Firma electrónica


Información adicional para empresas y usuarios de la firma electrónica


Estás informaciones (revisadas por nosotros) han sido amablemente facilitadas por StepOver y traducidas del alemán por Mondo Services.

Traductora dentro del programa de traductores voluntarios: Laura Virgil

 

Trasfondo

 

La Directiva europea para firmas electrónicas (Directiva para firmas 1999/93/EG / EG, en adelante, Directiva europea) define tres formas de firma electrónica:

  1. La firma electrónica (simple)
  2. La firma electrónica avanzada
  3. La firma electrónica avanzada, basada en un certificado cualificado (y expedida mediante un dispositivo de generador de firmas seguro); en adelante, firma electrónica cualificada o por sus siglas en inglés QES.

Dado que la firma electrónica cualificada requiere de la persona firmante que se le haya asignado, por medio de una tercera parte fiable (por ejemplo, un proveedor de servicios de certificación), una clave de firma (como una clave privada o private key), este tipo de firma electrónica no es apropiada para la implementación en puestos de ventanilla ni en otros tipos de negocio de contacto directo, cara a cara con el cliente, ya que, normalmente, el firmante no dispone de dicho certificado cualificado. A esto se añade el problema de que el uso de la QES invierte la carga de la prueba (es decir, deja de aplicarse la presunción de inocencia), lo cual supone generalmente un perjuicio para el usuario. Por ello, la firma electrónica escrita, al no requerir ningún certificado cualificado, se ha impuesto en muchos sectores del mercado.

 

La firma electrónica escrita se basa en los rasgos biométricos que se manifiestan al capturar de la firma manuscrita como rasgo identificativo del firmante. Cada firmante puede utilizar este rasgo sin necesidad de poseer nada (como una tarjeta electrónica inteligente), de registrarse ni de afrontar costes adicionales o perjuicio legal alguno. No obstante, este rasgo no representa una clave criptográfica asimétrica por lo que no puede distribuirse como certificado cualificado. Por tanto, las firmas electrónicas escritas solo pueden ser, de acuerdo con la Directiva Europea, o bien firmas simples o avanzadas.

 

Aunque, en un principio, la formulación de la Directiva Europea relativa a firmas electrónicas avanzadas pueda parecer tecnológicamente neutral, en las definiciones (Artículo 2) se pone de manifiesto que la única forma factible de aplicar la firma electrónica avanzada es mediante algoritmos de cifrado asimétricos encriptados.  Esto resulta de las siguientes explicaciones:

 

Artículo 2 nº 3: “Firmante” es aquella persona que posee un dispositivo de creación de firmas…

 

Artículo 2 nº 5: “Dispositivo de creación de firmas” es un software o hardware configurado que se usa para la implementación de los datos de creación de firmas…

 

Artículo 2 nº 4: “Datos de creación de firmas” son datos únicos, como códigos o claves criptográficas privadas, que el firmante usa para crear una firma electrónica...
En la práctica, siguiendo el Artículo 2 nº 4 de la Directiva, de todo ello resulta que, para crear una firma electrónica avanzada, deben usarse “datos únicos”. Aunque aquí el uso de una clave privada (Private Key) se ha mencionado exclusivamente como ejemplo, la unicidad excluye el uso de claves simétricas, puesto que, en ese caso, se usa una clave idéntica tanto para la creación como para la verificación de la firma.  Por tanto, ya no se daría la unicidad de la clave.
Los datos biométricos aportados por un rasgo biométrico dinámico (activo), como la firma manuscrita, no son nunca idénticos (son por lo tanto únicos). Sin embargo, no ofrecen la posibilidad de crear una segunda llave que pueda hacer las veces de clave de verificación única. Con todo, sí es necesaria esa segunda llave, tal y como se explica en el Artículo 2 nº 7, que define la segunda llave independiente para la comprobación como sigue:

 

Artículo 2 nº 7 “Datos de verificación de firma” son datos, tales como códigos o claves criptográficas públicas, que se usan para la comprobación de la firma electrónica…

 

El hecho de que el firmante deba tener un dispositivo de creación de firmas (según el Artículo 2 nº 3) no significa que tenga necesariamente que ser al mismo tiempo su propietario. Desde el punto de vista jurídico, una cesión temporal también puede ser considerada como posesión. De esta forma, un sistema de firmas (aparato, ordenador, etc.), que tiene una clave privada única y que ha sido cedido a una persona para que realice la firma electrónica, cumple con el requisito de que el dispositivo de creación de firmas con los datos de creación de firmas únicos se encuentren en posesión del firmante en el momento de la firma.  En el caso de sistemas como éstos, que, dado el caso, se ceden a distintas personas para firmar y que, por tanto, están sujetos a propietarios cambiantes, no tiene ningún sentido vincular la verdadera identidad del firmante a los datos de creación de firmas, es decir, a la clave privada (Private Key). Lo cual tampoco es requerido para la aplicación de la firma avanzada. Únicamente en el caso de la firma electrónica cualificada, descrita anteriormente, se requiere la asociación de la clave privada a la identidad del firmante.  También es perfectamente posible la utilización de un rasgo de identificación biométrico (como por ejemplo, la firma manuscrita) para una firma electrónica avanzada, siempre y cuando se usen datos de creación de firmas únicos (como una clave privada o Private Key única) en el dispositivo de creación de firmas (aparato, software, etc.).