El real decreto-ley sobre la firma electrónica
| Autor | Guillermo Alcover Garau |
| Cargo | Catedrático de Derecho mercantil Universidad de las Islas Baleares |
| Páginas | 1-20 |
-
Introducción
Ofrecer al posible lector una primera aproximación de una norma jurídica como el Real Decreto-ley 14/1999, de 17 de septiembre, sobre firma electrónica1, no es tarea fácil.
En efecto, ante lo novedoso del tema, no es posible sólo detenerse exclusivamente en el análisis de la norma legal, sino que parece preciso estructurar la exposición en tres grandes apartados:
- ante todo, hay que explicar con alguna extensión la función que debe cumplir la firma electrónica como elemento de seguridad del comercio electrónico, lo que además obliga a exponer toda una serie de conceptos técnicos.
- con estos elementos de análisis, se puede ya en la parte central de estas páginas examinar la normativa del Real Decreto-ley.
- finalmente, resta considerar breve y críticamente si esta normativa ha estructurado como debe la firma electrónica, o sea, la ha estructurado de forma tal que favorece efectivamente la seguridad del comercio electrónico.
Y todo ello hay que hacerlo además por razones de espacio de forma sintética, centrándose en lo esencial, por lo que muchos aspectos importantes tan solo podrán, en el mejor de los casos, apuntarse2.
-
La función y estructuración de la firma electrónica
El comercio electrónico es imparable: la contratación de bienes y servicios a través de las redes informáticas y telemáticas ofrece nuevas fuentes de negocio para las empresas y pone a disposición de los consumidores toda una amplia gama de productos y servicios.
El fenómeno del comercio electrónico apareció en un primer momento en el seno del tráfico entre empresarios a través de redes cerradas. La utilización de dichas redes implica, entre otros extremos, los siguientes:
• que los participantes en el tráfico puedan pactar en soporte papel previamente a la utilización de las redes cómo se estructurará entre ellos este tráfico.
• que las operaciones realizadas a través de la red tengan una cierta importancia económica (grosso modo, se trata de ventas al por mayor) , lo que implica en ocasiones la necesidad de que las mismas se estructuren de forma tal que ambas partes tengan una prueba de la operación análoga a la prueba que tienen cuando el negocio de que se trate se plasma en un documento sobre papel.
Hay que tener en cuenta que esta necesidad no existe siempre o, al menos, no impide el tráfico a través de la red. En efecto, puede que entre las partes haya un elevado grado de confianza o que el riesgo de no tener prueba de la operación se asuma a la vista de las posibilidades de beneficio que la misma reporte.
Otras veces, por el contrario, el riesgo se considera demasiado elevado y, salvo que haya posibilidad de obtener una prueba de la operación similar a la del documento sobre papel, la operación a través de la red no se lleva a cabo.
Por ello es necesario estructurar medios técnicos que posibiliten la obtención de tal prueba y definirlos en debida forma en el acuerdo previo por el que se decide realizar negocios a través de la red.
Posteriormente a la iniciación del comercio electrónico a través de redes cerradas se ha desarrollado, exponencialmente además, el fenómeno internet, el fenómeno de una red abierta con inmensas posibilidades tanto de negocios entre empresarios, al ser la red mundial, como de negocios de consumo: los consumidores participan activamente en la red.
Obsérvese que la realidad va tan rápida que en pocos años ha cambiado por completo el marco en el que se mueve el comercio electrónico: por una parte, en la red abierta las posibilidades de realizar negocios entre empresarios aumentan exponencialmente; por otra, la masiva presencia de consumidores altera por completo el tipo de tráfico (grosso modo, en internet se practica también, y en gran medida, la venta al por menor y además en forma por completo distinta a la tradicional) .
Lo anterior determina que ya hayan cambiado las circunstancias: entre los empresarios hay un grado mucho menor de confianza, cuando no un completo desconocimiento, perdiendo así relevancia los acuerdos previos entre empresarios para estructurar posteriores negocios electrónicos, acuerdos previos infrecuentes también entre empresarios y consumidores, de donde es preciso que sea la ley la que regule esta forma de negociar, máxime si se tiene en cuenta la necesidad que surge de proteger al consumidor ante las nuevas posibilidades de abuso que acompañan a las de negocio.
Y en este tráfico abierto se tiene también la necesidad de probar los contratos electrónicos, necesidad que ante estos nuevos hechos se modaliza en dos direcciones opuestas: por un lado, al disminuir el grado de confianza entre las partes, aumenta la necesidad de tener prueba de las operaciones; por otro, al ser las operaciones entre empresarios y consumidores de escasa trascendencia económica, el riesgo de no tener prueba de la operación se estima muchas veces asumible.
En conclusión, el tráfico económico a través de las redes informáticas y telemáticas ha sufrido ya en poco tiempo cambios significativos, pero ha permanecido, aunque alterando sus perfiles, la necesidad de los operadores económicos, sean empresarios o consumidores, de tener prueba de las operaciones realizadas a través de estas redes, y ello pese a que a veces se asuma el riesgo de no poder probar la transacción o el riesgo no se estime significativo debido al grado de confianza entre las partes.
Y hacer frente a esta necesidad de prueba es precisamente la función de la firma electrónica, para cuyo análisis es preciso empezar señalando que el que dos empresarios o un empresario y un consumidor que se relacionan comercialmente a través de un sistema de redes informáticas y telemáticas puedan probar la existencia de la operación que realizan y de su contenido implica que ambos puedan probar en relación con todos y cada uno de los mensajes que se hayan intercambiado:
• que el emisor (que se denominará [A] a efectos de claridad expositiva) emitió el mensaje.
• que lo emitió con determinado contenido.
• que el receptor (que se denominará [B]) lo recibió.
• que lo recibió en los términos emitidos por [A] de forma tal que ningún tercero lo ha alterado.
Además, tanto [A] como [B] deben poder probar estos extremos, ya que la peor situación no es aquélla en la cual ni [A] ni [B] pueden probar la operación, sino aquélla en la que uno sólo de los dos tiene tal posibilidad.
Para solucionar las aludidas cuestiones se utilizan en la actualidad las denominadas firmas digitales basadas en los criptosistemas con claves asimétricas, firmas entre las que destaca el criptosistema RSA.
El criptosistema de claves asimétricas se basa en que cada uno de los operadores tiene dos claves, una privada que sólo él conoce y una pública que conocen o pueden conocer todos los intervinientes en el tráfico. Cuando el operador [A] quiere enviar un mensaje electrónico aplica al mismo su clave privada y el mensaje así cifrado se envía a [B], que al recibir el mensaje le aplica la clave pública de [A] para obtener el mensaje descifrado. Por ello se denomina al criptosistema asimétrico, ya que para cifrar y descifrar los mensajes se utilizan dos claves distintas.
El sistema es unidireccional, lo que significa que a través de la clave pública de [A] utilizada por [B] para descifrar el mensaje cifrado con la clave privada de [A] no es posible con el actual estado de la tecnología informática que [B] acceda a la clave privada de [A]. De esta forma, se garantiza el secreto de la clave privada de éste.
De lo anterior se deduce que cuando [B] aplica al mensaje cifrado la clave pública de [A] sólo puede obtener un mensaje inteligible si se ha cifrado con la clave privada de [A]. Además, un tercero no puede eficazmente alterar el mensaje cifrado enviado por [A], ya que si se introduce en la red y lo altera cuando [B] aplique al mismo la clave pública de [A] el mensaje será ininteligible. Y por lo mismo una vez recibido por [B] el mensaje cifrado, éste no puede alterarlo. Todo lo anterior implica que si [B] al hacer la operación de descifrado con la clave pública de [A] obtiene un mensaje inteligible puede presumir no sólo que el mensaje proviene de [A] y sólo de éste, sino también que lo recibe tal como lo ha mandado [A]. Y así, si guarda tal mensaje cifrado puede probar tanto que el mensaje lo ha emitido [A] -la autoría-, como que el mensaje no ha sido alterado -su contenido o su integridad-3.
Ahora bien, es preciso estructurar cuando se introduce el sistema de firma electrónica toda una serie de medidas complementarias que son imprescindibles para que el sistema sea de verdad operativo, de forma tal que, al ser éste un todo coordinado, la falta de solo una de estas medidas debilita irremediablemente el sistema en su conjunto. Además, este sistema debe establecerlo la ley, ya que, como se ha señalado, los acuerdos entre operadores pierden significación en las redes abiertas.
Dichas medidas son las siguientes:
-
Ante todo, se debe presumir que si el mensaje descifrado con la que efectivamente es la clave pública de [A] es inteligible, el mensaje es de [A], por lo que éste asume el riesgo derivado de que un tercero se apropie de su clave privada y mande un mensaje a [B]4.
-
Mientras la firma manual va ligada indisolublemente a la persona del firmante, ello no ocurre con la firma electrónica que es una pura secuencia de datos electrónicos, de donde surge la necesidad de ligar a los operadores con sus claves a fin de que cuando [B] reciba un mensaje cifrado y lo descifre con la clave pública de [A] obteniendo un mensaje en claro puede tener la seguridad de que efectivamente el firmante es quien dice ser, es [A], y no haya sucedido que un tercero [T] haya creado un par de claves asimétricas y se las haya asignado a [A], pasando a firmar mensajes con la clave secreta.
A tal fin aparecen los denominados prestadores de servicios de certificación y los certificados de clave pública, que se estructuran como sigue:
- [A] se dirige al proveedor de servicios de certificación y le comunica...
-
Para continuar leyendo
Solicita tu prueba