Base legal

A lexislación básica sobre firma electrónica recóllese na Lei 59/2003, do 19 de decembro, de Firma Electrónica.

Ademais, a Lei distingue entre dous tipos de firma, a ‘firma electrónica avanzada’ e a ‘firma electrónica recoñecida’:

Segundo a lei, a firma electrónica recoñecida é a única que pode ser considerada equivalente á firma manuscrita:

Pero como conseguimos, na práctica, que unha firma electrónica sexa recoñecida e por tanto, equivalente á firma manuscrita?

Unha firma electrónica recoñecida debe cumprir as seguintes propiedades ou requisitos:

• Identificar ao asinante
• Verificar a integridade do documento asinado
• Garantir o non repudio na orixe
• Contar coa participación dun terceiro de confianza
• Estar baseada nun certificado electrónico recoñecido
• Debe de ser xerada cun dispositivo seguro de creación de firma

Os 4 primeiros puntos son posibles grazas ao uso das claves criptográficas contidas no certificado e á existencia dunha estrutura de Autoridades de Certificación que ofrecen confianza na entrega dos certificados. Pero segundo a Lei 59/2003, eses 4 puntos só nos/nos ofrecen unha firma avanzada.

Para que a firma electrónica sexa equivalente á manuscrita, é dicir, que unha Firma electrónica sexa recoñecida, debe ademais:

• Estar baseada nun Certificado Recoñecido

  O certificado debe ser recoñecido polo Ministerio de Industria e Comercio como habilitado para crear firmas recoñecidas e debe estar listaxe na súa páxina web como tal.

  Pódense ver todos os certificados recoñecidos polo MITyC na lista de provedores de servizos electrónicos de confianza

  Son certificados recoñecidos porque tanto o fornecedor que os emite como o contido mesmo do certificado, cumpren cos requisitos declarados no Capítulo II da Lei 59/2003 de firma electrónica sobre Certificados recoñecidos.

• Ser xerada cun dispositivo seguro de creación de firma

  As características dun dispositivo seguro de creación de firma están recollidas no artigo 24 da Lei 59/2003 de Firma Electrónica.

  Principalmente, o dispositivo seguro debe garantir que as claves sexan únicas e secretas, que a clave privada non se pode deducir da pública e viceversa, que o asinante poida protexer de forma fiable as claves, que non se altere o contido do documento orixinal e que o asinante poida ver que é o que vai asinar.

  Desde un punto de vista técnico, segundo o artigo 27 da Lei 59/2003, un dispositivo seguro de sinatura debe ser certificado como que cumpre as características anteriores segundo as normas técnicas publicadas na Decisión 2003/511/CE, do 14 de xullo de 2003 da Comisión Europea.

  • O DNI Electrónico é considerado un dispositivo seguro de firma e por tanto, as firmas xeradas con el, son recoñecidas e teñen a mesma validez que a firma manuscrita.

    Son recoñecidas as firmas xeradas no computador cun certificado software instalado no navegador?

  • Posto que o computador non é un dispositivo seguro de creación de firma, as firmas xeradas son só firmas avanzadas segundo a definición da lei.

Cando se asinan datos, o asinante indica a aceptación dunhas condicións xerais e unhas condicións particulares aplicables a aquela firma electrónica mediante a inclusión dun campo asinado, dentro da firma, que específica unha política explícita ou implícita.

Se o campo correspondente á normativa de firma electrónica está ausente e non se identifica ningunha normativa como aplicable, entón pódese asumir que a firma foi xerada ou verificada sen ningunha restrición normativa, e en consecuencia, que non se lle asignou ningún significado concreto legal ou contractual. Trataríase dunha firma que non especifica de forma expresa ningunha semántica ou significación concreta e, por tanto, fará falta derivar o significado da firma a partir do contexto (e especialmente, da semántica do documento asinado).

A finalidade dunha política de firma é reforzar a confianza nas transaccións electrónicas a través dunha serie de condicións para un contexto dado, o cal pode ser unha transacción determinada, un réxime legal ou un rol que asuma a parte asinante.

Por exemplo, a Política de Sinatura da Administración Xeral do Estado (AGE) especifica as condicións xerais aplicables á firma electrónica para a súa validación, na relación electrónica da Administración Xeral do Estado cos cidadáns e entre os órganos e entidades da AGE.

Segundo o artigo 24 do Real Decreto 1671/2009 polo que se desenvolve parcialmente a Lei 11/2007 de Acceso Electrónico dos Cidadáns aos Servizos Públicos, a política de firma electrónica e certificados no ámbito da Administración Xeral do Estado e dos seus organismos públicos, está constitu&icaute;dá polas directrices e normas técnicas aplicables á utilización de certificados e firma electrónica dentro do seu ámbito de aplicación.

A política de firma ten unha misión importante xa que define as regras e obrigas de todos os actores involucrados no proceso de firma en determinados contextos (contractual, xurídico, legal,…).

O Real Decreto 4/2010 polo que se regula o Esquema Nacional de Interoperabilidade establece que a política de firma electrónica e de certificados da Administración Xeral do Estado, servirá de marco xeral de interoperabilidade para a autenticación e o recoñecemento mutuo de firmas electrónicas dentro do seu ámbito de actuación. Tamén establece que esta política poderá ser utilizada como referencia por outras Administracións Públicas para definir as políticas de certificados e firmas a recoñecer dentro dos seus ámbitos competenciais..

O Real Decreto 3/2010, do 8 de xaneiro, polo que se regula o Esquema Nacional de Seguridade no ámbito da Administración Electrónica, ten por obxecto o establecemento dos principios e requisitos dunha política de seguridade protección da información.

Pois ben, o decreto, no seu artigo 33 tamén relega á Política de Firma toda a función de concretar os procesos de xeración, validación e conservación de firmas electrónicas, así como as características e requisitos esixibles aos sistemas de firma electrónica, os certificados, os servizos de selaxe de tempo, e outros elementos de soporte das firmas.

Por outra banda, o RD no seu anexo II punto 5.7.4 é moi específico sobre os tipos de firma que deben aplicarse en función do nivel da información que debe protexerse.

• Nivel BAIXO

  Pódese empregar calquera medio de firma electrónica dos previstos na lexislación vixente.

• Nivel MEDIO

  Os medios utilizados na firma electrónica serán proporcionados á cualificación da información tratada. En todo caso:

  Empregaranse algoritmos acreditados polo Centro Criptolóxico Nacional.

  • Empregaranse, preferentemente, certificados recoñecidos.
  • Empregaranse dispositivos seguros de firma.

  Garantirase a verificación e validación da firma electrónica durante o tempo requirido pola actividade administrativa que aquela soporte, sen prexuízo de que se poida ampliar este período de acordo con o que estableza a política de firma electrónica e de certificados que sexa de aplicación. Para tal fin:

  • Achegarase á firma, ou se referenciará, toda a información pertinente para a súa verificación e validación.
  • Protexeranse a firma e a información mencionada no apartado anterior cun selo de tempo.
  • O organismo que solicite documentos asinados polo administrado verificará e validará a firma recibida no momento da recepción, anexando ou referenciando sen ambigüidade a información descrita nos epígrafes a) e b).
  • A firma electrónica de documentos por parte da Administración anexará ou referenciará sen ambigüidade a información descrita nos epígrafes a) e b).
• Nivel ALTO

  Aplicaranse as medidas de seguridade referentes a firma electrónica esixibles no nivel Medio, ademais das seguintes:

  • Usaranse certificados recoñecidos.
  • Usaranse dispositivos seguros de creación de firma.
  • Empregaranse, preferentemente, produtos certificados [op.pl.5].

  A norma CCN-STIC-807 do Centro Criptolóxico Nacional establece no punto 5.7 cales son os mecanismos e algoritmos que se poden utilizar para asinar en función do nivel da información.

• O regulamento europeo 910/2014, do 23 de xullo, relativo á identificación electrónica e os servizos de confianza para as transaccións electrónicas no mercado interior e pola que se derroga a Directiva 1999/93/CE, establece a obriga de validar certificados electrónicos emitidos por calquera Fornecedor de Servizos de Confianza europeo.
• A normativa de desenvolvemento do regulamento eIDAS, Decisión de Execución (UE) 2015/1506 da Comisión do 8 de setembro de 2015 pola que se establecen as especificacións relativas aos formatos das firmas electrónicas avanzadas e os selos avanzados que deben recoñecer os organismos do sector público de conformidade cos artigos 27, apartado 5, e 37, apartado 5, do Regulamento (UE) non 910/2014 do Parlamento Europeo e do Consello, relativo á identificación electrónica e os servizos de confianza para as transaccións electrónicas no mercado interior, establece que os Estados membros deben fixar os medios técnicos necesarios que lles permitan procesar os documentos asinados electronicamente que son necesarios cando se utiliza un servizo en liña ofrecido por, ou en nome de, un organismo do sector público. Para iso define unha serie de formatos de firma electrónica avanzada que deben admitir tecnicamente os Estados membros cando se necesiten firmas electrónicas avanzadas para un procedemento administrativo en liña.
• O artigo 47 do Real Decreto 1671/2009, do 6 de novembro, polo que se desenvolve parcialmente a Lei 11/2007, do 22 de xuño, de acceso electrónico dos cidadáns aos servizos públicos, establece a necesidade de incorporar unha referencia temporal dos documentos administrativos electrónicos, sendo unha das modalidades de referencia temporal, o «Selo de tempo», entendendo por tal a asignación por medios electrónicos dunha data e hora a un documento electrónico coa intervención dun fornecedor de servizos de certificación que asegure a exactitude e integridade da marca de tempo do documento.
• Doutra banda, o Real Decreto 4/2010, do 8 de xaneiro, polo que se regula o Esquema Nacional de Interoperabilidade no ámbito da Administración Electrónica expón no seu artigo 22.4 que os aspectos relativos á firma electrónica na conservación do documento electrónico estableceranse na Política de firma electrónica e de certificados, e a través do uso de formatos de firma lonxeva que preserven a conservación das firmas ao longo do tempo.
• A preservación das firmas lonxevas ao longo do tempo concrétase na Resolución do 19 de xullo de 2011, da Secretaría de Estado para a Función Pública, pola que se aproba a Norma Técnica de Interoperabilidade de Política de Firma Electrónica e de certificados da Administración, no apartado II.7 relativo ao Arquivado e custodia, que establece que para garantir a fiabilidade dunha firma electrónica ao longo do tempo, poderanse utilizar: Firmas lonxevas mediante as que se engadirá información do estado do certificado asociado, incorporando un selo de tempo, así como os certificados que conforman a cadea de confianza.
• O selo de tempo é unha parte indispensable da firma electrónica, sobre todo no caso das firmas lonxevas, que necesiten ser validadas moito tempo despois da súa xeración.
• Así mesmo o Real Decreto 3/2010, do 8 de xaneiro, polo que se regula o Esquema Nacional de Seguridade no ámbito da Administración Electrónica, en ANEXO II de Medidas de seguridade, no apartado 5.7.4 relativo á firma electrónica, especifica que para os sistemas clasificados de nivel medio nas dimensións de integridade e autenticidade, garantirase a verificación e validación da firma electrónica durante o tempo requirido pola actividade administrativa que aquela soporte, para o que se achegará á firma, ou se referenciará, toda a información pertinente para a súa verificación e validación, e protexeranse a firma e a información mencionada no apartado anterior cun selo de tempo.