El Reglamento Europeo de Firma Electrónica (eIDAS) tiene un gran impacto en la actividad de Firmaprofesional y los servicios de confianza que presta. Es un reglamento de aplicación inmediata en los estados miembros que pasa a substituir y ampliar la antigua Directiva de Firma Electrónica.
Para ser exactos, vamos a hablar del REGLAMENTO (UE) No 910/2014 DEL PARLAMENTO EUROPEO Y DEL CONSEJO, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE.
El citado reglamento, que ha tenido un período de gestación de más de dos años, se publicó el 28 de agosto de este año en el Diario Oficial de la Unión Europea y entró en vigor a los 20 días de su publicación.
Diferencia entre Reglamento vs Directiva
Para empezar, es un REGLAMENTO, no una DIRECTIVA, lo que implica que es de obligado cumplimiento “as is” y no requiere de transposición, con las diferentes interpretaciones que cada Estado Miembro pudiera hacer (ya se pudo comprobar lo dispares que pueden ser con la transposición de la DIRECTIVA 1999/93/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrónica). Esto garantiza la interoperabilidad obligada explícitamente, por otro lado, en el articulado del eIDAS, de los servicios de firma electrónica entre los Estados Miembro.
Pero, ¿cómo impacta a un Prestador de Servicios de Certificación español? Impacta, y mucho, en distintos ámbitos. Identifiquémoslos:
- Ampliación de los servicios regulados
- Cambio de denominación de los proveedores
- Nuevos modelos de firma electrónica
- Mayor seguridad para los terceros que confían
- Cambio en los modelos de negocioo
La ampliación de los servicios regulados
Para continuar no habla sólo de firma electrónica, sino de identificación electrónica y servicios de confianza. Concretamente, regula (o pretende regular pues parte de la regulación está a la espera del desarrollo y publicación de Actos de Implementación) los siguientes servicios:
- Firma electrónica
- Sello electrónico
- Marca de tiempo electrónica (sellado de tiempo o timestamp)
- Documento electrónico
- Entrega electrónica
- Autenticación de sitio web
Esto debería eliminar incertidumbres y por tanto miedo a la validez legal, eliminando una de las barreras de adopción de nuevas tecnologías, aunque puede caer en la sobre-reglamentación. También debería aportar cierta protección a los Prestadores de Servicios de Certificación Europeos frente a los todo poderosos fabricantes de navegadores, en lo que al servicio de emisión de certificados SSL se refiere.
El cambio de denominación de los proveedores
Por otro lado, cambia la denominación de los prestadores de servicios de certificación a prestadores de servicios de confianza (recogiendo así la ampliación en el ámbito de servicios que recoge) o prestadores cualificados de servicios de confianza (por un lado traduciendo “qualified” por “cualificados” en vez de por “reconocidos”, como se hizo en la transposición de la Directiva de firma electrónica y por otro, desplazando el adjetivo al prestador que ofrece servicios de confianza “cualificados”). Concretamente, un prestador de servicios de confianza es “una persona física o jurídica que presta uno o más servicios de confianza (los identificados antes), bien como prestador cualificado o como prestador no cualificado de servicios de confianza”.
Nuevos modelos de firma electrónica
También abre explícitamente la puerta a nuevas formas de generar firmas electrónicas cualificadas (“como la firma móvil, la firma en nube, etc.”). Si bien la firma en móvil, en teoría ya podía ser cualificada (SIM criptográfica, microSD criptográfica) la experiencia demuestra que este modelo no ha fructificado. Otra cuestión es la firma en nube, algo demandado por el mercado y por los propios prestadores de servicios de certificación y que en países como Alemania, Francia o España ha sido imposible su aceptación por la autoridad competente (a diferencia de otros países, como Italia. A cosas como ésta lleva la transposición de DIRECTIVAS) Esto puede dinamizar (que no abaratar) enormemente el mercado de la firma electrónica. No debe verse esta opción como una manera de abaratar la firma electrónica. Todo lo contrario, asegurar el control exclusivo de un dispositivo remota va a ser siempre más costoso que garantizarlo en un dispositivo portátil que lleve el propio firmante. Lo que sí representa es una oportunidad de ofrecer al usuario facilidad de uso o convenience (como dicen en la lengua de Shakespeare) acercándonos a la firma ubicua.
Mayor seguridad para los terceros que confían
“Los prestadores cualificados de servicios de confianza serán auditados, al menos cada 24 meses, corriendo con los gastos que ello genere, por un organismo de evaluación de la conformidad”. Esto implica mayor inversión en seguridad por parte de los prestadores, debiendo ser esta auditorías externas y bienales.
El cambio en los modelos de negocio
“[…], los prestadores cualificados de servicios de confianza que expidan certificados cualificados proporcionarán […] información sobre el estado de validez o revocación de los certificados cualificados expedidos por ellos. Esta información deberá estar disponible al menos por cada certificado en cualquier momento y con posterioridad al período de validez del certificado en una forma automatizada que sea fiable, gratuita y eficiente”.
Este artículo obligará a hacer cambios en los servicios de consulta del estado de los certificados de casi todos los prestadores de servicios de certificación españoles y acabará con el modelo de negocio de alguno de estos PSC.
Éstos son los grandes temas en los que, bajo nuestro punto de vista, afecta el nuevo eIDAS a los antiguos Prestadores de Servicios de Certificación. Si identificas alguno más, por favor, coméntalo.
En principio, aporta más ventajas que inconvenientes, tanto para los antiguos prestadores como para los usuarios o terceras partes que confían.
Esperemos a ver su despliegue para valorar de nuevo cuántas de nuestras expectativas se han cubierto.
Autor: Chema López, Gestor de proyectos.