Firma electrónica avanzada, simple o cualificada, ¿sabes distinguirlas?

Posted by media on 5/09/17 9:00

Firma electrónica simple, avanzada o cualificada.jpg

La firma electrónica avanzada es una de los tres tipos de firmas que reconoce la Unión Europea dentro de su apuesta por reforzar las transacciones electrónicas dentro de la región.

En 1999 el Parlamento Europeo ya aprobó una primera directiva para establecer un marco común para la firma electrón
ica e impulsar su uso entre sus por entonces 15 estados miembro.

En agosto de 2014 el Parlamento Europeo aprobó un nuevo marco regulatorio para los servicios de identificación y confianza de las transacciones electrónicas en el mercado interior: el Reglamento (UE) Nº 910/2014, que finalmente entró completamente en vigor el 1 de julio de 2016, derogando la directiva anterior.

En este post vamos a explicar cómo se definen y en qué se diferencian según el nuevo Reglamento (UE) Nº 910/2014 estos tres tipos de firmas: la firma electrónica avanzada, la simple y la cualificada.

Este post también está disponible en inglés.


Firma electrónica avanzada, simple y cualificada según la nueva normativa europea

La firma electrónica avanzada, simple y cualificada se regulan en el Reglamento (UE) Nº 910/2014 del Parlamento Europea y del Consejo de 23 de julio de 2014, el cual versa sobre la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior.

El nuevo Reglamento (UE) Nº 910/2014, conocido como eIDAS, tiene el mismo objetivo que la Directiva anterior:  crear un clima de confianza que haga posible y refuerce el comercio electrónico y las transacciones digitales en la UE.

Dicho de otro modo, lo que se pretende es eliminar todas las barreras a realizar transacciones electrónicas que existen entre países miembros. Para ello, el eIDAS establece sistemas comunes de identificación de ciudadanos y de validez de sus firmas electrónicas, para que se pueda  operar online con mayor seguridad, agilidad, y eficiencia a nivel europeo.

A diferencia de la Directiva predecesora, la ventaja del nuevo Reglamento es que se aplica directamente en todos los estados de la Unión, por lo que ya no es necesaria la transposición de la ley en cada uno de ellos.

Esto elimina uno de los principales problemas de la Directiva 1999/93/CE: que cada estado la interpretaba a su manera, complicando el reconocimiento y la validez de la firma electrónica avanzada por ejemplo, en los diferentes estados y tribunales de la UE.

 

¿Cómo se definen los tres tipos de firmas electrónicas?

El nuevo Reglamento mantiene la distinción de tres tipos de firmas electrónicas ya establecida en la anterior directiva: firma electrónica avanzada, simple y cualificada.

Además reitera que las firmas electrónicas son legalmente vinculantes y admisibles como pruebas válidas ante cualquier tribunal.

Tal y como se establece en el artículo 25.1., “no se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a una firma electrónica por el mero hecho de ser una firma electrónica o porque no cumpla los requisitos de la firma electrónica cualificada.”

Firma electrónica avanzada, simple o cualificada ¿Sabes reconocerlas?.png


¿Qué es la firma electrónica?

Repasamos brevemente cómo se definen los tres tipos de firmas electrónicas en el Reglamento (UE) Nº 910/2014:

  • Firma electrónica: “los datos en formato electrónico anejos a otros datos electrónicos o asociados de manera lógica con ellos que utiliza el firmante para firmar.”
  • Firma electrónica avanzada: “la firma electrónica que cumple los requisitos contemplados en el artículo 26.”

     Así los requisitos para la firma electrónica avanzada que establece el Artículo 26 son:

a) estar vinculada al firmante de manera única; 

b) permitir la identificación del firmante; 

c) haber sido creada utilizando datos de creación de la firma electrónica que el firmante puede utilizar, con un alto nivel de confianza, bajo su control exclusivo, y

d) estar vinculada con los datos firmados por la misma de modo tal que cualquier modificación ulterior de los mismos sea detectable.

  • Firma electrónica cualificada: “una firma electrónica avanzada que se crea mediante un dispositivo cualificado de creación de firmas electrónicas y que se basa en un certificado cualificado de firma electrónica.” (Ver recuadro al final de este post).

Diferencias entre la firma electrónica avanzada, simple y cualificada


Firma electrónica simple

Si por ejemplo alguien nos pide firmar un documento, y se lo enviamos firmado y escaneado a través de nuestro correo electrónico, existe una asociación lógica entre la cuenta de origen del mensaje (nuestra dirección de email) y la firma.

Sin embargo, no existe realmente ninguna ninguna evidencia sobre quién ha sido realmente el firmante. Por eso, esta firma electrónica, comúnmente denominada como simple, es la que tiene un nivel más bajo de seguridad.

A pesar de que la seguridad que la firma electrónica simple ofrece tanto al firmante como a quien solicita la firma es muy limitada, su uso ha sido generalizado hasta la aparición de plataformas como Signaturit, puesto que enviar un email con un documento adjunto firmado a mano resultaba la forma más asequible de solicitar y realizar una firma a distancia.

Firma electrónica simple, avanzada o cualificada.jpeg

 

Firma electrónica avanzada

La firma electrónica avanzada tiene un nivel de seguridad superior al de la firma simple: las dos primeras condiciones definidas por el Reglamento eIDAS aseguran que el firmante sólo puede haber sido aquel a quien se solicitó la firma, mientras que las dos últimas limitan extraordinariamente el riesgo de suplantación de identidad.

El sistema de creación de firma electrónica avanzada que ofrece Signaturit está desarrollado de forma que las firmas realizadas con nuestra herramienta cumplen con cada uno de estos 4 requisitos legales ¿Cómo?

  1. Para asegurar que la firma sólo puede asociarse a un único firmante, en el momento de la firma recopilamos un gran volumen de información y utilizamos una autoridad de sellado de tiempo para garantizar la integridad de la misma.

  2. Para identificar al firmante, geolocalizamos con exactitud el lugar en el que se ha realizado la firma, registramos las direcciones de origen y destino de la solicitud y la hora de la firma, y capturamos datos biométricos del grafo a partir de la presión ejercida en el dispositivo de firma (en aquellos dispositivos que lo permite). De este modo, podemos poner esta información a disposición de un grafólogo en caso de disputa para que pueda realizar su 

    análisis de firmas.



  3. El pleno control de la firma electrónica avanzada por parte del firmante está también garantizado por la versatilidad de nuestra plataforma, que permite firmar documentos fácilmente desde cualquier dispositivo móvil - smartphone, o tablet - o de sobremesa. Sólo es necesario usar un dedo, un puntero o el ratón, y por lo tanto no interviene ninguna otra persona que pueda falsear el proceso.

  4. Y, por último, impedimos cualquier cambio ulterior en la firma y, por extensión, garantizamos a solicitante y firmante que la firma obtenida no se puede modificar tras su realización. Para ello, ciframos la documentación generada conforme a unos estándares de encriptación que garantizan su integridad al 100%.

En resumen:

La firma electrónica avanzada asegura la verificación de la identidad e integridad de los datos firmados. Además es una evidencia jurídica admisible como prueba en un juicio.


 

 

Firma electrónica cualificada

Si bien este tipo de firma (también denominada firma reconocida) es la que ofrece un nivel de seguridad más alto, su uso se ve entorpecido por la necesidad de disponer de un certificado cualificado de firma electrónica (DNIe) y de un dispositivo seguro de creación de firma cualificado, que a su vez debe de cumplir con una serie de requisitos que se establecen en la Regulación (UE) Nº 210/2014. Condiciones que no se exigen a la firma electrónica avanzada, tal y como hemos explicado.

Por este motivo, el uso de la firma electrónica cualificada suele limitarse a trámites que se realizan con las administraciones públicas, como hacienda o la seguridad social. Su complejidad operativa no la hace una opción recomendable para empresas o personas que deban solicitar firmas a distancia de forma frecuente.

 

Conclusión 

Las empresas que se planteen implementar la firma electrónica avanzada o simple para agilizar y conferir una capa adicional de seguridad en todos sus procesos de firma, deberán considerar primero a qué nivel es necesario implementarla, a nivel local/global, departamental o general.

A partir de ahí, se deberá realizar un estudio que determine en qué departamentos y en qué procesos conviene la firma electrónica avanzada o simple, qué interrelaciones existen entre departamentos, qué personas están involucradas en cada proceso, y qué niveles de seguridad se necesitan.

Una vez realizado este estudio ya se podrá establecer cúal de los tipos de firma electrónica es la más adecuada para cubrir cada caso de uso: la simple, la avanzada o la cualificada.

En Signaturit podemos ayudar a cubrir todos aquellos casos de uso que requieran la firma electrónica avanzada o simple. Si quieres disfrutar de los beneficios de la firma electrónica, ponte en contacto con nosotros a través del siguiente formulario, o llámanos directamente al +34 93 551 14 80.


Este post también está disponible en inglés.


New Call-to-action


POSTS RELACIONADOS


Reglamento (UE) Nº 910/2014

Anexo II 
REQUISITOS DE LOS DISPOSITIVOS CUALIFICADOS DE CREACIÓN DE FIRMA ELECTRÓNICA

  1. Los dispositivos cualificados de creación de firma electrónica garantizarán como mínimo, por medios técnicos y de procedimiento adecuados, que

    a) esté garantizada razonablemente la confidencialidad de los datos de creación de firma electrónica utilizados para la creación de firmas electrónicas;

    b) los datos de creación de firma electrónica utilizados para la creación de firma electrónica sólo puedan aparecer una vez en la práctica;


    c) exista la seguridad razonable de que los datos de creación de firma electrónica utilizados para la creación de firma electrónica no pueden ser hallados por deducción y de que la firma está protegida con seguridad contra la falsificación mediante la tecnología disponible en el momento;

    d) los datos de creación de la firma electrónica utilizados para la creación de firma electrónica puedan ser protegidos por el firmante legítimo de forma fiable frente a su utilización por otros.
  1. Los dispositivos cualificados de creación de firmas electrónicas no alterarán los datos que deben firmarse ni impedirán que dichos datos se muestren al firmante antes de firmar.
  1. La generación o la gestión de los datos de creación de la firma electrónica en nombre del firmante sólo podrán correr a cargo de un prestador cualificado de servicios de confianza.
  1. Sin perjuicio de la letra d) del punto 1, los prestadores cualificados de servicios de confianza que gestionen los datos de creación de firma electrónica en nombre del firmante podrán duplicar los datos de creación de firma únicamente con objeto de efectuar una copia de seguridad de los citados datos siempre que se cumplan los siguientes requisitos:

    a) la seguridad de los conjuntos de datos duplicados es del mismo nivel que para los conjuntos de datos originales;

    b) el número de conjuntos de datos duplicados no supera el mínimo necesario para garantizar la continuidad del servicio.

* Fuente: World Wide Web Consortium (W3C).

Topics: Firma Electrónica

Subscríbete al blog