Derecho informático
FIRMA ELECTRÓNICA

Última actualización: 17 de Febrero de 2003

¿QUÉ ES LA FIRMA ELECTRÓNICA AVANZADA?

Desde Septiembre de 1999 es posible el uso de la Firma Electrónica en España en documentos electrónicos. Y ello es debido al Real Decreto-Ley 14/1999, de 17 de diciembre, sobre firma electrónica (RDLFE). Esta disposición normativa establece, de manera explícita, dos tipos de firma electrónica y, de manera implícita, un nuevo tipo de firma electrónica:

  • La firma electrónica.
  • La firma electrónica avanzada.
  • La firma electrónica avanzada con plenos efectos jurídicos.

A los dos primeros tipos de firma, según el artículo 3.2 del RDLFE, "no se le negarán efectos jurídicos ni será excluida como prueba en juicio, por el mero hecho de presentarse en forma electrónica".

El tercer tipo de firma, según el artículo 3.1 del RDLFE, tendrá "el mismo valor jurídico que la firma manuscrita (...) y será admisible como prueba en juicio" siempre que:

  • Esté basada en un certificado reconocido (Certificado Digital que cumple con los requisitos del artículo 8 del RDLFE).
  • Haya sido creada por un dispositivo seguro de creación de firma ("Programa o aparato informático que sirve para aplicar la clave privada de quien firma).

Hasta aquí hemos hablado de un concepto legal de firma electrónica y de sus diferentes tipos. Tecnológicamente hablando la firma electrónica está relacionada con la Infraestructura de Clave Pública (más conocida como Public Key Infraestructure o PKI), Este entorno se basa, básicamente en:

  • La clave pública y la clave privada de cada usuario: Éstas son dos claves únicas, generadas mediante algoritmos matemáticos y que sirven para:
    • Cifrar y descifrar archivos informáticos.
    • Firmar electrónicamente y verificar la firma de archivos informáticos
  • El certificado digital: Que es un archivo informático firmado electrónicamente por una Autoridad Certificadora (en términos legales, Prestador de Servicios de Certificación) y que está asociado a una determinada persona y a su clave pública.

Como hemos señalado, y dentro de la perspectiva tecnológica de la firma electrónica, ésta es un elemento fundamental de la PKI. En definitiva, con la clave pública y privada (recordemos que son claves únicas y que están asociadas entre ellas) se pueden cifrar y descifrar o firmar y verificar la firma (o ambas cosas) de archivos informáticos.

No entraremos en este punto en el cifrado, sino que haremos más hincapié en la firma electrónica. Por ello, desde un punto de vista tecnológico firmar electrónicamente será utilizar la clave privada para vincular un determinado archivo al poseedor de la clave privada (que sólo él controla). Mientras que verificar la firma electrónica será utilizar la clave pública (que puede ser conocida por cualquier persona) para comprobar que un determinado archivo informático fue firmado electrónicamente por una determinada persona.

Conocidas las diferentes acepciones de firma electrónica, desde su perspectiva legal y desde su perspectiva tecnológica, simplemente ahora hay que asociar estos conceptos. Para ello nos fijaremos en los diferentes tipos de firma electrónica, desde una perspectiva legal.

Firma electrónica, según el artículo 2.a RDLFE será "el conjunto de datos, en forma electrónica, anejos a otros datos electrónicos o asociados funcionalmente con ellos, utilizados para identificar formalmente al autor o los autores del documento que la recoge". Vamos a reflejar dos ejemplos que entrarían dentro de este concepto:

  • Pensemos en un Documento electrónico (por ejemplo un contrato) que al final del mismo señale "firmado por Luis García Pérez". Según la definición del artículo 2.a RDLFE nos encontraríamos ante un documento firmado electrónicamente, ya la mención "firmado por Luis García Pérez" es un conjunto de datos asociados a otros datos electrónicos (el resto del contrato) utilizada para identificar al autor, en este caso Luis García Pérez.
  • Ahora pensemos en un Documento electrónico (por ejemplo un contrato) en el que al final del mismo se le haya insertado una imagen en formato jpg que es una firma manuscrita digitalizada de Luis García Pérez. Al igual que el ejemplo anterior, nos encontramos con un contrato firmado electrónicamente, ya que el archivo jpg insertado en él (la firma manuscrita digitalizada de Luis García Pérez) es un conjunto de datos asociados a otros datos electrónicos (el contrato en formato electrónico) utilizada para identificar al autor, en este caso Luis García Pérez.

Según el artículo 3.2 RDLFE y cómo ya señalaramos anteriormente, a este tipo de firma electrónica no se le pueden negar efectos jurídicos y no podrá excluirse como prueba en juicio. No obstante, dada la facilidad de falsificar estas firmas, parece obvio que si fuera admitida en juicio como prueba, sería relativamente sencillo poder demostrar que pueden haber sido falsificadas con lo que los efectos jurídicos que le otorga el artículo 3.2 RDLFE en la práctica serían nulos.

En cambio, según el artículo 2. b RDLFE, firma electrónica avanzada será "la firma electrónica que permite la identificación del signatario y ha sido creada por medios que éste mantiene bajo su exclusivo control, de manera que está vinculada únicamente al mismo y a los datos a los que se refiere, lo que permite que sea detectable cualquier modificación ulterior de éstos". Como vemos, este concepto coincide con la definición tecnológica de firma electrónica ya que:

  • Identifica al signatario a través del certificado digital.
  • Está vinculada únicamente al mismo a través de la clave privada.
  • Permite detectar cualquier modificación del documento firmado ya que la tecnología PKI permite cumplir con este requisito.

Jurídicamente hablando, los efectos de la firma electrónica avanzada y de la firma electrónica son los mismos, lo que ocurre que en la práctica si se admite como prueba en juicio un documento con una firma electrónica avanzada (o basado en tecnología PKI), es prácticamente imposible probar que esa firma ha sido falsificada, con lo que los efectos prácticos son mayores.

Respecto al tercer tipo de firma, la firma electrónica avanzada con plenos efectos jurídicos, es una variante de la firma electrónica avanzada (basada en tecnología PKI), pero con un requisitos adicionales. Estos requisitos no son tecnológicos, sino jurídicos. Son los siguientes:

  • Estar basada en un certificado reconocido Según el artículo 8 RDLFE, Certificado Reconocido es aquel Certificado Digital que:
    • Indica en él mismo que es un Certificado reconocido.
    • Tiene un código identificativo único, es decir, un número de serie.
    • Indica determinados datos del prestador de servicios de certificación que lo ha emitido (artículo 8.1.c RDLFE).
    • Contiene la firma electrónica avanzada del prestador de servicios de certificación.
    • Identifica al signatario.
    • Contiene la clave pública del signatario.
    • Contiene el período de vigencia para el que es válido.
  • Haber sido creada por un dispositivo seguro de creación de firma ("Programa o aparato informático que sirve para aplicar la clave privada de quien firma). Según el artículo 19 RDLFE para que podamos hablar de un dispositivo seguro de creación de firma es necesario:
    • Que este sistema garantice que la clave privada pueda producirse una sola vez y que asegure su secreto.
    • Que exista una seguridad razonable para que la clave privada no pueda ser derivada de la clave pública o de la propia firma electrónica y que ésta no pueda falsificarse.
    • Que la clave privada pueda protegerse por el signatario.
    • Que el dispositivo utilizado no altere la clave privada o el documento que debe firmarse, ni impida al signatario que este documente se le muestre en todo momento.

Además de todo lo señalado, un prestador de servicios de certificación que expide certificados reconocidos tiene una serie de obligaciones legales que se encuentran recogidos en los artículos 7, 11 y 12 del RDLFE. De entre estos requisitos hay algunos que a día de hoy, son difíciles o imposibles de cumplir. Sirvan dos como ejemplo:

  • Solicitar la inscripción en el Registro de Prestadores de Servicios de Certificación (artículo 11. g RDLFE). Este existe, ya que ha sido creado legalmente (artículo 7 RDLFE), aunque no se encuentra operativo, es decir, no existe en la práctica
  • Garantizar su responsabilidad frente a los usuarios de sus servicios o frente a terceros con un afianzamiento mercantil prestado por una entidad de crédito o un seguro de caución por un importe de la menos 6.010.121,04. (artículo 12. g RDLFE). Este requisito no es posible de cumplir, ya que no hay ninguna entidad que avale a día de hoy esta cantidad de dinero a una entidad que sea prestador de servicios de certificación.

En resumen, la situación a día de hoy en España es que existe la firma electrónica y la firma electrónica avanzada. Lo que no existe, por cuestiones jurídicas, es la firma electrónica avanzada con plenos efectos jurídicos. De este hecho ya se ha dado cuenta el Ministerio de Ciencia y Tecnología y previsiblemente en el año 2003 se apruebe una nueva Ley de Firma Electrónica que esperemos, facilite el uso de la firma electrónica avanzada y le facilite los efectos jurídicos necesarios para su validez.

GONTZAL GALLO
Especialista Derecho Nuevas Tecnologías
 
Gratis Servicio de noticias
Suscribir Borrado
Sus Sugerencias son bienvenidas
Pincha Aquí
¡¡Lista de correo!!
Introduzca su correo:




www.delitosinformaticos.com . webmaster@delitosinformaticos.com . Delitosinformáticos

© Copyright 2000-2001 Delitosinformaticos.com -.