ASIGNATURA: DERECHO DE LAS TECNOLOGÍAS DE LA INFORMACIÓN LECCION 5 : FIRMA ELECTRÓNICA

Transcripción

1 ASIGNATURA: DERECHO DE LAS TECNOLOGÍAS DE LA INFORMACIÓN LECCION 5 : FIRMA ELECTRÓNICA SUMARIO: 1. LAS RELACIONES DOCUMENTALES. 1.1 La relación tradicional. 1.2 La relación electrónica. 2. QUÉ ES LA FIRMA ELECTRÓNICA? 2.1 Reconocimiento jurídico de la firma electrónica. 2.2 Cómo puede usarse la firma electrónica? 3. FUNDAMENTOS TÉCNICOS. 3.1 La firma digital. 3.2 La confianza. 3.3 Los Prestadores de Servicios de Certificación. 3.4 Los certificados digitales. 3.5 Clases de certificados. 4. EFICACIA JURÍDICA DE LA FIRMA ELECTRÓNICA. 4.1 Los certificados reconocidos. 4.2 Titulares de los certificados. 4.3 Los certificados de atributos. 4.4 La validación de los certificados. Prof. Dr. Carlos Galán Área de Derecho Administrativo Universidad Carlos III de Madrid 5. LA FIRMA ELECTRÓNICA EN LA ADMINISTRACIÓN ELECTRÓNICA. BIBLIOGRAFÍA ABSTRACT Puesto que la firma electrónica constituye el mecanismo tecnológico más significativo en la aportación de evidencias relativas a la identidad electrónica de las entidades (personas físicas, jurídicas, dispositivos o software) que intervienen en una transacción electrónica, es una cuestión capital estudiar la eficacia jurídica que nuestra legislación (y la legislación Europea) confiere a la firma electrónica, estudio que habrá de extenderse necesariamente a la utilización de los certificados digitales y a las entidades encargadas de su provisión. Esta obra está bajo una licencia de Creative Commons Reconocimiento NoComercial CompartirIgual 3.0 España.

2 SUMMARY: 1. THE DOCUMENTARY RELATIONS. 1.1 Traditional relationship. 1.2 Electronic relationship. 2. WHAT IS A ELECTRONIC SIGNATURE? 2.1 Legal recognition of electronic signatures. 2.2 How does the electronic signature can be used? 3. TECHNICAL BASIS. 3.1 The digital signature. 3.2 Trust. 3.3 Certification Service Providers. 3.4 Digital certificates. 3.5 Classes of certificates. 4. LEGAL EFFECTIVENESS OF ELECTRONIC SIGNATURE. 4.1 Qualified certificates. 4.2 Holders of certificates. 4.3 Certificates of attributes. 4.4 Validation of certificates. 5. ELECTRONIC SIGNATURES IN EGOVERNMENT. ABSTRACT Since the electronic signature is the most significant technological mechanism to provide evidence for the electronic identity of entities (individuals, companies, devices or software) involved in an electronic transaction, a major issue is to study the legal efficacy that our legislation (and the European legislation) gives to electronic signatures, study that must necessarily extend to the use of digital certificates and agencies responsible for their provision. 2

3 1. LAS RELACIONES DOCUMENTALES En la actualidad, una buena parte de las relaciones que mantienen los actores de las sociedades modernas se sustentan en el intercambio de documentos, de todo tipo: textos, imágenes, sonidos, video, etc. Estos documentos, en su sentido más amplio, posibilitan la tramitación de multitud de procedimientos, en todo los órdenes: mercantiles, administrativos, sociales, culturales, personales, etc. Por otro lado, la masiva implantación de las Tecnologías de la Información y las Comunicaciones (TIC) en nuestra vida diaria, ha evidenciado la necesidad de utilizar un nuevo tipo de documento, al que hemos denominado documento electrónico, capaz de ser tratado por tales nuevas tecnologías y constituyendo igualmente el soporte para contener declaraciones de voluntad, resoluciones, comunicaciones, notificaciones y cualesquiera otro tipo de manifestación que pudiera ser generada por los antedichos actores. Así las cosas, se hace necesario, por tanto, lograr que tales documentos electrónicos posean ciertas características que permitan un uso seguro y confiable de los mismos. Entre tales características se encuentran la autenticidad (la garantía de que el autor del documento electrónico es quién dice ser), la integridad (la garantía de que el documento no ha sufrido alteraciones no autorizadas) y la confidencialidad (la garantía de que el contenido del documento sólo es accesible por quién está autorizado), entre otras. Para dar respuesta a estos requisitos se ha desarrollado el concepto de firma electrónica, de importancia capital en el desenvolvimiento de las sociedades modernas. 3

4 1.1 La relación tradicional Asignatura: Derecho de las Tecnologías de la Información Hasta hace muy poco tiempo, en las relaciones tradicionales, el soporte para el intercambio de información lo constituía el documento en papel. Así, los documentos solían estar escritos a mano o con máquina de escribir, sustentado su autenticidad en las firmas manuales o sellos incorporados al documento e, incluso, en el tipo de papel usado. Obviamente, la consulta a un archivo documental de este tipo es lenta e ineficiente y, por lo general, su almacenamiento es costoso y, en consecuencia, poco eficaz. 4

5 1.2 La relación electrónica Sin embargo, en la actualidad, gracias al uso de las TIC, las informaciones intercambiadas pueden estar contenidas en documentos electrónicos, asegurando su autenticidad en base a la utilización de firmas electrónicas asociadas con ellos, lo que permite una consulta rápida y eficiente y un almacenamiento barato y eficaz. Además de la garantía de la autenticidad, el hecho de que los documentos estén firmados electrónicamente presenta, además, las ventajas añadidas de garantizar la integridad de los documentos firmados (no alteración de los mismos por personas o procesos no autorizados) y el no repudio (no refutación) en origen (la garantía de que el firmante de un documento no puede desdecirse de su acción). 5

6 2. QUÉ ES LA FIRMA ELECTRÓNICA? Por el momento, sin entrar todavía en consideraciones jurídicas, podemos decir que la firma electrónica es el resultado de un procedimiento, reconocido legalmente y sustentado en equipamientos informáticos, que permite, entre otros tipos de acciones: 1. Firmar documentos electrónicos (correos electrónicos, textos, facturas, documentos, formularios, gráficos, imágenes, sonidos, etc.) y entregarlos firmados a su(s) destinatario(s), garantizando: La autenticación del firmante del documento electrónico. La integridad (no alteración) del documento electrónico. La confidencialidad del mismo. El no-repudio (en origen) de la transacción efectuada. 2. Incorporar mecanismos de seguridad fuerte a los sistemas de información de las organizaciones, como cuando se usan tarjetas inteligentes criptográficas para el acceso a sistemas de información, por ejemplo. 6

7 2.1 Reconocimiento jurídico de la firma electrónica La utilización de la firma electrónica en el intercambio de documentos electrónicos es un procedimiento reconocido legalmente en la mayor parte de las legislaciones de los países desarrollados. En tanto no sea de plena aplicación el reciente Reglamento Europeo de Identificación Electrónica y Prestación de Servicios de Confianza (conocido como Reglamento eidas), la norma nacional vigente que regula el uso y la eficacia jurídica de la firma electrónica es la Ley 59/2003, de 19 de diciembre, de Firma electrónica, (BOE núm. 304, de 20 de diciembre de 2003); norma que viene a sustituir al Real Decreto Ley 14/1999, de 17 de septiembre, de insólita aparición, toda vez que fue promulgado con anterioridad a la Directiva 99/93/CE, de 13 de Diciembre de 1999, del Parlamento Europeo y del Consejo, por la que se establece un marco comunitario para la firma electrónica, (DOL núm. B, de 19 de Enero), en el que se inspiró. Prescindiendo -por mor de la brevedad que debe tener este trabajo- de otras legislaciones internacionales anteriores a la primera norma española y a la norma comunitaria, donde podríamos hablar de la Ley de Firma Digital de UTAH de 1995 y la Ley Federal de Firma Electrónica de 2000, ambas en los Estados Unidos; o las normativas relacionadas con la firma electrónica en Italia y Alemania en 1997, en Portugal en 1999 o en Francia en 2000, entre otras, ha de tenerse en cuenta que, con la peculiaridad temporal citada más arriba, es la Directiva 99/33/CE la fuente en la que bebe nuestra norma nacional. 7

8 Para la Directiva europea el motivo fundamental que impulsa su redacción no es otro que proporcionar a las transacciones electrónicas las suficientes medidas de seguridad que propicien el completo desarrollo de la Sociedad de la Información intracomunitaria. Lograrlo tarea nada sencilla- pasa necesariamente por disponer de un mecanismo que garantice la equivalencia funcional y también jurídica de los acuerdos alcanzados utilizando la Red como medio de comunicación. Esto no tiene más que una lectura: dotar a la firma electrónica de la misma eficacia jurídica que la firma manuscrita, siempre que se cumplan unos determinados requisitos. 8

9 2.2 Cómo puede usarse la firma electrónica? Las características técnicas de la firma electrónica hacen que pueda aplicarse a cualquier documento electrónico bien desde un dispositivo fijo (ordenador de sobremesa, por ejemplo), hasta un dispositivo móvil (ordenador portátil, PDA o, incluso, desde un teléfono móvil). Esta característica es especialmente útil porque permite generar documentos firmados electrónicamente con una triple ventaja: Legalidad, Ubicuidad y Seguridad. Cabe añadir que con anterioridad a la promulgación de esta norma se promulgó la llamada Ley de Internet, Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico, en donde se determina qué es lo que debe entenderse por Servicios de la Sociedad de la Información. Los Prestadores de Servicios de Certificación no son otra cosa que un tipo especial de Prestador de Servicios de la Sociedad de la Información y, por consiguiente, le son aplicables todas las obligaciones y requisitos que en la precitada ley se señalan. La existencia de una realidad técnica como es la llamada firma electrónica no debe poner en entredicho lo que nuestros códigos Civil y de Comercio prescriben para la validez y eficacia de los contratos ni a las normas relativas a su celebración y, en su caso, formalización. Como es sabido, nuestro ordenamiento jurídico consagra el principio de libertad de forma para el perfeccionamiento de los contratos. No obstante, para aquellos contratos que precisaren de una determinada forma (ad probationen o ad solemnitaten), la ley vendrá a decir que allí dónde sea exigible la firma de los contratantes, ésta podrá ser estampada de manera electrónica con plena validez legal. 9

10 3. FUNDAMENTOS TECNOLÓGICOS El tipo más importante de firma electrónica (y el que confiere mayor garantía jurídica) está sustentado en mecanismos criptográficos, en concreto en la llamada criptografía de clave pública o criptografía asimétrica. Este método se fundamenta en la utilización de una pareja de claves, llamadas pública y privada, que poseen la siguiente peculiaridad: Un mensaje que sea cifrado con la clave pública sólo podrá ser leído con la correspondiente clave privada y viceversa. Este novedoso método, desarrollado a mediados de los años 70, se basa en la existencia de un algoritmo -susceptible de ser trascrito a programa de ordenador- que, mediante avanzadas teorías matemáticas fundamentadas en las propiedades de los grandes números primos, es capaz de generar una pareja de números (claves) de vinculación no computable (es imposible, conociendo uno de ellos, obtener el otro) con las características dichas más arriba. Naturalmente, cuando un usuario utiliza la criptografía asimétrica, la clave privada debe permanecer siempre bajo su exclusivo control de ahí su denominación de privada-, mientras que la clave pública puede y debe, como veremos- ser conocida públicamente. La criptografía de clave pública es la base tecnológica de la firma digital. Se hace necesario, por consiguiente, profundizar en su funcionamiento. 10

11 3.1 La firma digital Asignatura: Derecho de las Tecnologías de la Información La firma digital, o digital signature como se la conoce en el mundo anglosajón, permite, mediante el uso de la criptografía de clave pública, identificar indubitadamente al firmante (autor o remitente, por ejemplo) de un mensaje electrónico. Pongamos que María desea enviar un mensaje; por ejemplo un correo electrónico para el que desea identificarse plenamente, es decir, hacer llegar la certeza al destinatario de que es ella quien envía el mensaje. En otras palabras, que nadie le ha suplantado. Para ello, después de escribir el mensaje que desea hacer llegar al receptor, lo hace pasar de manera automática- por un algoritmo unidireccional que reduce el mensaje a un resumen de pequeño tamaño. Las características de este algoritmo unidireccional son las siguientes: - Se le conoce como función hash. - Es unidireccional, esto es, sólo funciona en el sentido descrito, nunca al contrario. - El resumen obtenido es pequeño y de longitud estándar; esto es, sea cual sea el tamaño del mensaje original el resumen siempre posee el mismo tamaño. - Cada carácter del mensaje original es relevante para la creación del resumen; esto es, la mera alteración de un solo carácter del mensaje original daría como resultado un resumen distinto y - Es prácticamente imposible realizar todos los cambios necesarios en el mensaje original para que se obtenga un mismo resumen. Como se verá, la existencia del resumen obtenido a partir del mensaje original mediante el algoritmo unidireccional es relevante sólo a efectos prácticos, sin que su presencia venga a alterar en modo alguno la filosofía de la firma digital. 11

12 En el paso siguiente María firma el resumen así obtenido lo cifra- utilizando su clave privada que, como recordaremos, es aquella que nunca deberá salir de su exclusivo control. El resumen firmado así obtenido se denomina firma digital o, simplemente, firma. Esta firma digital presenta respecto de la tradicional firma manuscrita que todos conocemos, la semejanza de que, en ambos casos, identifica al autor del mensaje, y la diferencia de que si la firma manuscrita es siempre la misma, la firma digital, como acabamos de ver, será diferente para cada mensaje distinto que se envíe. No cabe hablar, por tanto, de nuestra firma digital porque, en general, será siempre distinta- y sí de nuestra clave privada que, con las precisiones que veremos más adelante, será siempre la misma-. Hecho esto que, en el caso del correo electrónico, tiene lugar de manera instantánea y automática en el ordenador que envía- las informaciones que pasan al canal de comunicaciones son: el mensaje original de María y la firma electrónica de tal mensaje. Ambas informaciones circularán a través de la red y llegarán al destino por ejemplo, al buzón del correo electrónico del destinatario. Ha de hacerse notar que, en este momento, estamos tratando sólo de la firma de los mensajes (aquella que proporciona autenticación, integridad y no-repudio), no así la privacidad de la información transmitida puesto que, como se ve, el mensaje original circula en claro. Cuando el receptor recibe el mensaje de María, le llegan dos ficheros de datos: por un lado el mensaje propiamente dicho mensaje en claro, como se ve en la figura- y, por otro, la firma digital. El proceso que se sigue en el ordenador del receptor se describe seguidamente. En primer lugar el mensaje original escrito por María se hace pasar por el mismo algoritmo unidireccional que utilizara el emisor, con lo que, si el mensaje no ha sufrido alteración en el trayecto, el resumen obtenido será también el mismo. En paralelo, la firma de María se verifica descifra- con la única clave que puede hacerlo; esto es con la clave pública de María que, puesto que es pública, está disponible para cualquiera que la necesite. Pues bien, si el mensaje no ha sufrido alteración durante la transmisión integridad- y si efectivamente ha sido María quien lo ha firmado autenticación-, entonces y sólo entonces la firma descifrada de María y el nuevo resumen así obtenido deberán ser idénticos. 12

13 Si no lo son sólo puede deberse a dos razones -ambas igualmente importantes para la seguridad de las comunicaciones-: que el mensaje ha sido alterado en el trayecto y/o que el mensaje no ha sido firmado con la clave privada de María. Si a la garantía de integridad del mensaje unimos la autenticación de su emisor, podremos igualmente probar que el emisor realizó tal comunicación (no-repudio en origen). Como hemos visto en la explicación de la figura anterior, el mensaje de María circula en claro por la red. Si deseáramos además, que el mensaje discurriera cifrado María debería cifrarlo con la clave pública del destinatario quien, a su vez, podría descifrarlo con su clave privada. 13

14 3.2 La confianza Asignatura: Derecho de las Tecnologías de la Información La criptografía y, en concreto, la criptografía de clave pública, tiene su fundamento en las matemáticas. Son las matemáticas las responsables de la existencia de un algoritmo capaz de generar una pareja de claves pública-privada de las características antes citadas; son las matemáticas las responsables de la existencia de un algoritmo unidireccional capaz de resumir un mensaje de longitud variable en otro de longitud fija; son las matemáticas las responsables de diseñar mecanismos para cifrar y descifrar información..., etc. Estamos hablando, por consiguiente, de asuntos verificables matemáticamente. Esto es lo que hemos llamado seguridad. Sin embargo, para que la estructura que sustenta la firma electrónica tenga sentido, es preciso incorporar al sistema un elemento de confianza al margen de las matemáticas. Veámoslo con detalle. Cuando un usuario accede a un determinado sitio web debe estar seguro de que, efectivamente, tal sitio web es quien dice ser. Esto puede lograrse si tal sitio web ha sido certificado por una Tercera Parte Confiable (Third Trust Part), organización que ha verificado previamente la autenticidad del lugar y proporciona copias certificadas de su correspondiente clave pública. Lo mismo cabría decir de las claves públicas de las personas físicas. Cuando un usuario de criptografía asimétrica precisa de la clave pública de otro, necesita conocer fehacientemente que tal clave pública es precisamente de quien dice ser. La Tercera Parte Confiable certificará notarizará, en terminología anglosajona- la autenticidad de la clave y la pertenencia a su titular. 14

15 3.3 Los Prestadores de Servicios de Certificación En la bibliografía estas organizaciones que se encargan de dar fe de la autenticidad de las claves públicas se las denomina Autoridades de Certificación (Certification Authorities) toda vez que certifican -mediante un instrumento especial que veremos más adelante llamado certificado digital- la identidad y correspondencia entre un determinado titular y su clave pública. De esta manera, cuando un tercero tiene acceso a la clave pública de una persona que le ha enviado un mensaje firmado, podrá comprobar quien está avalando tal correspondencia, tal identificación. De ahí la enorme importancia que tiene que tal Autoridad de Certificación sea capaz de generar la mayor confianza posible entre los usuarios. Como más adelante estudiaremos, la legislación nacional sobre la materia (dimanante de la correspondiente Directiva Europea), posibilita que puedan coexistir una multiplicidad de Terceras Partes de Confianza, tanto de naturaleza jurídica pública como privada. Entre las primeras cabe mencionar a la Fábrica Nacional de Moneda y Timbre Real Casa de la Moneda, a través de su proyecto CERES, el organismo público por excelencia en la expedición de certificados digitales. Otro organismo de naturaleza pública-empresarial es la iniciativa Camerfirma avalada por el Consejo Superior de Cámaras de Comercio, Industria y Navegación español. Los fedatarios públicos, notarios y corredores de comercio, agrupados bajo un mismo cuerpo, poseen también ANCERT, Agencia Notarial para la Certificación y el Consejo General del Notariado, una Autoridad de Certificación para sus colectivos. 15

16 En cuanto a la iniciativa privada conviene destacar a la Agencia de Certificación Electrónica ACE, que fue la primera Autoridad de Certificación privada en nuestro país que, entidad participada por Telefónica, Sermepa (Visa España), Sistema 4B y la Confederación Española de Cajas de Ahorros CECA. El cuadro siguiente muestra algunos Prestadores de Servicios de Certificación, actualmente en operación en España. 16

17 3.4 Los certificados digitales Asignatura: Derecho de las Tecnologías de la Información Un certificado digital no es más que un pequeño fichero informático (una secuencia de bits, en último extremo) que, fundamentalmente, establece esa correspondencia entre clave pública y titular. La figura siguiente muestra el contenido de un certificado digital conforme a la norma estándar x.509. Los campos del certificado digital están determinados por el antedicho estándar internacional, siendo los más importantes: - Versión del certificado y número de serie. Que debe ser único para cada Autoridad de Certificación. - Nombre del Emisor: Autoridad de Certificación (Prestador de Servicios de Certificación) que ha expedido el certificado. - Fecha de inicio/expiración: Periodo de validez del certificado. - Nombre del titular: Persona física (o jurídica) para la que se expide el certificado, titular de la clave pública. - Clave pública del titular: Aquella que permitirá a un tercero verificar los documentos electrónicos que reciba firmados electrónicamente por el poseedor de la correspondiente clave privada. Asimismo, un emisor podrá utilizar tal clave pública para cifrar aquellos documentos que desee enviar a su titular. - Extensiones: Campo suplementario para incorporar otros datos que puedan ser relevantes para la identificación completa, por ejemplo, permisos y poderes que posee el titular, empresa, cargo, etc. - Firma del Emisor: Se trata de la firma digital de la Autoridad de Certificación (Prestador de Servicios d Certificación en la terminología de nuestra norma). Mediante esta firma, la Autoridad de Certificación avala que todos los datos anteriores son ciertos y se responsabiliza de su exactitud. 17

18 3.5 Clases de certificados. Asignatura: Derecho de las Tecnologías de la Información Ya hemos dicho que no todos los certificados digitales son iguales ni sirven para lo mismo. Suelen distinguirse distintas clases. Una clasificación tipo sería la siguiente: Clase 0: Sin identificación. No existe identificación previa del titular, por lo que la utilidad práctica de este tipo de certificados es prácticamente nula. Clase 1: Con registro previo. La Autoridad de Certificación (o entidades colaboradoras) han procedido previamente a la identificación del titular. Clase 2: Administración Pública. Certificados digitales expedidos por órganos de la Administración Pública (por ejemplo los anteriormente citados para la presentación telemática del impuesto de la renta de las personas físicas). Clase 3: Fedatario Público. Certificados digitales expedidos por personas con atribuciones de fe pública. Clase 4: Militar. Certificados circunscritos al ambiente militar. Clase WEB: Certificado de servidor seguro. Certificados emitidos generalmente a favor de una sociedad con presencia en Internet, de modo que cualquiera que acceda a su sitio web pueda tener la seguridad de que es quien dice ser. Como hemos visto, la confianza que emana de los certificados digitales es la misma que los usuarios depositan en las Autoridades de Certificación, puesto que son éstas entidades las que han registrado identificado- previamente al titular y las que han asociado tal titular a su clave pública. 18

19 4. EFICACIA JURÍDICA DE LA FIRMA ELECTRÓNICA En el primer párrafo del artículo 3 de la vigente Ley 59/2003 de firma electrónica, el legislador define el concepto de firma electrónica. Como se desprende de esta descripción lo significativo de la firma electrónica así definida es: Uno, su forma electrónica; dos, su correspondencia necesaria con otros datos también en formato electrónico y, tres, su característica peculiar que permite la identificación del autor. Aunque aparentemente centrada, esta definición de firma electrónica abre las puertas para que una multiplicidad de diferentes tecnologías y procedimientos puedan verse incluidos en esta definición, por ejemplo, la tradicional dualidad usuario-contraseña (user.id-password), tan utilizada en el acceso a los sistemas de información, la llamada firma digitalizada, etc. Lo veremos más adelante. En el segundo párrafo se define la firma electrónica avanzada. En esta definición, aparece una firma electrónica a la que podríamos denominar distinguida, que presenta dos mejoras respecto de la anterior. En primer lugar tal firma ha sido creada por medios que el autor mantiene bajo su exclusivo control (desaparece pues la posibilidad de encuadrar user-password en esta nueva categoría) y, en segundo lugar, y de forma totalmente novedosa, la posibilidad que permite detectar cualquier modificación en los datos asociados a la firma. Aquí sí podemos hablar sin temores de que esta firma electrónica avanzada se corresponde exactamente con la que nosotros hemos denominado previamente firma digital en este trabajo. Véase que, efectivamente, es María quien dispone, bajo su exclusivo control, de los medios para firmar su mensaje, esto es, de su clave privada. Análogamente, durante la recepción del mensaje firmado digitalmente puede 19

20 detectarse, como hemos estudiado, si tal mensaje ha sido alterado durante su proceso de encaminamiento al destino. En el tercer párrafo se define la firma electrónica reconocida como aquella firma electrónica avanzada que hubiere sido generada a partir de un certificado reconocido y generada mediante un dispositivo seguro de creación de firma. Debemos entender por dispositivo de creación de firma (cualificado como seguro o no) al procedimiento de cifrado al que aludíamos anteriormente. Parece, sin embargo lo veremos en su momento-, que se diferencia entre un dispositivo normal y otro distinguido al que entendemos dotado de unas especiales características que le confieren un mayor grado de seguridad. El punto cuarto contiene el verdadero sentido de la ley. En él se expresa la equivalencia funcional de la firma electrónica reconocida con la firma manuscrita, en relación con los datos electrónicos o con los consignados en papel, respectivamente. Importante nos parece la definición de documento electrónico que se desarrolla en el párrafo quinto de este precepto. Es del todo evidente que hoy en día puede empaquetarse en soporte electrónico cualquier combinación de información: textos, gráficos, imágenes, sonido, audio, etc. Todos estos tipos de informaciones pueden ser almacenados (y posteriormente recuperados) y transmitidos en formato digital (binario, en forma de secuencias de ceros y unos). Nada debería impedir, por consiguiente, que puedan ser considerados igualmente documentos aquellos que estén compuestos por tal tipo de informaciones, con independencia del soporte en el que se encuentren. El párrafo sexto enumera algunos ejemplos especialmente distinguidos de documentos electrónicos, tales como: 1. Documentos públicos. Aquellos expedidos por funcionarios que tengan atribuida la facultad de dar fe pública. 2. Documentos electrónicos expedidos y firmados electrónicamente por funcionarios públicos. 3. Documentos privados. Obsérvese que el párrafo séptimo otorga la validez a los anteriores documentos firmados electrónicamente a la que ya tuvieran en su soporte tradicional en papel. Es una prueba más de la antedicha equivalencia funcional entre ambos tipos de firma, manual y electrónica. El párrafo octavo reconoce la admisibilidad en juicio de los datos firmados electrónicamente. Esta circunstancia podría ser impugnada alegando deficiencias graves en las garantías que debe mantener el Prestador de Servicios de Certificación. Se hace aquí referencia al artículo de la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil, que señala: Artículo 326. Fuerza probatoria de los documentos privados. 20

21 1. 2. Cuando se impugnare la autenticidad de un documento privado, el que lo haya presentado podrá pedir el cotejo pericial de letras o proponer cualquier otro medio de prueba que resulte útil y pertinente al efecto. Si del cotejo o del otro medio de prueba se desprendiere la autenticidad del documento, se procederá conforme a lo previsto en el apartado tercero del artículo 320. Cuando no se pudiere deducir su autenticidad o no se hubiere propuesto prueba alguna, el tribunal lo valorará conforme a las reglas de la sana crítica. El párrafo noveno, especialmente interesado en preservar la validez de la firma electrónica aunque no posea la cualificación de reconocida, admite que no por ello será excluida de los efectos jurídicos a los que hubiere lugar. Creemos que acertadamente el legislador no desprestigia a priori cualquier firma electrónica, sino que posibilita la posterior valoración de su robustez técnica y gerencial. Por último, el párrafo décimo explicita la autonomía de la voluntad de las partes consagrada en nuestro ordenamiento jurídico a la hora de fijar inter partes aquellas condiciones específicas que deberán regir su posterior comunicación electrónica. Hay que precisar que es te precepto debe entenderse cuando ambas partes se pongan de acuerdo en utilizar un método determinado de comunicación y no será de aplicación cuando sólo una de ellas así lo exija a la otra, estando obligada por la ley aceptar las condiciones comunes que se enumeran en la misma. 21

22 4.1 Los certificados reconocidos El párrafo primero del artículo 11 de la Ley 59/2003 (Son certificados reconocidos los certificados electrónicos expedidos por un prestador de servicios de certificación que cumpla los requisitos establecidos en esta ley en cuanto a la comprobación de la identidad y demás circunstancias de los solicitantes y a la fiabilidad y las garantías de los servicios de certificación que presten.) define qué debe entenderse como certificado reconocido, dejando muy claro que no cabe otra interpretación distinta de la que explícitamente hace la norma. Así pues, los requisitos exigidos por la norma para que un certificado posea la cualificación de reconocido serán todos aquellos que, de forma expresa, así se mencionen en este artículo y los siguientes, tales como contenidos específicos, condiciones de identificación de los solicitantes, garantías exigibles, etc. El párrafo segundo relaciona la información que, cómo mínimo y de forma obligatoria, debe contener un certificado electrónico que aspire a ser un certificado reconocido. Tal información es: 1.- La indicación de que se expiden como tales. Parece querer indicar la norma con esta precisión la necesidad de que el carácter de reconocido aparezca explícitamente en el propio certificado. No parece ser suficiente la mera indicación de tal circunstancia en la Declaración de Prácticas de Certificación del Prestador de Servicios de Certificación. 2.- Código identificativo único del certificado. 22

23 Es lo que denominamos antes número de serie. Se trata de un código, único e irrepetible por tipo de certificado y Prestador de Servicios de Certificación, que identifica unívocamente el certificado en cuestión. Gran parte de las informaciones exigidas se corresponden con los campos del estándar x.509 que estudiamos en la sección anterior. 3.- La identificación del Prestador de Servicios de Certificación. Denominación social del PSC y domicilio. 4.- La firma electrónica avanzada del PSC que lo expide. Esto es, el PSC firmará electrónicamente la totalidad de los campos del certificado, incluyendo como parte de ellos tal firma. 5.- La identificación del firmante. Pudiendo darse el caso de: Certificado de persona física: Nombre, apellidos, número del DNI ó seudónimo. Certificado de persona jurídica: Denominación o razón social y el NIF. 6.- Datos de verificación de firma. Esto es, la clave pública del titular del certificado, que habrá de corresponder con la clave privada que obrará bajo la sola custodia de su titular. 7.- Fecha de comienzo y de final del periodo de validez del certificado. Recordar aquí que el artículo 8.2 señala un periodo máximo de validez para los certificados reconocidos de cuatro años. 8.- Límites de uso del certificado. De cualquier naturaleza: representativa, económica, funcional, etc. 9.- Límites del valor de las transacciones posibles. Puede darse el caso de que un certificado electrónico sea expedido con el fin de realizar transacciones comerciales o económicas siempre que no sobrepasen un determinado montante. De ser así, tal cantidad deberá estar señalada en el propio certificado. Esta medida ayudará a garantizar la seguridad del tráfico, viniendo obligado el receptor de un 23

24 mensaje firmado electrónicamente a verificar si la voluntad expresada en tal mensaje se corresponde o no con los límites expresados en el correspondiente certificado. El párrafo tercero menciona la posibilidad de incluir en el certificado otros datos no expresamente mencionados en el punto anterior y que se consideren precisos o convenientes para el uso del certificado en cuestión. Estos datos adicionales, que la norma, califica como atributos, podrán consistir en circunstancias personales del firmante, tales como: posición en la empresa, poderes y potestades, etc. Naturalmente, la inclusión de tales datos será siempre a propuesta del solicitante, y no mera discrecionalidad del Prestador de Servicios de Certificación. Pudiera ser que el certificado en cuestión, y dentro de estos campos de atributos, contuviera una relación de representación, tal como una representación por apoderamiento mercantil, por ejemplo. En estos casos, señala la norma en su punto cuarto, deberá incluir una indicación del documento público que acredite fehacientemente tales facultades de representación, incluyendo, cuando fuera obligatoria, los datos de la inscripción en el correspondiente Registro Mercantil. 24

25 4.2 Titulares de los certificados. El párrafo segundo del art. 6 de la Ley 59/2003 define el concepto de firmante como aquella persona (física o jurídica, lo veremos en el epígrafe siguiente) que posee un dispositivo de creación de firma y que lo utiliza para firmar electrónicamente un documento. Aunque la ley no lo precisa, entendemos que deben distinguirse varios actores claramente diferenciados: 1. Solicitante: Persona que solicita la expedición de un certificado electrónico. 2. Titular: Persona cuya identificación figura en el propio certificado. 3. Firmante: Persona que finalmente ejecuta la acción de firmar. Este artículo, al tiempo de su debate parlamentario, fue sido uno de los más controvertidos, toda vez que introduce la posibilidad de firma electrónica por parte de las personas jurídicas, yendo más allá incluso de la propia Directiva Europea, que limita esta posibilidad a las persones físicas. El párrafo primero señala quienes (personas físicas) están legitimados y pueden solicitar tales certificados electrónicos. Naturalmente, se trata de los administradores de tales personas jurídicas y sus representantes con poderes bastantes. Este párrafo señala con precisión la inmutabilidad del régimen de representación orgánica o voluntaria que le sea de aplicación a cada persona jurídica por parte de la legislación mercantil o civil. No obstante, como el certificado electrónico no es más que un fichero electrónico de datos, que debe estar soportado en un dispositivo de almacenamiento electrónico (tarjeta 25

26 inteligente, token, disco duro, etc), es lógico que se designe un custodio de tal certificado, recayendo esta responsabilidad en la persona física solicitante, cuya identificación se incluirá igualmente en el certificado electrónico, tal y como señala el segundo párrafo. El tercer párrafo trata sobre los datos de creación de firma (clave privada) asociados a el certificado electrónico de persona jurídica. Señala que sólo podrán ser utilizados en las relaciones que la organización tenga con las Administraciones Públicas o en el tráfico comercial que le sea propio. Se excluye, por consiguiente, cualquier otra utilización distinta de las anteriores, limitando, por consiguiente, las garantías derivadas del uso de la firma electrónica a las propias de la organización en cuestión. Se señala igualmente la posibilidad de imponer límites voluntarios a las transacciones que puedan efectuarse utilizando tales certificados. Estos límites pueden ser de tipología varia: económicos, representativos, etc. En cualquier caso tales limites, de haberlos, estarán expresados en el propio certificado. El párrafo cuarto realiza una presunción iuris tantum al afirmar que se presumirán hechos por la persona jurídica los actos o contratos en los que su firma (electrónica) se hubiera empleado dentro de los límites establecidos. Naturalmente -precisa seguidamente el texto-, la persona jurídica quedará vinculada ante terceros siempre que, aun transgrediendo los límites impuestos, lo hubiera hecho en su propio interés. Se responsabiliza aquí a la persona física custodio de los datos de creación de firma (esto es, de la clave privada, que, en el caso de estar en una tarjeta inteligente, contendrá igualmente el certificado electrónico) cuando esto suceda, quien podrá actuar a su vez contra quien lo hubiere utilizado. Aparecen aquí, por consiguiente, varias personas físicas involucradas en el manejo del certificado electrónico: 1. El solicitante: Los administradores o apoderados de la persona jurídica. 2. El custodio: Que puede o no coincidir con el anterior y es quien, frente a la ley, aparece como responsable, y 3. El firmante: Que puede o no coincidir con los dos anteriores y es quien específicamente firma electrónicamente el documento en cuestión. Como quiera que, como vimos en la sección anterior, los certificados electrónicos serán firmados (electrónicamente) por la Autoridad de Certificación (Prestador de Servicios de Certificación, en la terminología de nuestra ley) que los expidió, pede darse el caso de que se utilicen algunos de tales certificados para verificar la firma electrónica del Prestador y sólo para ello. En este caso el párrafo quinto señala que no será de aplicación lo dispuesto en el párrafo anterior. Por último, el párrafo sexto hace una reserva de ley a favor de los certificados expedidos a la Administración Pública que, añade, estarán sujetos a su normativa específica. 26

27 Entendemos que debe interpretarse este párrafo cuando exista la posibilidad, por ejemplo, de que una -o varias- Administraciones Públicas compartan el uso de una red privada -intranet, por ejemplo- y sea preciso contar con la presencia de comunicaciones seguras. 27

28 4.3 Los certificados de atributos El párrafo tercero del art. 11 de la Ley 59/2003 menciona la posibilidad de incluir en el certificado otros datos no expresamente mencionados en el punto anterior y que se consideren precisos o convenientes para el uso del certificado en cuestión. Estos datos adicionales, que la norma, califica como atributos, podrán consistir en circunstancias personales del firmante, tales como: posición en la empresa, poderes y potestades, etc. Naturalmente, la inclusión de tales datos será siempre a propuesta del solicitante, y no mera discrecionalidad del Prestador de Servicios de Certificación. Pudiera ser que el certificado en cuestión, y dentro de estos campos de atributos, contuviera una relación de representación, tal como una representación por apoderamiento mercantil, por ejemplo. En estos casos, señala la norma en su punto cuarto, deberá incluir una indicación del documento público que acredite fehacientemente tales facultades de representación, incluyendo, cuando fuera obligatoria, los datos de la inscripción en el correspondiente Registro Mercantil. 28

29 4.4 La validación de los certificados. Para que la firma electrónica despliegue todas sus garantías es necesario que sea posible su verificación por parte del destinatario de la comunicación firmada electrónicamente. En primer lugar, es necesario comprobar que el certificado digital usado en la firma electrónica: Es adecuado: es decir, que los datos del certificado son los adecuados, así como que la Declaración de Prácticas de Certificación aplicable a tal certificado permite la firma electrónica para el propósito usado. Está vigente: es decir, que el certificado no está caducado. Es válido: es decir, que el certificado no ha sido revocado o suspendido. La comprobación del estado del certificado puede realizarse atendiendo a dos procedimientos: 1. Descargando periódicamente la CRL (Certificate Revocation List) puesta a disposición por el Prestador de Servicios de Certificación, o 2. Realizando una consulta en tiempo real OCSP (Online Certificate Status Protocol), al Prestador de Servicios de Certificación. 29

30 5. LA FIRMA ELECTRÓNICA EN LA ADMINISTRACIÓN ELECTRÓNICA Aunque el art. 4 de la Ley 59/2003, de Firma Electrónica, posibilitaba el uso de la firma electrónica por parte de los organismos de la Administración Pública, la Ley 11/2007, de acceso electrónico de los ciudadanos a los servicios públicos vino a precisar tal uso. En concreto, el art. 13 de dicha Ley 11/2007 señala que las Administraciones Públicas admitirán, en sus relaciones por medios electrónicos, sistemas de firma electrónica que sean conformes a lo establecido en la Ley 59/2003, de 19 de diciembre, de Firma Electrónica y resulten adecuados para garantizar la identificación de los participantes y, en su caso, la autenticidad e integridad de los documentos electrónicos. Por lo que respecta a los ciudadanos, la Ley 11/2007, prescribe tres tipos de identificación electrónica: a) En todo caso, los sistemas de firma electrónica incorporados al Documento Nacional de Identidad, para personas físicas. b) Sistemas de firma electrónica avanzada, incluyendo los basados en certificado electrónico reconocido, admitidos por las Administraciones Públicas. c) Otros sistemas de firma electrónica, como la utilización de claves concertadas en un registro previo como usuario, la aportación de información conocida por ambas partes u otros sistemas no criptográficos, en los términos y condiciones que en cada caso se determinen. 30

31 Por lo que respecta a las propias Administraciones Públicas, el número tercero del precitado art. 13, señala que podrán utilizar los siguientes sistemas para su identificación electrónica y para la autenticación de los documentos electrónicos que produzcan: a) Sistemas de firma electrónica basados en la utilización de certificados de dispositivo seguro o medio equivalente que permita identificar la sede electrónica y el establecimiento con ella de comunicaciones seguras. b) Sistemas de firma electrónica para la actuación administrativa automatizada. c) Firma electrónica del personal al servicio de las Administraciones Públicas. d) Intercambio electrónico de datos en entornos cerrados de comunicación, conforme a lo específicamente acordado entre las partes. 31

32 BIBLIOGRAFÍA Asignatura: Derecho de las Tecnologías de la Información GALÁN, Carlos. La regulación de la firma electrónica. Universidad Carlos III de Madrid - Apuntes de Clase. FNMT. La firma Electrónica. VV.AA. La firma electrónica: aspectos legales y técnicos. Ed Experiencia. VV.AA. La firma electrónica reconocida. Consejo General del Notariado. 32