Archivo de la categoría: Firma digital

Políticas marco de firma electrónica


El 2 de diciembre de 2015, el Comité Técnico Estatal de la Administración Judicial Electrónica (CTEAJE) aprobó la Guía de Interoperabilidad y Seguridad (GIS) de Autenticación, Certificados y Firma Electrónica en la Administración de Justicia en España, que constituye de facto la “Política Marco de Firma Electrónica para la Administración de Justicia”.

El objeto de esta norma es servir como guía en lo relativo a la gestión de firmas electrónicas en el ámbito de la justicia, así como tomar en consideración los conceptos conexos de autenticidad de documentos electrónicos y uso de certificados en el marco de la identificación y autenticación de intervinientes cuando no se precise el uso de firma electrónica.

Es de aplicación a la Administración de Justicia, a los ciudadanos en sus relaciones con ella y a los profesionales que actúen en su ámbito, así como a las relaciones entre aquélla y el resto de Administraciones y organismos públicos.

La administración de Justicia es la estructura de la administración específica para el Poder Judicial, que es un poder diferente al Ejecutivo y lo es también la infraestructura administrativa que le da soporte.

En el ámbito de la Administración Pública, la Administración General del Estado ha desarrollado diversa normativa destinada  favorecer la digitalización de su funcionamiento. En su momento, uno de los hitos principales de ese proceso de digitalización lo constituyó la publicación de la Ley 11/2007 que suplementaba lo dispuesto en la Ley 30/1992. En el año 2015 se publicaron las leyes siamesas Ley 39/2015 y Ley 40/2015 (subsumiendo las dos leyes citadas), un año después de la publicación del Reglamento europeo UE 910/2014 (EIDAS) y teniendo ya en cuenta bastantes de los aspectos de la norma europea.

Por su lado, en la Administración de Justicia se ha desarrollado la Ley 18/2011 a semejanza de la Ley 11/2007 y se han modificado las leyes procesales, con cambios significativos en 2015.

AGE-AJU

En el ámbito de la AGE, dentro del Esquema nacional de Interoperabilidad  se ha desarrollado una política marco de firma electrónica que ha consolidado la experiencia de  las versiones 1.8 y 1.9. La actual, Política 2.0 se publicó en el BOE de 2 de noviembre de 2016.

En su contexto es muy importante una norma complementaria que ayuda a uniformizar la interoperabilidad de los certificados en España.

En el ámbito de la AJU, dentro de las Bases del Esquema Judicial de Interoperabilidad y Seguridad  se ha desarrollado la política marco de firma electrónica del CTEAJE citada al inicio:

Con sus similitudes y sus diferencias, ambas Políticas son referentes de sus respectivas administraciones.

Listas de confianza TSL


Ya he tratado el tema de las listas de confianza TSL en otras ocasiones en este blog.

Hoy voy a incluir la información actualizada a las listas nacionales XML país por país.

Lista de listas europea

AT

BE

BG

CY

CZ

DE

DK

EE

GR

ES

FI

FR

HR

HU

IE

IS

IT

IL

LT

LU

LV

MT

NL

NO

PL

PT

RO

SE

SI

SK

UK

 

 

 

 

 

 

 

 

Decae el requisito de legitimación de firmas para el depósito de cuentas anuales


En este blog he sido bastante crítico con el requisito de legitimación de firmas  que imponían algunas normas legales, en especial cuando la firma era electrónica.

Por ejemplo en estos artículos:

Ahora un cambio legal devuelve la lógica a las actuaciones en relación con el requisito de la legitimación notarial de las firmas para el depósito de las cuentas anuales.

La Ley 25/2011, de 1 de agosto (BOE 02/08/2011), de reforma parcial de la Ley de Sociedades de Capital y de incorporación de la Directiva 2007/36/CE, del Parlamento Europeo y del Consejo, de 11 de julio, sobre el ejercicio de determinados derechos de los accionistas de sociedades cotizadas, da nueva redacción al artículo 279 del Texto Refundido de la Ley de Sociedades de Capital, elimina el requisito de la legitimación notarial de las firmas para el depósito de las cuentas anuales.

Otra modificación es respecto a la forma de convocatoria de la junta general de socios ya que se suprime el carácter obligatorio de la publicación de la convocatoria en el “Boletín Oficial del Registro Mercantil” (BORME) y en un diario de los de mayor circulación en la provincia en que esté situado el domicilio social.

Al eliminarse la necesidad de legitimar ante notario las firmas se puede realizar la presentación digital de cuentas por Internet de forma completa sin necesidad de remitir al Registro, en papel, el Certificado de aprobación de cuentas. Este certificado se puede escanear en formato PDF una vez realizada su firma y remitir también por Internet con la firma digital del presentante acompañando al archivo ZIP que contiene las cuentas anuales, memoria, etc.

Las opciones de depósito de cuentas en papel y por Internet existentes hasta ahora siguen siendo válidas, simplemente se incorpora esta nueva modalidad de “presentación completa” en la que el Certificado de aprobación de cuentas se remite escaneado en formato PDF.

Trust Services Forum 2017


ENISA and the European Commission are organising a consultation workshop with industry and experts from Member States on ICT security certification.

  • Time: April 27, 2017 from 09:30 to 17:00
  • Place: Hotel Thon EU, Rue de la Loi 75, B-1040 Brussels, Belgium

The workshop is organised as a follow-up on the European Commission’s commitment to develop a proposal for a European ICT security certification framework.

Trust Services Forum 2017 – Agenda

09:45 – 10:15

Registration & Welcome Coffee

10:15 – 11:30

Welcome Statement

State of play: eIDAS Regulation, CEF, ENISA activities

Gábor Bartha – European Commission

João Rodrigues Frade – European Commission

Sławomir Górniak – ENISA

11:30 – 11:45

Coffee Break

11:45 – 12:45

Panel Discussion 1

One year after eIDAS provisions entered into force

Where do we stand?

Moderator:

Prokopios Drogkaris, ENISA

Panelists:

John Jolliffe, Adobe

Olivier Delos, SEALED

Romain Santini, ANSSI

Michał Tabor, Obserwatorium.biz

12:45 – 13:45

Lunch Break

13:45 – 14:00

Article 19 – State of play

Ilias Bakatsis, ENISA

14:00 – 15:00

Panel Discussion 2

Working on the eIDAS through guidelines and recommendations

Moderator:

Sławomir Górniak, ENISA

Panelists:

Camille Gerbert – LSTI

Björn Hesthamar – PTS SE

Leslie Romeo – 1&1

Jérôme Bordier – ClubPSCo

15:00 – 15:30

Coffee Break

15:30 – 16:30

Panel Discussion 3

Strengthening the adoption of qualified certificates for website authentication

Moderator:

Eugenia Nikolouzou – ENISA

Panelists:

Reinhard Posch – TU Graz

Arno Fiedler – Nimbus

Kim Nguyen – D-Trust

Erik Van Zuuren – TrustCore

16:30 – 17:00

Next Steps – Open Discussion – Closing Remarks

 

Audiencia pública del anteproyecto de Ley reguladora de determinados aspectos de los servicios electrónicos de confianza


confianza-ue-colorEl Ministerio de Energía, Turismo y Agenda Digital ha publicado en su página web una nueva información relativa a la evolución normativa de aplicación a los servicios de confianza digital.

En el mes de diciembre de 2016 el MINETAD solicitó sugerencias respecto a los aspectos que debería cubrir la nueva Ley que sustituirá a la de Firma Electrónica y en esta fase continúa la tramitación de la nueva Ley sobre determinados aspectos de los servicios electrónicos de confianza.

La actual Ley 59/2003, de firma electrónica, entra en conflicto en varios aspectos con el Reglamento UE 910/2014  (EIDAS) por lo que se hace preciso adaptar el ordenamiento jurídico español a lo dispuesto en el citado Reglamento

El Reglamento (UE) 910/2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE es de directa aplicación en todos los países miembro de la unión europea y las legislaciones nacionales solo debe regular aspectos que no estén incluidos en el Reglamento.

En este sentido, y de acuerdo con el artículo 26.6 de la Ley 50/1997, de 27 de noviembre, del gobierno, el MINETAD ha invitado a los diferentes  “stakeholders” para que participen en la audiencia pública que puede encontrar en el siguiente enlace:

http://www.minetad.gob.es/telecomunicaciones/es-ES/Participacion/Paginas/Cerradas/servicios-electronicos-confianza.aspx

(era http://www.minetad.gob.es/telecomunicaciones/es-ES/Participacion/Paginas/servicios-electronicos-confianza.aspx)

El conjunto de las aportaciones permitirá contribuir a garantizar el acierto de la nueva norma, por lo que se anima a todo los interesados  participar en esta audiencia pública remitiendo al buzón lfe@minetad.es cuantas observaciones estimen oportunas al texto del anteproyecto de ley.

De acuerdo con el artículo 26.6 de la Ley 50/1997, de 27 de noviembre, del gobierno, se sustancia la audiencia pública del anteproyecto de Ley reguladora de determinados aspectos de los servicios electrónicos de confianza. Esta ley complementa en el Ordenamiento jurídico español al Reglamento (UE) nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE.

Plazo de remisión

Las observaciones podrán remitirse hasta el 30 de abril de 2017

Forma de presentar las observaciones

Las observaciones deberán cursarse a la dirección de correo electrónico: lfe@minetad.es

Anexos

“Simetría probatoria” y “Soporte duradero” en las firmas electrónicas


Uno de los retos del mundo de las firmas electrónicas es que los documentos firmados electrónicamente puedan estar a disposición de los firmantes de forma permanente y que todos ellos puedan demostrar que las firmas electrónicas son válidas (o que no lo son).

A veces la complejidad del uso de los sistemas de firma electrónica puede hacer útil recurrir a una plataforma que gestione las firmas y que simplifique la operativa, sin merma de la validez jurídica.

Sin embargo, algunas entidades que ofertan plataformas orientadas a la contratación con firma electrónica se arrogan el rol de “tercero de confianza” escasamente definido en la normativa legal como un requisito para la validez de la recogida de las manifestaciones de voluntad por vía digital. La escasa preparación legal de sus interlocutores les permite afirmar con aplomo esa supuesta condición de “tercero de confianza” y con técnicas comerciales dudosas convencen, incluso, a departamentos jurídicos de grandes empresas.

Lo cierto es que no son necesarios los terceros de confianza en el sentido en el que los define el artículo 25 de la LSSI-CE. Y además quienes supuestamente ofrecen servicios de “tercero de confianza” no lo hacen en el sentido de la LSSI-CE

Artículo 25. Intervención de terceros de confianza.

1. Las partes podrán pactar que un tercero archive las declaraciones de voluntad que integran los contratos electrónicos y que consigne la fecha y la hora en que dichas comunicaciones han tenido lugar. La intervención de dichos terceros no podrá alterar ni sustituir las funciones que corresponde realizar a las personas facultadas con arreglo a Derecho para dar fe pública.

2. El tercero deberá archivar en soporte informático las declaraciones que hubieran tenido lugar por vía telemática entre las partes por el tiempo estipulado que, en ningún caso, será inferior a cinco años.

No solo no son necesarios los terceros de confianza, sino que pueden incluso ser sospechosos de ser afines a la parte que los contrata. Cuando se pone más énfasis en que sea un tercero quien dictamine sobre si se realizó o no una contratación, por ejemplo, en vez de dejar que las partes puedan tener la posibilidad de custodiar sus propia pruebas, se aplica un sesgo que se aparta de los usos y costumbres del comercio.

Además, el concepto ambiguo de “tercero de confianza” se asocia frecuentemente al de los notarios, que, en realidad no necesitan esa “muletilla” para que se les reconozca su labor, De esta forma la entidad que dice ser un “tercero de confianza” pretende ponerse al nivel de los notarios, cuando en realidad hay mucha diferencia entre sus roles.

En mi opinión los conceptos de “Simetría probatoria” y “Soporte duradero” son preferibles.

La “simetría probatoria” implica que ambas partes de un acuerdo bilateral o sinalagmático (aquel que genera obligaciones recíprocas para ambos contratantes desde su origen. como la compraventa, el arrendamiento, la permuta o el transporte) están en las mismas condiciones para demostrar su existencia, la validez de su firma y la de la firma de la contraparte

El “Soporte duradero” debe garantizar a las partes, al igual que el soporte papel, la posesión de la información o documentos  precontractuales o contractuales firmados  para que, en caso necesario, pueda ejercitar los derechos que dependan de la disponibilidad de los documentos, incluyendo los aspectos relativos a las evidencias electrónicas.

¿Cuantos tipos de firma avanzada existen?


Según la legislación aplicable en España, y obviando la Ley 59/2003 que en lo esencial se ha visto sustituida por el Reglamento (UE) 910/2014 (EIDAS) se definen tres tipos de firma electrónica:

  • «firma electrónica (simple)», los datos en formato electrónico anejos a otros datos electrónicos o asociados de manera lógica con ellos que utiliza el firmante para firmar.
  • «firma electrónica avanzada», la firma electrónica que cumple los siguientes requisitos:
    • estar vinculada al firmante de manera única.
    • permitir la identificación del firmante.
    • haber sido creada utilizando datos de creación de la firma electrónica que el firmante puede utilizar, con un alto nivel de confianza, bajo su control exclusivo, y
    • estar vinculada con los datos firmados por la misma de modo tal que cualquier modificación ulterior de los mismos sea detectable.
  • «firma electrónica cualificada», una firma electrónica avanzada que se crea mediante un dispositivo cualificado de creación de firmas electrónicas y que se basa en un certificado cualificado de firma electrónica. Es equivalente a la firma manuscrita.

La firma electrónica avanzada puede ser:

  • No basada en certificados. En cuyo caso, la vinculación del firmante con lo firmado, la identificación del firmante y su creación con un alto nivel de confianza, bajo su control exclusivo, deberá gestionarse con técnicas apropiadas, incluyendo las criptográficas. Entre estas se encuentran las firmas biométricas.
  • Basada en certificados. En cuyo caso se dan dos variantes:
    • Certificados no cualificados.
    • Certificados cualificados. En cuyo caso se dan dos variantes:
      • No basadas en dispositivos cualificados de creación de firma
      • Basadas en dispositivos cualificados de creación de firma. Esta es la firma cualificada.

Muchas normas dan valor jurídico a diferentes tipos de firmas avanzadas (no solo a las firmas cualificadas). Por ejemplo, la Ley 18/2011 da valor de forma expresa a la firma avanzada basada en certificado cualificado, y no basadas en un dispositivo cualificado de creación de firma:

Artículo 14. Formas de identificación y autenticación.

1. La Administración de Justicia admitirá, en sus relaciones por medios electrónicos, sistemas de firma electrónica que sean conformes a lo establecido en (la ley 18/2011 hacer referencia a la Ley 59/2003, de 19 de diciembre, de firma electrónica, pero en la actualidad sta refeencia debe entenderse en relación con el Reglamento UE 910/2014) y resulten adecuados para garantizar la identificación de los firmantes y, en su caso, la autenticidad e integridad de los documentos electrónicos.

2. Sin perjuicio de lo dispuesto en los artículos 4 y 6 de la presente Ley y en todo caso, con sujeción estricta a lo dispuesto por las leyes procesales, los ciudadanos y profesionales del ámbito de la Justicia podrán utilizar los siguientes sistemas de firma electrónica para relacionarse con la Administración de Justicia:

(…)

b) Sistemas de firma electrónica avanzada, incluyendo los basados en certificado electrónico reconocido, admitidos por las Administraciones públicas.

c) Otros sistemas de firma electrónica, como la utilización de claves concertadas en un registro previo como usuario, la aportación de información conocida por ambas partes u otros sistemas no criptográficos, en los términos y condiciones que en cada caso se determinen.

No olvidemos que el Artículo 25 del Reglamento UE 910/2014 define los efectos jurídicos de las firmas electrónicas

1. No se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a una firma electrónica por el mero hecho de ser una firma electrónica o porque no cumpla los requisitos de la firma electrónica cualificada.

2. Una firma electrónica cualificada tendrá un efecto jurídico equivalente al de una firma manuscrita.

3. Una firma electrónica cualificada basada en un certificado cualificado emitido en un Estado miembro será reconocida como una firma electrónica cualificada en todos los demás Estados miembros.

Aunque la Ley 59/2003 ya no se considera de aplicación en sentido estricto, cabe mencionar una variante de firma electrónica definida en ella (en su artículo 3 apartado 10), que podria denominar “firma acordada”:

Cuando una firma electrónica se utilice conforme a las condiciones acordadas por las partes para relacionarse entre sí, se tendrá en cuenta lo estipulado entre ellas.