La signatura electrònica es regula en el nostre ordenament jurídic mitjançant l'aplicació de la Llei 6/2020, d'11 de novembre, reguladora de determinats aspectes dels serveis electrònics de confiança i el Reglament (UE) Núm. 910/2014 del Parlament Europeu i del Consell, de 23 de juliol de 2014 (eIDAS), relatiu a la identificació electrònica i els serveis de confiança en les transaccions electròniques en el mercat interior i pel qual es deroga la Directiva 1999/93/CE.
Hem de destacar que la recent Llei 6/2020 ha derogat la Llei 59/2003, de 19 de desembre, de signatura electrònica, i amb ella aquells preceptes incompatibles amb el Reglament eIDAS que és d'aplicació directa, evitant així l'existència de buits normatius susceptibles de donar lloc a situacions d'inseguretat jurídica en la prestació de serveis electrònics de confiança.
Establix l'article 3 del Reglament eIDAS sobre definicions que:
12) «signatura electrònica qualificada», una signatura electrònica avançada que es crea mitjançant un dispositiu qualificat de creació de signatures electròniques i que es basa en un certificat qualificat de signatura electrònica;
La signatura electrònica qualificada és aquella que es realitza amb un certificat qualificat que és definit pel Reglament com:
un certificat de signatura electrònica, que ha sigut expedit per un prestador qualificat de serveis de confiança i que complix els requisits establits en l'annex I;
La signatura electrònica qualificada comparteix totes les característiques de la signatura electrònica avançada, en estar vinculada al signant de manera única i intransferible i lligada al document de tal manera que no puga alterar-se posteriorment, però es diferencia en el fet que esta ha de ser creada per un certificat electrònic que valguda la identificació del signant de manera inequívoca i que ha de ser expedit per una Autoritat de certificació, la qual cosa repercuteix que siga un mètode molt segur i complet.
Recull l'article 3 del Reglament eIDAS sobre definicions que:
11) «signatura electrònica avançada», la signatura electrònica que complix els requisits contemplats en l'article 26;
Els requisits per a esta mena de signatura segons l'article 26 del reglament serien:
La signatura electrònica avançada presenta un major nivell de seguretat, ja que, permet identificar al signant de manera única amb el document electrònic, i el posterior registre de signatura i acceptació per part d'aquest, amb la finalitat d'evitar qualsevol modificació posterior sobre el document.
El reglament EIDAS en el seu article 3 establix:
10) «signatura electrònica», les dades en format electrònic annexos a altres dades electròniques o associats de manera lògica amb ells que utilitza el signant per a signatura
És a dir, la signatura electrònica simple és aquella que permet identificar digitalment al signant amb les seues dades, però oferix un escàs nivell de seguretat.
Quan se signen dades, el signant indica l'acceptació d'unes condicions generals i unes condicions particulars aplicables a aquella signatura electrònica mitjançant la inclusió d'un camp signat, dins de la signatura, que específica una política explícita o implícita.
Si el camp corresponent a la normativa de signatura electrònica està absent i no s'identifica cap normativa com a aplicable, llavors es pot assumir que la signatura ha sigut generada o verificada sense cap restricció normativa, i en conseqüència, que no se li ha assignat cap significat concret legal o contractual. Es tractaria d'una signatura que no especifica de manera expressa cap semàntica o significació concreta i, per tant, farà falta derivar el significat de la signatura a partir del context (i especialment, de la semàntica del document signat).
La finalitat d'una política de signatura és reforçar la confiança en les transaccions electròniques a través d'una sèrie de condicions per a un context donat, el qual pot ser una transacció determinada, un règim legal o un rol que assumisca la part signant.
Per exemple, la Política de Signatura de l'Administració General de l'Estat (AGE) especifica les condicions generals aplicables a la signatura electrònica per a la seua validació, en la relació electrònica de l'Administració General de l'Estat amb els ciutadans i entre els òrgans i entitats de l'AGE.
Segons l'article 24 del Reial decret 1671/2009 pel qual es desenvolupa parcialment la Llei 11/2007 d'Accés Electrònic dels Ciudadanos als Serveis Públics, la política de signatura electrònica i certificats en l'àmbit de l'Administració General de l'Estat i dels seus organismes públics, està constituída per les directrius i normes tècniques aplicables a la utilització de certificats i signatura electrònica dins del seu àmbit d'aplicació.
La política de signatura té una missió important ja que defineix les regles i obligacions de tots els actors involucrats en el procés de signatura en determinats contextos (contractual, jurídic, legal,…).
El Reial decret 4/2010 pel qual es regula l'Esquema Nacional d'Interoperabilitat establix que la política de signatura electrònica i de certificats de l'Administració General de l'Estat, servirà de marc general d'interoperabilitat per a l'autenticació i el reconeixement mutu de signatures electròniques dins del seu àmbit d'actuació. També establix que aquesta política podrà ser utilitzada com a referència per altres Administracions Públiques per a definir les polítiques de certificats i signatures a reconéixer dins dels seus àmbits competencials.
El Reial decret 3/2010, de 8 de gener, pel qual es regula l'Esquema Nacional de Seguretat en l'àmbit de l'Administració electrònica, té per objecte l'establiment dels principis i requisits d'una política de seguretat protecció de la informació.
Doncs bé, el decret, en el seu article 33 també relega a la Política de Signatura tota la funció de concretar els processos de generació, validació i conservació de signatures electròniques, així com les característiques i requisits exigibles als sistemes de signatura electrònica, els certificats, els serveis de segellament de temps, i altres elements de suport de les signatures.
D'altra banda, el RD/RD en el seu annex II punt 5.7.4 és molt específic sobre els tipus de signatura que han d'aplicar-se en funció del nivell de la informació que ha de protegir-se.
Es pot emprar qualsevol mitjà de signatura electrònica dels previstos en la legislació vigent.
Els mitjans utilitzats en la signatura electrònica seran proporcionats a la qualificació de la informació tractada. En tot cas:
S'empraran algorismes acreditats pel Centre Criptològic Nacional.
Es garantirà la verificació i validació de la signatura electrònica durant el temps requerit per l'activitat administrativa que aquella suport, sense perjudici que es puga ampliar este període d'acord amb el que establisca la política de signatura electrònica i de certificats que siga aplicable. Per a tal fi:
S'aplicaran les mesures de seguretat referents a signatura electrònica exigibles en el nivell Mitjà, a més de les següents:
La norma CCN-STIC-807 del Centre Criptològic Nacional establix en el punt 5.7 quins són els mecanismes i algorismes que es poden utilitzar per a signar en funció del nivell de la informació.