¿Es legal usar la firma electrónica?

En el proceso de transformación digital, una de las primeras cuestiones que nos planteamos a la hora de valorar un cambio del sistema tradicional a un sistema electrónico para la firma de documentos y contratos por parte de nuestros clientes, proveedores, empleados, etc., es la legalidad de este tipo de firmas.

La respuesta corta y rotunda es SÍ: la firma electrónica está totalmente respaldada por la legislación vigente en prácticamente todos los países del mundo. Existiendo en algunos casos una ley más estricta y en otros más permisiva.

Vamos a analizar el reglamento eIDAS, la ley más exigente  respecto a la firma electrónica, que actualmente es por el que se rigen los países miembros de la Unión Europea y modelo jurídico de muchos otros países.

Antes de nada, es importante tener en cuenta que la legislación define lo que se entiende por firma electrónica y hace una clasificación por tipos, pero no da ejemplos específicos de cuándo se debe usar un tipo de firma u otra, si no que somos nosotros los que debemos interpretarla y aplicar el tipo de firma que consideremos más adecuado.

Una vez aclarado este punto vamos a ver la definición de firma electrónica según el reglamento eIDAS:

«Firma electrónica»: los datos en formato electrónico anejos a otros datos electrónicos o asociados de manera lógica con ellos que utiliza el firmante para firmar.

Por ejemplo, en el caso de un contrato o documento en pdf que haya sido firmado electrónicamente, la firma se consideraría a los datos adjuntos al propio pdf que se generan en el proceso de firma y que contienen la información de la misma.

¿Es legal usar la firma electrónica?

Dependiendo de las condiciones que cumpla la firma electrónica se pueden distinguir entre:

  • Firma electrónica
  • Firma electrónica avanzada
  • Firma electrónica cualificada

Según el art. 25 no se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a una firma electrónica por el mero hecho de ser una firma electrónica o porque no cumpla los requisitos de la firma electrónica cualificada.

Es decir, que cualquier documento firmado electrónicamente puede ser admitido como prueba en un juicio.

En este mismo artículo se recogen los siguientes puntos:

  • Una firma electrónica cualificada tendrá un efecto jurídico equivalente al de una firma manuscrita.
  • Una firma electrónica cualificada basada en un certificado cualificado emitido en un Estado miembro será reconocida como una firma electrónica cualificada en todos los demás Estados miembros.

¿Qué diferencias hay por tanto entre la firma electrónica, la firma electrónica avanzada y la firma electrónica cualificada?

Atendiendo a la legislación, las diferencias radican en los requisitos que se le exigen a cada una:

Firma electrónica: Datos en formato electrónico anejos a otros datos electrónicos o asociados de manera lógica con ellos que utiliza el firmante para firmar.

Firma electrónica avanzada: La firma electrónica que cumple los requisitos contemplados en el artículo 26, esto es:

  1. Estar vinculada al firmante de manera única
  2. Permitir la identificación del firmante
  3. Haber sido creada utilizando datos de creación de la firma electrónica que el firmante puede utilizar, con un alto nivel de confianza, bajo su control exclusivo.
  4. Estar vinculada con los datos firmados por la misma de modo tal que cualquier modificación ulterior de los mismos sea detectable.

Firma electrónica cualificada: Una firma electrónica avanzada que se crea mediante un dispositivo cualificado de creación de firmas electrónicas y que se basa en un certificado cualificado de firma electrónica.

Con estas definiciones podremos llegar a las siguientes conclusiones:

Para alcanzar el grado de firma electrónica cualificada es imprescindible disponer de un certificado, pero no nos vale cualquier certificado ni tampoco que este certificado esté en cualquier “lugar”.

El certificado con el que firmemos debe ser cualificado, es decir que haya sido emitido por un prestador de servicios cualificados, se consideraran así aquellos reconocidos públicamente por los estados de la UE. En el caso de España, los que aparezcan en esta lista.

Además, este certificado cualificado se debe haber creado en un dispositivo cualificado, es decir, que no nos vale con tener un certificado cualificado y descargarnoslo en nuestro equipo por ejemplo, sino que el certificado cualificado ha debido ser creado directamente en un dispositivo cualificado, como pueda ser una tarjeta criptográfica o un servidor seguro (HSM), siempre y cuando estén certificados como “cualificados”

En la práctica todo esto se traduce en que es complicado y poco práctico que nosotros mismos, nuestros clientes, proveedores o empleados dispongamos de los medios necesarios para llevar a cabo una firma electrónica cualificada. Hay escenarios donde este tipo de firma es absolutamente necesario, pero en la mayoría de los casos podemos acudir a otra modalidad: la firma electrónica avanzada.

Por suerte, la firma electrónica avanzada permite un alto grado de seguridad, ya que, a diferencia de la firma electrónica “simple” garantiza la identificación de la persona y la no alteración del documento una vez firmado, pero no son necesarias las exigencias que requiere la firma electrónica cualificada.

¿Qué se requiere entonces para alcanzar un nivel de firma electrónica avanzada?

Como ya comentamos al inicio, la legislación define y enumera los requisitos de este tipo de firmas, por tanto se podrá conseguir por diferentes vías siempre y cuando se cumplan estos.

Veamos varios ejemplos en los que el mecanismo usado se puede considerar firma electrónica avanzada:

Firma con certificado

El certificado digital es un mecanismo de identificación y firma, que está vinculado al firmante de manera única.  Permite la identificación, es condición indispensable para obtener un certificado verificar nuestra identidad previamente. Tanto el acceso a la petición de la firma, como el certificado están bajo control exclusivo de la persona firmante.  Cualquier modificación que se pudiera producir tras la firma de un documento usando este mecanismo será fácilmente detectada.

Firma biométrica

Se considera firma biométrica aquella que recoge datos biométricos como velocidad, inclinación, presión,… Para la captura de estos datos es imprescindible contar con los dispositivos adecuados a este fin como pueden ser tablets con stylus y pads de firma.

Nuestra rúbrica nos vincula de manera única. Gracias a los datos biométricos, será exclusivamente el firmante el que realice la rúbrica en un dispositivo preparado para ello. Una vez recogida la firma biométrica, se firmará el documento con un certificado y sello de tiempo que garantice que no ha sido alterado posteriormente y en caso de que así fuera, se pueda detectar.

Nuestra herramienta Viafirma Documents dispone de diversas certificaciones que considera nuestra firma biométrica como firma electrónica avanzada.

  • Certificado de Firma Manuscrita Digitalizada Avanzada, por EADTrust, con número de certificado: FMDA-2018-013: http://www.cartulario.net/documento/FMA9XFCWOI12NUTKL28M
  • Informe grafístico forense – pericial caligráfica aplicada, por MARÍA ISABEL SALGADO RODRÍGUEZ experta en Pericia Caligráfica Documentoscopia y Psicografología por Instituto de Psicografología de Madrid (IPSIGRAP).

Firma mediante código de uso temporal enviado al móvil

La firma mediante código de uso temporal enviado al móvil está muy extendida en muchos sectores digitales como la banca online. Se conoce como código OTP (One Time Password). Tiene las siguientes características:

  • Está vinculada al firmante de manera única. El firmante posee un teléfono móvil con un número de teléfono.
  • Permite identificar al firmante. El número de teléfono es personal y pertenece, exclusivamente, al firmante.
    En muchos países desde hace muchos años no se puede obtener un número de teléfono móvil sin que exista un proceso de verificación de la identidad del usuario del mismo similar al de la emisión de un certificado digital. Por ejemplo, en España la emisión de una SIM móvil requiere esta identificación por parte de la operadora, así como la firma de un contrato. Por ello, una línea móvil está necesariamente vinculada a una persona física o jurídica.
  • La firma debe haber sido creada utilizando medios de creación de la firma que el firmante pueda utilizar con alto nivel de confianza y bajo su control exclusivo. Tanto el acceso a la petición de firma (enviado al email del firmante o a su propio teléfono móvil), como el código temporal SMS (enviado al teléfono móvil del firmante), están bajo el control exclusivo de la persona firmante.
    Durante el proceso de firma OTP SMS, se vincula por tanto la operación de firma con el firmante a través de ese número de teléfono móvil.
  • Está vinculada con los datos firmados de forma que cualquier alteración posterior pueda ser detectada. 

El código OTP no es esencialmente aleatorio. El sistema utiliza el resumen hash de cada página del documento para, posteriormente, obtener un código aleatorio basado en esos hashes. El sistema almacena el código que va a enviar al dispositivo móvil del usuario, y las posiciones de los hashes que ha utilizado (que son aleatorias). Por ello, se puede realizar una vinculación entre el contenido del documento y el OTP calculado, y con posterioridad, realizar una validación del documento firmado. Resulta estadísticamente imposible que dos documentos distintos den el mismo código OTP con las mismas posiciones de cálculo de hash. De esta forma, con la firma OTP SMS se puede vincular el contenido de lo firmado a la operación de firma.

El documento firmado mediante OTP SMS será posteriormente firmado con un certificado y sello de tiempo permitiendo comprobar cualquier modificación posterior del mismo.

Todos estos ejemplos se pueden considerar firma electrónica avanzada.

Sin embargo en el caso, por ejemplo, de que el documento se haya firmado con una rúbrica hecha con el dedo o con el ratón, o bien que el código temporal para la firma haya sido recibido en un email, estaremos hablando de firma electrónica «simple» ya que con los datos recogidos en el proceso de firma no se puede vincular la identidad del firmante a la firma. (No se pueden obtener datos biométricos en el primer caso, en el segundo caso, para una cuenta de email no es necesario pasar ningún proceso de identificación).

Esto es importante señalarlo porque existen en el mercado múltiples soluciones de firma “simple”, con una clara diferencia legal y de seguridad y que no son fácilmente distinguibles por el usuario. Realmente en el documento no se va a apreciar visualmente la diferencia entre un tipo de firma y otro. En todos los casos veremos unos sellos o firma gráficas incluidos en el documento, pero la diferencia está, como hemos visto, en los datos que se recogen durante el proceso de firma y que quedan vinculados al mismo. Sobre esos datos, evidencias y firmas en documento firmado, hablaremos próximamente.