de Firma Electrnica a que se refiere el artculo 31 del LEVE 15
presente Reglamento.
No brindar todas las facilidades al personal autorizado por la Comisin
Transitoria para la Gestin de la Infraestructura Oficial de Firma Electrnica MUY GRAVE 22
para efectos de supervisin y auditora.
No informar a los usuarios de todas las condiciones para la prestacin de sus GRAVE 18
servicios.

 Cmo a

Cuadro N 3
Infracciones y sanciones base por tipo de infraccin
Prestadores de Servicios de Valor Aadido

FACTOR
TIPO DE
III. DE LOS PRESTADORES DE SERVICIOS DE VALOR AADIDO GRAVEDAD
INFRACCIN
(UIT)
No participar en la transmisin o envo de documentos electrnicos firmados
GRAVE 17
digitalmente, siempre que el usuario lo haya solicitado expresamente.
No certificar los documentos electrnicos con fecha y hora cierta (Sellado de Tiempo)
o en el almacenamiento de tales documentos, aplicando medios que garanticen la
GRAVE 19
integridad y no repudio de los datos de origen y recepcin (Sistema de
Intermediacin Digital).
No almacenar los documentos electrnicos con fecha y hora cierta (Sellado de
Tiempo) aplicando medios que garanticen la integridad y no repudio de los datos de GRAVE 17
origen y recepcin (Sistema de Intermediacin Digital).
No generar certificados de autenticacin a los usuarios que lo soliciten. LEVE 11

No cumplir con los requerimientos de la Comisin Transitoria para la Gestin de la

Infraestructura Oficial de Firma Electrnica respecto de la Poltica de Valor Aadido,
Declaracin de Prcticas de Servicios de Valor Aadido, Poltica de Seguridad,
GRAVE 18
Poltica y Plan de Privacidad. Estos documentos debern ser aprobados por la
Comisin Transitoria para la Gestin de la Infraestructura Oficial de Firma
Electrnica dentro del procedimiento de acreditacin.
No informar a los usuarios de todas las condiciones para la prestacin de sus LEVE 14
servicios.
No mantener la confidencialidad de la informacin relativa a los usuarios de los
servicios, limitando su empleo a las necesidades propias del servicio de valor
aadido prestado, salvo orden judicial o pedido del usuario utilizando medios que MUY GRAVE 23
garanticen el no repudio, debiendo respetar para tales efectos los lineamientos
establecidos en la Norma Marco sobre Privacidad.
No tener operativo software, hardware y dems componentes adecuados para la
prestacin de servicios de valor aadido y las condiciones de seguridad adicionales
basadas en estndares internacionales o compatibles a los internacionalmente MUY GRAVE 22
vigentes que aseguren la interoperabilidad y las condiciones exigidas por la
Autoridad Administrativa Competente.
Incumplir los trminos bajo los cuales obtuvo la acreditacin, as como los
requerimientos adicionales que establezca la Comisin Transitoria para la Gestin
MUY GRAVE 21
de la Infraestructura Oficial de Firma Electrnica conforme a lo establecido en el
presente Reglamento.
Incumplir con las disposiciones de la Comisin Transitoria para la Gestin de la
Infraestructura Oficial de Firma Electrnica a que se refiere el artculo 38 del presente LEVE 15
Reglamento.
No brindar todas las facilidades al personal autorizado por la Comisin Transitoria
para la Gestin de la Infraestructura Oficial de Firma Electrnica para efectos de MUY GRAVE 22
supervisin y auditora.
No informar a los usuarios de todas las condiciones para la prestacin de sus LEVE 15
servicios.
No acreditar domicilio en el pas durante las supervisiones que lleve a cabo la AAC. MUY GRAVE 22

 Cmo a

Cuadro N 4
Infracciones y sanciones base por tipo de infraccin
Software de Firma Digital

FACTOR
TIPO DE GRAVEDAD
IV. DEL SOFTWARE DE FIRMA DIGITAL
INFRACCIN
(UIT)

Incumplir con los requerimientos de la Comisin Transitoria para la Gestin de

la Infraestructura Oficial de Firma Electrnica respecto de los manuales de LEVE 15
uso y/o administracin del software de creacin de firma digital.

Incumplir los trminos bajo los cuales obtuvo la acreditacin, as como los
requerimientos adicionales que establezca la Comisin Transitoria para la
Gestin de la Infraestructura Oficial de Firma Electrnica conforme a lo MUY GRAVE 24
establecido en el Reglamento de la Ley de Firmas y Certificados Digitales y la
respectiva Gua de Acreditacin.
No acreditar domicilio en el pas durante las supervisiones que lleve a cabo la MUY GRAVE 22
AAC.
No informar a los usuarios de todas las condiciones para la prestacin de sus GRAVE 17
servicios.
No brindar facilidades al personal autorizado por la Comisin Transitoria para
la Gestin de la Infraestructura Oficial de Firma Electrnica para efectos de GRAVE 19
supervisin y auditora.

 Cmo a

Cuadro N 5
Factor tamao de empresa infractora

Tipo de empresa Facturacin Factor = Ft

Hasta 50 UIT 0.1

Microempresa Ms de 50 hasta 100 UIT 0.2

Hasta 150 UIT
Ms de 100 hasta 150 UIT 0.3

Ms de 150 hasta 500 0.4

Ms de 500 hasta 900 0.5

Pequea empresa Mayor a
150 UIT hasta 1700 UIT Ms de 900 hasta 1,300 0.6

Ms de 1,300 hasta 1,700 UIT 0.7

Mediana empresa Ms de 1,700 hasta 2,000 UIT 0.8

Mayor a 1700 UIT hasta 2300
UIT Ms de 2,000 hasta 2,300 UIT 0.9

Gran empresa
Mayor a 2300 UIT Mayor a 2,300 UIT 1

 Cmo a

Cuadro N6
Factores Agravantes y Atenuantes


Factores Agravantes y Atenuantes Calificacin

AGRAVANTES

F1: Entorpecimiento o negativa durante

las diligencias de investigacin

S +30%

No 0

F2: Reincidencia o incumplimiento

reiterado
1 vez +10%

2 vez +25%

3 vez o ms +40%

No hay reincidencia 0

F3: Otras circunstancias de la comisin

de la infraccin

Si aplica Hasta +30%

No 0

ATENUANTES

F4: Adopt las medidas necesarias

para la reparacin voluntaria del dao
causado
S adopt medidas -10%

No aplica 0%

F5: Subsanacin total de la conducta

presuntamente infractora durante el
procedimiento.

S -10%

No aplica 0%

F6: Administrado reconoce su

responsabilidad de forma expresa
(Modificatoria LPAG-DL 1272)
Desde -1%
S reconoce hasta -50%

No Aplica 0%