Información jurídica inteligente
 España | 900 649 672

Tipología legal de la firma electrónica en la unión Europea

Document Citado por Relacionados
Vincent
AutorIgnacio Alamillo Domingo
CargoResponsable de Consultoría
Páginas19-42

  1. Introducción

    Las tecnologías de autenticación han experimentado un importante avance en los últimos años, debido a la necesidad de proteger las comunicaciones en redes abiertas como Internet.

    Siguiendo a Ribagorda, podemos decir que la autenticación es un servicio de seguridad que tiene por objeto corroborar la identidad alegada por un usuario participante en una sesión[1].

    Los mecanismos de autenticación, en los que profundizaremos más adelante[2], han ido evolucionando hacia el empleo de la firma digital, y parejo a las primeras implantaciones de la firma digital, y para potenciar más los efectos generadores de confianza en las tecnologías de autenticación, se ha procedido a otorgar diversos efectos jurídicos a las mismas.

    La mayoría de las regulaciones sobre autenticación han adoptado el concepto de firma electrónica, que es un concepto más genérico y tecnológicamente neutral, que conceptos como el de la firma digital.

    No todas las tecnologías de autenticación ofrecen las mismas garantías al usuario, y por este motivo, también la regulación jurídica normalmente distingue entre diferentes niveles de firma electrónica, con diferentes efectos jurídicos.

    En este artículo[3] se presentan los niveles legales de firma electrónica en Europa, a tenor de la Directiva 99/93, de 13 de diciembre, por la que se establece un marco común para la firma electrónica en los Estados miembros de la Unión Europea, y de otras normas del ordenamiento jurídico comunitario.

    Las prescripciones de la Directiva son válidas en toda la Unión, debido a que las legislaciones de los Estados Miembros deberán ser coherentes con la Directiva, facilitando una interpretación uniforme muy conveniente y necesaria en el contexto de Internet.

    Interesa destacar que los conceptos de la Directiva, precisamente por su neutralidad tecnológica, deben ser interpretados técnicamente, al objeto de determinar si una determinada tecnología de autenticación entra dentro de las definiciones de firma que se contienen en el texto de la Directiva (bien se trata de definiciones explícitas o implícitas).

    Estos trabajos cobran especial importancia en la interpretación de los conceptos de firma electrónica avanzada, certificado reconocido y dispositivo seguro de creación de firma, entre otros.

    A tal efecto, se ha constituido la Iniciativa Europea de Normalización de la Firma Electrónica (EESSI, en sus siglas en inglés) , formada por representantes de la Comisión Europea, de los gobiernos de los Estados Miembros, de los cuerpos de normalización, incluyendo al Instituto Europeo de Normalización de las Telecomunicaciones (ETSI, en sus siglas en inglés) y al Comité Europeo de Normalización (CEN, en sus siglas en inglés) , y, finalmente, representantes de la industria de cada uno de los Estados de la Unión.

    La EESSI es una iniciativa dirigida por las necesidades de la industria, al objeto de fomentar la interoperabilidad de los sistemas de firma electrónica reconocida, que analizaremos más adelante[4], y que se interpreta, en clave tecnológica, como una firma digital de alta calidad, basada en un certificado gestionado dentro de una PKI con elevadas garantías, y generada empleando un token o dispositivo criptográfico de seguridad ciertamente elevada.

    A lo largo del texto haremos referencia a alguno de los trabajos que ETSI y CEN han realizado bajo los auspicios de la iniciativa EESSI, por su valor como interpretación técnica correcta de los conceptos de la Directiva.

  2. La firma electrónica ordinaria:

    1. Definición

      El primer tipo de firma electrónica puede identificarse como firma electrónica ordinaria, y, de acuerdo con el artículo 2. 1 Directiva 99/93, son los da-tos en forma electrónica anejos a otros datos electrónicos o asociados funcionalmente con ellos, utilizados como medios de autenticación.

      Esta definición permite que todos los mecanismos técnicos de autenticación sean potencialmente considerados como la firma electrónica de una persona, dado que, de acuerdo con el artículo 5. 2 Directiva 99/93, los Estados miembros velarán porque no se niegue eficacia jurídica, ni la admisibilidad como prueba en procedimientos judiciales, a la firma electrónica por el mero hecho de que:

      - ésta se presente en forma electrónica, o

      - no se base en certificado reconocido, o

      - no se base en un certificado expedido por un proveedor de servicios de certificación acreditado, o

      - no esté creada por un dispositivo seguro de creación de firma.

      Como indica Ribargorda[5], existen tres procedimientos habituales para lograr la autenticación: un dato exclusivamente conocido por el usuario, es decir, una contraseña o palabra de paso (password, en inglés) –, o un objeto en poder del usuario, como por ejemplo una tarjeta de banda magnética o de circuito integrado, popularmente conocida ésta última como inteligente o chip –, o mediante un procedimiento biométrico, la huella dactilar, la geometría de la mano, el iris, el patrón de venas del fondo del ojo, la faz, la mano, etc. . o un rasgo distintivo de comportamiento del usuario, firma autógrafa, cadencia de pulsación de las teclas, velocidad de manejo del ratón, etc. Sigue indicando el autor que estos tres procedimientos suelen expresarse, de forma coloquial, como algo que se sabe, algo que se tiene o algo que se es.

      ADAMS y LLOYD[6] profundizan en el concepto de autenticación, indicando que la autenticación es un servicio de seguridad que consiste en obtener una garantía de que una entidad es quién o lo que dice ser, pudiendo autenticarse personas o máquinas.

      Los servicios de autenticación se emplean para dos finalidades:

    2. La identificación de entidades, que simplemente identifica a la entidad (persona o máquina) ,

    3. La identificación de origen de datos, que vincula a la entidad identificada con ciertos datos, creando un vínculo estático e irrevocable entre el firmante y el mensaje firmado.

      Es en este segundo sentido en el que deberíamos pensar en una firma electrónica ordinaria, lo cual nos lleva a descartar algunos mecanismos de autenticación como firma electrónica. Veámoslo:

      Es correcto pensar, en principio, en que todos los mecanismos de autenticación, como el número personal de identificación (PIN, en sus siglas en inglés) sirven como firma electrónica, y de hecho, en gran cantidad de contratos de acceso a servicios telemáticos, se establece que el PIN del usuario es la firma electrónica[7] del usuario.

      A pesar de que esta consideración es correcta, no elimina la realidad de las cosas, y esta realidad es que el PIN –al igual que sucede con los mecanismos de seguridad simétricos, en los que ambas partes conocen los datos para la autenticación. puede utilizarse para lograr una autenticación en el sentido de identificar a la entidad (en este caso, a la persona) , pero difícilmente va a permitir una autenticación en el sentido de vincular un mensaje de datos con esa persona.

      De este modo, podemos tener que un PIN puede calificarse de firma electrónica ordinaria, pero el propio sentido común nos indica que no puede ser en todos los casos una firma equivalente a una firma manuscrita, porque no establece un vínculo con el firmante.

    4. Los efectos jurídicos de la firma electrónica ordinaria:

      El hecho de que la firma electrónica ordinaria no permita en todo caso establecer un vínculo entre firmante y mensaje firmado tiene un impacto directo en la efectividad potencial de la firma electrónica ordinaria: porque la lectura correcta del artículo 5. 2 Directiva 99/93 es que no se negarán efectos a la firma por esas circunstancias específicas, pero que sí se podrán negar efectos por otras circunstancias, como que la firma electrónica no pueda considerar suficientemente segura, o que no permita establecer un vínculo suficientemente fiable entre firmante y mensaje firmado.

      En el caso del PIN, la ausencia de este vínculo es dramáticamente palpable: no hay operación objetiva que permita verificar que mensaje y firma corresponden el uno al otro, a diferencia de lo que sucede con una firma digital. Por el contrario, este vínculo es puramente arbitrario, establecido en un registro (log, en inglés) operado por el comercio, por ejemplo, que no tiene impedimento técnico alguno para inventarse transacciones del usuario, dado que la firma de la transacción es un número PIN que el comercio conoce perfectamente.

      Por este motivo, debemos establecer que sólo una firma digital debería sustentar una firma electrónica ordinaria[8], por los riesgos legales que otra solución plantean a las partes.

  3. La firma electrónica avanzada:

    1. Definición:

      El segundo tipo de firma electrónica se denomina legalmente firma electrónica avanzada, y de acuerdo con el artículo 2. 2 Directiva 99/93, se define como la firma electrónica que cumple los requisitos siguientes:

      1. estar vinculada al firmante de manera...

Para continuar leyendo

Solicita tu prueba

Búsquedas relacionadas:

Otros documentos interesantes:

VLEX utiliza cookies de inicio de sesión para aportarte una mejor experiencia de navegación. Si haces click en 'Aceptar' o continúas navegando por esta web consideramos que aceptas nuestra política de cookies. ACEPTAR