Embed Size (px)
Citation preview
1
1
Alfredo Batuecas CaletríoGrupo Derecho y Nuevas Tecnologías
Área de Derecho Civil
La firma y el documento electrónicos
Universidad de Salamanca
2
La seguridad en las comunicaciones preocupa al hombre desde antiguo.Su desarrollo ha venido propiciado por necesidades militares:
Grecia: Guerra entre Esparta y Atenas, la escítalaCarlomagno incrustaba signos falsos en sus mensajesNapoleón asignaba números a las letras o grupos de letrasT. Jefferson utilizaba discos cilíndricos en los que estaban impresas las letras del abecedarioMención aparte merece César, uno de los primeros en utilizar de un modo útil e inteligente la criptografía: sustituía cada letra por la que ocupaba tres puestos más adelante en el abecedario
“Cuanto más se agravaba cada día la fiereza del asedio, principalmente por ser muy pocos los defensores, estando gran parte de los soldados postrados de las heridas, tanto más se repetían correos a César, de los cuáles algunos eran cogidos y muertos a fuerza de tormentos a vista de los nuestros”.
(La Guerra de las Galias, Libro V, parágrafo XLV)
2
3
Hoy se utilizan métodos más sofisticados:
SISTEMAS DE CLAVE SIMÉTRICAMétodo de sustituciónMétodo de permutaciónEsteganografía
SISTEMAS DE CLAVE ASIMÉTRICA
Opera sobre una clave privada y una clave públicaHoy ya no se envían los mensajes literalmente, sino resúmenes para lo que se utilizan funciones resumen (Hash)
Así, si Esmeralda codifica sus mensajes con su clave privada, Ángel tendrá que utilizar la clave pública de aquélla para poder leerlo. Con esto, se nos garantiza la identidad del remitente del mensaje ; Si Esmeralda quiere que el mensaje sólo lo pueda leer Ángel, lo que tendrá que hacer es codificarlo con la clave pública de este último, ya que sólo él tiene acceso a su clave privada. Con esto, Esmeralda se asegura de la identidad del destinatario;También es posible combinar ambos métodos, para lo que basta con codificar el mensaje dos veces, una con la clave privada de Esmeralda y otra con la clave pública de Ángel, con lo que se garantiza tanto la identidad del remitente del mensaje como la del destinatario.
Mixtos: Mezcla sustitución y permutación. Máquina “Enigma”
4
CLASES:
Seguridad física vs. Seguridad jurídica:- Seguridad física: respetar los principios de autenticidad, confidencialidad, integridad y no repudio del mensaje.- Seguridad jurídica: ante la quiebra de ésos principios.
De fondosDe datos
Desde el punto de vista legal, existe una gran inseguridad jurídica en torno a ambas formas de transferencias (por dudoso régimen jurídico), lo que representa una rémora para su implantación efectiva y global en la sociedad.
Diferentes respuestas del Derecho a uno y otro tipo de Transferencia: están reguladas las Transferencias Electrónicas de Datos, pero no las de Fondos.
CLASES DE TRANSFERENCIAS ELECTRÓNICAS
IMPORTANCIA SEGURIDAD: Relaciones entre ausentes. Comercio electrónico
Ambas son aplicaciones criptográficas
3
5
TRANSFERENCIAS ELECTRÓNICAS DE
DATOS
(Firma Electrónica)
6
Índice:1. Definiciones.
2. Clases de FE y efectos que se desprenden de su uso.
3. Certificados electrónicos.
4. Prestadores de servicios de certificación.
4
7
La firma electrónica ofrece la solución a la autenticidad, integridad, confidencialidad y no rechazo del mensaje en las Transferencias Electrónicas de Datos.Regulación de la F.E.:NACIONAL:
- Ley 59/2003, de 19 de Diciembre. Ley, a diferencia del pago electrónico.
CC.AA.:-Islas Canarias (Decreto 205/2001, de 3 de diciembre).-La Rioja (LEY 3/2002, de 21 de mayo)-Valencia (DECRETO 87/2002, de 30 de mayo)
EXPOSICIÓN DE MOTIVOS: El objetivo es generar en el ámbito digital las condiciones de seguridad y confianza necesarias para estimular el desarrollo de los servicios de la Sociedad de la Información, en particular, de la Administración y del comercio electrónicos.
FIRMA ELECTRÓNICA
8
a) "Firma electrónica": es el conjunto de datos, en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante.
b) "Firma electrónica avanzada": es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y que ha sido creada por medios que el firmante mantiene bajo su exclusivo control.
c) “Firma electrónica reconocida”: es la firma electrónica avanzada que, además, está basada en un certificado reconocido y ha sido generada mediante un dispositivo seguro de creación de firma.
d) "Datos de creaci ón de firma" (clave privada): son los datos únicos, como códigos o claves criptográficas privadas, que el firmante utiliza para crear la firma electrónica.
e) "Datos de verificación de firma" (clave pública): son los datos, como códigos o claves criptográficas públicas, que se utilizan para verificar la firma electrónica.
DEFINICIONES I
5
9
e) “Prestador de servicios de certificaci ón”: es la persona física o jurídica que expide certificados electrónicos o presta otros servicios en relación con la firma electrónica.
f) “Certificado electrónico”: es un documento firmado electrónicamente por un prestador de servicios de certificaci ón que vincula unos datos de verificación de firma a un firmante y confirma su identidad.
g) “Certificados reconocidos”: son los certificados electrónicos expedidos por un prestador de servicios de certificación que cumpla los requisitos establecidos en esta ley en cuanto a la comprobaci ón de la identidad y demás circunstancias de los solicitantes y a la fiabilidad y las garantías de los servicios de certificaci ón que presten.
DEFINICIONES II
10
CLASES DE FIRMA ELECTRÓNICA: DEFINICIONES
* Firma electrónica (“simple o sencilla”) “el conjunto de datos, en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante”.
* Firma electrónica avanzada, aquella “que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que est á vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control”.
* Firma electrónica reconocida, aquella “firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma”.
6
11
CLASES DE FIRMA ELECTRÓNICA: REQUISITOS DE LA FER
A) Certificado reconocidoEs el certificado electrónico expedido por un prestador de servicios de certificación que cumpla los requisitos establecidos en la ley en cuanto a la comprobación de la identidad y demás circunstancias de los solicitantes y a la fiabilidad y las garantías de los servicios de certificación que presten.
B) Dispositivo seguro de creación de firmaEs un dispositivo de creación de firma reforzado, en cuanto ha de ofrecer, al menos, las siguientes garantías:
- que los datos utilizados para la generación de firma puedan producirse sólo una vez y asegurar razonablemente su secreto.
- que exista una seguridad razonable de que los datos utilizados para la generación de firma no puedan ser derivados de los de verificaci ón de firma o de la propia firma.
- que los datos de creación de firma puedan ser protegidos de forma fiable por el firmante contra su utilización por terceros.
- que el dispositivo utilizado no alter e los datos o el documento que deba firmarse ni impida que éste se muestre al firmante antes del proceso de firma.
12
-La FER debe cumplir dos requisitos para que sea tenida por tal, que no se le exigen, ni a la firma electrónica simple, ni a la firma electrónica avanzada. Estos requisitos le añaden calidad y la hacen más segura.
-La FEA podrá pertenecer a una firma electrónica reconocida o no, dependiendo de que cumpla los requisitos exigidos a esta última.
- La firma electrónica (simple) y la firma electrónica avanzada, a su vez, se distinguen porque la segunda puede identificar al firmante, detectar cualquier cambio que se realice en los mensajes, vincularse al firmante de manera única y a los datos a los que se refiere, y garantizar que ha sido creada por medios que el firmante puede mantener bajo su estricto control, mientras que la firma electrónica (simple) no.
CLASES DE FIRMA ELECTRÓNICA: CONCLUSIONES
7
13
CLASES DE FIRMA ELECTRÓNICA: EFECTOS JURÍDICOS
Efectos Jurídicos
Así, todo se reduce a un problema de prueba: bastará con demostrar que se utilizó una FER para desplegar efectos.
¿Qué ocurre si la firma utilizada no es reconocida? (Art. 3.9)No se le negarán efectos jurídicos a una firma que no sea FER, lo que ocurre es que no presunción de veracidad.Habrá que probar delante del juez todos los extremos de la firma electrónica: seguridad, autenticidad, integridad y confidencialidad de los datos.La firma electrónica “sencilla” y la FEA no gozan de una equiparación automática a la firma manuscrita.
La ley equipara los efectos de la firma electrónica RECONOCIDA a los de la firma manuscrita (art. 3.4 LFE).
14
CERTIFICADOS ELECTRÓNICOS
Problemas de las firmas electrónicas: la distribución segura de las claves públicas y asegurar que quien utiliza una FE es ciertamentequien dice ser que es.Para salvar esos problemas, “Terceras Partes de Confianza”(Trusted Third Party): a) Es un tercero que ofrece servicios de seguridad, conocido como “Prestador servicios de Certificación ”; b) que expide un certificado en el que se garantiza la identidad del firmante y; c) dice cuál es su clave pública.DEFINICIÓN: “un documento firmado electrónicamente por un prestador de servicios de certificación que vincula una clave pública a un firmante y confirma su identidad”.
CLASES:Certificado Electrónico “sencillo o simple”
Los certificados Electrónicos Reconocidos deben cumplir requisitos especiales establecidos en la ley. Debe indicar: que es reconocido, Código del certificado, FEA del prestador, identificación del firmante, clave pública del firmante, comienzo y fin de su validez, límites de uso del certificado, valor máximo de las transacciones.
Certificado Electrónico reconocido. Su importancia es que son necesarios para las FER.
8
15
CERTIFICADOS ELECTRÓNICOS
Antes de expedir un certificado reconocido, los prestadores deberán:
- Comprobar la identidad de los solicitantes de los certificadosmediante: Personación + DNI. No necesario si la identidad del solicitante ya le consta al prestador por relaciones preexistentes o cuando para solicitar un certificado se haya utilizado otro vigente que fue expedido en los cinco años anteriores.
- Verificar que la información contenida en el certificado es exacta.
- Asegurarse de que el firmante está en posesión de la clave privada correspondientes a los de la clave pública que constan en el certificado.
- Garantizar la complementariedad de la clave privada y pública .
- Si el certificado reconocido se expide a favor de personas jurídicas, el prestador comprobará, adem ás, los datos relativos a la constituci ón y personalidad jurídica y a la extensión y vigencia de las facultades de representaci ón del solicitante.
16
CERTIFICADOS ELECTRÓNICOS
Vigencia del certificadoSon causas de extinción del certificado (Art. 8):
a) Expiración del período de validez que figura en el certificado.
b) Revocación formulada por el firmante.
c) Violación o puesta en peligro del secreto de los datos de creación de firma del firmante o del prestador de servicios de certificación o utilización indebida de dichos datos por un tercero.
d) Resolución judicial o administrativa que lo ordene.f) Cese en la actividad del prestador de servicios de certificac ión salvo que, previo consentimiento expreso del firmante, la gestión de los certificados electrónicos expedidos por aquél sean transferidos a otro prestador de servicios de certificación. Etc.
Son causas de suspensión temporal del certificado (Art. 9):La solicitud del firmante.
Una resolución judicial, la existencia de dudas, etc.
9
17
CERTIFICADOS ELECTRÓNICOS
Expedición a favor de personas jurídicasResponsable del certificado y de la clave privada la personas física solicitante
La persona jurídica actúa por sí misma en el mercado, sin representante legal de intermediario
Cuando se excedan los límites del certificado, “la persona jurídica quedará vinculada frente a terceros sólo si los asume como propios o se hubiesen celebrado en su interés. En caso contrario, los efectos de dichos actos recaerán sobre la persona física responsable de la custodia de los datos de creación de firma, quien podrá repetir, en su caso, contra quien los hubiera utilizado”.
Genera muchas dudas: ¿existe representación o no?
El nombre de la persona física aparece en el certificadoEl certificado debe utilizarse para todas las actuaciones propias del giro o tráfico ordinario de la persona jurídica solicitanteNo exceder los límites del certificado
18
PRESTADORES DE SERVICIOS DE CERTIFICACIÓN
CONCEPTO:"...la persona física o jurídica que expide certificados electrónicos o presta otros servicios en relación con la firma electrónica”. (Art. 2.2 LFE)
Personas jurídicas privadas y también la Admón. (FNMT)=Renta.
Actividad de CertificaciónNo está sujeta a autorización previa y en régimen de libre competencia: no restricción prestadores de la UENo obstante, los prestadores que quieran pueden “acreditarse”
Procedimiento totalmente voluntario (Art. 26 LFE).
El procedimiento trata de favorecer los sellos de calidad
La LFE ha eliminado el Registro de prestadores estableciendo un mero servicio de difusión de información sobre prestadores.
Conviven prestadores “acreditados” con “no acreditados”
10
19
Servicio de información de prestadores (Mº. de Industria)
20
PRESTADORES DE SERVICIOS DE CERTIFICACIÓN
Obligaciones del prestador (Art. 18)
c) Garantizar la disponibilidad de un servicio de consulta sobre la vigencia de los certificados rápido y seguro.
a) No almacenar ni copiar los datos de creación de firma de la persona a la que hayan prestado sus servicios.b) Ofrecer determinada información a los solicitantes: derechos, condiciones de uso, certificación de acreditación...
OBLIG. PRESTADOR CERTIFICADOS RECONOCIDOS: Art. 20a) Garantizar que pueda determinarse con precisi ón la fecha y la hora en las que se expidi ó un certificado o se extinguió o suspendi ó su vigencia: Importancia en la transmisión de documentos y en las declaraciones de voluntad/ “Sello temporal digital”.b) Emplear sistemas y productos fiables que garanticen la seguridad técnica, así como personal cualificado.c) Tomar medidas contra la falsificación de certificados: Falsedad documental (Art. 395 CP).d) Conservar registrada toda la información y documentaci ón relativa a un certificado reconocido: Valor a efectos de prueba.
11
21
PRESTADORES DE SERVICIOS DE CERTIFICACIÓN
Cese de la actividadComunicación a los firmantes y al Ministerio de Ciencia y Tecnología. Plazo: 2 meses antes del cese.Podrá ceder la gestión de los certificados válidos a otro prestador con consentimiento de los titulares.
Responsabilidad de los prestadoresExigible a todo tipo de prestador de certificación. Art. 22 LFE.Prestador responde de los daños causados “a cualquier persona”.
Resp. Contractual o extracontractual.
Titular del certificado (quien tiene la clave privada)Usuario del certificado (quien usa la clave pública)Cualquier tercero (a quienes haya suplantado el titular del cert.)
La carga de la prueba de la diligencia debida recae sobre el prestador
22
PRESTADORES DE SERVICIOS DE CERTIFICACIÓN
Exención de Responsabilidad de los prestadores
a) Los datos que deban consignarse en el certificado y que le haya facilitado el firmante no sean veraces.
b) El firmante no notifique modificaciones importantes.
c) El firmante no haya conservado con la diligencia debida los datos de creación de firma.
d) El firmante no haya solicitado la suspensión o revocación del certificado, si tenía dudas razonables sobre la confidencialidad de su clave.
e) El firmante utiliza los datos de creación de firma una vez expirado el período de validez del certificado.
El prestador tampoco será responsable si el destinatario de los documentos firmados electrónicamente actúa de forma negligente
12
23
PRESTADORES DE SERVICIOS DE CERTIFICACIÓN
Supervisión y control de la Admón. PúblicaLa Admón. podrá controlar que el prestador cumple con la ley.
Los prestadores deberán entregar a la Admón. la información que ésta pueda solicitarles.
Infracciones y sanciones
Muy graves: expedir certificados reconocidos sin comprobar datos, incumplir obligaciones causando daño a terceros. 600000 €.
Graves: incumplir obligaciones sin causar daños a tercero, resistirse a la inspección. De 150000 € a 300000 €.Leves: incumplir obligaciones sin dar lugar a infracciones graves o muy graves. Hasta 30000 €.Sanciones graves y muy graves public. en el BOE; en sitio web del prestador y en sitio web del Ministerio. Medidas Prov.
24
DOCUMENTO NACIONAL DE IDENTIDAD ELECTRÓNICO
13
25
DOCUMENTO NACIONAL DE IDENTIDAD ELECTRÓNICO
DOS FUNCIONES:-Acreditará electrónicamente la identidad personal de su titular y, -Permitirá firmar electrónicamente documentos.
Todas la personas físicas o jurídicas, públicas o privadas, están obligadas a reconocerle eficacia.
INEROPERABILIDAD: La Admón. General del Estado empleará, en la medida de lo posible, sistemas que garanticen la compatibilidad de los instrumentos de firma electrónica incluidos en el DNI electrónico con los distintos dispositivos y productos de firma electrónica generalmente aceptados.
26
DOCUMENTO NACIONAL DE IDENTIDAD ELECTRÓNICO
El soporte físico en el que se viene pensando es una tarjeta de policarbonato, de dimensiones idénticas al DNI actual.
INFORMACIÓN:
a) Un certificado electrónico para autenticar la personalidad del ciudadano. b) Un certificado para firmar electrónicamente, con la misma validez jurídica que la firma manuscrita. c) Claves para su utilizaci ón. d) La fórmula de la huella digital en formato electrónico. e) La fotografía digitalizada. f) La imagen digitalizada de la firma manuscrita.
