¿Es legal la firma electrónica?

La respuesta es sí. En el proceso de transformación digital, una de las primeras cuestiones que nos planteamos a la hora de valorar un cambio del sistema tradicional a uno digital para la firma electrónica de documentos y contratos por parte de nuestros clientes, proveedores o empleados es su validez legal.

¿Qué leyes la regulan?

Está totalmente respaldada por la legislación vigente en prácticamente todos los países del mundo. Existiendo en algunos casos una ley más estricta y en otros más permisiva.

Vamos a analizar el Reglamento eIDAS, la más exigente respecto a este tema, que actualmente es por el que se rigen los países miembros de la Unión Europea y el modelo jurídico de la mayoría de países en Latinoamérica.

Antes de nada, es importante tener en cuenta que la legislación define lo que se entiende por firma electrónica clasificándola por tipos pero no da ejemplos específicos de cuándo se debe usar uno u otro, sino que somos nosotros los que debemos interpretar cuando usar uno u otro método.

Una vez aclarado este punto vamos a ver su definición según el reglamento eIDAS:

«Los datos en formato electrónico anejos a otros datos electrónicos o asociados de manera lógica con ellos que utiliza el firmante para firmar.

¿Qué tipos de firmas existen?

El Artículo 3 del reglamento previamente mencionado se recogen 3 definiciones:

Firma electrónica: Datos en formato electrónico anejos a otros datos electrónicos o asociados de manera lógica con ellos que utiliza el firmante para firmar.

Firma electrónica avanzada: Aquella que cumple los requisitos contemplados en el artículo 26, esto es:

  1. Estar vinculada al firmante de manera única
  2. Permitir la identificación del firmante
  3. Haber sido creada utilizando datos de creación de la firma electrónica que el usuario puede utilizar, con un alto nivel de confianza, bajo su control exclusivo.
  4. Estar vinculada con los datos firmados por la misma de modo tal que cualquier modificación ulterior de los mismos sea detectable.

Firma electrónica cualificada: Se crea mediante un dispositivo cualificado de creación de firmas electrónicas y que se basa en un certificado cualificado.

Según el art. 25 »no se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a una firma electrónica por el mero hecho de serlo.»

Es decir, que cualquier documento firmado electrónicamente puede ser admitido como prueba en un juicio.

En este mismo artículo se recogen los siguientes puntos:

  • Una firma electrónica cualificada tendrá un efecto jurídico equivalente al de una firma manuscrita.
  • Una firma electrónica cualificada basada en un certificado cualificado emitido en un Estado miembro será reconocida en todos los demás Estados miembros.

Para alcanzar el grado de »cualificada» es imprescindible disponer de un certificado que haya sido emitido por un prestador de servicio cualificado reconocido públicamente por los estados de la UE y creado en un dispositivo »cualificado».

En la práctica, todo esto se traduce en que es complicado y poco práctico que nosotros mismos, nuestros clientes, proveedores o empleados dispongamos de los medios necesarios para llevar a cabo una firma electrónica cualificada. Hay escenarios donde es absolutamente necesario, pero en la mayoría de los casos podemos firmar de otra manera.

Por suerte, esta permite un alto grado de seguridad, ya que, a diferencia de la simple garantiza la identificación de la persona y la no alteración del documento una vez firmado.

Ejemplos de firma avanzada

A continuación veremos varios ejemplos en los que el mecanismo usado se puede considerar como válido:

Firma con certificado

El certificado digital es un mecanismo de identificación y firma, vinculado al firmante de manera única. Tanto el acceso a la petición de la firma, como el certificado están bajo control exclusivo de la persona.  Una vez firmado, cualquier modificación que se pudiera producir será fácilmente detectado.

Firma con certificado digital

Firma un documento online de manera legal y segura

Firma biométrica

Es aquella que recoge datos biométricos como velocidad, inclinación y presión. Para ello es imprescindible contar con dispositivos adecuados a este fin ya sean tablets con stylus de precisión y pads.

Gracias a la biometría, será la persona quien realice su rúbrica en un dispositivo preparado para ello, vinculada de manera única. Luego se firmará el documento con un certificado y sello de tiempo que garantice que no ha sido alterado posteriormente.

Nuestra herramienta Viafirma Documents dispone de diversas certificaciones que cataloga nuestra firma biométrica como avanzada.

  • Certificado de Firma Manuscrita Digitalizada Avanzada, por EADTrust, con número de certificado: FMDA-2018-013: http://www.cartulario.net/documento/FMA9XFCWOI12NUTKL28M
  • Informe grafístico forense – pericial caligráfica aplicada, por MARÍA ISABEL SALGADO RODRÍGUEZ experta en Pericia Caligráfica Documentoscopia y Psicografología por Instituto de Psicografología de Madrid (IPSIGRAP).

Firma biométrica

Firma un documento online de manera legal y segura

Firma con OTP enviado al móvil

Utilizar código de uso temporal enviado al móvil es muy frecuente muchos sectores digitales como la banca online. Se conoce como código OTP (One Time Password).

El sistema utiliza el resumen hash de cada página del documento para, posteriormente, obtener una clave aleatoria. El sistema almacena el shortcode que va a enviar al dispositivo móvil del usuario, y las posiciones de los hashes que ha utilizado (que son aleatorias). Por ello, se puede realizar una vinculación entre el contenido del documento y el OTP calculado y con posterioridad realizar una validación del documento firmado. Resulta estadísticamente imposible que dos documentos distintos den el mismo número con las mismas posiciones de cálculo de hash.

El documento será refirmado con un certificado y sello de tiempo permitiendo comprobar cualquier modificación posterior del mismo.

Todos estos ejemplos se pueden considerar firma electrónica avanzada.

Sin embargo, cuando la rúbrica se haya hecho con el dedo o el ratón, o bien que el código temporal haya sido recibido por email, estaremos hablando de firma electrónica «simple», ya que con los datos recogidos en el proceso no es posible vincular la identidad del firmante

Esto es importante señalarlo porque existen en el mercado múltiples soluciones “simples”, con una clara diferencia legal y de seguridad difícilmente distinguibles por el usuario. En todos los casos veremos unos sellos o firma gráficas incluidos en el documento, pero la diferencia está, como hemos visto, en los datos que se recogen durante el proceso.

Firma con OTP SMS

Firma un documento online de manera legal y segura