¿Simplemente con expedir un certificado de una firma digital, ésta ya es vinculante?

Nos hayamos inmersos en el inicio de la desescalada por confinamiento ante la pandemia del Covid-19 y gradualmente iremos recuperando nuestra normalidad.  Esta crisis del Coronavirus ha puesto de manifiesto la necesidad de poder impulsar el trabajo a distancia y la digitalización de los procesos en las empresas, para asegurar la continuidad de la actividad de las mismas. Y cuando hablamos de la actividad empresarial, esta contempla desde la prestación/ producción de un servicio, hasta cualquier procedimiento administrativo. Durante esta pandemia, la digitalización se ha posicionado como la gran aliada para la supervivencia empresarial, y entre todas las herramientas, la firma digital, facilita la signatura de documentos sin desplazamientos que eviten contactos innecesarios y mantengan su valor legal ha posibilitado la continuidad de muchas empresas en estas semanas de confinamiento.

La firma digital, es una tecnología que permite rubricar cualquier documentación de manera telemática, en tiempo real y con validez legal absoluta, gracias al certificado de evidencias jurídicas que genera cada operación. La firma electrónica es aceptada por la ley como un  contrato vinculante que asegura el  no repudio. Esto significa que un usuario no puede negar haber realizado la transacción. Tal y como se garantiza mediante la combinación de  autenticación e integridad.

Pero… ¿Simplemente con expedir un certificado de una firma digital, ésta ya es vinculante?, veamos algunos matices:

• Garantizar la capacidad de firmar: para que una firma electrónica sea aceptada ante un juez o tribunal también es importante demostrar que el firmante estaba en buena salud (es decir, con sus plenas condiciones mentales) para firmar. Como esto es difícil de verificar digitalmente, la ley dicta que ciertos documentos jurídicos importantes todavía necesitan una firma física, en presencia de una persona jurada (por ejemplo, un notario o un funcionario público). Con la mejora de las técnicas de análisis de la conducta del usuario (por ejemplo, comprobar si la pauta de conducta del usuario es diferente de la pauta habitual), esto también podría realizarse digitalmente con pleno valor jurídico.
• Verificación de la “integridad”: Abarca también múltiples aspectos, como la garantía de que el usuario ha leído el contenido, la técnica de firma propiamente dicha y el almacenamiento de la firma como prueba futura. Más en detalle:
• 1. Los notarios de Bélgica están obligados a leer en voz alta los puntos clave de la escritura para garantizar que el usuario ha escuchado al menos todos los elementos importantes de la escritura. No obstante, lo más habitual y algo que vemos cada día en muchos websites sería una casilla de verificación, que indica que ha leído y comprendido el contenido, que se debe marcar para continuar el proceso.

• Firma real: La firma electrónica real, tiene por objeto probar digitalmente que una transacción ha sido firmada por un usuario. También aquí existen múltiples técnicas y con diferentes niveles de seguridad:
  1. Una casilla de verificación que pide al usuario que confirme la transacción. La única prueba en ese momento es el registro de auditoría que indica que el usuario marcó la casilla. Legalmente este tipo de verificación bastante pobre.
  2. Escaneo de una firma física
  3. Una firma electrónica, que es independiente del contenido real. Aunque este método garantiza la autenticación (el firmante puede ser autenticado y la firma está vinculada únicamente al usuario), la integridad sólo puede verificarse mediante una auditoría de código.
  4. Características clave de la transacción (por ejemplo, una referencia única del documento, la cantidad…). Cuando se realiza una firma, el hash de la firma incluirá estas características. Cualquier cambio de estas características después, invalidará la firma.
• Almacenamiento de la firma: Otro aspecto importante de la “Integridad” es la forma en que se almacena la firma electrónica que se genera durante el proceso de firma. Esto incluye si sólo se almacena la clave de firma o el mensaje firmado completo y la forma en que se almacena la información de la firma. Si la información de la firma se almacena en una base de datos estándar, todavía podría ser posible manipular la firma después de que se haya realizado la transacción.
  1. Las técnicas comunes para evitar este tipo de fraude son el almacenamiento de la información de la firma en un almacén de no repudio (es decir, una base de datos en la que ya no se puede modificar la información almacenada). O que un tercero de confianza pueda replicar la información asociada a la firma del usuario a modo de representación.

En definitiva, la firma digital tiene muchas más implicaciones que el simple certificado expedido y es cierto que la transformación digital se esta acelerando a consecuencia del nuevo escenario que vivimos. Cuando se implementa una firma digital existen múltiples variables, que afectan la usabilidad, el coste de implementación y el nivel de seguridad y riesgo de repudio. Si bien las opciones en cuanto a la facilidad de uso seguirán existiendo, las del resto de opciones normalmente deberían evolucionar hacia el mejor nivel de seguridad y riesgo de repudio a medida que las tecnologías se vayan convirtiendo en productos básicos y, por lo tanto, su implementación sea menos costosa. Por todo ello, debemos tener en cuenta múltiples variables para disponer de un servicio que cumple con todas las garantías para la firma digital.

¿Necesita que tu empresa poder gestionar sus procesos con una firma digital de manera eficiente y segura?

Si deseas saber más sobre las ventajas que ofrece la identificación y la autenticación digital, solicita una demo para comprobarlo por ti mismo, o puedes contactarnos. Estaremos encantados de atenderte y resolver todas tus dudas.