Situación actualizada a noviembre de 2022 del proceso legislativo para reformar el Reglamento EIDAS

1. La Comisión adoptó la propuesta de Reglamento sobre la identidad digital europea (identificación electrónica europea) el 3 de junio de 2021. La iniciativa modifica el Reglamento eIDAS de 2014, que sentó las bases necesarias para acceder de forma segura a los servicios y realizar transacciones en línea y a través de las fronteras en la UE. 

• La propuesta, basada en el artículo 114 del TFUE, exige a los Estados miembros que emitan una cartera europea de identidad digital con arreglo a un sistema de identificación electrónica notificado, basado en normas técnicas comunes, tras la certificación obligatoria. Con el fin de establecer la arquitectura técnica necesaria, acelerar la aplicación del Reglamento revisado, proporcionar directrices a los Estados miembros y evitar la fragmentación, la propuesta iba acompañada de una Recomendación para el desarrollo de un conjunto de instrumentos de la Unión (Toolbox). 

• El Reglamento propuesto tiene por objeto garantizar el acceso universal de las personas y las empresas a una identificación y autenticación electrónicas seguras y fiables mediante una cartera digital personal en un teléfono móvil. 

II. TRABAJO EN LAS DEMÁS INSTITUCIONES

1. En el Parlamento Europeo, la propuesta se remitió a la Comisión de Industria, Investigación y Energía (ITRE), y se solicitó opinión a tres comisiones, a saber, la Comisión de Mercado Interior y Protección del Consumidor (IMCO), la Comisión de Asuntos Jurídicos (JURI) y la Comisión de Libertades Civiles, Justicia y Asuntos de Interior (LIBE). La ponente del expediente es Romana Jerković (S&D, Croacia). La Comisión ITRE aún no ha aprobado su informe.

• El 15 de julio de 2021, se invitó al Comité Económico y Social Europeo a emitir su dictamen sobre la propuesta, que se presentó posteriormente el 20 de octubre de 2021. El Comité Europeo de las Regiones emitió espontáneamente un dictamen sobre la propuesta el 12 de octubre de 2021.

• El Supervisor Europeo de Protección de Datos (SEPD) publicó observaciones formales sobre la propuesta el 28 de julio de 2021.

III. SITUACIÓN EN EL CONSEJO 

1. En el Consejo, la propuesta ha sido examinada en el Grupo «Telecomunicaciones y Sociedad de la Información» (WP TELECOM), que inició los debates bajo la Presidencia portuguesa en junio de 2021. El análisis de la propuesta continuó en WP TELECOM bajo la Presidencia eslovena, y la primera lectura concluyó con éxito el 15 de noviembre de 2021.

• La Presidencia francesa presentó su primera propuesta transaccional los días 15 de febrero y 5 de abril de 2022, y la segunda se debatió los días 23 de mayo y 9 de junio de 2022. En relación con un debate de orientación celebrado en WP TELECOM el 19 de julio de 2022, la Presidencia checa, basándose en el trabajo de la Presidencia francesa, destacó las principales cuestiones pendientes de alto nivel y pidió a las delegaciones que expresaran sus opciones preferidas, con vistas a volver a redactar las partes pertinentes de la segunda propuesta transaccional en consecuencia. La versión revisada dio lugar a una tercera propuesta de compromiso que fue presentada por la Presidencia checa en el WP TELECOM de los días 5 y 8 de septiembre de 2022. Las iteraciones adicionales y los ajustes conexos fomentaron con éxito un nivel más profundo de convergencia en la mayoría de las cuestiones pendientes. 

• Sin embargo, la cuarta propuesta transaccional, presentada a las delegaciones en el WP TELECOM de 28 de septiembre de 2022, reveló una divergencia persistente entre los Estados miembros en torno a una cuestión de alto nivel en particular, a saber, el nivel de aseguramiento («LoA») elegido para la cartera de identidad digital europea. Algunos de los Estados miembros que ya cuentan con un sistema nacional de identificación electrónica adoptaron inicialmente, y posteriormente invirtieron, en un Nivel de Aseguramiento (LoA – Level of Assurance) «sustancial», mientras que en la propuesta actual de identificación electrónica se requiere un LOA de nivel «alto». Consciente de que ya existe un elevado número de medios de identificación electrónica de LoA «sustanciales» emitidos en algunos Estados miembros, la Presidencia checa ha propuesto además un mecanismo para facilitar el registro de usuarios, contribuyendo así a la adopción de las carteras de identidad digital europeas. La disposición permite a los usuarios inscribirse en la cartera de identidad digital europeo utilizando los medios nacionales de identificación electrónica existentes en base a LoA «sustanciales» junto con procedimientos adicionales de obtención remota de la identidad digital que conjuntamente permiten cumplir los requisitos de LoA «alto». Las especificaciones técnicas y operativas requerida están sujetas al desarrollo de legislación de aplicación para ello y deberá ser posible la certificación de la conformidad con los requisitos, llevada a cabo por un Organismo de Evaluación.

• La quinta propuesta de compromiso se discutió durante la reunión de WP TELECOM del 25 de octubre de 2022. Durante la reunión de WP TELECOM del 8 de noviembre de 2022, la Presidencia checa presentó los limitados cambios introducidos y, además de los comentarios adicionales y las sugerencias de redacción recibidas de las Delegaciones, preparó la versión final del texto transaccional con vistas a presentarlo al Coreper. 

• El 18 de noviembre de 2022, el Coreper examinó esta propuesta transaccional y acordó por unanimidad presentarla al Consejo TTE (Telecomunicaciones), sin ningún cambio, con vistas a una orientación general en su reunión del 6 de diciembre de 2022.

IV. PRINCIPALES ELEMENTOS DE LA PROPUESTA TRANSACCIONAL      

1. La cartera europea de identidad digital

Uno de los principales objetivos políticos de la propuesta de la Comisión de una cartera de identidad digital europea («cartera») es el de proporcionar a los ciudadanos y otros residentes, tal como se definen en la legislación nacional, un medio europeo armonizado de identidad digital basado en el concepto de una cartera europea de identidad digital. Como medio de identificación electrónica («medio de identificación electrónica») emitido en virtud de sistemas nacionales con nivel de aseguramiento «alto», la cartera sería un medio de identificación electrónica por derecho propio basado en la emisión de datos de identificación personal y de la propia cartera por parte de los Estados miembros.

2. Nivel de aseguramiento de la cartera europea de identidad digital

Los niveles de aseguramiento («LoA») deben determinar el grado de confianza en los medios de identificación electrónica para establecer la identidad de una persona, proporcionando así garantías de que la persona que reivindica una identidad determinada es, de hecho, la persona a la que se asignó dicha identidad.

Sobre la base del amplio apoyo registrado en las reuniones del Grupo de Trabajo y en el debate del Coreper del 14 de octubre de 2022, la cartera deberá expedirse dentro de un sistema de identificación electrónica que cumpla con el nivel de aseguramiento «alto». Además, se ha añadido al artículo 6 bis una disposición específica sobre el registro de usuarios. Este cambio tiene por objeto abordar las preocupaciones de los Estados miembros en los que ya se ha emitido un número significativo de medios nacionales de identificación electrónica en base a niveles de aseguramiento «sustanciales». La disposición permite a un usuario utilizar sus medios nacionales de identificación electrónica junto con procedimientos adicionales para darse de alta de forma remota y hacer posible la prueba de identidad en base a un nivel de aseguramiento «alto» y, en última instancia, a obtener una cartera. Dado que el proyecto de Reglamento sobre identificación electrónica se basa en esquemas de certificación de ciberseguridad que deben aportar un nivel armonizado de confianza en la seguridad de las carteras de identidad digitales europeas, también se espera que el almacenamiento seguro de material criptográfico esté sujeto a certificación de ciberseguridad tras un proceso de evaluación. Por consiguiente, la Presidencia ha propuesto un nuevo considerando 10 ter que  aborde estas condiciones técnicas previas para lograr un nivel de aseguramiento «alto» y permita un proceso de seguimiento dentro de la aplicación de las carteras de identidad digitales europeas.

3. Notificación a las partes informadas

3.1 Se ha reformulado el artículo 6ter, relativo a la notificación a las partes informadas (las que reciben algún tipo de testimonio o información de la cartera, denominadas a veces «partes que confían»). Como norma general, el proceso de notificación mediante el cual la parte informada comunica su intención de confiar en la cartera debe ser rentable, proporcional al riesgo y debe garantizar que la parte informada proporciona al menos la información necesaria para autenticarse frente a la cartera. De forma predeterminada, solo se requiere mínima información, y la notificación debe permitir el uso de procedimientos automatizados o simples de autonotificación. 

3.2 Sin embargo, puede ser necesario un régimen específico debido a requisitos sectoriales, como los aplicables al tratamiento de categorías especiales de datos personales. Por lo tanto, se ha introducido una disposición para ello que tiene por objeto cubrir los casos en que se requiere un procedimiento de registro o autorización más estricto. A la inversa, cuando el Derecho de la Unión o nacional no establezca requisitos específicos para acceder a la información facilitada a través de la cartera, los Estados miembros podrán eximir a dichas partes informadas de la obligación de notificar su intención de confiar en las carteras.

4. Certificación

4.1 El Reglamento debe aprovechar, basarse y exigir el uso de esquemas de certificación de la normativa de Ciberseguridad pertinentes y existentes, o partes de los mismos, para certificar el cumplimiento de las Carteras, o partes de los mismos, con los requisitos de ciberseguridad aplicables, por ejemplo, la de ser considerado un dispositivo cualificado de gestión de claves privadas. En consecuencia, se aplica plenamente el marco de la normativa europea de Ciberseguridad, incluido el mecanismo de revisión inter pares entre las autoridades nacionales de certificación de la ciberseguridad previsto en la normativa europea de Ciberseguridad. Con el fin de armonizar en la medida de lo posible el Reglamento sobre identificación electrónica y la normativa europea de ciberseguridad, los Estados miembros designarán organismos públicos y privados acreditados para evaluar certificar las carteras según lo dispuesto en el Reglamento de ciberseguridad. 

4.2 Además, se anima a la Comisión a encargar a ENISA que emprenda el desarrollo y la adopción de un esquema específico de la normativa europea de Ciberseguridad para la certificación de la ciberseguridad de la Cartera. Hasta que se desarrolle dicho esquema, el esquema EUCC (esquema europeo de certificación de ciberseguridad basado en criterios «Common Criteria») publicado en virtud de la normativa europea de Ciberseguridad se utilizará como metodología de referencia para la certificación de la cartera. Para los requisitos no relacionados con la ciberseguridad, en particular los que cubren otros aspectos funcionales y operativos de la Cartera, debe establecerse una lista de especificaciones, procedimientos y normas de referencia. Estos requisitos están sujetos a certificación.

5. Plazo para la provisión de la Cartera

Sobre la base de las orientaciones de los Estados miembros, se ha propuesto que el período de ejecución de 24 meses que determina la obligación de que los estados miembros ofrezcan su Cartera, se empiece a contar a partir de la adopción de los actos de ejecución a los que se refieren el artículo 6 bis, apartado 11, y  el artículo 6 quater, apartado 4. 

6. Tarifas

En el artículo 6 bis, apartado 6 bis, y en el considerando correspondiente se ha aclarado  que la expedición, el uso para la autenticación y la revocación de carteras deben ser gratuitos para las personas físicas. Excepto cuando se utilizan Carteras para la autenticación, los servicios que dependen del uso de la Cartera pueden incurrir en costes, por ejemplo, la emisión de los certificados electrónicos de atributos para su gestión por una Cartera. 

7. Acceso a las funciones de hardware y software, incluido el «elemento seguro»

La Presidencia ha sugerido establecer una articulación explícita con el Reglamento (UE) 2022/1925, que garantiza el acceso a las funciones de hardware y software como parte de los servicios básicos de plataforma proporcionados por los guardianes de acceso a los servicios en Internet. El artículo 12 ter, recientemente añadido, aclara que los proveedores de carteras y los emisores de medios de identificación electrónica notificados que actúen a título comercial o profesional son usuarios profesionales de los guardianes de acceso a los servicios en Internet en el sentido de la definición respectiva de la DMA (Digital Markets Act). Se ha añadido una redacción del considerando para esbozar las implicaciones de la interconexión con la DMA, a saber, que debe exigirse a los guardianes de acceso a los servicios en Internet que garanticen, de forma gratuita, la interoperabilidad efectiva con las mismas características del sistema operativo, hardware o software que estén disponibles o se utilicen a efectos de interoperabilidad en la prestación de sus propios servicios complementarios y de apoyo.

8. Posibilidades alternativas para emitir los testimonios electrónicos de atributos por parte de los organismos públicos

Se ha mantenido la posibilidad de emitir testimonios electrónicos cualificados de atributos por parte de prestadores cualificados, incluida la obligación de los Estados miembros de garantizar que los atributos puedan verificarse con una fuente auténtica dentro del sector público. Además, se ha introducido la posibilidad de que los testimonios electrónicos de atributos no cualificados puedan tener los mismos efectos jurídicos que los testimonios electrónicos cualificados de atributos cuando sean expedidos a una Cartera directamente por el organismo del sector público responsable de la fuente auténtica o por un organismo designado del sector público en nombre de un organismo del sector público responsable de una fuente auténtica,  siempre que se cumplan los requisitos necesarios. La propuesta se refleja en los nuevos artículos 45 bis y 45 quinquies y en el anexo VII.

9. Verificación de registros

El artículo 11 bis original  ha pasado a llamarse «Record Matching» (Comprobación de anotaciones registrales) ya que refleja mejor el objetivo de la disposición. Sobre la base de la discusión, el concepto de identificador único y persistente se ha mantenido para las carteras. La definición respectiva aclara que el identificador puede consistir en una combinación de varios identificadores nacionales y sectoriales, siempre que sirva a su propósito. Se establece explícitamente que la verificación de registros puede facilitarse mediante los testimonios electrónicos cualificados de atributos. Además, se ha incorporado al artículo 11 bis una disposición de salvaguardia  según la cual los Estados miembros garantizarán la protección de los datos personales y evitarán la elaboración de perfiles de los usuarios. Por último, los Estados miembros, en su calidad de partes informadas, garantizarán la verificación de anotaciones registrales.

     VI. CONCLUSIÓN 

1. A la luz de lo anterior, se invita al Consejo a: 

• que examine el texto que recoge la propuesta de modificación del reglamento que reformará el Reglamento EIDAS;
• que confirme una orientación general sobre la propuesta de Reglamento sobre la identidad digital europea (identificación electrónica europea) en la reunión del Consejo de TTE (Telecomunicaciones) que se va a celebrar el 6 de diciembre de 2022. 

---

Arquitectura y marco de referencia (ARF) de la Cartera IDUE (EUDI Wallet) versión 1.0 en español

El viernes pasado la Comisión Europea publicó la Arquitectura y marco de referencia de la Cartera europea de identidad digital en EIDAS 2 y yo escribí sobre ello un artículo en el blog (Arquitectura y marco de referencia de la Cartera europea de identidad digital en EIDAS 2- documento en español) .

Hacía referencia a la publicación de la la versión 1 del documento: «European Digital Identity Wallet Architecture and Reference Framework» que se esperaba a finales de octubre de 2022.

La versión anterior (llamémosle v0.9, aunque no consta ninguna) se publicó el 22 de febrero de 2022 y de ella hice una traducción al español hace unos meses.

A lo largo del fin de semana he realizado la traducción al español de la nueva versión y la pongo a disposición de los interesados en el desarrollo del Juego Herramientas de la Identidad Digital europea.

arf_v100_2023-traduccion-esDescarga

Como se me habrán escapado errores, ruego a quienes los detecten que me lo hagan saber para depurar la traducción en futuras versiones.

Arquitectura y marco de referencia de la Cartera europea de identidad digital en EIDAS 2 – documento en español

Hoy se ha publicado la versión 1 del documento «European Digital Identity Wallet Architecture and Reference Framework» que llevábamos algún tiempo esperando.

El objetivo de este documento es proporcionar un conjunto de especificaciones necesarias para desarrollar una solución interoperable de Cartera Europea de Identidad Digital (IDUE) basada en normas y prácticas comunes.

La versión anterior (llamésmosle v0.9, aunque no consta ninguna) se publicó el 22 de febrero de 2022.

De aquel documento me permití realizar una traducción al español (un poco libre porque me tomé la licencia de aclarar conceptos que en el documento original no se entendían bien).

Uno de los aspectos que cuidé es la traducción de términos acuñados en inglés a otros que pudieran considerarse términos acuñados en español, huyendo de «falsos amigos» (palabras que se escriben de forma parecida en español pero que significan cosas diferentes). Por ejemplo «Relying Parties» por «Partes Informadas» considerando que son las que reciben los testimonios de las «Partes informantes». Me parece mejor traducción que «Partes que confían»

Este fue uno de los documentos que se entregaron a los participantes en los cursos de formación organizados por TCAB para especialistas en servicios de confianza (nivel 1), responsables de gestión de servicios de confianza (nivel 2) y auditores de servicios de confianza (nivel 3) y en el que tuve el honor de participar como profesor.

arf-arquitectura-marco-de-referencia-de-la-identidad-digital-europea-esquema-cartera-idue-de-eidas2Descarga

Firma electrónica protocolaria de tratados y acuerdos internacionales

El 4 de septiembre de 1988 (hace casi 35 años) se llevó a cabo una ceremonia formal para la firma electrónica conjunta de un Comunicado sobre el Comercio Electrónico del Primer Ministro Irlandés (Taoiseach) Bertie Ahern y el Presidente de los Estados Unidos Bill Clinton, como uno de los actos de su visita a Dublín.

Por limitaciones de los desarrollos legislativos de ambos estados en lo referido al reconocimiento legal con valor de presunción de la Firma Electrónica en el momento de esta firma, no se pudo firmar un Tratado Internacional, lo que hubiera sido, si cabe, más impactante.

El acto fue importante, y la mera notoriedad del acto (como los contratos celebrados «ad solemnitatem«) hubiera supuesto plena eficacia probatoria. Sin embargo, el protocolo oficial dejó en entredicho los planeamientos que probablemente les hicieron sus asesores a ambos mandatarios, ya que al finalizar la firma, los dos dignatarios intercambiaron protocolariamente los instrumentos utilizados para firmar.

Si el documento se hubiera firmado en papel y el intercambio hubiera sido de plumas estilográficas, la foto final hubiera sido una de tantas. Pero puesto que las firmas fueron firmas electrónicas y los instrumentos tarjetas inteligentes (smartcards), la foto resultante en la que ambos dirigentes se intercambiaban las tarjetas suponía ciertas implicaciones.

Una de las más importantes es que NO es un buen ejemplo para el público porque la tarjeta chip contiene la clave privada que constituye la capacidad criptográfica de firmar del titular, y cederla a otra persona implica perder el control de la clave privada.

Quien controla la clave privada (para lo que hará falta una contraseña o un PIN) puede realizar una nueva firma electrónica, con plena atribución de lo firmado a quien aparece como firmante.

Probablemente ninguno de los dos mandatarios pudo suplantar al otro pese a tener su tarjeta chip, si suponemos que no conocióan las contraseñas utilizadas.

La foto es bonita, pero desde el punto de vista de un «purista» de la firma electrónica, transmite un concepto peligroso: «las tarjetas se pueden ceder a otras personas y no pasa nada«.

No es cierto. Hay que evitar que nadie más que nosotros tenga acceso a nuestra tarjeta chip (a nuestro DNI), entre otras cosas porque no es muy difícil obtener las claves de múltipes formas. Ya no debemos dejar el DNI de prenda cuando reservemos una taquilla, o una cancha de tenis, o nos quedemos sin dinero al echar gasolina.

Técnicamente, el acto político no tuvo apenas impacto criptográfico. Al finalizar, probablemente se revocaron ambos certificados y posiblemente no había más oportunidades de usar las tarjetas chip ya que en 1998 el número de lectores de tarjeta chip (chipeteras) era mínimo.

Pero la tentación política de llevar a cabo firmas electrónicas en determinados actos públicos para impulsar la adopción de la firma electrónica, que es loable, deberá tener en cuenta que, casi más de 30 años depués de la firma de la foto, ya no se puede disculpar el «compromiso de las claves» al que equivale la cesión o intercambio de tarjetas chip.

Otros artículos relacionados:

• Jordi Sevilla en el Observatorio del Notariado para la Sociedad de la Información
• Dia de la firma electrónica: 30 de junio
• Dia internacional de la firma electrónica

Dia mundial del cifrado: 21 de octubre. Intervención de Julián Inza en el evento de Cibervoluntarios

Conéctate a este evento programado para el 21 de octubre de 2022 a las 16.00h, con motivo del Día Mundial del Cifrado.

El viernes 21 de octubre a las 16.00h, online y en directo, se retransmite por YouTube mi charla / diálogo «El cifrado. La importancia del cifrado y el papel de los gobiernos en su implantación”. Aunque pensando más en los ciudadanos que en los gobiernos.

Julián Inza en el Dia Mundial del Cifrado

Agradezco a los que os conectéis en tiempo real a esta charla impartida por Julián Inza, Chief Audit Officer de TCAB Trust Conformity Assessment Body, uno de los primeros organismos de evaluación de conformidad de Europa.

Los Organismos de Evaluación de Conformidad (Conformity Assessment Bodies, CAB) auditan a los Prestadores Cualificados de Servicios Electrónicos de Confianza que despliegan sus servicios en el contexto del Reglamento EIDAS.

Julián Inza nos hablará de la importancia del cifrado y de las acciones que como ciudadanos podemos realizar para protegerlo, involucrando a instituciones públicas y gobiernos.

El evento lo organiza la Fundación Cibervoluntarios, Internet Society y la Global Encryption Coalition.

Video de mi charla en Tecnowebinars sobre Criptografía postcuántica y EIDAS2

El pasado 18 de mayo de 2022 participé como ponente en uno de los eventos organizados por Tecnowebinars, en este caso bajo el auspicio de EADTrust.

Daniel Alguacil fue el introductor.

La charla está dividida en 2 partes.

Una sobre los posibles algoritmos de criptografía de clave pública resistentes a la computación cuantica, con el reto que supone el algoritmo de Shor, que surgirán del proceso de selección desarrollado por el NIST.

Y la otra sobre el reto que supondrá en Europa la modificación del Reglamento EIDAS (EIDAS2), sobre todo en relación con la EUDI Wallet (European Union Digital Identity Wallet). En español, Cartera IDUE (Cartera de Identidad Digital de la Unión Europea).

Posteriormente, en julio de 2022, se publicó por el NIST la selección de algoritmos de criptografía de clave pública de la fase 3 del proceso de de selección de este tipo de algoritmos resistentes a la computación cuántica. Entre otros, dos de los algoritmos seleccionados han sido CRYSTALS KYBER para el intecambio de claves y CRYSTALS DILITHIUM para la firma digital.

El informe del NIST «Status Report on the Third Round of the NIST Post-Quantum Cryptography Standardization Process» está disponible en https://t.co/0i9Jn10lpi

Dia internacional de la firma electrónica

El dia 30 de junio se conmemora en Estados Unidos el dia nacional de la firma electrónica.

Pero ¿cual podría ser el dia internacional de la firma electrónica?

Es un debate interesante que abro aquí, si bien lo inauguro con una propuesta. 4 de septiembre.

Porque el 4 de septiembre de 1998 se firmó electrónicamente un comunicado conjunto entre Estados Unidos e Irlanda aprovechando la visita del Presidente Bill Clinton a Irlanda. Su anfitrión, el Primer Ministro «Taoiseach» Bertie Ahern fue el otro firmante.

Ya hice referencia a este acto en mi post «Jordi Sevilla en el Observatorio del Notariado para la Sociedad de la Información» en 2006.

En una visita a la factoría del fabricante de PCs Gateway de Dublín, se preparó el entorno para la firma electrónica utilizando portátiles de Gateway y el software de firma electrónica de la empresa Baltimore Technologies, radicada en Irlanda.

La visita presidencial estaba prevista para la primera semana de septiembre. Fran Rooney, director general de Baltimore, y Brendan Tuohy, secretario general del Departamento de Empresas Públicas, elaboraron una idea para que los gobiernos de Irlanda y Estados Unidos publicaran un comunicado sobre comercio electrónico, firmado con tecnologías de seguridad digital en lugar de con pluma y tinta. Luego consiguieron el apoyo a este plan de un alto asesor político del Presidente Clinton.

La PKI era muy adecuada para la gestión de documentos oficiales. Su contenido no podía alterarse sin ser detectado después de adjuntar las firmas digitales. Pero los documentos podían seguir siendo copiados y distribuidos tan ampliamente como fuera necesario. El software de autoridad de certificación UniCert, de Baltimore, generaría los certificados digitales para identificar al Presidente Clinton y al Taoiseach Ahern. Esos certificados podrían almacenarse en tarjetas inteligentes y el proceso de firma adoptaría la forma de una transacción con tarjeta.

Clinton y Ahern recibieron sus tarjetas inteligentes personales, cada una con un código de firma único y un certificado digital. Los dos Jefes de Estado introdujeron sus tarjetas inteligentes en los lectores e introdujeron sus códigos personales, generando las firmas adjuntas al comunicado. Éste aparece, con los sellos de las firmas, en la página web de la Casa Blanca.

«¿Tienen idea de cuánto tiempo paso cada día firmando con mi nombre?» preguntó Clinton. «Me voy a sentir completamente inútil si no puedo hacer al menos eso».

El escenario estaba preparado para una exhibición de Baltimore Technologies ante un público invitado y los medios de comunicación internacionales que acompañaban al presidente estadounidense. El fabricante de ordenadores Gateway aceptó acoger el acto en sus instalaciones de Clonshaugh. Los políticos interpretaron su papel a la perfección y toda la tecnología funcionó bien.

Sin embargo, fue un inconveniente que el proceso de firma digital fuera más o menos instantáneo. Para mejorar la visivilidad de la operación, Baltimore ideó una animación especial que mostraba la transferencia de las firmas de las tarjetas al documento. Esta animación prolongaba la ceremonia y creaba una sensación de ocasión especial.

En retrospectiva, el aspecto más interesante del comunicado era el docuento que prescribía a los gobiernos en la infraestructura en evolución para las transacciones basadas en Internet: proporcionar un marco jurídico claro, promover un entorno favorable a la competencia y garantizar una protección adecuada de los objetivos de interés público, como la privacidad, los derechos de propiedad intelectual y la protección del consumidor. El acuerdo intergubernamental también afirmaba que los impuestos sobre el comercio electrónico debían ser coherentes y no discriminatorios.

En los tratados internacionales los firmante se suelen intercambiar las plumas. Quizá habría que pensar en otro acto protocolario que no implicara intercambiarse las tarjetas chip, para no transmitir ideas equívocas. Quizá los lectores de tarjetas («chipeteras»).

Dia de la firma electrónica: 30 de junio

El próximo dia 30 de junio se conmemora en Estados Unidos el dia nacional de la firma electrónica.

Se ha elegido la fecha por el momento en que el presidente William Jefferson («Bill») Clinton firma la denominada «Electronic Signatures in Global & National Commerce Act» o «ESIGN Act» el 30 de junio del año 2000. 10 años más tarde, el Congreso de Estados Unidos aprobó una resolución para que el 30 de junio tuviera la consideración de «National ESIGN Day» para aumentar la visibilidad de las irmas electrónicas y promover las ventajas el el comercio electrónico.

Antes de la adopción en el año 2000 de la Ley de Firma Electrónica (ESIGN-Electronic Signatures in Global & National Commerce Act), en 1999 se estableció la Ley Uniforme de Transacciones Electrónicas (UETA-Uniform Electronic Transactions Act). La diferencia entre la ESIGN y la UETA es que la ESIGN es una legislación federal, mientras que la UETA es adoptada por los estados individualmente. En el momento de la creación de la UETA, todos los estados excepto 3 adoptaron la ley en la legislación estatal.

Para firmar el proyecto de ley, el presidente introdujo una tarjeta inteligente criptográfica en un lector, tecleó su contraseña – «Buddy» (nombre de su perro) – y una réplica de su firma apareció en la pantalla, al tiempo que en el interior del fichero quedaba el hash del documento cifrado con su clave privada y acompañado de su certificado. Pero antes de hacerlo, firmó el proyecto de ley a la manera tradicional, con una pluma, debido a que los abogados de la Casa Blanca creían que la Constitución de Estados Unidos exige que los presidentes pongan la pluma sobre el papel para aprobar la legislación.

Es curioso, porque parece ser que en 2005 los abogados de la Casa Blanca redactaron un informe por el que que la firma con Autopen era constitucional. Y puestos a elegir, me parece que el uso de una tarjeta chip es más lógico que el de una máquina de firma.

Adobe actualiza su lista de confianza y sigue incluyendo la EUTL

Adobe desempeña un papel esencial en la popularización de la firma electrónica que hay que reconocer.

Por un lado, su herramienta gratuita de visualización de archivos PDF Acrobat Reader incluye sin coste una herramienta de creación de firmas electrónicas basada en certificados (entre los que destacan los certificados cualificados tal como los define el Reglamento UE 910/2014, eIdAS ).

Por otro lado, ha apostado desde la entrada en vigor del citado reglamento por incluir en la lista de confianza de sus productos (antiguamente denominada AATL) las entidades prestadoras de servicios de confianza que figuran en la lista de confianza de la unión europea (EUTL) que se puede recorrer con detalle gracias al Visualizador de Listas,

Esta combinación es importante para impulsar el uso de la firma electrónica en una herramienta que se caracteriza por la efectividad al cumplir su misión de mostrar los documentos electrónicos de forma muy parecida a los documentos en papel y establecer una potente metáfora del uso electrónico de los documentos manteniendo muchas de las ventajas de los documentos en papel, y algunas complementarias , como las informaciones adicionales que se guardan en los metadatos.

La lista actualizada de los entidades de confianza para Adobe obtenida de la EUTL puede verse en este artículo: ¿Qué es EUTL?

Y la lista concreta de los prestadores de servicios de certificación cualificados españoles (un subconjunto de la lista anterior), es esta:

Proveedor de servicios de confianza	Certificados cualificados de firma	Certificados cualificados de sello	Sellos de tiempo cualificados
Abogacía Española Consejo General	✔	✔
Agencia de Tecnología y Certificación	✔	✔	✔
ANCERT – Agencia Notarial de Certificación	✔	✔	✔
ANF Autoridad de Certificación	✔	✔	✔
Bewor Tech	✔
Camerfirma	✔	✔	✔
COLORIURIS, S.L			✔
Consorci AOC (CATCert)	✔	✔
DIGITEL TS			✔
Dirección General de la Policía	✔	✔
Documento	✔	✔	✔
EADTrust	✔	✔	✔
ECERTIC			✔
EDICOM	✔	✔	✔
Identificación electrónica	✔
Entrust Datacard	✔	✔
esFirma	✔	✔	✔
Evicertia			✔
Firmaprofesional	✔	✔	✔
FNMT-RCM CERES	✔	✔	✔
IVNOSYS	✔	✔
Izenpe	✔	✔	✔
Logalty	✔	✔	✔
Ministerio de Defensa de España	✔	✔
Ministerio de Empleo y Seguridad Social	✔	✔
Organización Médica Colegial	✔	✔
REGISTRADORES DE ESPAÑA	✔		✔
SECTIGO	✔	✔	✔
Seguridad Social	✔	✔	✔
Signaturit	✔		✔
Signe	✔	✔
Sistemas Informáticos Abiertos (SIA)	✔	✔	✔
UANATACA	✔	✔	✔
Validated ID			✔
VIAFIRMA			✔
vinCAsign	✔	✔	✔

Auditoría de Contabilidad Certificada

Recientemente se ha publicado en España la denominada «Ley Antifraude» que entre los muchos aspectos que trata, incluye una sección para imponer nuevos requisitos a los sistemas y programas informáticos o electrónicos que soporten los procesos contables, de facturación o de gestión, a las empresas que los crean y a los trabajadores autónomos y empresas que los usan, con sanciones desproporcionadas que presumen la culpabilidad de las empresa y autónomos respecto a la realización de actividades de fraude tributario por el mero hecho de desarrollar o usar software «no certificado». Y los requisitos para ese software se limitan a indicar de forma ambigua que deberán aportar «integridad, conservación, accesibilidad, legibilidad, trazabilidad e inalterabilidad» (ICALTI, por sus siglas).

También se indica que «ya si eso» reglamentariamente se podrán establecer especificaciones técnicas que deban reunir dichos sistemas y programas.

Se crea una gran inseguridad jurídica ya que aunque en el régimen sancionador se indica:

e) no cumplan con las especificaciones técnicas que garanticen la integridad, conservación, accesibilidad, legibilidad, trazabilidad e inalterabilidad de los registros, así como su legibilidad por parte de los órganos competentes de la Administración Tributaria, en los términos del artículo 29.2.j) de esta Ley;

f) no se certifiquen, estando obligado a ello por disposición reglamentaria, los sistemas fabricados, producidos o comercializados.

Lo que podría dar a entender que la posibilidad de sanciones solo se podría producir tras la publicación de las «especificaciones técnicas», en el conjunto de las descripción de las sanciones no queda tan claro.

Por eso parece recomendable iniciar procesos de auditoría de contabilidad certificada a las plataformas de software de de contabilidad y facturación y a las que se instalan en terminales de punto de venta lo antes posible para demostrar «debida diligencia» en caso de que las autoridades tributarias contacten con nosotros. De esta forma, aunque no haya culminado la modificación del software para cumplir los nuevos requisitos de la norma , ya se puede demostrar que «estamos en ello».

EADTrust es una de las entidades que pueden ayudar a entender los nuevos requisitos, a implementarlos en el software y a auditarlo posteriormente para comprobar que están bien implementados.

La «Ley 11/2021, de 9 de julio, de medidas de prevención y lucha contra el fraude fiscal, de transposición de la Directiva (UE) 2016/1164, del Consejo, de 12 de julio de 2016, por la que se establecen normas contra las prácticas de elusión fiscal que inciden directamente en el funcionamiento del mercado interior, de modificación de diversas normas tributarias y en materia de regulación del juego» es la norma indicada.

El artículo decimotercero de esta Ley modifica la Ley General Tributaria en varios aspectos y en lo relativo al software de contabilidad, facturación y gestión  modifica el apartado 2 del artículo 29 para incluir los requisitos indicados. También crea un artículo 201 bis con el régimen sancionador asociado.

En el apartado 2 del artículo 29, de la Ley 58/2003, de 17 de diciembre, General Tributaria, se añade un nuevo párrafo con la letra j) que tiene la siguiente redacción:

“j) La obligación, por parte de los productores, comercializadores y usuarios, de que los sistemas y programas informáticos o electrónicos que soporten los procesos contables, de facturación o de gestión de quienes desarrollen actividades económicas, garanticen la integridad, conservación, accesibilidad, legibilidad, trazabilidad e inalterabilidad de los registros, sin interpolaciones, omisiones o alteraciones de las que no quede la debida anotación en los sistemas mismos. Reglamentariamente se podrán establecer especificaciones técnicas que deban reunir dichos sistemas y programas, así como la obligación de que los mismos estén debidamente certificados y utilicen formatos estándar para su legibilidad.”

Como se ha indicado, ese mismo artículo 13 crea un nuevo artículo 201 bis en la Ley 58/2003, de 17 de diciembre, General Tributaria:

Artículo 201 bis. Infracción tributaria por fabricación, producción, comercialización y tenencia de sistemas informáticos que no cumplan las especificaciones exigidas por la normativa aplicable.

1. Constituye infracción tributaria la fabricación, producción y comercialización de sistemas y programas informáticos o electrónicos que soporten los procesos contables, de facturación o de gestión por parte de las personas o entidades que desarrollen actividades económicas, cuando concurra cualquiera de las siguientes circunstancias:

a) permitan llevar contabilidades distintas en los términos del artículo 200.1.d) de esta Ley;

b) permitan no reflejar, total o parcialmente, la anotación de transacciones realizadas;

c) permitan registrar transacciones distintas a las anotaciones realizadas;

d) permitan alterar transacciones ya registradas incumpliendo la normativa aplicable;

e) no cumplan con las especificaciones técnicas que garanticen la integridad, conservación, accesibilidad, legibilidad, trazabilidad e inalterabilidad de los registros, así como su legibilidad por parte de los órganos competentes de la Administración Tributaria, en los términos del artículo 29.2.j) de esta Ley;

f) no se certifiquen, estando obligado a ello por disposición reglamentaria, los sistemas fabricados, producidos o comercializados.

2. Constituye infracción tributaria la tenencia de los sistemas o programas informáticos o electrónicos que no se ajusten a lo establecido en el artículo 29.2.j) de esta Ley, cuando los mismos no estén debidamente certificados teniendo que estarlo por disposición reglamentaria o cuando se hayan alterado o modificado los dispositivos certificados.

La misma persona o entidad que haya sido sancionada conforme al apartado anterior no podrá ser sancionada por lo dispuesto en este apartado.

3. Las infracciones previstas en este artículo serán graves.

4. La infracción señalada en el apartado 1 anterior se sancionará con multa pecuniaria fija de 150.000 euros, por cada ejercicio económico en el que se hayan producido ventas y por cada tipo distinto de sistema o programa informático o electrónico que sea objeto de la infracción. No obstante, las infracciones de la letra f) del apartado 1 de este artículo se sancionarán con multa pecuniaria fija de 1.000 euros por cada sistema o programa comercializado en el que se produzca la falta del certificado.

La infracción señalada en el apartado 2 anterior, se sancionará con multa pecuniaria fija de 50.000 euros por cada ejercicio, cuando se trate de la infracción por la tenencia de sistemas o programas informáticos o electrónicos que no estén debidamente certificados, teniendo que estarlo por disposición reglamentaria, o se hayan alterado o modificado los dispositivos certificados.

Por la Disposición final séptima, estas modificaciones entran en vigor transcurridos tres meses desde la entrada en vigor de la Ley, lo que se produce el 11 de octubre de 2021.

Aunque a finales de septiembre de 2021 no se han publicado formalmente especificaciones técnicas, sí que existen especificaciones semejantes para la digitalización certificada, en particular los requisitos c) y d) del apartado 1 del artículo 7 de la «Orden EHA/962/2007, de 10 de abril, por la que se desarrollan determinadas disposiciones sobre facturación telemática y conservación electrónica de facturas, contenidas en el Real Decreto 1496/2003, de 28 de noviembre, por el que se aprueba el reglamento por el que se regulan las obligaciones de facturación.«

Las entidades que conocen y se ha adaptado a las especificaciones de TIcket BAI publicadas por las Diputaciones Forales del País Vasco para el denominado «Software Garante» están un paso más cerca de poder cumplir las nuevas especificaciones, aunque tienen aspectos diferentes.

La denominación de «Contabilidad Certificada» se está empezando a usar por semejanza con la «Digitalización Certificada» que ya cuenta con requerimientos más precisos y consolidados, ya que se publicaron en 2007.

En este contexto, EADTRUST lleva a cabo procesos de consultoría y auditoría para asegurar el cumplimiento de los objetivos de la norma en los softwares de contabilidad existentes, contando con su experiencia en auditorías de Digitalización Certificada.

Tras auditar el cumplimiento de las normas en lo que se refiere a la nueva obligación de Ley 11/2021, de 9 de julio respecto a los sistemas y programas informáticos o electrónicos que soporten los procesos contables, de facturación o de gestión, EADTRUST expide un certificado de cumplimiento.