Niveles de firma electrónica: diferencias entre sencilla, avanzada y cualificada.

Cuando se trata de firmar documentos importantes, es indispensable entender las diferentes opciones de firma electrónica. Existen diferentes niveles de firma electrónica más o menos complejos y seguros. Maslow no dirá la contrario, parece natural dirigirse hacia el tipo de firma que presenta el nivel más alto de seguridad. Las exigencias jurídicas para las firmas electrónicas varían según el tipo de documento y el nivel de seguridad demandado. En Francia, el Référentiel Général de Sécurité (RGS) es el organismo encargado de establecer las normas de seguridad para las firmas electrónicas.

El reglamento europeo sobre la identificación electrónica y los servicios de confianza para las transacciones electrónicas (llamado eIDAS) define tres niveles de firma electrónica:

• la firma sencilla*
• la firma avanzada
• la firma cualificada

*La firma “sencilla” es un término vernáculo que reagrupa el conjunto de sistemas de firma electrónica que no tienen los niveles avanzados o cualificados. Aunque se utilice por la gran mayoría de proveedores de soluciones de firma electrónica, el reglamento eIDAS no utiliza esta apelación concreta. Para simplificar la comprensión de este artículo, utilizaremos la expresión “firma sencilla” para identificar el nivel de firma electrónica.

Según el reglamento eIDAS una firma electrónica corresponde a “datos bajo el formato electrónico que se unen o asocian lógicamente a otros datos bajo formato electrónico y que el signatario utiliza para firmar”.

Idealmente, la firma electrónica debe implicar:

• el respeto de las normas de firma ETSI (Instituto Europeo de Normas de Telecomunicaciones) y del reglamento eIDAS bajo la identificación electrónica y los servicios de confianza de la Unión Europea.
• el uso de un certificado electrónico
• un sistema de verificación de la identidad del signatario
• la posibilidad de probar que el documento no ha sido modificado después de la firma.

Se aconseja realizar firmas electrónicas por medio de una solución creada por un tercero de confianza y una autoridad de certificación reconocida. Puedes encontrar la lista de las autoridades de certificación cualificadas europeas en la página web de la Comisión Europea.

La diferencia entre los tres tipos de firma concierne principalmente el nivel de seguridad asociado a cada uno de los criterios anteriormente citados y a las etapas de validación de la identidad del signatario, que podrán ser más o menos exhaustivas. La fuerza de la firma reside en el grado de confianza que aporta a la identidad de la persona que ha firmado y en la prueba de que el documento firmado es el que se presenta.

Entonces, ¿es necesario imponerse e imponer a tus interlocutores o clientes un sistema que necesite múltiples etapas cuando una firma sencilla o avanzada puede presentar por si mismo un nivel de validez y seguridad adaptada?

Para ayudarte a encontrar la solución más adaptada, vamos a explicar las diferencias entre los tres niveles de firma electrónica que existen y su utilidad, que será evidente en función del tipo de contenido que se deba firmar.

La firma electrónica sencilla es actualmente el procedimiento más utilizado. Hoy en día, la mayoría de firmas electrónicas realizadas en el mercado son las llamadas “sencillas”, ya que son las más adaptadas y favorecen un uso rápido y fluido. La firma electrónica sencilla corresponde al primer nivel de seguridad y reconocimiento legal de la firma de un documento.

No existe una lista establecida de las exigencias unidas a este tipo de firma. Así que, en solo dos clics y sin proceso concreto de verificación de identidad o de consentimiento, puedes hacer firmar un documento. El signatario podría sencillamente negar que ha firmado. Sería como una firma escaneada o una firma electrónica básica como la que haces cuando el mensajero te entrega un paquete, se conocen como firmas sencillas.

Aunque el proceso de firma electrónica sencilla se puede reforzar y adquirir un valor legal más importante si añadimos una etapa de autentificación como hace Yousign por medio de un código SMS recibido por los signatarios y necesario para la firma del documento.

Del mismo modo, aunque no es obligatorio compilar un archivo de pruebas en esta forma de firma, es evidente que su creación y almacenamiento, así como el número y la calidad de las pruebas que serán reunidas en este fichero, aportarán un nivel de credibilidad muy superior en caso de contestación del contrato. Este archivo de pruebas puede estar constituido de elementos como la dirección de correo electrónico del signatario, su número de teléfono, dirección IP del ordenador utilizado para firmar el documento… El objetivo de este archivo de pruebas es poder trazar paso a paso las diferentes etapas de la transacción.

Incluso en el caso de la firma sencilla, Yousign crea un archivo de pruebas datado para cada procedimiento conteniendo un conjunto de huellas informáticas que se conservarán durante 10 años en Arkhineo, un proveedor de confianza certificado a nivel europeo.

Actos corrientes o comportando riesgos jurídicos o financieros limitados:

• Contratos de adhesión (contratos de seguros, mutuas, CGU/CGV…)
• Estado de entrada y salida de un alojamiento en alquiler
• Presupuestos
• Facturas
• Certificado de venta
• Contrato de proveedor
• Contrato de alquiler
• Operaciones de caja
• Mandato de transferencia SEPA
• Recibo de alquiler
• ...

La firma avanzada, más segura, se aconseja en el marco de transacciones financieras consecuentes o de firma de documentos que pueden representar retos jurídicos importantes.

Como hemos visto anteriormente, la definición de la firma electrónica sencilla es amplia y puede estar sujeta a interpretación. La firma electrónica avanzada debe responder a criterios de verificación de identidad más avanzados y dispone de niveles de seguridad superiores como está establecido en el reglamento eIDAS.

De este modo, la firma electrónica avanzada debe:

• estar unida a su signatario de forma inequívoca (de manera única y clara)
• permitir identificar formalmente al signatario
• ser creada por medios bajo el control exclusivo del signatario como su teléfono u ordenador personal
• garantizar que el acto al cual está unida no podrá ser modificado.

Estos elementos se pueden traducir por sistemas como la descarga y verificación del documento de identidad del signatario y su incorporación al archivo de pruebas, como propone Yousign. Un refuerzo de la prueba de consentimiento del signatario, como incluir una casilla a marcar atestando la buena comprensión del documento o incluso un texto que se deba copiar, demostrarán la voluntad del signatario de firmar dicho documento, en caso de contestación. El conjunto de estos sistemas de verificación de identidad y pruebas de consentimiento se pueden acumular para reforzar la validez de la firma.

También existe un procedimiento de firma avanzada con certificado cualificado que necesita la verificación cara a cara (física o a distancia) de la identidad del signatario y que se puede utilizar en casos concretos como las respuestas a licitaciones de mercados públicos. Es la solución intermedia entre la firma avanzada y la firma cualificada.

¿Quieres saber más? Descubre nuestro artículo para saberlo todo sobre la firma electrónica avanzada.

• Compromiso de venta inmobiliaria

• Contrato de apertura de cuentas bancarias

• Contratos de créditos a nivel nacional

  • Contratos de créditos al consumo
  • Contrato de crédito inmobiliario

• Contratos en agencia o a distancia de ciertos productos bancarios y de seguros

  • Ahorros
  • Seguros de vida
  • Contratos de jubilación privada “Ley Madelin”
  • …

La firma electrónica cualificada es el nivel más alto de seguridad en cuestión de firma electrónica. Puede ser particularmente restrictiva y solo se utiliza en casos muy concretos. La firma electrónica cualificada ofrece el nivel más alto de fiabilidad.

Desde un punto de vista legal, la diferencia entre la firma electrónica cualificada y las firmas sencilla y avanzada es grande. Este nivel de firma electrónica tiene restricciones reglamentarias concretas definidas en materia de verificación de la identidad del signatario y de protección de la clave de firma. De hecho, su efecto jurídico es equivalente al de una firma manuscrita allí donde los otros niveles de firma electrónica disponen un valor probatorio. La firma electrónica cualificada está reconocida por reglamento en todos los Estados Miembros de la Unión Europea.

Saber todo sobre la FEC aquí.

Un procedimiento de firma electrónica es presumiblemente fiable cuando hace uso de una firma electrónica cualificada, emitida por una autoridad de certificación. Estas autoridades de certificación están controladas por la ANSSI (Agencia Nacional de Seguridad de los Sistemas de Información) en Francia y por instancias equivalentes en cada país europeo.

El procedimiento de firma cualificada retoma los mismos criterios de seguridad que la firma avanzada, pero necesita que la identidad del signatario sea validada de antemano y que la clave de seguridad esté en un dispositivo cualificado de creación de firma electrónica (QSCD). Si antes la verificación de la identidad necesitaba un encuentro físico, ahora se puede realizar a distancia si se respetan ciertas condiciones.

Se puede hacer con una reunión física durante la cual el signatario recibirá un medio de identificación material llamado “token” (tarjeta con chip, llave USB, badge…) que permite a la autoridad de certificación validar su identidad y que el signatario pueda firmar documentos tras ingresar un código PIN personal. Esta llave criptográfica debe ser muy fiable y estar protegida en un lugar seguro. Deberá haber sido estudiada y validada anteriormente por la ANSSI para la concesión de la cualificación del dispositivo. A menudo, una misma llave se puede utilizar durante 3 años. Una alternativa a la entrega de la llave criptográfica es la utilización de un HSM en la nube, permitiendo así realizar esta operación a distancia con una reunión acara a cara anterior para verificar la identidad y luego una autentificación de dos factores del signatario durante el proceso de firma.

Los actos auténticos: notarios, agentes judiciales, personal de los tribunales de comercio, comisarios tasadores… Para los actos notariados y otros documentos oficiales, se necesita una firma electrónica cualificada.

• Los actos de abogados: convenciones de concubinato, parejas de hecho, convenciones parentales, mandato de protección futura, estatutos de sociedades, contrato de cesión de fondo de comercio, contrato de cesión de partes societales o acciones…

• Los actos que tengan efectos fuera de Francia y dentro de la Unión Europea:

  • Contratos de suscripción de productos financieros europeos,
  • Operaciones bancarias intra-UE (transferencias bancarias, compra de valores inmobiliarios, operaciones bursátiles…)

• Los actos con los organismos públicos exigen niveles de confianza y de seguridad elevados:

  • La adjudicación de mercados públicos desmaterializados
  • Facturas enviadas en formato electrónico a la administración fiscal (la firma electrónica avanzada también está prevista por la CGI)

La elección del tipo de firma electrónica se debe hacer encontrando el equilibrio entre uso y seguridad. La instauración de un proceso de firma cualificado tiene sentido en ciertos casos específicos, ya que se trata de un procedimiento bastante complejo. Al contrario, el matiz es más suave entre la firma sencilla y la firma avanzada. Serás tú quien deberás posicionarte y estimar si la seguridad prima ante la experiencia del usuario o si un nivel de seguridad sencilla ya es suficiente.

Te aconsejamos la siguiente metodología de elección en tres etapas:

1. Análisis del contexto reglamentario y jurídico para identificar las limitaciones y riesgos que conllevan la utilización de la firma electrónica.
2. Análisis de otros tipos de riesgos y oportunidades: imagen de la empresa, impacto en términos de productividad, riesgos financieros…
3. Elección del nivel de la firma electrónica, conciliando el uso y las necesidades en cuestión de seguridad.

Actualmente, muchas empresas adoptan la firma electrónica para acelerar los procesos y reducir costes. Esta transformación digital permite reemplazar las firmas manuscritas y dar un valor jurídico a un escrito electrónico, similar al de una firma manuscrita en un documento de papel.