¿Qué es una firma electrónica?

En este artículo, queremos proporcionar una guía útil para el reconocimiento de los diferentes tipos de Firma Electrónica (firma electrónica, firma cualificada, firma electrónica cualificada o reconocida y firma avanzada), su eficacia y campos de aplicación.

 

LA FIRMA Y SUS APLICACIONES 

Por lo general, cuando se acepta un contrato o se valida un documento, se nos solicita firmar en papel. Esto se debe a las características únicas de nuestra firma personal, tales como su singularidad, naturaleza y capacidad de ser reconocida en caso de controversia. 

El término «firma» procede del latín «signare». 

El primer esfuerzo para unificar el sentido y significado de la Firma Electrónica en toda Europa se llevó a cabo a través de la Directiva 1999/93/CE, que estableció su marco jurídico.  

En esta directiva se establece de forma clara que una firma electrónica avanzada, basada en un certificado reconocido, cumple con los requisitos legales de una firma en relación con los datos en formato electrónico. Así como una firma manuscrita satisface dichos requisitos en relación con los datos en papel. 

Con la llegada del Reglamento UE 910/2014 del 23 de julio de 2014, comúnmente conocido como Reglamento eIDAS, se dio entonces un impulso decisivo a los fines ya presentes en la Directiva de 1999. Este Reglamento derogó la directiva de 1999. Hoy en día, eIDAS representa una referencia normativa para todo tipo de firmas electrónicas. 

Sin embargo, ante esto surgen preguntas como: ¿qué es una firma electrónica? ¿Cuáles son las diferencias con otros tipos de firma electrónica? ¿Dónde son aplicables? 

¿QUÉ ES LA FIRMA ELECTRÓNICA? 

Para explicarlo, tenemos que partir de la definición de Firma Electrónica que ya recogía la antigua directiva europea antes mencionada (1999/93/CE): son datos en forma electrónica que se adjuntan o asocian lógicamente a otros datos electrónicos y que sirven como método de autenticación. 

Como podéis imaginar, una Firma Electrónica creada bajo estas premisas es, por su propia naturaleza, débil y fácilmente falsificable. Sin embargo, este tipo de firma puede tener el mismo valor jurídico que una firma manuscrita si cumple con los requisitos específicos establecidos por la normativa aplicable. De hecho, según la Directiva mencionada, una firma electrónica no puede ser rechazada legalmente como prueba en un procedimiento judicial. Además, el Reglamento eIDAS (artículo 25) establece que una firma electrónica no puede ser negada a efectos jurídicos o admisibilidad como prueba en un procedimiento judicial solo por estar en formato electrónico o no cumplir los requisitos de las firmas electrónicas cualificadas. 

Es importante tener en cuenta que esto no significa que la firma tenga un valor jurídico inmediato, sino que deberá ser probada en caso de controversia. 

La Firma Electrónica es, por tanto, un término genérico, que puede incluir varios tipos de firmas electrónicas específicas y más sencillas. También representa el concepto de abstracción de otros tipos de Firma Electrónica más seguros que vamos a analizar. 

TIPOS DE FIRMAS ELECTRÓNICAS 

Existen diferentes tipos de firmas electrónicas: firma avanzada, firma cualificada y firma electrónica cualificada. 

  

FIRMA AVANZADA 

La firma avanzada también se introdujo por primera vez en la Directiva Europea mencionada. Esta debe cumplir con los siguientes requisitos: 

• Debe estar vinculada de forma única al firmante. 
• Debe ser capaz de identificar al firmante. 
• Debe crearse por medios sobre los que el firmante pueda preservar su control exclusivo 
• Debe estar vinculado al documento electrónico que debe autenticarse. Con ello se pretende garantizar que cualquier cambio posterior en dicho documento sea detectable. 

La clave para entender qué es una Firma Avanzada reside en la afirmación «está conectada de forma única con el firmante». 

La principal diferencia con una firma electrónica simple es, en primer lugar, la identificación de la persona firmante. Con la Firma Electrónica simple no es necesario crear un patrón de identificación del firmante, mientras que en la Firma Avanzada es un requisito indispensable. 

Cuanto más fuertes sean los mecanismos que vinculan la firma con el firmante, mayor será la posibilidad de demostrar la conexión única con el documento firmado. La integridad del contenido firmado es su característica clave, siendo esta Firma Avanzada la que garantiza que el documento firmado no ha sido modificado ni se ha cambiado la identidad del firmante. 

Para conseguir el requisito de «vinculación única con el firmante», en algunos casos concretos de Firma Avanzada se utilizan datos biométricos. En este caso, adSignature requiere la presencia física del firmante, ya que a veces también se requiere firmar en una herramienta específica (por ejemplo, una Tablet). En este ejemplo se recogen datos biométricos técnicos, que identifican al firmante, como la presión, velocidad, inclinación y posición del lápiz utilizado en el momento de la firma.  

 

FIRMA CUALIFICADA Y FIRMA ELECTRÓNICA CUALIFICADA 

Con una Firma Avanzada, si se cuestiona la validez de la firma, corresponde al firmante demostrar que es válida. En cambio, la seguridad adicional que proporciona una Firma Reconocida transfiere esta carga de la prueba a la parte que cuestiona la validez. 

El Reglamento eIDAS define este tipo de firma exactamente como Firma Electrónica Cualificada o Reconocida. Pero a veces los términos Firma Electrónica Cualificada y Firma Cualificada se utilizan indistintamente.  

Para realizar una Firma Electrónica Cualificada o Reconocida es necesario poseer un Certificado Digital Cualificado. La emisión de este certificado está sujeta a la verificación de la identidad del solicitante, por parte de un Proveedor de Servicios de Confianza Cualificado (QTSP). Normalmente, un Certificado Cualificado está sujeto a pago y tiene 3 años de validez. 

La emisión del certificado va acompañada de la entrega de códigos de seguridad (en algunos casos, incluso de un token USB o una tarjeta inteligente). Los códigos de seguridad son estrictamente personales, generalmente se producen utilizando medios que garantizan la confidencialidad (por ejemplo, sobres ciegos), y nunca deben compartirse con nadie. Esto se debe a que dan acceso a la clave de firma, y por tanto a la posibilidad de poder firmar cualquier documento de forma Cualificada, es decir, el máximo nivel de garantía existente. Una firma electrónica cualificada tendrá el efecto jurídico equivalente a una firma manuscrita (eIDAS Art. 25). 

Para realizar una firma electrónica cualificada o reconocida, los QTSP suelen proporcionar sistemas de aplicación de firma, a través de los cuales es posible analizar y leer el contenido de un documento dado (generalmente en formatos PDF y documentos de Word) y firmarlo utilizando los códigos de seguridad antes mencionados. La lista de QTSP europeos está publicada en la siguiente página web: https://eidas.ec.europa.eu/efda/tl-browser/#/screen/home  

 

 

CONCLUSIONES 

Como se ha observado, la eficacia de una Firma Electrónica depende de los mecanismos de seguridad intrínsecos que poseen los diferentes tipos de firmas. Aunque una Firma Electrónica carece de una base técnica sólida, esto no implica que deba negarse su efecto jurídico y admisibilidad como prueba en procedimientos judiciales. Por otro lado, una firma avanzada posee criterios más fuertes debido a la utilización de procedimientos de autenticación y datos biométricos incrustados (protegidos) en el documento, lo que permite demostrar que la firma está vinculada de manera única al firmante. En el caso de la firma electronica cualificada o reconocida, se garantiza la seguridad mediante estrictos requisitos de herramientas y procedimientos que deben ser cumplidos por todos los QTSP de eIDAS. 

Además, es importante destacar que todos los QTSP deben proveer una herramienta de verificación en línea, que permite determinar si una firma realizada con un Certificado Electrónico Cualificado cumple con los estándares y regulaciones establecidos por la Unión Europea. 

Es importante destacar que, aunque una firma electrónica pueda ser verificada y validada exitosamente, no necesariamente será aceptada en todos los casos. Esto se debe a que pueden existir restricciones aplicables al certificado digital del firmante, incluyendo restricciones en el contenido del documento (como transacciones monetarias fuera de rango) y en los destinatarios del mismo.  

Por tanto, es muy importante conocer el valor de una Firma Electrónica, su ámbito de aplicación y su importancia en relación con un riguroso proceso de verificación, que tenga en cuenta no solo el resultado de la herramienta de verificación específica disponible, sino también una evaluación subjetiva que el receptor deberá realizar para comprobar si la firma es adecuada para el contexto en el que se utiliza. Es fundamental que los usuarios entiendan las limitaciones y los riesgos asociados al uso de este tipo de firma, y tomen medidas para garantizar su seguridad y eficacia en todo momento. 

En Innovery, somos expertos en la seguridad digital de las corporaciones. Si quieres conocer más sobre cómo trabajamos con estas herramientas de seguridad defensiva, ¡no dudes en contactarnos!