Base legal

La legislació bàsica sobre signatura electrònica qualificada es recull en el Reglament (UE) Núm. 910/2014, conegut com a Reglament eIDAS (electronic IDentification, Authentication and trust Services) que va entrar en vigor l'1 de juliol de 2016, aprovat en 2014.

Article 25: Efectes jurídics de la signatura electrònica

• Aprobada pel Parlament Europeu: 29 de febrer de 2024
• Publicada en el Diari Oficial de la UE: 11 d'abril de 2024
• Entró en vigor: 20 de maig de 2024

Aquesta reforma amplia l'abast del reglament original (UE 910/2014) i introdueix, entre altres innovacions:

1. - Cartera Europea de Identidad Digital (European Digital Identity Wallet o EUDI Wallet), que los Estados miembros deben ofrecer voluntariamente.
2. - Nous serveis qualificats, com arxivat electrònic, llibres electrònics i atributs electrònics associats a la identitat.
3. - Enfortiment de controls de seguretat i auditories periòdiques per als prestadors de serveis de confiança qualificats.

🔹 Article 26 - Requisits per a la signatura electrònica avançada

Una signatura avançada (base per a la qualificada) deu:

1. Estar vinculada al signant de manera única.
2. Permitir la identificació del signant.
3. Ser creada amb dades que estiguin sota el control exclusiu del signant.
4. Estar vinculada amb les dades signades, de manera que qualsevol modificació posterior sigui detectable.

🔹 Article 27 – Dispositius qualificats de creació de signatura electrònica

Estableix que la signatura qualificada ha de generar-se amb un dispositiu qualificat (com un token criptogràfic o un HSM), complint amb els requisits de l'Anexo II.

🔹 Article 28 – Certificats qualificats de signatura electrònica

Una signatura qualificada ha de basar-se en un certificat qualificat emès per un prestador qualificat de serveis de confiança i complir amb el que s'estableix en l'Anexo I del reglament.

Cuando se signen dades, el signant indica l'acceptació d'unes condicions generals i unes condicions particulars aplicables a aquella signatura electrònica mitjançant la inclusió d'un camp signat, dins de la signatura, que específica una política explícita o implícita.

Si el camp corresponent a la normativa de signatura electrònica està absent i no s'identifica cap normativa com a aplicable, llavors es pot assumir que la signatura ha estat generada o verificada sense cap restricció normativa, i en conseqüència, que no se li ha assignat cap significat concret legal o contractual. Se tractaria d'una signatura que no especifica de manera expressa cap semàntica o significació concreta i, per tant, farà falta derivar el significat de la signatura a partir del context (i especialment, de la semàntica del document signat).

La finalitat d'una política de signatura és reforçar la confiança en les transaccions electròniques a través d'una sèrie de condicions per a un context donat, el qual pot ser una transacció determinada, un règim legal o un rol que assumeixi la part signant.

Por ejemplo, la Política de Signatura de l'Administració General de l'Estat (AGE) especifica les condicions generals aplicables a la signatura electrònica per a la seva validació, en la relació electrònica de l'Administració General de l'Estat amb els ciutadans i entre els òrgans i entitats de l'AGE.

Segons l'article 24 del Reial decret 1671/2009 pel qual es desenvolupa parcialment la Llei 11/2007 d'Accés Electrònic dels Ciudadanos als Serveis Públics, la política de signatura electrònica i certificats en l'àmbit de l'Administració General de l'Estat i dels seus organismes públics, està constitu&icaute;dóna per les directrius i normes tècniques aplicables a la utilització de certificats i signatura electrònica dins del seu àmbit d'aplicació.

La política de signatura té una missió important ja que defineix les regles i obligacions de tots els actors involucrats en el procés de signatura en determinats contextos (contractual, jurídic, legal,…).

El Reial decret 4/2010 pel qual es regula l'Esquema Nacional d'Interoperabilitat estableix que la política de signatura electrònica i de certificats de l'Administració General de l'Estat, servirà de marc general d'interoperabilitat per a l'autenticació i el reconeixement mutu de signatures electròniques dins del seu àmbit d'actuació. També estableix que aquesta política podrà ser utilitzada com a referència per altres Administracions Públiques per a definir les polítiques de certificats i signatures a reconèixer dins dels seus àmbits competencials..

El Reial decret 3/2010, de 8 de gener, pel qual es regula l'Esquema Nacional de Seguretat en l'àmbit de l'Administració electrònica, té per objecte l'establiment dels principis i requisits d'una política de seguretat protecció de la informació.

Doncs bé, el decret, en el seu article 33 també relega a la Política de Signatura tota la funció de concretar els processos de generació, validació i conservació de signatures electròniques, així com les característiques i requisits exigibles als sistemes de signatura electrònica, els certificats, els serveis de segellament de temps, i altres elements de suport de les signatures.

D'altra banda, el RD/RD en el seu annex II punt 5.7.4 és molt específic sobre els tipus de signatura que han d'aplicar-se en funció del nivell de la informació que ha de protegir-se.

• Nivel BAJO

  Se pot emprar qualsevol mitjà de signatura electrònica dels previstos en la legislació vigent.

• Nivel MEDIO

  Els mitjans utilitzats en la signatura electrònica seran proporcionats a la qualificació de la informació tractada. En tot cas:

  Se empraran algorismes acreditats pel Centre Criptològic Nacional.

  • Se empraran, preferentment, certificats reconeguts.
  • Se empraran dispositius segurs de signatura.

  Se garantirà la verificació i validació de la signatura electrònica durant el temps requerit per l'activitat administrativa que aquella suport, sense perjudici que es pugui ampliar aquest període d'acord amb el que estableixi la política de signatura electrònica i de certificats que sigui aplicable. Per a tal fi:

  • Se adjuntarà a la signatura, o es referenciarà, tota la informació pertinent per a la seva verificació i validació.
  • Se protegiran la signatura i la informació esmentada en l'apartat anterior amb un segell de temps.
  • El organisme que recapti documents signats per l'administrat verificarà i validarà la signatura rebuda en el moment de la recepció, annexant o referenciant sense ambigüitat la informació descrita en els epígrafs a) i b).
  • La signatura electrònica de documents per part de l'Administració annexarà o referenciarà sense ambigüitat la informació descrita en els epígrafs a) i b).
• Nivel ALTO

  Se aplicaran les mesures de seguretat referents a signatura electrònica exigibles en el nivell Mitjà, a més de les següents:

  • Se usaran certificats reconeguts.
  • Se usaran dispositius segurs de creació de signatura.
  • S'empraran, preferentment, productes certificats [op.pl.5].

  La norma CCN-STIC-807 del Centre Criptològic Nacional estableix en el punt 5.7 quins són els mecanismes i algorismes que es poden utilitzar per a signar en funció del nivell de la informació.

• El reglament europeu 910/2014, de 23 de juliol, relatiu a la identificació electrònica i els serveis de confiança per a les transaccions electròniques en el mercat interior i per la qual es deroga la Directiva 1999/93/CE, estableix l'obligació de validar certificats electrònics emesos per qualsevol Prestador de Serveis de Confiança europeu.
• La normativa de desenvolupament del reglament eIDAS, Decisión de Ejecución (UE) 2015/1506 de la Comissió de 8 de setembre de 2015 per la qual s'estableixen les especificacions relatives als formats de les signatures electròniques avançades i els segells avançats que han de reconèixer els organismes del sector públic de conformitat amb els articles 27, apartat 5, i 37, apartat 5, del Reglament (UE) no 910/2014 del Parlament Europeu i del Consell, relatiu a la identificació electrònica i els serveis de confiança per a les transaccions electròniques en el mercat interior, estableix que els Estats membres han de fixar els mitjans tècnics necessaris que els permetin processar els documents signats electrònicament que són necessaris quan s'utilitza un servei en línia ofert per, o en nom de, un organisme del sector públic. Per a això defineix una sèrie de formats de signatura electrònica avançada que han d'admetre tècnicament els Estats membres quan es necessitin signatures electròniques avançades per a un procediment administratiu en línia.
• L'article 47 del Reial decret 1671/2009, de 6 de novembre, pel qual es desenvolupa parcialment la Llei 11/2007, de 22 de juny, d'accés electrònic dels ciutadans als serveis públics, estableix la necessitat d'incorporar una referència temporal dels documents administratius electrònics, sent una de les modalitats de referència temporal, el «Segell de temps», entenent per tal l'assignació per mitjans electrònics d'una data i hora a un document electrònic amb la intervenció d'un prestador de serveis de certificació que asseguri l'exactitud i integritat de la marca de temps del document.
• Por otro lado, el Reial decret 4/2010, de 8 de gener, pel qual es regula l'Esquema Nacional d'Interoperabilitat en l'àmbit de l'Administració electrònica exposa en el seu article 22.4 que els aspectes relatius a la signatura electrònica en la conservació del document electrònic s'establiran en la Política de signatura electrònica i de certificats, i a través de l'ús de formats de signatura longeva que preservin la conservació de les signatures al llarg del temps.
• La preservació de les signatures longeves al llarg del temps es concreta en la Resolució de 19 de juliol de 2011, de la Secretaria d'Estat per a la Funció Pública, per la qual s'aprova la Norma Tècnica d'Interoperabilitat de Política de Signatura Electrònica i de certificats de l'Administració, en l'apartat II.7 relatiu a l'Arxivat i custòdia, que estableix que per a garantir la fiabilitat d'una signatura electrònica al llarg del temps, es podran utilitzar: Signatures longeves mitjançant les quals s'afegirà informació de l'estat del certificat associat, incorporant un segell de temps, així com els certificats que conformen la cadena de confiança.
• El segell de temps és una part indispensable de la signatura electrònica, sobretot en el cas de les signatures longeves, que necessitin ser validades molt de temps després de la seva generació.
• Así mateix el Reial decret 3/2010, de 8 de gener, pel qual es regula l'Esquema Nacional de Seguretat en l'àmbit de l'Administració electrònica, en ANNEX II de Mesures de seguretat, en l'apartat 5.7.4 relatiu a la signatura electrònica, especifica que per als sistemes classificats de nivell mitjà en les dimensions d'integritat i autenticitat, es garantirà la verificació i validació de la signatura electrònica durant el temps requerit per l'activitat administrativa que aquella suport, per a això s'adjuntarà a la signatura, o es referenciarà, tota la informació pertinent per a la seva verificació i validació, i es protegiran la signatura i la informació esmentada en l'apartat anterior amb un segell de temps.

A més del reglament eIDAS, la sèrie de normes ETSI desenvolupa aspectes tècnics i d'interoperabilitat. Les més rellevants per a la signatura qualificada són:

• ETSI EN 319 411-2: Requisitos para prestadores cualificados que emiten certificados cualificados.

• ETSI EN 319 401: Requisits generals per als prestadors de serveis de confiança.

• ETSI EN 319 421: Requisits per a serveis de conservació de signatures electròniques qualificades.

• ETSI EN 319 411-1: Requisits per a prestadors de serveis de certificació.