A firma electrónica regúlase no noso ordenamento xurídico mediante a aplicación da Lei 6/2020, do 11 de novembro, reguladora de determinados aspectos dos servizos electrónicos de confianza e o Regulamento (UE) Nº 910/2014 do Parlamento Europeo e do Consello, do 23 de xullo de 2014 (eIDAS), relativo á identificación electrónica e os servizos de confianza nas transaccións electrónicas no mercado interior e polo que se derroga a Directiva 1999/93/CE.

Debemos destacar que a recente Lei 6/2020 derrogou a Lei 59/2003, do 19 de decembro, de firma electrónica, e con ela aqueles preceptos incompatibles co Regulamento eIDAS que é de aplicación directa, evitando así a existencia de baleiros normativos susceptibles de dar lugar a situacións de inseguridade xurídica na prestación de servizos electrónicos de confianza.

Establece o artigo 3 do Regulamento eIDAS sobre definicións que:

A firma electrónica cualificada é aquela que se realiza cun certificado cualificado que é definido polo Regulamento como:

A firma electrónica cualificada comparte todas as características da firma electrónica avanzada, ao estar vinculada ao asinante de forma única e intransferible e ligada ao documento de tal maneira que non poida alterarse posteriormente, pero se diferencia en que esta ten que ser creada por un certificado electrónico que valida a identificación do asinante de forma inequívoca e que debe ser expedido por unha Autoridade de certificación, o que repercute en que sexa un método moi seguro e completo.

Recolle o artigo 3 do Regulamento eIDAS sobre definicións que:

​Os requisitos para este tipo de firma segundo o artigo 26 do regulamento serían:

• a) estar vinculada ao asinante de maneira única;
• b) permitir a identificación do asinante;
• c) ser creada utilizando datos de creación da firma electrónica que o asinante pode utilizar, cun alto nivel de confianza, baixo o seu control exclusivo,
• d) estar vinculada cos datos asinados pola mesma de modo tal que calquera modificación ulterior dos mesmos sexa detectable.

A firma electrónica avanzada presenta un maior nivel de seguridade, xa que, permite identificar ao asinante de forma única co documento electrónico, e o posterior rexistro de firma e aceptación por parte do mesmo, co fin de evitar calquera modificación posterior sobre o documento.

O regulamento EIDAS no seu artigo 3 establece:

É dicir, a firma electrónica simple é aquela que permite identificar dixitalmente ao asinante cos seus datos, pero ofrece un escaso nivel de seguridade.

Cando se asinan datos, o asinante indica a aceptación dunhas condicións xerais e unhas condicións particulares aplicables a aquela firma electrónica mediante a inclusión dun campo asinado, dentro da firma, que específica unha política explícita ou implícita.

Se o campo correspondente á normativa de firma electrónica está ausente e non se identifica ningunha normativa como aplicable, entón pódese asumir que a firma foi xerada ou verificada sen ningunha restrición normativa, e en consecuencia, que non se lle asignou ningún significado concreto legal ou contractual. Trataríase dunha firma que non especifica de forma expresa ningunha semántica ou significación concreta e, por tanto, fará falta derivar o significado da firma a partir do contexto (e especialmente, da semántica do documento asinado).

A finalidade dunha política de firma é reforzar a confianza nas transaccións electrónicas a través dunha serie de condicións para un contexto dado, o cal pode ser unha transacción determinada, un réxime legal ou un rol que asuma a parte asinante.

Por exemplo, a Política de Sinatura da Administración Xeral do Estado (AGE) especifica as condicións xerais aplicables á firma electrónica para a súa validación, na relación electrónica da Administración Xeral do Estado cos cidadáns e entre os órganos e entidades da AGE.

Segundo o artigo 24 do Real Decreto 1671/2009 polo que se desenvolve parcialmente a Lei 11/2007 de Acceso Electrónico dos Cidadáns aos Servizos Públicos, a política de firma electrónica e certificados no ámbito da Administración Xeral do Estado e dos seus organismos públicos, está constituída polas directrices e normas técnicas aplicables á utilización de certificados e firma electrónica dentro do seu ámbito de aplicación.

A política de firma ten unha misión importante xa que define as regras e obrigas de todos os actores involucrados no proceso de firma en determinados contextos (contractual, xurídico, legal,…).

O Real Decreto 4/2010 polo que se regula o Esquema Nacional de Interoperabilidade establece que a política de firma electrónica e de certificados da Administración Xeral do Estado, servirá de marco xeral de interoperabilidade para a autenticación e o recoñecemento mutuo de firmas electrónicas dentro do seu ámbito de actuación. Tamén establece que esta política poderá ser utilizada como referencia por outras Administracións Públicas para definir as políticas de certificados e firmas a recoñecer dentro dos seus ámbitos competenciais.

O Real Decreto 3/2010, do 8 de xaneiro, polo que se regula o Esquema Nacional de Seguridade no ámbito da Administración Electrónica, ten por obxecto o establecemento dos principios e requisitos dunha política de seguridade protección da información.

Pois ben, o decreto, no seu artigo 33 tamén relega á Política de Firma toda a función de concretar os procesos de xeración, validación e conservación de firmas electrónicas, así como as características e requisitos esixibles aos sistemas de firma electrónica, os certificados, os servizos de selaxe de tempo, e outros elementos de soporte das firmas.

Por outra banda, o RD no seu anexo II punto 5.7.4 é moi específico sobre os tipos de firma que deben aplicarse en función do nivel da información que debe protexerse.

• Nivel BAIXO

  pódese empregar calquera medio de firma electrónica dos previstos na lexislación vixente.

• Nivel MEDIO

  Os medios utilizados na firma electrónica serán proporcionados á cualificación da información tratada. En todo caso:

  Empregaranse algoritmos acreditados polo Centro Criptolóxico Nacional.

  • Empregaranse, preferentemente, certificados recoñecidos.
  • Empregaranse dispositivos seguros de firma.

  Garantirase a verificación e validación da firma electrónica durante o tempo requirido pola actividade administrativa que aquela soporte, sen prexuízo de que se poida ampliar este período de acordo con o que estableza a política de firma electrónica e de certificados que sexa de aplicación. Para tal fin:

  • Achegarase á firma, ou se referenciará, toda a información pertinente para a súa verificación e validación.
  • Protexeranse a firma e a información mencionada no apartado anterior cun selo de tempo.
  • O organismo que solicite documentos asinados polo administrado verificará e validará a firma recibida no momento da recepción, anexando ou referenciando sen ambigüidade a información descrita nos epígrafes a) e b).
  • A firma electrónica de documentos por parte da Administración anexará ou referenciará sen ambigüidade a información descrita nos epígrafes a) e b).
• Nivel ALTO

  Aplicaranse as medidas de seguridade referentes a firma electrónica esixibles no nivel Medio, ademais das seguintes:

  • Usaranse certificados recoñecidos.
  • Usaranse dispositivos seguros de creación de firma.
  • Empregaranse, preferentemente, produtos certificados [op.pl.5].

  A norma CCN-STIC-807 do Centro Criptolóxico Nacional establece no punto 5.7 cales son os mecanismos e algoritmos que se poden utilizar para asinar en función do nivel da información.

• Lei 6/2020, do 11 de novembro, reguladora de determinados aspectos dos servizos electrónicos de confianza
• O regulamento europeo 910/2014, do 23 de xullo, relativo á identificación electrónica e os servizos de confianza para as transaccións electrónicas no mercado interior e pola que se derroga a Directiva 1999/93/CE, establece a obriga de validar certificados electrónicos emitidos por calquera Fornecedor de Servizos de Confianza europeo.
• A normativa de desenvolvemento do regulamento eIDAS, Decisión de Execución (UE) 2015/1506 da Comisión do 8 de setembro de 2015 pola que se establecen as especificacións relativas aos formatos das firmas electrónicas avanzadas e os selos avanzados que deben recoñecer os organismos do sector público de conformidade cos artigos 27, apartado 5, e 37, apartado 5, do Regulamento 910/2014, establece que os Estados membros deben fixar os medios técnicos necesarios que lles permitan procesar os documentos asinados electronicamente que son necesarios cando se utiliza un servizo en liña ofrecido por, ou en nome de, un organismo do sector público. Para iso define unha serie de formatos de firma electrónica avanzada que deben admitir tecnicamente os Estados membros cando se necesiten firmas electrónicas avanzadas para un procedemento administrativo en liña.
• Doutra banda, o Real Decreto 4/2010, do 8 de xaneiro, polo que se regula o Esquema Nacional de Interoperabilidade no ámbito da Administración Electrónica expón no seu artigo 22.4 que os aspectos relativos á firma electrónica na conservación do documento electrónico estableceranse na Política de firma electrónica e de certificados, e a través do uso de formatos de firma lonxeva que preserven a conservación das firmas ao longo do tempo.
• A preservación das firmas lonxevas ao longo do tempo concrétase na Resolución do 19 de xullo de 2011, da Secretaría de Estado para a Función Pública, pola que se aproba a Norma Técnica de Interoperabilidade de Política de Firma Electrónica e de certificados da Administración, no apartado II.7 relativo ao Arquivado e custodia, que establece que para garantir a fiabilidade dunha firma electrónica ao longo do tempo, poderanse utilizar: Firmas lonxevas mediante as que se engadirá información do estado do certificado asociado, incorporando un selo de tempo, así como os certificados que conforman a cadea de confianza.
• O selo de tempo é unha parte indispensable da firma electrónica, sobre todo no caso das firmas lonxevas, que necesiten ser validadas moito tempo despois da súa xeración.
• Así mesmo o Real Decreto 3/2010, do 8 de xaneiro, polo que se regula o Esquema Nacional de Seguridade no ámbito da Administración Electrónica, en ANEXO II de Medidas de seguridade, no apartado 5.7.4 relativo á firma electrónica, especifica que para os sistemas clasificados de nivel medio nas dimensións de integridade e autenticidade, garantirase a verificación e validación da firma electrónica durante o tempo requirido pola actividade administrativa que aquela soporte, para o que se achegará á firma, ou se referenciará, toda a información pertinente para a súa verificación e validación, e protexeranse a firma e a información mencionada no apartado anterior cun selo de tempo.