LA FIRMA DIGITAL
Vea el video de la introducción a
este tema ...clic
Nota: La firma
digital no esta prevista actualmente en nuestro país. Esperemos que
pronto nuestra legislación la contemple y haga posible.
Las primeras experiencias legislativas. |
Uno
de los aspectos decisivos para afianzar el comercio
electrónico en Internet está constituido por el entorno
jurídico, es decir, las leyes que sirvan de soporte para las
transacciones, e introduzcan el concepto de seguridad
jurídica en el mercado digital. Existe una
opinión generalizada de que, si ya es complicado, en la vida
presencial, demostrar la existencia de una deuda que no se
formalizado en un título ejecutivo, la dificultad probatoria
será mayor en una plataforma contractual en la que el
consentimiento se transmite en forma de bits.
Es evidente que los que basan sus compromisos comerciales en
el célebre apretón de manos, tendrán que recurrir a la
realidad virtual para poder sellar así sus acuerdos a través
de Internet. Pero los que tienen por norma documentar sus
transacciones con contratos escritos podrán comprobar en
poco tiempo, que la firma digital aporta una eficacia
probatoria igual, o incluso superior a la que aporta la
firma original en papel.
La firma digital es el instrumento que permitirá, entre
otras cosas, determinar de forma fiable si las partes que
intervienen en una transacción son realmente las que dicen
ser, y si el contenido del contrato ha sido alterado o no
posteriormente.
Las primera ley que ha regulado los aspectos jurídicos de la
firma digital como instrumento probatorio se aprobó el año
pasado en Utah. Posteriormente surgieron proyectos
legislativos en Georgia, California y Washington. En Europa,
el primer país que ha aprobado una Ley sobre la materia ha
sido Alemania.
Es evidente que la eficacia de estas leyes radica en su
uniformidad, ya que si su contenido difiere en cada estado,
será difícil su aplicación a un entorno global como
Internet. Por ello, el esfuerzo a realizar a partir de ahora
deberá centrarse en la consecución de un modelo supraestatal,
que pueda ser implantado de manera uniforme en las leyes
nacionales. Tal tarea puede encomendarse a organismos
internacionales como UNCITRAL, que ya dispone de experiencia
en iniciativas similares en materia de EDI.
Copyright Xavier Ribas
Fuente: http://www.onnet.es/06041001.htm |
Definiciones. |
Definiciones
Firma
digital:
Transformación de un mensaje utilizando un sistema de
cifrado asimétrico de manera que la persona que posea el
mensaje inicial y la clave pública del firmante, pueda
determinar de forma fiable si dicha transformación se hizo
utilizando la clave privada correspondiente a la clave
pública del firmante, y si el mensaje ha sido alterado desde
el momento en que se hizo la transformación.(Utah) Es un
sello integrado en datos digitales, creado con una clave
privada, que permite identificar al propietario de la firma
y comprobar que los datos no han sido falsificados
(Alemania)
Certificado:
Documento digital que identifica a la autoridad
certificadora que lo ha emitido, identifica al firmante del
mensaje o transacción, contiene la clave pública del
firmante, y contiene a su vez la firma digital de la
autoridad certificadora que lo ha emitido.
Autoridad
certificadora: Entidad que da testimonio de
la pertenencia o atribución de una determinada firma digital
a un usuario o a otro certificador de nivel jerárquico
inferior.
Fuente:
http://www.onnet.es/06041002.htm
|
Resumen de la Ley alemana sobre firma digital |
La ley
alemana está divida en dos partes, un texto principal y una
reglamento que desarrolla aspectos concretos de la ley, como
el procedimiento de concesión, transferencia y revocación de
una licencia de entidad certificadora, así como los deberes
de los certificadores, el periodo de validez de los
certificados, los métodos de control de los certificados,
los requisitos de los componentes técnicos y el
procedimiento de examen de los mismos.
• Un certificado deberá contener obligatoriamente: el nombre
del propietario de la firma digital, que deberá estar
identificado de forma inequívoca, la clave pública
atribuida, el nombre de los algoritmos utilizados, el número
del certificado, la fecha de inicio y final de la validez
del certificado, el nombre de la entidad certificadora,
información sobre las limitaciones que se hayan establecido
para su utilización e información relativa a certificados
asociados.
• Una entidad certificadora deberá bloquear un certificado
en el momento en que compruebe que está basado en
información falsa, cuando la entidad cese en su actividad
sin que otra entidad la suceda, o cuando reciba la orden de
bloqueo de la autoridad certificadora.
• La entidad certificadora podrá recabar datos personales
del afectado, pero sólo directamente del mismo, y con la
única finalidad de emitir un certificado. Si el propietario
de la firma digital utiliza un seudónimo, la entidad
certificadora sólo podrá transmitir datos relativos a su
identidad a requerimiento de la autoridad judicial y en los
casos establecidos por la ley.
• También establece un sistema de auditoría que permitirá a
la autoridad certificadora inspeccionar los equipos de la
entidad, con el fin de comprobar el cumplimiento de los
requisitos técnicos y el plan de seguridad exigidos para el
desarrollo de dicha actividad. Dichos requisitos se refieren
a los procedimientos de creación, almacenamiento y
comprobación de firmas digitales, que deberán permitir la
detección inmediata de cualquier uso no autorizado de una
firma digital y la alteración del contenido de los datos,
mensajes o transacciones que se hayan efectuado con dicha
firma. |
Resumen de la Comunicación de la CE sobre firma digital |
La
Comunicación de la Comisión Europea de fecha 8 de octubre de
1997 persigue el fin de sensibilizar a los Estados miembro
sobre el creciente uso de Internet como plataforma de
comunicación y de comercio, así como de la necesidad de
establecer un marco uniforme en materia de cifrado de la
información y firma digital.
La
Comunicación recuerda que los mensajes en Internet pueden
ser interceptados y manipulados, y esta circunstancia puede
impedir que se conceda validez a los documentos enviados a
través de la red.
Las
tecnologías de cifrado pueden resolver este problema, ya que
constituyen una herramienta esencial para garantizar la
seguridad y la fiabilidad de las comunicaciones y
transacciones electrónicas.
Dos
aplicaciones importantes de estas tecnologías son las firmas
digitales y el cifrado de mensajes. Varios Estados miembro
han anunciado su intención de promulgar leyes específicas
relativas a la encriptación, y algunos ya lo han hecho. Pero
la divergencia legal y técnica de estas regulaciones podría
constituir un serio obstáculo para el Mercado Interior e
impedir el desarrollo de nuevas actividades económicas
relacionadas con el comercio electrónico.
Los
objetivos de la Comunicación de la CE son:
- El
desarrollo de un marco legal que asegure el funcionamiento
de los productos y servicios de cifrado en el Mercado
Interior.
-
Establecer un marco europeo para las firmas digitales
Esta
Comunicación anuncia la intención de la Comisión de proponer
una legislación que cubra estos dos objetivos durante el
primer semestre de 1998.
Situación actual de la firma electrónica en Europa
El uso
de firmas digitales exige el ajuste y la armonización de
diversas áreas.
Actualmente, la mayor parte de los problemas se centran en
los siguientes puntos:
-
Ausencia de requisitos uniformes para las autoridades de
certificación.
- Ausencia
de requisitos uniformes para los productos de firma digital.
- Ausencia de normas uniformes en materia de
responsabilidad.
- Ausencia de normas uniformes respecto al reconocimiento
legal de las firmas digitales y su eficacia probatoria.
La
evidente naturaleza transfronteriza de las firmas digitales
exige el reconocimiento mútuo de los requisitos legales
establecidos en esta materia por cada Estado, con el fin de
evitar la fragmentación del comercio electrónico en el
Mercado Interior.
Acciones específicas en el campo de las firmas digitales
La Comisión
propone la siguiente estrategia:
-
Establecer un marco comunitario para las firmas digitales
con el fin de que la regulación de cada Estado no genere
barreras internas para el comercio electrónico.
-
Determinar unos requisitos comunes para las autoridades de
certificación en Europa.
- El
sistema jurídico de cada Estado debe reconocer y tratar las
firmas digitales de manera idéntica a las firmas
convencionales.
- La
interoperabilidad entre diferentes sistemas de cifrado y
firma digital es absolutamente necesaria.
|
Especificación SET y seguridad local |
Los tres
libros que describen el funcionamiento de la especificación
SET dedican diversos apartados a los mecanismos de seguridad
que se aplican en todas las operaciones necesarias para
llegar a consumar una transacción electrónica.
La
autentificación de las partes que intervienen en la
transacción, así como la confidencialidad y la integridad de
los datos transmitidos está prevista a lo largo de toda la
operativa SET.
Pero
tras una primera lectura de esta documentación, se percibe
que la especificación SET está orientada principalmente a
los elementos dinámicos de una operación de comercio
electrónico, es decir, a la fase transaccional.
Es
evidente que la transacción debe ser el centro de atención
de cualquier especificación o protocolo de seguridad, pero
los usuarios de este sistema no deben olvidar que también
deberán establecer las correspondientes cautelas en la
conservación de los elementos estáticos que intervienen en
la transacción o que son el resultado de la misma.
Nos
referimos a los certificados, claves, comprobantes y demás
documentos electrónicos que quedan almacenados en el
ordenador del usuario tras las fases de registro,
certificación y transacción.
Ello
obliga a aplicar dos cautelas adicionales:
1.
Ampliar el ámbito de las especificaciones de seguridad hasta
alcanzar el ordenador del usuario como entorno no seguro que
puede ser objeto de un ataque antes o después de la
transacción. También deberá distinguirse entre ataques on
line y off line. Un ejemplo que evidencia los problemas de
la falta de seguridad a nivel cliente es el programa que
consigue claves de tarjetas de First Virtual.
2.
Establecer un régimen contractual que obligue al usuario y
al comercio a cumplir unas normas de seguridad específicas
para el entorno de su ordenador.
|
Esquema de la propuesta de Directiva sobre firmas
electrónicas |
Preceptos más significativos
Texto de la
propuesta de Directiva |
Esquema y
Comentarios |
Efectos legales de las firmas electrónicas |
|
Artículo 3.- Efectos legales
1. Los Estados Miembros deberán asegurar que, con
respecto a los datos autentificados por medio de una
firma electrónica suministrada por un proveedor de
servicios de certificación, que cumple los
requisitos establecidos en esta Directiva, existe la
presunción legal de que:
(a) los datos no han sido alterados desde el momento
en que la firma electrónica fue añadida a ellos;
(b) la firma electrónica pertenece efectivamente a
la persona que realizó la firma digital; y
(c) la firma electrónica fue añadida por dicha
persona con la intención de firmar los datos |
1.
Presunciones legales
En este precepto se recogen los principios
establecidos tradicionalmente por la doctrina
respecto a los fundamentos jurídicos que deben regir
una transacción de comercio electrónico.
La necesidad de establecer presunciones legales
respecto a la integridad y autenticidad de una
operación electrónica en la que se funden las
voluntades contractuales de ambas partes resulta
fundamental para otorgar seguridad jurídica al
negocio realizado y al tráfico mercantil o de
consumo que tenga lugar en el nuevo entorno generado
por las redes telemáticas.
El principio de INTEGRIDAD queda recogido en la
presunción de que los datos no han sido alterados
desde el momento en que la firma electrónica fue
añadida a ellos. Ello garantiza que los elementos
básicos del negocio, como el precio, la cantidad y
las característica de lo contratado, entre otros, se
considerarán válidos salvo que la parte en
desacuerdo demuestre que efectivamente han sido
alterados o se han incumplido las normas de
seguridad establecidas para garantizar la integridad
de la información.
El principio de AUTENTICIDAD se integra en la
presunción de que la firma electrónica pertenece
efectivamente a la persona que realizó la firma
digital. Esta garantía es necesaria para dar a cada
parte la certeza de que la otra es realmente quien
dice ser. La base técnica de esta presunción se
encuentra en el desarrollo de protocolos de
seguridad como la especificación SET que permitan la
generación y el tratamiento de firmas digitales.
Esta garantía está asociada a las normas de custodia
de las claves y certificados de cada parte,
penalizando un uso o tenencia negligente de los
elementos de seguridad que participan en la
autentificación de los intervinientes. La carga de
la prueba corresponderá a la parte que niegue su
intervención en el negocio.
El principio de NO REPUDIO se encuentra recogido en
la presunción de que la firma electrónica fue
añadida por dicha persona con la intención de firmar
los datos, y que, por lo tanto, dió su pleno
consentimiento al contenido de la transacción. Ello
significa que las partes intervinientes no podrán
rechazar las obligaciones contractuales derivadas
del negocio llevado a cabo, salvo en el caso de que
demuestren que concurre algún vicio del
consentimiento previsto en la legislación nacional,
o cualquier otra prueba que desvirtúe la presunción.
En las transacciones de consumo siempre quedará a
salvo el derecho al desistimiento en el plazo de
siete días, o "repudio jurídico", previsto en la
Directiva de Venta a Distancia y en la
correspondientes legislaciones nacionales. |
2.
Los Estados Miembros deberán asegurar que los datos
a los que una firma electrónica es añadida, y que
está basada en un certificado calificado válido
suministrado por un proveedor de servicios de
certificación, de acuerdo con los requisitos
establecidos en esta Directiva, cumple con los
requisitos de forma legal de la misma manera que si
los datos hubiesen existido en un documento firmado
manualmente. |
2.
Asimilación de la firma electrónica a la
convencional
La actual doctrina del Tribunal Supremo español
sostiene que la firma autógrafa no es la única
manera de signar, pues hay otros mecanismos que, sin
ser firma autógrafa, constituyen trazados gráficos,
que asimismo conceden autoría y obligan. Así, las
claves, los códigos, los signos y, en casos, los
sellos con firmas en el sentido indicado. Y, por
otra parte, la firma es un elemento muy importante
del documento, pero, a veces, no esencial, en cuanto
existen documentos sin firma que tienen valor
probatorio (como son los asientos, registros,
papeles domésticos y libros de los comerciantes). En
consecuencia, aunque, al igual que en el caso de los
documentos comunes, puede haber documentos
electrónicos sin firma, el documento electrónico (y,
en especial, el documento electrónico con función de
giro mercantil) es firmable, en el sentido de que el
requisito de la firma autógrafa o equivalente puede
ser sustituido, por el lado de la criptografía, por
medio de cifras, signos, códigos, barras, claves u
otros atributos alfa-numéricos que permitan asegurar
la procedencia y veracidad de su autoría y la
autenticidad de su contenido. Por lo tanto, si se
dan todas las circunstancias necesarias para
acreditar la autenticidad de los ficheros
electrónicos o del contenido de los discos de los
ordenadores o procesadores y se garantiza, con las
pruebas periciales en su caso necesarias, la
veracidad de lo documentado y la autoría de la firma
electrónica utilizada, el documento mercantil en
soporte informático, con función de giro, debe gozar
de plena virtualidad jurídica operativa.
En este sentido, es importante conseguir que la
asimilación de la firma electrónica a la firma
convencional, existente ya en la jurisprudencia
española, adquiera rango de ley en el momento de la
trasposición de la Directiva propuesta en este texto
de la Comisión Europea. |
3.
Los Estados Miembros deberán asegurar que los datos
a los que una firma electrónica es añadida, y que
está basada en un certificado calificado válido
suministrado por un proveedor de servicios de
certificación, que cumple los requisitos
establecidos en esta Directiva, puede ser utilizada
como prueba en un juicio. |
3.
Valor probatorio
La legislación española ha previsto, en distintas
normas, la validez del documento electrónico y de
las comunicaciones telemáticas como prueba
documental. (Véase una selección de dichas normas en
http://www.onnet.es/08020001.htm)
Asimismo, la jurisprudencia ha reconocido que, a
fectos probatorios, ha de entenderse por documento,
el escrito, en sentido tradicional, o aquella otra
cosa que, sin serlo, pueda asimilarse al mismo, por
ejemplo, un diskette, un documento de ordenador, un
vídeo, una película, etc., con un criterio moderno
de interacción de las nuevas realidades
tecnológicas, en el sentido en que la palabra
documento figura en algunos diccionarios como
"cualquier cosa que sirve para ilustrar o comprobar
algo" (obsérvese que se trata de una interpretación
ajustada a la realidad sociológica, puesto que, al
no haber sido objeto de interpretación contextual y
auténtica, puede el aplicador del derecho tener en
cuenta la evolución social), siempre que el llamado
"documento" tenga un soporte material, que es lo que
sin duda exige la norma penal. En la actualidad
dicha fórmula jurisprudencial tiene adecuada
correspondencia en la norma contenida en el artículo
26 del nuevo Código Penal, según el cual "A los
efectos de este Código se considera documento todo
soporte material que exprese o incorpore datos,
hechos o narraciones con eficacia probatoria o
cualquier otro tipo de relevancia jurídica".
Sin embargo, es importante que la ley establezca
directamente la fuerza probatoria en juicio de un
documento firmado electrónicamente, y en este
sentido, debe reconocerse la importacia de este
apartado en la propuesta de Directiva sobre firmas
electrónicas. |
4.
Los Estados Miembros deberán asegurar que, sin
perjuicio de la legislación nacional relativa a los
documentos firmados bajo coacción, mala fe, fuerza o
engaño, las presunciones del párrafo 1 pueden ser
rebatidas mediante prueba que indique que el
procedimiento de seguridad, incluyendo los
productos, utilizado para verificar la firma
electrónica, no puede ser reconocido técnicamente
como seguro. |
4.
Prueba en contrario
Es lógico que, en aras a la seguridad del tráfico
mercantil, se introduzcan presunciones legales a
favor de la integridad, autenticidad y validez de
las transacciones electrónicas, pero también es
lógico que dichas presunciones sean "iuris tantum",
es decir, admitan una prueba en contrario, puesto
que el consentimiento puede estar viciado y los
datos pueden haber sido objeto de una manipulación
no autorizada. El principio de integridad asigna la
carga de la prueba a la parte que mantenga que los
datos han sido alterados, demostrando la
insuficiencia del procedimiento de seguridad
empleado. |
5.
Los Estados Miembros pueden someter los efectos
legales, la validez o la fuerza ejecutiva de las
firmas electrónicas en los casos regulados por el
derecho público, a requisitos adicionales. |
5.
Relaciones con las Administraciones Públicas
Una vez creado un entorno seguro en el que las
autoridades de certificación, los protocolos de
seguridad empleados y las presunciones legales
establecidas garanticen los principios de
integridad, autenticidad, confidencialidad, no
repudio y fuerza probatoria de los datos firmados
electrónicamente, no deberían existir diferencias
entre los requisitos de seguridad establecidos para
una transacción electrónica sometida al derecho
privado y una transacción electrónica sometida al
derecho público. Si las autoridades de certificación
cumplen los requisitos establecidos en la Directiva
propuesta, los efectos legales, la validez o la
fuerza ejecutiva de las firmas electrónicas y de los
datos asociados a las mismas no deberían estar
sometidos a requisitos adicionales que entorpeciesen
las relaciones de los ciudadanos con las
administraciones públicas. |
6.
Los Estados Miembros no limitarán la libertad
contractual de las partes para acordar entre ellas
los términos y condiciones bajo los que aceptarán
datos firmados electrónicamente. |
6.
Autonomía de la voluntad en los contratos
El principio de libertad contractual y de autonomía
de la voluntad de las partes que intervienen en un
negocio debe quedar siempre garantizada, sin que
pueda ser limitada por normas que impidan concretar
las condiciones bajo las que aceptarán datos
firmados electrónicamente. En entornos de banca
telefónica y banca electrónica, por ejemplo, es
habitual establecer cláusulas específicas respecto a
la validez de los asientos generados por el usuario
o la entidad financiera utilizando medios y soportes
diferentes al papel ya la firma autógrafa. Aunque
dichos pactos no deberían ser necesarios una vez
hayan entrado en vigor las leyes de trasposición de
la Directiva propuesta, es importante que se
mantenga la libertad contractual de las partes.
Finalmente, deberán tenerse en cuenta las normas
derivadas de la Directiva de Cláusulas Abusivas en
las operaciones de consumo. |
|
7.
Confidencialidad de la información
Se echa en falta, en el texto propuesto, una mención
al principio de CONFIDENCIALIDAD que debe regir en
cualquier transacción electrónica y ampliamente
discutido a raíz del desarrollo y la implementación
de la especificación SET. De acuerdo con este
principio, debería existir un apartado con el
siguiente texto: "Los Estados Miembros deberán
asegurar que los sistemas y procedimientos de
seguridad y cifrado utilizados garantizarán la
confidencialidad de los datos a los que una firma
electrónica es añadida" |
Requisitos de las autoridades de certificación |
|
Artículo 4.- Requisitos esenciales de los
proveedores de servicios de certificación
1. La prestación de servicios de certificación no
está sujeta a autorización previa. Los Estados
Miembros pueden introducir voluntariamente sistemas
de autorización. Todas las normas deben ser
apropiadas, no discriminatorias y transparentes para
el servicio afectado. |
1.
Autorización
Libertad de prestación de servicios de certificación |
2.
Los Estados Miembros aplicarán las normas nacionales
que adopten en cumplimiento de esta Directiva a los
proveedores de servicios de certificación
establecidos en su territorio. |
2.
Ámbito territorial
Aplicación de las normas nacionales a los CSP del
país |
3.
Los Estados Miembros no pueden, por razones que
entren en el ámbito de esta Directiva, restringir el
suministro de servicios de certificación, que tengan
su origen en otro Estado Miembro. |
3.
Servicios de certificación de otro Estado Miembro
Principio de no restricción |
4.
Los Estados Miembros asegurarán, a través de medidas
proporcionadas, no discriminatorias y transparentes,
que los proveedores de servicios de certificación
reunen los siguientes requisitos: los proveedores de
servicios deben
(a) poseer la fiabilidad necesaria para ofrecer
servicios de certificación;
(b) emplear personal que posea los conocimientos
especiales, experiencia y cualificación necesaria
para los servicios ofrecidos;
(c) utilizar sistemas confiables así como hardware y
software generalmente reconocidos y adecuados para
el tipo de servicio y el grado de seguridad
ofrecido;
(d) tener suficientes recursos financieros para
operar de conformidad con esta Directiva;
(e) conservar durante un periodo de tiempo
determinado toda la información relevante relativa a
un certificado cualificado, en particular para que
pueda servir como prueba de la certificación en el
contexto de un procedimiento judicial. Dicha
conservación puede realizarse electrónicamente;
(f) informar a los consumidores acerca de cualquier
información relevante que afecte al uso correcto y
seguro de los servicios de certificación y
establecer procedimientos para reclamaciones y
resolución de disputas;
(g) publicar con respecto a los servicios
disponibles por el público, toda información
relevante relativa a los procedimientos utilizados y
a las prácticas aplicadas, los términos y
condiciones de los contratos, en particular las
obligaciones de responsabilidad a las que se
comprometan, así como los procedimientos de
reclamación y de resolución de disputas que
apliquen; la publicación deberá ser accesible de
forma apropiada y fácil. |
4.
Requisitos
a. Fiabilidad
b. Personal técnico adecuado
c. Sistemas confiables
d. Suficientes recursos financieros
e. Conservación de la información relativa a los
certificados emitidos
f. Información relativa al uso correcto
g. Procedimiento para reclamaciones y resolución de
disputas
h. Publicación de información relativas a:
-
Procedimientos utilizados
- Términos y condiciones contractuales
- Responsabilidad
- Procedimientos de reclamación y resolución de
disputas |
5.
Los detalles relativos a la implementación de los
requisitos referidos en el párrafo 4 será
especificada por la Comisión de acuerdo con el
procedimiento establecido en el art. 9. |
5.
Implementación
Pendiente de desarrollo |
Requisitos de los certificados |
|
Artículo 5.- Requisitos de los certificados
cualificados.
1. Los Estados miembros deberán asegurar que los
certificados cualificados contengan, al menos:
(a) el identificador del proveedor de servicios de
certificación que lo emite;
(b) el nombre inequívoco de su titular o un
seudónimo inequívoco que deberá ser identificado
como tal;
(c) una clave pública que corresponda a una clave
privada bajo el control del titular o un dispositivo
similar que cumpla la misma función;
(d) inicio y final del periodo operativo del
certificado;
(e) los algoritmos con los que la clave pública o un
dispositivos similar puede ser usado;
(f) el código de identidad único del certificado
cualificado; y
(g) la firma electrónica del proveedor de servicios
de certificación que lo emite
(h) limitaciones en el ámbito de uso del
certificado, en el caso en que sean aplicables;
(i) restricciones de la responsabilidad del
proveedor de servicios de certificación, en el caso
de que sean aplicables |
1.
Contenido mínimo
a. Identificación del CSP
b. Nombre el titular o seudónimo
c. Clave pública del titular
d. Periodo de vigencia
e. Algoritmos compatibles
f. Identificador del certificado
g. Firma electrónica del CSP
h. Limitaciones de uso |
2.
Los detalles relativos a la implementación de los
requisitos referidos el párrafo deberán ser
especificados por la Comisión de acuerdo con el
procedimiento establecido en el art. 9. |
2.
Implementación
Pendiente de desarrollo |
Responsabilidad de las entidades de certificación |
|
Artículo 6.- Responsabilidad
1. Los Estados Miembros deberán asegurar que
mediante la emisión de un certificado cualificado,
un proveedor de servicios de certificación es
responsable ante cualquier persona que
razonablemente tenga en cuenta (confíe en) el
certificado en los siguientes aspectos:
(a) toda la información que figura en el certificado
cualificado es exacta desde la fecha en que fué
emitido, excepto en el caso de que el proveedor de
servicios de certificación haya declarado otra cosa
en el certificado;
(b) que se han cumplido todos los requisitos de esta
Directiva en la emisión del certificado cualificado;
(c) el titular identificado en el certificado
cualificado en el momento de la emisión del
certificado tiene la clave privada o un dispositivo
de firma similar que se corresponde con la clave
pública o dispositivo silimar relacionado en el
certificado;
(d) la clave pública y la clave privada del titular
constituyen un par de claves en funcionamiento o un
dispositivo similar que cumple la misma función; y
(e) el certificado cualificado no ha sufrido ninguna
incidencia que afecte a su fiabilidad, hasta donde
alcance el conocimiento del proveedor de servicios
de certificación. |
1.
Elementos
a. Exactitud de la información
b. Cumplimiento de requisitos
c. Correspondencia entre clave privada y clave
pública del titular del certificado
d. Vigencia del par de claves
e. Fiabilidad del certificado |
2.
Los Estados Miembros deberán asegurar que los
proveedores de servicios de certificación son, salvo
pacto en contrario, responsables únicamente de los
daños económicos directos sufridos como consecuencia
del incumplimiento. Los daños económicos no
incluirán los beneficios previstos. |
2.
Alcance de la responsabilidad
-
Únicamente daños directos
- Exclusión de los beneficios previstos |
3.
Los Estados Miembros deberán asegurar que, no
obstante el párrafo 1, un proveedor de servicios de
certificación no es responsable si puede demostrar
que ha adoptado todas las medidas razonablemente
aplicables para evitar errores en un certificado
cualificado. |
3.
Supuesto de exoneración
Adopción de las medidas razonablemente aplicables |
4.
Los Estados Miembros deberán asegurar que, no
obstante el párrafo 1, un proveedor de servicios de
certificación puede, en el certificado cualificado,
limitar el uso del certificado. El proveedor de
servicios de certificación no será considerado
responsable de los daños ocasionados por un uso
contrario del certificado. |
4.
Limitación de uso
Exoneración de responsabilidad en casos de uso
contrario a lo establecido |
5.
Los Estados Miembros deberán asegurar que, no
obstante el párrafo 1, un proveedor de servicios de
certificación puede, en el certificado cualificado,
limitar el valor de las transacciones para las que
el certificado es válido. El proveedor de servicios
de certificación no será considerado responsable de
los daños que excedan dicha limitación del valor. |
5.
Limitación de la cuantía de las transacciones
Exoneración de responsabilidad en el caso de exceso |
6.
Los Estados Miembros deberán asegurar que, no
obstante el párrafo 1, un proveedor de servicios de
certificación puede, en el certificado cualificado,
limitar su responsabilidad a una cantidad específica
por certificado. |
6.
Limitación cuantitativa de responsabilidad
Posibilidad de fijación de una cantidad máxima |
Aspectos internacionales |
|
Artículo 7.- Aspectos internacionales
1. Los Estados Miembros deberán asegurar que los
certificados emitidos por un proveedor de servicios
de certificación de un tercer país son reconocidos
como legalmente equivalentes a los certificados
emitidos por proveedores de servicios de
certificación que operan bajo esta Directiva:
(a) si el proveedor de servicios de certificación
tiene una autorización de un Estado Miembro de la
Unión Europea; o
(b) si el certificado es reconocido por un proveedor
de servicios de certificación que opera bajo esta
Directiva, y que el proveedor de servicios de
certificación garantiza el certificado, con el mismo
alcance que sus propios certificados;
(c) si el certificado es reconocido bajo el régimen
de un acuerdo bilateral o multilateral entre la
Comunidad Europea y terceros países u organizaciones
internacionales. |
1.
Equivalencia de certificados de terceros países
a. Autorización
b. Reconocimiento por CSP comunitario
c. Reconcimiento por tratado |
2.
La Comisión tomará todas las medidas necesarias para
facilitar los servicios de certificación
transfronterizos con terceros países. Con este
propósito, la Comisión hará propuestas para llevar a
cabo todas las acciones necesarias para conseguir la
efectiva implementación de acuerdos internacionales
aplicables a los servicios de certificación, y en
particular, cuando sea necesario, remitirá
propuestas al Consejo para la negociación de
acuerdos bilaterales y multilaterales, incluyendo
los derechos de organizaciones de la Comunidad, con
terceros países y organizaciones internacionales. El
Consejo decidirá por mayoría cualificada. |
2.
Servicios de certificación transfronterizos
Medidas y propuestas para facilitarlos |
Protección de datos |
|
Artículo 8.- Protección de datos
1. Los Estados Miembros deberán asegurar que los
proveedores de servicios de certificación y los
cuerpos nacionales de acreditación cumplan con los
requisitos establecidos en las normas nacionales que
implementan las Directivas 95/46/CE y 97/66/CE.
2. Los Estados Miembros debrán asegurar que un
proveedor de servicios de certificación sólo pueda
recoger datos personales directamente del afectado y
sólo hasta donde sea necesario para la finalidad de
emitir un certificado. Los datos no pueden ser
procesados con otros propósitos.
3. Los Estados Miembros deberán asegurar que, a
solicitud del firmante, el proveedor de servicios de
certificación indique un seudónimo en vez del nombre
del firmante en el certificado.
4. Los Estados Miembros deberán asegurar que en el
caso de personas que utilicen seudónimos, el
proveedor de servicios de información transmitirá
los datos relativos a la identidad de dichas
personas a las autoridades públicas que lo requieran
con el consentimiento del afectado. Cuando el
consentimiento no pueda ser obtenido porque la
transferencia de los datos que revelan la identidad
del afectado sea necesaria para la investigación de
delitos criminales graves, la transferencia se
conservará y el afectado será informado de la
transferencia de los sus datos tan pronto como sea
posible después de que la investigación haya sido
completada. |
1.
Cumplimiento de los requisitos establecidos en las
normas de protección de datos
2. Recogida de los datos directamente del afectado
3. Utilización de seudónimos
4. Comunicación de la identidad del usuario de un
seudónimo exclusivamente:
-
Con consentimiento del afectado
- En el contexto de un procedimiento judicial por
delito grave |
Notas:
- El
texto de la propuesta de Directiva ha sido traducido y
comentado por Xavier Ribas a partir de su original en
inglés.
- No se trata por lo
tanto de un texto oficial.
F:
http://www.onnet.es/06041008.htm
|
Resumen de las enmiendas introducidas en la propuesta de
Directiva |
F: http://www.onnet.es/06041010.htm
© Xavier
Ribas, 1999. Prohibida la reproducción total o parcial sin
citar la fuente y URL
La
propuesta de directiva por la que se establece un marco
común para la firma electrónica ha ido sufriendo diferentes
cambios, afectan a la seguridad jurídica que necesita el
comercio electrónico y al régimen de presunciones legales
que permitirán una total equiparación de la firma
electrónica a la firma manuscrita. La modificación más
importante tuvo lugar en mayo de 1988, cuando se eliminaron
algunas de las presunciones que afectaban a los principios
básicos que rigen el concepto moderno de firma electrónica:
autenticidad, no repudio, integridad, confidencialidad y
fuerza probatoria. El texto anterior, disponía de una
estructura de presunciones legales más completa, que puede
ser consultada en http://www.onnet.es/06041008.htm.
El
último cambio se ha producido en el Parlamento Europeo,
donde, antes de aprobar el texto de la propuesta, se han
introducido 34 enmiendas.
Se
resumen a continuación las más significativas:
Enmienda 3:
En el Considerando 6 se elimina la frase "la firma digital
basada en la criptografía de clave pública constituye
actualmente la forma más reconocida de firma electrónica",
con el fin de adaptar en texto a la unificación de conceptos
que se produjo durante la discusión de los términos firma
digital y firma electrónica.
Enmienda 5:
Se introduce un nuevo considerando mediante el que se recoge
la importancia de la firma electrónica en las relaciones
entre los ciudadanos y las administraciones públicas,
incluidas las de otros países, a través de la presentación
electrónica de documentos: "Considerando que el mercado
interior incluye asimismo la libre circulación de personas,
lo que supone que los ciudadanos y residentes de la Unión
Europea tendrán necesariamente cada vez más contactos con
las autoridades de Estados miembros diferentes de aquél en
el que residan; que, por esta razón, el Parlamento Europeo
ha decidido aprobar la presentación electrónica de las
peticiones; que la disponibilidad de las comunicaciones
electrónicas podrá resultar útil en este terreno, siempre
que la normativa nacional que regule los requisitos
complementarios no constituya un obstáculo para las
posibilidades de acceder más fácilmente a la
administración;"
Enmiendas 6, 7 y 9:
Se introducen nuevos considerandos relativos a la protección
de datos y a la confidencialidad.
Enmienda 12:
Se modifica la definición de firma electrónica, que queda
como sigue: "la firma en forma electrónica integrada
en unos datos, anexa a los mismos o asociada con ellos, que
utiliza un signatario para expresar conformidad con su
contenido y que cumple los siguientes requisitos: .../..."
Enmienda 13:
Se modifica la definición de signatario, que queda de la
siguiente manera: "la persona física que, firmando en nombre
propio o en nombre de una persona jurídica, crea una firma
electrónica." Esta modificación es importante, ya que en la
anterior redacción se podía entender que tanto las personas
físicas como las jurídicas podían ser signatario. Por otro
lado, crea la base para desarrollar todo el esquema de
privilegios y niveles de poder que contendrán los
certificados emitidos para personas con facultades de
representación.
Enmienda 14:
Se modifica la definición de certificado reconocido, que
queda como sigue: "el certificado electrónico que
vincula un dispositivo de verificación de firma a una
persona y confirma su identidad, y que cumple los requisitos
establecidos en el anexo I."
Enmienda 15:
Se modifica la definición de proveedor de servicios de
certificación, haciendo énfasis en su independencia. El
texto queda de la siguiente manera: "la persona o entidad
independiente que expide certificados o presta otros
servicios al público en relación con la firma electrónica;"
Enmienda 16:
Se añade al apartado 2 del artículo 3 el siguiente párrafo:
"Los Estados miembros también podrán reconocer sistemas
de acreditación gestionados por organizaciones que sean
independientes de las administraciones de los Estados
miembros y cuyo objetivo sea mejorar el nivel de la
prestación del servicio de certificación." Con ello se
garantiza la posibilidad de desarrollar sistemas de
acreditación de carácter privado.
Enmienda 17:
Establece una limitación para el desarrollo de
prescripciones adicionales para el uso de la firma
electrónica en el sector público: " Estas prescripciones
no deberán obstaculizar los servicios transfronterizos al
ciudadano en lo que se refiere, por ejemplo, a las
prestaciones sociales o a las pensiones."
Enmiendas 21 y 22:
Establece
la exigencia de que los límites consignados en los
certificados respecto a sus posibles usos y al valor máximo
de las transacciones válidas que puedan realizarse con los
mismos, sean suficientemente perceptibles para terceros.
Ello implica que los proveedores de servicios de
certificación deberán establecer medios para que puedan
detectarse las restricciones dispositivas establecidas para
los titulares de un certificado.
Enmienda 23:
Se añade un nuevo apartado al artículo 6: "Los Estados
miembros velarán por que el proveedor de servicios de
certificación se limite a los cometidos que le confiere su
estatuto, lo que supone que no debe ni constituir un medio
de control suplementario de las informaciones intercambiadas
por vía electrónica, ni estar sometido a ningún control
administrativo."
Enmienda 26:
Modifica el apartado 3 del artículo 8, en el siguiente
sentido: "Los Estados miembros velarán por que, de
solicitarlo así el signatario, el proveedor de servicios de
certificación consigne en el certificado un pseudónimo de
esa persona, en lugar de su verdadero nombre, siempre y
cuando la legislación nacional en materia de relaciones
comerciales que no sean electrónicas lo permita."
Enmienda 27:
Modifica el apartado 4 del artículo 8, que queda de la
siguiente manera: "Si, de conformidad con la Directiva
95/46/CE y con la legislación nacional, es necesario
entregar a las autoridades públicas datos que revelen la
identidad del titular/signatario para investigar un asunto
penal relacionado con la utilización de firma
electrónica con certificados de pseudónimo o para
reclamaciones judiciales relacionadas con transacciones
realizadas utilizando firmas electrónicas con certificados
de pseudónimo, se consignará que se ha procedido a tal
entrega, y el titular de los datos será informado de la
misma."
Enmienda 34:
Modifica la letra e) del Anexo II, que quedará como sigue:
"e) utilizar sistemas dignos de confianza y productos de
firma electrónica que garanticen la protección contra toda
alteración de los mismos; también deberán utilizar productos
de firma electrónica que garanticen la seguridad técnica y
criptográfica de los procesos de certificación sustentados
por los productos;"
A pesar
de todo, las enmiendas introducidas no restauran la
situación del texto anterior respecto a la seguridad
jurídica que debe aportar la firma electrónica al tráfico
mercantil y por ello reiteramos la necesidad de incluir en
la ley de trasposición española, los siguientes párrafos en
los que se establecen las presunciones de forma expresa:
"Con
respecto a los datos autentificados por medio de una firma
electrónica suministrada por un proveedor de servicios de
certificación, que cumple los requisitos establecidos en
esta ley, existe la presunción legal de que:
(a)
los datos no han sido alterados desde el momento en que la
firma electrónica fue añadida a ellos;
(b) la firma electrónica pertenece efectivamente a la
persona que realizó la firma digital; y
(c) la firma electrónica fue añadida por dicha persona con
la intención de firmar los datos"
En
cualquier caso, es evidente que la aprobación de esta
Directiva aportará una mayor confianza en los medios de pago
y en la capacidad probatoria de los contratos firmados
electrónicamente, de manera que pueda eliminarse uno de los
principales factores inhibitorios que impiden la
consolidación del comercio electrónico en Europa.
|
Entidades certificadoras |
|
|
La emisión de certificados y la creación de claves
privadas para firmas digitales acostumbra a depender
de una pluralidad de entidades que están
jerarquizadas de una manera que las de nivel
inferior obtienen su capacidad de certificación de
otras entidades de nivel superior. Finalmente, en la
cúspide de la pirámide suele hallarse una autoridad
certificadora, que puede pertenecer al Estado, y que
en el proyecto alemán coincide con el organismo que
controla las telecomunicaciones.
Las autoridades certificadoras tienen la función de
emitir, suspender y revocar certificados, así como
dar a conocer la situación actual de un certificado
y crear claves privadas.
Los certificados indican la autoridad certificadora
que lo ha emitido, identifican al firmante del
mensaje o transacción, contienen la clave pública
del firmante, y contienen a su vez la firma digital
de la autoridad certificadora que lo ha emitido.
De esta manera, las partes que intervienen en una
transacción aportan como credencial los certificados
de su correspondiente entidad certificadora. Por
ejemplo, la entidad certificadora A da fe de la
identidad del usuario A1 cuando éste adquiere un
bien al usuario B1, que es a su vez identificado por
la entidad certificadora B.
Para llegar a ser una entidad certificadora deberá
mediar una solicitud a una autoridad certificadora
de nivel superior, que podrá denegar la licencia si
el solicitante no ofrece la fiabilidad o los
conocimientos necesarios, ni cumple los requisitos
establecidos en la ley.
Acceso a la ACE - Agencia de Certificación Electrónica |
|
Links sobre firma digital |
http://www.gvnfo.state.ut.us/sitc/elec-com/elec-com.htm
Texto de la ley de Utah
http://www.cc.emory.edu/BUSINESS/gds.html
Texto del proyecto de Georgia
http://www.telesec.de/sigveror.htm
Texto del proyecto alemán
http://www.intermarket.com/ecl/
Guidelines de ABA
http://www.nacha.org/index.htm
Pagos electrónicos |
|