Durante los últimos años, dada las crecientes necesidades en movilidad, en términos de poder operar desde cualquier dispositivo, la proliferación de soluciones que satisfagan las mismas ha crecido y con ello la legislación al respecto. La entrada en vigor de la UE 910/2014, ha acelerado aún más el proceso. Te contamos la situación actual de la firma móvil.
En lo que se refiere a firma móvil hay un amplio abanico. Desde una simple invocación a firma en servidor, pasando por la firma “inside” del dispositivo hasta llegar a la firma desde dispositivos seguros de creación de firma, tenemos para todos los gustos.
Los servicios de autenticación en movilidad evolucionan en función de los hábitos de los usuarios y de la tecnología. Con este post queremos analizar los distintos tipos de firma móvil existentes y cómo se ven afectadas por las nuevas normativas que han revolucionado el sector.
¿Qué tipos de firma móvil existen?
Antes de entrar a analizar la variedad de modelos existentes, comentar que consideramos la firma móvil como aquella firma electrónica que se realiza desde un dispositivo móvil.
Cada vez son más los usuarios que interactúan con los sistemas de información a través de sus smartphones y tablets, por lo que aparece la necesidad de la firma electrónica en este soporte.
La firma móvil permite la gestión de documentos desde cualquier tipo de dispositivos y en algunas de sus modalidades, tiene plena validez legal, cumpliendo los requisitos de la Ley de Firma electrónica. (Ley 59/2003) y del nuevo nuevo reglamento europeo eIDAS, que ha supuesto un cambio sustancial en el sector de la firma electrónica. Existen tres niveles de firma móvil:
Firma móvil simple:
Antes de nada, debemos aclarar que el término “firma simple” no está recogido como tal en la normativa, pero como término sí es aceptado en nuestro sector.
Es la firma que se inicia en el dispositivo móvil, pero que en la práctica no se realiza en él. Es decir, son aplicaciones que realizan una petición de firma a un servidor, donde previamente se ha instalado un Certificado Digital, y es ahí donde finalmente se realiza la firma.
Podríamos considerarlo como una emulación de firma móvil, ya que en ningún momento la firma se realiza en un dispositivo móvil.
En ningún momento se puede garantizar que el firmante mantenga bajo su exclusivo control los datos de creación de firma (su certificado) porque sencillamente, éste no está en el terminal, sino en un servidor remoto. Por este motivo se trata del modelo de firma más básico y el que ofrece una menor garantía de seguridad.
Firma móvil avanzada:
Es una firma electrónica realizada con Certificados Digitales instalados en el propio dispositivo móvil. La firma dentro del dispositivo, se realiza mediante aplicaciones nativas publicadas previamente en los respectivos Markets de cada SO: Google Play, App Store, Windows MarketPlace…
Firma Biométrica (Firma Digitalizada Avanzada)
Los avances tecnológicos han permitido incluir evidencias biométricas en las firmas electrónicas. Esto ha dado lugar a la Firma Biométrica, para la que hacen falta unas pantalla capacitivas, que aseguran que el número de puntos recogidos es lo suficientemente grande como para poder capturar los datos biométricos de la firma.
Estos datos son rasgos físicos propios de cada persona que, llegado el caso, pueden servir de evidencias en un juicio. Se trata de factores como la inclinación de la firma, la velocidad, la presión del trazado, etc.
Soluciones como Viafirma Documents permiten registrar evidencias biométricas en las firmas digitalizadas y biométricas desde los dispositivos móviles. Estas firmas están basadas en la captura de evidencias electrónicas como datos biométricos, fotografía o posición geolocalizada del firmante, entre otras.
Firma móvil cualificada:
Por último, y en el más alto nivel de maduración, nos encontramos con aquellas firmas electrónicas que se basan en un certificado cualificado y que cumple los siguientes requisitos:
- Cumplir con todo lo establecido para la firma avanzada.
- Que el certificado cualificado haya sido expedido por un proveedor de servicio de confianza.
- Que los datos de la firma correspondan con los datos aportados por el tercero de confianza.
- Que el conjunto de datos que representa la firma sea único y se aporten al tercero de confianza.
- Que haya sido creada por un aparato de creación de firma electrónica cualificada y que la integridad de sus datos no se pueda alterar.
La firma móvil cualificada ha contado con el respaldo del nuevo Reglamento Europeo eIDAS, al tratarse de una solución que tiene validez internacional entre los estados miembros de la Unión Europea. Además, se han establecido las normas para el uso de la nube como alojamiento de claves y firmas, lo cual aumenta considerablemente la usabilidad de las firmas.
Esta promoción de la firma cualificada por parte del eIDAS ha dado lugar a la consolidación de una firma única y universal. Esto es un paso adelante en la concepción de una Europa como un mercado único digital (DSM), del que hablaremos más adelante.
La promoción europea de la firma en la nube ha favorecido el desarrollo de soluciones que ofrece la posibilidad de realizar una firma en cloud, mejorando significativamente su usabilidad.
Para despejar las dudas, podemos añadir dos ejemplos que reflejen las diferencias entre la firma móvil avanzada y la cualificada. Si nos referimos a Certificados basados en software (p12) y gestionados en tu dispositivo, por ejemplo, desde tu iTunes, estamos hablando de Firma Móvil Avanzada.
Si nos referimos a Certificados alojados en la nube, y a su vez ésta es considerada como un Dispositivo Seguro de Creación de Firmas y hay un segundo factor de identificación, entonces estaríamos hablando de Firma Móvil Cualificada.
El marco jurídico de la firma móvil
En España, la Firma Electrónica está regulada con la Ley 59/2003 de Firma Electrónica, que define su eficacia jurídica y la prestación de servicios de certificación. Esta norma se ve afectada por la publicación de la Ley 25/2015, de 28 de julio, de mecanismo de segunda oportunidad, reducción de la carga financiera y otras medidas de orden social.
Esta Ley modifica algunos aspectos del texto anterior. El cambio más destacado es el referente a la firma en la nube. Esta norma ofrece un soporte jurídico sólido a la «firma en cloud», en la que la clave privada del firmante ya no se almacenará en su equipo, si no en un servidor de confianza.
Además de la regulación española, el sector se ve afectado por las normativas que llegan desde la Unión Europea:
Europa está apostando fuerte por la transformación digital de sus estados miembros. Dentro de este proceso de digitalización cobran un papel importante la ciberseguridad y las técnicas de autenticación. Por ello, los organismos europeos han publicado reglamentos que regulan y modifican la Firma Móvil.
La primera norma europea que regulaba los servicios de firma electrónica en la Unión Europea fue la Directiva 1999/93/CE, que reconocía la validez de determinados tipos de firmas electrónicas, considerándolas equivalentes a las manuscritas y siendo, por tanto, válidas en los tribunales.
Con esta norma surgieron problemas, y es que cada socio comunitario podía interpretarla a su manera. Esto provocaba una contradicción a la hora de reconocer la validez de las firmas entre los distintos estados de la Unión. Para subsanar estos inconvenientes se desarrolló el Reglamento Europeo 910/2014, en vigor desde el pasado 1 de Julio de 2016.
Este Reglamento, conocido como eIDAS, nace para dar consistencia a las regulaciones europeas referentes a firmas electrónicas, mejorando así la confianza. El objetivo de eIDAS es unificar los sistemas de firmas electrónicas entre los socios de la Unión para aumentar la eficacia de los servicios en línea, los negocios electrónicos y el comercio electrónico de la comunidad.
Esta normativa permite a Europa avanzar hacia un mercado digital único, Digital Single Market (DSM). En este mercado cobra gran protagonismo la firma digital, que favorece las relaciones burocráticas y comerciales entre los estados miembros.
Uno de los puntos del Reglamento eIDAS que más afecta a la firma móvil es el referente al uso de la firma en la nube. La nueva normativa fomenta y promueve la firma digital en cloud, mejorando la usabilidad de la misma.
El objetivo de este avance es dar un soporte jurídico sólido a la «firma en la nube», en la que la clave privada del firmante no residirá físicamente en su equipo, si no en un servidor de confianza.
Estas son las modalidades de firma móvil. Nosotros, como siempre, optamos por el equilibrio entre la legalidad y la usabilidad. Este será nuestro factor de éxito, y por ello, la Firma Móvil Avanzada es la modalidad más extendida entre nuestros casos de éxito.
Un claro ejemplo de ello es nuestro trabajo con la compañía de telecomunicaciones Tigo-UNE. Un caso de éxito que consistió en la implantación de la suite Viafirma Documents, con soporte para firma biométrica, para mejorar los servicios y agilizar los trámites de los locales de la empresa colombiana.
Las posibilidades que ofrece la firma cloud, gracias a las modificaciones legislativas y la entrada en vigor del eIDAS, permiten que empresas como Viafirma puedan ofrecer soluciones de autenticación y movilidad en la nube.
Las normativas mencionadas anteriormente y los avances técnicos están permitiendo la consolidación de una firma móvil accesible, eficaz y segura, que ofrece tres tipos de soluciones para cada gusto. Pues como dijimos al principio, para gustos, la firma móvil.