¿Qué nivel de firma electrónica se puede conseguir con un dispositivo móvil?

La firma electrónica en dispositivos móviles a través de los servicios de Viafirma puede ser de tipo avanzada o cualificada, dependiendo del nivel de seguridad requerido. A continuación, explicaremos ambos casos, así como la firma electrónica en dispositivos móviles con certificado cualificado, no cualificado o sin certificado.

Firma electrónica avanzada o cualificada

La firma electrónica en un dispositivo móvil con los servicios de Viafirma garantiza como mínimo un nivel de firma electrónica avanzada, pudiendo llegar a considerarse de tipo cualificada.

La firma en dispositivoz móviles se podrá realizar con o sin certificado. En caso de usar certificado, este podrá ser cualificado o no cualificado.

Para comprender mejor cada caso, podemos hacer referencia al reglamento (UE) nº910/2014 del Parlamento Europeo y del Consejo, comúnmente conocido como eIDAS, normativa que actualmente regula la firma electrónica en los países miembros de la Unión Europea y en la que se recoge la clasificación de las firmas electrónicas.

Firma electrónica en un dispositivo móvil con certificado no cualificado

• Está vinculada al firmante de manera única. El certificado está vinculado a la persona firmante y solo a ella.
• Permite identificar al firmante. El certificado contiene los datos necesarios de autenticación para este fin.
• La firma debe haber sido creada utilizando medios de creación de la firma que el firmante pueda utilizar con alto nivel de confianza y bajo su control exclusivo. Tanto el acceso a la petición de la firma (mediante la aplicación móvil), como el certificado están bajo control exclusivo de la persona firmante.
• Está vinculada con los datos firmados de forma que cualquier alteración posterior pueda ser detectada. El documento firmado, junto con otras evidencias si así se establecen, quedan asociados permitiendo comprobar cualquier modificación posterior del mismo.

Cumpliendo estos cuatro requisitos, se logra un nivel de seguridad de firma electrónica avanzada.

Firma electrónica en un dispositivo móvil sin certificado digital

En este caso, se puede solventar la falta de certificado a través de algún tipo de evidencia adicional que haga que se cumplan los requisitos de una firma electrónica avanzada, por ejemplo el uso de OTP SMS (One Time Password SMS).

• Está vinculada al firmante de manera única. El usuario posee un número de teléfono.
• Permite identificar al firmante. El número de teléfono es personal y pertenece, exclusivamente, al firmante.
• La firma debe haber sido creada utilizando medios de creación de la firma que el firmante pueda utilizar con alto nivel de confianza y bajo su control exclusivo. Tanto el acceso a la petición de firma como el código SMS (enviado al email y al teléfono móvil del firmante, respectivamente), están bajo el control exclusivo de la persona.
• Está vinculada con los datos firmados de forma que cualquier alteración posterior pueda ser detectada. El documento firmado, junto con otras evidencias si así se establecen, quedan asociados permitiendo comprobar cualquier modificación posterior del mismo.

Como se puede observar, este caso también cumple con los requisitos de una firma electrónica avanzada.

Firma electrónica en un dispositivo móvil con certificado cualificado

• Está vinculada al firmante de manera única. El certificado está vinculado a la persona firmante y solo a ella.
• Permite identificar al firmante. El certificado contiene los datos necesarios de autenticación para este fin.
• La firma debe haber sido creada utilizando medios de creación de la firma que el firmante pueda utilizar con alto nivel de confianza y bajo su control exclusivo. Tanto el acceso a la petición de la firma (mediante la aplicación móvil), como el certificado están bajo control exclusivo de la persona firmante.
• Está vinculada con los datos firmados de forma que cualquier alteración posterior pueda ser detectada. El documento firmado, junto con otras evidencias si así se establecen, quedan asociados permitiendo comprobar cualquier modificación posterior del mismo.
• Creada mediante un dispositivo cualificado de creación de firmas electrónicas y que se basa en un certificado cualificado de firma electrónica. En este caso el certificado usado para la firma está contenido dentro de una tarjeta criptográfica sin posibilidad de descarga, ejemplo DNIe o bien se ha generado directamente en un servidor seguro (HSM), ejemplo certificado generado en Viafirma Fortress por uno de los Prestadores de Servicios de Certificación integrados con Viafirma.

En este caso, además de los cuatro anteriores se cumple una quinta premisa, lo que convierte la firma avanzada en firma electrónica cualificada.