Archivo de la categoría: Firma vocal

Acceso a información biométrica de una firma digitalizada


EADTrust y otros Prestadores de Servicios Electrónicos de Confianza Digital custodian claves privadas de diferentes plataformas de firma digitalizada, biométrica o grafométrica.

El hecho de que exista esta custodia implica que los responsables de las plataformas adoptan medidas para garantizar que la información biométrica se incluye en los documentos electrónicos firmados de forma cifrada (con la clave pública asociada a la clave privada custodiada) y que no está libremente disponible para la entidad que hace uso de la plataforma, y, por tanto, no puede utilizarla para asociarla a otros documentos.

De esta forma, tanto la entidad promotora del sistema de firma digitalizada que hace uso de la plataforma como los propios firmantes están en igualdad de condiciones para ejercer el derecho a la prueba respecto a si una firma en concreto pertenece o no a una persona (esa igualdad de condiciones se denomina, a veces, “simetría probatoria”).

Para realizar el proceso de comprobación de una firma digitalizada se suele recurrir a un proceso de análisis pericial caligráfico (u otro tipo de estudio pericial asistido por software de análisis biométrico de uso forense), para lo que será necesario identificar peritos y expertos que puedan realizar el análisis.

El proceso se inicia a partir del archivo PDF que debe tener a su alcance cualquiera de las partes intervinientes en el contrato y que incluye la firma controvertida, por lo que este debe estar localizable para la entidad y para el firmante.

En caso de que el cliente de una entidad que haya firmado en Tablet no posea el fichero digital con su firma, y lo requiera, será preciso identificar las personas de Compliance o de gestión de LOPD (o RGPD) o seguridad informática en la entidad que tienen identificado el caso y el archivo o archivos cuya firma es controvertida, y solicitar el fichero por los cauces previstos (por ejemplo contactando con la entidad para ejercer el derecho de “Acceso” reconocido por la LOPD).

Una vez que se dispone del documento PDF que incluye la firma biométrica, cualquiera de las partes puede llevar a cabo los siguientes pasos:

  • Preparar un mandato o poder de una persona que desea realizar la comprobación nombrando al perito para que pueda acudir al Prestador de Servicios Electrónicos de Confianza que custodia las claves privadas (EADTrust o el PSEC que se haya definido en cada caso) en nombre del solicitante.
  • Hacer copia del poder o mandato y del DNI de apoderado o mandatario
  • Preparar un escrito en formato carta que describa brevemente el problema y solicite la intervención de la entidad que custodia las claves privadas (EADTrust o el PSEC que se haya definido en cada caso) incluyendo los datos de identificación de la persona que contactará con ella. Normalmente la firma el apoderado.
  • Quien acude a la entidad que custodia las claves privadas (EADTrust o el PSEC que se haya definido en cada caso) lo suele hacer presencialmente o por un procedimiento acordado, de gestión telemática.
  • Conviene cerciorarse de que la entidad que custodia las claves privadas (EADTrust o el PSEC que se haya definido en cada caso) tiene la ultima versión del software aportado por los desarrolladores de la plataforma para descifrar la información biométrica a partir del documento PDF.
  • La entidad que custodia las claves privadas (EADTrust o el PSEC que se haya definido en cada caso) nunca hace entrega de las claves. Hace uso de la clave para descifrar el documento y extraer la información biométrica de la firma que entrega al solicitante, pero las claves privadas no salen de su custodia.

Con la información biométrica extraída, son necesarias, para el cotejo las firmas indubitadas, para lo que debe colaborar la persona cuya identidad se vincula al documento.

Si se va a plantear la prueba en un litigio, se describe la solicitud de la prueba pericial en el escrito de demanda o de contestación, para que en su momento, se realicen las firmas indubitadas en presencia del Letrado de la Administración de Justicia que competa.

Si se desea realizar el cotejo de firmas con ayuda del perito, pero sin llegar a juicio, se precisa contactar con el cliente para que realice varias firmas (5 o 10, las que el perito recomiende) en una tableta digitalizadora semejante a la utilizada originalmente para firmar, con el apoyo del software de uso pericial.

Es posible contactar con EADTrust, a través del teléfono +34 91 7160555 (o 902 365 612) desde España) donde pueden orientarle de forma más precisa según la entidad que haya gestionado la custodia para los documentos PDF de su interés.

“Simetría probatoria” y “Soporte duradero” en las firmas electrónicas


Uno de los retos del mundo de las firmas electrónicas es que los documentos firmados electrónicamente puedan estar a disposición de los firmantes de forma permanente y que todos ellos puedan demostrar que las firmas electrónicas son válidas (o que no lo son).

A veces la complejidad del uso de los sistemas de firma electrónica puede hacer útil recurrir a una plataforma que gestione las firmas y que simplifique la operativa, sin merma de la validez jurídica.

Sin embargo, algunas entidades que ofertan plataformas orientadas a la contratación con firma electrónica se arrogan el rol de “tercero de confianza” escasamente definido en la normativa legal como un requisito para la validez de la recogida de las manifestaciones de voluntad por vía digital. La escasa preparación legal de sus interlocutores les permite afirmar con aplomo esa supuesta condición de “tercero de confianza” y con técnicas comerciales dudosas convencen, incluso, a departamentos jurídicos de grandes empresas.

Lo cierto es que no son necesarios los terceros de confianza en el sentido en el que los define el artículo 25 de la LSSI-CE. Y además quienes supuestamente ofrecen servicios de “tercero de confianza” no lo hacen en el sentido de la LSSI-CE

Artículo 25. Intervención de terceros de confianza.

1. Las partes podrán pactar que un tercero archive las declaraciones de voluntad que integran los contratos electrónicos y que consigne la fecha y la hora en que dichas comunicaciones han tenido lugar. La intervención de dichos terceros no podrá alterar ni sustituir las funciones que corresponde realizar a las personas facultadas con arreglo a Derecho para dar fe pública.

2. El tercero deberá archivar en soporte informático las declaraciones que hubieran tenido lugar por vía telemática entre las partes por el tiempo estipulado que, en ningún caso, será inferior a cinco años.

No solo no son necesarios los terceros de confianza, sino que pueden incluso ser sospechosos de ser afines a la parte que los contrata. Cuando se pone más énfasis en que sea un tercero quien dictamine sobre si se realizó o no una contratación, por ejemplo, en vez de dejar que las partes puedan tener la posibilidad de custodiar sus propia pruebas, se aplica un sesgo que se aparta de los usos y costumbres del comercio.

Además, el concepto ambiguo de “tercero de confianza” se asocia frecuentemente al de los notarios, que, en realidad no necesitan esa “muletilla” para que se les reconozca su labor, De esta forma la entidad que dice ser un “tercero de confianza” pretende ponerse al nivel de los notarios, cuando en realidad hay mucha diferencia entre sus roles.

En mi opinión los conceptos de “Simetría probatoria” y “Soporte duradero” son preferibles.

La “simetría probatoria” implica que ambas partes de un acuerdo bilateral o sinalagmático (aquel que genera obligaciones recíprocas para ambos contratantes desde su origen. como la compraventa, el arrendamiento, la permuta o el transporte) están en las mismas condiciones para demostrar su existencia, la validez de su firma y la de la firma de la contraparte

El “Soporte duradero” debe garantizar a las partes, al igual que el soporte papel, la posesión de la información o documentos  precontractuales o contractuales firmados  para que, en caso necesario, pueda ejercitar los derechos que dependan de la disponibilidad de los documentos, incluyendo los aspectos relativos a las evidencias electrónicas.

Videocallcenter para identificación de clientes


EADTrust ha puesto en marcha un servicio de Video Call Center para verificación de identidad de clientes como sistema complementario de sus servicios de gestión de autenticación.

La plataforma está diseñada con un mecanismo de refuerzo de gestión biométrica y con la posibilidad de capturar por video o fotografía asistida la información de documentos de identidad.

De momento es un centro reducido con formación específica en verificación de identidad que pensamos que interesará también a entidades Fintech que quieran disponer de un mecanismo de contratación a distancia más económico que el necesario para la contratación presencial.

Estos días están siendo muy activos ya que nos están pidiendo que presentemos el servicio en diferentes entidades financieras y de dinero electrónico gracias a la repercusión que ha tenido en diferentes medios de comunicación la autorización del SEPBLAC para utilizar sistemas de videoconferencia en contextos en los que se aplica el mandato “Know your customer” asociado a la normativa de lucha contra el blanqueo de dinero.

El SEPBLAC (Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias) organismo encargado de luchar contra el blanqueo de capitales autoriza desde el pasado 1 de marzo los procedimientos de identificación no presencial de clientes mediante videoconferencia, un trámite que resulta clave para las iniciativas de entidades financieras que no cuentan con una red presencial de relación.

La autorización al uso de las videoconferencias encaja dentro del Reglamento de la Ley 10/2010, de 28 de abril, de prevención del blanquero de capitales y de la financiación del terrorismo.

En nuestro caso, estos procedimiento se refuerzan con el empleo de la biometría, con la extracción de información de imágenes de documentos de identidad y con el empleo de técnicas de preservación de evidencias digitales gracias a que en el proyecto hemos participado varios partners.

Más información sobre la firma manuscrita digitalizada: ¿es firma electrónica avanzada?


Llevo varios años explicando como se puede desarrollar un sistema que capta firmas manuscritas de forma que tengan la consideración de firma electrónica avanzada según la definición del Reglamento europeo UE 910/2014 (#eIdAS) e impulsando en EADTrust un modelo (un “ecosistema” si se me permite usar la palabra en ese sentido) que puede ser auditado y certificado.

En estos años hemos auditado varias soluciones en entidades del sector sanitario, financiero y de telecomunicaciones que pueden lucir los certificado expedidos por EADTrust que lo acreditan.

Muchas de las ideas relacionadas con la firma biométrica y la firma digitalizada las he recogido en un sencillo blog especializado.

Se indican seguidamente alguno de los artículos más recientes recogidos en dicho blog:

 

 

¿Cómo llevamos la adaptación a SEPA?


Aunque el 1 de febrero de 2014 era la fecha inicialmente prevista para eliminar las modalidades no-SEPA de transferencias y domiciliaciones bancarias que se realicen en España y el resto de los países miembros de la Unión Europea, lo cierto es que el cambio no está siendo tan radical como parecía, empezando por el retraso de algunas entidades financieras de proporcionar los servicios adecuados para la transición a los estándares y normas SEPA (Single Euro Payments Area). Los principales beneficios que se esperan de la implantación de una Zona Única de Pagos en Euros son:

  • La desaparición de barreras para la ejecución de pagos internacionales, especialmente a nivel de costes.
  • La posibilidad de utilizar una sola cuenta bancaria para operaciones en euros dentro de la zona SEPA, sin requerir abrir cuentas en varios paises.
  • Una cierta mayor protección para los usuarios de servicios de pago.
  • El uso de estándares comunes, que permite mejoras de eficiencia en los procesos de ejecución de pagos, cuando se trata de operaciones internacionales o de empresas multinacionales..

Los principales aspectos a tener en cuenta para la adaptación, son los siguientes:

  • El IBAN será el identificador único de cualquier cuenta de pago en SEPA, reemplazando a los actuales identificadores de cuenta nacionales (el CCC en el caso español). Muchas entidades ofrecen servicios gratuitos de conversión para cuentas españolas
  • Nuevo formato de intercambio de información entre las Empresas y las Entidades bancarias.
  • Adeudos Directos SEPA en fichero electrónico, orientado a particulares– Esquema básico (core): Serie normas y procedimientos bancarios Cuaderno Nº 19-14.
  • Adeudos Directos SEPA en fichero electrónico, orientado a empresas – Esquema B2B (Business to Business): Serie normas y procedimientos bancarios Cuaderno Nº 19-44.

Puede ampliar información sobre la Diferencias entre la modalidad B2B y la básica del mandato SEPA de adeudo por domiciliaciones Creación de un mandato. El mandato es el medio por el que el deudor autoriza y consiente al acreedor a:

  • Iniciar los cobros mediante el cargo en la cuenta indicada por el deudor.
  • Autorizar a la entidad del deudor a cargar en su cuenta los adeudos presentados al cobro por la entidad bancaria del acreedor.

El mandato, que tendrá una referencia única, debe estar suscrito por el deudor como titular de la cuenta de cargo o persona en disposición de poder otorgado por éste, antes de iniciar el cobro de los adeudos. Puede ampliar información sobre

Las adaptaciones tendrán unos costes asociados para las entidades bancarias y para las empresas de difícil recuperación, ya que no producirán cambios significativos en el aumento de los negocios ni el incremento de los márgenes de beneficio. Por ello, el mejor enfoque es aprovechar la necesidad de cambio para acometer algún otro cambio técnico y organizativo que sí se traduzca en reducción de costes o en mejora de posición competitiva.

Entre los ejemplos de posibles soluciones, cabe la posibilidad de implantar sistemas de firma digitalizada o de firma vocal para la creación de los mandatos: Una de las características de la normativa SEPA es que, a partir del 1 de febrero de 2014, es obligatorio para las empresas recabar la firma de los clientes que contraten un servicio que será cobrado a través de un adeudo bancario. Sin el consentimiento expreso del cliente con alguna modalidad de firma, manuscrita o electrónica, la empresa prestadora del servicio no podrá solicitar a ninguna entidad bancaria el cobro de sus recibos, o podrá ver como los recibos son devueltos por el acreedor. Existen diferentes posibilidades para la obtención de la firma de los clientes:

  • Mediante la firma del mandato en papel.
  • Mediante la firma del mandato por medios electrónicos, a través de Internet y/o dispositivos móviles.
  • Mediante firma mediante un sistema de confirmación por llamada telefónica que esté diseñado con las debidas garantías.

Por otra parte, SEPA establece que la información contenida en los mandatos, incluida las firmas, debe quedar almacenada en poder de la empresa acreedora mientras esté en vigor el periodo de reembolso, así como durante los plazos que establezca la Ley para la conservación de documentos una vez cancelado.

También puede ser una gran oportunidad para que las empresas comiencen la adaptación a la Ley 3/2014, de 27 de marzo, por la que se modifica el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios.  Ver más en este artículo sobre Firma vocal como soporte duradero para call centers

Un nuevo tipo de “notario” de documentos electrónicos


La Agencia Europea de Confianza Digital (European Agency of Digital Trust) es un intermediario que genera y custodia documentos electrónicos con máxima garantía y fiabilidad para los clientes

Del papel a Internet. Mandar correos electrónicos fehacientes en lugar de notificaciones postales o documentos a través del correo tradicional, o hacer operaciones bancarias por Internet en vez de acudir a la oficina está ya a la orden del día.

European Agency of Digital Trust  es un tercero de confianza electrónico que ha nacido para garantizar estas nuevas relaciones comerciales que se materializan en documentos electrónicos. La empresa es pionera en notificaciones electrónicas garantizadas y perfeccionamiento de contratos telemáticamente.

“Las pruebas documentales en soporte papel son perdurables e inalterables, lo que hasta ahora no sucedía con las pruebas electrónicas”, afirma el Presidente de EAD Trust , Julián Inza. El ejecutivo señala que “la volatilidad y la unilateralidad probatoria ” eran las características de los documentos electrónicos. Esto hacía que fueran pruebas poco fiables jurídicamente, por ser “fácilmente manipulables”. “Había que mejorar la gestión de las evidencias electrónicas para garantizar su utilidad en juicio”, explica Inza .

Es en esa tarea cuando se define European Agency of Digital Trust como una “Tercera Parte de Confianza Digital”, un intermediario que recaba, genera y custodia pruebas electrónicas y elimina los problemas en las relaciones electrónicas entre las partes implicadas, facilitando la “simetría probatoria” en pie de igualdad para todos los intervinientes de una operación jurídica sustentada electrónicamente.

Procesos judiciales

European Agency of Digital Trust, impulsada por veteranos especialistas del mundo de las Autoridades de Certificación y la firma electrónica, atesora la experiencia de entidades precursoras como Banesto, la Fundación Notarial FESTE, o las Cámaras de Comercio con Camerfirma.

El pasado mes de enero European Agency of Digital Trust  quedó constituida como entidad prestadora de servicios de confianza digital para evitar que las partes implicadas en los documentos los manipulen e interfieran en los procesos judiciales. Con vocación de servir por igual a los especialistas tecnológicos y a los profesionales del derecho y estableciendo pautas y  protocolos destinados a preservar evidencias electrónicas.

Entre los clientes que han confiado en European Agency of Digital Trust: aseguradoras, entidades financieras,  empresas del sector energético, organismos públicos, fundaciones, SICAVs.

Según sus responsables, European Agency of Digital Trust ha logrado combinar la eficiencia de procesos y su despapelización con un modelo de precios muy  asequible.

Su sistema ha ampliado las modalidades de firma de los documentos electrónicos: no sólo permite usar el DNI electrónico o la firma electrónica basada en otros certificados ; con un simple móvil pueden realizarse todas las operaciones. La empresa también ha incorporado otros sistemas, como la biometría de voz o la biometría conductual de la firma manuscrita (firma grafométrica) . Con estas tecnologías, European Agency of Digital Trust  permite a las empresas ahorrar costes. Mientras un burofax cuesta entre 12 y 30 euros, una notificación electrónica con European Agency of Digital Trust  cuesta un euro. La firma de un contrato en papel tiene un coste de entre 18 y 40 euros, lo que contrasta con los dos euros de una operación electrónica de perfecciionamiento de contratao (aunando la oferta con su aceptación).

Guardar un documento en formato electrónico durante un largo periodo puede complicar su lectura: los programas para abrirlo caducan y es más difícil su visualización. Para evitar este problema, “durante el tiempo que el documento está con nosotros garantizamos su visualización”, asegura el presidente.