Blog

Diferents tipus de signatures electròniques, trencant mites

Darrerament estan apareixent multitud de sistemes de signatura electrònica.

Fins fa uns anys, quan parlàvem de signatura electrònica només ens venia al cap l’ús de certificats digitals. Aquests podien ser o no qualificats (abans anomenats reconeguts), a vegades juntament amb una targeta criptogràfica, donant lloc a l’anomenada signatura qualificada.

Però la signatura basada en certificats digitals no resol totes les necessitats de signatura electrònica possible, de manera que als últims anys han anat apareixent sistemes de signatura electrònica manuscrita (signatura biomètrica), signatura electrònica remota basada en les evidències del procés o fins i tot sistemes de signatura electrònica basada en certificats digitals amb les claus de signatura centralitzades en un HSM segur.

En aquest post descriurem breument cadascuna de les signatures electròniques, el seu encaix jurídic i la seva denominació correcta.

Signatura electrònica o signatura digital?

Darrerament hem llegit diversos articles distingint els conceptes en funció de si la signatura es basa en tecnologia PKI (signatura digital) o no (signatura electrònica).

En realitat, el terme signatura digital no apareix ni a l’ordre jurídic europeu ni a l’espanyol (que únicament parla de signatura electrònica), mentre sí que fan aquesta distinció altres ordres com el dels EUA, que distingeix entre e-signature i digital signature, o algunes legislacions llatinoamericanes, com la colombiana, que estableix clarament aquesta distinció.

Al meu entendre, la terminologia és el de menys, dependrà de la norma que estiguem aplicant, però si sol ser comú establir tres tipus de categories de signatura, que anomenarem electrònica per simplificar::

  • Signatura electrónica simple
  • Signatura  electrònica avançada
  • Signatura  electrònica qualificada

Signatura electrònica simple, avançada o qualificada

Si ens fixem en el Reglament 910/2014 (eIDAS), es defineixen els tres tipus de signatures electròniques com a:

  • Signatura electrònica, “les dades en format electrònic annexes a altres dades electròniques o associades de manera lògica amb elles que utilitza el signant per signar”. Veiem que en realitat el terme “signatura simple” tampoc existeix, parlem d’aquesta per referir-nos a un primer nivell bàsic de signatura sense més atributs..
  • Signatura electrònica avançada, “la signatura electrònica que compleix els requisits previstos en l’article 26”. Aquests requisits són: “a) estar vinculada al signant de manera única; b) permetre la identificació del signant; c) haver estat creada utilitzant dades de creació de signatura electrònica que el signant pot utilitzar, amb un alt nivell de confiança, sota el seu control exclusiu, i d) estar vinculada amb les dades signades per la mateixa de manera tal que qualsevol modificació ulterior dels mateixos sigui detectable “. Evidentment el legislador estava pensant en la tecnologia de clau pública (PKI) quan va definir la signatura avançada, però el principi de neutralitat tecnològica impedeix limitar-lo a aquesta.
  • Signatura electrònica qualificada, “una signatura electrònica avançada que es crea mitjançant un dispositiu qualificat de creació de signatures electròniques i que es basa en un certificat qualificat de signatura electrònica”. És a dir, la signatura electrònica qualificada és aquella basada en clau pública que empra, a més, un dispositiu segur de creació de signatura i un certificat qualificat.

Perquè una signatura sigui considerada qualificada s’han de donar diverses circumstàncies: fer servir un certificat emès amb unes característiques i uns requeriments d’identificació prèvia del signant per una entitat auditada i habilitada per a això, emetre les claus en què es basa el certificat en una targeta criptogràfica o dispositiu equivalent de servidor utilitzant un doble factor d’autenticació, etc.

Per tot això, la signatura qualificada no és fàcil d’aconseguir i té bastants limitacions pel que fa a la usabilitat, però com a contrapartida la llei li atorga les màximes garanties i l’equivalència funcional amb la signatura manuscrita.

Com comentàvem en un altre post, la diferència entre signatura electrònica “avançada” o “simple” té poc valor a la pràctica.

A Europa, i llevat de casos molt concrets com el de la Llei de procediment administratiu espanyola (LPAC 39/2015) que atorga un valor especial a la signatura avançada amb certificat qualificat (no qualificada), la diferència entre signatura avançada o “simple” pot tenir, si volem, un cert interès doctrinal, però poc interès real, ja que l’única firma a la qual la llei li atorga unes certes presumpcions, fins i tot amb les seves limitacions, és a la signatura qualificada. Qualsevol altre tipus de signatura requerirà que es demostri el seu valor en judici, de manera que l’important no serà tant la seva consideració de signatura “simple” o avançada sinó la seva capacitat probatòria.

Signatura electrònica manuscrita o signatura biomètrica

La signatura electrònica manuscrita rep diferentes denominacions: signatura biomètrica, grafométrica, digitalitzada, … és aquella signatura manuscrita tradicional, la de “pròpia mà” però que es materialitza emprant mitjans digitals en lloc del paper, per això a nosaltres el terme que més ens agrada és signatura electrònica manuscrita o signatura manuscrita electrònica.

Aquest tipus de signatura requereix una anàlisi i tractament especial.

Tot i la seva característica principal, la de ser obtinguda per mitjans digitals, no deixa de ser una signatura manuscrita, de manera que no necessita buscar una equivalència funcional amb la signatura manuscrita, perquè ja ho és.

De fet, la seva manera de creació i de validació d’autenticitat i integritat estan molt més a prop de la signatura manuscrita en paper que de la signatura electrònica, de manera que hauria de ser sempre admesa en aquells processos que requereixin d’una signatura manuscrita en qualsevol ordenament jurídic , llevat que per la raó que sigui s’especifiqui l’ús del paper, la qual cosa no és gens freqüent.

És important recordar que, així com la tecnologia del boli i el paper té poques derivades i està consensuat el seu ús per a garantir la integritat del document i la seva autenticitat, en la seva vessant electrònica cal tenir en compte un gran nombre de factors que fan que no totes les signatures biomètriques siguin iguals i per tant no comptin amb les mateixes garanties jurídiques.

Sistemes de centralització de claus

Tradicionalment, els sistemes de signatura electrònica basats en certificats digitals requerien que fos el titular dels mateixos el que custodiés les claus de signatura “físicament” mantenint-les sota el seu control exclusiu.

Amb la promulgació del Reglament eIDAS i com no podia ser d’una altra manera, l’ús de les claus segueix estant sota el control del seu titular, però s’introdueix la important novetat de permetre que el prestador de serveis de certificació que emet el certificat mantingui les claus sota la seva custòdia en un dispositiu segur de creació de signatures centralitzat.

La consideració de les firmes realitzades com avançades o qualificades dependrà de diversos factors, sent els més importants que el certificat que s’emet sigui qualificat o no, que les claus hagin estat generades i no puguin extreure del mateix dispositiu i que el dispositiu de servidor que emmagatzema les claus dels signants sigui considerat un dispositiu segur de creació de signatura (certificat) i l’accés a les claus per part de l’usuari requereixi d’un doble factor d’autenticació.

La utilització d’aquest tipus de serveis ha millorat notablemente la usabilitat de la signatura basada en certificats digitals respecte al sistema tradicional i és el millor sistema per a un gran nombre de casos, però  tot i així pateix de limitacions importants, ja que solen ser sistemes costosos i requereixen d’una identificació prèvia de l’usuari davant del prestador que emet el certificat, el que obliga a buscar una solució per satisfer les necessitats de signatura d’usuaris “no enrolats”.

Signatura electrònica remota o basada en evidències

De vegades, ens trobem davant determinades situacions en què necessitem obtenir la signatura d’una persona de manera remota, ja que no està presencialment amb nosaltres, i aquesta persona no compta amb un certificat digital ni amb un dispositiu capaç de recollir els trets biomètrics de la seva signatura amb suficients garanties, per la qual cosa es requereix un mecanisme de signatura diferent dels anteriors.

L’anomenada signatura remota o e-signatura pot ser considerada signatura “simple” o signatura avançada depenent de la seva configuració, però mai signatura qualificadaja que per poder rebre aquesta consideració requeriria l’ús d’un certificat qualificat i un dispositiu segur de creació de signatura , com hem vist en l’apartat anterior.

En aquest cas, el major o menor valor jurídic d’una e-signatura ve donat per l’obtenció d’una sèrie d’evidències del procés de signatura per part d’un tercer aliè a la transacció i que faran que, en cas de litigi, una signatura sigui atribuïble a una persona. Les probabilitats d’èxit en aquest litigi dependran fonamentalment de la quantitat i qualitat de les evidències recollides, que poden incloure:

  • Adreça de correu electrònic del signant
  • Adreça IP des de la qual s’executen les operacions
  • Nº de telèfon mòbil on es rep el SMS amb la clau de signatura
  • Clau de signatura d’un sol ús (OTP)
  • Signatura manuscrita realitzada sobre el dispositiu
  • Geolocalització
  • Navegador des del qual es va realitzar el procés
  • Certificat d’un sol ús
  • Segell de temps
  • Signatures longeves

Aquests sistemes són molt senzills d’utilitzar, però les evidències que aporta, per si mateixes i de forma individual, són difícils de defensar en judici per la dificultat de demostrar que va ser aquesta persona i no una altra la que va accedir al correu electrònic i va signar en el seu nom (per exemple).

La seguretat del sistema millora bastant amb l’enviament d’un SMS al mòbil del signant a manera de “doble factor d’autenticació” i en d’altres, com és el cas del servei ViDSigner, es completa jurídicament el procés de signatura afegint a més de l’email i el SMS la necessitat que el signant realitzi una signatura manuscrita sobre el dispositiu (tercer factor).

En aquest cas, la signatura biomètrica realitzada no és de tanta qualitat com la que vèiem en el cas anterior ni valdria per si mateixa per a defensar-la en judici, però és la unió d’evidències – email, SMS i signatura manuscrita – la que converteix aquesta signatura en una prova robusta.

Conclusions

Com hem repetit en nombroses ocasions no hi ha unes firmes “més legals” que altres, ja que l’article 25 del Reglament eIDAS i la majoria de les legislacions mundials deixen clar que “no es denegaran efectes jurídics ni admissibilitat com a prova en procediments judicials a una signatura electrònica pel sol fet de ser una signatura electrònica o perquè no compleixi els requisits de la signatura electrònica qualificada “.

Al marge de la signatura qualificada centralitzada o tradicional, que si estableix una presumpció probatòria (encara que no per això la converteix en una prova irrefutable) i que té uns casos d’ús molt concrets, hi ha altres sistemes que poden constituir una prova tant o més robusta com aquesta i que s’ajusten a la perfecció a cada cas d’ús concret.

A Validated ID, sempre hem treballat per donar cobertura a totes les necessitats dels clients però apostant per serveis de signatura que aportin les màximes garanties jurídiques al procés, de manera que disposem d’un servei de firma multicanal que permet, en funció de les necessitats del client usar certificats digitals centralitzas, signatura biomètrica, signatura remota, segells automàtics i fins i tot targetes NFC, tots ells combinables i compatibles entre si.

Si vols saber més sobre els diferents tipus de signatures electròniques i les possibilitats de ViDSigner, pots demanar més informació a través de la nostra pàgina de contacte.

Més informació

Leave a Reply