Blog

¿Solo son válidas las firmas electrónicas cualificadas? No, te explicamos el porqué

Con frecuencia tendemos a caer en el error de pensar que en España (¡incluso en el mundo!) las únicas firmas electrónicas válidas son las denominadas firmas cualificadas, anteriormente conocidas como firmas reconocidas. Pero no es así, hay firmas electrónicas alternativas legalmente validas y más usables. El problema está en reconocerlas y evaluar correctamente usabilidad y seguridad.

Qué dice la ley

Es probable que la grandilocuente terminología empleada por las anteriores leyes de firma (como la ya derogada Ley 59/2003) pudo llevar a algunos a pensar que el resto de firmas “no reconocidas” no gozaban de reconocimiento alguno. Lo cierto es que la más acertada terminología empleada por el actual Reglamento UE 910/2014 (más conocido como eIDAS), no ha venido a mejorar la percepción que algunos siguen teniendo sobre la validez de las firmas electrónicas.

En cualquier caso, y al margen de terminologías, desde la primera ley española de firma (el REAL DECRETO-LEY 14/1999, de 17 de septiembre, sobre firma electrónica) y la anterior directiva de firma (Directiva 1999/93/CE) pasando por la Ley 59/2003 y el actual Reglamento eIDAS siempre han contenido el mismo párrafo con mínimos matices de redacción:

No se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a una firma electrónica por el mero hecho de ser una firma electrónica o porque no cumpla los requisitos de la firma electrónica cualificada

Esto debería zanjar cualquier discusión sobre si una firma no cualificada es válida o no, ya que como he repetido en numerosas ocasiones, todas las firmas electrónica en principio son validas.

¿Por qué entonces las firmas no cualificadas generan tantas dudas?

Las firmas cualificadas están puestas por ley en el escalón más alto de seguridad jurídica y tienen unos requerimientos muy claros:

  • firma avanzada + certificado cualificado + dispositivo seguro de creación de firma = firma cualificada

El resto de firmas no cualificadas sin embargo navegan en el océano de las evidencias electrónicas, lo cual no tiene porqué ser necesariamente malo, es lo que ocurre en la mayoría de los mercados, donde es el cliente el que tiene que bucear entre las diferentes soluciones existentes y decidir cuál es la que satisface mejor y de forma más fiable sus necesidades.

Que exista un “océano de firmas no cualificadas” quiere decir que el cliente encontrará productos o servicios muy difíciles de defender en un juicio y por tanto de escaso valor jurídico. Pero también encontrará otros muy robustos jurídicamente porque se apoyen en un prestador de servicios de confianza y aporten una cantidad y calidad de evidencias sobre la autoría de la firma tal que pueden incluso llegar a ser más valiosas procesalmente que las propias firmas cualificadas.

¿Cómo podemos medir entonces la calidad o robustez de una firma electrónica?

La respuesta es simple: por la cantidad y calidad de evidencias electrónicas aportadas. Así, no es lo mismo que en el proceso de firma intervenga un tercero de confianza que no, garantizar al firmante que lo que ve es lo que firma que no hacerlo, usar claves de criptográficas de un solo uso que usar una única o ninguna, usar estándares técnicos que no hacerlo, usar sellos de tiempo que no usarlos, que las firmas sean perdurables y validables a lo largo del tiempo que no lo sean, que intervengan notarios como parte del proceso que no lo hagan, que sean combinables con firmas cualificadas o que no lo sean, etc.

La elección entre una solución u otra marcará la diferencia entre seguir nadando en la incertidumbre o agarrarse a una tabla de seguridad jurídica que ofrezca las garantías necesarias.

¿Por qué son necesarias las firmas no cualificadas?

Puede que alguien diga, y de hecho así ocurre en no pocos departamentos jurídicos, que sólo considera válidas las firmas cualificadas, pero como hemos visto, estaría faltando a la verdad ya que, al menos en Europa, las cualificadas no son las únicas válidas. Por lo que, sería más honesto decir: “no estoy dispuesto a analizar las garantías jurídicas que ofrece esta firma no cualificada”.

El caso es que sea por la razón que sea, negarse a usar firmas no cualificadas es, siendo realistas, condenarse a seguir usando el papel para firmar documentos en la mayoría de los supuestos prácticos y es que la firma cualificada, por mucho que nos pese, casi 20 años después de su primera regulación legal, sigue arrastrando problemas que la hacen difíciles de aplicar en muchos escenarios.

Veamos algunos ejemplos:

  • Un paciente se persona en el hospital para que le realicen una intervención: no dispone de certificado digital y dispositivo seguro para usar en ese momento. En el mejor de los casos tendrá un DNIe pero es muy probable que no conozca o no recuerde su clave, tenga los certificados caducados o no tenga un lector válido. Este caso es aplicable a cualquier tipo de trámite que se tenga que hacer presencialmente: administración pública, banca (en oficinas), distribución, laboral, etc.
  • Una aseguradora vende una póliza online. El cliente no puede (ni quiere) desplazarse a una oficina de la aseguradora ni dispone de certificado digital ni dispositivo seguro de creación de firma. Este caso aplica a cualquier tipo de trámite online que requiera concluir con la firma de un contrato o similar.

El nuevo Reglamento eIDAS ha dado un paso de gigante al permitir que las claves y certificados de firma se almacenen por el prestador en lugar de por el usuario. Esto resuelve no pocos problemas técnicos, especialmente los vinculados al dispositivo seguro de creación de firma, pero no resuelve el problema principal que hace que la firma cualificada no sea una herramienta ágil: para hacer firmas cualificadas hace falta un certificado cualificado y para obtener un certificado cualificado es necesario que el ciudadano se persone ante la autoridad de registro físicamente.

Esto es lo que se conoce como “proceso de enrollment” y lo que dificulta la espontaneidad que requiere internet. En un mundo ideal todos los ciudadanos tendrían un certificado digital custodiado por un tercero de confianza y accesible sólo por el firmante. Pero estamos muy lejos de eso y sinceramente dudo que vaya a ocurrir nunca ni que fuera la solución más óptima, por lo que no nos queda más remedio que buscar alternativas.

Veamos el caso práctico nuevamente:

  • Un futuro cliente realiza todo el proceso de compra en internet y llegado el caso necesita firmar un contrato, el sistema le pregunta 
    • “¿Tiene certificado?”
    • “No”
    • “¿Puede desplazarse a una Autoridad de certificación a solicitar uno y mañana seguimos?”
    • “No”
  • Fin de la operación.

¿Qué opciones de firmas no cualificadas existen?

El abanico es grande, pero se podría resumir en las siguientes opciones dependiendo de diversos factores:

  1. Firma avanzada basada en certificado cualificado. Si el problema es únicamente el dispositivo seguro (tarjeta criptográfica o HSM), pero no lo es el enrollment del usuario, se podría optar por el uso de certificado sin dispositivo seguro de creación de firma custodiados por el prestador. No se trata de de firma cualificada sino de firma avanzada basada en certificado cualificado, pero ofrece muchas garantías.
  1. Firma biométrica presencial. Si el trámite es presencial lo más óptimo es usar sistemas de firma biométrica que llevan al mundo digital la sencillez de uso y la habitualidad de la firma manuscrita tradicional. Para que la firma sea jurídicamente defendible hay que tener en cuenta muchos factores: recogida de datos biométricos (especialmente la presión de la firma), cifrado de la información biométrica, garantía de lo que se ve es lo que se firma, claves de firma de un solo uso, sellos de tiempo, firmas longevas, etc.

El principal inconveniente de este tipo de firmas y que lo hacen prácticamente usable sólo en entornos presenciales es que para que sea una firma peritable en juicio los datos de la firma deben ser de calidad y contar con información precisa como la presión que se ejerce al firmar lo cual lo limita a algunos dispositivos del mercado que normalmente no están a disposición del firmante en su propia casa.

  1. Firma biométrica remota. Cuando no podemos contar con el firmante presencialmente ni hacer un enrollment previo optaremos por sistemas que nos permitan recoger la evidencias suficientes para, llegado el momento demostrar que una persona concreta vio el documento a firmar y que fue él y sólo él el que prestó el consentimiento. Tradicionalmente se han empleado sistemas de envío de notificaciones a una dirección de email donde el firmante accede a través de un enlace a la página del prestador que le muestra el documento y recoge todas las evidencias (IP desde donde accede, dirección de email donde se recibe la notificación, …). El proceso suele concluir con un “click” del firmante aceptando la operación de firma.

Estos sistemas son muy sencillos de usar pero las evidencias que aporta, por si mismas, son difíciles de defender en juicio por la dificultad de demostrar que fue esa persona y no otra la que accedió al email y firmo en su nombre. La seguridad del sistema mejora bastante con el envío de un SMS al móvil del firmante a modo de “doble factor de autenticación” y en otros, como es el caso del servicio ViDSigner se completa jurídicamente el proceso de firma añadiendo además del email y el SMS la necesidad de que el firmante realice una firma manuscrita sobre su dispositivo. En este caso la firma biométrica realizada no es de tanta calidad como la que veíamos en el caso anterior ni valdría por si misma para defenderla en juicio, pero es la unión de evidencias: email+sms+firma manuscrita la que convierte a esta firma en una prueba robusta.

La importancia del prestador

Si por algo destaca el nuevo reglamento de firma eIDAS es por poner en valor la figura del prestador de servicios de confianza (cualificado o no). Si hablamos de formación de evidencias electrónicas, es evidente que el uso de servicios de terceros ajenos a la transacción aporta mucha más confianza (de ahí su nombre) a la transacción y a la evidencia.

El uso de servicios de terceros para la formalización de transacciones de relevancia jurídica no es nuevo, los notarios llevan asumiendo ese papel desde hace cientos de años como prestador de servicios de confianza. La función tanto de los notarios, de los fedatarios (tanto públicos como privados) y de los modernos prestadores de servicios de confianza electrónica es la misma: aportar seguridad jurídica, garantía de neutralidad y asunción de responsabilidad a las partes.

Dejando a un lado las ventajas técnicas que están llevando cada vez más a particulares y empresas a consumir servicios basados en el cloud en lugar de adquirir productos, desde el punto de vista jurídico en indudable que el uso de prestadores se está convirtiendo en un must.

Conclusiones

Los procesos y trámites cotidianos hacen que cada vez más se requieran soluciones de firma que permitan dar respuestas adecuadas a las necesidades de cada caso y en las que la firma cualificada por sus especiales características no siempre tiene un encaje fácil.

La normativa de firma electrónica permite usar otro tipo de firmas no cualificadas en estos procesos, pero hay que ser cauteloso y seleccionar las herramientas que sean capaces de compaginar de forma más eficiente los requerimientos de usabilidad y seguridad jurídica, teniendo en cuenta que las firmas que ahora se recaben deberán ser susceptibles de valoración en un juicio, al cual deberemos acudir con la mayor confianza.

En ViDSigner siempre hemos apostado por ofrecer a nuestros clientes soluciones usables, pero con la máxima robustez desde el punto de vista jurídico. De esta forma, entre nuestro abanico de posibilidades de firma hay diferentes opciones que se adaptan a las necesidades de cada transacción.

¿Qué diferencia hay entre las varias firmas electrónicas? Diferentes tipos de firmas electrónicas, rompiendo mitos

Leave a Reply