LA FIRMA DIGITAL

La ley Nº 26612 y su reglamento D.S. N⁰ 00l-2000-JUS referido a la aplicación de normas que regulan el uso de tecnologías avanzadas en materia de archivos de documentos e información a entidades públicas y privadas establecen en lo relativo a la firma o signatura informática lo siguiente:

• Los datos informatizados de la entidades públicas y privadas deberán tener los sistemas de seguridad e integridad que garanticen su inalterabilidad e integridad la cual puede incluir el uso de firma o signatura informática. Esta firma o signatura informática a la que se refiere la ley incluye la firma digital, la cual será únicamente utilizada por el depositario de la fe pública para autenticar procesos de micrograbación en la obtención de microformas con valor probatorio y efecto legal.

• Cuando en esta modalidad de microformas se incluyan signatura o firma informática, ésta debe ser inalterable, fija, durable y comprobable su autenticidad en forma indubitable; esta comprobación deberá realizarse por medios técnicos idóneos incluyendo los telemáticos en general, la certificación digital y otros que proporcionen certeza y fiabilidad, así como garantía fidedigna de que se ha conservado la integridad de la información.

Los dispositivos legales mencionadas, a pesar de emplear reiteradamente los términos “signatura o firma informática” así como “firma digital” a lo largo de sus respectivos textos, no señala la forma como debe conceptualizarse cada una de ellos y mucho menos cual es su diferencia, por lo que entenderíamos que la segunda sería una especie de la primera.

Sin embargo; el D. 5. N⁰ 019-2000-JUS en su Art. 4; en el que establece una serie de definiciones relativas a la Ley de Firmas y Certificados Digitales, encontramos dos conceptos de firmas que nos permitiría tener una aproximación del concepto que tenía en mente el legislador al emplear ambos términos:

•     Firma Electrónica: Cualquier símbolo basado en medios electrónicos utilizado o adoptado por una parte con la intención precisa de vincularse, autenticar y garantizar la integridad de un documento electrónico un mensaje de datos cumpliendo todas o algunas de las funciones características de una firma manuscrita.

Por consiguiente, ciñiéndonos estrictamente a este concepto el nombre de una persona al final del escrito o un símbolo que le identifique, puede ser considerado como una firma electrónica, de ser así, aparentemente se presentaría un nivel de seguridad jurídica particularmente débil ya que su falsificación aparece tremendamente sencilla; y al no poder ser garantizada la autenticidad de un documento, tendrá que preferirse para las transacciones en línea a la firma digital.

•     Firma Digital: Aquella firma electrónica que utiliza una técnica de criptografía asimétrica y que tiene la finalidad de asegurar la integridad del mensaje de datos a través de un código de verificación, así como la vinculación entre el titular de la firma digital y el mensaje de datos recibidos.

En virtud a la definición señalada, entendemos que esta firma se basa en la utilización de un par de claves: privada y pública, que se encuentran íntimamente vinculadas.

Consecuentemente tendríamos que saber que entienden los legisladores por una clave pública y una clave privada.

La norma en mención señala también estos conceptos:

• Clave Privada: En un sistema de Criptografía asimétrica es aquella que se emplea para generar una firma digital sobre un mensaje de datos y es mantenida en reserva por el titular de la firma digital.

• Clave Pública: En un sistema de criptografía asimétrica es aquella usada por el          destinatario de un mensaje de datos para verificar la firma digital puesta en dicho mensaje y que puede ser conocida por cualquier persona.

• Criptografia asimétrica: Es una técnica basada en el uso de un único par de claves;     una clave privada y una clave pública relacionadas matemáticamente entre sí y de tal manera que una no pueda operar sin la otra y de tal forma que las personas que conocen la clave pública no puedan derivar de ella la clave privada.

Sin embargo, ninguna de las leyes vinculadas con el tema de estudio ni otro análogo, define el concepto de “firma informática”, probablemente por que la equiparan a la firma electrónica, y aparentemente tendríamos que entenderla de ese modo; en cualquier caso, por razones de orden práctico hubiera sido conveniente que legislador dejara claramente sentado lo que quiso dar a entender cuando empleo dicho término, ya que si nos remitimos a lo señalado en los conceptos vertidos en referencia al documento electrónico, esto es, el documento informático, el concepto de firma informática, (que por lógica extensión se aplicaría a éste, ya que a los documentos electrónicos se aplica la firma electrónica) distaría enormemente de poder entenderse como firma electrónica y lo que es aún peor, no tendría ningún tipo de relación con la firma digital; ya que como veremos, a nivel doctrinario y legislativo, este concepto tampoco es considerado.

Para la generación de la firma digital se puede acceder por medio de un ejecutable, el cual llevará a la visualización de un documento y a su vez de la firma digital, más no la capacidad de edición de dicho documento o firma. La única entidad capaz de modificaciones sería un notario; más la edición y generalización del documento estaría en libre acceso para ambas partes sin limitante alguno.

Señalan asimismo, que la firma digital no debería contener rúbrica, sino diversa información de carácter personal y que serviría como una firma convencional, pero ésta sería mucho más completa porque contendría como información una fotografía de la persona, su ADN, grupo sanguíneo, DNI y huella dactilar.

Para Alva Matteucci, la firma digital (digital signature) es un código informático, el cual se forma a través de un procesamiento de datos contenidos en una clave pública del emisor de un documento electrónico, relacionándolo con la clave privada del destinatario, esto es utilizando un sistema criptográfico extremadamente seguro.

En la legislación española, a través del Real Decreto ley 14/1999 del 17 de septiembre sobre firma electrónica, se regula una nueva modalidad de firma electrónica, así tenemos:

• Firma Electrónica: Aquel conjunto de datos en forma electrónica, anejos a otros datos electrónicos o asociados funcionalmente con ellos, utilizados como medio para identificar formalmente al autor o a los autores del documento que la recoge.

• Firma Electrónica Avanzada: Aquella firma electrónica que permite la identificación del signatario y ha sido creada por medios que éste mantiene bajo su exclusivo control, de manera que está vinculada únicamente al mismo y a los datos a los que se refiere, lo que permite que sea detectable cualquier modificación ulterior de éstos.

Ramos Suarez señala que la diferencia estriba en que en ésta última se permite identificar de forma fehaciente al signatario mientras que en la otra no, otorgándole iguales efectos jurídicos que en la firma manuscrita. Por tanto, señala que en ésta última definición de firma electrónica ha de intervenir necesariamente la figura de la Autoridad de Certificación.

La diferencia entre la firma electrónica y la digital estribaría en que en esta última se utiliza para las firmas electrónicas basadas en criptografia de clave pública mientras que la otra se utiliza para cualquier tipo de firma electrónica.

Las firmas digitales son utilizadas para verificar la integridad y autenticidad de un mensaje. Esto último también se puede lograr utilizando algoritmos criptográficos convencionales. La firma digital garantiza además la no repudiabilidad de un mensaje y por lo tanto tiene el mismo valor legal que una firma holográfica tradicional (en los países que poseen una ley de firma digital). En la Argentina, por decreto presidencial de abril de 1998 se otorgó ese estatus a dicha técnica para toda la administración pública nacional.

Las firmas digitales son generadas utilizando un algoritmo de clave pública. Para ello se encripta con la clave pública del emisor un hash del mensaje a firmar; cualquier persona puede verificar la validez de la firma digital del mensaje utilizando la clave pública del emisor del mensaje. Cabe señalar que la participación masiva de tráfico de información, requiere la presencia de una autoridad certificante.

Cuervo Alvarez considera que dentro del amplio concepto de firma electrónica tiene cabida, como categoría particular, la firma digital. Señala que las firmas digitales basadas sobre la criptografía asimétrica pueden encuadrarse en un concepto más general de firma electrónica, que no supone necesariamente las tecnologías del cifrado asimétrico.

Generalmente varios autores hablan indistintamente de la firma electrónica o de la firma digital (afirmación que consideramos no sería la más adecuada), señalando que las firmas electrónicas o digitales consisten básicamente en la aplicación de algoritmos de encriptación a los datos, de esta forma sólo serán reconocibles por el destinatario, el cual demás podrá comprobar la identidad del remitente, la integridad del documento, la autoría y autenticación, preservando al mismo tiempo la contidencialidad.

Del Peso Navarro señala la firma electrónica es una señal digital representada por una cadena de bits que se caracteriza por ser secreta, fácil de reproducir y reconocer, difícil de falsificar y cambiante en función del mensaje y en función del tiempo, cuya utilización obliga la aparición de lo que se denomina fedatario electrónico o telemático.

1.- CARACTERÍSTICAS DE LA FIRMA ELECTRÓNICA

De las definiciones expuestas podemos destacar las siguientes características:

• Debe permitir la identificación del signatario. Entramos en el concepto de “autoría electrónica” como la forma de determinar que una persona es quien dice ser.

• No puede ser generada más que por el emisor del documento infalsificable e inimitable.

• La información que se generen a partir de la signatura electrónica deben ser suficientes para poder validarla, pero insuficientes para falsificarla.

• La posible intervención del notario electrónico mejoraría la seguridad del sistema

• La aposición de una firma debe ser significativa y va unida indisociablemente al documento a que se refiere.

2.- LEGISLACIÓN COMPARADA EN MATERIA DE FIRMA ELECTRÓNICA

A.- ESTADOS UNIDOS

A fines de la década de los setenta, el gobierno de los Estado Unidos publicó el Data Encryption Standard (DES) para sus comunicaciones de datos sensibles pero no clasificados.

El 16 de abril de 1993, el gobierno anunció una nueva iniciativa criptográfica encaminada a proporcionar a los civiles un alto nivel de seguridad, en las comunicaciones: “Proyecto Clipper”.

En los Estados Unidos es donde más avanzada está la legislación sobre la firma electrónica, la ley de referencia es la ABA (American Bar Association) Digital Signature Guidelines, del 1 de agosto de 1996.

El valor probatorio de la firma ha sido admitido por el estado de Utah, que ha sido el primero en dotarse de una ley de firma digital. Dicha ley (Digital Signature Act Utah, del 27 de febrero de 1995, modificada en 1996) señala que la firma digital se basa en un “Criptosistema Asimétrico” definido como un algoritmo que proporciona una pareja de claves seguras; asimismo, establece la presunción de que una firma digital tiene el mismo efecto que una firma manuscrita si cumple ciertas exigencias. Esta misma equivalencia probatoria de firmas es aceptada por el estado de Florida (The Electronic Signature Act Florida), además, en esta ley se usa el término “International Notary” en vez de “Cybernotary”, término utilizado en otras leyes de los Estados Unidos (tal como The Electronic Commerce Act del 30 de mayo de 1997).

B .- EUROPA

La Unión Europea ha sido sensible al tema de la firma digital. El resultado de este trabajo ha sido la Propuesta de Directiva del Parlamento Europeo y del Consejo por la que se establece un marco común para la firma electrónica, de 13 de mayo de 1998.

La comisión europea se ha establecido un marco común para la firma electrónica el objetivo ha sido crear un marco que permita el reconocimiento legal de las firmas digitales en el mercado único y el establecimientos de criterios mínimos para las empresas dedicadas a la certificación. La Directiva incluye una definición muy amplia de las firmas electrónicas y no sólo las digitales.

Así mismo está abocada a armonizar los reglamentos sobre criptografía de todos sus estados miembros. Hasta el momento, sólo algunos países disponen de leyes sobre firma digital y/o cifrado; entre estos tenemos:

• España: La legislación actual y jurisprudencias son suficientemente amplias para acoger bajo el concepto de firma y de escrito a la firma digital y a cualquier otro tipo de firma y temas vinculados a ésta.

• Alemania: La ley de firma digital regula los certificados y claves y la autoridad certificadora. Permite el seudónimo pero prevé su identificación real por orden judicial. A la firma electrónica se le define como sello digital con una clave privada asociada a la clave pública certificada por un certificador.

• Francia: La nueva ley de telecomunicaciones y disposiciones sobre uso interior de cifrado.

• Italia: La ley del 15 de marzo de 1997 número 59 fue la primera norma del ordenamiento jurídico que italiano que recogió el principio de la plena validez de los documentos informáticos y conjuntamente con su reglamento de fecha 31 de octubre del miso año, regulan entre otras cosas: los certificadores, los certificados, autenticación de firma digital, el cybernotary, los actos públicos notariales, etc

• Reino Unido: Hay un vivo debate sobre la posible reglamentación de los terceros de confianza y existe un proyecto de ley sobre la firma digital y terceros de confianza.

• Países bajos: Se ha creado un organismo interministerial encargado del estudio de la firma digital. Existe un régimen voluntario de acreditación para los certificadores de clave pública e preparación así como normativa fiscal que prevé la presentación digital de declaración de ingresos.

• Dinamarca, Suiza y Bélgica: Preparan proyectos de ley sobre firma digital

• Suiza: Se organizó una audiencia pública sobre la firma digital en 1997.

C.- OTRAS LEGISLACIONES

• Puerto Rico: Ley de Firma Digital N⁰ 188 del 7 de Agosto de 1998

• Venezuela: Ley 1204, sobre mensaje de datos y firmas digitales del 28 de febrero del 2001.

• Malasia: Proyecto Piloto de desarrollo de infraestructura de firma digital

• Australia: Estrategia para la creación de una infraestructura de firma digital que asegure la integridad y autenticidad de las transacciones efectuadas en el ámbito gubernamental y en su relación con el sector privado. Prevé la creación de una autoridad pública que administre dicha infraestructura y acredite a los certificadores de clave pública (Proyecto “Gatekeeper”).

• Argentina: Decreto N⁰427/98 del Poder Ejecutivo: Firmas Digitales para la Administración Pública Nacional. Ley N⁰ 25506, Ley de Firma Digital del 14 de Diciembre del 2001.

• Bélgica: Ley de Telecomunicaciones: Régimen voluntario de declaración previa para los certificadores de clave pública. Proyecto de ley de certificadores de clave pública relacionados con la firma digital. Proyecto de ley sobre la Modificación del Código Civil en materia de prueba digital. Proyecto de ley sobre la utilización de la firma digital en los ámbitos de la seguridad social y la salud pública.

• Chile: Proyecto de ley sobre documento electrónico que regula la utilización de la firma digital y el funcionamiento de los certificadores de clave pública. Ley N⁰ 19799 sobre documentos electrónicos, firma electrónica y lo servicios de certificación de dicha firma del 26 de Marzo del 2002.

• Brasil: Proyecto de ley sobre la creación, archivo y utilización de documentos electrónicos.

• Colombia: Proyecto de ley que define y reglamenta el acceso y uso del comercio electrónico, firmas digitales y autoriza los certificadores de clave pública. Ley 527/99 por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales y se establecen las entidades de certificación y se dictan otras disposiciones, del 18 de Agosto de 1999.

• Austria: Federal Electronic Signature Law, Enero del 2000.

• Guatemala: Proyecto de ley sobre el comercio electrónico y la firma digital.

• Japón: Law Concerning Electronic Signatures and Certification Services, 2001

Del análisis realizado en torno a la firma electrónica y firma digital, así como del panorama legislativo a nivel mundial sobre este tema, es de verse que -como se señaló anteriormente­el concepto”firma informática” recogida por nuestra legislación (en la normativa referida a las microformas digitales), no se encuentra amparado en ningún tipo de legislación a nivel internacional, por lo que cabría peguntamos si es que el legislador en un intento de innovación legislativa empleó un término que aún no ha sido usado por la legislación comparada (bajo que concepto, no lo sabemos), o si es que simplemente en su afán de copiar las leyes extranjeras (como ha sido la costumbre de hacerlo, además de copiarlas siempre mal) se equivocó al emplear en el término, ya que, tampoco en la legislación que regula específicamente este tema (cual es la referida a las firmas electrónicas) tampoco señala el concepto de firma informática.

Sin embargo podemos evidenciar el hecho que este tema, en nuestro país es relativamente nuevo si lo comparamos con su existencia en otros países, en los que deviene -en unos casos- en una materia ampliamente estudiada y regulada, debatida incluso en los tribunales, por lo que se vislumbra que aún falta mucho por regular y consecuentemente al derecho le espera una ardua tarea, la que esperamos sea realizada por personas especializadas en el tema y que no traten de “hacer innovaciones” carentes de fundamento o que puedan inducir a error.

Por otro lado, reiteramos que la función del depositario de la fe pública, no debe limitarse al campo de la microforma digital, sino que debe extenderse hacia la certificación de las firmas digitales.