FiscalAPI
Carta Manifiesto SAT: qué es y cómo firmarla

Carta Manifiesto SAT: qué es y cómo firmarla

26 de abril de 2026

Si tu PAC te empezó a pedir una "Carta Manifiesto" y nunca habías oído el término, no es un trámite nuevo que se inventaron de la nada. Es un requisito que se desprende de las reglas 2.7.2.5 y 2.7.2.7 de la Resolución Miscelánea Fiscal para 2026, y aplica a cualquier contribuyente que timbre CFDI a través de un proveedor autorizado de certificación. Ningún PAC puede certificar tus comprobantes sin esa carta. Punto.

Este post explica qué autorizas al firmarla, quién está obligado a hacerlo, y cómo Fiscalapi resuelve el envío masivo de la Carta Manifiesto cuando tienes uno, diez o cinco mil RFC emisores en tu plataforma.

Qué es la Carta Manifiesto

La Carta Manifiesto es un documento mediante el cual un contribuyente autoriza a su PAC a certificar y entregar al SAT los CFDI que se emitan a su nombre a través de una plataforma de facturación. Se firma con la FIEL del contribuyente y queda como constancia de que el emisor conoce y consiente el esquema de operación de su proveedor de certificación.

El documento no inhabilita ni invalida los CFDI ya emitidos. La autorización aplica únicamente para los comprobantes que se timbren de ahí en adelante, y se guarda como parte del expediente que cada PAC mantiene bajo la supervisión del SAT.

La carta no sustituye al contrato comercial con el PAC. Son dos cosas distintas: el contrato regula la relación comercial; la Carta Manifiesto satisface un requisito normativo que el SAT impone a los PAC y a sus emisores.

Qué autorizas al firmar la Carta Manifiesto

Al firmarla, el emisor del CFDI acepta tres cosas concretas:

  1. Que su PAC certifique los CFDI generados a través de la plataforma. Esto incluye validar el XML, asignar el folio fiscal (UUID) y sellar el comprobante con el certificado del SAT.
  2. Que el PAC entregue al SAT copia de los CFDI certificados, conforme a la normativa vigente. El PAC ya hace esto por obligación; la carta documenta el conocimiento del emisor.
  3. Que reconoce el cumplimiento de un requisito formal incluido en el esquema de operación y supervisión que el SAT aplica a todos los PAC.

Nada de esto cambia la mecánica del timbrado ni cómo emites tus facturas. Lo que cambia es que ahora tienes una constancia firmada que tu PAC puede mostrar al SAT cuando lo audite, y eso es lo que permite que la operación de certificación siga funcionando sin contratiempos.

Por qué te lo piden ahora

La Resolución Miscelánea Fiscal 2026 dejó vigentes las reglas que sustentan este requisito, así que los PAC empezaron a recolectar firmas de manera generalizada para mantener su operación alineada con la normativa. No es exclusivo de Fiscalapi. Si emites CFDI con cualquier otro proveedor, te van a pedir lo mismo.

Hoy no existe una fecha límite oficial publicada. Pero esperar a que el SAT establezca un plazo formal y entonces correr a juntar firmas es la peor estrategia posible, sobre todo si eres un integrador con cientos de RFC emisores. Mejor cerrar el tema antes de que se vuelva urgente.

Si un RFC emisor no firma su Carta Manifiesto y posteriormente el SAT formaliza un plazo, su PAC podría suspender la certificación de sus CFDI hasta tener la constancia firmada. Para un negocio que factura todos los días, eso significa parar la operación.

Quién debe firmar la Carta Manifiesto

La regla es simple: cada RFC emisor firma su propia Carta Manifiesto. No se firma a nivel "cliente Fiscalapi" ni a nivel grupo corporativo. Se firma a nivel RFC, con la FIEL del titular de ese RFC.

En la práctica esto produce dos escenarios:

Empresas con uno o pocos RFC

Si usas Fiscalapi para emitir CFDI a nombre de tus propios RFC (uno o varios), cada uno de esos RFC tiene que firmar la carta. Una empresa con tres razones sociales y operación nacional firma tres cartas, una por cada RFC.

Integradores (POS, ERP, plataformas)

Si integraste Fiscalapi para emitir CFDI a nombre de tus clientes, cada uno de tus clientes (cada RFC emisor) tiene que firmar su propia carta. Tú no puedes firmar por ellos. La firma exige la FIEL del titular del RFC.

Para integradores con catálogos grandes esto es donde aparece el verdadero problema. Si tienes 300 clientes activos, necesitas 300 firmas. Pedirlas una por una por correo manual es inviable.

Cómo firmar la Carta Manifiesto en Fiscalapi

Fiscalapi expone tres flujos de UI más un endpoint de API. Los tres flujos de UI convergen en el mismo destino: un portal público en https://fiscalapi.com/manifests/<tenantId> donde el firmante sube su FIEL y firma digitalmente. La diferencia entre los flujos está en cómo se distribuye el enlace.

Flujo 1: Envío masivo por correo

Desde Perfil, el botón FIRMAR (icono de correo) dispara un correo a todas las personas registradas en tu tenant. Es la opción correcta cuando estás haciendo la recolección inicial.

Diálogo de confirmación para enviar la Carta Manifiesto por correo a todos los clientes desde el perfil del tenant en Fiscalapi
Botón FIRMAR de envío masivo en la página de Perfil. El diálogo confirma el envío a todos los clientes del tenant.

El backend itera sobre cada persona del catálogo y manda un correo individual con el enlace al portal de firma. El destinatario abre el correo, hace clic, llega al portal, sube su FIEL y firma. Después de firmar, el sistema marca esa persona como "firmada" en el catálogo.

Antes de disparar el envío masivo, revisa el catálogo de Personas y verifica que los correos estén actualizados. Un envío masivo a una lista con correos viejos genera bounces, soporte innecesario y la sensación equivocada de que el sistema no funciona.

Flujo 2: Envío individual por correo

Desde Catálogos > Personas, el (icono de correo) en la fila de cada persona dispara un único correo al email registrado para ese cliente. El diálogo de confirmación muestra explícitamente la dirección destino antes de enviar, así que no hay forma de mandar la carta al cliente equivocado por accidente.

Acción para enviar la Carta Manifiesto a una persona específica desde el catálogo de Personas en Fiscalapi
Envío individual desde el Catálogo de Personas. El diálogo confirma el correo destino antes de enviar.

Este flujo es para casos puntuales: alta de un cliente nuevo, reenvío a alguien que no completó la firma a la primera, o un subconjunto del catálogo que necesita la solicitud sin notificar al resto.

Flujo 3: Generación manual del enlace

El segundo botón FIRMAR en Perfil, identificado con un icono de link, no envía correos. Genera y copia al portapapeles el enlace público del portal de firma, válido para tu tenant (organización).

Botón FIRMAR de generación manual del enlace en el Perfil de Fiscalapi mostrando la notificación de enlace copiado al portapapeles
Botón FIRMAR con icono de link en Perfil. Al hacer clic copia el enlace al portapapeles y confirma con la notificación.

Lo usas cuando el correo electrónico no es el canal indicado. WhatsApp, Slack, mensaje directo, embebido en tu propio portal, o cuando un cliente te pide el enlace en vivo durante una llamada. Es el flujo más flexible y también el que menos trazabilidad ofrece, porque no sabes a qué correo llegó ni cuándo se abrió.

Flujo 4: Firma vía API

Si necesitas automatizar la firma sin sacar al cliente final de tu propia aplicación (ERP, POS, SaaS, o cualquier otro white-label), Fiscalapi expone un endpoint POST /api/v4/manifests que recibe el .cer y .key en Base64 más la contraseña, y devuelve el PDF firmado en Base64 listo para almacenar.

Es el camino correcto cuando el firmante nunca debería abandonar tu aplicación, o cuando ya tienes un flujo propio de captura de FIEL para otros trámites. La integración del endpoint y estructura del request están detallados en la documentación de Fiscalapi.

Destino común: el portal público de firma

Los tres flujos de UI llevan al firmante al mismo portal en https://fiscalapi.com/manifests/<tenantId>. Ahí el contribuyente lee el texto de Autorización y Manifestación de Conocimiento dirigido al PAC, sube su FIEL, firma y descarga el PDF firmado.

Portal público de firma de la Carta Manifiesto en Fiscalapi con formulario de carga de FIEL y texto de autorización al PAC
Portal público de firma. El procesamiento de los certificados ocurre del lado del servidor sin persistirlos.

El portal no es accesible por URL aleatoria. Siempre requiere el tenantId en la ruta, lo que garantiza que cada firma quede vinculada al tenant correcto en el modelo multi-tenant. Si compartes el enlace fuera de los flujos por correo (Flujo 3), asegúrate de mandarlo al cliente correcto: el tenantId define a qué dealer se asocia la firma.

Qué flujo conviene en cada caso

La diferencia principal es trazabilidad contra control del canal. Los flujos 1 y 2 dejan registro del correo enviado y a quién. El flujo 3 te da control total del canal de distribución a costa de esa trazabilidad. El flujo 4 te integra el proceso completo dentro de tu aplicación.

FlujoPunto de entradaAlcanceTrazabilidadEscenario típico
Masivo por correoPerfil > FIRMAR (icono de correo)Todas las personas del tenantAltaOnboarding global, recolección masiva
Individual por correoCatálogo Personas > (icono de correo)Una persona seleccionadaAltaAlta puntual, reenvío selectivo
Enlace manualPerfil > FIRMAR (eslabón)Lo decide el dealerBajaWhatsApp, llamada, canal externo
APIPOST /api/v4/manifestsUna firma por requestTotalERP, portal propio, white-label

Usa FIEL, no CSD

Este punto se confunde con frecuencia y por eso lo separo en su propia sección. La Carta Manifiesto se firma exclusivamente con la FIEL (e.firma) del titular del RFC. No sirve el CSD (Certificado de Sello Digital), aunque venga del mismo SAT y use los mismos archivos .cer y .key.

La razón es técnica: la FIEL identifica a la persona física o moral ante el SAT y tiene los flags criptográficos de no repudio que dan validez a una firma de manifestación de voluntad. El CSD solo está autorizado para sellar CFDI antes del timbrado, y su Key Usage no incluye los bits que un documento como esta carta requiere. Si subes el CSD al portal, el sistema lo va a rechazar.

Si confundes los archivos y subes el CSD pensando que es la FIEL, el portal te va a regresar un error de validación. Antes de iniciar la firma confirma cuál tienes en la mano. La forma rápida de distinguirlos está documentada en cómo identificar una FIEL y un CSD.

En la práctica, el archivo de la FIEL viene nombrado como Clave privada_FIEL_<RFC>.key y el .cer como <RFC>.cer. El CSD trae el prefijo CSD_ en ambos archivos. Pero los nombres son renombrables, así que el criterio confiable es el campo Key Usage del certificado, no el nombre del archivo.

Qué pasa con tu FIEL y tus certificados

Esta es la pregunta razonable que se hace cualquier contador antes de firmar: si subo mis archivos de FIEL a un sitio web, ¿qué pasa con ellos después?

En Fiscalapi:

  • Los archivos .cer y .key se procesan en memoria del lado del servidor para generar la firma del PDF de la Carta Manifiesto.
  • Los certificados no se almacenan. Una vez generado el documento firmado, los archivos se descartan.
  • La contraseña de la FIEL tampoco se guarda. Solo se usa para descifrar la clave privada en el momento de la firma.
  • El PDF resultante se entrega al firmante para descarga inmediata.

El portal lo dice explícitamente con la leyenda "Tus certificados no se almacenarán" sobre el formulario de carga. La FIEL sigue siendo tuya y tu responsabilidad cuidarla. Si quieres profundizar en cómo proteger estos archivos en general, ya escribimos sobre qué es la FIEL y cómo manejarla.

Carácter obligatorio

Lo digo claro porque es lo que importa: la Carta Manifiesto no es opcional. Forma parte de los requisitos normativos vigentes para los PAC y, por extensión, para sus emisores. Sin la carta firmada, tu PAC eventualmente no podrá certificar tus CFDI.

Hoy no hay una fecha límite oficial publicada por el SAT. Pero contar con la carta firmada es lo que permite que tu operación de timbrado siga funcionando sin sorpresas el día que esa fecha aparezca en el Diario Oficial. Si eres integrador con un catálogo grande de clientes, ese día va a llegar antes de lo que crees, y vas a agradecer haber empezado a juntar firmas con tiempo.

Si ya tienes cuenta en Fiscalapi, entra a tu Perfil y dispara el envío masivo. Si todavía no integras, la documentación del endpoint de manifiestos tiene los detalles para automatizar el proceso desde tu aplicación.