Archivo de la categoría: Firma vocal

La startup murciana Biometric Vox capta inversión por 1M€


Biometric Vox, startup murciana que ofrece soluciones de autenticación y firma electrónica avanzada a través de biometría vocal, ha logrado captar un millón de euros de capital semilla procedente de diferentes inversores: InnoCapital –el vehículo de corporate venture de InnoCells, asociado a Banc Sabadell–, Murcia Emprende SCR, Serban Biometrics y un consorcio de conocidos empresarios de la Región de Murcia (business angels).

InnoCapital realiza inversiones estratégicas de carácter digital y tecnológico en negocios en fase seed (semilla) , series A y B, relacionados con áreas de interés estratégico para el Grupo Banco Sabadell.

Julio Martínez, director ejecutivo de InnoCells, entiende que “las soluciones que ofrece Biometric Vox satisfacen la creciente demanda de personalización, inmediatez y seguridad en la contratación de servicios financieros y no financieros. En InnoCells apostamos por startups como Biometric Vox que persiguen el liderazgo tecnológico y digital, y trabajan con visión estratégica sobre un modelo de negocio sustentado en tendencias de mercado claras”.

Biometric Vox surgió en Murcia en 2015, captando talento de la universidad próxima para resolver problemas de gestión de identidad identificados inicialmente en el campo murciano.

La investigación en técnicas biométricas abrió múltiples posibilidades, especialmente en el ámbito de la voz, que está especialmente caracterizada para la prestación del consentimiento pero que plantea interesantes retos La startup ofrece en la actualidad varios productos basados en biometría vocal construidos a partir de técnicas de machine learning adaptables a cada contexto y cliente:

  • CheckVox es una solución de identificación por voz desarrollada con tecnología propia, evaluada en ambientes extremos de funcionamiento como, por ejemplo, el entorno agrícola. Cuenta con el sello de la Asociación Nacional de Tasadores y Peritos Judiciales Informáticos.
  • FirVox es la primera plataforma de firma biométrica avanzada por voz, construida bajo el Reglamento Europeo 910/2014 (eIDAS). Proporciona una firma electrónica con validez jurídica y avalada por la European Agency of Digital Trust (EADTrust).

Joaquín Cros, fundador de Biometric Vox, subraya la importancia de esta inversión “para acelerar la expansión internacional de la compañía y en beneficio del equipo humano involucrado en el proyecto”. Además reconoce que “esta nueva etapa supone un gran impulso hacia nuevas líneas de investigación”.

biometric-vox-team

El equipo humano de Biometric Box. Joquín Cros debe ser el fotógrafo, porque no lo veo en la foto.

Me siento muy honrado de haber contribuido al proyecto, y respaldo sus logros, ya que he tenido ocasión de auditar una de sus plataformas en 2016.

Voice signing over the phone as an #EIDAS advanced electronic signature


Telesales is the fastest way to perform contracts over the phone. Asking the customer to Fax, emai or send by postal mail the contract is the simplest way to lose sales.

EADTrust defines the framework for contract platforms to deal with voice signature, taking advantage of the definitions included in #eidas (Regulation UE 910/2014), so voice signature complies with article 26 and can be considered “advanced electronic signature”.

This voice based advanced electronic signature lets companies get the deals signed right on the phone, this eliminates lost sales, and time spent chasing customers to send back signed contracts.

Certified platforms record the customer’s verbal authorization and embeds the audio right in the document, providing a compliant voice based electronic signature.

Voice Signing exceeds 50% improvement in deals closing rates for a fraction of the cost and time.

EADTrust performs voice signature platform providers audits to verify that certain principles are met:

  1. Proof of the consent of the signer regarding a document by his own voice and linking of the evidence with the document
  2. Resistance to pre-recorded voice simulations and voice synthesizers by possible supplanters.
  3. Probatory symmetry. Availability of the document for the signer immediately and of the means of proof at a cost similar to that which would have the proof on paper  of a handwritten signature.
  4. Durable medium. Persistence of the document so that the parties can prove the identity of the signatories and the content of the document at any future time.
  5. Possibility of verifying the vocal signature and the content of the document by the signatory in a simple way, with a degraded version of what was pronounced by the signatory.
  6. Impossibility to extract the voice recorded in high quality by the entity that applies the technology and to embed the vocal signature in other documents.
  7. Possibility of comparing the document attached voice recording (high quality voice recording  attributable to the signer)  with other Incontrovertible samples in a forensic context and in dispute resolution environments.
  8. Possibility of generating hybrid documents, in paper and electronic medium.
  9. Availability of information for signatories or their legal representatives regarding the way to provide the evidence and analyze it in a dispute resolution context.
  10. Privacy related information protected in accordance with the Data Protection Act. Existence of data breach detection and notification procedures to the data protection authority when personal data is affected.

As of this writing, there is one accredited voice signing platform:

Contact EADTrust if you need an assessment of your #EIDAS compliant  Voice based electronic signature platform, calling at +34 917160555

Acceso a información biométrica de una firma digitalizada


EADTrust y otros Prestadores de Servicios Electrónicos de Confianza Digital custodian claves privadas de diferentes plataformas de firma digitalizada, biométrica o grafométrica.

El hecho de que exista esta custodia implica que los responsables de las plataformas adoptan medidas para garantizar que la información biométrica se incluye en los documentos electrónicos firmados de forma cifrada (con la clave pública asociada a la clave privada custodiada) y que no está libremente disponible para la entidad que hace uso de la plataforma, y, por tanto, no puede utilizarla para asociarla a otros documentos.

De esta forma, tanto la entidad promotora del sistema de firma digitalizada que hace uso de la plataforma como los propios firmantes están en igualdad de condiciones para ejercer el derecho a la prueba respecto a si una firma en concreto pertenece o no a una persona (esa igualdad de condiciones se denomina, a veces, “simetría probatoria”).

Para realizar el proceso de comprobación de una firma digitalizada se suele recurrir a un proceso de análisis pericial caligráfico (u otro tipo de estudio pericial asistido por software de análisis biométrico de uso forense), para lo que será necesario identificar peritos y expertos que puedan realizar el análisis.

El proceso se inicia a partir del archivo PDF que debe tener a su alcance cualquiera de las partes intervinientes en el contrato y que incluye la firma controvertida, por lo que este debe estar localizable para la entidad y para el firmante.

En caso de que el cliente de una entidad que haya firmado en Tablet no posea el fichero digital con su firma, y lo requiera, será preciso identificar las personas de Compliance o de gestión de LOPD (o RGPD) o seguridad informática en la entidad que tienen identificado el caso y el archivo o archivos cuya firma es controvertida, y solicitar el fichero por los cauces previstos (por ejemplo contactando con la entidad para ejercer el derecho de “Acceso” reconocido por la LOPD).

Una vez que se dispone del documento PDF que incluye la firma biométrica, cualquiera de las partes puede llevar a cabo los siguientes pasos:

  • Preparar un mandato o poder de una persona que desea realizar la comprobación nombrando al perito para que pueda acudir al Prestador de Servicios Electrónicos de Confianza que custodia las claves privadas (EADTrust o el PSEC que se haya definido en cada caso) en nombre del solicitante.
  • Hacer copia del poder o mandato y del DNI de apoderado o mandatario
  • Preparar un escrito en formato carta que describa brevemente el problema y solicite la intervención de la entidad que custodia las claves privadas (EADTrust o el PSEC que se haya definido en cada caso) incluyendo los datos de identificación de la persona que contactará con ella. Normalmente la firma el apoderado.
  • Quien acude a la entidad que custodia las claves privadas (EADTrust o el PSEC que se haya definido en cada caso) lo suele hacer presencialmente o por un procedimiento acordado, de gestión telemática.
  • Conviene cerciorarse de que la entidad que custodia las claves privadas (EADTrust o el PSEC que se haya definido en cada caso) tiene la ultima versión del software aportado por los desarrolladores de la plataforma para descifrar la información biométrica a partir del documento PDF.
  • La entidad que custodia las claves privadas (EADTrust o el PSEC que se haya definido en cada caso) nunca hace entrega de las claves. Hace uso de la clave para descifrar el documento y extraer la información biométrica de la firma que entrega al solicitante, pero las claves privadas no salen de su custodia.

Con la información biométrica extraída, son necesarias, para el cotejo las firmas indubitadas, para lo que debe colaborar la persona cuya identidad se vincula al documento.

Si se va a plantear la prueba en un litigio, se describe la solicitud de la prueba pericial en el escrito de demanda o de contestación, para que en su momento, se realicen las firmas indubitadas en presencia del Letrado de la Administración de Justicia que competa.

Si se desea realizar el cotejo de firmas con ayuda del perito, pero sin llegar a juicio, se precisa contactar con el cliente para que realice varias firmas (5 o 10, las que el perito recomiende) en una tableta digitalizadora semejante a la utilizada originalmente para firmar, con el apoyo del software de uso pericial.

Es posible contactar con EADTrust, a través del teléfono +34 91 7160555 (o 902 365 612) desde España) donde pueden orientarle de forma más precisa según la entidad que haya gestionado la custodia para los documentos PDF de su interés.

“Simetría probatoria” y “Soporte duradero” en las firmas electrónicas


Uno de los retos del mundo de las firmas electrónicas es que los documentos firmados electrónicamente puedan estar a disposición de los firmantes de forma permanente y que todos ellos puedan demostrar que las firmas electrónicas son válidas (o que no lo son).

A veces la complejidad del uso de los sistemas de firma electrónica puede hacer útil recurrir a una plataforma que gestione las firmas y que simplifique la operativa, sin merma de la validez jurídica.

Sin embargo, algunas entidades que ofertan plataformas orientadas a la contratación con firma electrónica se arrogan el rol de “tercero de confianza” escasamente definido en la normativa legal como un requisito para la validez de la recogida de las manifestaciones de voluntad por vía digital. La escasa preparación legal de sus interlocutores les permite afirmar con aplomo esa supuesta condición de “tercero de confianza” y con técnicas comerciales dudosas convencen, incluso, a departamentos jurídicos de grandes empresas.

Lo cierto es que no son necesarios los terceros de confianza en el sentido en el que los define el artículo 25 de la LSSI-CE. Y además quienes supuestamente ofrecen servicios de “tercero de confianza” no lo hacen en el sentido de la LSSI-CE

Artículo 25. Intervención de terceros de confianza.

1. Las partes podrán pactar que un tercero archive las declaraciones de voluntad que integran los contratos electrónicos y que consigne la fecha y la hora en que dichas comunicaciones han tenido lugar. La intervención de dichos terceros no podrá alterar ni sustituir las funciones que corresponde realizar a las personas facultadas con arreglo a Derecho para dar fe pública.

2. El tercero deberá archivar en soporte informático las declaraciones que hubieran tenido lugar por vía telemática entre las partes por el tiempo estipulado que, en ningún caso, será inferior a cinco años.

No solo no son necesarios los terceros de confianza, sino que pueden incluso ser sospechosos de ser afines a la parte que los contrata. Cuando se pone más énfasis en que sea un tercero quien dictamine sobre si se realizó o no una contratación, por ejemplo, en vez de dejar que las partes puedan tener la posibilidad de custodiar sus propia pruebas, se aplica un sesgo que se aparta de los usos y costumbres del comercio.

Además, el concepto ambiguo de “tercero de confianza” se asocia frecuentemente al de los notarios, que, en realidad no necesitan esa “muletilla” para que se les reconozca su labor, De esta forma la entidad que dice ser un “tercero de confianza” pretende ponerse al nivel de los notarios, cuando en realidad hay mucha diferencia entre sus roles.

En mi opinión los conceptos de “Simetría probatoria” y “Soporte duradero” son preferibles.

La “simetría probatoria” implica que ambas partes de un acuerdo bilateral o sinalagmático (aquel que genera obligaciones recíprocas para ambos contratantes desde su origen. como la compraventa, el arrendamiento, la permuta o el transporte) están en las mismas condiciones para demostrar su existencia, la validez de su firma y la de la firma de la contraparte

El “Soporte duradero” debe garantizar a las partes, al igual que el soporte papel, la posesión de la información o documentos  precontractuales o contractuales firmados  para que, en caso necesario, pueda ejercitar los derechos que dependan de la disponibilidad de los documentos, incluyendo los aspectos relativos a las evidencias electrónicas.

¿Cuantos tipos de firma avanzada existen?


Según la legislación aplicable en España, y obviando la Ley 59/2003 que en lo esencial se ha visto sustituida por el Reglamento (UE) 910/2014 (EIDAS) se definen tres tipos de firma electrónica:

  • «firma electrónica (simple)», los datos en formato electrónico anejos a otros datos electrónicos o asociados de manera lógica con ellos que utiliza el firmante para firmar.
  • «firma electrónica avanzada», la firma electrónica que cumple los siguientes requisitos:
    • estar vinculada al firmante de manera única.
    • permitir la identificación del firmante.
    • haber sido creada utilizando datos de creación de la firma electrónica que el firmante puede utilizar, con un alto nivel de confianza, bajo su control exclusivo, y
    • estar vinculada con los datos firmados por la misma de modo tal que cualquier modificación ulterior de los mismos sea detectable.
  • «firma electrónica cualificada», una firma electrónica avanzada que se crea mediante un dispositivo cualificado de creación de firmas electrónicas y que se basa en un certificado cualificado de firma electrónica. Es equivalente a la firma manuscrita.

La firma electrónica avanzada puede ser:

  • No basada en certificados. En cuyo caso, la vinculación del firmante con lo firmado, la identificación del firmante y su creación con un alto nivel de confianza, bajo su control exclusivo, deberá gestionarse con técnicas apropiadas, incluyendo las criptográficas. Entre estas se encuentran las firmas biométricas.
  • Basada en certificados. En cuyo caso se dan dos variantes:
    • Certificados no cualificados.
    • Certificados cualificados. En cuyo caso se dan dos variantes:
      • No basadas en dispositivos cualificados de creación de firma
      • Basadas en dispositivos cualificados de creación de firma. Esta es la firma cualificada.

Muchas normas dan valor jurídico a diferentes tipos de firmas avanzadas (no solo a las firmas cualificadas). Por ejemplo, la Ley 18/2011 da valor de forma expresa a la firma avanzada basada en certificado cualificado, y no basadas en un dispositivo cualificado de creación de firma:

Artículo 14. Formas de identificación y autenticación.

1. La Administración de Justicia admitirá, en sus relaciones por medios electrónicos, sistemas de firma electrónica que sean conformes a lo establecido en (la ley 18/2011 hacer referencia a la Ley 59/2003, de 19 de diciembre, de firma electrónica, pero en la actualidad sta refeencia debe entenderse en relación con el Reglamento UE 910/2014) y resulten adecuados para garantizar la identificación de los firmantes y, en su caso, la autenticidad e integridad de los documentos electrónicos.

2. Sin perjuicio de lo dispuesto en los artículos 4 y 6 de la presente Ley y en todo caso, con sujeción estricta a lo dispuesto por las leyes procesales, los ciudadanos y profesionales del ámbito de la Justicia podrán utilizar los siguientes sistemas de firma electrónica para relacionarse con la Administración de Justicia:

(…)

b) Sistemas de firma electrónica avanzada, incluyendo los basados en certificado electrónico reconocido, admitidos por las Administraciones públicas.

c) Otros sistemas de firma electrónica, como la utilización de claves concertadas en un registro previo como usuario, la aportación de información conocida por ambas partes u otros sistemas no criptográficos, en los términos y condiciones que en cada caso se determinen.

No olvidemos que el Artículo 25 del Reglamento UE 910/2014 define los efectos jurídicos de las firmas electrónicas

1. No se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a una firma electrónica por el mero hecho de ser una firma electrónica o porque no cumpla los requisitos de la firma electrónica cualificada.

2. Una firma electrónica cualificada tendrá un efecto jurídico equivalente al de una firma manuscrita.

3. Una firma electrónica cualificada basada en un certificado cualificado emitido en un Estado miembro será reconocida como una firma electrónica cualificada en todos los demás Estados miembros.

Aunque la Ley 59/2003 ya no se considera de aplicación en sentido estricto, cabe mencionar una variante de firma electrónica definida en ella (en su artículo 3 apartado 10), que podria denominar “firma acordada”:

Cuando una firma electrónica se utilice conforme a las condiciones acordadas por las partes para relacionarse entre sí, se tendrá en cuenta lo estipulado entre ellas.

Videocallcenter para identificación de clientes


EADTrust ha puesto en marcha un servicio de Video Call Center para verificación de identidad de clientes como sistema complementario de sus servicios de gestión de autenticación.

La plataforma está diseñada con un mecanismo de refuerzo de gestión biométrica y con la posibilidad de capturar por video o fotografía asistida la información de documentos de identidad.

De momento es un centro reducido con formación específica en verificación de identidad que pensamos que interesará también a entidades Fintech que quieran disponer de un mecanismo de contratación a distancia más económico que el necesario para la contratación presencial.

Estos días están siendo muy activos ya que nos están pidiendo que presentemos el servicio en diferentes entidades financieras y de dinero electrónico gracias a la repercusión que ha tenido en diferentes medios de comunicación la autorización del SEPBLAC para utilizar sistemas de videoconferencia en contextos en los que se aplica el mandato “Know your customer” asociado a la normativa de lucha contra el blanqueo de dinero.

El SEPBLAC (Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias) organismo encargado de luchar contra el blanqueo de capitales autoriza desde el pasado 1 de marzo los procedimientos de identificación no presencial de clientes mediante videoconferencia, un trámite que resulta clave para las iniciativas de entidades financieras que no cuentan con una red presencial de relación.

La autorización al uso de las videoconferencias encaja dentro del Reglamento de la Ley 10/2010, de 28 de abril, de prevención del blanquero de capitales y de la financiación del terrorismo.

En nuestro caso, estos procedimiento se refuerzan con el empleo de la biometría, con la extracción de información de imágenes de documentos de identidad y con el empleo de técnicas de preservación de evidencias digitales gracias a que en el proyecto hemos participado varios partners.

Más información sobre la firma manuscrita digitalizada: ¿es firma electrónica avanzada?


Llevo varios años explicando como se puede desarrollar un sistema que capta firmas manuscritas de forma que tengan la consideración de firma electrónica avanzada según la definición del Reglamento europeo UE 910/2014 (#eIdAS) e impulsando en EADTrust un modelo (un “ecosistema” si se me permite usar la palabra en ese sentido) que puede ser auditado y certificado.

En estos años hemos auditado varias soluciones en entidades del sector sanitario, financiero y de telecomunicaciones que pueden lucir los certificado expedidos por EADTrust que lo acreditan.

Muchas de las ideas relacionadas con la firma biométrica y la firma digitalizada las he recogido en un sencillo blog especializado.

Se indican seguidamente alguno de los artículos más recientes recogidos en dicho blog: