Verifactu en ecommerce: cómo no romper la cadena de huellas

El problema específico del ecommerce

Si tu negocio vende online, no eres tú quien crea la factura. La crea Shopify cuando confirma un pedido. La crea un webhook de Stripe cuando se cobra. La crea Amazon cuando el cliente compra. El humano no toca nada, y eso es lo bueno — excepto cuando llega Verifactu, que asume que el software de facturación es uno y los registros están encadenados criptográficamente.

Verifactu (regulado por el RD 1007/2023 más el RD 254/2025, la Orden HAC/1177/2024 y la última prórroga del RD-ley 15/2025) obliga a que cada factura lleve una huella SHA-256 calculada sobre el contenido de la factura encadenada con la huella de la factura inmediatamente anterior. Si el orden se rompe, si un duplicado se cuela, si una factura aparece "sin huella anterior", la AEAT detecta el hueco en una inspección automatizada. No hay margen de "ya lo arreglamos el mes que viene".

La gente que viene de Excel o de un programa monoplaza piensa: "tengo Holded con Verifactu nativo, ya está". Y para emisiones manuales es verdad. El problema aparece cuando dejas a Shopify, Stripe o Amazon crear facturas por ti vía integración. Si la integración no respeta los tres principios que veremos abajo, la cadena se rompe sin que nadie se entere hasta que llega la inspección.

Cómo funciona la cadena de huellas SHA-256 (la versión sin paja)

Para cada factura nueva, el software calcula:

El "contenido de la factura" incluye NIF emisor, NIF receptor, fecha de expedición, importe total, tipo de IVA, serie y otros campos definidos por la Orden HAC/1177/2024. Si cualquier campo cambia tras emitir, la huella ya no encaja con la siguiente factura, y eso pone una bandera roja a la AEAT.

Lo que esto significa en práctica: el orden de creación de las facturas importa. No puedes procesar 10 webhooks en paralelo y dejar que la base de datos resuelva el orden por timestamp. Tienes que serializar la entrada al módulo Verifactu, o asegurarte de que tu cola garantiza orden.

Tres patrones de integración que rompen la cadena (y cómo evitarlos)

#1 — Reintentos no idempotentes que duplican facturas

Shopify reintenta los webhooks que no devuelven 200 en 5 segundos hasta 19 veces durante 48 horas. Si tu integración crea una factura Holded pero falla justo antes de devolver 200, Shopify reintenta. Si no tienes deduplicación por X-Shopify-Webhook-Id o por order_id, creas dos facturas para el mismo pedido. Dos huellas SHA-256 distintas para la misma operación. La cadena queda incoherente.

Solución: deduplicación a nivel de cola (BullMQ con jobId fijo por webhook_id), tabla de webhooks procesados con UNIQUE constraint, o token de idempotencia hacia el API de Holded. Cualquiera de los tres. Pero uno tiene que estar.

#2 — Procesamiento en paralelo sin garantía de orden

Si tu cola procesa 4 jobs en paralelo y dos pedidos Shopify entran en milisegundos de diferencia, puedes acabar creando la factura del pedido B antes que la del pedido A. La cadena Verifactu en Holded se asigna en el orden en que el módulo recibe la llamada, no en el orden de pedido. Resultado: la huella de la factura A apunta a la huella de la factura B en vez de la anterior real.

Solución: concurrencia 1 para el worker que crea facturas Verifactu, o un lock distribuido (Redis SETNX) sobre el módulo de facturación. La pérdida de throughput es ridícula — el módulo Verifactu de Holded procesa cientos de facturas por minuto en una sola conexión — y la garantía vale el coste.

#3 — Campos obligatorios que llegan vacíos del origen

Verifactu exige campos específicos: NIF del receptor (válido para B2B), forma de pago, tipo de IVA correcto. Shopify no siempre te da el NIF (Customer Tax ID es opcional). Stripe te da el email pero no el NIF de empresa salvo que actives Stripe Tax. Amazon Seller Central, para clientes finales, no proporciona NIF.

Si tu integración crea una factura sin NIF cuando es un B2B intracomunitario que sí lo requiere, técnicamente la factura es no conforme. La huella se calcula igual y la cadena no rompe técnicamente, pero ante una inspección la AEAT puede sancionarte por factura mal emitida, lo cual cae bajo el mismo art. 201 bis LGT.

Solución: validación de campos obligatorios en la integración antes de mandar a Holded. Si falta NIF en un pedido que requiere factura B2B, mejor encolarlo a una cola de revisión manual que crear una factura mal.

Qué auditar específicamente en cada plataforma

Shopify → Holded

• →Webhook orders/create con deduplicación por order_id + serie de Holded correcta (B2C / B2B intracomunitario / exportación).
• →Validación VIES del NIF intracomunitario antes de marcar la factura como exenta de IVA. Si el VIES dice "inválido" y la factura va con 0% IVA, te van a reclamar el IVA en una inspección.
• →Webhook refunds/create que dispara factura rectificativa Holded encadenada — no modificación de la original.
• →Multidivisa con contravalor EUR registrado al tipo de cambio del pedido.

Detalle técnico completo en /integraciones/holded-shopify.

Stripe → Holded

• →Decidir quién emite la factura formal: Stripe (con Stripe Tax) o Holded. Recomendación: Holded, porque Verifactu nativo.
• →Webhook charge.succeeded idempotente con charge_id como clave de deduplicación.
• →Reconciliación periódica: comparar transacciones Stripe del mes con facturas Holded del mismo periodo. Cualquier hueco se investiga.

Detalle técnico en /integraciones/holded-stripe.

Amazon Seller Central → Holded

• →Distinguir facturas Amazon (Amazon Tax / Amazon Business Invoices) de facturas propias. Solo las propias entran en tu cadena Verifactu.
• →Settlement reports descargados desde SP-API procesados con orden, no en paralelo.
• →Gestión de devoluciones FBA con factura rectificativa en Holded encadenada.

Más detalle en /integraciones/holded-amazon.

Caso real: marca DTC con 500 pedidos/mes Shopify

En un proyecto reciente para una marca DTC que vende moda en Shopify, el cliente tenía Holded conectado vía un plugin community. Al auditarlo, encontramos lo siguiente:

• ✕No había deduplicación por webhook_id. Habían tenido un fallo de red durante un Black Friday y Shopify había reintentado un webhook 4 veces. Resultado: 4 facturas Holded duplicadas para el mismo pedido, todas con huella distinta. La cadena Verifactu técnicamente seguía sin romperse — porque cada huella se encadenó con la anterior — pero contablemente había 4 facturas que no debían estar. La AEAT podría detectarlo en cruzando con Shopify Tax.
• ✕Concurrencia del worker = 5. Aleatoriamente el orden de facturación no coincidía con el orden de pedido. Cadena Verifactu inconsistente.
• ✕Validación VIES desactivada. 12 facturas a empresas portuguesas e italianas marcadas como exentas sin validar el NIF. Riesgo de reclamación de IVA.

Tras 5 días de auditoría + 2 semanas de reescritura de la integración (cola BullMQ con concurrencia 1 sobre el módulo Verifactu, dedupe por webhook_id, validación VIES obligatoria, reconciliación nocturna): cero duplicados desde hace 4 meses, cadena Verifactu auditable, asesoría tranquila.

Cuándo auditar tu setup (timing realista)

Las fechas vigentes tras el RD-ley 15/2025:

• →1 de enero de 2027 — sociedades (SL, SA, cooperativas) sujetas al IS deben emitir todas las facturas con software Verifactu compliant. Si tu ecommerce es S.L. y emites con Shopify integrado, hay que auditar AHORA para tener margen.
• →1 de julio de 2027 — autónomos (IRPF), entidades en atribución de rentas, no residentes con establecimiento permanente.

Si tu sociedad tiene ecommerce y la integración es vieja o community: empieza en H1 2026. Para autónomos vale dejarlo a Q3 2026 pero no más. Q4 2026 será cuello de botella en partners técnicos — todos van a llegar tarde.

Preguntas frecuentes