Firma electrónica cualificada

Una firma electrónica cualificada es una firma electrónica que cumple con el Reglamento de la UE n.º 910/2014 (Reglamento eIDAS) para las transacciones electrónicas en el mercado interior europeo.[1]​ Permite verificar la autoría de una declaración en el intercambio de datos electrónicos durante largos períodos de tiempo. Las firmas electrónicas cualificadas pueden considerarse como un equivalente digital a las firmas manuscritas.[2]

DescripciónEditar

El objetivo del eIDAS era crear un conjunto de normas para garantizar que las firmas electrónicas pudieran utilizarse de forma segura al realizar negocios en línea o al llevar a cabo actividades oficiales a través de las fronteras entre los Estados miembros de la UE. La firma electrónica cualificada es una de las normas que se han establecido en el marco del eIDAS.[3][4]

Una firma electrónica cualificada es una firma electrónica avanzada con un certificado digital cualificado que ha sido creada por un dispositivo cualificado de creación de firmas (QSCD). Para que una firma electrónica se considere cualificada, debe cumplir tres requisitos principales: En primer lugar, el firmante debe estar vinculado e identificado de forma única con la firma. El segundo es que los datos utilizados para crear la firma deben estar bajo el control exclusivo del firmante. Y por último debe tener la capacidad de identificar si los datos que acompañan a la firma han sido manipulados desde la firma del mensaje.[1]

Es importante tener en cuenta que la creación de una firma electrónica cualificada es algo más que añadir un certificado cualificado a una firma electrónica avanzada. La firma también debe crearse utilizando un dispositivo cualificado de creación de firmas (QSCD). Este dispositivo se encarga de calificar las firmas electrónicas mediante el uso de hardware y software específicos que garantizan que el firmante sólo tiene el control de su clave privada. Además, un proveedor de servicios de confianza cualificado gestiona los datos de creación de firma que se producen. Los datos de creación de la firma deben ser únicos, confidenciales y estar protegidos contra la falsificación.[3]

Las firmas electrónicas cualificadas que cumplen con el eIDAS pueden ser implementadas técnicamente a través de tres estándares específicos de firma digital XAdES, PAdES y CAdES que fueron desarrollados por el Instituto Europeo de Normas de Telecomunicaciones (ETSI) y luego necesitan ser complementados con un certificado digital cualificado a través de los procedimientos descritos anteriormente.[1]

Proveedores de servicio de confianza cualificadosEditar

El proveedor de servicios de confianza cualificado tiene un papel crucial en el proceso de la firma electrónica cualificada. Un proveedor de servicios de confianza debe recibir el estatus de cualificado por parte de un organismo gubernamental de supervisión que permita a la entidad prestar servicios de confianza cualificados para ser utilizados en la creación de firmas electrónicas cualificadas. Regulado en el eIDAS, la Unión Europea publicó una lista de confianza de la UE con efecto constitutivo, lo que significa que un proveedor o servicio sólo estará cualificado si aparece en la lista de confianza.[5]​ Los proveedores de servicios de confianza cualificados están obligados a cumplir las estrictas directrices establecidas en el Reglamento eIDAS, que incluyen como parte del proceso de creación del certificado:

  • El proveedor de servicios debe proporcionar una fecha y hora válidas para los certificados creados.
  • Las firmas con certificados caducados deben ser revocadas inmediatamente.
  • El personal empleado por el proveedor de servicios de confianza cualificado debe estar debidamente formado.
  • El software y el hardware utilizados por el proveedor de servicios deben ser fiables y capaces de evitar la falsificación de certificados.[3]

Visión e impacto esperadoEditar

En el marco del eIDAS, la intención de la implantación de la firma electrónica reconocida es servir a varios propósitos, como la facilitación de los procesos empresariales y de servicios públicos, incluidos los que son transfronterizos. Estos procesos pueden agilizarse de forma segura utilizando la firma electrónica. En el marco del eIDAS, se ha encargado a los Estados miembros de la UE que establezcan "ventanillas únicas" (PSC) para los servicios de confianza con el fin de garantizar que los sistemas de identificación electrónica puedan utilizarse en las transacciones transfronterizas del sector público, como el intercambio y el acceso a la información sanitaria a través de las fronteras.[4]

Anteriormente, un firmante firmaba un documento o mensaje y luego lo devolvía al destinatario a través del servicio postal, el servicio de fax, a mano o escaneándolo y adjuntándolo a un correo electrónico. El problema de estos métodos es que no siempre son seguros o puntuales. Pueden producirse retrasos en la entrega y existe la posibilidad de que se falsifiquen las firmas o se alteren los documentos adjuntos. El riesgo aumenta cuando se requieren múltiples firmas de diferentes personas que pueden estar ubicadas en diferentes lugares. Estos problemas se alivian con el uso de firmas electrónicas cualificadas, que ahorran tiempo, son legalmente vinculantes y proporcionan un mayor nivel de seguridad técnica.[1]

Se espera que la mayor transparencia en el proceso de firma y transacción electrónicas y la mayor interoperabilidad estimulen la innovación en el mercado interior europeo.[6]

Implicaciones legalesEditar

El eIDAS exige que no se denieguen efectos jurídicos o admisibilidad como prueba a ninguna firma electrónica por el mero hecho de estar en formato electrónico o de no cumplir los requisitos de las firmas electrónicas cualificadas.[7]​ La firma electrónica cualificada tendrá un efecto jurídico equivalente al de una firma manuscrita. Su valor probatorio depende de las circunstancias, pero normalmente se considerará muy alto.[8]​ Todos los Estados miembros de la UE están obligados a reconocer como válida una firma electrónica cualificada, siempre que haya sido creada con un certificado cualificado que haya sido emitido por otro Estado miembro.

De acuerdo con el Reglamento eIDAS, artículo 27, Firma electrónica en los servicios públicos, se prohíbe a los Estados miembros solicitar firmas de un nivel superior al de la firma electrónica cualificada. El artículo 25 (2) del eIDAS permite que una firma electrónica cualificada tenga el mismo peso legal que una firma manuscrita.[1][3][9]

Véase tambiénEditar

ReferenciasEditar

  1. a b c d e Turner, Dawn M. «Qualified Electronic Signatures For eIDAS». Cryptomathic. Consultado el 13 June 2016. 
  2. «Qualified Electronic Signature». Bundesnetzagentur. Consultado el 13 June 2016. 
  3. a b c d The European Parliament and the Council of the European Union. «REGULATION (EU) No 910/2014 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 23 July 2014 on Electronic Identification and Trust Services for Electronic Transactions in the Internal Market and Repealing Directive 1999/93/EC». Official Journal of the European Union. Consultado el 13 June 2016. 
  4. a b Turner, Dawn M. «Understanding eIDAS». Cryptomathic. Consultado el 13 June 2016. 
  5. Forget, Guillaume. «The eIDAS Regulation Is Coming - How Can Banks Benefit From It». Cryptomathic. Consultado el 13 June 2016. 
  6. J.A., Ashiq. «The eIDAS Agenda: Innovation, Interoperability and transparency». Cryptomathic. Consultado el 23 June 2016. 
  7. eIDAS article 25
  8. eIDAS does not explicitly address the evidentiary value of qualified electronic certificates, but it states that qualified electronic seals should enjoy the presumption of the integrity of the data and of the correctness of the origin of that data to which the seal is linked (article 35 (2)). Qualified electronic signatures and seals are technically very similar.
  9. «What Are Qualified Electronic Signatures? Are They by Definition Better than Other Types of Electronic Signatures?». Time.Lex. Consultado el 13 June 2016.