93 266 16 14     info@signtosign.es     Iniciar Sesión

Firma electrónica real. No dejes que te engañen.

Nuestra recomendación es que tengas cuidado con soluciones que no dejarán ser ingeniosas, e incluso, con un grado de picardía o inteligencia para tomar atajos que, en el fondo, pretenden burlar el espíritu de la norma ante una incapacidad técnica o desconocimiento formal.

Te podemos asegurar que cualquiera de esos inventos no va a ser ni más económico, ni menos complejo de uso. Pero sí que te puede causar serios trastornos, si lo que realmente necesita tu organización es un transaccional electrónico con eficacia jurídica.

En el mercado actual, existe una importante distorsión e irresponsabilidad en el uso del término legal “firma electrónica”. Unos por desconocimiento, otros por simple picardía comercial, quieren crear una sensación de seguridad legal en base al prestigio alcanzado por la tecnología PKI.

La situación está llegando a limites realmente insospechados. Se utilizan todo tipo de argumentaciones y manejo del idioma. Alguna realmente eficaz como hacer una lectura sesgada del Reglamento eIDAS.

En ese tipo de argumentaciones se suele citar las definiciones técnicas publicadas en el Art. 3 del Reglamento (UE) 910/2014 (eIDAS)

«10) firma electrónica», los datos en formato electrónico anejos a otros datos electrónicos o asociados de manera lógica con ellos que utiliza el firmante para firmar»

Para sustentar que una firma electrónica puede ser cualquier procedimiento que se asemeje al descrito, y

«11) firma electrónica avanzada», la firma electrónica que cumple los requisitos contemplados en el artículo 26»

Unos y otros se olvidan de reseñar que un marco legal es, por naturaleza, técnicamente neutral. Pero en el caso de los servicios de confianza, el propio Reglamento eIDAS establece que se deben de seguir las normas aprobadas por la Comisión Europea. 


Considerandos Reglamento eIDAS.

«(64) A la hora de examinar formatos de firmas y sellos electrónicos avanzados, la Comisión debe basarse en los usos, normas y reglamentaciones vigentes, y en particular en la Decisión 2011/130/UE de la Comisión»

  • A tener en cuenta 2014/148/UE: Decisión de Ejecución de la Comisión, de 17 de marzo de 2014 , que modifica la Decisión 2011/130/UE.

Considerando:

“La utilización transfronteriza de las firmas electrónicas avanzadas basadas en un certificado reconocido queda facilitada en virtud de la Decisión 2009/767/CE de la Comisión […]”

 «(71) Con el fin de garantizar unas condiciones uniformes para la aplicación del presente Reglamento, deben conferirse competencias de ejecución a la Comisión, en particular, para que especifique los números de referencia de las normas cuya utilización daría la presunción del cumplimiento de determinados requisitos establecidos en el presente Reglamento. Estas competencias deben ejercerse de conformidad con el Reglamento (UE) no 182/2011 del Parlamento Europeo y del Consejo»

«(72) A la hora de adoptar actos delegados o actos de ejecución, la Comisión debe tener debidamente en cuenta las normas y especificaciones técnicas elaboradas por organizaciones y organismos de normalización europeos e internacionales, en particular el Comité Europeo de Normalización (CEN), el Instituto Europeo de Normas de Telecomunicación (ETSI), la Organización Internacional de Normalización (ISO) y la Unión Internacional de Telecomunicaciones (UIT), con vistas a garantizar un elevado nivel de seguridad e interoperabilidad de los servicios de identificación electrónica y de confianza»

Todas las normas ETSI de referencia, solo contemplan como método de creación de una firma electrónica el empleo de un certificado electrónico, y la creación de una firma electrónica avanzada basada en un certificado cualificado.

Además,

«((7) El Parlamento Europeo, en su Resolución de 21 de septiembre de 2010 sobre la plena realización del mercado interior del comercio electrónico (1) subrayó la importancia de la seguridad de los servicios electrónicos, especialmente de la firma electrónica, y la necesidad de crear una infraestructura de clave pública a nivel paneuropeo, y pidió a la Comisión que estableciese una pasarela de autoridades europeas de validación a fin de garantizar la interoperabilidad transfronteriza de las firmas electrónicas y aumentar la seguridad de las transacciones realizadas a través de Internet.»

Una infraestructura de clave pública (PKI) se corresponde a una infraestructura capaz de emitir certificados electrónicos.

«(52) Debido a sus múltiples ventajas económicas, debe desarrollarse la creación de firmas electrónicas a distancia en un entorno de creación de firma electrónica gestionado por un prestador de servicios de confianza en nombre del firmante. Sin embargo, a fin de garantizar que estas firmas electrónicas obtengan el mismo reconocimiento jurídico que las firmas electrónicas creadas en un entorno completamente gestionado por el usuario, los prestadores que ofrezcan servicios de firma electrónica a distancia deben aplicar procedimientos de seguridad de la gestión y administrativos específicos y utilizar sistemas y productos fiables, incluidos canales de comunicación electrónica seguros para garantizar que el entorno de creación de firmas electrónicas es fiable y se utiliza bajo el control exclusivo del firmante. En el caso de una firma electrónica cualificada creada mediante un dispositivo de creación de firmas electrónicas a distancia, se aplicarán los requisitos aplicables a los prestadores cualificados de servicios de confianza contemplados en el presente Reglamento.»

España regula el Servicio de Firma a Distancia, el cual debe de estar acreditado oficialmente, siempre basado en una infraestructura de clave pública.

«(61) El presente Reglamento debe garantizar la conservación a largo plazo de la información, es decir, la validez jurídica de la firma electrónica y los sellos electrónicos durante períodos de tiempo prolongados, garantizando que se puedan validar independientemente de la evolución futura de la tecnología.»

Solo existen normas técnicas que establecen los requerimientos para garantizar la larga vigencia de una firma electrónica.

ANEXO IV Reglamento eIDAS

«i) el lugar en que está disponible gratuitamente el certificado que respalda la firma electrónica avanzada o el sello electrónico avanzado a que se hace referencia en la letra h) »

PARTNER

Conviértete en PARTNER / Become a PARTNER

Icono Partners

x