¿Creías que tus firmas electrónicas eran válidas legalmente? La importancia de utilizar
certificados cualificados creados con dispositivo seguros de creación de firma (QSCD).
Language: es
La mayor parte de los profesionales TIC que trabajamos en áreas de
administración electrónica estamos acostumbrados a generar expedientes
electrónicos que, como valor probatorio, contienen las firmas electrónicas
de los ciudadanos que intervienen en los procedimientos, los sellos electrónicos
de los órganos gestores y, en ocasiones, las firmas electrónicas de los
funcionarios que gestionan dichos expedientes.
La mayor parte de estos certificados están emitidos por organismos
públicos, que otorgan certificados que permiten la firma electrónica tanto
a los ciudadanos que lo solicitan como a los empleados públicos, siendo bastante
habitual que cada funcionario tenga una tarjeta criptográfica que contenga su
certificado de empleado público, y que se realicen firmas electrónicas
avanzadas.
Estos organismos certificadores que emiten certificados digitales cualificados se
encuentran dentro de los listados de los prestadores de servicios electrónicos de
confianza cualificados que exige Reglamento de la UE n.º 910/2014 (Reglamento
eIDAS) y que publica el estado español en la página
https://sede.serviciosmin.gob.es/es-es/firmaelectronica/paginas/Prestadores-de-servicios-electronicos-de-confianza.aspx
</p>
<p>Todo este ecosistema se apoya principalmente en los
servicios de @firma, mantenidos por la Secretaría general de
Administración Digital, que actúan como garante de que las firmas
electrónicas son correctas, y no están revocadas.
Entonces, si la administración pública española realiza firmas
electrónicas avanzadas utilizando certificados digitales emitidos por prestadores
de servicios electrónicos de confianza que emiten certificados cualificados,
¿cuál es el fallo?
El problema es que no es lo mismo tener una firma electrónica avanzada realizada
con un certificado digital cualificado que tener una firma digital cualificada. La
diferencia entre una y otra es que la firma electrónica cualificada es una firma
electrónica avanzada realizada con un certificado cualificado emitido con un
dispositivo seguro de creación de firma (QSCD). El Reglamento eIDAS exige firmas
electrónicas cualificadas para las transacciones electrónicas en el
mercado interior europeo. Estas firmas cualificadas son las únicas que pueden
considerarse como un equivalente digital a las firmas manuscritas y que por consiguiente
tienen su mismo valor legal, con lo que sólo tendremos firmas cualificadas cuando
hayan sido generadas por un dispositivo seguro QSCD.
En la ponencia se pone de manifiesto que, con la excepción de aquellos organismos
que firmen con los certificados del DNI electrónico, que sí son QSCD, la
mayor parte de las firmas electrónicas de la administración no pueden
considerarse como firmas electrónicas cualificadas.
Jorge Navas
Licenciado en informática por la Universidad Politécnica de
Madrid, Master en Tecnologías de la información por la
Universidad de Edimburgo. Master en Gobernanza TIC por la Universidad Libre
de Bruselas. Experiencia en el sector privado (Grupo SAGEM,
Telefónica Móviles, Terra) y en el público
(Dirección General de Tráfico, Ministerio del Interior,
Comisión Europea, Ministerio de Hacienda). Inspector de servicios
habilitado de la Administración General del Estado. Especialidad en
seguridad, auditoría de sistemas de información y
protección de datos. Certificaciones auditor líder ISO 27001,
CISA, CISM y Hacking ético.