en Sin categoría

«Caos Digital»¿Firma electrónica o firma digital?

Marta Zárate, Abogada.

La confusión generalizada es evidente. Consumidores finales en la Web, E-business e incluso profesionales de los distintos sectores jurídicos intentamos encontrar la aplicación práctica de la llamada ?firma digital?, que no es otra cosa que la utilización de un sistema de encriptación asimétrico (asymmetric cryptosystem) en el cual existen dos ?llaves? (keys), que consisten en una clave privada y una clave pública. La primera sólo es conocida por el particular, y la segunda es la clave que identifica públicamente a ese particular, de manera que sólo utilizando su clave pública el mensaje enviado por el interesado podrá ser desencriptado y por tanto legible. El sistema es sencillo: el particular (Persona física o jurídica) después de redactar el documento lo encriptará con su clave privada, podrá enviarlo a través de Internet (e-mail, chat, página Web) a su destinatario final conociendo la dirección del mismo, y este último para poder descifrar el mensaje recibido utilizará la clave pública del remitente. Este sistema nos permitirá verificar que el mensaje original no ha sido modificado en su trayecto a través de la Web (principle of irreversibility), la autenticidad del mensaje recibido, y por último, la integridad del mensaje en cuanto a la certeza y conclusión del mismo. La firma digital no es por tanto algo ?añadido? a un documento, sino la versión encryptada del mismo. No existe si la disociamos de su mensaje, y del mismo modo, cambia con cada documento encriptado.

Por su parte, la ?firma electrónica? es cualquier símbolo que utilicemos como identificador de una persona en un determinado documento que para su transmisión utilice medios electrónicos, lo cual se asimila a la firma tradicional. El nombre de una persona escrito al final de un documento o un símbolo que le identifique sería una firma electrónica. La firma digital es por tanto un tipo de firma electrónica. El nivel de inseguridad de esta última resulta evidente, ya que su falsificación es tremendamente sencilla. Su invalidez como método de autenticación de documentos es por tanto obvia.

Pero si es cierto que la firma digital es un vehículo seguro para facilitar el comercio electrónico por medio de la autenticación de todo tipo de documentos a los que necesitemos dotarles con la aprobación y demás propiedades de la firma tradicional de una persona, ¿por qué su uso no se ha generalizado? Para entender las respuestas a esta pregunta, no olvidemos que el comercio electrónico, esto es, el comercio a través de Internet, es por definición un comercio internacional, en el que no existen fronteras. La firma digital necesitará por tanto un respaldo legal armonizado a escala internacional, de modo que su uso no haga surgir barreras en la Web.

Los factores causantes del escaso uso de firmas digitales debido a su alto nivel de ineficacia se pueden resumir en los siguientes:

Primero, caos terminológico. Como ya hemos destacado, la firma digital y electrónica no son dos términos que designen el mismo sistema, sino que conllevan diferencias esenciales. La falta de homogeneidad a este respecto desde el punto de vista legislativo en el ámbito internacional provoca la confusión no sólo de ambos términos sino también de las características que los definen. Mientras la Directiva Comunitaria se refiere a ?firmas electrónicas?, Italia, Alemania y Dinamarca adoptan una ley que regula la ?firma digital?, al igual que países como España, Argentina, Malasia, y Colombia y algunos estados de Norteamérica como Utah, Arkansas, Florida, Illinois, Kansas, Minnesota, Mississippi, New Hampshire y Washington, entre otros. Por otra parte la ?firma electrónica? se contempla en las leyes que rigen esta materia en California, Connecticut, Delaware, Idaho, Indiana, New York, Carolina del Sur y Virginia, entre otros ejemplos. Otros países como Australia, Bélgica, Colombia, Hong Kong y el Reino Unido han presentado varias propuestas legales en las cuales firma digital y electrónica no son claramente definidas, desconcierto que se repite en prácticamente todos los países anteriormente señalados.

En segundo lugar, el tipo de transacciones a las que se da cobertura legal varía en cada una de las leyes vigentes en esta materia. Algunos países autorizan el uso de firmas electrónicas para aquellas transacciones en las que participen sólo determinadas partes, mientras que otras limitan su ámbito de aplicación a ciertas categorías de transacciones, de manera que el uso de firmas electrónicas es en muchas ocasiones desautorizado en estos países o simplemente su aplicación no tendrá fuerza jurídica para ciertos tipos de documentos. Estas restricciones funcionales son a menudo acompañadas de restricciones geográficas, en las cuales, como ocurre en la Ley Alemana de firma Digital, se reconocen aquellos certificados de firmas electrónicas provenientes sólo de determinados países, reconociendo en este caso Alemania como válidos aquellos que procedan de un país de la Unión Europea.

Tercero, no existe un acuerdo global en cuanto a qué constituye una firma con validez legal en el marco del comercio electrónico. Mientras algunos países dan legitimidad de forma ambigua y sin especificaciones a cualquier tipo de ?firma electrónica?, otros apuestan sólo por aquellas firmas electrónicas que reúnan ciertos requisitos de seguridad (los cuales a su vez también varían en las distintas legislaciones), mientras que por último, otros muchos países sólo otorgan validez legal a aquellas firmas que reúnan los requisitos de las ?firmas digitales? (autenticidad del transmisor, integridad del documento y no repudiabilidad).

Cuarto, la creación de firmas digitales requiere no sólo medios tecnológicos (determinado software para llevar a cabo métodos de encriptación) sino también cierta infraestructura, mediante la cual las denominadas Autoridades de Certificación (CAs) aseveren que efectivamente la ?llave pública? de un titular corresponde a una determinada persona, y que por tanto un mensaje recibido de esa persona encriptado con su llave privada sólo podrá ser desencriptado para hacerlo legible mediante la utilización de su llave pública, de modo que el receptor se asegura que el mensaje proviene de un determinado titular, y que no ha sufrido cambios en el transcurso de su transmisión. El problema surge en relación a las infraestructuras llamadas ?Open Public Key Infraestructures? (PKIs?), sistemas en los cuales los subscriptores obtienen certificados de las CAs válidos para cualesquiera tipo de documentos y transacciones comerciales, mientras que algunas leyes de firma digital contemplan sólo un sistema cerrado de certificación -?Close PKI model?-, en el cual los certificados sólo tendrán validez jurídica para determinados contextos contractuales definidos con anterioridad por las partes.

Por otra parte, la regulación de las Autoridades de Certificación varía en las distintas legislaciones. Mientras que en algunos países han sido creados organismos públicos para cumplir con sus funciones, en otros (Malasia, Alemania e Italia) se impone una regulación estricta, pero será la iniciativa particular la que opte por pedir una licencia para ejercer como entidad certificadora. En la mayor parte de los casos las leyes en vigor de los distintos países son lo suficientemente generales y ambiguas como para llegar a ser incompatibles entre sí. En otros, ni siquiera queda claro si se requiere la existencia de una licencia previa para llevar a cabo estas funciones de certificación.

Por último, las consecuencias legales de las firmas electrónicas son también distintas. Algunos estatutos (Illinois) otorgan presunción de validez a cualquier documento que haya sido firmado digitalmente, mientras que otras leyes sólo presumirán válida la identidad del mandatario e integridad del documento si la firma cumple con determinados atributos de seguridad, como ocurre con la Ley de firma digital alemana o en el borrador de normas sobre firmas electrónicas UNCITRAL. En países como Bélgica, Francia o Grecia los documentos electrónicos no son aceptados ante los tribunales de justicia, aun estando validados por una firma digital, dado que cierto tipo de contratos requieren su formulación escrita y autenticación según los métodos de firma manuscrita tradicional.

Si conseguimos resolver este caos legislativo internacional, la firma digital dará la seguridad y eficacia que el nuevo comercio electrónico está requiriendo, siempre y cuando no estemos creando infraestructuras de un coste desmesurado que reduzcan la utilización de firmas digitales. Olvidemos también requerir en este nuevo marco tecnologías que mañana estarán obsoletas, pero sobre todo, no creemos las barreras que el mundo electrónico no tiene.