Firma electrónica cualificada: reglamento, definición, usos

El reglamento eIDAS (electronic IDentification And Trust Services) define tres niveles de firma electrónica:

• La firma electrónica sencilla
• La firma electrónica avanzada
• La firma electrónica cualificada

Estos tres niveles responden a diferentes criterios y tienen unas condiciones propias al nivel que representan.

Ya hemos tratado en detalle la firma electrónica sencilla y la firma electrónica avanzada, así que solo nos queda el último nivel. ¡Descubramos la firma electrónica cualificada!

La firma electrónica cualificada es el tercer y último nivel de firma electrónica, tal y como está definido por el reglamento europeo eIDAS. La firma electrónica cualificada es la única firma electrónica que puede jactarse de tener un efecto jurídico similar a la firma manuscrita, y en este caso en todos los Estados miembros de la Unión Europea.

La firma electrónica cualificada es el nivel de firma que ofrece un nivel de seguridad y autenticidad máximo. La firma electrónica cualificada se basa en exigencias de seguridad extremadamente elevadas, y posee las características propias de este nivel. No se debe confundir con la firma electrónica avanzada con certificado cualificado, que es una firma electrónica avanzada pero completada con un certificado específico que llamamos “certificado cualificado”.

En resumen, para que un proceso de firma electrónica tenga el mismo valor que una firma manuscrita, dicho proceso tiene que haber utilizado una firma electrónica cualificada y esta firma electrónica debe haber sido otorgada por una autoridad de certificaciones.

Son proveedores de firma electrónica auditados y controlados por la ANSSI (Agencia Nacional de Seguridad de los Sistemas de Información) en Francia. Naturalmente, cada país europeo tiene su propia entidad de audición y control, cuyo trabajo es proporcionar las certificaciones necesarias a los proveedores de firma electrónica.

La firma electrónica cualificada tiene los mismos criterios que la firma electrónica avanzada:

• Establecer un enlace inequívoco con el signatario: la relación entre la firma y el signatario debe ser clara y estar establecida con precisión, sin lugar a confusiones o ambigüedades.
• Permitir establecer formalmente la identidad del signatario
• Ser creada por medios que están bajo el control exclusivo del signatario (teléfono móvil, ordenador, portátil, etc.)
• Garantizar que no se podrá hacer ninguna modificación del acto que ha sido firmado. Naturalmente es esencial asegurar la integridad del documento después de la firma.

La diferencia es que la firma electrónica cualificada demanda que la clave de firma esté en lo que llamamos un dispositivo de creación de firma electrónica.

Vamos a evitar ser demasiado técnicos, ya que las siguientes informaciones serán ampliamente difundidas. A grandes líneas, un QSCD (Qualified electronic Signature Creation Device) es un dispositivo seguro que ha sido validado y aprobado para la creación de datos de firma. Este dispositivo QSCD es obligatorio en el marco de la firma electrónica cualificada.

Tras este paréntesis técnico, volvemos a la firma electrónica cualificada. Como hemos explicado anteriormente, la firma electrónica cualificada necesita una verificación de identidad previa a toda firma de documento. Hace tiempo, la verificación de identidad se tenía que hacer obligatoriamente en persona. Naturalmente, los diferentes confinamientos que hubo en Francia en 2020 han movido cartas en el asunto y se ha añadido la verificación a distancia.

El objetivo último de la verificación de la identidad es asegurarse que el signatario designado para la firma electrónica del contrato es la persona que está a punto de firmar. La verificación de identidad a distancia implica algunos riesgos adicionales. Estos riesgos son inherentes a la naturaleza misma de la distancia: el riesgo de deepfakes ha aumentado al igual que el riesgo de tentativas de usurpación de identidad en masa, en concreto con la utilización de máscaras, por ejemplo.

Para contrarrestar estos riesgos, la ANSSI ha trabajado en un sistema de recomendaciones y reglas que se han compilado bajo la referencia PVID (Proveedores de Verificación de Identidad a Distancia) y que, para resumir, clasifica las medidas de reducción de fraude implementadas por los proveedores según dos niveles: substancial y elevado.

En el marco del eIDAS y de la firma electrónica cualificada, esta referencia permitirá la cualificación del proceso de verificación de identidad a título de reglamento europeo para todos los servicios de confianza.

Viendo los sacrificios de practicidad que habría que hacer, la firma electrónica cualificada se reserva para documentos oficiales muy precisos y que necesitan absolutamente el nivel de seguridad más alto. Estos documentos incluyen:

• Actos legales o de abogados: convenciones de convivencia, convenciones parentales, mandato de protección futura, estatutos societales, etc.
• Actos que tengan efecto fuera de las fronteras europeas
• Licitaciones de mercados públicos
• …

En concreto, ¿cómo funciona un proceso de firma electrónica cualificada con verificación de identidad a distancia?

Una vez que el signatario ha recibido el correo electrónico y ha entrado en la plataforma de firma electrónica, el proveedor de firma electrónica le pide verificar su identidad escaneando un código QR. Luego, los pasos a seguir aparecen directamente en el teléfono y se dividen en varias etapas, que pueden ser diferentes en función del proveedor de firma electrónica.

• El signatario hace una foto del anverso y reverso de su documento de identidad, prestando especial atención a mostrar bien el holograma.
• El signatario se hace un video selfie siguiendo las indicaciones de inclinación de la cabeza, que aparecerán en la pantalla.
• Puede que, durante el video, algunos proveedores de firma electrónica te pidan decir algunas palabras al azar con el objetivo de limitar el riesgo de usurpación de identidad.
• El usuario almacena entonces su identidad en una caja fuerte digital protegida por una contraseña.
• Finalmente, puede que el usuario deba introducir un código OTP recibido por SMS para confirmar el acto de la firma electrónica.

El principal beneficio que una empresa puede obtener al implantar un proceso de firma electrónica cualificada es, sin lugar a dudas, la seguridad que aporta. El nivel de seguridad de la firma electrónica cualificada es el más alto posible.

En consecuencia, su interés reside en los mecanismos utilizados para asegurar que la identidad del signatario sea conforme y que la persona no sea culpable de usurpación de identidad.

En cambio, este último nivel de firma electrónica es también el menos práctico y es más complicado a implementar. Siempre hay que tener en cuenta que, cuando se trata de una firma electrónica, la gran mayoría de los documentos que firmamos en nuestro día a día (contratos de trabajo, peticiones de compra, facturas…) no necesitan la firma electrónica cualificada.

Como siempre, la elección no siempre se decanta del lado de la mayor seguridad. La elección correcta de firma electrónica se debe hacer en función de los documentos que se tienen que firmar, y no sistemáticamente elegir el nivel de seguridad más elevado.

Una firma electrónica cualificada para firmar un contrato de alquiler es excesiva. Hay que recordar que el objetivo de la firma electrónica es, principalmente, ahorrar tiempo a los signatarios y a los demandantes de firma. Hay que encontrar el equilibrio entre la seguridad y el uso.

La firma electrónica cualificada es necesaria para documento que requieren un nivel de seguridad cierto, o en aquellos en los que se cuestiona una suma de dinero, como las licitaciones de mercado público, por ejemplo. La sutileza de estas firmas está en encontrar el buen equilibrio entre ventajas e inconvenientes.

De hecho, no tiene mucho sentido confrontar estos tres niveles de firma ya que, en realidad, tu elección entre los tres se debe hacer en función del documento a firmar.

En cambio, hay que pensar que la mayor parte de los documentos que firmamos solo necesitan una firma electrónica sencilla.

¡Es muy difícil responder a esta pregunta!

Te puedes imaginar que el coste de la firma electrónica cualificada no está establecido en la ley, ni mucho menos en el reglamento eIDAS.

No existe, por lo tanto, una respuesta definitiva para esta pregunta. En realidad, el coste de la firma electrónica cualificada depende del proveedor de firma electrónica que vayas a elegir.

Podemos imaginar que la firma electrónica cualificada es posiblemente la más cara de las firmas electrónica, ya que ofrece el nivel de seguridad más alto y que conlleva mecanismos de verificación de la identidad a distancia bastante elevados.

En cambio, no hay que olvidar que la firma electrónica, ya sea sencilla, avanzada o cualificada, te permite ahorrar todos los gastos de impresión; ya que reduces considerablemente las impresiones, ahorras en papel, tinta, tóner y haces un gesto importante para el medio ambiente.

De esta forma, el equilibrio entre el posible coste de una firma electrónica y las ganancias una vez que la firma electrónica está implementada se decanta claramente por este procedimiento.