¿Qué es la firma electrónica?
Una firma electrónica no es más que el traslado de la firma convencional en papel, manuscrita, al mundo digital, en forma de un conjunto de datos digitales (la propia firma) asociados a otro conjunto (el documento firmado).
En el mundo convencional de la firma manuscrita en papel encontramos distintas variantes de firmas, con distintas características, desde un simple trazo en un recibo hasta una firma ante notario, y cada una de estas variantes es seleccionada según las necesidades del propio acto de firma, de sus necesidades de validez jurídico-legal, de protección contra el repudio o de resistencia a la falsificación. Por ejemplo, no es lo mismo firmar un recibo cuando recogemos un paquete de mensajería que cuando firmamos un contrato hipotecario para una vivienda.
En el mundo electrónico sucede lo mismo, y se definen distintos tipos de firma electrónica para acomodarse a todas las necesidades, y cada uno de estos tipos tiene sus características propias. En España, estos tipos y sus características están definidos en la Ley 59/2003, que se corresponde con el reglamento europeo eIDAS, que unifica estos criterios en todos los estados miembros.
eIDAS (electronic IDentification, Authentication and trust Services) es un Reglamento de la UE que define un conjunto de normas para la identificación electrónica, la firma electrónica y los servicios de confianza para transacciones electrónicas en el mercado único europeo. Se estableció en el REGLAMENTO (UE) Nº 910/2014 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE.
Esta clasificación de tipos de firma electrónica (reflejada tanto en la Ley 59/2003 como en el reglamento europeo eIDAS) se podría resumir de esta forma:
- Firma electrónica simple
- Una firma electrónica simple no es más que el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante. Con esta definición tan abierta entra casi todo tipo de implementaciones que se acuerden entre el firmante y el receptor del documento firmado, como, por ejemplo, una simple pulsación de un botón en pantalla (como se hace cuando aceptamos una licencia de usuario final al instalar un programa).
- La firma electrónica simple tiene, como es de esperar, una escasa protección contra el repudio, ya que es difícil demostrar quién fue el firmante y cuál fue realmente el documento que firmó.
- Firma electrónica avanzada.
- Una firma electrónica avanzada es aquella que, cumpliendo las premisas anteriores de la firma electrónica simple, permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede utilizar, con un alto nivel de confianza, bajo su exclusivo control.
- La firma electrónica cualificada tiene ya un valor jurídico-legal alto, ya que es posible identificar unívocamente al firmante y el propio documento firmado.
- Firma electrónica cualificada.
- La firma electrónica cualificada es aquella que, cumpliendo los requisitos de la firma avanzada, se ha realizado con medios o dispositivos certificados como cualificados (certificados electrónicos, como, por ejemplo, el DNI electrónico).
- Esta firma es la de mayor validez jurídica, y cuanta con una protección legal contra el repudio.
¿Qué beneficios trae la firma electrónica?
Las firmas convencionales en papel son a menudo un freno para la transformación digital, ya que en el peor de los casos debemos almacenar estos papeles firmados durante largos periodos de tiempo, impidiendo su tratamiento automatizado, su custodia y copia de seguridad digital, etc. El uso del papel para la firma de documentos es un proceso costoso, no solo por el propio material (el papel, su impresión, su archivo en almacenes físicos, la conservación de estos archivos), sino también porque no permite la optimización de los procesos para un ahorro de costes: es común el extravío de papeles, su deterioro (desvanecimiento de la tinta o del propio papel con el paso del tiempo, humedades, insectos, etc.), el tiempo que se tarda en localizar un original, el que se tarda en archivarlo…
La firma electrónica es por tanto la puesta a la completa transformación digital de los procesos, a un considerable ahorro de costes, de preocupaciones, que habilita un mejor servicio a nuestros clientes, una relación más fluida con nuestros proveedores y una optimización del trabajo de nuestros empleados, y todo ello sin perder en absoluto seguridad jurídico-legal en nuestras transacciones.
¿Qué firma electrónica debemos utilizar?
Al igual que el repartidor de nuestro supermercado en una entrega a domicilio no va acompañado de un notario para cuando firmemos el recibo, no tiene sentido pretender que nuestro único o principal modo de firma electrónica sea la firma cualificada, y debemos aplicar siempre un principio de proporcionalidad entre nuestras necesidades legales en lo referente a la firma y la situación y capacidades del usuario final.
Por ello, es vital identificar bien el modelo de costes asociado a la firma (¿Cuánto cuesta cada acto de firma? ¿Cuánto me costaría una firma falsificada? ¿Qué estoy protegiendo con cada firma?) y la situación en la que se va a producir.
Si dentro de una organización se realizan a menudo firmas internas con cierta trascendencia legal, y los ordenadores, tabletas o teléfonos están gestionados por esta, podría tener sentido el uso de certificados cualificados, pero, por ejemplo, para que un cliente firme electrónicamente un documento mientras le atendemos personalmente en la oficina no, ya que no podemos pretender que todos nuestros clientes cuenten con DNIe y conozcan su PIN.
Dentro de esta identificación del modelo y modo de firma entran numerosos elementos que debemos tener en cuenta. Podemos identificar al usuario con su número de teléfono móvil o su correo electrónico (enviando un código de confirmación que más tarde pediremos al usuario), mediante una videollamada o mediante el medio que consideremos más seguro y conveniente, al igual que podemos ligar la firma al documento firmado y protegerlo contra modificaciones ulteriores de muy distintas formas.
¿Qué es la firma biométrica? ¿Cuándo podemos utilizarla?
La firma biométrica es aquella en la que la identificación del firmante se hace mediante uno de sus rasgos intrínsecos, que pueden ser rasgos físicos (huella dactilar, forma de la cara, patrones en el iris del ojo, etc.) o rasgos de comportamiento (como manejamos un bolígrafo al escribir, como andamos, nuestra voz al hablar, como manejamos el ratón o el teclado, etc.).
Dentro de la ley, usualmente una firma electrónica biométrica se clasifica como firma avanzada, de seguridad y robustez suficiente para la inmensa mayoría de los trámites de las empresas, incluyendo la firma de contratos comunes (por ejemplo, los laborales), de expedientes, recibos y comprobantes, justificantes, albaranes, etc.
Dentro de estos rasgos biométricos, destaca sin duda el cómo manejamos el bolígrafo cuando realizamos nuestra firma convencional manuscrita. No se trata tanto de la rúbrica, de la caligrafía, sino de con que velocidad movemos el boli, con que inclinación, con qué fuerza presionamos el papel en cada uno de los trazos…
Y la razón por la que destacamos este rasgo biométrico no es solo por su fiabilidad (muy elevada), sino porque continua con el hábito de firma en papel. Si para todos es natural firmar un papel cuando recibimos un bien o un servicio o nos comprometemos con un documento, extendemos esta naturalidad simplemente firmando sobre una superficie de captura de estos rasgos biométricos en vez de sobre un papel. Esta naturalidad es vital para la aceptación del proceso por parte de nuestros usuarios, que podrían sentir desconfianza o rechazo si se les explorase el iris o tomase las huellas dactilares, pero que aceptan como normal el firmar como si se tratase de una firma manuscrita, ya que siempre lo han hecho así.
Estas superficies, las tabletas de firma, son dispositivos que se comportan en cuanto a su “sensación” de forma muy similar a la escritura sobre un papel, y mientras firmamos sobre ellas capturan la información biométrica necesaria (velocidad, presión, etc.), mostrando incluso el trazo en la superficie (usualmente una pantalla) como si se tratase de un papel sobre el que estamos escribiendo normalmente.
La firma biométrica por trazo manuscrito tiene una enorme ventaja respecto a otros sistemas de firma electrónica (además de la ya comentada naturalidad del proceso), y es que no necesitamos absolutamente nada más del firmante, ni su teléfono móvil, si que use su DNIe, ni su correo electrónico… Esto lo hace ideal para servicios de atención presencial al cliente. Cuando un potencial cliente es atendido presencialmente en nuestra oficina o nuestro local, el abrumarle con envío de códigos por SMS o por correo electrónico el requerirle procesos de alta e identificación pueden sin duda ser molestos o incluso frustrar la operación, pero simplemente firmar en una superficie de firma biométrica es un acto rápido y cómodo.
¿Cómo funciona la firma electrónica biométrica?
La firma electrónica biométrica es un proceso relativamente complejo en el se asegura la correcta toma de los datos biométricos, su asociación como firma a un único documento y el establecimiento de medidas para que estos datos biométricos no puedan ser separados del documento originalmente firmados (por ejemplo, para cambiar un documento por otro y que parezca que hemos firmado lo que realmente no hemos hecho).
Para ello, se usan técnicas de huella digital (que son la base tecnológica de las firmas electrónicas cualificadas y de Blockchain) para asociar la firma a un único documento y un potente cifrado sobre los datos del firmante que impide que puedan ser extraídos y reutilizados (para extender esta garantía aún más, la clave para descifrar los datos biométricos se deposita en una entidad tercera de confianza, que solo la proporciona en caso de litigio y ante el juez y los peritos).
La identificación unívoca del firmante está garantizada no solo por la calidad en la toma de los datos biométricos (captura a alta frecuencia de la velocidad del trazo, detección de hasta 2048 distintos niveles de presión al escribir, etc.), sino también por lo definitorio de la escritura (Es un rasgo muy personal que nos define por completo, diferenciándonos de cualquier otra persona en un altísimo grado).
Además, el formato del documento electrónico que firmamos es completamente libre, pudiendo ser un XML, un PDF, un fichero de texto… Con plena libertad para adaptarse a nuestras necesidades de gestión documental.