Archivo de la categoría: EIDAS

Certified Digitization, what is it and what is it for?


Certified Digitization, Certified Digitisation Certified scanning, Electronic Invoice, Electronic Signature, Electronic Certificate. EIDAS, All these concepts are related.

In the development of electronic invoicing regulations, Spanish ORDER EHA / 962/2007, of April 10, which develops certain provisions on electronic billing and electronic storage of invoices, has defined in Spain the concept of Certified Digitization. This blog has been a pioneer in dealing with Certified Digitization since 2006.

Also in english, with some posts:

The homologation procedure has been included in the resolution of October 24, 2007, of the State Tax Administration Agency, on the procedure for homologation of digitization software contemplated in Order EHA / 962/2007, of April 10, 2007 .

In a strict sense, certified digitization was defined for the procedures of the tax field, which would be outside the coverage of Law 39/2015 (eGovernment). However, the implementation of the concept and the large number of available applications make it a de facto standard , also for the public sector.

Certified digitisation is the process of converting paper documents into electronic documents that contain their facsimile reproduction and are electronically signed or sealed. The systems that manage the digitisation must meet certain criteria of integrity and unalterability in the database with which the digitisation is carried out and are required to be audited. The documents digitised with this type of system have the character of originals, so that the paper documents from which they originate can be dispensed with, which is why the legal value of these processes and of the documents to which they give rise is very relevant

Certified digitisation of invoices has led to the birth of the concept that is now also used in relation to public administrations and the digitisation of Justice.

For the certified digitisation of invoices, you can use the different variants of software approved by the Tax Agency that the AEAT also publishes on its website. The provincial councils of Navarre, Biscay, Alava and Guipuzcoa have also published equivalent regulations and have approval procedures similar to those of the Spanish National Tax Agency and have their own lists of approved software.

Electronic signature

Electronic signature is regulated in the EU Regulation 910/2014, which is abbreviated as “EIDAS”.

Advanced electronic signature is uniquely linked to the signatory; allows the identification of the signatory; It is created using electronic signature creation data that the signatory can, with a high level of confidence, use under his sole control; and is llinked to the data signed therewith in such a way that any subsequent change in the data is detectable.

In summary, the advanced signature links the signatory with what was signed.

What is signed many times is condensed in the “Hash” value of the document, which is also a way to guarantee the integrity of the signed document after the advanced signature has been carried out. And the signer can be associated in various ways, with biometrics in the case of non-certificate-based signatures, or with the mathematical operation of the hash with the signer’s private key if a certificate-based signature is applied.

Certificate-based signing uses public key cryptography, also called asymmetric cryptography.

In asymmetric cryptography there are 2 keys that are mathematically linked to each other:

1. Private Key
2. Public Key

What is encrypted with the private key can only be decrypted with the public key, and vice versa.

Hash functions are unidirectional and generate a short string of characters from a document or a long string of characters.

A possible simile would be a sum value: if we transform each character in a string into a number (for example, its ASCII value) and add the values ​​of all the characters in the string, the resulting value depends on the content of the string. IF you change a character, the sum changes. The algorithms used in cryptography are more elaborate so that modifications to the strings that result in the same hash value cannot be made, which will allow the contents to be changed. Therefore, the sum value, although it serves to explain the hash, is not in itself a good hashing method.

Given a document and its “hash”, it is possible to check if the hash truly corresponds to that document. However, from the hash it is not possible to deduce the document from which it came. There could be infinities. When two different documents produce the same hash value when calculating with a certain algorithm, a “collision” is said to have occurred.

How does an electronic signature work?

The document to be signed is hashed with a specific algorithm (for example, SHA-256) and the result obtained is mathematically operated with an asymmetric signature function (for example, RSA or ECC) with the private key of the signer (normally the private key resides in a chip card or a cryptographic token, and does not leave it, so the hash is sent to the chip and it is the chip that performs the cryptographic operation). The signature is made up of the result of that operation on the chip (which is sometimes called a PKCS # 1 value), and the signer’s certificate containing their data and the public key cryptographically related to the private one.

If the document and the signature are sent to the recipient (sometimes, the document format used allows the signature to be embedded inside, as is the case with PDF files). It can do the equivalent process in reverse to verify the signature.

Extracts the public key from the certificate, thereby applying the cryptographic function to the PKCS # 1 value from which the Hash value is extracted. Calculates the Hash value of the document and compares it with the value obtained from decrypting the PKCS # 1 signature. Both must be the same. If they are not the same there is a problem somewhere. For example, the document has changed in transmission or has been tampered with.

Therefore, an important effect of the electronic signature is that it guarantees the integrity and inalterability of the electronically signed documents.

The certificate used to sign is issued by a “certification authority” or a “trust service provider”. The issuance of electronic certificates is one of the possible trust services ”and, therefore, a“ certification authority ”is a“ trust service provider entity.

These entities verify the identity of the certificate applicants and after that they issue them an electronic certificate associating the public key of the certificate with a private key that must be secretly guarded by the certificate holder with maximum security.

The Electronic Certificate

The electronic certificates of a natural or legal person are electronic documents that contain information about the issuer, the period of validity of the certificate, the identity of the signer, …

The important thing is that this certificate links the public key with the identity of a specific person and that it is signed by the certification body, which has verified the applicant’s identity documents and their correspondence with the applicant’s characteristics. When the certificate is issued, its link with the private key is also established under the exclusive control of the signer.

Although unqualified certification authorities can issue certificates, in Europe qualified certification bodies, which issue qualified certificates, are preferred .

In Spain there are a significant number of qualified certificate issuing entities , among which we can mention Camerfirma, EADTrust, FNMT (CERES), Ivnosys or Vintegris.

In certain signature modalities (such as AdES – T or long-lived signatures) it is convenient to include information about the moment when the signature was created, which it does by adding a time stamp. Time stamps are issued by the Time Stamp Authority (TSA).

The timestamp shows that a certain combination of data existed before a given time and that none of this data has been modified since then.

In short, for the certified digitization of documents, an electronic certificate is needed with which to make the electronic signature on each of the scanned documents.

This requirement and the guarantee of integrity of the database in which the keeping of the invoice digitization process is managed are the most relevant to pass the audit that allows requesting the approval of the software from the AEAT.

Certified Digitization in the field of Justice.

Within the framework of the Lexnet regulations, the GIS for Certified Digitization has been defined by the CTEAJE (State Technical Committee of the Electronic Judicial Administration).

This standard allows any document to be digitized for presentation in legal proceedings, so it has a special value:

  • It is used in the private sector to digitize any document, not just invoices
  • It allows you to have digitized documents in case they are needed at any given time for a trial. This used to be the main reason for keeping paper documents: in case they were needed in court.

The requirements for certified digitization in the field of justice are very similar to those required in the tax field:

  • Electronic signature of scanned documents
  • Protection of the integrity and inalterability of the digitization record database

How do I start a certified digitization process?

To carry out the certified digitization of invoices in a company, it is necessary to have a software approved by the AEAT or by any of the foral estates of Alava, Guipuzcoa, Navarra or Vizcaya.

In order for the software to be able to carry out an electronic signature on each scanned invoice, it must be equipped with a qualified certificate. The current trend is to equip the software with a qualified legal entity certificate, in which case the resulting electronic signatures are called “qualified electronic seals” if they are managed in a device called “Qualified Seal Creation Device” (equipment that is also called HSM “Hardware Security Module”).

It is possible to carry out “certified digitization” or “guaranteed digitization” processes in the context of public administration, for which several of the Technical Interoperability Standards apply . In particular, that of authentic copy, that of digitization, that of signature policy and that of electronic document.

The ValidE portal provides some tools to validate electronic signatures and certificates. The EADTrust DSS tool also provides a lot of information about the certificates and signatures of electronic documents, whether or not they are the result of certified digitization.

Perhaps someone asked this question: is it necessary to start from the printed invoice document to be able to scan it in a certified digitization process or can an invoice received in pdf format be electronically signed?

The answer is given by ORDER EHA / 962/2007, of April 10, which develops certain provisions on telematic invoicing and electronic conservation of invoices in the different articles of which it consists.

Certified scanning can only be done from paper documents.

However, considering that the issuer and receiver can reach an agreement that the issuer of the invoice acts by sending “pre-invoices” in PDF format to the receiver and that the receiver converts them into electronic self-invoices by adding the electronic signature, the fundamental requirement of the electronic invoice, which is your electronic signature. The regulations allow invoices to be managed by the recipient (self-invoice) or a third party on behalf of the invoice issuer, who is usually the one who adds the electronic signatures or electronic stamps.

What to do if the device containing the electronic certificate is lost or stolen

In case of loss or theft of the device in which the private key associated with the electronic certificate is housed, it is necessary to request the revocation of the certificate by going to a Registration Authority of the Certification Authority that issued the certificate. Some certification authorities offer the possibility of remote revocation, using codes that were provided at the time the certificate was issued.

For example, EADTrust has a specific page and a form to request the revocation of the certificate .

Outsourcing of certified digitization processes

When a process is not focused on the core business of a company but can pose a significant administrative burden due to its volume, many entities resort to business process outsourcing (BPO).

A Certified Digitization service performed by third parties or a Remote Electronic Seal service managed by a qualified digital trust service provider can help in these cases.

Article 7 of Order EHA / 962/2007 indicates:

“This digitization process must meet the following requirements:

a) That the digitization process be carried out by the taxpayer himself or by a third party provider of digitization services , in the name and on his behalf, using in both cases software of certified digitization (…)
b) That the digitization process used guarantees the obtaining of a faithful and complete image of each digitized document and that this digital image is signed with an electronic signature in the terms of the previous articles of this Order based on an electronic certificate installed in the scanning system and invoked by the certified scanning software.This certificate must correspond to the taxpayer when the certified digitization is carried out by himself or to the digitization service provider in another case.

Advantages of Certified Digitisation

These are some of the advantages of Certified Digitisation:

  • Saving time in the search for documents, since, as they are documents in electronic format, searches can be generated by keywords.
  • Increase the efficiency and productivity of employees by saving time in filing and searching invoicess, reducing errors.
  • Frequently digitization allows incorporating the information of the invoices in the accounting or ERP system.
  • By having digital documents managed by computer software and stored in a secure repository, decision-making is streamlined by being certain that all the information is available.
  • Saves storage space by not having to guard paper documents and saves other costs related to archival material
  • It facilitates the adoption of repetitive procedures with the environment and, indirectly, helps to pass a possible ISO 14.001 type audit

Give us a call

You can contact EADTrust by calling +34 917 160 555 if you need help to homologate a certified digitization software to be approved by Spanish Tax Agency or if you need electronic certificates to be used in Spain or Europe.

Compatibilidad con EIDAS de proyectos de blockchain. Criptografía.


EADTrust está emitiendo certificados cualificados de persona física y persona física para su integración en proyectos de blockchain, lo que permitirá comprobar la viabilidad de los sistemas de identidad digital basados en carteras virtuales (User-centric Identity, denominación que sustitute a Self-sovereign Identity).

Un reto del proyecto es la selección del marco de algoritmos criptográficos que se usarán.

Aunque hay razones técnicas para adoptar el esquema de firma digital “Edwards-curve Digital Signature Algorithm (EdDSA)” (denominacion Ed25519) o la variante de “Elliptic Curve Digital Signature Algorithm (ECDSA) denominada secp256k1 y en algunos proyectos de Blockchain se ha elegido alguno de dichos algoritmos (o variantes con diferentes tamaños de clave), en las discusiones técnicas del equipo del Prestador de Servicios de Confianza indicado, finalmente se ha decidido optar por “Elliptic Curve Digital Signature Algorithm (ECDSA) en linea con las recomendaciones de la norma ETSI TS 119 312 V1.3.1. En concreto, la variante P256 (además de esta denominacion, P-256, tiene además otros nombres prime256v1 o sec256r1).

Dibujo de Carl Mehner sobre la curva P-256 usado en su blog https://www.cem.me/20170410-ecc-1.html

EADtrust ha sido la primera autoridad de certificación en emitir certificados basados en criptografía de curva elíptica y una de las pocas que lo hacen en el mundo. En el contexto de EIDAS (Reglamento UE 910/2014), emite certificados cualificados de persona física y de persona jurídica basados en el algoritmo ECDSA , con las variantes P-256 y P-384.

La compatibilidad con despliegues de infraestructura ya existentes en EIDAS es la que hace recomendable el uso de estos mismos algoritmos en proyectos con Blockchain, especialmente en las fases iniciales del proyecto en las que todavía no se han creado dependencias con decisiones de diseño para las que exista ya un histórico de bloques minados.

Electronic signatures in EU Digital COVID Certificates, based on qualified certificates issued by #EIDAS Certification Authorities


To configure DGCG (Digital Green Certificate Gateway) in Digital COVID Certificate project, participating countries provide information regarding Public Key of the certificate of CSCA (Certificate Signing Certificate Authority). Spain uses a ECC #eIDAS Sub-CA as CSCA.

CSCA, as defined in the DGC project, requires the CSCA cert to include the country field for which the CSCA is valid. However, #EIDAS certificates are intended for cross-border interoperability, so the country field in the CA cert is irrelevant to countries in which it is valid.

DGC technical documents should be changed so CSCA of one country could be serviced from a CA in other country. So #EIDAS certification authorities could provide DSC certificates to health bodies in any country. The same principle should be extended to WHO technical documents.

Extended key Usage Identifiers could be present with some information in #EIDAS certificates, so the explanation that the DSC may contain an extended key usage extension with zero or more key usage policy identifiers that constrain the types of HCERTs such DSC certificate may sign, should consider other OIDs as “not present” if the eHealth application doesn´t understand them.

If one or more of the special DGC OIDs are present, the verifiers SHALL verify the extended key usage against the stored HCERT.

In absence of any key usage extension of the special DGC OIDs (i.e. no such special DGC OIDs extensions), the related DSC certificate can be used to sign any type of HCERT.

So, in #EIDAS DSC certificates to be used to electronically sign HCERT, the following OIDs can be used in Extended Key Usage extension fields:

  • OID 1.3.6.1.4.1.1847.2021.1.1 — valid for test
  • OID 1.3.6.1.4.1.1847.2021.1.2 — valid for vaccinations
  • OID 1.3.6.1.4.1.1847.2021.1.3 — valid for recovery

This OIDs can be present if the related EU Digital COVID Certificate is restricted to one of two kind of certificates. If all 3 are included (or none of them) the related EU Digital COVID Certificate is NOT restricted and can reflect any of the three options.

Public Key of Spain CSCA for European digital COVID certificate


In order to configure DGCG (Digital Green Certificate Gateway) participating countries need to deliver information regarding CSCA (Certificate Signing Certificate Authority), and specifically Public Key of the certificate of the CA used to sign the DSC (Document Signing Certificate) of every Body in charge of issuing DGC (Digital Green Certificates) . Remember that Health CSCA is different from CSCA used in Passports although both environments use similar terminology.

Trust List managed by Gateway

The ECC p-256 Public Key of Spain CSCA to be used for European Digital Green Certificates is

—–BEGIN PUBLIC KEY—–MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE1rjpdfCTyXE8RdrbW8rbLagURmGQerDBqh0WEaRCaJpqDuqKy0Zs1fXBhSPJQ4334X0TdMAWBIoLnLBC2up9Lg==
—–END PUBLIC KEY—–

Principles regarding validity

  • Rule 0: A certificate needs to be valid when it is used to sign/seal.
  • Rule 1: The DSC needs to be valid longer than anything it signs. So, the DSC expiry date must be >= than expiration date of the document it signs.
  • Rule 2: The CSCA needs to be valid longer than any DSC it signs.
  • Rule 3: If any certificate has a shorter ‘key usage period’ – then the signature has to be created in that period.

More info:

Para más información: +34 91716055

Uso de certificados electrónicos para la firma electrónica de certificados verdes digitales


Se recogen seguidamente varias recomendaciones, basadas en documentos publicados por la Comisión Europea en relación con la arquitectura de seguridad de los “pasaportes COVID”, o “Certificados Verdes Digitales” (CVD) que es su actual denominación.

La información de este artículo puede entenderse mejor en relación con el que publiqué hace unos días: El “Certificado Verde Digital” para circular en tiempos de pandemia COVID-19 dentro de la UE.

La información recogida en este artículo está especialmente enfocada a las entidades españolas que participan en el proyecto y pretende aclarar algunas dudas sobre el uso de certificados.

Tipos de certificados a utilizar.

Las entidades deben disponer de un certificado basado en criptografía de curva elíptica con tamaño de clave de 256 bits, y es deseable que tengan también otro certificado basado en criptografía RSA, con tamaño de clave de 2048 bits para situaciones de contingencia. Esta recomendación se indica en las páginas 5 y 6 del documento “Guidelines on Technical Specifications for Digital Green Certificates – Volume 1

En España, es recomendable que, en el caso de las administraciones públicas, se utilicen certificados cualificados de sello de órgano del tipo indicado (ECC o RSA). Las entidades privadas deberían optar por un certificado de sello electrónico para persona jurídica. Estos certificados se denominan “Document Signing Certificates (DSCs)” en los documentos técnicos del proyecto. La codificación de caracteres debe basarse en el formato UTF-8. Con esta codificación no debería haber problema con los acentos de los nombres de los organismos en el campo “Common Name”, “Organization”, “Organization Unit” aunque teniendo en cuenta que es un proyecto internacional puede ser más sencillo para usuarios de otros países si no se usan acentos.

España ya tiene definida la CSCA (Certificate Signing Certificate Authority) para la emisión de certificados. Las entidades que emitan certificados digitales de vacunación, de pruebas diagnósticas de estar o haber estado infectado por COVID-19, o de haber superado la dolencia, deberían contactar con el Ministerio de Sanidad para coordinar su participación. La CSCA española está basada en certificados cualificados EIDAS, con una arquitectura diferente a la orientada a los sistemas eMRTD (electronic Machine Readable Travel Documents) de ICAO que inspiraron inicialmente el modelo de PKI adoptado para el “Digital Green certificate”.

Cada país tiene flexibilidad para definir el modelo de confianza que adoptará, pudiendo incluso tener más de una CSCA.

Se recomienda que las entidades firmantes de certificados HCERT (Electronic Health Certificate Container, denominación que aplica a los certificados verdes digitales, junto con DGC, Digital Green Certificate) utilicen dispositivos HSM para la custodia de claves privadas.

En las firmas realizadas con el DSC sobre el HCERT se debe incluir el dato “Expiration time” que indica la fecha límite en la que se acepta el certificado verde digital por quienes comprueban sus datos (en trámites fronterizos o de otro tipo). Esta fecha debe ser menor que la fecha de expiración del DSC. Ver página 6 del documento indicado anteriormente.

También se incluye el campo “Issued At“. Esta fecha es la de emisión de certificado y no puede ser anterior a la fecha de emisión del DSC. Ver página 6 del documento indicado anteriormente.

Existe una recomendación que sugiere adquirir certificados DSC de 2 años y utilizarlos por 6 meses para firmar los HCERT. No obstante, si se limita la validez de los HCERT a 6 meses, los DSC de 2 años se podrían utilizar durante 18 meses.

Contacte con el +34 91 716 0555 si necesita información adicional.

Thales anuncia la certificación EIDAS para firma remota de sus HSM


El Módulo de Seguridad de Hardware (Hardware Security Module, HSM) de Thales denominado Luna v.7.7.0 ya está certificado de acuerdo con los Criterios Comunes (Common Criteria, CC) en el nivel EAL4+ contra el Perfil de Protección (PP) EN 419 221-5 de los Servicios de Identificación, Autenticación y Confianza electrónicos (eIDAS). Además de la certificación CC, Luna HSM 7 también ha recibido la certificación eIDAS como dispositivo cualificado de creación de firmas y sellos (Qualified Signature/Seal Creation Device QSCD).

Los HSM Luna (de las generaciones 6 y 7, anteriormente englobados bajo la marca Safenet) ya habían conseguido certificaciones como QSCD independiente, o como parte de un QSCD de firma remota formado por módulos creados por entidades terceras que los incluían en su configuración. Han certificado su validez entidades de evaluación de conformidad de Austria, Italia y España, según lo previsto en el artículo 30.3.b (Procesos alternativos) del Reglamento EIDAS.

Los prestadores de servicios de confianza cualificados (Qualified Trust Service Providers, QTSP), así como las empresas públicas o privadas que emiten certificados digitales y proporcionan firmas y sellos digitales sobre servidores propios o remotos (avanzados y cualificados), sello de tiempo, entrega electrónica y servicios de autenticación de sitios web, pueden utilizar ahora los HSM Luna 7 como parte de su solución alineada con eIDAS.

Esta certificación CC EAL4+ de la familia de HSMs Luna es la quinta en cuatro generaciones de productos (Luna CA3, Luna 4, Luna 5/6 y ahora Luna 7).

Esta última versión de HSM Luna incluye funciones útiles para operaciones eIDAS de gran volumen, que requieran alto rendimiento, y funcionalidades como la autorización por clave (per-key authorization, PKA) y el almacenamiento escalable de claves (scalable key storage, SKS), funciones utilizadas por los sistemas que gestionan firmas remotas en nombre del titular del certificado.

Los Prestadores de Servicios de Confianza (Trust Service Providers – TSP) que adopten estos HSM de Thales pueden certificar sus soluciones de firma remota conPerfil de Protección Common Criteria EN 419 241-2 (perfil de protección para QSCD diseñado para la modalidad de firma electrónica en servidor), o en el caso de una certificación eIDAS existente (en base al artículo 30.3.b, procesos alternativos), ampliar su lista de certificaciones con esta nueva certificación Common Criteria.

La certificación en base al Perfil de Protección Common Criteria EN 419 221-5 “Cryptographic Modules for Trust Services” (Módulos criptográficos para servicios de confianza) puede utilizarse como certificación independiente o como base para una certificación CC de mayor alcance según el Perfil de Protección EN 419 241-2 para servicios de firma y sellado electrónico remotos. La norma EN 419 241-2 exige el empleo de un módulo criptográfico, como un HSM, destinado a ser utilizado por los TSP en apoyo de las operaciones de firma electrónica y sellado electrónico, que esté certificado conforme a la norma EN 419 221-5.

Además, los artículos 30 y 31 del reglamento eIDAS dictan que “La conformidad de los dispositivos cualificados de creación de firmas electrónicas con los requisitos [de la UE] […] será certificada por los organismos públicos o privados adecuados designados por los Estados miembros”. Luna HSM 7 está publicado en la lista del artículo 31 de eIDAS, promoviendo su uso como QSCD certificado.

El uso de un equipamiento de HSM basado en la nube o en las instalaciones de la entidad que lo adopta es una forma excelente de cumplir con el eIDAS y tiene muchas ventajas, pero se exige que el HSM esté certificado como dispositivo QSCD.

En los entornos de trabajo remotos existe la necesidad de acceder a las claves de firma digital en cualquier momento y lugar. Los HSM se utilizan para gestionar y proteger las claves de firma privadas de sus titulares, sin que el firmante deba preocuparse por su custodia (como ocurre cuando se utilizan tarjetas inteligentes). Sus claves se mantienen en el perímetro del Prestador de Servicios de Confianza (protegidas por el HSM) y con sujeción a la evaluación periódica del prestador.

HSMs Luna

Además de los requisitos a los HSM impuestos por el Reglamento eIDAS mencionados anteriormente, que requieren su evaluación de conformidad, los HSM de red y de tarjeta PCIe de Luna proporcionan altos rendimientos, protección de claves de alto nivel de aseguramiento y la administración y supervisión centralizada de las operaciones de criptografía necesarias para gestionar firmas electrónicas, sellos electrónicos y otros servicios de confianza y resultan necesarios para proporcionar servicios eIDAS.

Noticia comunicada por Thales (artículo de Hermann Bauer) .

Los organismos públicos españoles no gestionan correctamente los certificados cualificados


No estoy seguro de que la afirmación se pueda generalizar a “TODOS” los organismos públicos, pero sí a la inmensa mayoría.

Desde hace unos cuantos años, muchos organismos públicos publican una lista de los Prestadores de Servicios de Certificación cuyos certificados admiten para realizar gestiones en su sede electrónica.

La mera existencia de una lista ya es sospechosa, porque es muy difícil mantenerla actualizada, salvo que se haga referencia a la herramienta publicada por la Comisión Europea que permite visualizar los Prestadores de Servicios de Certificación Cualificados de todos los estados miembros: https://webgate.ec.europa.eu/tl-browser/#/

La existencia de la lista da a entender que solo se admiten algunos prestadores españoles, pero si fuera así, sería ilegal.

Algunos organismos hacen referencia a que admiten los certificados que gestiona la plataforma @firma, pero esta plataforma tampoco está siendo diligente en la gestión de certificados. Y aunque con cierta frecuencia publica nuevas versiones de un documento que incluye los prestadores cuyos certificados han comprobado ( Anexo – PSC ) la cadencia de publicación lleva varios meses de retraso respecto a la publicación por la SEDIA de la lista de confianza TSL española en PDF y XML (y la lista anexa de resumen de cambios Cambios TSL).

Y el mecanismo adoptado para la comprobación de certificados por @firma debería estar más automatizado, en especial para acoger los certificados cuyos perfiles siguen las pautas definidas en los estándares de ETSI (aplicables a personas y entidades de cualquier país), aunque caber entender que los certificados “especiales” de empleado público, de sello electrónico para las administraciones, y de sede electrónica puedan contener información adicional, ya que se han definido perfiles de certificados especiales para ello en el documento “Perfiles de Certificados 2.0“. No se entiende este retraso, especialmente si se tiene en cuenta que la SGAD (de la que depende @firma ) está en el mismo Ministerio que la SEDIA ( Organismo al que los Prestadores solicitan la cualificación y su inclusión en la TSL).

Voy a indicar a continuación referencias a varias leyes (y un reglamento europeo) para que se entienda que todos los organismo públicos deben admitir los certificados de todos los prestadores cualificados europeos indpendientemente del pais que los haya incluido en su lista TSL.

La reciente Ley 6/2020 indica:

Artículo 16. Mantenimiento de la lista de confianza.

1. El Ministerio de Asuntos Económicos y Transformación Digital establecerá, mantendrá y publicará la lista de confianza con información relativa a los prestadores cualificados de servicios de confianza sujetos a esta Ley, junto con la información relacionada con los servicios de confianza cualificados prestados por ellos, según lo previsto en el artículo 22 del Reglamento (UE) 910/2014.

2. El plazo máximo para dictar y notificar resolución en el procedimiento de verificación previa de cumplimiento de los requisitos establecidos en el citado Reglamento será de 6 meses, transcurridos los cuales se podrá entender desestimada la solicitud.

3. La revocación de la cualificación a un prestador o a un servicio mediante su retirada de la lista de confianza es independiente de la aplicación del régimen sancionador.

Por otro lado, la Ley 39/2015 indica:

Artículo 9. Sistemas de identificación de los interesados en el procedimiento.

1. Las Administraciones Públicas están obligadas a verificar la identidad de los interesados en el procedimiento administrativo, mediante la comprobación de su nombre y apellidos o denominación o razón social, según corresponda, que consten en el Documento Nacional de Identidad o documento identificativo equivalente.

2. Los interesados podrán identificarse electrónicamente ante las Administraciones Públicas a través de los sistemas siguientes:

a) Sistemas basados en certificados electrónicos cualificados de firma electrónica expedidos por prestadores incluidos en la ‘‘Lista de confianza de prestadores de servicios de certificación’’.

b) Sistemas basados en certificados electrónicos cualificados de sello electrónico expedidos por prestadores incluidos en la ‘‘Lista de confianza de prestadores de servicios de certificación’’.

(…)

Artículo 10. Sistemas de firma admitidos por las Administraciones Públicas.

1. Los interesados podrán firmar a través de cualquier medio que permita acreditar la autenticidad de la expresión de su voluntad y consentimiento, así como la integridad e inalterabilidad del documento.

2. En el caso de que los interesados optaran por relacionarse con las Administraciones Públicas a través de medios electrónicos, se considerarán válidos a efectos de firma:

a) Sistemas de firma electrónica cualificada y avanzada basados en certificados electrónicos cualificados de firma electrónica expedidos por prestadores incluidos en la ‘‘Lista de confianza de prestadores de servicios de certificación’’.

b) Sistemas de sello electrónico cualificado y de sello electrónico avanzado basados en certificados electrónicos cualificados de sello electrónico expedidos por prestador incluido en la ‘‘Lista de confianza de prestadores de servicios de certificación’’.

Por otro lado, el Reglamento Europeo UE 910 2014 indica en su artículo 25:

(…)

3.   Una firma electrónica cualificada basada en un certificado cualificado emitido en un Estado miembro será reconocida como una firma electrónica cualificada en todos los demás Estados miembros.

De forma semejente, en su artículo 27  Firmas electrónicas en servicios públicos


1.   Si un Estado miembro requiere una firma electrónica avanzada con el fin de utilizar un servicio en línea ofrecido por un organismo del sector público, o en nombre del mismo, dicho Estado miembro reconocerá las firmas electrónicas avanzadas, las firmas electrónicas avanzadas basadas en un certificado cualificado de firma electrónica y las firmas electrónicas cualificadas por lo menos en los formatos o con los métodos definidos en los actos de ejecución contemplados en el apartado 5.

2.   Si un Estado miembro requiere una firma electrónica avanzada basada en un certificado cualificado con el fin de utilizar un servicio en línea ofrecido por un organismo del sector público, o en nombre del mismo, dicho Estado miembro reconocerá las firmas electrónicas avanzadas basadas en un certificado cualificado y las firmas electrónicas cualificadas por lo menos en los formatos o con los métodos definidos en los actos de ejecución contemplados en el apartado 5.

3.   Los Estados miembros no exigirán para la utilización transfronteriza de un servicio en línea ofrecido por un organismo del sector público una firma electrónica cuyo nivel de garantía de la seguridad sea superior al de una firma electrónica cualificada.

4.   La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas relativas a firmas electrónicas avanzadas. Se presumirá el cumplimiento de los requisitos de las firmas electrónicas avanzadas mencionadas en los apartados 1 y 2 del presente artículo y en el artículo 26 cuando una firma electrónica avanzada se ajuste a dichas normas. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

5.   A más tardar el 18 de septiembre de 2015, y teniendo en cuenta las prácticas, normas y actos jurídicos de la Unión existentes, la Comisión, mediante actos de ejecución, definirá los formatos de referencia de las firmas electrónicas avanzadas o métodos de referencia cuando se utilicen formatos alternativos. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

Existen artículos semejantes para los sellos electrónico. Por ejemplo el artículo 35 indica:


(…)3.   Un sello electrónico cualificado basado en un certificado cualificado emitido en un Estado miembro será reconocido como un sello electrónico cualificado en todos los demás Estados miembros.

Y el artículo Artículo 37 Sellos electrónicos en servicios públicos

1.   Si un Estado miembro requiere un sello electrónico avanzado con el fin de utilizar un servicio en línea ofrecido por un organismo del sector público, o en nombre del mismo, dicho Estado miembro reconocerá los sellos electrónicos avanzados, los sellos electrónicos avanzados basados en un certificado reconocido de sellos electrónicos y los sellos electrónicos cualificados por lo menos en los formatos o con los métodos definidos en los actos de ejecución contemplados en el apartado 5.

2.   Si un Estado miembro requiere un sello electrónico avanzado basado en un certificado cualificado con el fin de utilizar un servicio en línea ofrecido por un organismo del sector público, o en nombre del mismo, dicho Estado miembro reconocerá los sellos electrónicos avanzados basados en un certificado cualificado y los sellos electrónicos cualificados por lo menos en los formatos o con los métodos definidos en los actos de ejecución contemplados en el apartado 5.

3.   Los Estados miembros no exigirán, para el uso transfronterizo en un servicio en línea ofrecido por un organismo del sector público, un sello electrónico cuyo nivel de seguridad sea superior al de un sello electrónico cualificado.

4.   La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas relativas a los sellos electrónicos avanzados. Se presumirá el cumplimiento de los requisitos de los sellos electrónicos avanzados mencionados en los apartados 1 y 2 del presente artículo y en el artículo 36 cuando un sello electrónico avanzado se ajuste a dichas normas. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

5.   A más tardar el 18 de septiembre de 2015, y teniendo en cuenta las prácticas existentes, las normas y actos jurídicos de la Unión, la Comisión adoptará actos de ejecución que definan los formatos de referencia de los sellos electrónicos avanzados o métodos de referencia cuando se utilicen formatos alternativos. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

En resumidas cuentas, los organismos públicos deben aceptar todos los certificados cualificados expedidos por Prestadores de Servicios de Certificación incluidos en las Lista de Servicios de Confianza Cualificados de todos los paises de la Unión Europea.

La lista de confianza europea está disponble en el siguiente enlace:
https://ec.europa.eu/information_society/policy/esignature/trusted-list/tl-mp.xml
Este fichero contiene los enlaces  a las listas TSL de todos los estados miembros.

Los que sigan este blog han comprobado que no dejo de ser insistente porque llevo hablando de este tema desde hace más de 10 años (cada vez referenciando normas distintas, las vigentes en ese momento) y prueba de ello son los siguientes artículo:

Los servicios de confianza digital y el comercio electrónico en la relación UK-EU tras el Brexit


El borrador del acuerdo de comercio y cooperación entre la Unión Europea y la Comunidad Europea de Energía Atómica, por un lado, y el Reino Unido de Gran Bretaña e Irlanda del Norte por otro, se publicó finalmente el 25 de diciembre de 2020 tras anunciarse la Nochebuena previa que se había alcanzado el acuerdo.

Aunque el borrador está sujeto a cambios menores de redacción, se someterá a ratificación por los gobernos de los paises miembros, y de lograrse, se aplicará a partir del dia 1 de mes siguiente al que se haya producido dicha ratificación y la del Parlamento británico.

Los primeros meses desde el 1 de enero de 2021 pueden ser un poco caóticos salvo que se adopten medidas provisionales, cuestionables desde el punto de vista de la percepción de la soberanía de los países miembros o el Reino Unido solicite un aplazamiento de la fecha límite de vigencia del período de transición. Lo que no se espera, porque da la impresión de que el Primer Ministro británico precisamente pretende demostrar que permanecer en la Unión Europea supone renunciar a un cierto grado de soberanía nacional.

En el acuerdo, a partir de la página 116 el Título III se refiere a las condiciones de Comercio Electrónico (Digital Trade).

TITLE III: DIGITAL TRADE
Chapter 1: General provisions
Article DIGIT.1 Objective


The objective of this Title is to facilitate digital trade, to address unjustified barriers to trade enabled by electronic means and to ensure an open, secure and trustworthy online environment for businesses and consumers.

Article DIGIT.2 Scope

  1. This Title applies to measures of a Party affecting trade enabled by electronic means.
  2. This Title does not apply to audio-visual services.

Article DIGIT.3 Right to regulate


The Parties reaffirm the right to regulate within their territories to achieve legitimate policy objectives, such as the protection of public health, social services, public education, safety, the environment including climate change, public morals, social or consumer protection, privacy and data protection, or the promotion and protection of cultural diversity.

Article DIGIT.4 Exceptions


For greater certainty, nothing in this Title prevents the Parties from adopting or maintaining measures in accordance with Article EXC.1 [General exceptions], Article EXC.4 [Security exceptions] and Article SERVIN.5.39 [Prudential carve-out] for the public interest reasons set out therein.

Article DIGIT.5 Definitions

  1. The definitions in Article SERVIN.1.2 [Definitions] of Title II [Services and investment] of this Heading apply to this Title.
  1. For the purposes of this Title:
    (a) “consumer” means any natural person using a public telecommunications service for other than professional purposes;
    (b) “direct marketing communication” means any form of commercial advertising by which a natural or legal person communicates marketing messages directly to a user via a public telecommunications service and covers at least electronic mail and text and multimedia messages (SMS and MMS);
    (c) “electronic authentication” means an electronic process that enables the confirmation of:
    (i) the electronic identification of a natural or legal person, or
    (ii) the origin and integrity of data in electronic form;
    (d) “electronic registered delivery service” means a service that makes it possible to transmit data between third parties by electronic means and provides evidence relating to the handling of the transmitted data, including proof of sending and receiving the data, and that protects transmitted data against the risk of loss, theft, damage or any unauthorised alterations;
    (e) “electronic seal” means data in electronic form used by a legal person which is attached to or logically associated with other data in electronic form to ensure the latter’s origin and integrity;
    (f) “electronic signature” means data in electronic form which is attached to or logically associated with other data in electronic form that:
    (i) is used by a natural person to agree on the data in electronic form to which it relates; and
    (ii) is linked to the data in electronic form to which it relates in such a way that any subsequent alteration in the data is detectable;
    (g) “electronic time stamp” means data in electronic form which binds other data in electronic form to a particular time establishing evidence that the latter data existed at that time;
    (h) “electronic trust service” means an electronic service consisting of:
    (i) the creation, verification and validation of electronic signatures, electronic seals, electronic time stamps, electronic registered delivery services and certificates related to those services;
    (ii) the creation, verification and validation of certificates for website authentication; or
    (iii) the preservation of electronic signatures, seals or certificates related to those services;
    (i) “government data” means data owned or held by any level of government and by non-governmental bodies in the exercise of powers conferred on them by any level of government;
    (j) “public telecommunications service” means any telecommunications service that is offered to the public generally;
    (k) “user” means any natural or legal person using a public telecommunications service.

Chapter 2: Data flows and personal data protection
Article DIGIT.6 Cross-border data flows

  1. The Parties are committed to ensuring cross-border data flows to facilitate trade in the digital economy. To that end, cross-border data flows shall not be restricted between the Parties by a Party:
    (a) requiring the use of computing facilities or network elements in the Party’s territory for processing, including by imposing the use of computing facilities or network elements that are certified or approved in the territory of a Party;
    (b) requiring the localisation of data in the Party’s territory for storage or processing;
    (c) prohibiting the storage or processing in the territory of the other Party; or
    (d) making the cross-border transfer of data contingent upon use of computing facilities or network elements in the Parties’ territory or upon localisation requirements in the Parties’ territory.
  2. The Parties shall keep the implementation of this provision under review and assess its functioning within three years of the date of entry into force of this Agreement. A Party may at any time propose to the other Party to review the list of restrictions listed in paragraph 1. Such a request shall be accorded sympathetic consideration.

Article DIGIT.7 Protection of personal data and privacy

  1. Each Party recognises that individuals have a right to the protection of personal data and privacy and that high standards in this regard contribute to trust in the digital economy and to the development of trade.
  2. Nothing in this Agreement shall prevent a Party from adopting or maintaining measures on the protection of personal data and privacy, including with respect to cross-border data transfers, provided that the law of the Party provides for instruments enabling transfers under conditions of general application34 for the protection of the data transferred.
  3. Each Party shall inform the other Party about any measure referred to in paragraph 2 that it adopts or maintains.


Chapter 3: Specific provisions
Article DIGIT.8 Customs duties on electronic transmissions

  1. Electronic transmissions shall be considered as the supply of a service within the meaning of Title II [Services and investment] of this Heading.
  2. The Parties shall not impose customs duties on electronic transmissions.

Article DIGIT.9 No prior authorisation

  1. A Party shall not require prior authorisation of the provision of a service by electronic means solely on the ground that the service is provided online, and shall not adopt or maintain any other requirement having an equivalent effect.
  2. A service is provided online when it is provided by electronic means and without the parties being simultaneously present.
  3. Paragraph 1 does not apply to telecommunications services, broadcasting services, gambling services, legal representation services or to the services of notaries or equivalent professions to the extent that they involve a direct and specific connection with the exercise of public authority.


Article DIGIT.10: Conclusion of contracts by electronic means

  1. Each Party shall ensure that contracts may be concluded by electronic means and that its law neither creates obstacles for the use of electronic contracts nor results in contracts being deprived of legal effect and validity solely on the ground that the contract has been made by electronic means.
  2. Paragraph 1 does not apply to the following:
    (a) broadcasting services;
    (b) gambling services;
    (c) legal representation services;
    (d) the services of notaries or equivalent professions involving a direct and specific connection with the exercise of public authority;
    (e) contracts that require witnessing in person;
    (f) contracts that establish or transfer rights in real estate;
    (g) contracts requiring by law the involvement of courts, public authorities or professions exercising public authority;
    (h) contracts of suretyship granted, collateral securities furnished by persons acting for purposes outside their trade, business or profession; or
    (i) contracts governed by family law or by the law of succession.

Article DIGIT.11 Electronic authentication and electronic trust services

  1. A Party shall not deny the legal effect and admissibility as evidence in legal proceedings of an electronic document, an electronic signature, an electronic seal or an electronic time stamp, or of data sent and received using an electronic registered delivery service, solely on the ground that it is in electronic form.
  2. A Party shall not adopt or maintain measures that would:
    (a) prohibit parties to an electronic transaction from mutually determining the appropriate electronic authentication methods for their transaction; or
    (b) prevent parties to an electronic transaction from being able to prove to judicial and administrative authorities that the use of electronic authentication or an electronic trust service in that transaction complies with the applicable legal requirements.
  3. Notwithstanding paragraph 2, a Party may require that for a particular category of transactions, the method of electronic authentication or trust service is certified by an authority accredited in accordance with its law or meets certain performance standards which shall be objective, transparent and non-discriminatory and only relate to the specific characteristics of the category of transactions concerned.

Article DIGIT.12: Transfer of or access to source code

  1. A Party shall not require the transfer of, or access to, the source code of software owned by a natural or legal person of the other Party.
  2. For greater certainty:
    (a) the general exceptions, security exceptions and prudential carve-out referred to in Article DIGIT.4 [Exceptions] apply to measures of a Party adopted or maintained in the context of a certification procedure; and
    (b) paragraph 1 of this Article does not apply to the voluntary transfer of, or granting of access to, source code on a commercial basis by a natural or legal person of the other Party, such as in the context of a public procurement transaction or a freely negotiated contract.
  3. Nothing in this Article shall affect:
    (a) a requirement by a court or administrative tribunal, or a requirement by a competition authority pursuant to a Party’s competition law to prevent or remedy a restriction or a distortion of competition;
    (b) a requirement by a regulatory body pursuant to a Party’s laws or regulations related to the protection of public safety with regard to users online, subject to safeguards against unauthorised disclosure;
    (c) the protection and enforcement of intellectual property rights; and
    (d) the right of a Party to take measures in accordance with Article III of the GPA as incorporated by Article PPROC.2 [Incorporation of certain provisions of the GPA and covered procurement] of Title VI [Public procurement] of this Heading.

Article DIGIT.13 Online consumer trust

  1. Recognising the importance of enhancing consumer trust in digital trade, each Party shall adopt or maintain measures to ensure the effective protection of consumers engaging in electronic commerce transactions, including but not limited to measures that:
    (a) proscribe fraudulent and deceptive commercial practices;
    (b) require suppliers of goods and services to act in good faith and abide by fair commercial practices, including through the prohibition of charging consumers for unsolicited goods and services;
    (c) require suppliers of goods or services to provide consumers with clear and thorough information, including when they act through intermediary service suppliers, regarding their identity and contact details, the transaction concerned, including the main characteristics of the goods or services and the full price inclusive of all applicable charges, and the applicable consumer rights (in the case of intermediary service suppliers, this includes enabling the provision of such information by the supplier of goods or services); and
    (d) grant consumers access to redress for breaches of their rights, including a right to remedies if goods or services are paid for and are not delivered or provided as agreed.
  1. The Parties recognise the importance of entrusting their consumer protection agencies or other relevant bodies with adequate enforcement powers and the importance of cooperation between these agencies in order to protect consumers and enhance online consumer trust.

Article DIGIT.14 Unsolicited direct marketing communications

  1. Each Party shall ensure that users are effectively protected against unsolicited direct marketing communications.
  2. Each Party shall ensure that direct marketing communications are not sent to users who are natural persons unless they have given their consent in accordance with each Party’s laws to receiving such communications.
  3. Notwithstanding paragraph 2, a Party shall allow natural or legal persons who have collected, in accordance with conditions laid down in the law of that Party, the contact details of a user in the context of the supply of goods or services, to send direct marketing communications to that user for their own similar goods or services.
  4. Each Party shall ensure that direct marketing communications are clearly identifiable as such, clearly disclose on whose behalf they are made and contain the necessary information to enable users to request cessation free of charge and at any moment.
  5. Each Party shall provide users with access to redress against suppliers of direct marketing communications that do not comply with the measures adopted or maintained pursuant to paragraphs 1 to 4.

Article DIGIT.15 Open government data

  1. The Parties recognise that facilitating public access to, and use of, government data contributes to stimulating economic and social development, competitiveness, productivity and innovation.
  2. To the extent that a Party chooses to make government data accessible to the public, it shall endeavour to ensure, to the extent practicable, that the data:
    (a) is in a format that allows it to be easily searched, retrieved, used, reused, and redistributed;
    (b) is in a machine-readable and spatially-enabled format;
    (c) contains descriptive metadata, which is as standard as possible;
    (d) is made available via reliable, user-friendly and freely available Application Programming Interfaces;
    (e) is regularly updated;
    (f) is not subject to use conditions that are discriminatory or that unnecessarily restrict re-use; and
    (g) is made available for re-use in full compliance with the Parties’ respective personal data protection rules.
  1. The Parties shall endeavour to cooperate to identify ways in which each Party can expand access to, and use of, government data that the Party has made public, with a view to enhancing and generating business opportunities, beyond its use by the public sector.

Article DIGIT.16 Cooperation on regulatory issues with regard to digital trade

  1. The Parties shall exchange information on regulatory matters in the context of digital trade, which shall address the following:
    (a) the recognition and facilitation of interoperable electronic trust and authentication services;
    (b) the treatment of direct marketing communications;
    (c) the protection of consumers; and
    (d) any other matter relevant for the development of digital trade, including emerging technologies.
  2. Paragraph 1 shall not apply to a Party’s rules and safeguards for the protection of personal data and privacy, including on cross-border transfers of personal data.
    Article DIGIT.17 – Understanding on computer services
  3. The Parties agree that, for the purpose of liberalising trade in services and investment in accordance with Title II [Services and Investment] of this Heading, the following services shall be considered as computer and related services, regardless of whether they are delivered via a network, including the Internet:
    (a) consulting, adaptation, strategy, analysis, planning, specification, design, development, installation, implementation, integration, testing, debugging, updating, support, technical assistance or management of or for computers or computer systems;
    (b) computer programmes defined as the sets of instructions required to make computers work and communicate (in and of themselves), as well as consulting, strategy, analysis, planning, specification, design, development, installation, implementation, integration, testing, debugging, updating, adaptation, maintenance, support, technical assistance, management or use of or for computer programmes;
    (c) data processing, data storage, data hosting or database services;
    (d) maintenance and repair services for office machinery and equipment, including computers; and
    (e) training services for staff of clients, related to computer programmes, computers or computer systems, and not elsewhere classified.
  4. For greater certainty, services enabled by computer and related services, other than those listed in paragraph 1, shall not be regarded as computer and related services in themselves.

El Pleno del Congreso aprueba el Proyecto de Ley reguladora de determinados aspectos de los servicios electrónicos de confianza


El Proyecto de Ley reguladora de determinados aspectos de los servicios electrónicos de confianza ha quedado aprobado en ell Congreso el 29/10/2020 una vez votados y ratificados los cambios realizados durante su tramitación en el Senado, con 319 votos a favor, 9 en contra y 19 abstenciones.

La norma, que entrará en vigor al día siguiente de su publicación en el Boletín Oficial del Estado (BOE), adapta el ordenamiento jurídico español al marco regulatorio de la Unión Europea evitando la existencia de “vacíos normativos susceptibles de dar lugar a situaciones de inseguridad jurídica en la prestación de servicios electrónicos de confianza” y creando otros en los que colisiona con el Reglamento EIDAS. (Reglamento UE 910/2014).

Originalmente, su objetivo era complementar el citado reglamento en aquellos aspectos en los que delega la regulación a los países miembros.

Este Proyecto de Ley regula ciertos aspectos de los nuevos servicios electrónicos de confianza previstos en el Reglamento EIDAS, entre los que se encuentra la firma electrónica de persona física, ya recogida en la normativa española anterior, que ahora se deroga.

Entre los nuevos servicios se incluyen el sello electrónico de persona jurídica, los servicios de validación y conservación de firmas y sellos cualificados, el servicio de entrega electrónica certificada y la expedición de certificados cualificados para servidores web, que habiliten el protocolo de cifrado TSL.

En su artículo 6, uno de los puntos en los que colisiona con el Reglamento EIDAS, establece que el período de vigencia de los certificados electrónicos no será superior a cinco años. La normativa técnica relativa a la criptografía creada en desarrollo del Reglamento permite diferentes duraciones de los certificados , según la robustez de los algoritmos criptográficos.

Enmiendas del Senado

En cuanto a las enmiendas introducidas por el Senado, el Pleno de la Cámara Baja ha aceptado la modificación del apartado 1 del artículo 6 sobre la identidad y atributos de los titulares de los certificados cualificados.

De esta manera, en los supuestos de certificado de firma electrónica y de autenticación de sitios web expedidos a personas físicas, se podrán sustituir el DNI, el número de identidad de extranjero  o número de identificación fiscal por otro código o número identificativo “únicamente en caso de que el titular carezca de todos ellos por causa lícita, siempre que le identifique de forma unívoca y permanente en el tiempo”. Esta previsión también es contraria al Reglamento EIDAS, ya que la normativa técnica creada en su desarrollo permite utilizar diferentes códigos numéricos asociados a la identidad, como el número de pasaporte, el número de la seguridad social, el número de colegiado o un número de identificación profesional. La posibilidad de usar números diferentes del NIE o del número de DNI era una demanda de la sociedad que lo considera necesario para proteger la privacidad del firmante, y el Congreso aprobó una enmienda en su trámite que lo permitía, pero que fue revertida inexplicablemente en la tramitación de la norma en el Senado.

Del mismo modo, la Cámara Baja ha ratificado los cambios introducidos por el Senado en el artículo 7, apartado 2, que establece que/para que mediante Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital, se determinarán otras condiciones y requisitos técnicos de verificación de la identidad a distancia y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante videoconferencia o vídeo-identificación.

El Pleno del Congreso también ha aprobado la modificación realizada por la Cámara Alta en el artículo 7, apartado 4, sobre la comprobación de datos por parte de prestadores de servicios de confianza mediante “documentos públicos, si resultan exigibles”. Es una pena que se haya orillado la mención a documentos privados, considerando el grado de desarrollo de la figura del mandato en España, que coexiste con el poder notarial y que se había incluido en las enmiendas propuestas por el Congreso en la primera fase del trámite parlamentario, revertidas en el Senado.

Asimismo, la Cámara Baja ha ratificado la introducción del artículo 10 sobre la responsabilidad de los prestadores de servicios electrónicos de confianza y el artículo 10 (bis), que modifica las limitaciones de responsabilidad de servicios electrónicos de confianza.

El Pleno del Congreso también ha aprobado la modificación del artículo 11, de modo que los prestadores de servicios de confianza no cualificados figurarán “en una lista diferente” a la de los cualificados con la descripción detallada y clara de las características propias y diferenciales entre unos y otros. Algo que, en realidad, ya está sucediendo y que no precisaba de mención legal expresa.

Los artículos 1 y 2 de la disposición adicional tercera de este Proyecto de Ley también han sido ratificados por el Pleno del Congreso. De este modo, se reconoce que el DNI “es el Documento Nacional de Identidad que permite acreditar electrónicamente la identidad personal de su titular, así como la identidad del firmante y la integridad de los documentos firmados con sus certificados electrónicos”. Este es otro de los errores introducidos en el Senado, al cambiar una enmienda introducida en el Congreso . El DNI electrónico contiene dos certificados cualificados: uno de firma electrónica y otro de autenticación. Todos los certificados cualificados (ya sean de firma, ya sean de autenticación) deben ser válidos para acreditar electrónicamente la identidad personal de su titular, así como la identidad del firmante y la integridad de los documentos firmados con sus certificados electrónicos (de firma). Hacer la mención expresa al DNIe puede dar a entender que se trata de un caso singular, y no un caso particular de un concepto general.

Queda un sabor agridulce al finalizar el proceso parlamentario que ha conducido a la aprobación de la Ley. Por lo menos ha quedado derogada la Ley 59/2003 que generaba muchos problemas de interpretación en lo que no coincidía con el Reglamento UE 910/2014.

Pero muchos de los errores de la Ley 59/2003 se mantienen en la nueva Ley.

Una nueva esperanza: el Reglamento EIDAS está en un proceso de revisión que ha pasado en 2020 por una encuesta promovida por la Comisión Europea y que en unos meses dará lugar a un nuevo Reglamento. Una vez se publique el nuevo Reglamento habrá una nueva oportunidad de corregir los errores de la “Ley reguladora de determinados aspectos de los servicios electrónicos de confianza” cuando haya que tramitar la próxima ley. Esperemos que no pasen otros 17 años.

Orden Ministerial para favorecer la identificación a distancia en la expedición de certificados cualificados


Como ya se ha comentado en otras ocasiones en este blog, la identificación a distancia prevista en el apartado d) del artículo 24.1 del Reglamento EIDAS es esencial para lograr la generalización de la posesión y uso de certificados electrónicos, y de manera singular en tiempos de limitaciones de movilidad o indisponibilidad de los servicios presenciales de la administracion, como ha sucedido durante las fases de confinamiento por la pandemia COVID-19 y podría volver a suceder.

Pese a que ya existen diversas normas técnicas y legales que puede utilizar un CAB (Conformity Assessment Body) para valorar si un Prestador de Servicios Electrónicos de Confianza emplea métodos de identificación que aportan una seguridad equivalente en términos de fiabilidad a la presencia física, el hecho de que existiera una norma específicamente diseñada para ello, constituiría una ayuda inestimable, especialmente en cuanto supone una presunción del cumplimiento de la equivalencia de métodos de identificación.

En las semanas pasadas se han ido produciendo diferentes desarrollos legales que animan a pensar que finalmente se publicará en España una norma para ello, posiblemente una Orden Ministerial.

El 28 de febrero de 2020 se inició en el Congreso el trámite parlamentario necesario para la publicación de la futura “Ley reguladora de determinados aspectos de los servicios electrónicos de confianza”. En el borrador de la norma remitido al Congreso, el artículo 7.2 indicaba:

Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital se determinarán las condiciones y requisitos técnicos aplicables a la verificación de la identidad y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física.

El texto que pasó al senado reflejaba una enmienda:

Reglamentariamente podrán determinarse otras condiciones y requisitos técnicos de verificación de la identidad a distancia y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física según su evaluación por un organismo de evaluación de la conformidad. La determinación de dichas condiciones y requisitos técnicos se realizará a partir de los estándares que, en su caso, hayan sido determinados a nivel comunitario.

Serán considerados métodos de identificación reconocidos a escala nacional, a los efectos de lo previsto en el presente apartado, aquellos que aporten una seguridad equivalente en términos de fiabilidad a la presencia física y cuya equivalencia en el nivel de seguridad sea certificada por un organismo de evaluación de la conformidad, así como aquellos que se habiliten o se hayan habilitado, por organismos competentes, en cualquier otro ámbito de nuestro ordenamiento jurídico, a los efectos de llevar a cabo una identificación no presencial por medios electrónicos o telemáticos. En especial, serán válidos, a los efectos de la comprobación de la identidad de los solicitantes de un certificado cualificado, los procedimientos autorizados para la identificación no presencial mediante videoconferencia o mediante video-identificación en el ámbito de la Prevención de Blanqueo de Capitales, de acuerdo con sus últimas estipulaciones.

Aunque el término “Reglamentariamente” puede interpretarse en el sentido de “dictar cuantas disposiciones sean precisas para su desarrollo”, hay opiniones que inducen a pensar que pudiera ser necesario un Real Decreto para ello, de gestión más compleya y larga que una orden Ministerial.

Por ello, podría ser conveniente modificar el texto en el trámite en el Senado para sustituir “Reglamentariamente” por “Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital” para volver al espíritu de la Orden Ministerial.

Anticipándose a la finalización del proceso del trámite parlamentario de la “Ley reguladora de determinados aspectos de los servicios electrónicos de confianza”, que todavía puede requerir algunos meses, se publicó una modificación de la Ley 59/2003 que permitiría la Orden Ministerial, en el Real Decreto-ley 27/2020, de 4 de agosto.

Disposición final cuarta. Modificación de la Ley 59/2003, de 19 de diciembre, de firma electrónica.

Se añade un nuevo apartado 6 al artículo 13 de la Ley 59/2003, de 19 de diciembre, de firma electrónica, con el siguiente tenor:

«6. Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital se determinarán las condiciones y requisitos técnicos aplicables a la verificación de la identidad y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física.»

Sin embargo, la Resolución de 10 de septiembre de 2020, del Congreso de los Diputados, por la que se ordena la publicación del Acuerdo de derogación del Real Decreto-ley 27/2020, de 4 de agosto, de medidas financieras, de carácter extraordinario y urgente, aplicables a las entidades locales dejó sin efecto dicha modificación.

Más recientemente, con la publicación del Real Decreto-ley 28/2020, de 22 de septiembre, de trabajo a distancia se ha incluido una nueva disposición que deja clara la determinación de publicar la Orden Ministerial

Disposición final quinta. Modificación de la Ley 59/2003, de 19 de diciembre, de firma electrónica.

Se añade un nuevo apartado 6 al artículo 13 de la Ley 59/2003, de 19 de diciembre, de firma electrónica, con el siguiente tenor:

«6. Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital se determinarán las condiciones y requisitos técnicos aplicables a la verificación de la identidad y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física.»

Actualización. En el BOE de 14 de mayo de 2021. Orden ETD/465/2021, de 6 de mayo, por la que se regulan los métodos de identificación remota por vídeo para la expedición de certificados electrónicos cualificados.