Si quieres utilizar la identificación y firma digital en Europa, lo mejor es operar dentro de un marco legal establecido. La firma digital debe cumplir con ciertas directrices, que pueden ser diferentes en cada Estado miembro de la UE. Las reglas pueden ser tan abrumadoras como las opciones y puede ser complicado ver el bosque por los árboles. En este artículo, intentaremos esclarecer las dudas más apremiantes: ¿cuáles son los tres tipos de firmas electrónicas (según la definición de eIDAS) entre los que puedes elegir y cuáles son sus pros y sus contras?
Firma electrónica básica
¿Necesitas aceptar la entrega de un paquete? ¿Marcar una casilla digital en una pantalla de escritorio? ¿Escanear un documento firmado a mano? Entonces la firma electrónica básica será suficiente. Puede tratarse de una firma que se escribe a mano en una pantalla de escritorio (tras lo cual se guarda digitalmente) o de un clic en un botón “Acepto”. La aprobación o aceptación siempre se demuestra a través de un certificado.
Por lo general, este tipo de firma se utiliza en los procesos de menor valor, ya que no existe una forma infalible de confirmar la identidad del firmante. Si alguien copiara la firma de otra persona y la pusiera en el documento, sería difícil demostrarlo (o incluso descubrirlo). Dependiendo del proceso establecido, el uso de la firma electrónica básica en documentos legalmente válidos obviamente podría plantear un problema. Por lo tanto, una firma en documentos de seguros, financieros o de bienes inmuebles, por ejemplo, debe cumplir requisitos más estrictos, de modo que pueda vincularse al firmante con (mayor) certeza.
Firma electrónica avanzada
Este tipo de firma, que supera con creces la firma electrónica básica, cumple cuatro requisitos legales específicos. En primer lugar, está vinculada de manera única con el firmante. En segundo lugar, el firmante puede ser identificado. En tercer lugar, la firma se pone con un mecanismo ultra seguro que garantiza que el firmante sea el único que puede firmar el documento. Por ejemplo, una tarjeta bancaria vinculada a la cuenta conjunta de un matrimonio, no se puede utilizar para identificar al firmante. Al fin y al cabo, hay dos personas legalmente asociadas a dicha cuenta, lo que elimina el factor de la unicidad. El último requisito es que, tras firmar un documento, cualquier cambio de datos posterior sea trazable.
En comparación con su contraparte básica, la firma electrónica avanzada aumenta claramente el nivel de seguridad. Aun así, su fiabilidad no es absoluta, porque estos cuatro requisitos se pueden interpretar de manera bastante libre. Por lo tanto, aunque esta firma es plenamente compatible con eIDAS, proporciona un alto nivel de confianza y es a prueba de manipulaciones, el riesgo de que los controles de identidad no cumplan los requisitos de fiabilidad más estrictos, sigue ahí. Todo depende del proceso que se haya establecido. Podríamos decir que esta firma representa el equilibrio perfecto entre la experiencia del usuario y la gestión de riesgos. Algunos ejemplos de firmas electrónicas avanzadas son las firmas biométricas en una tableta Wacom y las firmas mediante identificación por SMS, iDIN, entre otras.
Firma electrónica cualificada
Si crees que una firma de tu puño y letra sobre el papel es la única opción segura para tu tipo de documento, considera su equivalente digital: la firma electrónica cualificada. La firma electrónica cualificada vincula la identidad del firmante a su firma mediante un certificado personal y cualificado emitido por un Prestador de Servicios de Confianza Cualificado (QTSP). Esto asegura que no sólo es válida en el país de la UE en el que haya sido asignada, sino que también es reconocida como válida y legalmente vinculante en cualquier otro Estado miembro de la Unión Europea. Al tener este estatus legal especial en Europa, se puede utilizar para los documentos de alto riesgo más importantes –desde seguros de vida hasta solicitudes de crédito– dependiendo de la legislación local.
Además de los cuatro requisitos citados, esta firma digital de no repudio debe cumplir una serie de normas adicionales. Por ejemplo, que la clave de firma del usuario se gestione mediante un Dispositivo de Creación de Firma Electrónica Cualificada (QSCD), de modo que únicamente el firmante pueda acceder a su clave personal y usarla, y que los datos de creación de la firma sean únicos, confidenciales y estén protegidos contra la falsificación.
Estos requisitos adicionales valen la pena, ya que el nivel de fiabilidad de la firma electrónica cualificada es el más alto. Es el único tipo de firma electrónica capaz de identificar plenamente al firmante, porque requiere una verificación inicial cara a cara o un procedimiento equivalente. En caso de que una parte la impugne en algún momento, la carga de la prueba recaerá en el signatario. A modo de comparación: con las firmas electrónicas básicas y avanzadas, la carga de la prueba recae en la parte que inició la firma. Ejemplos del tipo de firma más seguro son el DNI electrónico, Certificados de Camerfirma, eID e itsme® sign, los que Connective utiliza y ofrece en cada los distintos países de la Unión Europea.
¿Cuál es la diferencia?
Como hemos explicado anteriormente, las firmas electrónicas se clasifican según el nivel de garantía que ofrecen. Con eIDAS, cada uno de los tres tipos de firma puede ser legalmente efectivo. Siempre se garantiza un nivel básico de integridad en el sentido de que el contenido no puede ser alterado tras firmar el documento. Ahora bien, los niveles de seguridad son muy diferentes. Si te toca demostrar la autenticidad de una firma ante un tribunal y que ésta se puso conscientemente en un documento en particular, las pruebas que deberás aportar serán distintas.
Lo bueno, lo mejor y el no va más
Por supuesto, para tu empresa querrás una solución que sea amigable y accesible cuando y donde quieras, sin que deje de ser fiable y conforme a las normas. A continuación encontrarás un breve resumen y una explicación de lo que podría ser lo más adecuado para tus necesidades.
| Lo bueno | Lo mejor | El no va más | |
|---|---|---|---|
| ¿Qué? | Firma electrónica básica | Firma electrónica avanzada | Firma electrónica cualificada |
| ¿Por qué? | - ¡Fácil y rápida! - Fácil de usar en un móvil - Visualmente idéntica a una firma sobre el papel | - Vinculada al firmante - Jurídicamente más vinculante - Más fiable que la básica | - El más alto nivel de seguridad - Vínculo personal al firmante - Equivalente digital de la firma de puño y letra - Obligación legal |
| Casos de uso | - Firmar al recibir un paquete - Aprobación sencilla - Registro de clientes* - Préstamo crediticio* - ... *dependiendo de la legislación local o del riesgo | - Registro de clientes* - Préstamo crediticio* - ... *dependiendo de la legislación local o del riesgo | - Firmar documentos de seguro - Procedimientos de la administración pública |
| Solución Connective | - Contraseña de uso único (OTP) por SMS - Contraseña de uso único (OTP) por correo electrónico - Firma manuscrita | - Contraseña de uso único (OTP) por SMS - Contraseña de uso único (OTP) por correo electrónico - Firma biométrica | - .beID - LuxID - itsme® sign - DNI electrónico - Camerfirma - etc. |
¿Tienes alguna pregunta sobre los tres tipos de firmas electrónicas o estás interesado en utilizar una de las tres opciones que hemos descrito en este blog? No dudes en contactar con nosotros. Ofrecemos todas las opciones y estaremos encantados de averiguar cuál es la que mejor se adapte a tus necesidades.
