La firma electrónica: mayor seguridad en la red
Se proponen cambios en la regulación de la firma electrónica, para impulsar el comercio electrónico. La confianza y la seguridad de los usuarios es clave para conseguirlo. Pero, ¿sabe usted qué es exactamente y cómo funciona?
¿Qué es la firma electrónica?
La firma electrónica o digital es un conjunto de datos electrónicos que identifican a una persona en concreto. Suelen unirse al documento que se envía por medio telemático, como si de la firma tradicional y manuscrita se tratara, de esta forma el receptor del mensaje está seguro de quién ha sido el emisor, así como que el mensaje no ha sido alterado o modificado.
La firma electrónica puede utilizarse en el sector privado, para contratación privada por vía electrónica, entre empresa y consumidor (por ejemplo, la compra de un libro o un compacto por Internet) y entre empresas (por ejemplo, realizar un pedido a un distribuidor) o incluso entre los mismos consumidores finales (por ejemplo, venta de una raqueta de 2° mano, una colección de monedas etc).
También nos sirve para realizar actuaciones con y entre la Administración, es decir, sirve tanto para las relaciones entre los propios entes públicos que la forman como para las relaciones del ciudadano con la Administración (por ejemplo, algo tan simple como la renovación del D.N.I, la solicitud de prestaciones a la Seguridad Social o incluso la presentación de la declaración de la renta por Internet con el conocido programa «Padre»).
¿Cómo funciona la firma electrónica?
La firma electrónica funciona mediante la encriptación o cifrado de los datos que la componen, de forma que si no se tiene la clave, el documento se convierte en ilegible.
Para ello es necesario contar con un par de claves :clave privada y clave pública que se corresponden de forma matemática. Pongamos un ejemplo, escribimos un documento y lo firmamos con nuestra clave privada y lo enviamos a nuestro receptor al cual previamente le habremos otorgado nuestra clave pública, esta clave pública es la que permite verificar la procedencia del mensaje y que verdaderamente ha sido firmado por nosotros, que somos los únicos poseedores de la clave privada)
Con esta encriptación se consigue que :
- La información enviada bajo la firma electrónica sólo pueda leerse por la persona autorizada que posea la clave.
- Acreditar la identidad de quien firma el documento electrónicamente.
¿Cuántos tipos de firma electrónica existen?
En nuestra actual normativa existen dos tipos: la básica y la avanzada.
La firma electrónica básica contiene un conjunto de datos recogidos de forma electrónica que formalmente identifican al autor y se incorporan al propio documento, pero este sistema tiene algunos problemas. ¿cómo sabemos que los datos enviados hayan sido creados por la persona que lo firma o que verdaderamente lo ha firmado él y no una tercera persona haciéndose pasar por él?.
Para resolver este problema se crea la firma electrónica avanzada , a la que nuestro ordenamiento atribuye plena eficacia jurídica y valor probatorio en juicio. Permite la identificación del emisor del mensaje ya que está vinculada de manera única al que firma el documento y a los datos que incorpora, debido a que es el signatario quien únicamente posee el control exclusivo de estas claves, además de que permite saber si estos datos han sido modificados posteriormente o en su transcurso.
Sin duda son figuras todavía desconocidas y complicadas para el uso y entendimiento de la población , no sólo porque son tratadas desde un punto de vista excesivamente técnico, sino por la propia ambigüedad que produce la lectura de las definiciones que ofrece la regulación actual.
¿Quién autentifica las firmas electrónicas?
Las autoridades de certificación, que son personas o entidades que cumplen una serie de requisitos legales y que deben ser autorizados por el Ministerio de Justicia para otorgar certificados que acrediten que la persona o entidad que usa dicha firma es ciertamente quien dice ser.
Las principales autoridades de certificación que operan en España y que por consiguiente se hayan debidamente acreditadas son:
- Agencia de Certificación Electrónica (ACE), está homologada por Visa y Mastercard y ofrece certificados para Entidades y Corporaciones dentro de Comercio electrónico y de comunicaciones a través de Internet. (www.ace.es)
- Fundación para el Estudio de la Seguridad de las Telecomunicaciones (FESTE), se trata de entidad formada por registradores, notarios, abogados, la Universidad de Zaragoza e Intercomputer S.A y su principal actuación se dirige a la contratación privada. (www.feste.es)
- Certificación Española (CERES), es una entidad de certificación pública que lleva a cabo la Fábrica Nacional de Moneda y Timbre. Su campo de actuación es la garantía de seguridad, validez y eficacia de comunicaciones entre los órganos de la Administración Pública y entre las personas físicas y jurídicas que se relacionen con ella, sin olvidar servicios de Comunidades autónomas, Entidades Locales y de derecho público siendo necesario únicamente un convenio previo.(www.fnmt.es/faq.htm).
En España la prestación de estos servicios es libre, si bien existe un procedimiento voluntario, que es la acreditación, mediante la cual la Administración, realizando las evaluaciones técnicas de rigor , emite una resolución o documento oficial donde certifica que ese Prestador cumple con las normas de calidad y seguridad establecidas en cuanto a sus procedimientos y a los productos y tecnología que utiliza.
¿Qué necesitamos para emitir un documento con firma digital avanzada?
Primeramente necesitaremos una serie de requisitos técnicos en nuestro ordenador, como es un navegador del tipo Nestcape o Microsoft Internet Explorer 4.0 o superior, en segundo lugar contactar con una Autoridad de certificación de firmas, como por ejemplo la Agencia de Certificación Electrónica, Verisign, IPS, etc, estas entidades comprobarán su identidad y le facilitarán un juego de claves (pública o privada) además de que le expedirán un certificado.
Actual Regulación: R.D.Ley 14/1999, de 17 de Septiembre sobre firma electrónica.
España es un país pionero en lo que respecta a la regulación de la firma electrónica, de hecho el Real Decreto fue publicado antes que la Directiva europea de 13 de Diciembre de 1999 de armonización de la firma electrónica.
Se critica de este Real Decreto Ley , precisamente que sea un Decreto la norma que regule la firma electrónica y que fuera aprobado con carácter de urgencia, y no una ley aprobada de forma consensuada y debatida en el Parlamento.
Su contenido es demasiado técnico y de difícil comprensión por personas no especializadas en la materia, incluidos jueces y abogados cuando realizan una interpretación de los mismos, asimismo se centra demasiado en aspectos administrativos, dejando un vacío respecto al verdadero y cotidiano uso de la firma por particulares.
Además observamos una falta de concreción con respecto a los requisitos necesarios para la prestación de servicios de certificación y a la posición de preeminencia que se otorga a las Administraciones Públicas pareciendo impedir en muchos casos el acceso al mercado de operadores privados dejando en muchos casos en entre dicho la libertad de competencia. También sería deseable que hubiera una autoridad claramente definida con una competencias marcadas en la tramitación de los «servicios de la sociedad de la información», como en el caso que nos ocupa la firma electrónica, ya que da la sensación de no saber dónde acudir.
Anteproyecto de Ley de firma electrónica
Se pretende dotar a la firma electrónica de una regulación legal, respecto a su forma y limar algunos de sus contenidos, algo que la propia evolución social y tecnológica clamaba desde hace tiempo.
La validez jurídica de la firma electrónica sigue teniendo la plena eficacia jurídica y probatoria.
Sin embargo podemos observar dos novedades importantes en este anteproyecto:
1º/ Creación del DNI electrónico, de este modo todos los ciudadanos podrán emitir firmas electrónicas certificadas por la Administración del Estado. Será muy útil en trámites administrativos, transacciones electrónicas y banca online.
2º/ Regulación de los certificados de personas jurídicas.
Las solicitarán los administradores, representantes legales y apoderados de la persona jurídica, es decir se requiere que haya una persona física con vinculación a la persona jurídica.
Será un gran paso para la seguridad jurídica entre empresas y como impulso del comercio electrónico.
Se pretende que cada vez más se extienda a la población en general y deje de ser un servicio prácticamente exclusivo de empresas y Administraciones Públicas.
Es deseable una distinción clara entre firma básica o simple y firma avanzada, en qué consisten , cuales son sus efectos y qué utilidades ofrecen para el usuario en función del destino que le vaya a dar.
Respecto a las entidades de certificación , es criticable la falta de transparencia hacia los ciudadanos de cual es su procedimiento.
Primeramente ante el desconocimiento de quién puede realizar estos servicios, qué requisitos deben cumplir, si están o no acreditados, en qué medida la acreditación influye en la prestación del servicio y las responsabilidades que conlleva etc, y en segundo lugar, la falta de información que existe sobre los servicios que se ofertan , los precios de los mismos, su utilidad real, y el procedimiento para llevarlos a cabo.
En la práctica nos encontramos con servicios dirigidos a un público demasiado especializado, que producen impotencia en el usuario ante la amalgama de términos empleados, también son frecuentes los enlaces a otras paginas, llevando al usuario a un desconcierto y la confusión.