La firma virtual y la directiva europea sobre la firma electrónica

1. Presentación
tecnológica

La criptografía
asimétrica, inventada en 1976 por Whitfield Diffie y Martin Hellman, está utilizando un algoritmo basado sobre dos
claves diferentes pero relacionadas; una para crear la firma virtual o para
transformar un mensaje en una forma ininteligible, y una otra clave para
verificar la firma virtual o cambiar el mensaje en su forma original. La clave
privada es conocida solamente por el firmante y es utilizada para firmar el
documento. El correspondiente utiliza la clave pública, conocida por
todos,  para verificar la firma. Si muchas personas necesitan verificar la
firma del utilizador, la clave pública tiene que ser publicada en el Internet,
por ejemplo en registros. Aunque las dos claves son matemáticamente relacionadas,
es imposible – por el momento – encontrar por deducción la clave privada de la
clave pública. Este principio se llama príncipio de
irreversibilidad. Actualmente solamente tres sistemas pueden ser considerados
como seguros y eficientes, clasificados según el problema matemático sobre cual
ellos están basados: el Integer Factorization systems (por
ejemplo RSA), el Discrete Logarithm systems (por
ejemplo DSA) y el Elliptic Curve Cryptosystem, esto último siendo aprobado recientemente
por el Federal Information Processing
Standard. El futuro pertenece a la Quantum criptografía.

La criptografía
simétrica funciona de la misma manera pero con la diferencia que el
mecanismo está basado sobre una sola clave – la privada -, la cual tiene que
ser conocida al mismo tiempo por el expediente y por el recipiente.

Un otro proceso
fundamental es la función hash para crear y
verificar la firma virtual. Se trata de un algoritmo que crea una
representación digital llamada “huella dactilar” en forma de un valor o un
resultado “hash”. Algo cambio en el mensaje
invariablemente produce una valor hash diferente
del original.

2. Terminología
legal

Conforme a la
norma ISO/IEC 7498-2 de la Organización por la Estandardización
internacional (OEI), la firma digital es definida como “Datos asociados con, o
la transformación criptográfica de una unidad de datos que permite al
recipiente probar la fuente y la integridad de la unidad de datos y proteger
contra una falsificación, como el recipiente por ejemplo”. En otras palabras,
la firma digital puede ser realizada con la criptografía asimétrica como con la
simétrica asociada a un dispositivo incorruptible de creación de firma y un
dispositivo incorruptible de verificación de firma. Sin embargo, la legislación
positiva asocia el término “firma digital” con los mecanismos de clave públicas
y considera la “firma digital OEI” como una “firma electrónica”, definida en
general como letras, caracteres, números o otros símbolos en forma digital
adjuntos o lógicamente asociados con un mensaje electrónico, y ejecutados o
adoptados con la intención de autentificar o aprobar el mensaje electrónico.
Solo la ley italiana así como algunas leyes americanas están utilizando la
definición original de la OEI.
En consecuencia, estamos utilizando el término genérico de
“firma virtual” que incluye por una parte la firma digital designando la
infraestructura de clave pública  y, por otra parte, la firma electrónica
designando de manera general todas las otras formas de firmas en el ambiente
electrónico. Haría confusión de decir que la firma electrónica incluye la firma
digital en la medida que algunas leyes hacen la distinción entre estos dos
tipos de firma.

3. La implantación
legal

Desde la primera
ley sobre la firma virtual, el Utah Digital
Signature Act en 1995,
muchos Estados han regulado la materia. Queremos solamente destacar las
principales diferencias que son posibles de encontrar de un país al otro.

Equivalencia firma
virtual – firma manuscrita:

. La firma
electrónica satisface el requisito

. Únicamente la
firma digital satisface el requisito

. La firma
electrónica tiene que estar basada sobre un certificado

. La firma
electrónica tiene que estar basada sobre un certificado seguro – avanzado –
reconocido

. La firma digital
tiene que estar basada sobre un certificado

. La firma digital
tiene que estar basada sobre un certificado seguro – avanzado –
reconocido

. La firma digital
está presumida fiable para satisfacer el requisito de la firma manuscrita

. La firma digital
satisface el requisito, pero la firma electrónica solamente establece una
presunción.

En la medida que
es imposible analizar todas las leyes nacionales, nos contentamos con presentar
de manera breve el régimen uniforme de la directiva europea para la firma
electrónica.

4. Directiva
1999/93 por la que se establece un marco comunitario para la firma electrónica

El 16 de abril de
1997,  la
Comisión europea presentó por la primera vez una comunicación
sobre una iniciativa europea en el comercio electrónico, seguida por una
segunda, el 8 de octubre de 1997, por un marco comunitario para las firmas
electrónicas y la cryptografía. El primero de
diciembre de 1999, el Consejo invitó la Comisión a presentar tan rápido como posible una
proposición. El 13 de diciembre de 1999, el Parlamento Europeo y el Consejo
adoptaron la directiva 1999/93 por la que se establece un marco comunitario
para la firma electrónica. Dos años después de su implementacion,
la Comisión
tiene que revisar la directiva.

La directiva
limita su ámbito de aplicación a las firmas electrónicas utilizadas en el
Internet en oposición a las utilizadas en los EDI. Como lo dice el considerando
(16) de la directiva, no hay necesidad de regular las firmas electrónicas
utilizadas exclusivamente dentro sistemas basados en acuerdos voluntarios de
Derecho privado celebrados entre un número determinado de participantes. Sin
embargo, la definición del EDI dado por la Comisión no permite establecer la distinción
entre las transacciones Internet y las transacciones EDI, como se puede
ilustrar con los contratos de on-line banking: Primero, el
cliente tiene que firmar un acuerdo – que es un acuerdo voluntario de Derecho
privado -; segundo, todos los clientes forman necesariamente un “número
determinado de participantes”. Quiere decir que la directiva no se aplica a los
contratos de cyberbanking firmados electrónicamente ? La respuesta es sin duda negativa. Sin
embargo hubiera sido mejor para el entendimiento de haber utilizado el término
de “EDI” en lugar de una párafrasis desafortunada.

La directiva prevee dos tipos de firmas virtuales: la firma electrónica
definida como “datos en forma electrónica anejos a otros datos electrónicos o
asociados de manera lógica con ellos, utilizados como medio de autenticación”;
y la firma electrónica avanzada que  ha sido creada por medios que el
firmante puede mantener bajo su exclusivo control, está vinculada al firmante
de manera única, y  permite la identificación del firmante. Ademas, está vinculada a los datos a que se refiere de modo
que cualquier cambio ulterior de los mismos sea detectable. En otros palabras, la firma avanzada corresponde a la firma
digital OEI implantado por la infraestructura de claves públicas, como el
reporte del EESSI lo remarca:

“The
technology neutral approach of the directive would not allow reference to
specific technologies, such as digital signatures based on
asymmetric cryptography. However, it is clear that the directive, when
describing an .advanced electronic signature., has
taken into consideration the characteristics of asymmetric cryptography
and certificate-based verification”.

Sin embargo, este
no quiere decir que la criptografia simétrica está
excluida, en la medida que ella puede constituir una firma electrónica avanzada
cuando está asociada a un dispositivo incorruptible de creación de firma y a un
dispositivo incorruptible de verificación de firma.

Firmas avanzadas
asociadas con un certificado reconocido y creada por un dispositivo seguro de
creación de firma satisfacen el requisito jurídico en materia de firma
manuscrita. Las otras categorías de firmas – firmas avanzadas asociadas con un
certificado, firmas avanzadas sin certificado, firmas electrónicas asociadas
con certificados reconocidos o sin certificado – no pueden ser negadas de
eficacia jurídica por el mero hecho de que se presenten en forma electrónica,
aunque esto no prevale sobre las reglas nacionales que permiten al juez de
apreciar libremente el valor de la prueba presentada.

Certificados
reconocidos pueden solamente ser emitidos por proveedores de servicios de
certificación (PSC) quiénes respetan los requisitos del Anexo I, que
corresponde mas o menos a los certificados X.509 versión 3. Este tiene por
consecuencia que toda la información es accesible en el certificado, o que es
presente en una forma “encodigada“
que puede ser interpretada por todos los productos de firma electrónica
en una forma standardizada cuando está presentada a una tercera partida. La
incorporación por referencia, por ejemplo una URL, no es aceptable porque la
información localizada en esta URL puede cambiarse sin noticia.

El dispositivo
seguro de creación de firma electrónica es el en donde los datos para la
generación de la firma son secretos, no pueden ser falsificados y asegura que
no hay alteración en el contendido firmado (Annex
III).

No hay ningún
esquema de autorización a priori para los PSC, aunque la directiva prevé la
posibilidad para los Estados miembros de establecer un régimen de acreditación
voluntaria para promover el desarrollo de una buena práctica entre los
PSC. Entonces, los PSC son libres de adherirse o no a estos esquemas de
acreditación. Sin embargo, los PSC tienen ventaja de buscar su acreditación en
la medida que los régimen de acreditación probablemente corresponden a los
requisitos del Anexo II que condicionan los PSC quiénes expiden certificados
reconocidos, obligatorios para que la firma electrónica avanzada puede ser
equivalente a la firma manuscrita.

Los Estados
miembros tienen que garantizar, como mínimo, que los PSC sean responsables por
los perjuicios causados por las informaciones contenidas en los certificados
reconocidos, salvo que el PSC pueda demostrar que no ha actuado con
negligencia. Los PSC tienen el derecho de indicar en un certificado reconocido limites en cuanto a sus posibles usos cuando ellas son
reconocibles para terceros. El proveedor no responde de los daños y perjuicios
causados por el uso que exceda los limites consignados
en el certificado reconocido.

Con relación a los
aspectos internacionales, los Estados miembros tienen que garantizar que los
certificados expedidos por PSC establecidos en un tercer país a la Unión europea sean
reconocidos si el CSP extranjero satisfaga los requisitos mencionados en la
directiva y que haya sido acreditado en el marco de un sistema voluntario de
acreditación establecido por un Estado miembro o por un proveedor establecido
en la Unión,
que cumpla con las prescripciones de la directiva, y avale el certificado. La Unión europea tiene
también la opción de concluir acuerdos bilaterales o multilaterales con países
terceros o organizaciones internacionales para
reconocer certificados extranjeros.

Los PSC también
tienen que cumplir las prescripciones previstas en la directiva 95/46 del 24 de
octubre de 1995 relativa a la protección de los datos personales.

La directiva sobre
la firma electrónica ya fue puesta en vigor en Austria, Francia, España,
Irlanda, Luxemburgo, y Portugal. La cuestión si la ley alemana de 1997 y la ley
italiana dicha Bassanini de 1997 concuerdan
con la directiva, está abierta.

Nota:

La directiva (en
español) así que las leyes citadas pueden ser consultadas en : http://www.cyberbanking-law.lu,
<statutes>; para aprofundir
el sujeto, se puedo consultar  (gratuitamente) nuestro libro “Technology and Law: An Introduction
into E-commerce” en: http://www.net-org.de/intro2000.PDF.