Base legal de la Firma Electrónica

Ley 59/2003 de Firma Electrónica

La legislación básica sobre firma electrónica se recoge en la Ley 59/2003, de 19 de diciembre, de Firma Electrónica.

Art. 3.1) La firma electrónica es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante.

Además, la Ley distingue entre dos tipos de firma, la ‘firma electrónica avanzada’ y la ‘firma electrónica reconocida’:

Art. 3.2) La firma electrónica avanzada es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control.

(Art. 3.3) Se considera firma electrónica reconocida la firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma.

Según la ley, la firma electrónica reconocida es la única que puede ser considerada equivalente a la firma manuscrita:

(Art. 3.4) La firma electrónica reconocida tendrá, respecto de los datos consignados en forma electrónica, el mismo valor que la firma manuscrita en relación con los consignados en papel.

Pero ¿cómo conseguimos, en la práctica, que una firma electrónica sea reconocida y por tanto, equivalente a la firma manuscrita?

La Firma Electrónica Reconocida

Una firma electrónica reconocida debe cumplir las siguientes propiedades o requisitos:

  • Identificar al firmante.
  • Verificar la integridad del documento firmado.
  • Garantizar el no repudio en el origen.
  • Contar con la participación de un tercero de confianza.
  • Estar basada en un certificado electrónico reconocido.
  • Debe de ser generada con un dispositivo seguro de creación de firma.

Los 4 primeros puntos son posibles gracias al uso de las claves criptográficas contenidas en el certificado y a la existencia de una estructura de Autoridades de Certificación que ofrecen confianza en la entrega de los certificados. Pero según la Ley 59/2003, esos 4 puntos sólo nos ofrecen una firma avanzada.

Para que la firma electrónica sea equivalente a la manuscrita, es decir, que una Firma electrónica sea reconocida, debe además:

Estar basada en un Certificado Reconocido

El certificado debe haber sido reconocido por el Ministerio de Industria y Comercio como habilitado para crear firmas reconocidas y debe estar listado en su página web como tal.

Se pueden ver todos los certificados reconocidos por el MITyC en la dirección https://sedeaplicaciones2.minetur.gob.es/prestadores/

Son certificados reconocidos porque tanto el prestador que los emite como el contenido mismo del certificado, cumplen con los requisitos declarados en el Capítulo II de la Ley 59/2003 de firma electrónica sobre Certificados reconocidos.

Ser generada con un dispositivo seguro de creación de firma

Las características de un dispositivo seguro de creación de firma están recogidas en el artículo 24 de la Ley 59/2003 de Firma Electrónica.

Principalmente, el dispositivo seguro debe garantizar que las claves sean únicas y secretas, que la clave privada no se puede deducir de la pública y viceversa, que el firmante pueda proteger de forma fiable las claves, que no se altere el contenido del documento original y que el firmante pueda ver qué es lo que va a firmar.

Desde un punto de vista técnico, según el artículo 27 de la Ley 59/2003, un dispositivo seguro de firma debe ser certificado como que cumple las características anteriores según las normas técnicas publicadas en la Decisión 2003/511/CE, de 14 de julio de 2003 de la Comisión Europea.

  • El DNI Electrónico es considerado un de firma y por tanto, las firmas generadas con él, son reconocidas y tienen la misma validez que la firma manuscrita. ¿Son reconocidas las firmas generadas en el ordenador con un certificado software instalado en el navegador?
  • Puesto que el ordenador no es un dispositivo seguro de creación de firma, las firmas generadas son sólo firmas avanzadas según la definición de la ley.

Política de Firma

Cuando se firman datos, el firmante indica la aceptación de unas condiciones generales y unas condiciones particulares aplicables a aquella firma electrónica mediante la inclusión de un campo firmado, dentro de la firma, que específica una política explícita o implícita.

Si el campo correspondiente a la normativa de firma electrónica está ausente y no se identifica ninguna normativa como aplicable, entonces se puede asumir que la firma ha sido generada o verificada sin ninguna restricción normativa, y en consecuencia, que no se le ha asignado ningún significado concreto legal o contractual. Se trataría de una firma que no especifica de forma expresa ninguna semántica o significación concreta y, por lo tanto, hará falta derivar el significado de la firma a partir del contexto (y especialmente, de la semántica del documento firmado).

La finalidad de una política de firma es reforzar la confianza en las transacciones electrónicas a través de una serie de condiciones para un contexto dado, el cual puede ser una transacción determinada, un régimen legal o un rol que asuma la parte firmante.

Por ejemplo, la Política de Firma de la Administración General del Estado (AGE) especifica las condiciones generales aplicables a la firma electrónica para su validación, en la relación electrónica de la Administración General del Estado con los ciudadanos y entre los órganos y entidades de la AGE.

Según el artículo 24 del Real Decreto 1671/2009 por el que se desarrolla parcialmente la Ley 11/2007 de Acceso Electrónico de los Ciudadanos a los Servicios Públicos, la política de firma electrónica y certificados en el ámbito de la Administración General del Estado y de sus organismos públicos, está constitu&icaute;da por las directrices y normas técnicas aplicables a la utilización de certificados y firma electrónica dentro de su ámbito de aplicación.

Esquema Nacional de Interoperabilidad (ENI)

La política de firma tiene una misión importante ya que define las reglas y obligaciones de todos los actores involucrados en el proceso de firma en determinados contextos (contractual, jurídico, legal,…).

El Real Decreto 4/2010 por el que se regula el Esquema Nacional de Interoperabilidad establece que la política de firma electrónica y de certificados de la Administración General del Estado, servirá de marco general de interoperabilidad para la autenticación y el reconocimiento mutuo de firmas electrónicas dentro de su ámbito de actuación. También establece que dicha política podrá ser utilizada como referencia por otras Administraciones Públicas para definir las políticas de certificados y firmas a reconocer dentro de sus ámbitos competenciales.

Esquema Nacional de Seguridad (ENS)

El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, tiene por objeto el establecimiento de los principios y requisitos de una política de seguridad protección de la información.

Pues bien, el decreto, en su artículo 33 también relega a la Política de Firma toda la función de concretar los procesos de generación, validación y conservación de firmas electrónicas, así como las características y requisitos exigibles a los sistemas de firma electrónica, los certificados, los servicios de sellado de tiempo, y otros elementos de soporte de las firmas.

Por otra parte, el RD en su anexo II punto 5.7.4 es muy específico sobre los tipos de firma que deben aplicarse en función del nivel de la información que debe protegerse.

  • Nivel BAJO

    Se puede emplear cualquier medio de firma electrónica de los previstos en la legislación vigente.

  • Nivel MEDIO

    Los medios utilizados en la firma electrónica serán proporcionados a la calificación de la información tratada. En todo caso:

    Se emplearán algoritmos acreditados por el Centro Criptológico Nacional.

    • Se emplearán, preferentemente, certificados reconocidos.
    • Se emplearán dispositivos seguros de firma.

    Se garantizará la verificación y validación de la firma electrónica durante el tiempo requerido por la actividad administrativa que aquélla soporte, sin perjuicio de que se pueda ampliar este período de acuerdo con lo que establezca la política de firma electrónica y de certificados que sea de aplicación. Para tal fin:

    • Se adjuntará a la firma, o se referenciará, toda la información pertinente para su verificación y validación.
    • Se protegerán la firma y la información mencionada en el apartado anterior con un sello de tiempo.
    • El organismo que recabe documentos firmados por el administrado verificará y validará la firma recibida en el momento de la recepción, anexando o referenciando sin ambigüedad la información descrita en los epígrafes a) y b).
    • La firma electrónica de documentos por parte de la Administración anexará o referenciará sin ambigüedad la información descrita en los epígrafes a) y b).
  • Nivel ALTO

    Se aplicarán las medidas de seguridad referentes a firma electrónica exigibles en el nivel Medio, además de las siguientes:

    • Se usarán certificados reconocidos.
    • Se usarán dispositivos seguros de creación de firma.
    • Se emplearán, preferentemente, productos certificados [op.pl.5].

    La norma CCN-STIC-807 del Centro Criptológico Nacional establece en el punto 5.7 cuáles son los mecanismos y algoritmos que se pueden utilizar para firmar en función del nivel de la información.

-