Firmas que no firman

En unos cuantos medios ha aparecido la siguiente noticia en referencia a la controvertida sentencia del Tribunal Constitucional sobre Bildu: “La sentencia del Constitucional no dudó en desechar la prueba clave contra Bildu porque no aparece firmada”.  En realidad lo que dice la sentencia es que “[…] constituye un serio obstáculo para conferirle el valor probatorio que le ha otorgado la Sala, en cuanto no aparece suscrito por quien o quienes […]”. Lo que se pone en duda es la suscripción del documento más allá del propio proceso de firma, que en cualquier caso hubiera sido la prueba fehaciente de dicha suscripción.

 Y ya que la firma ha entrado en el debate político-judicial con tanta fuerza nos ha parecido relevante hacer una reflexión sobre el valor probatorio de la firma y en particular de la firma digital| que tanto auge debería experimentar en el nuevo contexto digital. Tómensele con calma porque ya verán que la cosa está muy lejos de ser evidente.

  La Ley 59/2003, de firma electrónica, modificada por la Ley 56/2007, regula entre otras cuestiones la validez legal de la firma electrónica en España y tiene como objetivo “fomentar la rápida incorporación de las nuevas tecnologías de seguridad de las comunicaciones electrónicas en la actividad de las empresas, los ciudadanos y las Administraciones públicas. […] mediante el rápido establecimiento de un marco jurídico para la utilización de una herramienta que aporta confianza en la realización de transacciones electrónicas en redes abiertas como es el caso de Internet”.

Confianza es la palabra clave. Pero como veremos a lo largo del post es difícil que una ley tan enrevesada y oscura como la de Firma Electrónica aporte ninguna confianza.

Vayamos por partes. El aspecto más importante de la Ley de Firma Electrónica es equiparar el valor jurídico de la firma manuscrita y de la firma electrónica.  Para ello la Ley establece en su art. 3 los 3 requisitos para que una firma electrónica sea equiparable a la firma manuscrita:

  1. Que la firma electrónica sea avanzada
  2. Que la firma electrónica esté basada en un certificado reconocido
  3. Que la firma electrónica haya sido generada mediante un dispositivo seguro de creación de firma

Vamos mal, porque acabamos de empezar y ya no sabemos de qué estamos hablando. Firma electrónica avanzada (Art.3.2): es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control.  Basada en un certificado reconocido: los requisitos correspondientes a certificados reconocidos tienen a su vez dos aspectos, el primero relativo a los requisitos sobre el contenido y manera de expedir esta clase de certificados, el segundo relativo a los prestadores que expiden certificados reconocidos. Firma generada mediante un dispositivo seguro de creación de firma El art. 24.3 de la Ley señala los requisitos exigibles a un dispositivo seguro de creación de firma, que no detallo por consideración a los lectores.

Para acabar de enredarlo la Ley de Firma Electrónica establece una serie de requisitos y condiciones para los prestadores que deseen prestar servicios de firma avanzada, usar certificados reconocidos u ofrecer firma reconocida. En este caso es el propio prestador el que voluntariamente manifiesta al mercado el nivel de seguridad por el que ha optado, a través de la denominada Declaración de Políticas de Certificación. La Ley 59/2003, establece en su artículo 30, y disposición transitoria segunda, que los prestadores de servicios de certificación deberán comunicar al Ministerio de Industria, Turismo y Comercio, sus datos de identificación, los datos que permitan establecer comunicación con el prestador, los datos de atención al público, las características de los servicios que vayan a prestar, las certificaciones obtenidas para sus servicios y las certificaciones de los dispositivos que utilicen.

A estas alturas es evidente que la verificación del cumplimiento de los requisitos señalados por la Ley para la firma reconocida dista de ser una cuestión sencilla.

La certificación de dispositivos  para contar con la presunción de cumplimiento del requisito legal de dispositivo seguro de creación de firma sigue el siguiente esquema:

a)      Organismos internacionales de normalización adoptan estándares sobre las normas de seguridad que han de cumplir los productos y aplicaciones informáticas.

b)      Estos mismos organismos desarrollan estándares que definen la manera en que se han de realizar las pruebas de los productos

c)       Las pruebas de certificación de los productos y aplicaciones se realizan por laboratorios especializados. Estos laboratorios han tenido que acreditar previamente que disponen de los medios apropiados para realizar las pruebas conforme a las normas indicadas en el apartado b) anterior

d)      Por último es necesario que exista una autoridad de certificación encargada por una parte de acreditar a los laboratorios, y por otra parte de analizar los resultados de las pruebas que estos laboratorios realizan sobre los diferentes productos de las empresas y de conceder en su caso la certificación de seguridad correspondiente. En España la autoridad de certificación de la seguridad de las tecnologías de la información es el Centro Criptológico Nacional, dependiente del Centro Nacional de Inteligencia.

e)      Existe un reconocimiento mutuo en el ámbito de la Unión Europea, sobre las certificaciones concedidas por las autoridades de certificación en cada país.

En cuanto a la certificación de los servicios no existe en la actualidad un esquema público de acreditación de prestadores de servicios de firma electrónica en España, conforme al esquema voluntario establecido en el art. 26 de la Ley de Firma Electrónica, con lo cual tendrán que conformarse con certificarse conforme a estándares reconocidos en el mercado, que cubran una parte importante de los requisitos exigidos a los prestadores.

Yo creo, que a estas alturas, todo atisbo de confianza en esta Ley ha desaparecido.

De hecho, siendo rigurosos,  los certificados CERES (los más extendidos en España con diferencia) que están basados en software y no en dispositivos seguros (por ejemplo una tarjeta inteligente), no deberían servir para firmar con el valor de la firma manuscrita, ya que según hemos visto,  para que esto sea así la firma electrónica debe ser  una firma avanzada, basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma. Los ciudadanos españoles hemos presentado millones de declaraciones del IRPF “sin firmar”… y hemos sobrevivido.

Y a lo que vamos. Las Leyes deben reflejar de forma clara y sencilla la intención del legislador sin entrar en estos detalles oscuros y profundos que ocultan el objetivo último de la Ley.  La propia complejidad del proceso de firma digital le confiere un aura de falsa seguridad cuando la inseguridad se encuentra, no tanto en el proceso “tecnológico” en si sino en lo que firmas o en lo que te hacen firmar, que es donde la ley  te debería proteger frente a la mala voluntad de terceros. Y como ejemplo lean este post.

En definitiva, si las pruebas comentadas en la sentencia de Bildu hubieran estado “suscritas” a través de un certificado CERES, la validez legal de dicha “suscripción” según nuestra normativa habría sido dudosa. Si lo hubieran hecho con un DNI digital, la cosa habría cambiado, pero lo difícil es que lo hubieran conseguido “suscribir” dada la complejidad de su utilización. Y como muestra lean este artículo donde queda claro el éxito que está cosechando tan avanzado instrumento de firma en nuestra sociedad, donde se estima que menos de un 1% de nuestros ciudadanos utilizan el DNI electrónico a pesar de las numerosas campañas de difusión que se han llevado a cabo. Creo que algo hemos hecho mal.

Un cariñoso adios a nuestro gran maestro

D. Fernando Sánchez Calero nos ha abandonado. Desde mi condición no lejana de estudiante me corresponde expresar la admiración y reconocimiento hacia D. Fernando.| Numerosas y grandiosas han sido sus contribuciones al Derecho mercantil. Abogado en ejercicio desde 1964. Persona dedicada con gran empeño a la Universidad, obteniendo la Cátedra de Derecho mercantil por las Universidades de La Laguna, Bilbao y Complutense de Madrid en las que durante más de cuarenta años compartió con todos su saber. Miembro de número de la Real Academia de Jurisprudencia y Legislación desde 2001. Indiscutible la calidad de sus Instituciones y de otras obras jurídicas centradas en variados sectores del Derecho mercantil: sociedades, contrato de seguro o de transporte, entre otros. Vocal permanente de la Comisión General de Codificación desde 1970 y hasta sus últimos días. Director, Presidente y miembro del Consejo de redacción de numerosas revistas jurídicas. Estos son algunos de los innumerables méritos que presenta su trayectoria.

Las actuales 33 ediciones de las Instituciones de Derecho Mercantil han sabido aunar esta normativa, permitiendo a los que estudian un gran entendimiento de tan vital materia. En su discurso de ingreso en la Real Academia, puso de manifiesto la limitada eficacia de nuestro ordenamiento en aquel momento para el tratamiento de las sociedades cotizadas. Este incansable deseo de obtener un mejor Derecho lo mantuvo durante mucho tiempo, en su labor de gran jurista y estudioso, de manera que muchas de sus propuestas fundamentaron posteriores normas.

Pero si admirable es todo lo anterior, no lo es menos su humildad, simpatía y amabilidad que ha mostrado hacia los estudiantes. Mi toma de contacto con él no fue mucho tiempo atrás, en septiembre de 2009. Desde ese día y hasta casi el 15 de mayo de este año he tenido una relación diaria con D. Fernando. Casi todas las mañanas he tenido el privilegio de poder compartir con él mis dudas y unas largas conversaciones. Empezaban con asuntos de Derecho y terminaban siempre con enseñanzas desde su constante y brillante experiencia. Y todas ellas las acompañaba con una agradable sonrisa.  D. Fernando y yo compartíamos la condición de estudiante y es que a pesar de su larga edad nunca dejó de estudiar. 

Por ello, no puedo sino agradecer a D. Fernando el privilegio que he tenido de poder conocerlo y de aprender con todo su inteligente magisterio, acompañado de consejos. Se nos ha marchado D. Fernando pero su doctrina y su saber estarán eternamente presentes.

D. Fernando, siempre estaré en deuda con todo lo que me ha aportado y siempre, siempre estará en mi recuerdo.

Firmas que no firman

En unos cuantos medios ha aparecido la siguiente noticia en referencia a la controvertida sentencia del Tribunal Constitucional sobre Bildu: “La sentencia del Constitucional no dudó en desechar la prueba clave contra Bildu porque no aparece firmada”.  En realidad lo que dice la sentencia es que “[…] constituye un serio obstáculo para conferirle el valor probatorio que le ha otorgado la Sala, en cuanto no aparece suscrito por quien o quienes […]”. Lo que se pone en duda es la suscripción del documento más allá del propio proceso de firma, que en cualquier caso hubiera sido la prueba fehaciente de dicha suscripción.

 Y ya que la firma ha entrado en el debate político-judicial con tanta fuerza nos ha parecido relevante hacer una reflexión sobre el valor probatorio de la firma y en particular de la firma digital| que tanto auge debería experimentar en el nuevo contexto digital. Tómensele con calma porque ya verán que la cosa está muy lejos de ser evidente.

  La Ley 59/2003, de firma electrónica, modificada por la Ley 56/2007, regula entre otras cuestiones la validez legal de la firma electrónica en España y tiene como objetivo “fomentar la rápida incorporación de las nuevas tecnologías de seguridad de las comunicaciones electrónicas en la actividad de las empresas, los ciudadanos y las Administraciones públicas. […] mediante el rápido establecimiento de un marco jurídico para la utilización de una herramienta que aporta confianza en la realización de transacciones electrónicas en redes abiertas como es el caso de Internet”.

Confianza es la palabra clave. Pero como veremos a lo largo del post es difícil que una ley tan enrevesada y oscura como la de Firma Electrónica aporte ninguna confianza.

Vayamos por partes. El aspecto más importante de la Ley de Firma Electrónica es equiparar el valor jurídico de la firma manuscrita y de la firma electrónica.  Para ello la Ley establece en su art. 3 los 3 requisitos para que una firma electrónica sea equiparable a la firma manuscrita:

  1. Que la firma electrónica sea avanzada
  2. Que la firma electrónica esté basada en un certificado reconocido
  3. Que la firma electrónica haya sido generada mediante un dispositivo seguro de creación de firma

Vamos mal, porque acabamos de empezar y ya no sabemos de qué estamos hablando. Firma electrónica avanzada (Art.3.2): es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control.  Basada en un certificado reconocido: los requisitos correspondientes a certificados reconocidos tienen a su vez dos aspectos, el primero relativo a los requisitos sobre el contenido y manera de expedir esta clase de certificados, el segundo relativo a los prestadores que expiden certificados reconocidos. Firma generada mediante un dispositivo seguro de creación de firma El art. 24.3 de la Ley señala los requisitos exigibles a un dispositivo seguro de creación de firma, que no detallo por consideración a los lectores.

Para acabar de enredarlo la Ley de Firma Electrónica establece una serie de requisitos y condiciones para los prestadores que deseen prestar servicios de firma avanzada, usar certificados reconocidos u ofrecer firma reconocida. En este caso es el propio prestador el que voluntariamente manifiesta al mercado el nivel de seguridad por el que ha optado, a través de la denominada Declaración de Políticas de Certificación. La Ley 59/2003, establece en su artículo 30, y disposición transitoria segunda, que los prestadores de servicios de certificación deberán comunicar al Ministerio de Industria, Turismo y Comercio, sus datos de identificación, los datos que permitan establecer comunicación con el prestador, los datos de atención al público, las características de los servicios que vayan a prestar, las certificaciones obtenidas para sus servicios y las certificaciones de los dispositivos que utilicen.

A estas alturas es evidente que la verificación del cumplimiento de los requisitos señalados por la Ley para la firma reconocida dista de ser una cuestión sencilla.

La certificación de dispositivos  para contar con la presunción de cumplimiento del requisito legal de dispositivo seguro de creación de firma sigue el siguiente esquema:

a)      Organismos internacionales de normalización adoptan estándares sobre las normas de seguridad que han de cumplir los productos y aplicaciones informáticas.

b)      Estos mismos organismos desarrollan estándares que definen la manera en que se han de realizar las pruebas de los productos

c)       Las pruebas de certificación de los productos y aplicaciones se realizan por laboratorios especializados. Estos laboratorios han tenido que acreditar previamente que disponen de los medios apropiados para realizar las pruebas conforme a las normas indicadas en el apartado b) anterior

d)      Por último es necesario que exista una autoridad de certificación encargada por una parte de acreditar a los laboratorios, y por otra parte de analizar los resultados de las pruebas que estos laboratorios realizan sobre los diferentes productos de las empresas y de conceder en su caso la certificación de seguridad correspondiente. En España la autoridad de certificación de la seguridad de las tecnologías de la información es el Centro Criptológico Nacional, dependiente del Centro Nacional de Inteligencia.

e)      Existe un reconocimiento mutuo en el ámbito de la Unión Europea, sobre las certificaciones concedidas por las autoridades de certificación en cada país.

En cuanto a la certificación de los servicios no existe en la actualidad un esquema público de acreditación de prestadores de servicios de firma electrónica en España, conforme al esquema voluntario establecido en el art. 26 de la Ley de Firma Electrónica, con lo cual tendrán que conformarse con certificarse conforme a estándares reconocidos en el mercado, que cubran una parte importante de los requisitos exigidos a los prestadores.

Yo creo, que a estas alturas, todo atisbo de confianza en esta Ley ha desaparecido.

De hecho, siendo rigurosos,  los certificados CERES (los más extendidos en España con diferencia) que están basados en software y no en dispositivos seguros (por ejemplo una tarjeta inteligente), no deberían servir para firmar con el valor de la firma manuscrita, ya que según hemos visto,  para que esto sea así la firma electrónica debe ser  una firma avanzada, basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma. Los ciudadanos españoles hemos presentado millones de declaraciones del IRPF “sin firmar”… y hemos sobrevivido.

Y a lo que vamos. Las Leyes deben reflejar de forma clara y sencilla la intención del legislador sin entrar en estos detalles oscuros y profundos que ocultan el objetivo último de la Ley.  La propia complejidad del proceso de firma digital le confiere un aura de falsa seguridad cuando la inseguridad se encuentra, no tanto en el proceso “tecnológico” en si sino en lo que firmas o en lo que te hacen firmar, que es donde la ley  te debería proteger frente a la mala voluntad de terceros. Y como ejemplo lean este post.

En definitiva, si las pruebas comentadas en la sentencia de Bildu hubieran estado “suscritas” a través de un certificado CERES, la validez legal de dicha “suscripción” según nuestra normativa habría sido dudosa. Si lo hubieran hecho con un DNI digital, la cosa habría cambiado, pero lo difícil es que lo hubieran conseguido “suscribir” dada la complejidad de su utilización. Y como muestra lean este artículo donde queda claro el éxito que está cosechando tan avanzado instrumento de firma en nuestra sociedad, donde se estima que menos de un 1% de nuestros ciudadanos utilizan el DNI electrónico a pesar de las numerosas campañas de difusión que se han llevado a cabo. Creo que algo hemos hecho mal.

Un cariñoso adios a nuestro gran maestro

D. Fernando Sánchez Calero nos ha abandonado. Desde mi condición no lejana de estudiante me corresponde expresar la admiración y reconocimiento hacia D. Fernando.| Numerosas y grandiosas han sido sus contribuciones al Derecho mercantil. Abogado en ejercicio desde 1964. Persona dedicada con gran empeño a la Universidad, obteniendo la Cátedra de Derecho mercantil por las Universidades de La Laguna, Bilbao y Complutense de Madrid en las que durante más de cuarenta años compartió con todos su saber. Miembro de número de la Real Academia de Jurisprudencia y Legislación desde 2001. Indiscutible la calidad de sus Instituciones y de otras obras jurídicas centradas en variados sectores del Derecho mercantil: sociedades, contrato de seguro o de transporte, entre otros. Vocal permanente de la Comisión General de Codificación desde 1970 y hasta sus últimos días. Director, Presidente y miembro del Consejo de redacción de numerosas revistas jurídicas. Estos son algunos de los innumerables méritos que presenta su trayectoria.

Las actuales 33 ediciones de las Instituciones de Derecho Mercantil han sabido aunar esta normativa, permitiendo a los que estudian un gran entendimiento de tan vital materia. En su discurso de ingreso en la Real Academia, puso de manifiesto la limitada eficacia de nuestro ordenamiento en aquel momento para el tratamiento de las sociedades cotizadas. Este incansable deseo de obtener un mejor Derecho lo mantuvo durante mucho tiempo, en su labor de gran jurista y estudioso, de manera que muchas de sus propuestas fundamentaron posteriores normas.

Pero si admirable es todo lo anterior, no lo es menos su humildad, simpatía y amabilidad que ha mostrado hacia los estudiantes. Mi toma de contacto con él no fue mucho tiempo atrás, en septiembre de 2009. Desde ese día y hasta casi el 15 de mayo de este año he tenido una relación diaria con D. Fernando. Casi todas las mañanas he tenido el privilegio de poder compartir con él mis dudas y unas largas conversaciones. Empezaban con asuntos de Derecho y terminaban siempre con enseñanzas desde su constante y brillante experiencia. Y todas ellas las acompañaba con una agradable sonrisa.  D. Fernando y yo compartíamos la condición de estudiante y es que a pesar de su larga edad nunca dejó de estudiar. 

Por ello, no puedo sino agradecer a D. Fernando el privilegio que he tenido de poder conocerlo y de aprender con todo su inteligente magisterio, acompañado de consejos. Se nos ha marchado D. Fernando pero su doctrina y su saber estarán eternamente presentes.

D. Fernando, siempre estaré en deuda con todo lo que me ha aportado y siempre, siempre estará en mi recuerdo.