Firma biométrica es cualquier firma de un documento electrónico en el que la identidad del firmante queda asociada al mismo mediante la captura de sus datos biométricos, que pueden ser de muchos tipos: iris, locución, huella, etc.
Hay un tipo específico de firma biométrica en el que los datos que se asocian son los que se producen al firmar físicamente en un dispositivo que pueda recoger aspectos de la firma -trazo, presión, velocidad- que, agrupados, la convierten en única. Son aquellas firmas manuscritas electrónicas que realizamos en tabletas gráficas. Hay una gran variedad de escenarios de usos, ejemplo de los más comunes pueden ser pagos con tarjeta de débito o crédito (muy típico en grandes superficies comerciales), recepción de envíos postales y de paquetería, firmas de contratos de alquiler de coches, etc.
Como es el uso más generalizado, se acepta habitualmente identificar la firma biométrica como la que recoge la biometría de la firma manuscrita electrónica.
Este tipo de firmas se recogen normalmente tabletas específicas de fabricantes como Topaz, Wacom, Symbol, etc., o incluso tablets con pantallas capacitivas (táctiles) como los iPads o algunos modelos Android.
Conceptos claves sobre firma digitalizada
La firma digitalizada es la versión más básica y primitiva de firma digital. Se trata de la típica firma en documento en papel que luego se escanea y se recoge en un documento digital (jpg, pdf, etc.). Es muy fácil de falsificar. Aunque su nivel de seguridad es muy bajo, aún se usa en muchos procesos de negocio.
Aspectos legales de la firma digitalizada con captura biométrica
Si el proceso de digitalización es un simple escaneo de la firma manuscrita del usuario en papel y su posterior inserción en el documento, o bien se escanea completamente un documento firmado en papel, se trata de una firma digitalizada, muy fácilmente falsificable. Es el nivel más bajo de seguridad. Algunos marcos jurídicos, como el europeo, no la consideran ni siquiera firma electrónica.
Si la operación se realiza en una tableta gráfica o la pantalla táctil como la de un dispositivo móvil, pero sólo se captura el trazo (la habitual firma con el dedo al recoger un paquete, por ejemplo), estamos hablando de una firma electrónica simple, recogida ejemplo en el reglamento eIDAS europeo como firma legal, pero con débil capacidad probatoria.
Pero si la firma se realiza en una tableta gráfica capturando y almacenando más de un dato biométrico (trazo, velocidad, presión), se garantiza entonces seguridad suficiente y se considera una firma electrónica avanzada si tiene las siguientes características:
- Identificación del firmante.
- Vinculación de manera única al firmante y a los datos firmados.
- Capacidad de detección de cualquier cambio posterior a la firma.
- Garantía de que sólo el firmante puede generar dicha firma.
En definitiva, la firma biométrica de Viafirma es una firma electrónica avanzada que permite asegurar que:
- Es el firmante el que ha realizado la firma,
- Que el documento que se firmó no se ha visto modificado (o si ha habido modificaciones, cuáles son y dónde están),
- En qué momento se realizó la firma (o siendo más estrictos, que en un momento dado en el tiempo existía ya esa firma),
- Y que esa firma no puede ser reutilizada en documentos posteriores.
Generación de la firma biométrica en Viafirma
Nuestra solución aprovecha las capacidades criptográficas de la plataforma para realizar las operaciones necesarias para cumplir con estos requisitos:
- Se capturan una serie de datos biométricos de la firma (presiones, velocidad de trazos, etc.) de forma que un perito calígrafo podría analizar si los datos almacenados son coherentes con la firma manuscrita del usuario.
- Esos datos NUNCA están en posesión del prestador del servicio (dueño de la aplicación) ni del fabricante del software (viafirma), ya que son datos sensibles que permitirían la falsificación posterior de las firmas. Para ello, los dispositivos Topaz y Wacom realizan la encriptación local en el aparato (sólo descifrable con un software que se entrega bajo requerimiento judicial). En los dispositivos de tipo tablet iPad, Android, etc., nuestra aplicación Viafirma realiza la encriptación de los datos biométricos gracias a una clave de un tercero de confianza, de forma que no podemos acceder a los mismos.
- Se capturan otra serie de datos, relacionados con el documento que el usuario está firmando, el dispositivo de firma, etc.
- Se realiza una firma electrónica de toda esta información, con el sellado de tiempo de un Prestador de Servicios de Certificación.
- Los resultados cifrados, encriptados y firmados se adjuntan al documento firmado (en el cual se estampa la firma escaneada). Es decir, el resultado es un PDF que contiene la firma escaneada, relacionada con un fichero validable y descifrable que contiene toda la información contenida, y que está incluido dentro del propio fichero PDF. De esta forma, el PDF es el único fichero necesario en todo el proceso.
- Disponemos de una aplicación que se encarga de validar todos los resultados generados, y que, con la participación del tercero de confianza, permite la recuperación de los datos biométricos de la firma y su entrega a un perito, dentro del marco de una actuación judicial ante un posible repudio de una firma biométrica. Esta aplicación puede llegar incluso a detectar posibles alteraciones en el futuro de un documento firmado, y mostrando los cambios realizados, consiguiendo con ello garantizar los requisitos asociados a una firma electrónica avanzada.
Por supuesto, en Viafirma, también cabe la posibilidad de usar una firma electrónica simple, para procesos de escasas necesidades de seguridad.