FIRMA ELECTRONICA. Un eficaz y seguro instrumento para firmar documentos en Internet con la misma validez jurídica que la firma manuscrita
¿Es segura la red para realizar transacciones con contenido económico y jurídico? Evidentemente la seguridad total no existe, pero hoy en día existen implantados sistemas capaces de garantizar altos niveles de seguridad en la red, mayores incluso que en el negocio tradicional, Y la fórmula se ha encontrado en la “firma electrónica” y en los proveedores de “servicios de certificación”.
¿En qué consiste?
Consiste en un conjunto de datos generados mediante un algoritmo matemático y basado en técnicas criptográficas que se añade al documento que se quiere enviar por Internet y que permite vincular ese documento a una determinada persona o entidad. Este sistema cifra los mensajes gracias a dos claves, una pública y otra privada, vinculadas entre sí. Toda la información que un usuario que disponga de un certificado con firma electrónica mande a través de la Red estará asociada a su clave privada, que sólo él conoce, emparejada con una clave pública en manos del receptor. Al recibir el mensaje -que llega encriptado- introduce la clave pública y se descodifica la información. Así se verifica la procedencia del mensaje y se comprueba que verdaderamente ha sido firmado por el emisor, a la vez que se la integridad del contenido.
La Directiva 1999/93/CE del Parlamento Europeo y del Consejo de la Unión Europea, creó un marco jurídico para la firma electrónica y para determinados servicios de certificación, con el fin de garantizar un adecuado funcionamiento del mercado comunitario y además formuló la necesidad de buscar acuerdos transfronterizos para garantizar la interoperabilidad a nivel mundial. Esta Directiva entiende por “firma electrónica”.los datos en forma electrónica anejos a otros datos electrónicos o asociados de manera lógica con ellos, utilizados como medio de autenticación…” (Artículo 2.1).
La firma electrónica es un bloque de caracteres que se añade a un documento o fichero para acreditar quien es su titular (autenticación) y también para detectar que no haya habido ninguna manipulación subsiguiente de los datos (integridad). En la firma el titular utiliza el código personal que el solo conoce (criptografía asimétrica) y esto es lo que impide que después se pueda negar su autoría (no revocación o no repudio). De este modo el titular de la firma queda vinculado por el documento emitido e igualmente la validez de la firma podrá ser adverada por cualquier persona que disponga de la clave pública de titular.
¿ Qué es un certificado de seguridad electrónico?
Los certificados electrónicos son dispositivos que posibilitan el almacenamiento de diversos datos relativos al propietario de los mismos (datos personales, claves, etc) y permiten identificarlo en la red, garantizando tanto la emisión de los datos, como su recepción, la integridad de la información transmitida, la confidencialidad y lo más importante, el no repudio de la transacción.
La Ley 59/2003 de Firma Electrónica, en su artículo 6, nos da el siguiente concepto: Un certificado electrónico es un documento firmado electrónicamente por un prestador de servicios de certificación que vincula unos datos de verificación de firma a un firmante y confirma su identidad. El firmante es la persona que posee un dispositivo de creación de firma y que actúa en nombre propio o en nombre de una persona física o jurídica a la que representa.
¿Para qué sirve un certificado de seguridad electrónico?
El certificado de seguridad electrónico puede ser utilizado para muchas aplicaciones, que van desde la firma de documentos hasta la identificación dentro de una organización. Un certificado de seguridad es una identidad digital, y por tanto como identidad, sirve entre otros, para los siguientes usos:
-
Firma digital. El certificado de seguridad se utiliza para firmar todo tipo de documentos digitales, desde simples e-mails hasta los más complejos contratos mercantiles. Esto implica garantía de no repudio, de conocimiento inequívoco de quien es el emisor del documento y de la integridad del documento, es decir, que el documento firmado es el original y que nadie ha modificado su contenido después de su firma.
-
Seguridad en la comunicación. El certificado sirve para codificar una comunicación entre dos personas, haciendo que toda la información transmitida sea confidencial. Con ello se garantiza que cualquier documento enviado por una persona a otra estará cerrado y sólo podrá ser abierto por su legítimo destinatario. A su vez es igualmente aplicable cuando el emisor o bien el receptor no son una persona sino un servidor de internet, y por tanto, la información enviada o recibida de este servidor estará codificada con el fin de que sólo el auténtico receptor pueda leerla.
-
Seguridad entre las partes: Uno de los problemas se plantean es el de que a veces no estamos seguros de que el receptor sea realmente quien dice ser y por lo tanto el emisor puede tener dudas acerca de si enviar una información o no. Aquí es donde la autoridad de certificación que es la parte de confianza tiene un papel importante puesto que certifica a este como el auténtico receptor.
¿Qué son los servicios de certificación?
La identidad en la Red está basada en la existencia de las terceras partes de confianza, que son las entidades que verifican y dan fe de la identidad de los internautas. Los Servicios de certificación son entidades públicas o privadas cuyo fin es el de verificar la identidad y otros datos relevantes de una persona para que ésta pueda identificarse en la Red.
Existen diferentes entidades de certificación que emiten certificados de seguridad para personas, para empresas, para colectivos, para colegios profesionales, para universidades o para entes públicos. Entre otros tenemos los siguientes prestadores: AC Abogacía, ANCERT (Agencia Notarial de Certificación), ANF AC, Autoritat de Certificació de la Comunitat Valenciana (ACCV), Banesto CA, Camerfirma, CATCert, CERES (Fábrica Nacional de Moneda y Timbre), CICCP, Dirección General de la Policía y de la Guardia Civil, Firmaprofesional S.A., Izempe SA, Telefónica Empresas..
Resulta evidente que los certificados emitidos por cada prestador suelen estar vinculados a determinados colectivos de usuarios. Así, por ejemplo, un DNI electrónico emitido por la Policía será inicialmente aceptado para realizar trámites con la administración pública, mientras que un certificado emitido por un Colegio profesional (AC Abogacía) será aceptado como instrumento electrónico que identifique al colegiado respecto a su actividad profesional, o un certificado de las cámara de comercio (Camerfirma) será aceptado por las empresas adheridas en sus transacciones comerciales.
En el tráfico mercantil entre empresas y sobre todo cuando las transacciones son internacionales, la entidad mas reconocida es Camerfirma, otorgada por las Cámaras de Comercio y que a su vez tiene acuerdos internacionales con otras Cámaras Europeas y Mundiales. Para las relaciones con la Administración Pública, los certificados mas adecuados resultan ser el DNI y los que otorga la Fábrica Nacional de Moneda y Timbre (ANCERT). Para las relaciones con Administraciones Autonómicas, puede resultar aconsejable acudir a sus propias autoridades de certificación (Izempe en el País Vasco, ANF en Cataluña, o ACCV en Comunidad Valenciana).
¿cómo se obtiene un certificado?
Conseguir un certificado con firma electrónica es bastante sencillo. Los nuevos documentos nacionales de identidad ya lo tienen incorporado. Para obtener otros certificados basta con acercarse a cualquiera de las autoridades de certificación existentes. Allí un oficial de acreditación comprobará la identidad del usuario (sea persona física o jurídica) y acto seguido suscribirá el correspondiente contrato de prestación del servicio de certificación y se les facilitarán las correspondientes claves.
Por ejemplo
Fábrica Nacional de moneda y Timbre (Ancert).- Se entra en su página web, se rellena un formulario, se le facilite una referencia y con ella se acude a cualquier oficina de la Agencia Tributaria para acreditar la identidad y para continuar con el proceso de facilitación de las claves públicas y privadas.
Camerfirma.– El Interesado se persona en cualquier cámara de Comercio, se acredita mediante su DNI si es persona física, o si es persona jurídica acredita mediante escritura pública su representación legal, y procede a suscribir el correspondiente contrato para subsiguientemente facilitar el instrumento informático de generación de claves.