Síguenos: FaceBook Twitter LinkedIn RSS Feed RSS Comentarios

Firmas que no firman

23 mayo, 2011 | Por Autor: Rafael Rivera en Seguridad jurídica y eficiencia

En unos cuantos medios ha aparecido la siguiente noticia en referencia a la controvertida sentencia del Tribunal Constitucional sobre Bildu: “La sentencia del Constitucional no dudó en desechar la prueba clave contra Bildu porque no aparece firmada”.  En realidad lo que dice la sentencia es que “[…] constituye un serio obstáculo para conferirle el valor probatorio que le ha otorgado la Sala, en cuanto no aparece suscrito por quien o quienes […]”. Lo que se pone en duda es la suscripción del documento más allá del propio proceso de firma, que en cualquier caso hubiera sido la prueba fehaciente de dicha suscripción.

 Y ya que la firma ha entrado en el debate político-judicial con tanta fuerza nos ha parecido relevante hacer una reflexión sobre el valor probatorio de la firma y en particular de la firma digital| que tanto auge debería experimentar en el nuevo contexto digital. Tómensele con calma porque ya verán que la cosa está muy lejos de ser evidente.

  La Ley 59/2003, de firma electrónica, modificada por la Ley 56/2007, regula entre otras cuestiones la validez legal de la firma electrónica en España y tiene como objetivo “fomentar la rápida incorporación de las nuevas tecnologías de seguridad de las comunicaciones electrónicas en la actividad de las empresas, los ciudadanos y las Administraciones públicas. […] mediante el rápido establecimiento de un marco jurídico para la utilización de una herramienta que aporta confianza en la realización de transacciones electrónicas en redes abiertas como es el caso de Internet”.

Confianza es la palabra clave. Pero como veremos a lo largo del post es difícil que una ley tan enrevesada y oscura como la de Firma Electrónica aporte ninguna confianza.

Vayamos por partes. El aspecto más importante de la Ley de Firma Electrónica es equiparar el valor jurídico de la firma manuscrita y de la firma electrónica.  Para ello la Ley establece en su art. 3 los 3 requisitos para que una firma electrónica sea equiparable a la firma manuscrita:

  1. Que la firma electrónica sea avanzada
  2. Que la firma electrónica esté basada en un certificado reconocido
  3. Que la firma electrónica haya sido generada mediante un dispositivo seguro de creación de firma

Vamos mal, porque acabamos de empezar y ya no sabemos de qué estamos hablando. Firma electrónica avanzada (Art.3.2): es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control.  Basada en un certificado reconocido: los requisitos correspondientes a certificados reconocidos tienen a su vez dos aspectos, el primero relativo a los requisitos sobre el contenido y manera de expedir esta clase de certificados, el segundo relativo a los prestadores que expiden certificados reconocidos. Firma generada mediante un dispositivo seguro de creación de firma El art. 24.3 de la Ley señala los requisitos exigibles a un dispositivo seguro de creación de firma, que no detallo por consideración a los lectores.

Para acabar de enredarlo la Ley de Firma Electrónica establece una serie de requisitos y condiciones para los prestadores que deseen prestar servicios de firma avanzada, usar certificados reconocidos u ofrecer firma reconocida. En este caso es el propio prestador el que voluntariamente manifiesta al mercado el nivel de seguridad por el que ha optado, a través de la denominada Declaración de Políticas de Certificación. La Ley 59/2003, establece en su artículo 30, y disposición transitoria segunda, que los prestadores de servicios de certificación deberán comunicar al Ministerio de Industria, Turismo y Comercio, sus datos de identificación, los datos que permitan establecer comunicación con el prestador, los datos de atención al público, las características de los servicios que vayan a prestar, las certificaciones obtenidas para sus servicios y las certificaciones de los dispositivos que utilicen.

A estas alturas es evidente que la verificación del cumplimiento de los requisitos señalados por la Ley para la firma reconocida dista de ser una cuestión sencilla.

La certificación de dispositivos  para contar con la presunción de cumplimiento del requisito legal de dispositivo seguro de creación de firma sigue el siguiente esquema:

a)      Organismos internacionales de normalización adoptan estándares sobre las normas de seguridad que han de cumplir los productos y aplicaciones informáticas.

b)      Estos mismos organismos desarrollan estándares que definen la manera en que se han de realizar las pruebas de los productos

c)       Las pruebas de certificación de los productos y aplicaciones se realizan por laboratorios especializados. Estos laboratorios han tenido que acreditar previamente que disponen de los medios apropiados para realizar las pruebas conforme a las normas indicadas en el apartado b) anterior

d)      Por último es necesario que exista una autoridad de certificación encargada por una parte de acreditar a los laboratorios, y por otra parte de analizar los resultados de las pruebas que estos laboratorios realizan sobre los diferentes productos de las empresas y de conceder en su caso la certificación de seguridad correspondiente. En España la autoridad de certificación de la seguridad de las tecnologías de la información es el Centro Criptológico Nacional, dependiente del Centro Nacional de Inteligencia.

e)      Existe un reconocimiento mutuo en el ámbito de la Unión Europea, sobre las certificaciones concedidas por las autoridades de certificación en cada país.

En cuanto a la certificación de los servicios no existe en la actualidad un esquema público de acreditación de prestadores de servicios de firma electrónica en España, conforme al esquema voluntario establecido en el art. 26 de la Ley de Firma Electrónica, con lo cual tendrán que conformarse con certificarse conforme a estándares reconocidos en el mercado, que cubran una parte importante de los requisitos exigidos a los prestadores.

Yo creo, que a estas alturas, todo atisbo de confianza en esta Ley ha desaparecido.

De hecho, siendo rigurosos,  los certificados CERES (los más extendidos en España con diferencia) que están basados en software y no en dispositivos seguros (por ejemplo una tarjeta inteligente), no deberían servir para firmar con el valor de la firma manuscrita, ya que según hemos visto,  para que esto sea así la firma electrónica debe ser  una firma avanzada, basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma. Los ciudadanos españoles hemos presentado millones de declaraciones del IRPF “sin firmar”… y hemos sobrevivido.

Y a lo que vamos. Las Leyes deben reflejar de forma clara y sencilla la intención del legislador sin entrar en estos detalles oscuros y profundos que ocultan el objetivo último de la Ley.  La propia complejidad del proceso de firma digital le confiere un aura de falsa seguridad cuando la inseguridad se encuentra, no tanto en el proceso “tecnológico” en si sino en lo que firmas o en lo que te hacen firmar, que es donde la ley  te debería proteger frente a la mala voluntad de terceros. Y como ejemplo lean este post.

En definitiva, si las pruebas comentadas en la sentencia de Bildu hubieran estado “suscritas” a través de un certificado CERES, la validez legal de dicha “suscripción” según nuestra normativa habría sido dudosa. Si lo hubieran hecho con un DNI digital, la cosa habría cambiado, pero lo difícil es que lo hubieran conseguido “suscribir” dada la complejidad de su utilización. Y como muestra lean este artículo donde queda claro el éxito que está cosechando tan avanzado instrumento de firma en nuestra sociedad, donde se estima que menos de un 1% de nuestros ciudadanos utilizan el DNI electrónico a pesar de las numerosas campañas de difusión que se han llevado a cabo. Creo que algo hemos hecho mal.

Puede recibir notificaciones de nuevos comentarios a esta entrada a través de RSS 2.0 No se permite comentar ni hacer pinga.

9 Respuestas

  • Serafín Casamayor Navarro says:

    Gracias Rafael por la claridad de tu artículo y por tus apreciaciones. Demuestras ejemplarmente cómo a veces nuestros gobernantes se embarcan en una labor de producción normativa, que no es medio para conseguir nada, sino un fin en sí mismo: legislar por legislar, y reglamentar por reglamentar. La práctica demuestra que la realidad va en un sentido, y el planteamiento de nuestros gobernantes, a veces y desgraciadamente con mucha frecuencia en el ámbito tecnológico, va por otro. Este caso que comentas, es paradigmático en este sentido.

  • Nacho Castejón says:

    Lo que dice el artículo citado es que menos del 1% de los navarros utilizaron DNI electronico para presentar su declaracion de la renta en 2010. Es un dato viejo, y tremendamente parcial, muchos contribuyentes tienen desde hace años su certificado de la FNMT, que hace mucho más sencilla la presentación de la declaración. Extrapolar de ese dato que menos de un 1% de los ciudadanos usa (en general) el DNI Electronico (en presente), es cuando menos aventurado.

    No seré yo quien defienda el DNI Electronico como única herramienta de firma electrónica, para la mayor parte de las gestiones, es efectivamente un incordio. No obstante, creo que es mucho más apto para el usuario medio que los certificados software, por lo dificil que es custodiarlos adecuadamente.

    Para acabar…no sé a que viene relatar los requisitos de los dispositivos de creación de firma o de los prestadores de servicios de firma. Si enumeramos los requisitos para obtener un sello “CE”, o cumplir una norma UNE cualquiera, nos parecerá todo complicadisimo.

  • robespierre says:

    A mi lo que me gustaría saber es que han costado estos anuncios tan grandes que salían en el País a toda página (sí, reconozco que leo el País) instando a la ciudadanía a usar el DNI electrónico con tan magros resultados. Eso sí, seguro que al periódico no le ha venido mal ese dinerillo público. No se si la “campaña institucional” ha llegado a otros medios afines o medios afines, lo que está claro es que a quien no ha llegado es al público. En cuanto al fondo jurídico, que vamos a decir, otra tontada más de nuestros insignes legisladores, complicando mucho lo sencillo,  aunque veo por la fecha de la ley que esta tontada esta vez es del PP. Y es que en esto de legislar tontamente no hay tantas diferencias.

  • jurista says:

    Intereante y clarificador . En los Juzgados y tribunales se está introduciendo la firma digital, pero de momento, no está operativa, con carácter general, no obstante, en muchos se están celebrando juicios sin la preceptiva asistencia de los secretarios judiciales, y sin firma digital , pero  con una sistema de grabación …… del que se desconoce sus garantías …. lo que podría conllevar la nulidad de pleno derecho de dichos actos.Cuál sería su opinión? Gracias.

  • elisadelanuez says:

    Jurisa, yo creo que en estos temas hay que usar el sentido común jurídico. El tema de la utilización de los medios tecnológicos en la Administración de Justicia es esencial, y como bien dice Rafael si exigimos garantías y seguridades que no existen en el mundo físico podemos poder en entredicho cualquier transacción, cuando en el mundo físico lógicamente también hay cierta inseguridad, que hay que contrapesar con el sentido común. La sentencia del caso Bildu que también menciona el post es paradigmática: parece que lo que no se firma y se sella no existe en el mundo jurídico cuando el sentido común nos dice todo lo contrario. Por lo demás, en otro post se ha analizado la introducción de las nuevas tecnologías en la Administración de Justicia y los requerimientos que establece el Proyecto de Ley son las mismas que los recogidos con carácter general para la utilización de los medios electrónicos en la Administración en general, lo que parece razonable.

  • Rafael Rivera says:

    Sin entrar en una guerra de cifras, yo creo que el hecho de que solo un 1% de los ciudadanos (aunque sean los Navarros usados en el ejemplo) hayan usado el DNI digital para entregar la declaración del 2010 da buena idea de lo extendido que está su uso. Si fuera tan bueno habríamos dejado caducar nuestros “inseguros” certificados CERES y habríamos adoptado masivamente el DNI digital. Y si como dice Nacho su uso es un incordio, no entiendo porque es el más adecuado para el usuario medio, normalmente poco dado a las soluciones “incordiantes”.

    En cuanto al relato de los requisitos es para mostrar la excesiva complejidad de los requerimientos “tecnológicos” recogidos en la ley para algo tan sencillo como es una firma, por más que sea electrónica. Imagínese que hubiera una “Ley de firma manuscrita” similar a ésta. Nadie se atrevería a firmar papeles o al menos uno nunca sabría si la firma que ha estampado tendría validez o no ante un Juez. Las firmas manuscritas también son muy difíciles de “custodiar” y muy fáciles de “imitar” y sin embargo no hacemos leyes enrevesadas para proteger el propio mecanismo de firma manuscrita. Se hacen leyes para defendernos frente a su utilización fraudulenta.

    Al mundo digital le exigimos mucha más seguridad que al mundo físico. En parte es debido a que la intangibilidad asociada al mundo digital le da cierto caracter oscuro y enigmático que hace que nos sintamos especialmente desprotegidos. Y tiene su lógica porque la capacidad multiplicativa de la red hace que el daño potencial de una actuación fraudulenta pueda ser mucho mayor. Pensemos el reciente caso de sony y los problemas que está teniendo con su servicio en red recientemente “hackeado” y que ha afectado a millones de usuarios pero, sinceramente, yo creo que a veces se nos va la mano.

    Finalmente en relación al comentario de “jurista” , estrictamente hablando los requisitos establecidos por la Ley de Firma Electrónica para que una firma digital tenga la misma validez que una manuscrita son los que hemos comentado. Desconozco el caso concreto de las grabaciones de vistas pero es evidente que en España se realizan miles de gestiones electrónicas todos los días sustituyendo a gestiones manuales que se hacían con firma manuscrita sin cumplir los requisitos descritos en la ley. Desde transacciones bancarias a matrículas en la universidad, presentaciones del IRPF y tantas otras y pensar ahora que todas esas gestiones no tienen validez es ir demasiado lejos. Es por eso que da la sensación de que la Ley de Firma Electrónica ha querido llegar tan lejos que al final no responde a la realidad de nuestra sociedad. Lo mejor es enemigo de lo bueno.

  • jurista says:

    Comparto con Elisa la aplicación del sentido común, pero también con hacer las cosas bien. Por si no me he explicado bien, el problema es la aplicación de estos nuevos sistemas sin  garantías : la cuestión es que, como saben, todos los actos judiciales (vistas, juicios ..) exigen, bajo pena de nulidad de pleno derecho, la presencia del secretarios judicial que da fe de lo que se dice y ve y con ello redacta el acta, como los notarios; con las nuevas leyes, se preve que el acta y la presencia misma del secretario en el acto de que se trate se pueden sustituir por la grabación del acto, que recoja la imagen y sonido, siempre que se cuente con la firma digital o sistema equivalente que garantice la autenticidad e integridad de lo grabado, si bien, se desconoce cual es ese sistema equivalente. Siento que el tema escape un poco de esta entrada, pero está suscitando dudas, ya que no hay una opinión certera y segura sobre ello y el riesgo es la nulidad de muchos juicios, y bastante sobrecargados están los Tribunales para nulidades y repeticiones. Quizá algún notario de este blog puede facilitarla: Muchas gracias y enhorabuena por el blog.

  • Francisco de Asís says:

    La cuestión de la firma electrónica, como el artículo muestra, es compleja pues no faltan voces críticas con la ley española. Lo cierto es que con la equiparación de efectos entre la firma electrónica y la manuscrita y el incremento de las transacciones, operaciones y procedimientos electrónicos, resuelta, sin embargo, paradójico el escaso porcentaje de uso de la misma como se observa en el artículo, y que dicho uso se incremente pero en sectores profesionales pero no de modo común o extendido en el tráfico o en la población.

    En el ámbito procesal, no debería haber problemas en cuanto a su uso dado el principio de equiparación mencionado, por lo que me permito aportar algún dato a la cuestión que señala “jurista” que en parte comparto aunque, creo, con algún matiz. En efecto, el art. 238 LOPJ (reformado por la LO 19/03) establece tal nulidad pero para la celebración de vistas “sin intervención” del Secretario Judicial por lo que entiendo que tal precepto debe interpretarse con las previsiones incorporadas a la LEC (arts. 146 y 147) en reforma procesal de 2009 (vigor 4-5-10) en que el régimen de la fe pública judicial sigue igualmente recogido salvo para cuando se empleen medios de grabación en cuyo caso el Secretario garantizará la autenticidad de lo grabado.

    A continuación –en lo que es principal novedad- la ley señala que si el Secretario dispone de firma electrónica o de otro sistema seguro que garantice la autenticidad e integridad de lo grabado, dicha grabación (que la ley ya conceptúa como documento electrónico) constituye el acta de la vista. Y este es el caso al que debe referirse “jurista” pues un efecto, incluso pretendido, de dicha reforma es la salida de los Secretarios Judiciales de las vistas a fin de acometer las diversas competencias que la Nueva oficina Judicial diseñada en LO 19/03 y la ley procesal en reforma de LO 1/09 y 13/09 le reservan; pero ello solo podrá darse, y sino sí que ocurriría el supuesto mencionado, cuando concurra tal firma o sistema seguro (excepcionalmente se prevé la inexistencia o mal funcionamiento de dichos sistemas o aun con ellos la asistencia del Secretario a la vista).

    De hecho, los anteriores sistemas videográficos de actuaciones judiciales no permitían tal eventualidad y por ello la reforma prevista no puede implantarse hasta que el nuevo sistema sea establecido garantizando; al respecto, existe diversa información colgada en la red que indica que el nuevo sistema (e-fidelius) se caracteriza por permitir tal grabación digital con firma electrónica del Secretario Judicial y configurarse como documento autenticado al efecto indicado.

  • Emilio says:

    Los problemas que tiene de falta de uso son de tecnología que no funciona bien (versión del navegador, de Java, …). Sea por la razón que sea, ni Microsoft ni el mundo open source ha cuidado en exceso que la integración tecnológica esté libre de problemas.

    Entiendan que la firma electrónica tiene que ser compleja:

    - Generación de firma con medios certificados. ¿Se imaginan ustedes que la capacidad de firmar esté en un fichero que se puede copiar? Entonces un trabajador corrupto puede llevarse ese fichero, y generar firmas fraudulentas. Para evitarlo, se tienen que usar aparatos certificados, que pueden firmar, pero que no se pueden copiar. La ley refleja la práctica existe: los bancos siempre han utilizado aparatos certificados para la emisión de firma electrónica.

    - No olividen los problemas de la seguridad física: la firma electrónica debe estar limitada en las cantidades, o a transacciones que son habituales. Si no, un señor le pone a usted una pistola en la cabeza, y ahora con su DNI electrónico, le da usted todo el dinero de su cuenta. Dirá usted que puede anular trasacciones bajo amenazas. Pero el banco le dice, sí a usted le han atracado, pero el dinero ya no lo tenemos. Ahora está en Rusia.

    - Si uno no quiere complicarse demasiado la vida con todos esos requisitos, puede usar DNI Electrónico, cuya firma se genera en el propio DNI.