¿Qué nivel de firma electrónica se puede conseguir con un dispositivo móvil?

La firma electrónica en un dispositivo móvil que podrás realizar a través de los servicios de Viafirma puede ser avanzada o cualificada en función del nivel de seguridad deseado. Explicamos ambos supuestos y la firma electrónica con dispositivo móvil con certificado cualificado o no cualificado o sin certificado.

Firma electrónica avanzada o cualificada

La firma electrónica en un dispositivo móvil de Viafirma garantiza como mínimo un nivel de firma electrónica avanzada, pudiendo llegar a considerarse de tipo cualificada.

La firma en un dispositivo móvil se podrá realizar con o sin certificado. En caso de usar certificado, este podrá ser cualificado o no.

Para ver cada caso de una forma más clara vamos a hacer un paralelismo basándonos en el reglamento (UE) nº910/2014 del Parlamento Europeo y del Consejo, comúnmente conocido como eIDAS, normativa que actualmente regula la firma electrónica en los países miembros de la Unión Europea y en la que se recoge la clasificación de las firmas electrónicas.

Firma electrónica en un dispositivo móvil con certificado no cualificado

• Está vinculada al firmante de manera única. El certificado está vinculado a la persona firmante y solo a ella.
• Permite identificar al firmante. El certificado contiene los datos necesarios de autenticación para este fin.
• La firma debe haber sido creada utilizando medios de creación de la firma que el firmante pueda utilizar con alto nivel de confianza y bajo su control exclusivo. Tanto el acceso a la petición de la firma (mediante la aplicación móvil), como el certificado están bajo control exclusivo de la persona firmante.
• Está vinculada con los datos firmados de forma que cualquier alteración posterior pueda ser detectada. El documento firmado, junto con otras evidencias si así se establecen, quedan asociados permitiendo comprobar cualquier modificación posterior del mismo.

En el escenario descrito se cumplirían estos 4 requisitos, que son los necesarios para alcanzar un nivel de seguridad de firma electrónica avanzada.

Firma electrónica en un dispositivo móvil sin certificado digital

En este caso, se puede solventar la falta de certificado a través de algún tipo de evidencia adicional que haga que se cumplan los requisitos de una firma electrónica avanzada, por ejemplo el uso de OTP SMS (One Time Password SMS).

• Está vinculada al firmante de manera única. El usuario posee un número de teléfono.
• Permite identificar al firmante. El número de teléfono es personal y pertenece, exclusivamente, al firmante.
• La firma debe haber sido creada utilizando medios de creación de la firma que el firmante pueda utilizar con alto nivel de confianza y bajo su control exclusivo. Tanto el acceso a la petición de firma como el código SMS (enviado al email y al teléfono móvil del firmante, respectivamente), están bajo el control exclusivo de la persona.
• Está vinculada con los datos firmados de forma que cualquier alteración posterior pueda ser detectada. El documento firmado, junto con otras evidencias si así se establecen, quedan asociados permitiendo comprobar cualquier modificación posterior del mismo.

Como vemos este caso también cumple con todos los requisitos de la firma electrónica avanzada.

Firma electrónica en un dispositivo móvil con certificado cualificado

• Está vinculada al firmante de manera única. El certificado está vinculado a la persona firmante y solo a ella.
• Permite identificar al firmante. El certificado contiene los datos necesarios de autenticación para este fin.
• La firma debe haber sido creada utilizando medios de creación de la firma que el firmante pueda utilizar con alto nivel de confianza y bajo su control exclusivo. Tanto el acceso a la petición de la firma (mediante la aplicación móvil), como el certificado están bajo control exclusivo de la persona firmante.
• Está vinculada con los datos firmados de forma que cualquier alteración posterior pueda ser detectada. El documento firmado, junto con otras evidencias si así se establecen, quedan asociados permitiendo comprobar cualquier modificación posterior del mismo.
• Creada mediante un dispositivo cualificado de creación de firmas electrónicas y que se basa en un certificado cualificado de firma electrónica. En este caso el certificado usado para la firma está contenido dentro de una tarjeta criptográfica sin posibilidad de descarga, ejemplo DNIe o bien se ha generado directamente en un servidor seguro (HSM), ejemplo certificado generado en Viafirma Fortress por uno de los Prestadores de Servicios de Certificación integrados con Viafirma.

En este caso, además de los cuatro anteriores se cumple una quinta premisa, lo que convierte la firma avanzada en firma electrónica cualificada.