Blog

Una mirada holísitica de la Firma Digital

Publicador de contenidos

null Desarmando la Firma Digital de persona física en la región.

Tipos de firma digital, validez jurídica, tecnologías, diferencias y similitudes.

24 mar 2021

Firma Digital

¿Firma electrónica, digital, electrónica avanzada, electrónica simple, cualificada o  certificada?

Podemos haber escuchado o leído alguno de estos términos, sin tener del todo claro sus similitudes o diferencias, incluso quizá los usamos de forma indistinta erróneamente. Ya que cuando hablamos de firmas en el ámbito tecnológico, engloba no sólo un carácter técnico informático sino también un carácter técnico legal y  dependiendo el tipo cambia las  garantías legales y técnicas que ofrecen.

En el mundo digital, confirmar una orden de comida, mirar películas o escuchar música es sencillo, y detrás de estos servicios hay empresas que registran usuarios y procesan solicitudes en su nombre sin necesidad de identificar al ciudadano. Pero cuando queremos por ejemplo hacer una transacción bancaria, obtener un registro médico, ver las calificaciones de nuestros hijos, pagar impuestos o realizar un trámite con el estado. Identificar ciudadanos correctamente, es un pilar básico y fundamental, cómo también tener garantías de que la información, documentos u obras suscritos en su nombre, les corresponde y no han sido adulterados. Por ejemplo, una declaración de impuestos.  

Entonces es en este sentido que ya hace varios años incluso en algunos casos más de una década, se empezó a regular lo que es la firma en el mundo digital ya sea con efectos de identificación, de autoría o consentimiento. La terminología  cambia según el país, por ejemplo en Uruguay existe legalmente el término Firma Electrónica y Firma Electrónica Avanzada; en Colombia la Firma Digital, Firma Electrónica y Firma Electrónica Certificada.

Y así en cada país podemos encontrar distintos términos, muchas veces haciendo referencia al mismo concepto y otras no. Es por ello que más allá de los términos intentaré escribir sobre los conceptos y cuando me refiera a la firma en términos generales, como toda aquella que nace se desarrolla y caduca en un medio electrónico o digital las llamaré "firmas digitales". 

Aclaración: en todos los casos,  estaré hablando y haciendo referencia, sobre las firmas de personas físicas. No incluyendo en este post firmas de personas jurídicas, de aplicación de sellado de tiempo, entre otras. 

Primero hay que entender que muchos Estados tienen (en distintos niveles de madurez) una regulación al respecto de forma de lograr una equivalencia funcional con las firmas autógrafas certificadas

Por otro lado, la firma digital  está vinculada estrechamente con la definición de un documento electrónico o digital. Ya que una firma se materializa cuando se aplica a un documento u obra,  y si hablamos de firmas digitales entonces el documento u obra tiene que ser de la misma naturaleza y estar almacenado en un soporte electrónico. Por ejemplo un disco duro o pendrive.   

La mayoría de los países  avanzados en términos digitales tienen una ley que hace referencia a la firma y documento electrónico con las siguientes caracteristicas:

 

Principios generales

 

Como denominador común las distintas leyes de firma de la región al menos se ajustan a los principios generales de:

  •  Lograr una equivalencia funcional de la firma autógrafa certificada con la utilizada en medios digitales. 

  •  Mantener neutralidad tecnológica.

 

Regulador

 

 Definen quien será el ente regulador y las competencias del mismo, donde en general algunas de estas son:

  • Otorgar licencias a organismos y/o empresas que den servicios de certificación electrónica, como por ejemplo firma digital de personas físicas.

  • Auditar a los prestadores de servicios licenciados.

  • Mantener actualizadas ¨Políticas de Certificación” donde define detalles técnicos y exigencias de cumplimiento sobre las tecnologías involucradas para el uso de firma. 

Dependiendo del país varía qué tan abierto o cerrado es el ecosistema, por ejemplo en algunos casos los servicios los da solo organismos  estatales, en otros empresas privadas o ambos. También varía como se implementan las auditorías, a modo de ejemplo en algún caso las hace el regulador mismo en otros las exige el regulador pero las ejecuta un ente externo.

 

Tipos de Firma Digital de Persona Física. 

 

En las leyes podemos encontrar también la definición de los distintos tipos de firma digital y sus efectos legales. 

Donde generalmente encontraremos que se reconocen al menos dos tipos de firmas digitales , una definición más general y al menos otra más específica. Donde existe una relación de género y especie.  

Una definición de firma digital  más genérica del estilo de la siguiente:

“Genero” Firma: definida como los datos en forma electrónica anexos a un

   documento electrónico o asociados de manera lógica con el mismo,

   utilizados por el firmante como medio de identificación.

Por ejemplo, en Uruguay al igual que en Paraguay este concepto se define como Firma Electrónica.

Y otra más específica

 “Especie” Firma: es una firma que además de lo anterior cumple con :

Requerir información de exclusivo conocimiento del firmante, permitiendo su identificación unívoca; ser creada por medios que el firmante pueda mantener bajo su exclusivo control; ser susceptible de verificación por terceros; estar vinculada a un documento electrónico de tal modo que cualquier alteración subsiguiente en el mismo sea detectable;  haber sido creada utilizando un dispositivo de creación de firma técnicamente seguro y confiable y estar basada en un certificado reconocido válido al momento de la firma. 

Por ejemplo, en Uruguay al igual que en Chile  se define con el nombre de Electrónica Avanzada. En Colombia al igual que en Argentina se la conoce como Firma Digital. En Costa Rica definen como Firma Digital Certificada

 

Si bien ambos tipos de firma son reconocidos, en la práctica ¿En qué difieren? 

 

 Difieren en efectos y carga probatoria

 

“Genero” Firma (conocida por ejemplo como: Firma electrónica, Firma Simple):

 

Implica para las partes la presunción de que el documento o dato firmado proviene del firmante y aprueba el contenido.Se puede utilizar cualquier tipo de tecnología y tipo de firma siempre que haya un acuerdo previo de uso entre las partes. En caso de que la firma sea desconocida corresponde al firmante demostrar su validez. Se podría decir en términos “criollos” que si se desconoce, por defecto no tiene validez salvo que se demuestre lo contrario.

 

 “Especie” Firma (conocida por ejemplo como: Firma Electrónica avanzada, Firma Cualificada o Firma Digital):

 

Ofrece muchas más garantías ya que implica la identificación unívoca del firmante y que el contenido del documento no ha sido adulterado desde el momento en que la  firma fue generada.  La firma aplicada debe poder ser verificada por terceros (con el certificado digital del firmante, expedido por un prestador de servicios de firma acreditado), por lo tanto incorpora autenticidad, integridad y no repudio. No requiere acuerdo previo entre partes. Por defecto siempre tiene validez idéntico a una firma hológrafa certificada salvo que se demuestre lo contrario.

 

Difieren en tecnología y uso 

 

“Genero” Firma (conocida por ejemplo como: Firma electrónica, Firma Simple):

 

Puede ser cualquier tipo de firma generada con tecnología establecida en un previo acuerdo entre las partes. 

Por ejemplo,  ingreso de un pin, click en un checkbox (como cuando aceptamos términos y condiciones de uso), reconocimiento facial, comparación de huellas dactilares, firma en lápiz electrónico en un pad electrónico, entre otros.

 

                                       img2      

 

 “Especie” Firma (conocida por ejemplo como: Firma Electrónica avanzada, Firma Cualificada o Firma Digital):

 

Requiere utilizar  un dispositivo de creación de firma técnicamente seguro y confiable y estar basada en un certificado digital reconocido válido al momento de la firma. 

Por Ejemplo, uso de un token, smartcard, o app mobile con certificado en la nube.

 

                                         img4 

 

Para el funcionamiento del ecosistema, es necesaria  la implantación de una infraestructura de clave pública (PKI). Esto quiere decir que detrás de la firma hay conceptos matemáticos de criptografía asimétrica involucrados, procedimientos publicados que cumplir, y cadenas de confianza, para mantener altas garantías de seguridad, entre otras diferencias fundamentales que detallaré en mi siguiente post. 

Es importante entender que la tecnología base y estándares con la cual se genera este tipos de firma, permite que la misma se pueda verificar y validar por cualquier persona de forma autónoma. Sin estar “atado” a una tecnología o empresa en particular.

Difieren en quien la emite

 

“Genero” Firma (conocida por ejemplo como: Firma electrónica, Firma Simple):

 

Puede emitirla cualquier empresa, persona u organización.

 

“Especie” Firma (conocida por ejemplo como: Firma Electrónica avanzada, Firma Cualificada o Firma Digital):

 

Puede emitirla un ente o empresa que esté acreditado por el regulador.

Algunos Estados tienen en su regulación 3 definiciones de firma digital,  siendo cada una un subconjunto de la anterior donde la diferencia entre la más genérica y la subsiguiente es solamente la tecnología base utilizada (en el primer caso cualquier tipo de tecnología, en el segundo solamente certificados digitales basados en PKI) . Al tercer nivel más específico le agregan a la tecnología basada en certificados, la necesidad de que el ente emisor esté licenciado o acreditado ante un regulador, el cual como vimos anteriormente verifica el cumpliemiento de las prácticas de certificación.

 

Conclusión

 

Como vemos no es trivial el tema de la firma digital, involucra múltiples actores, organizaciones y tecnologías. Lo podríamos situar en la intersección entre lo jurídico, lo técnico y lo político.  Es un habilitador para el desarrollo digital. Europa viene siendo referencia con su normativas eIDAS, y AML5,  latinoamérica presenta distintos estados de madurez en lo que refiere a leyes, decretos, políticas de certificación, acreditaciones, auditorías, integración con trámites y servicios, uso , adopción y evolución. Existen  acuerdos de reconocimiento internacional  transfronterizo de firma digital, como por ejemplo el del grupo Mercosur y otros bilaterales, por ejemplo Argentina - Chile, lo cual es un gran avance para la región. Como también algunos países de Latinoamérica liderando a nivel mundial por sus avances en la materia, como por ejemplo Uruguay formando parte del Digital Nations. Sobre estas experiencias también escribiré en próximos post.

Pero el verdadero éxito no está en tener una buena normativa que sea habilitadora, sino está en la adopción y uso por parte de las personas,  simplificando  procesos para  hacerlos más eficientes, simples y con mayores garantías de seguridad informática.

Te invito a ver más información sobre las normativas de cada país que se actualiza periódicamente en la sección Legalidad de  VaFirma.com y registrarte para tener acceso a plataformas tecnológicas de firma y validación

  y vos... ¿Ya usaste tu firma digital? ¡Compartí tu experiencia!