Archivo de la categoría: Firma manuscrita

“Simetría probatoria” y “Soporte duradero” en las firmas electrónicas


Uno de los retos del mundo de las firmas electrónicas es que los documentos firmados electrónicamente puedan estar a disposición de los firmantes de forma permanente y que todos ellos puedan demostrar que las firmas electrónicas son válidas (o que no lo son).

A veces la complejidad del uso de los sistemas de firma electrónica puede hacer útil recurrir a una plataforma que gestione las firmas y que simplifique la operativa, sin merma de la validez jurídica.

Sin embargo, algunas entidades que ofertan plataformas orientadas a la contratación con firma electrónica se arrogan el rol de “tercero de confianza” escasamente definido en la normativa legal como un requisito para la validez de la recogida de las manifestaciones de voluntad por vía digital. La escasa preparación legal de sus interlocutores les permite afirmar con aplomo esa supuesta condición de “tercero de confianza” y con técnicas comerciales dudosas convencen, incluso, a departamentos jurídicos de grandes empresas.

Lo cierto es que no son necesarios los terceros de confianza en el sentido en el que los define el artículo 25 de la LSSI-CE. Y además quienes supuestamente ofrecen servicios de “tercero de confianza” no lo hacen en el sentido de la LSSI-CE

Artículo 25. Intervención de terceros de confianza.

1. Las partes podrán pactar que un tercero archive las declaraciones de voluntad que integran los contratos electrónicos y que consigne la fecha y la hora en que dichas comunicaciones han tenido lugar. La intervención de dichos terceros no podrá alterar ni sustituir las funciones que corresponde realizar a las personas facultadas con arreglo a Derecho para dar fe pública.

2. El tercero deberá archivar en soporte informático las declaraciones que hubieran tenido lugar por vía telemática entre las partes por el tiempo estipulado que, en ningún caso, será inferior a cinco años.

No solo no son necesarios los terceros de confianza, sino que pueden incluso ser sospechosos de ser afines a la parte que los contrata. Cuando se pone más énfasis en que sea un tercero quien dictamine sobre si se realizó o no una contratación, por ejemplo, en vez de dejar que las partes puedan tener la posibilidad de custodiar sus propia pruebas, se aplica un sesgo que se aparta de los usos y costumbres del comercio.

Además, el concepto ambiguo de “tercero de confianza” se asocia frecuentemente al de los notarios, que, en realidad no necesitan esa “muletilla” para que se les reconozca su labor, De esta forma la entidad que dice ser un “tercero de confianza” pretende ponerse al nivel de los notarios, cuando en realidad hay mucha diferencia entre sus roles.

En mi opinión los conceptos de “Simetría probatoria” y “Soporte duradero” son preferibles.

La “simetría probatoria” implica que ambas partes de un acuerdo bilateral o sinalagmático (aquel que genera obligaciones recíprocas para ambos contratantes desde su origen. como la compraventa, el arrendamiento, la permuta o el transporte) están en las mismas condiciones para demostrar su existencia, la validez de su firma y la de la firma de la contraparte

El “Soporte duradero” debe garantizar a las partes, al igual que el soporte papel, la posesión de la información o documentos  precontractuales o contractuales firmados  para que, en caso necesario, pueda ejercitar los derechos que dependan de la disponibilidad de los documentos, incluyendo los aspectos relativos a las evidencias electrónicas.

Firma manuscrita digitalizada avanzada en las administraciones públicas


La digitalización de los administraciones públicas ha pasado a ser obligatoria con la aprobación de la Ley 39/2015 del procedimiento administrativo común y las administraciones públicas, estatales, autonómicas y locales deben dotarse de las herramientas necesarias para atender a los ciudadanos de una manera rápida, eficaz y segura.

La aplicación de la citada Ley 39/2015, de 1 de octubre, del procedimiento administrativo común de las administraciones públicas obliga a los entes públicos a evolucionar hacia la administración sin papeles de forma que las solicitudes y trámites puedan realizarse en formato electrónico. La administración íntegramente electrónica mejorará en eficacia y en eficiencia la gestión pública, dotará de mayor celeridad a los trámites y permitirá ahorrar costes a la administración y al administrado.

No obstante, digitalizar los procesos es una tarea costosa que requiere soluciones tecnológicas adecuadas.

La administración pública debe comprometerse a disponer de métodos digitales legalmente válidos y sencillos de usar, especialmente para los ciudadanos, para poder formular solicitudes, presentar declaraciones responsables o comunicaciones, interponer recursos, desistir de acciones o renunciar a derechos.

Los organismos públicos deben garantizar que los ciudadanos (incluyendo los representantes de las empresas)  puedan relacionarse con ellos a través de los medios electrónicos poniendo a disposición canales de acceso, sistemas y aplicaciones seguras.

Dos aspectos claves de esta relación son la acreditación de la identidad (según lo define el artículo 9) y la firma electrónica  (según lo define el artículo 10). Es importante señalar que muchos procedimientos requieren identificación  y otros requieren firma (cuando verdaderamente sea necesario prestar consentimiento).

Aunque la norma se orienta hacia la firma electrónica basada en certificados, deja margen para gestionar firmas avanzadas, no basadas en certificados, como sucede con el caso de la gestión de firmas manuscritas digitalizadas.

A la hora de implantar un sistema de firma manuscrita digitalizada en un organismo hay que tener en cuenta las garantías que se ofrecen por parte del sistema sobre seguridad técnica y jurídica. Es importante garantizar que durante el proceso de firma y de custodia del documento firmado electrónicamente no se podrán manipular los datos biométricos de la firma.

En el nuevo marco jurídico administrativo, muchos ciudadanos continuarán acudiendo a las oficinas de atención presencial para realizar sus trámites con la ayuda de funcionarios habilitados, pero los trámites se cursarán de forma digital. Tiene sentido que, aunque el funcionario se identifique y firme con su certificado electrónico, los ciudadanos que no se manejen con esa tecnología puedan firmar los escritos  de su puño y letra, pero de forma que el documento electrónico que firman preserve la información de su firma de forma digital.

Los sistemas de firma biométrica o grafométrica permiten firmar en una tableta u otro dispositivo móvil obteniendo una firma manuscrita en soporte digital  con valor legal. De esta manera se agiliza el trámite a realizar potenciando la administración electrónica.

La firma en tabletas o dispositivos móviles, a priori, no permite por si misma garantizar la integridad y autenticidad de la documentación firmada a no ser que se apliquen ciertas medidas de seguridad como el cifrado de la información biométrica.

Se debe usar una combinación de medios tecnológicos y de procedimientos que permiten dar garantías a la firma, recogiendo entre otras aspectos evidencias electrónicas del contexto de la transacción.

Las plataformas de  firma digital permiten la automatización del proceso administrativo de recogida de firma, de envío, de registro y de archivo. Y eventualmente de gestión de controversias respecto a la atribución de la firma al firmante, en un contexto en que se tenga que demostrar esta vinculación.

Para tener la certeza de que un  plataforma es adecuada para la gestión de firmas manuscritas digitalizadas avanzadas (FMDA) es conveniente que esta pueda aportar un certificado de idoneidad tras haber superado una auditoría.

EADTrust cuenta con experiencia para la realización de auditorías de FMDA y avala a las  plataformas y soluciones que han superado sus auditorías.

Son auditorías que se enmarcan en un esquema de evaluación soportado por TCAB (Trust Conformity Assessment Body) que permite que en cada país pueda desarrollarse un modelo específico orientado al contexto normativo del país, especialmente en lo relativo a las normas procesales.

Entre los principios que se revisan se destacan los siguientes:

  1. Captura de elementos biométricos dinámicos de la firma asociados a sus datos de producción
  2. Vinculación biunívoca de los elementos biométricos con el documento firmado
  3. Imposibilidad de incrustar la firma en otros documentos
  4. Autenticidad del documento y vinculación con el firmante
  5. Confidencialidad de los datos biométricos y Protección de la información conforme a la LOPD
  6. Posibilidad de comprobar la firma por el titular
  7. Posibilidad de demostrar la validez de la firma en un proceso litigioso
  8. Simetría probatoria
  9. Soporte duradero
  10. Existencia de un procedimiento de detección y notificación a la autoridad de protección de datos de incidentes de seguridad que afecten a datos de carácter personal.

 

Más información sobre la firma manuscrita digitalizada: ¿es firma electrónica avanzada?


Llevo varios años explicando como se puede desarrollar un sistema que capta firmas manuscritas de forma que tengan la consideración de firma electrónica avanzada según la definición del Reglamento europeo UE 910/2014 (#eIdAS) e impulsando en EADTrust un modelo (un “ecosistema” si se me permite usar la palabra en ese sentido) que puede ser auditado y certificado.

En estos años hemos auditado varias soluciones en entidades del sector sanitario, financiero y de telecomunicaciones que pueden lucir los certificado expedidos por EADTrust que lo acreditan.

Muchas de las ideas relacionadas con la firma biométrica y la firma digitalizada las he recogido en un sencillo blog especializado.

Se indican seguidamente alguno de los artículos más recientes recogidos en dicho blog:

 

 

Seguridad en entornos de trabajo móviles


HP-FMDA-SERBAN-EADTRUSTjpg

En la nueva era de IT la migración hacia entornos móviles en las grandes organizaciones constituye una tendencia imparable.

Ante este hecho están apareciendo algunas incógnitas relacionadas con la seguridad en el entorno IT profesional. Movilidad y seguridad, ¿incompatibles ?…. No, en absoluto.

En esta jornada podrá conocer de primera mano las soluciones conjuntas de HP y SERBAN y el asesoramiento y auditoría de EADTRUST para la implementación de proyectos de movilidad de firma manuscrita digitalizada con total seguridad, así como algunas experiencias reales de grandes organizaciones, como Banc Sabadell,  pioneras en proyectos de movilización de la fuerza de ventas.

Descubrirá también las mejoras en eficiencia, ahorro de costes e incremento en la calidad de servicio e imagen que conlleva la eliminación del papel en la firma de contratos, con la implantación de la firma digitalizada biométrica de SERBAN sobre dispositivos de HP.

Fecha: 26.11.2014
Ubicación:

Casa de la Seda
Carrer de Sant Pere Més Alt, 1
08003 Barcelona

Agenda
09:30         Recepción de asistentes y coffee de bienvenida
10:00 Bienvenida y apertura de la jornada 
Víctor Fernández, Director de Ventas para Grandes Cuentas, HP Sistemas Personales
10:15 Conformidad normativa de la Firma Digitalizada 
Julián Inza, Socio, European Agency of Digital Trust
10:45 Integración de dispositivos móviles HP en entornos de seguridad 
Melchor Sanz, Director de Preventa, HP Impresión y Sistemas Personales
11:15 La firma digitalizada biométrica en movilidad 
Juan Pablo Yagüe, Director Comercial, SERBAN Biometrics
11:45 Visión y experiencia de Banc Sabadell 
Juan Tomás Barrionuevo, Banc Sabadell
12:15 Coloquio y preguntas. Demostraciones de producto
13:00 Cocktail
14:00 Fin de la jornada

Consultoría y Auditoría sobre firma digitalizada en paises europeos y latinoamericanos


Certificación de soluciones

Certificación de soluciones

Hemos insistido desde EADTrust en la importancia de seguir ciertos criterios para que una firma manuscrita captada en un dispositivo como tablet (dispositivo autónomo) o tableta (dispositivo asociado a un equipo de sobremesa) tenga valor legal.

El cumplimiento de los criterios no conviene reducirlo a una mera declaración de la parte que implementa la solución sino que es preferible llevar a cabo una auditoría independiente que lo acredite.

En EADTrust hemos definido 10 criterios (a modo de “10 mandamientos”) que permitirían acreditar una implementación diligente y con respeto a las mejores prácticas para preservar entre otros aspectos, la confidencialidad de los datos biométricos, la gestión de un soporte duradero y la simetría probatoria (el método por el que el firmante puede acreditar que un documento electrónico está o no refrendado con su firma manuscríta verdadera).

Aportamos consultores a los proyectos, para encontrar la mejor funcionalidad enmarcada en las arquitecturas propia de cada entidad, maximizando el valor legal y minimizando el esfuerzo de despliegue.

También hemos formado auditores para llevar a cabo las auditorías en base a las cuales emitimos informes de cumplimiento y expedimos los certificados de calidad.

Sin embargo, en las versiones iniciales de nuestra metodología hicimos especial hincapié en demostrar que las firmas digitalizadas avanzadas están perfectamente alineadas con la legislación española de firma electrónica y con la legislación procesal en materia mercantil y civil (subsidiaria de otras normativas procesales) referida al cotejo de letras y valoración pericial de las firmas digitalizadas.

Este esfuerzo inicial se justificaba porque con frecuencia debíamos explicar a los juristas de las entidades nuestra metodología y nuestro enfoque legal y justificar a los responsables técnicos de los proyectos  los cambios que pedíamos en las arquitecturas técnicas y en los procesos involucrados en los sistemas que debían usar las firmas digitalizadas avanzadas.

Como nuestros primeros clientes eran españoles, tenía pleno sentido nuestro planteamiento de que los principios de la FMDA (Firma Manuscrita Digitalizada Avanzada) se ajustaban como un guante a la legislación española.

Desde hace unos meses hemos realizado un esfuerzo significativo en identificar las normativas de diferentes países europeos y latinoamericanos que nos permiten demostrar que nuestros principios pueden ser considerados “invariantes legales” aplicables a diferentes entornos legales y jurisdicciones.

Ello se debe, en buena medida, a que se han identificado las mejores prácticas mundiales de gestión de evidencias electrónicas y en un aspecto relevante, a que en los países con legislación sobre firma electrónica el articulado tienes aspectos comunes compatibles con el uso de la criptografía de clave pública.

Y en los países en los que esa legislación no existe o está incompleta, la legislación procesal (que si está bien desarrollada en todo el mundo) es suficiente para permitir la aportación de pruebas con un elevado grado de inoponibilidad.

En el momento actual hemos avanzado con la normativa europea, afianzada en varias directivas y reglamentos europeos, centrándola en las legislaciones nacionales de Alemania , Francia, Grecia Portugal e Italia. Paulatinamente iremos completando otros países.

En Latinoamérica hemos ajustado nuestro modelo a las legislaciones de México, Colombia, Perú y Chile.

Nuestra tesis ahora es que los principios de la Firma Manuscrita Digitalizada Avanzada desarrollados por EADTrust se adecúan a cualquier Ley Aplicable en cualquier lugar del mundo. Llame al +34 91 7160555 para saber más sobre la firma manuscrita digitalizada.

¿Cómo llevamos la adaptación a SEPA?


Aunque el 1 de febrero de 2014 era la fecha inicialmente prevista para eliminar las modalidades no-SEPA de transferencias y domiciliaciones bancarias que se realicen en España y el resto de los países miembros de la Unión Europea, lo cierto es que el cambio no está siendo tan radical como parecía, empezando por el retraso de algunas entidades financieras de proporcionar los servicios adecuados para la transición a los estándares y normas SEPA (Single Euro Payments Area). Los principales beneficios que se esperan de la implantación de una Zona Única de Pagos en Euros son:

  • La desaparición de barreras para la ejecución de pagos internacionales, especialmente a nivel de costes.
  • La posibilidad de utilizar una sola cuenta bancaria para operaciones en euros dentro de la zona SEPA, sin requerir abrir cuentas en varios paises.
  • Una cierta mayor protección para los usuarios de servicios de pago.
  • El uso de estándares comunes, que permite mejoras de eficiencia en los procesos de ejecución de pagos, cuando se trata de operaciones internacionales o de empresas multinacionales..

Los principales aspectos a tener en cuenta para la adaptación, son los siguientes:

  • El IBAN será el identificador único de cualquier cuenta de pago en SEPA, reemplazando a los actuales identificadores de cuenta nacionales (el CCC en el caso español). Muchas entidades ofrecen servicios gratuitos de conversión para cuentas españolas
  • Nuevo formato de intercambio de información entre las Empresas y las Entidades bancarias.
  • Adeudos Directos SEPA en fichero electrónico, orientado a particulares– Esquema básico (core): Serie normas y procedimientos bancarios Cuaderno Nº 19-14.
  • Adeudos Directos SEPA en fichero electrónico, orientado a empresas – Esquema B2B (Business to Business): Serie normas y procedimientos bancarios Cuaderno Nº 19-44.

Puede ampliar información sobre la Diferencias entre la modalidad B2B y la básica del mandato SEPA de adeudo por domiciliaciones Creación de un mandato. El mandato es el medio por el que el deudor autoriza y consiente al acreedor a:

  • Iniciar los cobros mediante el cargo en la cuenta indicada por el deudor.
  • Autorizar a la entidad del deudor a cargar en su cuenta los adeudos presentados al cobro por la entidad bancaria del acreedor.

El mandato, que tendrá una referencia única, debe estar suscrito por el deudor como titular de la cuenta de cargo o persona en disposición de poder otorgado por éste, antes de iniciar el cobro de los adeudos. Puede ampliar información sobre

Las adaptaciones tendrán unos costes asociados para las entidades bancarias y para las empresas de difícil recuperación, ya que no producirán cambios significativos en el aumento de los negocios ni el incremento de los márgenes de beneficio. Por ello, el mejor enfoque es aprovechar la necesidad de cambio para acometer algún otro cambio técnico y organizativo que sí se traduzca en reducción de costes o en mejora de posición competitiva.

Entre los ejemplos de posibles soluciones, cabe la posibilidad de implantar sistemas de firma digitalizada o de firma vocal para la creación de los mandatos: Una de las características de la normativa SEPA es que, a partir del 1 de febrero de 2014, es obligatorio para las empresas recabar la firma de los clientes que contraten un servicio que será cobrado a través de un adeudo bancario. Sin el consentimiento expreso del cliente con alguna modalidad de firma, manuscrita o electrónica, la empresa prestadora del servicio no podrá solicitar a ninguna entidad bancaria el cobro de sus recibos, o podrá ver como los recibos son devueltos por el acreedor. Existen diferentes posibilidades para la obtención de la firma de los clientes:

  • Mediante la firma del mandato en papel.
  • Mediante la firma del mandato por medios electrónicos, a través de Internet y/o dispositivos móviles.
  • Mediante firma mediante un sistema de confirmación por llamada telefónica que esté diseñado con las debidas garantías.

Por otra parte, SEPA establece que la información contenida en los mandatos, incluida las firmas, debe quedar almacenada en poder de la empresa acreedora mientras esté en vigor el periodo de reembolso, así como durante los plazos que establezca la Ley para la conservación de documentos una vez cancelado.

También puede ser una gran oportunidad para que las empresas comiencen la adaptación a la Ley 3/2014, de 27 de marzo, por la que se modifica el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios.  Ver más en este artículo sobre Firma vocal como soporte duradero para call centers

EADTrust en el evento sobre firma biométrica de VASS y GNEIS


En el evento organizado el pasado 27 de noviembre de 2013 por VASS (Valor Añadido en Soluciones y Servicios), y Gneis Global Services, empresa de tecnología y procesos del Grupo Bankinter, para presentar la solución de firma manuscrita desarrollado por Alianet y que distribuyen dichas entidades participó también EADTrust, European Agency of Digital Trust.

Ambas entidades presentaron el proyecto de Firma Biométrica Digital como una solución de contratación que revolucionará la manera en la que las empresas comercializan y operan en Internet.

La tecnología biométrica se basa en la caracterización de las personas a través de rasgos personales y en el caso de la firma se traduce en la captura y cifrado de datos de movimiento y presión al trazar la rúbrica sobre un dispositivo de captación idóneo.

La tecnología propuesta permite realizar procesos de firma de uno o más signatarios en cualquier lugar y momento, sin usar papel, mediante una aplicación disponible de forma online y con el más alto nivel de movilidad.

El evento contó con más de 40 asistentes de clientes de los sectores de Banca, Seguros, Telecomunicaciones y Administración Pública, que pudieron comprobar las funcionalidades de dicha solución.

firma-digitalizada-2

La solución presentada cuenta con la Auditoría de Firma Manuscrita Digitalizada Avanzada, realizada por European Agency of Digital Trust, que otorga su sello de confianza para transmitir a los firmantes que la captura de su información biométrica se realiza en condiciones adecuadas de seguridad.

En la jornada, Julián Inza, representante de European Agency of Digital Trust, repasó los aspectos más reseñables de la legislación de firma electrónica española y europea, así como de las condiciones que hay que exigir a las soluciones de firma digitalizada.

Garantía de Seguridad en cada proceso de Firma

A fin de dar cobertura a los requerimientos más exigentes, desde contratación de productos de alto riesgo potencialmente litigiosos hasta procedimientos con menor exigencia o riesgo de controversia, la solución Firma Biométrica Digital se basa en un proceso de gestión de identidad y presvación de la  integridad que no necesita papeles, que puede desplegarse de forma online y en ámbitos de movilidad que facilitan la contratación en cualquier lugar.

Entre otras ventajas, se pueden enumerar la mejora de la seguridad jurídica y el cumplimiento con normativas como FATCA, MIFID y la lucha antifraude en la contratación, lo que le otorga plena validez legal.

Según Juan Rosas, Director de Innovación en GNEIS, “la tecnología de firma biométrica digital permite que los usuarios realicen firmas manuscritas en formato electrónico sobre tabletas con un nivel de confianza similar al de la firma sobre papel, que desaparecerá de las sucursales. Esto es gracias a que el documento se guarda y certifica teniendo en cuenta no sólo el grafo del firmante sino también otros datos biométricos como la velocidad o la presión con la que se firma, lo que garantiza la seguridad de la operación“.