Es usual estos días encontrar múltiples discusiones y artículos sobre las diferencias entre la firma digital, firma digitalizada y la firma electrónica en sus distintas versiones (simple, avanzada, cualificada, certificada, calificada etc), y la “legalidad” o “valor jurídico” que comportan cada una de estas según el tipo de tecnologías empleadas para su creación o proveedores de servicios para la creación de estas firmas.
Son múltiples las empresas del sector que avalan el uso de sus soluciones tecnológicas mediante informes especializados que equiparan el valor jurídico de firmas digital o electrónicas “simples” con firmas que de acuerdo a la ley cuentan con presunciones de derecho favorables, por lo que es oportuno distinguir estos conceptos de valoración jurídica sobre el uso de unas y otras.
¿Qué factores determinan la fuerza probatoria de la firma digital?
En primer lugar, es necesario aclarar que cualquier instrumento tecnológico que utilicemos para generar una firma electrónica o digital es legal mientras su utilización no quebrante o contradiga la Ley, y por consiguiente tiene valor jurídico. Las partes firmantes de un contrato por ejemplo, pueden acordar para la firma del mismo utilizar diversas soluciones que ofrezcan diferentes niveles de seguridad -incluso muy bajos-, resultando todas legales y admisibles mientras la Ley no exija un nivel de seguridad particular y las partes así lo acepten.
No obstante, la fuerza probatoria de cada una en caso de tener que demostrar la autoría de las mismas y ejecutar las obligaciones derivadas es un tema muy distinto, sobre el que poco se comenta en muchos de estos informes especializados.
La fuerza probatoria de una firma digital o electrónica está determinada por la verificación de ciertos elementos o requisitos normalmente previstos en la normativa que rige la materia, como por ejemplo:
✓ la vinculación única al firmante,
✓ la identificación de su titular,
✓ el nivel de seguridad sobre el método de creación que se ha utilizado,
✓ la posibilidad de detectar modificaciones ulteriores
✓ y la confianza que se tiene en el proveedor del servicio de creación de la firma electrónica.
Ciertamente, las medidas de seguridad, niveles de fiabilidad y las garantías de integridad sobre la información firmada que ofrezca la tecnología de la solución implementada en los mecanismos de autenticación y creación de las firmas, puede condicionar la eficacia probatoria de la misma, ya que estos factores deben garantizar ante terceros que la firma ha sido creada a partir de determinados datos en poder exclusivo del titular y que la información a cuyo contenido el titular se ha vinculado jurídicamente no ha sido modificada posteriormente.
Adicionalmente a lo anterior, existen otros factores no asociados a la tecnología -al menos no directamente- que deben ser tomados en cuenta para la valoración jurídica de la firma digital o electrónica y especialmente de su fuerza probatoria, asociados directamente a la capacidad de demostrar que la persona identificada en la herramienta utilizada para la creación de firma -como la clave privada de un certificado de firma digital- le pertenecen efectivamente a dicha persona. Para ello, en necesario contar con un proceso de onboarding seguro, esto es, un procedimiento de identificación y registro del usuario titular de la firma digital, que permita garantizar razonablemente la identidad de la persona titular del certificado de firma digital.
Verificación de la identidad y entrega segura de medios: dos procedimientos determinantes en la calidad del proceso de onboarding.
La calidad del proceso de onboarding incide directamente en la valoración jurídica de la firma digital, al determinar en primer lugar el procedimiento seguido para verificar la identidad del solicitante del certificado de firma digital, generando evidencias que permitan auditarlo posteriormente. Es común y necesario contar con un set de prácticas y políticas debidamente documentadas que detallen la forma, el lugar y el tiempo en que en el dicho procedimiento se realizará, las evidencias que serán generadas, las personas que intervendrán en nombre del prestador para dar fe del proceso, así como las responsabilidades que asume el prestador de servicio de firma digital en la ejecución del mismo.
Por ejemplo, en países como España donde el Estado emite un documento nacional de identificación oficial para sus ciudadanos a través de una autoridad administrativa como el DNI, es común documentar la identidad del solicitante del certificado de firma digital a través de la presentación de este tipo de documentos, recogiendo evidencias de esta identificación que pueden variar entre la creación de un expediente físico o digital donde se almacenen copias del documento, fotografías o videos tomados en el momento de la identificación, recolección de datos biométricos como huellas o rostros, que en general son resguardados por prolongados períodos de tiempo por el prestador del servicio implementando medidas de seguridad e integridad para su conservación en el tiempo.
El segundo procedimiento al que hay que hacer referencia es el relacionado a la entrega segura de los medios para la creación de la firma digital, es decir, el diseño y descripción de la forma en que se asegura la entrega del elemento seguro que se utilizará para la creación de la firma a su titular, tales como la entrega física de una smartcard, un token criptográfico o la remisión segura de credenciales de acceso a sistemas de firma digital centralizada o remota, llamados usualmente “firmas digital en la nube”. Este procedimiento asegura que además de haberse realizado una identificación fiable de la persona titular de la firma, los medios para la creación de dicha firma digital se encuentran física y/o lógicamente bajo el control exclusivo de su titular.
El conjunto de procedimientos y herramientas tecnológicas, así como auditoría y verificación de las evidencias generadas por los sistemas y la ejecución de los procedimientos, es lo que permite relacionar de forma unívoca e inequívoca a una persona con la firma electrónica generada sobre un documento u operación, y por consiguiente vincularle jurídicamente con el contenido del mismo, aún en el supuesto de que el firmante pretenda su desconocimiento o repudio.
¿Cómo determinar la conveniencia del sistema o del tipo de firma digital o electrónica?
Determinar la idoneidad de uso de un sistema o tipo de firma electrónica o digital dependerá entre otras cosas del tipo de documento u operación que se requiera firmar, las formalidades que tenga como requisitos, la necesidad de garantizar la integridad de la información, el grado de certeza jurídica que se requiere, el nivel de riesgo que suponga la operación en caso de que se intente desconocer y nuestro umbral de tolerancia al mismo.
En este sentido, la firma de una solicitud de vacaciones de un empleado dentro de una organización no supone los mismos requisitos de seguridad, formalidad y niveles de riesgo que podría suponer la firma de un contrato sensible entre dos empresas sin una relación comercial favorable previa, la emisión de una resolución administrativa que cree derechos y/o imponga obligaciones, o la inscripción de un título de propiedad inmobiliaria con efectos hacia terceros -erga omnes- por parte de una oficina de registro público.
De lo anterior, cobra relevancia valorar no solo la “legalidad” de un método o instrumento de creación de firmas digitales, sino también la fuerza probatoria que cada uno de estos métodos goce, dado que determinará el riesgo que corremos frente a la intención de un firmante para desconocer una firma digital realizada y desvincularse de las obligaciones contraídas, la actividad probatoria que nosotros deberemos realizar para poder hacer valer la eficacia de dicha firma en caso controversia y las presunciones o valoraciones que obrarán a nuestro favor en las consideraciones que pueda hacer un Juez u Administración Pública al momento de decidir.
En resumen, las firmas electrónicas o digitales basadas en certificados digitales emitidos por Prestadores de Servicios de Certificación autorizados por el Estado, en la mayoría de los países son las únicas reconocidas como equivalentes a la firma manuscrita y a la vez cuenta de presunciones favorables que invierten la carga de la prueba, proveyendo un nivel más robusto de certeza jurídica sobre ella. No obstante, existen otras firmas electrónicas que cuentan con valor probatorio relativo, sujeta al análisis de los requisitos mencionados previamente.