¿Estamos preparados para la firma electrónica reconocida?

30 Oct 2011

Compartelo:Share on Facebook0Share on Google+0Tweet about this on TwitterShare on LinkedIn0

No son pocos los foros de discusión en los que en mayor o menor medida se continúa debatiendo sobre el éxito o el fracaso de la implantación del DNIe en España.

Sin embargo, este artículo no pretende ser uno más de ellos, sino más bien pretende plantear una pregunta muy relacionada al uso de un dispositivo como el DNIe según la normativa de Firma Electrónica; ¿estamos preparados para la Firma Reconocida?

Para ponernos en situación, una breve y necesaria explicación sobre los niveles de la firma según nuestra normativa actual.

Niveles de Firma

Según la Ley 59/2003 de Firma Electrónica, estas tres modalidades de firma electrónica quedarían definidas de la siguiente forma:

Artículo 3. Firma electrónica, y documentos firmados electrónicamente.

  1. La firma electrónica es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante.
  2. La firma electrónica avanzada es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control.
  3. Se considera firma electrónica reconocida la firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma.

Esto aterrizado a la tierra y con ejemplos prácticos sería igual a:

  1. firma simple: por ejemplo, CVS (código de verificación segura) proporcionado por un Registro Electrónico, Internet Banking, etc. y que nos permite identificar un documento asociado a un titular. En realidad, el concepto de firma “simple” no viene recogido como tal en la Ley de Firma Electrónica, pero sí se ha popularizado de esta forma, sobre todo si va de la mano de otros mecanismos contemplados en normativas asociadas, como la Ley 11/2007 y la vinculación de CVS’s generados desde una Sede Electrónica. (ver artículo sobre este asunto en el Blog de Julián Inza)
  2. firma avanzada: la más conocida, extendida y veterana en nuestra país, el más claro ejemplo, la firma realizada en la Agencia Tributaria a la hora de presentar nuestro borrador y con nuestro certificado digital basado en software (p12) de la FNMT (y otras CA’s).
  3. firma reconocida; se trata de una firma avanzada pero que además ha sido realizada con un certificado reconocido, es decir, fue emitido por una CA autorizada por el MITyC, y además, y aquí viene lo más importante, fue generado desde un dispositivo seguro de creación de firma, por ejemplo un HSM o el famoso DNIe.

Equivalente a la Firma Manuscrita

Siendo purista, sólo la firma reconocida es la que tiene plena equivalencia con la manuscrita, pero entonces, ¿alguien se atrevería a afirmar que la AEAT lleva años aceptando firmas “no legales”? ¿De cuántos millones de operaciones y documentos firmados estamos hablando?

De la misma forma en la que en materia jurídica se deben aplicar criterios de proporcionalidad, aquí estaríamos ante algo parecido: ¿sacrificamos tecnicismos en detrimento de masificar un servicio a la ciudadanía?, es decir, ¿de cuántos millones de declaraciones presentadas electrónicamente estaríamos hablando a día de hoy si la AEAT hubiera exigido firmas reconocidas en lugar de avanzadas. Probablemente no darían ni para la portada de un post.

Democratización

No cabe duda que el DNIe ha conseguido estar en el bolsillo de más de 25 millones de españoles pero, en cuántos de ellos tenemos un certificado digital (en realidad un par de ellos), y en cuántos otros tenemos un mero plástico identificativo (el carné de identidá como dirían mis padres).

Firma Móvil

Con este escenario de distintos niveles de firma, y el fomento del uso de un tipo de dispositivo que no llega a cuajar como el DNIe, tenemos los ingredientes necesarios para hablar de la Firma Móvil.

No hay discusión sobre la penetración de smartphones en nuestras vidas, a nivel personal y a nivel profesional. Por ello nos enfrentamos a un fenómeno parecido al descrito antes con la AEAT.

Es decir, con la AEAT podemos presumir de ser el motor de la Firma Electrónica en España, y lo consiguió porque, manteniendo las distancias, no era algo tan complicado. En este caso, se valieron de firmas avanzadas y con ello pudimos usar certificados digitales en formato software p12. El resultado: masificación del servicio.

Y qué tiene esto que ver con la Firma Móvil, mucho.

Firma Móvil: reconocida

Las primeras experiencias de Firma Móvil en este país comenzaron por lo complicado, por la firma reconocida, cómo no.

Acuerdos titánicos entres las grandes operadoras (Vodafone y Movistar) con la FNMT para conseguir lo imposible; tener el certificado de éstos en la SIM de los terminales vendidos como una práctica habitual.

De esta forma cubrirían el requisito para ser firma reconocida: […] generada mediante un dispositivo seguro de creación de firma […].

Para ello, tendrían que certificar la SIM y el proceso de creación del certificado dentro de la misma.

Seis años después de aquel intento qué tenemos: prototipos y soluciones en cajones de muchos ilusionados, entre ellos nosotros con nuestro primer prototipo para Symbian con un cliente de firma, allá por 2006.

Firma Móvil: avanzada

Buscamos facilitar las cosas? buscamos democratizar el servicio, bueno, de esto ya se encargan los grandes, pero en este caso, los grandes del lado de la fabricación, y me refiero a Apple, Android , BlackBerry y Microsoft.

¿Algo natural?; conectar tu iPhone, abrir iTunes y sincronizar (arrastrar) tu música, fotos, vídeos, contactos….y, tus Certificados Digitales en formato software (p12), ¿por qué no? Práctico y Cotidiano.

Firma Móvil: simple

Bueno, por seguir con la definición que hice al principio de Firma Electrónica, no voy a dejar esta comparación sin su pareja, por lo que estaríamos hablando de firma simple en el móvil aquella en la que, de algún modo, se inicia en el dispositivo móvil, pero que en la práctica no se realiza en él.

Prácticas habituales en este caso son aplicaciones que realizan una petición de firma a servidor, en donde se tiene un Certificado Digital instalado, y es ahí donde se realiza la firma.

En este caso, en ningún momento se puede garantizar que el firmante puede mantener bajo su exclusivo control los datos de creación de firma (su certificado) porque sencillamente, éste no está en el terminal, sino en un servidor remoto.

En próximos artículos hablaré de las distintas prácticas de Firma Móvil aquí descritas con casos de uso reales.

Conclusiones

Me siento privilegiado por haber sido testigo de primera línea de la evolución de la Firma Electrónica en España (y por suerte en LATAM), y más aún de la Firma Móvil, y por ello tengo claro una cosa: lo práctico sube como la espuma, y si lo práctico se hace cotidiano, tendremos éxito.

Post relacionados

Compartelo:Share on Facebook0Share on Google+0Tweet about this on TwitterShare on LinkedIn0

2 Respuestas to “¿Estamos preparados para la firma electrónica reconocida?”

  1. dani 22 de Octubre de 2013 at 15:12 #

    ¿Seguro que un certificado reconocido es aquel emitido por una CA que ha sido autorizada por el Mityc?

    ¿Dónde pone eso?

    Certificado Reconocido = Qualified Certificate ¿?

  2. Jorge Castillo 23 de Octubre de 2013 at 10:21 #

    Con certificado reconocido, en este contexto, mi compañero se refiere a un certificado emitido por una CA reconocida (por el MITyC sí).

Dejar un comentario

*