La firma electrónica con OTP y la firma biométrica gozan de plena validez legal gracias al Reglamento Europeo (Nº910/2014) conocido como eIDAS, así como en otras legislaciones internacionales. Pero, ¿cuentan con las mismas garantías de seguridad?
En este post queremos explicar en qué consiste la firma electrónica con OTP y la firma electrónica avanzada basada en la tecnología biométrica y realizar una comparativa entre ambos sistemas de aceptación.
Este blog forma parte de nuestra guía de firma electrónica. ¡Entra y descubre todo nuestro material!
¿Qué encontrarás en este post?
La firma electrónica con OTP (One-time password) es un sistema de firma con contraseña personal y código de un solo uso y validez temporal. Esta clave de un solo uso permite firmar un documento de forma digital.
A través de la firma con OTP los usuarios pueden firmar documentos a través de cualquier dispositivo de forma legal y ágil.
Si te preguntas qué es la firma biométrica, debemos aclarar en primer lugar lo que significa la firma electrónica avanzada. La firma electrónica avanzada es un conjunto de datos que se adjuntan a un mensaje electrónico, cuyo propósito es identificar al firmante como autor de esta de manera única, como si se tratara de una firma manuscrita.
Por sus características brinda seguridad a las transacciones electrónicas de los usuarios, ya que con su uso se puede identificar al autor de la firma y además verificar que no se ha modificado el mensaje.
En este caso, este tipo de firma nos permite garantizar la integridad del contenido firmado, es decir, que el contenido firmado no ha sufrido ningún tipo de alteración o variación desde el momento en que se firmó.
La firma electrónica avanzada permite identificar al firmante
y detectar cualquier cambio posterior del contenido firmado
El documento probatorio de la firma avanzada registra información biométrica como la presión, la velocidad o la aceleración del trazo. Todos estos datos adicionales cuentan con mucha más validez legal que solo aceptar los términos y condiciones de la firma con OTP.
En el caso de la firma electrónica realizada mediante OTP existe una vinculación precisa y única en tanto que el firmante recibe un correo electrónico a su dirección de correo electrónico.
Asimismo, existen otras medidas para reforzar dicha vinculación que incluirían como añadido en este correo electrónico la validación de DNIs, pasaportes, entre otros, mediante nuestra tecnología OCR.
El sistema OTP permite identificar al firmante en la misma medida que se puede identificar al titular de un número de teléfono es personal y pertenece, exclusivamente, al firmante. Por ello, existe el riesgo que mediante OTP no se pueda acreditar plenamente la identidad del firmante, por cuanto solo acredita la titularidad del teléfono y no “quien” es el firmante.
Realizando las peticiones de firma a través de Signaturit, el firmante decide en qué entorno firma y cuando lo realiza. Signaturit remite las peticiones de firma al correo electrónico del cual es titular el firmante, y puede realizar completar el proceso de firma en el dispositivo que precise, y cuando mejor lo estime conveniente.
Mediante la utilización del sellado de tiempo se garantiza la integridad del conjunto de datos electrónicos que conforman la firma electrónica. Es decir, el sello de tiempo garantiza que una firma se realizó en un momento determinado imposibilitando su modificación posterior, puesto que se encripta y se sella el documento una vez se ha finalizado el proceso de firma.
Además, el sello de tiempo también garantiza la no alteración de una serie de datos asociados con la firma electrónica, como la fecha, hora y lugar de realización de la firma, la dirección de correo del emisor del documento a firmar, la dirección de correo del firmante o bien, las características caligráficas del firmante, es decir, la biometría.
En cuanto a la legalidad de la firma OTP, gracias a la garantía de no alteración, podemos ofrecer un documento acreditativo inmutable, plenamente íntegro.
Signaturit utiliza su propio sello cualificado de tiempo electrónico, como Prestador Cualificado de Servicios de Confianza.
En el caso de la firma electrónica avanzada, o basada en tecnología biométrica, existe una vinculación precisa y única en tanto que el firmante recibe un correo electrónico a su dirección de correo electrónico de la cual es titular.
Asimismo, Signaturit ofrece otras medidas para reforzar dicha vinculación, como la validación de DNIs, pasaportes, entre otros, mediante nuestra tecnología OCR.
En materia de firma biométrica cabe destacar que dentro de lo denominado firma avanzada, de acuerdo con lo contenido en el artículo 26 del Reglamento 910/2014, es el sistema que ofrece una mayor y mejor capacidad de identificación del firmante.
Así, el artículo 9 del Reglamento Europeo de Protección de datos (GDPR) establece los tipos de datos que tienen una especial protección por razón de la importancia en la identificación de un sujeto y entre ellos, se encuentran los datos biométricos.
El mismo reglamento define los datos biométricos como aquellos datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física, que permitan o confirmen la identificación única de dicha persona.
El firmante tiene una firma manuscrita única e imposible de copiar. La biometría consiste en una serie de procedimientos y herramientas físico-conductuales que permiten reconocer a las personas y confirmar sus identidades.
La información biométrica que capturamos proviene de la información sobre el grafo, consistente en los puntos que lo integran y su posición, la velocidad, la aceleración y finalmente, en los dispositivos que lo permiten, la presión con que se realiza. En caso de ser necesaria la acreditación de identidad del firmante, esta información podría estar disponible a los peritos caligráficos.
Con dichos parámetros se puede confirmar plenamente la identidad del individuo, cosa que con la opción de OTP no se podría acreditar la autoría de la firma. Si no que únicamente, mediante otro tipo de periciales relativas a telecomunicaciones (localización), se podría acreditar el lugar, fecha y horario dónde se produjo la firma y no la correlación de identidad entre la firma y su firmante.
De este modo se confirma la identidad del individuo, y junto al sellado de tiempo, se proporciona la total seguridad en la acreditación y comprobación de la identidad del usuario o firmante.
Por ello, comprobar o acreditar la identidad del firmante mediante la firma electrónica biométrica ofrece un mayor grado de seguridad respecto al sistema OTP, y Signaturit entiende que es el único medio para poder cumplir íntegramente con el artículo 26 del Reglamento (UE) 910/2014.
Realizando las peticiones de firma a través de Signaturit, el firmante decide en qué entorno firma y cuándo lo realiza. Signaturit remite las peticiones de firma al correo electrónico del cual es titular el firmante, y puede completar el proceso de firma en el dispositivo que precise, y cuando mejor lo estime conveniente.
Asimismo, el firmante es dueño íntegramente de los datos de creación de firma, puesto que biométricamente realiza el grafo acreditativo de su consentimiento.
Mediante la utilización del sellado de tiempo se garantiza la integridad del conjunto de datos electrónicos que conforman la firma electrónica biométrica.
Es decir, el sello de tiempo garantiza que una firma se realizó en un momento determinado, imposibilitando su modificación posterior, puesto que se encripta y se sella el documento una vez se ha finalizado el proceso de firma.
Además, el sello de tiempo también garantiza la no alteración de una serie de datos asociados con la firma electrónica, como la fecha, hora y lugar de realización de la firma, la dirección de correo del emisor del documento a firmar, la dirección de correo del firmante o bien, las características caligráficas del firmante, es decir, la biometría. Pudiendo ofrecer un documento acreditativo inmutable, plenamente íntegro.
Signaturit utiliza su propio sello cualificado de tiempo electrónico, como Prestador Cualificado de Servicios de Confianza.
La principal diferencia de la firma electrónica avanzada con la firma electrónica simple basada en código OTP es la identificación del firmante.
Mientras que la firma electrónica no identifica necesariamente al firmante en la firma electrónica avanzada es un requisito indispensable.
Esta diferencia es clave en firmas de contratos o de contenido en los que el riesgo asumido es alto o donde la legislación vigente obliga a la identificación para el “no repudio”, como puede ser el caso del sector financiero por el cumplimiento de las normativas internacionales de blanqueo de capitales y financiación del terrorismo.
Este blog forma parte de nuestra guía de firma electrónica. ¡Entra y descubre todo nuestro material!
Este post también está disponible en inglés
*Esta entrada fue publicada originalmente el 11/04/2019
