El concepto de firma digital fue introducido por primera vez por Diffie y Hellman, en el año 1976, aunque se está popularizando ahora, con el boom de la digitalización en las empresas. Esta herramienta ha ido evolucionando con el pasar de los años, ofreciendo cada vez más seguridad a los firmantes y siendo aceptadas por todo tipo de organismos, a nivel nacional e internacional.
La legislación que está detrás de esta solución tecnológica puede resultar un poco compleja. Para ahondar en sus raíces, lo que le da la capacidad de seguridad jurídica y fiabilidad, hemos hablado con Cátia Reis, experta en Regulación Digital del equipo de NewLaw de PwC Tax & Legal.
MuyPymes: ¿Qué tiene que cumplir la firma digital para que sea legalmente reconocida?
Cátia Reis: Cuando hablamos de firma digital, es importante tener en cuenta las siguientes normas: el Reglamento (UE) 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (“Reglamento eIDAS”); y la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza (“LSEC”).
El Reglamento eIDAS establece un marco jurídico para las firmas electrónicas, los sellos electrónicos, los sellos de tiempo electrónicos, los documentos electrónicos, los servicios de entrega electrónica certificada y los servicios de certificados para la autenticación de sitios web.
El Reglamento eIDAS introduce tres tipos de firma digital: la firma electrónica simple, la firma electrónica avanzada y firma electrónica cualificada. Si bien todas son válidas, con el objetivo de generar un clima de confianza en el entorno en línea que garantice el desarrollo económico y social, el Reglamento eIDAS reconoce a la firma electrónica cualificada una validez jurídica equivalente a la de la firma manuscrita. Esta es la que se crea mediante un dispositivo cualificado de creación de firmas electrónicas y que se basa en un certificado cualificado de firma electrónica.
Para que una firma electrónica adquiera la calificación de cualificada debe reunir todos los requisitos siguientes:
- Estar vinculada al firmante de manera única.
- Permitir la identificación del firmante.
- Haber sido creada utilizando datos de creación de la firma electrónica que el firmante puede utilizar, con un alto nivel de confianza, bajo su control exclusivo.
- Estar vinculada con los datos firmados por la misma de modo tal que cualquier modificación ulterior de los mismos sea detectable.
- Ser creada mediante un dispositivo cualificado de creación de firmas electrónicas y que se basa en un certificado cualificado de firma electrónica.
La firma electrónica cualificada cuenta, gracias a las normas antes citadas y particularmente a la Ley 6/2020, con una presunción iuris tantum de validez, lo que de por sí supera la mentada equivalencia con la firma manuscrita.
MuyPymes: ¿Es fácil de falsificar la firma digital? ¿Cómo se demuestra una falsificación? ¿Cuáles son las penas?
Cátia Reis: Las firmas electrónicas sirven, entre otras cosas, para identificar a la persona firmante. Por este motivo, hay terceros malintencionados que usan firmas electrónicas falsas aparentando ser otras personas. Este hecho se da, por ejemplo, en ataques de phishing a través de los que, un tercero, simula ser quien no es añadiendo datos identificativos falsos a un correo electrónico, por medio del cual, trata de obtener las credenciales o contraseñas de los usuarios impactados.
Es técnicamente sencillo crear firmas electrónicas simples y avanzadas que solo aparentan ser reales. Sin embargo, es prácticamente imposible hacer esto mismo con firmas cualificadas, que aportan una garantía reforzada a todas las operaciones en las que se utilicen.
Como vemos, para contestar a esta pregunta es necesario tener en cuenta los diferentes tipos de firmas digitales introducidas por el Reglamento eIDAS, ya que la facilidad de crear firmas para suplantar a otras personas depende de varios factores.
Se puede considerar que la firma electrónica simple, por su naturaleza, es menos segura. Al fin y al cabo, esta firma es únicamente un conjunto de datos en formato electrónico anejos a otros datos electrónicos o asociados de manera lógica con ellos que utiliza el firmante para firmar, sin que ninguna autoridad certifique la identidad del sujeto y sin que tenga que ser generada a partir de ningún tipo de certificado.
Cualquier persona la puede simular en procesos electrónicos o, en su caso, copiar y pegar desde su ordenador. Esta firma digital simple corresponde al simple escaneo de una firma manuscrita, a los datos identificativos consignados al final de un email o al uso de un código enviado a través de SMS. Cualquier persona con acceso a esta información puede fácilmente crear una firma digital simple simulando ser otra persona, generando las correspondientes consecuencias.
La firma electrónica avanzada, si bien es prácticamente imposible de duplicar, aún así es posible crear otra diferente que, igualmente, simule ser la de la persona a quien el tercero con malas intenciones desea suplantar.
Las firmas avanzadas pueden ser fácilmente creadas por uno mismo en su propio ordenador con tan solo unos clics. De hecho, es tan sencillo que cualquier persona puede crear una firma avanzada en segundos incluyendo en ella los datos de otro sujeto al que desea impersonar. Bastará, entonces, con que esta persona firme con la firma recién creada simulando ser ese otro sujeto para que se complete el proceso de falsificación de firma.
Sin embargo, ya se comentó al inicio, la firma electrónica cualificada ofrece garantías de las que las anteriores carecen. En la práctica, no es posible duplicarla y tampoco es viable crear otra que genere una simulación suficiente de ser la de otra persona. Así pues, la elevada dificultad que supone hacerse con el control real de una firma electrónica cualificada ajena garantiza un nivel de seguridad superior a los otros tipos de firma digital.
MuyPymes: A nivel de empresa, ¿supone más ventajas que riesgos?
Cátia Reis: El uso de firma digital, en especial de la firma electrónica cualificada, aporta una seguridad jurídica a la empresa en todas las fases de su negocio.
La firma digital, en particular la cualificada, permite firmar contratos, acuerdos y facturas, así como los documentos necesarios para realizar trámites con la Administración Pública. Su uso, por parte de la empresa, permite consultar, recibir y gestionar las notificaciones que le envían la Administración de una forma rápida, centralizada y segura. Además, las personas que conocen el funcionamiento de las firmas electrónicas cualificadas pueden comprobar su validez en segundos y obtener, de esta forma, una mayor seguridad jurídica en sus operaciones
Algunas de las principales ventajas de usar firma electrónica son:
- Inmediatez operativa, ya que elimina los problemas de la distancia
- Mejora ecológica, al suprimir el papel y disminuir la huella de carbono
- Impulsa la eficiencia, al poder automatizar determinadas fases
- Ahorro económico, debido a que suprime parte de la operativa analógica
- Previene la suplantación de identidad, gracias a la extraordinaria dificultad técnica para la falsificación de firmas electrónicas cualificadas
- Acelera trámites, al poder verificar en tiempo real la identidad y los poderes de la persona que firma en representación de una entidad
- Garantiza la integridad de los contenidos firmados
- Mejora la responsabilidad proactiva al generar pruebas documentales
- Aporta seguridad jurídica, gracias a la garantía de integridad sobre los contenidos, la autenticación de origen y el no repudio.
Desde el punto de vista de las empresas, el uso de la firma digital permite mejorar y hacer más eficientes los procesos, generar importantes ahorros, agilizar grandes operaciones y, en especial, aportar siempre la necesaria seguridad jurídica.
MuyPymes: La identidad digital de una pyme, ¿cuáles son los documentos digitales más reconocidos o más imprescindibles hoy en día?
Cátia Reis: Hoy en día, cualquier documento digital gestionado en formato electrónico por una PYME es esencial para el negocio, por lo que asegurar su seguridad jurídica es vital. Esto incluye, por ejemplo, a todas las conversaciones precontractuales a través de email y chat, precontratos y contratos, garantías, facturas y facturas simplificadas, libros de contabilidad, certificados de cumplimiento normativo, informes internos y para clientes, expedientes electrónicos, etc.
MuyPymes: ¿La firma digital es única y vale para todo tipo de documentos, como ocurre con la física?
Cátia Reis: La firma digital, en cualquiera de sus modalidades (simple, avanzada y cualificada) es una solución de identificación que permite a una persona consignar en un documento electrónico sus datos en representación de sí misma o de una entidad y aportar el consentimiento sobre un determinado acto o la certificación de que un contenido está firmado o refrendado por la persona firmante.
De los tres tipos de firma electrónica (simple, avanzada y cualificada), la firma cualificada es la que ofrece la máxima garantía, hasta el punto de que el artículo 326 de la Ley de Enjuiciamiento Civil española establece la presunción de que esta firma, ante una impugnación en sede judicial, reúne la característica cuestionada, haciendo que el que impugnara cargue con la realización de la comprobación correspondiente y, de ser negativa, asuma el pago de las costas, los gastos y los derechos originados por la comprobación.
La firma cualificada, además, permite insertar en ella el motivo, datos de geolocalización y otros campos tales como los valores de política y compromisos de origen, entrega, aprobación, recepción, remitente o creación, entre otros.
No obstante y estando a las circunstancias de cada caso, las demás también son válidas. Por ejemplo, la aceptación de un banner de cookies, que se realiza con firma simple, es jurídicamente válida, de la misma forma que también es válida la firma avanzada con la que un nodo usuario ordena la ejecución de un smart contract de envío de criptomonedas en una concreta cadena de bloques. Cada firma es válida según sus circunstancias, sin perjuicio de que a la cualificada se le haya dado, de por sí y para todos los casos, una validez equivalente a la de la firma manuscrita.
MuyPymes: ¿En qué consiste el «sello del tiempo»?
Cátia Reis: Las transacciones que se realizan desde un ordenador suelen llevar aparejadas la hora del propio ordenador, que es fácilmente manipulable. Por este motivo, se decidió crear un “sello de tiempo” cuyo contenido sea certificado por un tercero.
Bajo el Reglamento elDAS, existen distintos servicios de confianza que hacen que las transacciones electrónicas de negocios sean más seguras y sirven a diferentes propósitos. Es el caso de la firma electrónica (eSignature), del sello electrónico (eSeal), de los Certificados Cualificados de Autenticación de Sitios Web (QWACs), del Servicio de Entrega Electrónica Certificada (eDelivery) y del Sello de Tiempo electrónico (eTimestamp). Este último vincula un documento electrónico, como puede ser una orden de compra, con una hora específica, proporcionando la evidencia de que el documento existía en aquel momento.
Las autoridades de sellado de tiempo certificadas, o TSA, ofrecen sellos de tiempo que pueden ser incluidos en los documentos electrónicos para certificar la hora en la que se sellaron, ofreciendo de esta forma una mayor seguridad jurídica sobre cada una de las operaciones.