En los últimos tiempos están apareciendo multitud de sistemas de firma electrónicas diferentes.
Hasta hace unos años, cuando hablábamos de firma electrónica sólo nos venía a la cabeza el uso de certificados digitales. Estos podían ser o no cualificados (antes llamados reconocidos), en ocasiones junto con una tarjeta criptográfica, dando lugar a la denominada firma cualificada.
Pero la firma basada en certificados digitales no resuelve todas las necesidades de firma electrónica posible, por lo que en los últimos años han ido apareciendo sistemas de firma electrónica manuscrita (firma biométrica), firma electrónica remota basada en las evidencias del proceso o incluso sistemas de firma electrónica basada en certificados digitales con las claves de firma centralizadas en un HSM seguro.
En este post describiremos brevemente cada una de las firmas electrónicas, su encaje jurídico y su denominación correcta.
¿Firma electrónica o firma digital?
Últimamente hemos leído varios artículos distinguiendo uno y otro concepto en función de si la firma se basa en tecnología PKI (firma digital) o no (firma electrónica).
En realidad, el término firma digital no aparece en el ordenamiento jurídico europeo ni español (que únicamente habla de firma electrónica), mientras sí que hacen esta distinción otros ordenamientos como el de EEUU, que distingue entre e-signature y digital signature, o algunas legislaciones latinoamericanas, como la colombiana, que establece claramente esta distinción.
En mi opinión, la terminología es lo de menos, dependerá de la norma que estemos aplicando, pero si suele ser común establecer tres tipos de niveles de firma, que llamaremos electrónica por simplificar:
- Firma electrónica simple
- Firma electrónica avanzada
- Firma electrónica cualificada
Firma electrónica simple, avanzada o cualificada
Si nos fijamos en el Reglamento 910/2014 (eIDAS), se definen los tres tipos de firmas electrónicas como:
- Firma electrónica, “los datos en formato electrónico anejos a otros datos electrónicos o asociados de manera lógica con ellos que utiliza el firmante para firmar”. Vemos que en realidad el término “firma simple” tampoco existe, hablamos de esta para referirnos a un primer nivel básico de firma sin más atributos.
- Firma electrónica avanzada, “la firma electrónica que cumple los requisitos contemplados en el artículo 26”. Estos requisitos son: «a) estar vinculada al firmante de manera única; b) permitir la identificación del firmante; c) haber sido creada utilizando datos de creación de la firma electrónica que el firmante puede utilizar, con un alto nivel de confianza, bajo su control exclusivo, y d) estar vinculada con los datos firmados por la misma de modo tal que cualquier modificación ulterior de los mismos sea detectable». Evidentemente el legislador estaba pensando en la tecnología de clave pública (PKI) cuando definió la firma avanzada, pero el principio de neutralidad tecnológica impide limitarlo a esta.
- Firma electrónica cualificada, “una firma electrónica avanzada que se crea mediante un dispositivo cualificado de creación de firmas electrónicas y que se basa en un certificado cualificado de firma electrónica”. Es decir, la firma electrónica cualificada es aquella basada en clave pública que emplea, además, un dispositivo seguro de creación de firma y un certificado cualificado.
Para que una firma sea considerada cualificada deben darse varias circunstancias: usar un certificado emitido con unas características y unos requerimientos de identificación previa del firmante por una entidad auditada y habilitada para ello, emitir las claves en las que se basa el certificado en una tarjeta criptográfica o dispositivo equivalente de servidor utilizando un doble factor de autenticación, etc.
Por todo eso, la firma cualificada no es fácil de conseguir y tiene bastantes limitaciones en cuanto a la usabilidad, pero como contrapartida la ley le otorga las máximas garantías y la equivalencia funcional con la firma manuscrita.
Como comentábamos en otro post, la diferencia entre firma electrónica “avanzada” o “simple” tiene poco valor en la práctica.
En Europa, y salvo casos muy concretos como el de la Ley de Procedimiento Administrativo española (LPAC 39/2015) que otorga un valor especial a la firma avanzada con certificado cualificado (no cualificada), la diferencia entre firma avanzada o “simple” puede tener, si queremos, un cierto interés doctrinal, pero poco interés real, ya que la única firma a la que la ley le otorga unas ciertas presunciones, aun con sus limitaciones, es a la firma cualificada, cualquier otro tipo de firma requerirá que se demuestre su valor en juicio, por lo que lo importante no será tanto su consideración de firma “simple” o avanzada sino su capacidad probatoria.
Firma electrónica manuscrita o firma biométrica
La firma electrónica manuscrita recibe diferentes denominaciones: firma biométrica, grafométrica, digitalizada, … es aquella firma manuscrita tradicional, la de “puño y letra” pero que se materializa empleando medios digitales en lugar del papel, por eso a nosotros el término que más nos gusta es firma electrónica manuscrita o firma manuscrita electrónica.
Este tipo de firma requiere un análisis y tratamiento especial.
Debido a su característica principal, la de ser obtenida por medios digitales, no deja de ser una firma manuscrita, por lo que no necesita buscar una equivalencia funcional con la firma manuscrita, porque ya lo es.
De hecho, su modo de creación y de validación de autenticidad e integridad están mucho más cerca de la firma manuscrita en papel que de la firma electrónica, por lo que debería ser siempre admitida en aquellos procesos que requieran de una firma manuscrita en cualquier ordenamiento jurídico, salvo que por la razón que sea se especifique el uso del papel, lo cual no es nada frecuente.
Si es importante recordar que, así como la tecnología del boli y el papel tiene pocas derivadas y está consensuado su uso para garantizar la integridad del documento y su autenticidad, en su vertiente electrónica hay que tener en cuenta un gran número de factores que hacen que no todas las firmas biométricas sean iguales y por tanto no cuenten con las mismas garantías jurídicas.
Sistemas de centralización de claves
Tradicionalmente, los sistemas de firma electrónica basados en certificados digitales requerían que fuese el titular de los mismos el que custodiase las claves de firma “físicamente” manteniéndose bajo su control exclusivo.
Con la promulgación del Reglamento eIDAS y como no podía ser de otra forma, el uso de las claves sigue estando bajo el control de su titular, pero se introduce la importante novedad de permitir que el prestador de servicios de certificación que emite el certificado mantenga las claves bajo su custodia en un dispositivo seguro de creación de firmas centralizado.
La consideración de las firmas realizadas como avanzadas o cualificadas dependerá de diversos factores, siendo los más importantes que el certificado que se emite sea cualificado o no, que las claves hayan sido generadas y no puedan extraerse del propio dispositivo y de que el dispositivo de servidor que almacena las claves de los firmantes sea considerado un dispositivo seguro de creación de firma (certificado) y el acceso a las claves por parte del usuario requiera de un doble factor de autenticación.
La utilización de este tipo de servicios ha mejorado notablemente la usabilidad de la firma basada en certificados digitales respecto al sistema tradicional y es el mejor sistema para un gran número de casos, pero aún adolece de limitaciones importantes ya que suelen ser sistemas costosos y requieren de una identificación previa del usuario ante el prestador que emite el certificado, lo cual obliga a buscar una solución para satisfacer las necesidades de firma de usuarios “no enrolados”.
Firma electrónica remota o basada en evidencias
En ocasiones, nos encontramos ante determinadas situaciones en las que necesitamos obtener la firma de una persona de forma remota que no está presencialmente con nosotros, y esa persona no cuenta con un certificado digital ni con un dispositivo capaz de recoger los rasgos biométricos de su firma con suficientes garantías, por lo que se requiere un mecanismo de firma distinto a los anteriores.
La denominada firma remota o e-firma puede ser considerada firma “simple” o firma avanzada dependiendo de su configuración, pero nunca firma cualificada, ya que para poder recibir tal consideración requeriría del uso de un certificado cualificado y un dispositivo seguro de creación de firma, como hemos visto en el apartado anterior.
En este caso, el mayor o menor valor jurídico de una e-firma viene dado por la obtención de una serie de evidencias del proceso de firma por parte de un tercero ajeno a la transacción y que harán que, en caso de litigio, una firma sea atribuible a una persona. Las probabilidades de éxito en ese litigio dependerán fundamentalmente de la cantidad y calidad de las evidencias recogidas, que pueden incluir:
- Dirección de email del firmante
- Dirección IP desde la que se ejecutan las operaciones
- Nº de teléfono móvil donde se recibe el SMS con la clave de firma
- Clave de firma de un sólo uso (OTP)
- Firma manuscrita realizada sobre el dispositivo
- Geolocalización
- Navegador desde el que se realizó el proceso
- Certificado de un solo uso
- Sello de tiempo
- Firmas longevas
Estos sistemas son muy sencillos de usar, pero las evidencias que aporta, por si mismas y de forma individual, son difíciles de defender en juicio por la dificultad de demostrar que fue esa persona y no otra la que accedió al email y firmo en su nombre (por ejemplo).
La seguridad del sistema mejora bastante con el envío de un SMS al móvil del firmante a modo de “doble factor de autenticación” y en otros, como es el caso del servicio ViDSigner, se completa jurídicamente el proceso de firma añadiendo además del email y el SMS la necesidad de que el firmante realice una firma manuscrita sobre su dispositivo (tercer factor).
En este caso, la firma biométrica realizada no es de tanta calidad como la que veíamos en el caso anterior ni valdría por si misma para defenderla en juicio, pero es la unión de evidencias – email, SMS y firma manuscrita – la que convierte a esta firma en una prueba robusta.
Conclusiones
Como hemos repetido en numerosas ocasiones no existen unas firmas “más legales” que otras, ya que el artículo 25 del Reglamento eIDAS y la mayoría de las legislaciones mundiales dejan claro que «no se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a una firma electrónica por el mero hecho de ser una firma electrónica o porque no cumpla los requisitos de la firma electrónica cualificada».
Al margen de la firma cualificada centralizada o tradicional, que si establece una presunción probatoria (aunque no por ello la convierte en una prueba irrefutable) y que tiene unos casos de uso muy concretos, existen otros sistemas que pueden constituir una prueba tanto o más robusta como esta y que se ajustan a la perfección a cada caso de uso concreto.
En Validated ID, siempre hemos trabajado para dar cobertura a todas las necesidades de los clientes pero apostado por servicios de firma que aporten las máximas garantías jurídicas al proceso, de forma que contamos con un servicio de firma multicanal que permite, en función de las necesidades del cliente usar certificados digitales centralizados, firma biométrica, firma remota, sellos automáticos e incluso tarjetas NFC, todos ellos combinables y compatibles entre sí.
Si quieres saber más sobre los diferentes tipos de firmas electrónicas y las posibilidades de VidSigner, puedes pedir más información a través de nuestra página de contacto.