FIRMA ELECTRÓNICA:Seguridad jurídica, prevención del

fraude y cumplimiento normativo

Madrid, 2009

2

Índice

Introducción a la firma electrónica:

Marco regulatorio.

Sentido de la firma manuscrita.

Funcionamiento de la Firma Electrónica.

Algunos elementos de la Firma Electrónica Reconocida.

Funciones de la Firma Electrónica Reconocida.

Diferencias firma manuscrita vs electrónica.

Beneficios legales de la Firma Electrónica Reconocida y de los Certificados Reconocidos:

Prevención del fraude.

Seguridad jurídica.

Cumplimiento normativo.

Recomendaciones legales a tener en cuenta en el uso de la firma electrónica o de certificados electrónicos

3

Marco Regulatorio

Directiva 1999/93/CE por la que se establece un marco común para la Firma Electrónica.Ley 59/2003 de Firma Electrónica (modificada por la Ley 56/2007 de 28 de diciembre).

------Otras normas que aceptan la firma electrónica u obligan a su uso:

Real Decreto 1553/2005, de 23 de diciembre, que regula el DNI electrónico (modificado por Real Decreto 1586/2009).Ley 56/2007, de 28 de diciembre, de Impulso de la Sociedad de la Información (LISI).Ley 11/2007, de 22 de julio, de Acceso Electrónico de los ciudadanos a los Servicios Públicos y Reglamento de Desarrollo (Real Decreto 1671/2009, de 6 de noviembre). Proyecto de Esquema Nacional de Interoperabilidad (política de firma electrónica y de certificados). Dicha política incluirá una lista de certificados admitidos y de confianza.Artículo 326 de la Ley 1/2000, de 7 de enero, Enjuiciamiento CivilLey 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y comercio electrónico.Normas de factura electrónica: Real Decreto 1496/2003, Orden 962/2007, Orden PRE/2971/2007, Ley 30/2007 y Resolución de 24 de octubre de 2007.

4

Naturaleza y sentido de la firma

Firma Manuscrita:

Inscripción manuscrita del propio nombre o de los apellidos.

Funciones

Identificativa: del autor del documento. No imprescindible que sea nominal ni legible.

Declarativa: de la conformidad con el documento. Voluntad de obligarse. Autenticación no totalmente fiable.

Probatoria: Permite identificar si el autor de la firma es efectivamente aquél que ha sido identificado como tal en el propio acto de la firma. Permite confirmar que un determinado documento fue puesto a disposición de una persona (recibí).

La firma esencialmente declara que el firmante ha asumido y se responsabiliza del contenido (autenticidad).

5

Tipos Legales de Firma Electrónica

Tres tipos generales de firma electrónica:Básica: “Firma electrónica es el conjunto de datos en forma electrónica, consignados junto a otros asociados con ellos, que pueden ser utilizados como medio de identificación del firmante”.

Avanzada: “Firma electrónica avanzada es la firma electrónica que permite identificar el firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control”.

Vinculación única al firmante y datos: cifrado.

Por medios que puede mantener bajo su exclusivo control: seguridad de la clave y de los dispositivos usados para su creación.

Detectar cualquier cambio ulterior del documento.

Reconocida: avanzada basada en un certificado reconocido + dispositivo seguro de creación de firma.

NEUTRALIDAD TECNOLÓGICA (FORMAL).

Ejemplos:

- Básica: contraseñas, tarjeta de coordenadas, claves de un único uso, etc.

- Avanzada: cifrado simétrico, criptografía asimétrica sin Dispositivo Seguro de Creación de Firma o sin certificado reconocido. ¿Código seguro de verificación?.

- Reconocida: la generada con DSCF, utilizando certificados reconocidos. Ejemplos: tarjetas criptográficas.

6

Como funciona la firma electrónica reconocida

El único tipo de firma electrónica que tiene la misma eficacia legal que la manuscrita es la firma electrónica reconocida. La firma electrónica avanzada no es equiparable a la manuscrita.Firma electrónica reconocida se basa en el uso de criptografía asimétrica.Criptografía: Algoritmos de cifrados que emplean claves alterando el contenido del documento.

Simétrica: una única clave privada.

Asimétrica: una clave privada para cifrar y una pública para descifrar. Surge la necesidad de los certificados públicos para vincular la clave pública con un firmante.

Deducción lógica: un documento firmado electrónicamente ha tenido que serlo por parte de quien tenga asignada la clave pública necesaria para validarlo. Requisitos para que sea válido el razonamiento:

Secreto de la clave privada tanto en el momento de la asignación como durante todo el tiempo de vigencia de certificado.

Imposibilidad de obtener la clave privada a través de la pública ni de la firma electrónica.

Que los datos de creación de firma pueden ser protegidos fiablemente.

7

Como funciona la firma electrónica reconocida

Garantiza: identidad del firmante y origen de la comunicación, integridad y no repudio en origen.

La integridad, dos maneras: (i) Documento cifrado; y (ii) Mediante hash. El hash tiene que garantizar:

Que el resumen es único. Ningún otro texto puede dar lugar a un mismo resumen.

Longitud fija.

Es unidireccional. No se puede obtener el texto original a partir del hash.

La firma electrónica basada en hash (más habitual) no garantiza la confidencialidad (aunque puede hacerse por otros medios). Es necesario que el receptor del documento obtenga el documento en claro y obtenga el hash.

Firma Electrónica Reconocida: Equivalente funcional de la firma manuscrita.

8

Certificados Reconocidos

Los expedidos por un prestador de servicios de certificación que cumpla los requisitos establecidos en cuanto a la comprobación de la identidad y demás circunstancias de los solicitantes y a la fiabilidad y garantías de los servicios.Incluye:

La indicación de que se expiden como tales;

Identidad del PSC.

Firma avanzada del PSC.

Identificación del firmante con nombre y apellidos o razón social + cif o nif.

Clave pública.

Vigencia.

Límites materiales y cuantitativos.

Atributos: pertenencia a empresa, colegio profesional, representación voluntaria o legal.

9

Obligaciones del PSC

Previas a la expedición:

Comprobación de la identidad mediante personación. No es necesario personación si: (i) DNI electrónico u otro certificado reconocido; y (ii) solicitud con firma legitimada notarialmente. Comprobación de la personalidad jurídica y de las facultades de representación tanto en certificados de persona jurídica como en los de persona física con representación.

Verificar exactitud de los datos.

Asegurarse que el firmante está en posesión de los datos de creación de firma (clave privada).

Garantizar la complementariedad de las claves.

Durante el servicio:

No copiar clave privada.

Facilitar información y prácticas de certificación.

Disponibilidad de RCLs mediante un servicio de consulta de rápido y seguro.

10

Obligaciones del PSC

En el caso de certificados reconocidos:

Garantías de fiabilidad.

Fechado fiable en la expedición y en el momento de extinción de su vigencia.

Conservación de información relativa a certificados seguros durante 15 años.

Si crea los datos de creación de firma, garantizar la confidencialidad.

Seguro de responsabilidad civil por 3 Millones de euros. El incumplimiento de las obligaciones cuando produzca daños graves, es infracción muy grave (excepto en la garantía):Si son las obligaciones previas, solo cuando afecte a la mayoría de los certificados.Sanciones:

Muy graves: Entre 150.001 y 600.000 euros. Además, dos infracciones muy graves puede suponer la prohibición de actuar en España.

Graves: Multa de 30.001 a 150.000 euros.

Leves: Hasta 30.000 euros.

11

Dispositivos Seguros de Creación de Firma

Directiva 1999/93/CE:

Anexo III establece los requisitos que deben cumplir los DSCF.

Artículo 24 de la LFE. Un DSCF es un programa que sirve para aplicar los datos de creación de firma y que garantiza al menos:

Que la clave privada puede producirse solo una vez y se asegura razonablemente el secreto.

Seguridad razonable que impide que la clave privada sea derivada de la pública o de la firma.

Datos de creación de firma pueden ser protegidos de forma fiable contra terceros.

El dispositivo no impide que se muestre al firmante el documento.

Decisión de la Comisión de Julio de 2003:

CEN y ETSI desarrollaron normas para productos de firma electrónica.

CEN Workshop Agreement 14169 de marzo de 2002.

Existe la posibilidad de certificación voluntaria de DSCF.

12

Tipos de certificados electrónicos

Por la identidad del titular:

Persona física.

Sin atributos: DNI, otros de persona física.

Con atributos: De pertenencia a empresa u organización, de representación, etc.

Persona jurídica.

Por las garantías adoptadas en su emisión:

Reconocido.

No reconocido.

Por el tipo de dispositivo en que se han generado y se conservan las claves:

Basado en dispositivo seguro creación de firma.

No basado en dispositivo seguro de creación de firma.

13

Firma de Persona Jurídica

Novedad del derecho español.

Sello electrónico en el caso de órgano o entidad de derecho público (Ley 11/2007).

Lo puede solicitar el representante legal o voluntario. El solicitante y custodio, puede efectuar formalmente operaciones extralimitándose de sus poderes.

“Los certificados electrónicos de personas jurídicas no podrán afectar al régimen de representación orgánica o voluntaria regulado por la legislación civil o mercantil aplicable a cada persona jurídica”.

14

Firma de Persona Jurídica

Responsabilidad en la custodia de las claves. Al no ser un certificado personal, la confidencialidad de los datos de creación de firma no está garantizada.

Se abre una nueva vía para la actuación empresarial al margen de los órganos de representación de la sociedad, con plena apariencia de validez frente a terceros y sin que se conozca necesariamente al responsable de haber llevado a cabo dichas actuaciones.

“Se entenderán hechos por la persona jurídica los actos o contratos en los que su firma se hubiera empleado dentro de los límites previstos en el apartado anterior”.

“Si la firma se utiliza transgrediendo los límites mencionados, la persona jurídica quedará vinculada frente a terceros solo si los asume como propios o se hubiera celebrado en su interés. En otro caso, los efectos recaerán sobre la persona física responsable de la custodia de los datos de creación de firma, que podrá repetir, en su caso, contra quien los hubiera utilizado.”.

Limitaciones implícitas: Solo podrán ser utilizados cuando se admita en las relaciones con AAPP o en la contratación de bienes o servicios que sean propios o concernientes a su giro o tráfico ordinario.

15

Diferencias entre firma manuscrita y electrónica reconocida

Manuscrita

No está vinculada con el contenido del documento.

No necesariamente identificativa.

Pericial caligráfica para comprobar su autenticidad.

No garantiza la no alterabilidad del documento.

Es personal.

Electrónica Reconocida

Vinculada con el firmante y el documento de manera única.

Identificativa del firmante.

Permite garantizar la autenticidad sin necesidad de pericial.

Garantiza que el documento no ha sido modificado desde el momento en que fue firmado.

Puede ser de persona jurídica.

16

Beneficios de la firma electrónica

Prevención del fraude:

Fraude aprovecha mecanismos de identificación deficientes.

Solución, una autenticación robusta de los usuarios. Varios sistemas:

De un único factor. Normalmente algo que conozco: contraseña.

De dos factores: Algo que conozco + algo que tengo. Algo que soy + algo que tengo (tarjetas biométricas).

De tres factores: Algo que sé + algo que tengo + algo que soy.

Autenticación robusta mediante certificados reconocidos y dispositivos seguros de creación de firma.

17

Beneficios de la firma electrónica

Seguridad Jurídica: Valor probatorio en documentos privados y transacciones electrónicas a distancia.Cumplimiento normativo:

Medios de Interlocución Telemática.

Factura electrónica.

Normas que obliguen a la identificación o comprobación de algún dato:

Identidad:

Normas de Prevención del Blanqueo de capitales.

Verificación de la identidad en la recogida de datos personales.

Servicios públicos.

Mayoría de edad: redes sociales, juego, protección del menor frente a contenidos prohibidos, etc.

Dinero electrónico.

Digitalización certificada de documentos.

Presentación de documentos ante la administración.

18

Prevención del Fraude

Problema fundamental en redes abiertas la identificación del origen de la comunicación.

¿Es necesario identificar al cliente para la validez del contrato?. No, salvo sectores regulados.

Necesidad fundamental viene dada por el diferimiento de las prestaciones. Servicio frente al pago.

Derechos de los consumidores para evitar perjuicios del fraude.

Art. 106 del TRCYU: “Cuando el importe de una compra hubiera sido cargado fraudulenta o indebidamente utilizando el número de una tarjeta de pago, el consumidor podrá exigir la inmediata anulación del cargo. En tal caso, las correspondientes anotaciones de adeudo y reabono en las cuenta del empresario y del consumidor y usuario titular de la tarjeta se efectuarán a la mayor brevedad”.

Artículo 12 de la Ley 22/2007 de Comercialización de Servicios Financieros a distancia. Misma redacción cambiando empresario por proveedor.

Art. 30 de la Ley 16/2009, de 14 de noviembre, de Servicios de Pago:

Cuando un usuario de servicios de pago niegue haber autorizado una operación de pago ya ejecutada o alegue que ésta se ejecutó de manera incorrecta, corresponderá a su proveedor de servicios de pago demostrar que la operación de pago fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico o cualquier otra deficiencia.

2. A los efectos de lo establecido en el apartado anterior, el registro por el proveedor de servicios de la utilización del instrumento de pago no bastará, necesariamente, para demostrar que la operación de pago fue autorizada por el ordenante, ni que éste actuó de manera fraudulenta o incumplió deliberadamente o por negligencia grave una o varias de sus obligaciones con arreglo al artículo 27.

19

Prevención del Fraude

Fraude aprovecha:

Sistemas de autenticación deficientes:

Medios de pago poco seguros.

Vulnerabilidades de los sistemas del usuario: equipos contaminados que permiten robar las credenciales.

Ingenuidad de la víctima.

Mayores riesgos en la contratación electrónica directa.

Distintas responsabilidades: emisor tarjeta, comerciante, cliente.

Sistemas de autenticación basados en certificados reconocidos, reducen el fraude. Si además se emplean dispositivos seguros de creación de firma se reduce a la mínima expresión. Puede combinarse con otros medios (claves de un único uso, etc).

20

Prevención del fraude

Jurisprudencia variada:Estimatorias de las reclamaciones de los clientes por operaciones fraudulentas con medios de pago:

Audiencia Provincial de Asturias de 20 de febrero de 2009 (se estimada la demanda del cliente)

“(…) la conducta de la entidad coloca al usuario en una situación de inferioridad y de indefensión frente a aquella que es la que le ha ofrecido el sistema a su cliente y ha elegido los mecanismos de seguridad que ha estimado mas convenientes. “

“contratación a través de Internet o banca telefónica es un servicio que presta el Banco para captar clientes y ahorrarse personal, por lo que si se aprovecha de estas ventajas debe correr con los inconvenientes que no son consecuencia de una conducta imprudente de sus clientes sino de los problemas de seguridad que se dan en la contratación electrónica o a través de Internet de acuerdo con el principio jurídico "cuius comoda, eius incomoda" que ha aplicado el Tribunal Supremo en las sentencias de 17-4-90, 19-12-95, 6-6-97 y 5-5-98 entre otras ” .

A quien corresponde las ventajas, corresponde los inconvenientes.”

Sentencia de 31 de marzo de 2008, Audiencia Provincial de Madrid.

Condena al banco a la devolución de lo defraudado y anula la cláusula del contrato que persigue una aceptación tácita de los adeudos.

No se prueba la “negligencia” del cliente en la custodia de sus claves.

Sentencia de 25 de junio de 2008 de Castellón:

Nulidad de cláusulas que desplazan la responsabilidad al consumidor.

Aunque es de las más desarrolladas en torno a la firma electrónica, se equivoca al: decir que la firma electrónica evitar el repudio en destino; y (ii) atribuye a la firma electrónica avanzada el mismo valor que la manuscrita:

“Así las cosas, la Ley atribuye a la avanzada o reconocida respecto de los datos consignados en forma electrónica el mismo valor que la firma manuscrita en relación con los consignados en papel “

Luego además considera que la existencia de contraseñas es firma electrónica, ¿avanzada?.

Se estima la demanda.

21

Prevención del fraude

Concurrencia de culpas:

Sentencia de 10 de marzo de 2009. Juzgado de Primera Instancia de Valladolid, núm. 9:

Ataque de Phising con venta de acciones y disposición de dinero.

“(…) entidad demandada se opone a la demanda y alega que las extracciones de dinero se produjeron por culpa del actor ya que el sistema no tuvo fallo alguno, sino que fue el actor el que puso en conocimiento de terceros las claves de acceso a sus cuentas ,lo que dio lugar al problema que aquí nos ocupa.”

“De todo lo anterior se deduce que existió en la actora una actitud negligente pues proporcionó datos a terceros sin atender a las más elementales normas de seguridad de la banca on line ,puesto que la actora no es quien busca el portal de Banco de Santander ,sino que recibe un correo electrónico en el que le invita a entrar en una página ,lo cual hace ,y una vez dentro, entrega las claves de seguridad sin cerciorarse que está en la página correcta “

Concurre culpa del banco por no haber sido diligente. Responsabilidad al 50%.

Denegatoria:

Sentencia de 30 de Marzo de 2007. Juzgado de primera instancia de Murcia. Se desestima la demanda del cliente por falta de prueba. El cliente lo atribuye a phising pero no aporta dato alguno.

22

Prevención del fraude

Conclusiones

Sistemas robustos de autenticación evitan y reducen el fraude.

Las cláusulas que intentan trasladar a los clientes los riesgos operativos suelen ser nulas.

Debilidad del comerciante frente al proveedor del medio de pago que normalmente delegará la identificación en éste.

Algunos medios de pagos basados en tarjetas están pensados para su uso en cajeros (PIN) o, secundariamente, de manera presencial en comercios. La seguridad de estos medios como sistemas de autenticación es deficiente sino se garantiza una posesión efectiva en el comercio electrónico.

Los certificados reconocidos están admitidos en la LISI como medio suficientemente robusto para identificar al cliente.

Se admite como medio de identificación del ciudadano en el Acceso Electrónico a los Servicios Públicos.

23

Seguridad jurídica

Artículo 3 de la Ley de Firma Electrónica:

“La firma electrónica reconocida tendrá respecto de los datos consignados en forma electrónica el mismo valor que la firma manuscrita en relación con los consignados en papel”.

“Se considera documento electrónico la información de cualquier naturaleza en forma electrónica archivada en un soporte electrónico según un formato determinado y susceptible de tratamiento diferenciado”.

El soporte en que se hallen los datos firmados electrónicamente será admisible como prueba documental en juicio.

Art. 3.10: Cuando una firma electrónica se utilice conforme a las condiciones acordadas por las partes para relacionarse entre sí, se tendrá en cuenta lo estipulado entre ellas.

Novedad del legislador español. Sería de dudosa validez en caso de consumidores o contratos de adhesión.

24

Seguridad Jurídica

Verificaciones en caso de impugnación de documentos electrónicos:Documentos con Firma electrónica reconocida:

Si se impugna, el aportante debe probar:Certificado Reconocido.

Dispositivo Seguro de Creación de Firma.

Si la comprobación resulta positiva: plena prueba. El que lo hubiera impugnado cargará con las costas. Si existe temeridad puede imponerse multa de 60 a 120 euros.

La LFE no dice que ocurre sino queda demostrada la autenticidad del documento.

Documentos con Firma electrónica avanzada. Si se impugnan estos:

Remisión a las reglas generales de proposición de prueba en caso de impugnación de documentos en papel.

El que lo haya presentado puede solicitar cualquier medio de prueba útil que incida en la seguridad o fiabilidad de la firma electrónica.

(i) Si resulta auténtico, plena prueba. El que lo hubiera impugnado cargará con las costas. Si existe temeridad puede imponerse multa de 60 a 120 euros.

(ii) Si de la prueba practicada no puede deducirse su autenticidad se someterá a las reglas de la sana crítica.

Caducidad del certificado: Las normas de firma electrónica no obligan a que los sistemas introduzcan una marca de tiempo fiable en el momento de la firma.

25

Cumplimiento Normativo

Medios de Interlocución Telemática:

Empresas que presten servicios dirigido al público en general de especial trascendencia económica.

Obligatorio disponer de medios de interlocución telemática basados en certificados electrónicos reconocidos de firma electrónica.

4 ámbitos:

Contratos electrónicos: celebración, modificación, finalización.

Consulta de datos: historial de facturación de 3 años así como el contrato suscrito y sus CCGG.

Presentación de quejas, incidencias, sugerencias y reclamaciones. Necesidad de constancia para el consumidor.

Derechos ARCO protección de datos.

Especial trascendencia económica:

> 100 trabajadores o volumen de negocio > a 6.010.121,04 euros; y

Alguno de los sectores identificados: telecomunicaciones, financiero, suministro de agua, gas o electricidad, agencias de viaje, transporte por carretera y comercio al por menor.

Se prevé la posibilidad de que se amplíe a otras sectores de actividad.

26

Cumplimiento Normativo

Factura electrónica:Tres sistemas: EDI + Firma Electrónica Reconocida. Más otros sistemas que garanticen autenticidad de origen e integridad y que sean autorizados.Iniciativa del expedidor, necesidad de obtener conformidad del destinatario. Consentimiento expreso. Revocación en cualquier momento.Expedición por terceros:

Firma electrónica del tercero o por destinatario.

Responsabilidad del obligado a expedir.

Procedimiento de aceptación de cada una de las facturas.

Facturación obligatoria: DF9ª de la Ley 30/2007.

1 de mayo de 2009 venció plazo máximo de 12 meses.

Cuando se apruebe desarrollo: 3 o 18 meses después de la entrada en vigor de dicha norma será obligatorio.

Orden 2971/2007: aprueba facturae y regula la forma en que las AAGG mas forma en que da el consentimiento.

Resolución de 24 de octubre de 2007. Digitalización de facturas.Impresión de facturas electrónicas.Conservación electrónica: Acceso completo y sin demora. Acceso online

27

Algunos usos de la firma electrónica

Constitución de Sociedades Limitada Nueva Empresa.Dinero electrónico.Firma de documentos electrónicos con pleno prueba de las declaraciones de voluntad contenidas.Expedición de facturas.Procedimientos Administrativos por medios telemáticos.Medios de Interlocución Telemática.Depósito de cuentas anuales.Presentación de tributos.Boletines Oficiales.Perfil del Contratante.Concursos públicos.Ofertas públicas de contratación electrónica entre empresas.

28

Recomendaciones

Para el firmante:

Solicitar certificados específicos para ciertas funciones: factura electrónica por ejemplo.

Utilizar formatos de firma que incorporen información de la vigencia en la propia firma electrónica. En otro caso, garantizar que el PSC ofrece al destinatario servicio de consulta gratuito y en modo OCSP.

Añadir funciones de sellado de tiempo.

Asignar certificados reconocidos que tengan atributos.

En caso de outsourcing, garantizar que existe autorización de cada documento que se firma. Imperativo en el caso de la factura.

Definir política de uso de certificados electrónicos dentro de nuestra organización así como los procedimientos de comunicación de las revocaciones que pueden darse.

29

Recomendaciones

Para el receptor de documentos electrónicos:Exigir al firmante estándares abiertos y accesibles. XADES, CADES, etc. o los que resulten interoperables con nuestros sistemas.

Exigir formatos y el uso de certificados reconocidos y basados en DSCF. Verificar que los certificados empleados se basan en DSCF.

Vigencia de los certificados:

Exigir Certificados emitidos por PSC que den servicio de validación gratuito, con sello de tiempo de la comprobación efectuada.

Exigir al firmante formatos de factura (XAdES-X-L) por ejemplo que incorpore la propia información de la vigencia del certificado en la firma.

Exigir que los certificados empleados incluyan un campo con la URL donde se puede hacer la consulta de la vigencia.

Garantizar que el certificado incluye información relativa a la vigencia o la URL donde se puede comprobar.

En caso de outsourcing de validación exigir al proveedor garantías de que se han comprobado la vigencia de los certificados empleados.

Elaboración de una Política de Recepción de Documentos Firmados que sean interoperables para la empresa.

30

Muchas gracias por su atención

luis.maria.latasa@garrigues.com