Descifrando la firma electrónica, la firma digital y la firma biométrica

En plena era de la transformación digital pocos son los sitios en los que, en las diferentes operaciones de nuestro día a día, nos saquen papel y boli para firmar algún documento. A estas alturas todos firmamos documentos en el banco, en correos o recibiendo algún paquete de Amazon dibujando nuestra rúbrica en la pantalla de algún dispositivo. Genial, hemos realizado nuestra firma electrónica, las dos partes están conformes y todo parece correcto....

Y de hecho así es, pero...

¿Qué es lo que acabo de hacer realmente?

¿Una firma electrónica o digital?

¿Quizá biométrica?

¿Son cosas distintas o es lo mismo?

Y ya puestos, ¿Tenemos la certeza de que lo que acabamos de hacer tiene validez legal?

displeased-businessman-gesturing-in-confusion-whil-2021-09-02-22-10-04-utc (1)

 

Vamos a intentar arrojar algo de luz sobre estas cuestiones

La firma digital es un mecanismo criptográfico que permite al receptor de un mensaje firmado digitalmente identificar a la entidad originadora o firmante de dicho mensaje, y confirmar que el mensaje no ha sido alterado desde que fue firmado por el originador o firmante. La validez de una firma se ampara en la imposibilidad de falsificar cualquier tipo de firma, siempre y cuando se mantenga en secreto la clave del firmante.

En el caso de las firmas escritas el secreto está constituido por características de tipo grafológico, inherentes al firmante y por ello difíciles de falsificar, pasa lo mismo con las firmas manuscritas biométricas que se firman en tabletas.

Por su parte, en el caso de las firmas digitales, el secreto del firmante es el conocimiento exclusivo de una clave (secreta) utilizada para generar la firma.

En función de la técnica utilizada, podemos clasificar distintos tipos de firma digital. Basada en protocolos de criptografía de clave simétrica o asimétrica o basada en la seguridad que puedan proporcionar ciertos dispositivos resistentes a modificaciones (tamper resistant).... Entrar en detalle de todos ellos nos daría para otro artículo, pero la idea básica de todos ellos es la verificación de la firma garantizando que la firma digital se corresponde con el mensaje que se quería firmar. Para ello, además de superar el algoritmo de verificación correspondiente, se ha de validar la autenticidad del certificado utilizado por el signatario o firmante, para lo cual hay ciertos mecanismos como la fecha de expiración del certificado o el sellado de tiempo en la propia firma.

Esto es complejo de entender... Lo explicaremos mejor

Todo esto que sobre el papel suena muy complejo (y en cierto modo sí que lo es), pero se puede entender mucho mejor revisando los casos de uso que tenemos a nuestro alrededor.

 

A grandes rasgos, en el equivalente digital de un envío certificado de correos y lo podemos ver, por poner algunos ejemplos, en facturas electrónicas, notificaciones judiciales electrónicas, el voto por correo, etc.

 

¿Y la firma electrónica es lo mismo que la firma digital?

Nos pasamos a la firma electrónica. Si cogemos la definición de Wikipedia,, nos dice que "la firma electrónica es un concepto jurídico, el equivalente electrónico de la firma manuscrita. Con ella, una persona acepta el contenido de un documento o mensaje electrónico a través de cualquier medio electrónico válido". Esto es correcto, aunque dicho así no nos queda muy claro ¿verdad? para traducirlo en un entorno digital y, sobre todo, legal. Menos mal que para ello tenemos la suerte de contar con un sistema europeo de reconocimiento de identidades electrónicas que es el conjunto de normas para la identificación electrónica y los servicios de confianza para transacciones en el mercado único europeo. Ellos son los encargados de proporcionar el entorno regulatorio necesario y nos permite distinguir entre los distintos tipos de firma electrónica aplicables hoy en día, que repasamos a continuación:

  • La firma electrónica simple, que son los datos en formato electrónico vinculados a otros datos electrónicos o asociados de manera lógica con ellos que utiliza el firmante para firmar, no se apoya por lo tanto en la firma digital.
    • De cara al firmante es el tipo más sencillo de firma ya que ni siquiera necesita de un trazo como tal, puede bastar con un simple click por parte del firmante.
    • Es el tipo de firma con menor robustez jurídica ya que no se considera que identifique al firmante y puede generar disputas, por lo que sólo es válida para comunicaciones internas e empleados, para mostrar conformidad con la información, aceptar cambios en la política de privacidad, etc.                         
       
  • La firma electrónica avanzada, que se apoya en los requisitos descritos a continuación.
    1. Debe estar vinculada al firmante de manera única;
    2. Debe permitir la identificación del firmante mediante un certificado de firma electrónica;
    3. Tiene que haber sido creada utilizando datos de creación de la firma electrónica que el firmante puede utilizar; con un alto nivel de confianza, bajo su control exclusivo;
    4. Debe estar vinculada con los datos firmados por la misma, de tal modo que cualquier modificación anterior de los mismos sea detectable;
                            
  • La firma electrónica cualificada, que es una firma electrónica avanzada que se crea mediante un dispositivo cualificado de creación de firmas electrónicas y que se basa en un certificado cualificado de firma electrónica.
    Aquí también podemos distinguir principalmente dos casuísticas:
     
    • Que el firmante disponga de un dispositivo con su certificado (certificado local), como puede ser una tarjeta inteligente, token o microSD. En estos casos el firmante debe introducir en PIN para firmar. El ejemplo más cercano que tenemos es el de el DNI electrónico español.
    • Que el certificado se encuentre en el HSM (Hardware Security Module) de una entidad certificadora. Estos pueden ser de un sólo uso, que por lo general se emiten en el mismo momento de la firma y el firmante ejecuta la firma via OTP o con una firma biométrica; o bien pueden generarse por adelantado con una caducidad (3 años), necesitando del firmante su PIN o una confirmación OTP.

 

La firma biométrica manuscrita y la firma tradicional ¿separadas al nacer?

Una vez dicho todo esto, merece la pena profundizar un poco más, por su mecánica, importancia y visibilidad, en un tipo especial de firma electrónica avanzada como es la firma biométrica (echa un ojo a nuestro caso de éxito en BBVA Bancomer), considerada la forma más fiable de asociar la identidad de un firmante a un documento electrónico. Este tipo de firma necesita de un dispositivo que ha de cumplir con las garantías definidas en el reglamento europeo en vigor y que, por supuesto, debe ser capaz de recoger datos biométricos del firmante tales como la presión, velocidad, posición, inclinación, etc.

A diferencia de otras tecnologías biométricas, como la biometría por reconocimiento de voz, por la huella dactilar o por reconocimiento facial. La firma biométrica manuscrita es mucho más sencilla de gestionar puesto que el usuario está acostumbrado a firmar y no desconfía, por lo que se muestra menos reticente a utilizar esta tecnología.

  • Es un tipo de firma que tiene las mismas garantías legales que la firma manuscrita tradicional.
  • Goza de plena validez jurídica.
  • Da cobertura a todas las necesidades de las organizaciones ya que garantiza la integridad y validez del documento, el no repudio tanto del firmante como de la entidad.
  • Asegura la confidencialidad de los datos biométricos.
  • Y por supuesto en caso de litigio permite recuperar, comparar y verificar la autenticidad de las firmas.                    

Como hemos comentado con anterioridad, la digitalización de la firma manuscrita a través de la tecnología biométrica requiere de unos dispositivos especiales y aquí cada empresa necesita encontrar la combinación adecuada de harware y software que mejor se ajuste a sus necesidades.