¿Firma electrónica, firma digital o firma autógrafa en un mensaje de datos? Una forma de apoyar la transformación de las organizaciones en un mundo digital (Parte 2)

Por: Juan Carlos Rocha,
Abogado socio Fonte Estudio Jurídico

Luego de haber presentado, en la primera parte de este artículo un contexto general de los conceptos relevantes requeridos para avanzar en el entendimiento de los aspectos legales relacionados con la firma electrónica, la firma digital y la firma autógrafa, en esta oportunidad continuaré desarrollando el tema con un enfoque más especifico referido al marco normativo aplicable y algunas recomendaciones prácticas que pueden ser de utilidad para el adecuado uso y manejo de estas tecnologías.  

1. La regulación de la firma electrónica en el mundo 

Las firmas electrónicas son legalmente vinculantes en casi todos los países, por ejemplo, en el año 2000, Estados Unidos (EE. UU.) aprobó The Electronic Signatures in Global and National Commerce Act (The E-Sign Act), Ley de firmas electrónicas en el comercio mundial y nacional, que legaliza las firmas electrónicas para prácticamente todos los usos; por su parte, en la Unión Europea (UE), el reglamento conocido por sus siglas en inglés eIDAS (electronic Identification, Authentication and trust Services), sistema europeo de reconocimiento de identidades electrónicas, entró en vigor en 2016 y estableció una nueva estructura legal para la identificación, las firmas, los sellos y los documentos electrónicos, creando un mercado digital único en toda la UE.  

A nivel mundial, existen generalmente dos tipos de leyes de firma electrónica, aquellas que son permisivas, que permiten la aplicación amplia de las firmas electrónicas con pocas restricciones legales y otorgan a las firmas electrónicas el mismo estatus legal que las firmas manuscritas, como es el caso de los Estados Unidos, Australia, Nueva Zelanda, Canadá y Colombia. Y, aquellas que podrían definirse como de varios niveles, las cuales permiten el uso generalizado de firmas electrónicas, pero brindan un mayor peso probatorio a las firmas que usan diferentes tipos de identificaciones digitales basadas en certificados para autenticar a los firmantes (firmas digitales o firma electrónica avanzada). Dentro de los países que han adoptado leyes de varios niveles se encuentran los pertenecientes a la Unión Europea, China, India y Corea del Sur. Por ejemplo, en la Unión Europea, solo las firmas que utilizan identificaciones digitales de proveedores calificados reciben automáticamente el mismo estatus que las firmas manuscritas. 

2. Marco legal de las firmas electrónicas en Colombia 

Las leyes que rigen de forma general las firmas electrónicas y digitales en Colombia son: 

I. Ley 527 de 1999 que regula el comercio electrónico y sienta las bases para la existencia y exigibilidad de las firmas digitales. 

II. Decreto 2364 de 2012 que diferencia entre firma electrónica y firma digital como un tipo específico de firma electrónica. 

La Ley 527 de 1999 estableció la firma electrónica como equivalente de la firma manuscrita, otorgándole la misma validez y efecto legal, siempre y cuando cumpla con los requisitos de confiabilidad establecidos en el Decreto 2364 de 2012, o las normas que lo complementen, modifiquen o sustituyan.  

2.1. Definición de firma electrónica 

Según el Decreto 2364 de 2012, una firma electrónica (o e-signature), es definida como el conjunto de métodos o mecanismos tales como, códigos, contraseñas, datos biométricos o claves criptográficas privadas, que permiten identificar a una persona, en relación con un mensaje de datos, siempre y cuando el mismo sea confiable y apropiado respecto de los fines para los que se utiliza la firma. La firma electrónica se considerará confiable si:  

I. Los datos de creación de la firma, en el contexto empleado, corresponden exclusivamente al firmante  

II. Puede detectarse cualquier modificación no autorizada del mensaje de datos realizada después del momento de ejecutar la firma.  

Para que el mecanismo que identifica a la persona se considere confiable y apropiado, el mismo Decreto 2362 establece cuál debe ser el alcance de esas expresiones, señalando los atributos de autenticidad e integridad para satisfacer estas condiciones. 

La autenticidad hace referencia a la correspondencia de identidad de la persona que ha elaborado, enviado o a quien se le atribuya el documento electrónico, efectivamente es la misma. Es decir, la autenticidad es verificar que la persona que envío el mensaje es realmente esa persona, verificación que puede ser a través del uso de correos electrónicos, ID sociales, contraseñas, pines de teléfono, asignación personal de token o smartcard, o hasta el uso de características biométricas como la huella dactilar. 

La integridad, por su parte, hace referencia a los mecanismos por medio de los cuales se identifica si la información contenida en el documento electrónico ha sido alterada o modificada de alguna forma. Este elemento es de carácter técnico, a menudo incluye un registro de auditoría junto con el documento final, y, puede verificarse a partir de soluciones de cifrado de la información, para evitar que terceros accedan a ella sin autorización, tales como tecnología Blockchain o cualquier otra que permita verificar alteraciones en la información electrónica. 

Así las cosas, se tiene, hasta este punto, que las firmas electrónicas (e-signatures) hacen referencia a cualquier proceso electrónico que indique la aceptación de un acuerdo o un registro, teniendo como características las siguientes: 

I. Usan una variedad común de métodos para identificar la identidad del firmante, correos electrónicos, ID sociales, contraseñas, pines de teléfono, asignación personal de token o smartcard. En su versión más estándar utilizan la autenticación de un solo factor; por su parte, las firmas electrónicas mejoradas utilizan autenticación multifactor para aumentar la seguridad, cuando sea necesario. 

II. Se demuestra la prueba de firma mediante un proceso seguro que a menudo incluye un registro de auditoría junto con el documento final. 

En la práctica, este tipo de firmas requiere o deviene de un intercambio de claves y contraseñas, que tiene valor y tiene vigencia entre quienes la comparten, y que claramente puede ser robada y también se pueden perder. De esto último, la importancia de realizar cambios constantes en las contraseñas.   

Entonces, ¿cuál es la diferencia entre firma electrónica y firma digital o firma electrónica avanzada? 

Si bien, tanto las firmas electrónicas como digitales son válidas y legales bajo la norma colombiana, una firma digital está considerada como un tipo de firma electrónica, conforme al artículo 28 de la Ley 527 de 1999, cuando especifica que las firmas digitales tendrán la misma fuerza y efectos que el uso de una firma manuscrita, si aquélla incorpora los siguientes atributos:  

  1. Es única a la persona que la usa, es decir que está vinculada exclusivamente al firmante. El acceso al proceso de firma está controlado por al menos una opción de autenticación a la que únicamente el/la signatario/a puede acceder. 
  2. Es susceptible de ser verificada, es decir que es capaz de identificar al firmante. Los datos de la opción de autenticación seleccionada contienen la identidad del firmante  
  3. Está bajo el control exclusivo de la persona que la usa. 
  4. Está ligada a la información o mensaje, de tal manera que, si éstos son cambiados, la firma digital es invalidada. 
  5. Está conforme a las reglamentaciones adoptadas por el Gobierno Nacional. 

De lo anterior se colige que las firmas digitales tienen demandas técnicas adicionales, pero brindan una forma avanzada de autenticación que cumple con requisitos de cumplimiento más estrictos y altamente regulados. 

En la práctica, para este tipo de firmas se requiere:   

  1. Una clave que solo el firmante conoce;  
  2. Un dispositivo que solo el firmante tiene y que contiene su llave privada, la cual es temporal, se puede robar y perder. Luego, el firmante es responsable de ese dispositivo que contiene dicha clave privada; y  
  3. Un certificado digital que contiene la llave pública y que se obtiene a partir de un proceso de enrolamiento o de autenticación utilizando biometría, este último aspecto que sólo el firmante puede.  
  4. Quien recibe el hash cifrado que supone la firma electrónica lo podrá descifrar con la llave publica que se encuentra en el certificado. 

De esta forma quien firma cuenta con dos archivos, uno que contiene el certificado y otro que contiene su llave privada que usará para firmar. Entonces, para poder firmar se tiene que ocupar esa llave de firma, y el hash que resulta de aquello que quiere firmar lo debe cifrar con su clave privada. 

En otras palabras, la firma digital es cierta información que se vincula a la identidad de la persona que la origina, asegurando su integridad y no repudio a través del uso de un par de claves, una pública y una privada. La pública se comparte y esta incorporada en un registro público, y la privada se mantiene bajo el exclusivo control de quien firma; así que, si se quiere firmar un documento, se toma dicho documento y se hace único a partir del hash o huella/resumen digital y esta huella se cifra con la llave privada, el resultado de esto constituye la firma digital.  

Su seguridad se encuentra en que cada vez que se firma, se firma distinto, garantizando i) Autenticidad: certeza de que el mensaje solo proviene del emisor, pues es firmado bajo la llave privada que se encuentra bajo exclusivo control del signatario; ii) Integridad: por que el contenido no puede alterarse ya que aquello que se firmó se le está generando el hash; y iii) No repudio: disposición legal que supone innegable autoría y recepción del mensaje. Sin embargo, para que esto exista se requiere contar con cierta infraestructura, esto es, certificados digitales que emiten prestadores de servicio de certificación o agencia certificadoras, según corresponda, además del registro y administración de los propios certificados digitales.    

Ahora bien, existe otro tipo de firma electrónica avanzada que se denomina Firma Electrónica Cualificada (QES), que no es más que una firma digital basada en un certificado digital emitido por una autoridad de certificación reconocida. El tipo QES de firma electrónica es necesario en varios países del mundo y cuenta con los mismos requisitos que la Firma Electrónica Avanzada, además del requisito adicional de que el firmante utiliza un certificado digital exclusivo emitido por una Autoridad de Certificación reconocida en Colombia.   

3. ¿Cuál es el enfoque correcto para crear un proceso de firma electrónica compatible para su negocio?  

Dependerá de su entorno regulatorio único, perfil de riesgo y requisitos comerciales específicos. Hay un marcado contraste, por ejemplo, en los enfoques legales entre los Estados Unidos y la Unión Europea. La ley estadounidense permite una definición amplia de firmas electrónicas y no prescribe una tecnología específica. Por el contrario, el reglamento eIDAS de la UE distingue entre tres tipos de enfoques de firma electrónica y requiere firmas digitales para algunos tipos de documentos. Además, algunos sectores comerciales, como el biofarmacéutico y el gobierno, han desarrollado pautas más prescriptivas para procesos comerciales específicos que requieren firmas digitales. 

En Colombia, la Ley 527 de 1999 indica, asimismo, que las partes pueden establecer acuerdos sobre los diferentes métodos de firmas, comunicaciones y transacciones electrónicas, creación de documentos electrónicos, o cualquier otra actividad que implique el intercambio electrónico de datos.   

Se presume que estos mecanismos o técnicas de identificación personal cumplen con los requisitos para firmas electrónicas, a menos que se demuestre lo contrario. No obstante, aquellos que brinden métodos de autenticación a usar por sus clientes, tales como bancos o entidades financieras, deben poder garantizar las condiciones de autenticidad e integridad, definidas como parte del alcance del concepto de fiabilidad.  

Así las cosas, tenemos que para encontrar el enfoque de firma adecuado para su negocio, deberá equilibrar las regulaciones y el riesgo, y considerar qué nivel de esfuerzo es necesario para que sus transacciones comerciales sean legales y seguras. En general, los procesos de firma electrónica correctamente configurados son más fáciles de implementar y cumplen con los requisitos legales y de seguridad para muchos procesos comerciales. Las firmas digitales tienen demandas técnicas adicionales, pero brindan una forma avanzada de autenticación que cumple con requisitos de cumplimiento más estrictos y altamente regulados.  

Si estas interesado en conocer más sobre este tema, contáctanos y uno de nuestros profesionales te brindará la información y asesoría que necesitas.  

 

Leave A Comment

You must be logged in to post a comment.