El reglamento eIDAS, vigente en España desde 2014, distingue tres niveles de firma electrónica: simple, avanzada y cualificada. Sin embargo, este reglamento europeo no determina si los dos primeros niveles de firma electrónica se pueden conseguir mediante certificados digitales o a través de otros mecanismos alternativos (como los basados en evidencias electrónicas técnicas o en Blockchain).
Dicho reglamento no niega efectos legales a cualquier forma de firma electrónica, incluso a la fotocopia de una firma manuscrita, pero reconoce una gradación de validez jurídica según su nivel. De hecho, se regulan tanto los servicios electrónicos de confianza cualificados como los no cualificados, estos últimos de forma más laxa (ver la lista de proveedores de servicios de confianza no cualificados en España).
Seguridad técnica y jurídica
Desde Firmaprofesional ofrecemos a nuestros clientes la firma electrónica basada en certificados electrónicos cualificados. El que sean «certificados digitales» otorga a las firmas electrónicas la máxima seguridad técnica, superior a la de cualquier otro mecanismo tecnológico conocido. Y el que sean «certificados cualificados» les dan la máxima seguridad jurídica, ya que cumplen las exigencias completas del eIDAS.
¿Por qué debemos fiarnos de los certificados electrónicos digitales cualificados?
Los certificados digitales son una credencial personal e intransferible que otorga a su titular la capacidad de interactuar por internet, desde la ubicación que quiera, sin la intervención de nadie más y en el momento que desee. Por ello, el hecho de que los datos de identidad sean fiables (nombre, DNI, etc.) y que el acceso a esta credencial esté estrictamente protegido, son los dos elementos claves que garantizan la confianza en su uso, ya sea para el acceso a informaciones protegidas, a servicios electrónicos o bien para utilizar la firma electrónica.
Si las entidades emisoras de certificados cualificados, emitidos en un dispositivo cualificado de creación de firma, no pudiesen garantizar esos dos elementos, la autenticidad de los datos de identidad y la protección de su acceso, las consecuencias podrían ser desastrosas para los titulares de un certificado. De hecho, si de alguna manera se pusiera en duda esa confianza, será la entidad emisora la que deberá responder por las consecuencias derivadas, y no la persona que ha firmado utilizando certificado cualificado. Esa es la principal razón por la que el eIDAS obliga a los prestadores de servicios de confianza cualificados a disponer de pólizas de responsabilidad civil millonarias.
¿Cómo puedo conseguir el certificado digital cualificado?
La personación del titular ante la entidad emisora es el mecanismo que la legislación española (ley 6/2020) define para garantizar que los datos de identidad personales estén ligados al certificado digital. La identificación física del firmante y la verificación de los datos de identidad mediante elementos de prueba (como el DNI, NIE o pasaporte), así como de su firma manuscrita, típicamente plasmada en el documento contractual de aceptación de las condiciones de uso del certificado, son los mecanismos usados habitualmente para las personaciones.
Hoy ya es posible utilizar un mecanismo virtual para realizar estas personaciones, a través de sistemas de vídeo identificación remota por internet, que sean capaces de recopilar las evidencias de personación por mecanismos electrónicos, típicamente ayudados de sistemas de inteligencia artificial. El regulador español ya ha aprobado una Orden Ministerial que regula las características técnicas y organizativas del mecanismo de personación necesario para la emisión de certificados cualificados. Es una regulación basada en estándares internacionales y de un muy alto nivel de exigencia ya que, como hemos dicho, esa personación, presencial o virtual, es el elemento crítico en el que reposa la confianza electrónica basada en certificados cualificados.
La única equiparable a la firma manuscrita
Cualquier otra firma simple o avanzada, aunque use un segundo factor como un código recibido en el móvil o la biometría de una firma en tableta, no puede dar las garantías jurídicas de identificación del firmante ni de voluntad de firma al alto nivel de una firma electrónica basada en un certificado cualificado, ya sea éste un certificado en software, en tarjeta o en servidor seguro. Esto lo garantiza el prestador de servicios de confianza al identificar al firmante, asegurarse de que los datos de identidad son correctos y vigentes, recabar la aceptación de las condiciones de uso por parte del firmante (y que mantendrá por al menos 15 años) y facilitarle las credenciales de acceso que le permitirán disponer de acceso y control exclusivo del certificado.
En el caso de una firma producida con un certificado cualificado emitido en un dispositivo cualificado de creación de firma, ya sea éste local (tarjeta o token criptográfico) o remoto (módulo hardware de seguridad -HSM- en servidor), la firma electrónica tiene idéntica consideración que una firma manuscrita, el máximo valor legal. Y en este caso además se produce lo que se denomina «inversión de la carga de la prueba», protegiendo en todo caso al firmante.