Firma electrónica avanzada

You are currently browsing the archive for the Firma electrónica avanzada category.

EADTrust (European Agency of Digital Trust) desarrolla el marco formal de auditoría y evaluación de sistemas de firma electrónica avanzada en el contexto regulatorio marcado por el Reglamento Europeo UE 910/2014 (#eIdAS).

Como consecuencia de la toma en consideración de nuevos requisitos a incorporar en la metodología desarrollada, se ha redefinido el decálogo que recoge los principios básicos que deberán cumplir los sistemas evaluados a partir del año 2016.

Entre los aspectos sobre los que se realiza la auditoría, cabe destacar que los sistemas deberán cumplir los siguientes principios:

  1. Constancia de la prestación del consentimiento del firmante respecto de un documento por su propia voz y vinculación de la evidencia con el documento
  2. Resistencia a simulaciones de voz pregrabadas y sintetizadores de voz por posibles suplantadores.
  3. Simetría probatoria. Disponibilidad del documento para el firmante de forma inmediata y de los medios de prueba a un coste semejante al que tendría en papel la prueba sobre una firma manuscrita.
  4. Soporte duradero. Persistencia del documento para que las partes puedan probar la identidad de los firmantes y el contenido del documento en cualquier momento futuro.
  5. Posibilidad de comprobar la firma vocal y el contenido del documento por el firmante de forma sencilla, con una versión degradada de lo pronunciado por el firmante.
  6. Imposibilidad de extraer la voz grabada en alta calidad por parte de la entidad que aplica la tecnología y de incrustar la firma vocal en otros documentos.
  7. Posibilidad de comparar la voz grabada en alta calidad con otras indubitadas en un contexto forense y de resolución de controversias.
  8. Posibilidad de generar documentos híbridos, en papel y electrónicos.
  9. Disponibilidad de información para los firmantes o sus representantes legales respecto a la forma de aportar la prueba y analizarla en un contexto litigioso.
  10. Protección de la información conforme a la LOPD. Existencia de un procedimiento de detección y notificación a la autoridad de protección de datos de incidentes de seguridad que afecten a datos de carácter personal.

Como recordatorio, se indica a continuación el contenido del decálogo en el modelo de auditoría anterior:

  1. Captura de elementos biométricos dinámicos de la firma vocal y asociación criptográfica a un documento electrónico concreto.
  2. Gestión de evidencias electrónicas de la prestación del consentimiento.
  3. Imposibilidad de incrustar la firma vocal en documentos diferentes del que aceptó el usuario.
  4. Integridad demostrable de los documentos y de la información biométrica
  5. Confidencialidad de los datos biométricos y protección de la información conforme a la LOPD
  6. Posibilidad de comprobar la firma por el titular
  7. Simetría probatoria
  8. Soporte duradero
  9. Existencia de procedimiento de gestión de controversias que prevé la actuación de terceros de confianza y peritos informáticos y de otras especialidades
  10. Existencia de un procedimiento de detección y notificación a la autoridad de protección de datos de incidentes de seguridad que afecten a datos de carácter personal.

Los principios recogidos con anterioridad siguen siendo aplicables en el nuevo decálogo, que los refleja de forma diferente.

Además las entidades de auditoría y evaluación de la conformidad han desarrollado un checklist más extenso que recoge de forma detallada los múltiples requerimientos a cumplir.

 

Los contratos son acuerdos de voluntades y pueden tomar diversas formas. La forma contractual es el medio a través del cual se exterioriza el consentimiento de las partes. La voluntad de contratar puede mostrarse a través de hechos o actos concluyentes.

El contrato verbal es perfectamente válido excepto en los casos en los que la ley obligue a realizarlo en forma escrita, como en el caso de creación, modificación o extinción de derechos reales sobre bienes inmuebles, para los que se exige escritura pública ante Notario. Aunque son perfectamente legales, plantean un gran problema ya que es complicado probar su existencia en caso de incumplimiento.

El Código Civil en el artículo 1.278 establece que “Los contratos serán obligatorios, cualquiera que sea la forma en que se hayan celebrado, siempre que en ellos concurran las condiciones esenciales para su validez”.

Y, en el artículo 1.261 se indica que “No hay contrato sino cuando concurren los requisitos siguientes: 1º Consentimiento de los contratantes 2º Objeto cierto que sea materia de contrato y, 3º Causa de la obligación que se establezca”.

Sin embargo, los acuerdos de palabra suponen un problema en caso de desacuerdo en un momento posterior. Puede ser que resulte difícil probar su existencia porque una de las partes lo niega, o que ambas acepten su existencia pero no el contenido del acuerdo.

Por ello se ha extendido la cita en latín Verba volant scripta manent tomada de un discurso de Cayo Tito al senado romano, y que significa “las palabras vuelan, lo escrito permanece”.

Hasta no hace tanto, estas eran las principales maneras de probar que un contrato verbal era válido:

  1. Testigos: los testigos son una prueba admitida por el Derecho, por lo que es posible demostrar la existencia del acuerdo o aspectos del contenido si al celebrarlo estaban presentes otras personas que puedan actuar de testigos.
  2. Actos: Pueden ser actos anteriores, simultáneos o posteriores que muestren la intención de contratar de ambas partes.
  3. Hechos: Hechos que puedan demostrar que el contrato verbal realmente se celebró.
  4. Documentos: es posible que no haya un contrato por escrito detallando los términos pero sí se conserven otros documentos cuya existencia sea consecuencia lógica del acuerdo: recibos bancarios, facturas, emails, …

Ahora, gracias a la tecnología biométrica de voz, a la criptografía  y a soportes multimedia es posible realizar contratos verbales de forma presencial o a distancia (por ejemplo, por teléfono) garantizando la vinculación de las partes con el documento contractual , y gracias a previsiones incluidas en la normativa de firma electrónica, que un documento electrónico que sea soporte de la contratación verbal, lo sea de la firma electrónica vocal, que tendrá la consideración de firma electrónica avanzada.

 

A partir del pasado 1 de febrero de 2014 las empresas que cobran sus servicios a través de recibos domiciliados deben cumplir las obligaciones de obtención y custodia del mandato que establece la normativa SEPA. Los adeudos directos mediante recibo domiciliado correspondientes a clientes nuevos que se practiquen sin autorización, es decir, sin el requerido mandato, podrán ser objeto de devolución y reembolso durante los 13 meses siguientes al cargo no autorizado.

Estas obligaciones harán que el esfuerzo de las empresas se centre en acreditar la obtención del consentimiento del cliente para realizar el adeudo del recibo en su cuenta corriente.

Normativa actual

En la sección 4.1 del Core SDD Rulebook se establece que el mandato es una expresión de consentimiento y autorización del deudor al acreedor y menciona únicamente dos formatos: el mandato en papel con firma manuscrita y el e-mandato con firma electrónica. Esta lista tasada se confirma en las FAQ del portal SEPA del Banco de España  en las que se afirma que el mandato telefónico no es válido y sólo se contempla la firma manuscrita y la firma electrónica que equivalga a firma manuscrita según la ley. De ello se deduce que un e-mandato sólo sería válido si estuviese firmado por el cliente con firma electrónica reconocida.

Sin embargo, el EPC (European Payments Council) emitió una nota aclaratoria en la que explica que los métodos de firma descritos en la sección 4.1 del Core SDD Rulebook no son exhaustivos y que se puede considerar el uso de otros métodos de firma que sean legalmente vinculantes, incluyendo los utilizados en las normas locales vigentes hasta ahora.

En una declaración posterior del SEPA Council se ha valorado positivamente la intención del EPC de dar un mensaje claro a favor de la tesis de que los SDD Rulebooks no son un obstáculo para el uso continuado, después del 1 de febrero de 2014, de métodos válidos de mandatos electrónicos ya existentes , que son utilizados actualmente en algunas comunidades nacionales para iniciar transacciones de adeudo directo.

Métodos de firma

En España, la famosa sentencia del Tribunal Supremo de 3 de noviembre de 1997 establece que el requisito de la firma autógrafa puede ser sustituido, por el lado de la criptografía, por medio de cifras, claves y otros atributos alfanuméricos que permitan asegurar la procedencia y la veracidad de su autoría y la autenticidad de su contenido.

Más recientemente, en un Auto de 21 de marzo de 2013, el Tribunal Supremo ha aceptado como prueba los mensajes de correo electrónico certificados y de los SMS certificados. La validez probatoria de los SMS certificados ha sido reforzada desde la entrada en vigor de la exigencia de identificación en la contratación de una cuenta de telefonía móvil, incluidas las de prepago. El artículo 25 de la Ley de Servicios de la Sociedad de la Información, LSSI establece que las partes de un contrato pueden pactar la intervención de un tercero de confianza para que consigne la fecha y la participación de las partes y archive las declaraciones de voluntad. Se entiende que tiene que ser un tercero de confianza de las dos partes, es decir, aceptado libremente por ellas, ya que la imposición del tercero en una transacción de consumo podría llegar ser considerada como una cláusula abusiva.

La Ley de firma electrónica establece que la firma electrónica reconocida tendrá, respecto de los datos consignados de forma electrónica, el mismo valor que la firma manuscrita en relación con los consignados en papel. Pero también establece que no se negarán efectos jurídicos a una firma electrónica que no reúna los requisitos de firma electrónica reconocida en relación a los datos a los que está asociada por el mero hecho de presentarse de forma electrónica. Y añade que, cuando una firma electrónica se utilice conforme a las condiciones acordadas por las partes para relacionarse entre sí, se tendrá en cuenta lo estipulado entre ellas. Cabe decir en este punto que es altamente improbable que una empresa adopte la estrategia suicida de requerir el DNI electrónico para obtener los mandatos de sus clientes en la contratación de servicios recurrentes.

En el campo de la firma manuscrita en tableta ha habido importantes avances, al capturarse datos biométricos como, por ejemplo, el nivel de presión y la velocidad del trazo durante la ejecución de la firma. Los algoritmos aplicados a la autenticación en este formato de firma explotan el hecho de que el ser humano nunca firma exactamente igual, lo cual permite repudiar un documento que reproduzca la misma firma biométrica que otro anterior. Por otro lado, esta modalidad permite asegurar que el firmante estaba presente en el acto de la firma, algo que no es posible en otros sistemas de firma electrónica.

Otras modalidades de firma biométrica pueden ser, además de la firma dactilar, la firma vocal y la firma mediante vídeo, que algunas empresas están aplicando en ciertas modalidades de contratación, por ejemplo en ferias. Esta alternativa consistiría en aceptar el contrato leyendo el texto de aceptación en el que se reproducen los elementos clave del contrato mientras se graba la voz o la imagen y la voz del firmante y previa manifestación de consentimiento en relación al tratamiento de dichos datos. El fichero de audio o de vídeo quedaría unido al contrato con las correspondientes garantías técnicas de integridad. Hay que tener en cuenta, tanto en este punto como en los anteriores, las garantías adicionales que, en relación al consentimiento, exigirá la nueva Ley general para la defensa de los consumidores y usuarios en el caso de la contratación telefónica y online.

Posibles estrategias

Entre las estrategias que se han adoptado para la transición a SEPA de las domiciliaciones destacan las siguientes:

1. Asumir el riesgo de devolución, tras haber evaluado dicho riesgo y haber asignado una partida presupuestaria a las posibles devoluciones que puedan producirse.

2. Asumir el riesgo de rechazo de medios con los que el cliente no esté familiarizado, con el consiguiente descenso en las ventas al pedir el DNI electrónico o cualquier otro sistema de firma cualificada en la transacción y en la obtención del mandato.

3. Adaptarse a la oferta de las entidades financieras,  mediante la clave de firma de banca electrónica.

4. Utilizar los servicios de terceros de confianza en la obtención del mandato y sistemas de gestión y custodia de los mandatos aceptados, en conexión con el ERP corporativo.

5. Obtener el consentimiento online o por vía telefónica con la posterior verificación del consentimiento mediante alguna de las modalidades de firma comentadas  que ofrezca las garantías exigidas por la ley.

6. Analizar la viabilidad jurídica de diferentes modalidades de firma biométrica en la obtención del mandato. Especial atención merece la firma vocal ya que se puede realizar a distancia.

 

Newer entries »