En la vida cotidiana se presentan muchas situaciones en las que los ciudadanos deben acreditar fehacientemente su identidad, por ejemplo, a la hora de pagar las compras con una tarjeta de crédito en un establecimiento comercial, para votar en los colegios electorales, con el fin de identificarse en el mostrador de una empresa, al firmar documentos notariales, etc.
En estos casos, la identificación se realiza fundamentalmente mediante la presentación de documentos acreditativos como el DNI, el pasaporte o el carnet de conducir, que contienen una serie de datos significativos vinculados al individuo que los presenta, como:
– Nombre del titular del documento.
– Número de serie que identifica el documento.
– Período de validez: fecha de expedición y de caducidad del documento, más allá de cuyos límites éste pierde validez.
– Fotografía del titular.
– Firma manuscrita del titular.
– Otros datos demográficos, como sexo, dirección, etc.
En algunos casos en los que la autenticación de la persona resulta importante, como en el pago con tarjeta de crédito, se puede exigir incluso que estampe una firma, que será comparada con la que aparece en la tarjeta y sobre su documento de identificación. En el mundo físico se produce la verificación de la identidad de la persona comparando la fotografía del documento con su propia fisonomía y en casos especialmente delicados incluso comparando su firma manuscrita con la estampada en el documento acreditativo que porta. En otras situaciones, no se requiere el DNI o pasaporte, pero sí la firma, para que el documento goce de la validez legal (cheques, cartas, etc.), ya que ésta vincula al signatario con el documento por él firmado.
Ahora bien, en un contexto electrónico, en el que no existe contacto directo entre las partes, ¿resulta posible que los usuarios de un servicio puedan presentar un documento digital que ofrezca las mismas funcionalidades que los documentos físicos, pero sin perder la seguridad y confianza de que estos últimos están dotados? La respuesta, por fortuna, es afirmativa, ya que el uso de la firma digital va a satisfacer los siguientes aspectos de seguridad:
Integridad de la información: la integridad del documento es una protección contra la modificación de los datos en forma intencional o accidental. El emisor protege el documento, incorporándole a ese un valor de control de integridad, que corresponde a un valor único, calculado a partir del contenido del mensaje al momento de su creación. El receptor deberá efectuar el mismo cálculo sobre el documento recibido y comparar el valor calculado con el enviado por el emisor. De coincidir, se concluye que el documento no ha sido modificado durante la transferencia.
Autenticidad del origen del mensaje: este aspecto de seguridad protege al receptor del documento, garantizándole que dicho mensaje ha sido generado por la parte identificada en el documento como emisor del mismo, no pudiendo alguna otra entidad suplantar a un usuario del sistema. Esto se logra mediante la inclusión en el documento transmitido de un valor de autenticación (MAC, Message autentication code). El valor depende tanto del contenido del documento como de la clave secreta en poder del emisor.
No repudio del origen: el no repudio de origen protege al receptor del documento de la negación del emisor de haberlo enviado. Este aspecto de seguridad es más fuerte que los anteriores ya que el emisor no puede negar bajo ninguna circunstancia que ha generado dicho mensaje, transformándose en un medio de prueba inequívoco respecto de la responsabilidad del usuario del sistema.
Imposibilidad de suplantación: el hecho de que la firma haya sido creada por el signatario mediante medios que mantiene bajo su propio control (su clave privada protegida, por ejemplo, por una contraseña, una tarjeta inteligente, etc.) asegura, además, la imposibilidad de su suplantación por otro individuo.
Auditabilidad: permite identificar y rastrear las operaciones llevadas a cabo por el usuario dentro de un sistema informático cuyo acceso se realiza mediante la presentación de certificados,
El acuerdo de claves secretas: garantiza la confidencialidad de la información intercambiada ente las partes, esté firmada o no, como por ejemplo en las transacciones seguras realizadas a través de SSL.
Aspectos técnicos
A diferencia de la firma manuscrita, que es un trazo sobre un papel, la firma digital consiste en el agregado de un apéndice al texto original, siendo este apéndice, en definitiva, la firma digital; al conjunto formado por el documento original más la firma digital se lo denominará mensaje.
Este apéndice o firma digital es el resultado de un cálculo que se realiza sobre la cadena binaria del texto original.
En este cálculo están involucrados el documento mismo y una clave privada (que, generalmente, pertenece al sistema de clave pública-privada o sistema asimétrico) la cual es conocida sólo por el emisor o autor del mensaje, lo que da como resultado que para cada mensaje se obtenga una firma distinta, es decir, a diferencia de la firma tradicional, la firma digital cambia cada vez con cada mensaje, porque la cadena binaria de cada documento será distinta de acuerdo a su contenido.
A través de este sistema podemos garantizar completamente las siguientes propiedades de la firma tradicional:
Quien firma reconoce el contenido del documento, que no puede modificarse con posterioridad (integridad).
Quien lo recibe verifica con certeza que el documento procede del firmante. No es posible modificar la firma (autenticidad).
El documento firmado tiene fuerza legal. Nadie puede desconocer haber firmado un documento ante la evidencia de la firma (no repudio).
El concepto de criptografía de clave pública fue introducido por Whitfield Diffie y Martin Hellman a fin de solucionar la distribución de claves secretas de los sistemas tradicionales, mediante un canal inseguro.
Este sistema utiliza dos claves diferentes: una para cifrar y otra para descifrar. Una es la clave pública, que efectivamente se publica y puede ser conocida por cualquier persona; otra, denominada clave privada, se mantiene en absoluto secreto ya que no existe motivo para que nadie más que el autor necesite conocerla y aquí es donde reside la seguridad del sistema.
Ambas claves son generadas al mismo tiempo con un algoritmo matemático y guardan una relación tal entre ellas que algo que es encriptado con la privada, solo puede ser desencriptado por la clave pública.
Resumiendo, la clave privada es imprescindible para descifrar criptogramas y para firmar digitalmente, mientras que la clave pública debe usarse para encriptar mensajes dirigidos al propietario de la clave privada y para verificar su firma.
Si bien no se trata de un tema estrictamente técnico, es conveniente aclarar que en tiempo de generación de cada par de claves, pública y privada, podría intervenir otra clave que es la de la Autoridad Certificante, que provee la garantía de autenticidad del par de claves generadas, así como también, su pertenencia a la persona cuya propiedad se atribuye.
Este esquema se utiliza en intercambios entre entidades cuando se trata de transferencias electrónicas de dinero, órdenes de pago, etc. donde es indispensable que las transacciones cumplan con los requisitos de seguridad enunciados anteriormente (integridad, autenticidad, no repudio del origen, imposibilidad de suplantación, auditabilidad y acuerdo de claves secretas), pero no se satisface el concepto de confidencialidad de la información (secreto).
Aplicaciones
La firma digital se puede aplicar en las siguientes situaciones:
– Contratos electrónicos
– Procesos de aplicaciones electrónicos
– Formas de procesamiento automatizado
– Transacciones realizadas desde financieras alejadas
– Transferencia en sistemas electrónicos, por ejemplo si se quiere enviar un mensaje para transferir $100,000 de una cuenta a otra. Si el mensaje se quiere pasar sobre una red no protegida, es muy posible que algún adversario quiera alterar el mensaje tratando de cambiar los $100,000 por 1000,000,con esta información adicional no se podrá verificar la firma lo cual indicará que ha sido alterada y por lo tanto se denegará la transacción
– En aplicaciones de negocios, un ejemplo es el Electronic Data Interchange (EDI) intercambio electrónico de datos de computadora a computadora intercambiando mensajes que representan documentos de negocios
En sistemas legislativos, es a menudo necesario poner un grupo fecha / hora a un documento para indicar la fecha y la hora en las cuales el documento fue ejecutado o llegó a ser eficaz. Un grupo fecha / hora electrónico se podría poner a los documentos en forma electrónica y entonces firmado usando al DSA o al RSA. Aplicando cualquiera de los dos algoritmos al documento protegería y verificaría la integridad del documento y de su grupo fecha / hora.
2. Situación en otros Países
Firma Digital en Alemania
En Alemania la firma digital es un sello integrado en datos digitales, creado con una clave privada que permite identificar al propietario de la firma y comprobar que los datos no han sido alterados.
Firma Digital en Naciones Unidas
En las Naciones Unidas una firma digital o numérica es un valor numérico que se consigna en un mensaje de datos y que, gracias al empleo de un procedimiento matemático conocido y vinculado a la clave criptográfica privada del originante, logra identificar que dicho valor se ha obtenido exclusivamente con la clave privada de iniciador del mensaje.
Los procedimiento matemáticos utilizados para generar firmas numéricas autorizadas, se basan en el cifrado de la clave pública. Estos procedimientos aplicados a un mensaje de datos, operan una transformación del mensaje a fin que el receptor del mensaje y poseedor de la clave pública del originante pueda establecer:
Si la transformación se efectuó utilizando la clave criptográfica privada que corresponde a la clave pública que él tiene como válida.
Si el mensaje inicial ha sido modificado.
Firma Digital en E.E.U.U.
En los Estados Unidos podemos observar la sanción de diferentes leyes relativas a la firma digital, para la creación de una infraestructura de firma digital que asegure la integridad y autenticidad de las transacciones efectuadas en el ámbito gubernamental y en su relación con el sector privado:
Iniciativa del Gobierno Federal:
Proyecto "Gatekeeper": Prevé la creación de una autoridad pública que administre dicha infraestructura y acredite a los certificadores de clave pública;
En el área de telecomunicaciones: Régimen voluntario de declaración previa para los certificadores de clave pública;
Ley de certificadores de clave pública relacionados con la firma digital;
Proyecto de Ley sobre la utilización de la firma digital en los ámbitos de la seguridad social y la
salud pública;
Ley sobre creación, archivo y utilización de documentos electrónicos;
Ley sobre intercambio electrónico de datos en la administración y los procedimientos judiciales administrativos;
Iniciativa sobre la creación de una infraestructura de clave pública para el comercio electrónico;
Ley que autoriza la utilización de documentación electrónica en la comunicación entre las agencias gubernamentales y los ciudadanos, otorgando a la firma digital igual validez que la firma manuscrita. (Ley Gubernamental de Reducción de la Utilización de Papel – "Government Paperwork Elimination Act");
Ley que promueve la utilización de documentación electrónica para la remisión de declaraciones del impuesto a las ganancias;
Proyecto piloto del IRS (Dirección de Rentas – "Internal Revenue Service") para promover la utilización de la firma digital en las declaraciones impositivas;
Proyecto de Ley de Firma Digital y Autenticación Electrónica para facilitar el uso de tecnologías de autenticación electrónica por instituciones financieras;
Proyecto de Ley que promueve el reconocimiento de técnicas de autenticación electrónica como alternativa válida en toda comunicación electrónica en el ámbito público o privado;
Resolución de la Reserva Federal regulando las transferencias electrónicas de fondos;
Resolución de la FDA (Administración de Alimentos y Medicamentos – "Food and Drug Administration") reconociendo la validez de la utilización de la firma electrónica como equivalente a la firma manuscrita;
Iniciativa del Departamento de Salud proponiendo la utilización de la firma digital en la transmisión electrónica de datos en su jurisdicción;
Iniciativa del Departamento del Tesoro aceptando la recepción de solicitudes de compra de bonos del gobierno firmadas digitalmente;
Iniciativas de los Gobiernos Estatales:
Casi todos los estados tienen legislación, aprobada o en Proyecto, referida a la firma digital. En algunos casos, las regulaciones se extienden a cualquier comunicación electrónica pública o privada. En otros, se limitan a algunos actos internos de la administración estatal o a algunas comunicaciones con los ciudadanos.
Se destaca la Ley de Firma Digital del Estado de Utah, que fue el primer estado en legislar el uso comercial de la firma digital. Regula la utilización de criptografía asimétrica y fue diseñada para ser compatible con varios estándares internacionales. Prevé la creación de certificadores de clave pública licenciados por el Departamento de Comercio del estado. Además, protege la propiedad exclusiva de la clave privada del suscriptor del certificado, por lo que su uso no autorizado queda sujeto a responsabilidades civiles y criminales.
Proyecto piloto de desarrollo de infraestructura de firma digital;
Normativa fiscal que prevé la presentación digital de la declaración de ingresos.
3. Situación Actual en la Argentina
En la Argentina la firma digital es el resultado de una transformación de un documento digital empleando un criptosistema asimétrico y un digesto seguro, de forma tal que una persona que posea el documento digital inicial y la clave pública del firmante pueda establecer, con exactitud:
Primero, si la transformación se llevó a cabo utilizando la clave privada que corresponde a la clave pública del originante, lo que impide su repudio.
Y después, si el documento digital ha sido modificado desde que se efectuó su transformación, lo que garantiza su integridad.
Uso de documentos digitales en la Administración Pública Nacional
El primer antecedente que autorizó el uso de documentos digitales dentro de la Administración Pública Nacional es el art. 30 de la ley 24.624 (Boletín Oficial 29/12/95) reglamentado posteriormente por la Decisión Administrativa No. 43/96 (Boletín Oficial 7/5/96).
Mediante esta normativa se autorizó al Archivo General de la Administración a transformar sus documentos originales a soporte electrónico u óptico indeleble, mediante el procedimiento que se establece en la respectiva reglamentación.
Con esta reforma se abrió la posibilidad de digitalizar la documentación administrativa del Estado, pero sólo con fines de archivo. No existía hasta la fecha una normativa de carácter general que regulara el procedimiento administrativo informatizado, permitiendo prescindir del expediente tradicional (en papel) y reemplazarlo por mensajes electrónicos.
Fue así como se formó un comité en el ámbito de la Secretaría de la Función Pública que se dedicó al estudio de la implementación de la firma digital dentro de la administración pública.
El 24 de marzo de 1997 se publca en el Boletín Oficial, la resolución No. 45/97 de la Secretaría de la Función Pública, que constituye la primera norma nacional que introdujo en nuestro derecho un marco normativo para la incorporación de la tecnología de firma digital en los procesos de información del sector público.
Esta norma tiene por finalidad contemplar estándares tecnológicos de mínima que aseguren la determinación de la autoría de la firma digital y la inalterabilidad del contenido del documento digital suscrito. Esto se logra mediante el cumplimiento de una serie de requisitos, que establece, y que deben ser entendidos como pautas o guías para el caso que se decida dictar una regulación que contemple esta tecnología.
Los requisitos o guias son:
Documentos digitales oponibles a terceros: esto implica que el documento digital requiere que la firma digital permita la identificación del emisor o autor y la integridad de su contenido.
Equiparación de la firma digital a la firma ológrafa: este punto constituye la esencia de la normativa al permitir que quienes opten por utilizar documentos digitales suscritos digitalmente obtengan garantías legales similares a las que brinda la firma ológrafa sobre el soporte de papel.
La firma ológrafa permite, simultáneamente, identificar a su autor así como imputarle la autoría del texto que la precede.
Uso de la criptografía asimétrica como medio para instrumentar la firma digital: la criptografía asimétrica o de clave pública constituye el único método actualmente capaz de implementar la firma digital, pues cumple con las características esenciales de la firma ológrafa, es decir, que permite simultáneamente identificar en forma inequívoca al autor y verificar sin lugar a dudas que el mensaje no ha sido alterado desde el momento de su firma. Este mecanismo es el único que no requiere la divulgación de la clave privada (secreta) utilizada por el firmante para suscribir el documento
Autoridades certificantes de claves públicas y privadas: esta autoridad certifica la correspondencia entre una clave pública y la persona física o jurídica titular de la misma. En forma similar a lo que ocurre con las entidades verificadoras de dominios en Internet, sería posible acudir a las autoridades certificantes para saber de manera inequívoca si una clave pública corresponde a quien debería.
El Anexo de la Resolución 45/97 concluye que la firma digital permitirá:
La digitalización de cualquier circuito de la información, incluyendo documentos legales que normalmente requieren firmas y sellos convencionales.
La generalización de la utilización de firma digital a través de la adopción de pautas uniformes que permitan verificar la autenticidad e integridad de los documentos digitales que requieran firma para su validez.
Un menor riesgo de fraude en los documentos digitales suscritos digitalmente.
El martes 21 de abril de 1998 se publicó en el Boletín Oficial el decreto 427/98, que fija el "Régimen al que se ajustará el empleo de la firma digital en la instrumentación de los actos internos, que no produzcan efectos jurídicos individuales en forma directa, que tendrá los mismos efectos de la firma ológrafa. Autoridad de aplicación".
Basándose en la normativa que ya había sido dictada y aplicada anteriormente, los objetivos de este decreto son:
Eliminar el uso del papel y automatizar los circuitos administrativos mediante la introducción de tecnología de última generación incluyendo el uso de la firma digital que posee la misma o superior garantía de confianza que la firma ológrafa.
Designar a la Secretaría de la Función Pública como Autoridad de aplicación para, entre otras cosas, dictar los manuales de procedimiento de las Autoridades Certificantes Licenciadas y de los Organismos Auditante y Licenciante, la fijación de los estándares tecnológicos aplicables a las claves. Debiendo cumplir esta tarea en un plazo de seis meses a partir de la fecha de publicación.
Se adjunta a los considerandos del decreto el Anexo I con las condiciones definidas en la Infraestructura de la Firma Digital para el Sector Público Nacional.
Infraestructura De Firma Digital Para El Sector Publico Nacional
Esta clase de Infraestructura es también conocida como de "clave pública" o por su equivalente en inglés (Public Key Infrastructure, PKI). Como ya dije, el decreto 427/98 crea el marco regulatorio, para el empleo de la Firma Digital en la instrumentación de los actos internos del Sector Público Nacional, que no produzcan efectos jurídicos individuales en forma directa, otorgándole a esta nueva tecnología similares efectos que a la firma ológrafa.
La disposición establece la configuración de la siguiente estructura:
Organismo Licenciante (OL)
Organismo Auditante (OA)
Autoridad Certificada Licenciada (ACL)
Suscriptores
Certificados De Claves Públicas
1. Organismo Licenciante:
Es la Autoridad Certificante Raíz que emite certificados de clave pública a favor de aquellos organismos o dependencias del Sector Público Nacional que deseen actuar como Autoridades Certificantes Licenciadas, es decir como emisores de certificados de clave pública para sus funcionarios y agentes.
Estas deben abstenerse de acceder, absolutamente, a la clave privada de cualquier suscriptor de los certificados que emitan.
Dentro del marco creado por dicho decreto, las funciones de Autoridad de Aplicación y de Organismo Licenciante son asumidas por la Subsecretaría de la Gestión Pública, SGP.
En cumplimiento de esa responsabilidad, se ha dispuesto la asignación de los recursos materiales y humanos, incluyendo la adquisición de equipamiento de última generación. Además, se ha elaborado una serie de documentos – que se encuentran en proceso permanente de revisión – y que servirán como base para el funcionamiento de Autoridades Certificantes que se licencien.
La Infraestructura del Organismo Licenciante ha sido instalada en la sede de la Subsecretaría de la Gestión Pública (Roque Sáenz Peña 511 – 5º piso – Buenos Aires).
2. Organismo Auditante:
Es el órgano de control, tanto para el Organismo Licenciante como para las Autoridades Certificantes Licenciadas.
Este control lo realiza mediante la auditación de estos, evaluando la confiabilidad y calidad de los sistemas utilizados, la integridad, confidencialidad y disponibilidad de los datos.
Según lo establecido por el artículo 61 de la Ley Nº 25.237, el rol del Organismo Auditante dentro de la Infraestructura de Firma Digital para el Sector Público Nacional es cumplido por la Sindicatura General de la Nación (SIGEN).
3. Autoridades Certificantes Licenciadas:
Son aquellos organismos o dependencias del Sector Público Nacional que soliciten y obtengan la autorización, por parte del Organismo Licenciante, para actuar como Autoridades Certificantes de sus propios agentes. Es decir que, cumplidos los recaudos exigidos por el Decreto mencionado, podrán emitir certificados de clave pública a favor de sus dependientes.
Dentro de dichos recaudos encontramos que, debe abstenerse de acceder a las claves privadas de los suscriptores y además debe utilizar sistemas generadores de claves técnicamente confiables.
4. Suscriptor De Certificado De Clave Pública:
Debe proveer a la Autoridad Certificante Licenciada todos los datos requeridos por esta, mantener el control de su clave privada e impedir su divulgación.
5. Certificados De Clave Pública:
Enumera los datos que deben contener los Certificados de Clave Pública.
Procedimientos
1) Licenciamiento:
El licenciamiento es el procedimiento por el cual el Organismo Licenciante emite un certificado de clave pública a favor de un organismo público (quien adquiere la calidad de Autoridad Certificante Licenciada), quedando éste habilitado para emitir certificados a favor de sus dependientes.
Para obtener dicha licencia, el postulante debe completar un formulario de solicitud y adjuntar un requerimiento de certificado PKCS#10 en formato PEM.
2) Revocación:
La revocación es el procedimiento por el cual el Organismo Licenciante cancela la autorización otorgada a la Autoridad Certificante Licenciada para emitir certificados.
Esta cancelación puede efectuarse a solicitud de esta última o bien por decisión del Organismo Licenciante, según las pautas establecidas en la Política de Certificación.
Si una Autoridad Certificante Licenciada desea pedir al Organismo Licenciante la revocación de su certificado, puede utilizar un formulario de solicitud de revocación.
3)Comprobación de la identidad del firmante y de la integridad del mensaje:En primer término el receptor generará la huella digital del mensaje recibido, luego desencriptará la firma digital del mensaje utilizando la clave pública del firmante y obtendrá de esa forma la huella digital del mensaje original; si ambas huellas digitales coinciden, significa que el mensaje no fue alterado y que el firmante es quien dice serlo.
Las firmas digitales dependen de un par de algoritmos matemáticos, denominados clave, que utilizan el remitente y el destinatario del mensaje.
Estas claves se encargan de establecer la correspondencia que permite a la computadora del destinatario reconocer la computadora del remitente y certificar la autenticidad de un mensaje.
Una de las claves, la clave privada de la persona, está alojada en la PC o registrada en una tarjeta inteligente, e identifica que un mensaje ha sido enviado por la persona.
La segunda es una clave pública, que puede ser empleada por cualquiera que desee autenticar documentos que la persona firme. La clave pública 'lee' la firma digital creada por la clave privada de la persona y verifica la autenticidad de los documentos creados con la misma.
La clave privada de la persona se desbloquea mediante una contraseña. En el futuro, para mayor seguridad aún, este sistema de clave y contraseña podría ser reemplazado por tecnologías biométricas, que miden características del cuerpo humano, como la retina, una huella digital o un rostro asociado con un registro de identidad.
4)Obtención de una firma digital:
Para enviar una firma digital, se requiere en primer lugar registrarse en una autoridad de certificados y solicitar el certificado de identidad digital, que hace de la firma un instrumento único.
La mayoría de las autoridades de certificados también proporcionan el software necesario y ofrece asesoría al usuario en el proceso de obtención, instalación y utilización de la firma digital. La persona debe llenar un formulario de solicitud y suministrar pruebas de identidad para obtener el certificado.
La firma digital se anexa a un mensaje de E-mail de manera muy similar al de los archivos.
Este es el certificado Raíz de la Infraestructura de Firma Digital del Sector Público Nacional.
(Su instalación implica la aceptación de los términos y políticas establecidos por el Organismo Licenciante):
Versión | V3 | ||
Numero de Serie | 3828 65C7 | ||
Algoritmo de Firma | sha1RSA | ||
Emisor | CN = Organismo LicencianteOU = Autoridad Certificante Raíz de la IFDAPNOU = Política de Certificación en ol.pki.gov.ar/politicaO = Administración Publica NacionalC = AR | ||
Válido Desde | Martes 9 de Noviembre de 1999 15:20:39 | ||
Válido Hasta | Viernes 6 de Noviembre de 2009 15:20:39 | ||
Asunto | CN = Organismo LicencianteOU = Autoridad Certificante Raíz de la IFDAPNOU = Política de Certificación en ol.pki.gov.ar/politicaO = Administración Publica NacionalC = AR | ||
Clave Pública RSA(2048 bits) | 3082 010A 0282 0101 00AC D6A2 920F 2DC3B2D0 8CCD 3895 6500 EEF7 772F 0943 41034465 4218 BB36 BB37 85FF A46D 3D07 93BA0408 CC00 D0E1 1B8F 1D84 C3B0 E87A 58B3D1FB 04D4 15B3 C108 079C 3E93 98E3 FF1B6BD8 76FA AB1C 328F 5ª8C 065A CE99 86DA3119 79B0 42E4 B2AF DCDF 98DE 43AC 3A836139 54AF 051A F060 A089 3675 14A3 9C98C27E 2319 B2ED 22A9 7D2A BDF9 5091 612B64E1 97E7 E074 2A3B 0178 1029 CAD6 D7A89E4E 24F2 1CF9 76E0 2933 7BEA 761A AA052BE9 9B21 1ED9 1EA1 E10C 46D9 187C 276B3BF9 C347 0855 F7D5 B984 2E41 85A3 48DA6B1A 050C 16BB CD6D B412 0EE6 550D FA302F39 8634 CF16 9AA5 FE64 C5DA EA8E F3B37E2C A6D2 6DD7 FA4C 75ªF 4CBC 85C4 8E3BD048 AF7A 1F63 1492 9302 0301 0001 | ||
Restricciones Básicas | Tipo de asunto=CA | ||
Restricción de longitud de ruta | 1 | ||
Algoritmo de identificación | sha1 | ||
Huella digital | 5DD7 0846 0AE2 0909 6D2E 041D F8E4 D05C7C37 7E93 |
Organismos Que Utilizan Firma Digital
Subsecretaría de Gestión Pública Descripción: Autenticación del ingreso a bases de datos de la Coordinación de Emergencias en Redes Teleinformáticas para la Administración Pública Nacional.
Usuarios: Organismos Públicos
Inicio de Operaciones: 08/1999
Ministerio de Economía Descripción: Incorpora la firma digital en el intercambio de información entre las Unidades Operativas de Compras de los organismos y la Oficina Nacional de Contrataciones.
Cantidad de Usuarios: 300 aprox.
Inicio de Operaciones: 03/2001
Comisión Nacional de Valores Descripción: Proyecto desarrollado con el objetivo de recibir y publicar por Internet, a beneficio del público inversor nacional e internacional, la información financiera de las principales empresas del país que cotizan sus acciones y obligaciones negociables en el ámbito bursátil. Algunos ejemplos de información firmada digitalmente recibida por la AIF son: estados contables, prospectos informativos de emisión de acciones y de obligaciones negociables, estatutos, actas de asamblea, calificaciones de riesgo de títulos valores, notificaciones de eventos económicos significativos.
Usuarios: 120 Agentes CNV; 200 Empresas Cotizantes; 12 Calificadores de Riesgo; 200 Fondos Comunes de Inversión.
Inicio de Operaciones: 04/1999
Comisión Nacional de Energía Atómica Descripción: Circuito de comunicaciones a través de correo electrónico firmado dentro del organismo.
Cantidad de Usuarios: 50 aprox.
Inicio de Operaciones: 11/1998
Poderes Judiciales Provinciales: Descripción: Los Convenios fueron firmados en la sede del Ministerio de Justicia y Derechos Humanos el 6 de Septiembre de 2001 por la casi totalidad de los Poderes Judiciales del país, la Procuración General de la Nación y la Defensoría General de la Nación. Promueven la utilización del correo electrónico firmado digitalmente en las comunicaciones entre organismos judiciales de distinta jurisdicción territorial. El artículo 5° del Protocolo Técnico establece que, hasta tanto las partes organicen su propia Autoridad Certificante, los certificados digitales serán emitidos por alguna de las partes o por la AC de la Subsecretaría de la Gestión Pública, y los firmantes se constituirán como Autoridades de Registración
Normativa Específica
*Resolución JGM Nº 176/2002
Habilita en Mesa de Entradas de la Subsecretaría de la Gestión Pública el Sistema de Tramitación Electrónica para la recepción, emisión y archivo de documentación digital firmada digitalmente.
*Resolución SGP Nº 17/2002
Establece el procedimiento para solicitar la certificación exigida al Registro del Personal acogido al Sistema de Retiro Voluntario, habilitando la modalidad de tramitación mediante el empleo de documentación digital firmada digitalmente.
*Decreto Nº 1023/2001
En su artículo 21 permite la realización de las contrataciones comprendidas en el Régimen en formato digital firmado digitalmente.
*Decreto Nº 889/2001
Aprueba la estructura organizativa de la Secretaría para la Modernización del Estado en el ámbito de la Subsecretaría de la Gestión Pública, creando la Oficina Nacional de Tecnologías de la Información y otorgándole competencias en materia de firma digital.
*Decreto Nº 677/2001
Otorga a los documentos digitales firmados digitalmente remitidos a la Comisión Nacional de Valores de acuerdo a las reglamentaciones dictadas por ese organismo, similar validez y eficacia que los firmados en soporte papel.
*Decreto Nº 673/2001
Crea la Secretaría para la Modernización del Estado en el ámbito de la Jefatura de Gabinete de Ministros, asignándole competencia para actuar como Autoridad de Aplicación del régimen normativo que establece la Infraestructura de Firma Digital para el Sector Público Nacional y para la aplicación de nuevas tecnologías informáticas en la Administración Pública Nacional.
*Decisión JGM Nº 102/00
Prorroga por DOS (2) años a partir del 31 de diciembre de 2000 el plazo establecido en el artículo 1° del Decreto N° 427/98.
*Ley Nº 25.237
Establece en el artículo 61 que la SINDICATURA GENERAL DE LA NACION ejercerá las funciones de Organismo Auditante en el régimen de empleo de la firma digital en la instrumentación de los actos internos del Sector Público Nacional.
*Resolución SFP Nº 212/98
Establece la Política de Certificación del Organismo Licenciante, en la cual se fijan los criterios para el licenciamiento de las Autoridades Certificantes de la Administración Pública Nacional.
*Resolución SFP Nº 194/98
Establece los estándares sobre tecnología de Firma Digital para la Administración Pública Nacional.
*Decreto Nº 427/98
Autoriza la utilización de la firma digital en la instrumentación de los actos internos del Sector Público Nacional, otorgándole los mismos efectos que la firma ológrafa y estableciendo las bases para la creación de la Infraestructura de Firma Digital para el Sector Público Nacional.
*Resolución SFP Nº 45/97
Establece pautas técnicas para elaborar una normativa sobre firma digital que permita la difusión de esta tecnología en el ámbito de la Administración Pública Nacional.
Normativa sobre Aplicaciones:
*Resolución SAFJP Nº 293/97
Implementa en el ámbito de la Superintendencia de Administradoras de Fondos de Jubilaciones y Pensiones el sistema de Telecomunicaciones de la SAFJP con el fin de establecer un correo electrónico entre las Administradoras de Fondos de Jubilaciones y Pensiones y este Organismo
*Resolución General CNV Nº 345/99
Incorpora al Libro VIII Otras Disposiciones de las Normas (T.O. 1997) el Capítulo XXIII Autopista de la Información Financiera.
*Decreto Nº 1347/99
Regula sobre el Servicio de Conciliación Laboral Obligatoria (SECLO) del M. de Trabajo y Seguridad Social.
*Decreto Nº 103/2001
Aprueba el Plan Nacional de Modernización de la Administración Pública Nacional
*Decreto Nº 677/2001
Otorga a los documentos digitales firmados digitalmente remitidos a la CNV de acuerdo a las reglamentaciones dictadas por ese organismo, similar validez y eficacia que los firmados en papel.
Normativa Específica sobre Tecnología:
*Resolución Nº 178/2001
Aprueba las aperturas inferiores del primer nivel operativo de la estructura organizativa de la Secretaría para la Modernización del Estado de la Jefatura de Gabinete de Ministros.
*Decreto Nº 889/2001
Aprueba la estructura organizativa de la Secretaría para la Modernización del Estado en el ámbito de la Subsecretaría de la Gestión Pública, creando la Oficina Nacional de Tecnologías de la Información y otorgándole competencias en materia de firma digital.
*Decreto Nº 673/2001
Crea la Secretaría para la Modernización del Estado en el ámbito de la Jefatura de Gabinete de Ministros, asignándole competencia para actuar como Autoridad de Aplicación del régimen normativo que establece la Infraestructura de Firma Digital para el Sector Público Nacional y para la aplicación de nuevas tecnologías informáticas en la Administración Pública Nacional.
Pautas para páginas Web del Estado:
*Resolución SFPNº 97/97
Pautas de integración para las páginas Web de la Administración Pública Nacional.
Procedimientos Administrativos:
*Decisión Administrativa N° 118/2001
Crea el Proyecto de Simplificación e Informatización de Procedimientos Administrativos (PRO-SIPA), en el contexto del Plan Nacional de Modernización y en el ámbito de la Jefatura de Gabinete de Ministros.
La Digitalización En El Proyecto De Unificación De 1998
Como podremos ver, a continuación, este proyecto amplia la concepción de nuestro actual código, que muchas veces es un obstáculo a la hora de intentar implementar en nuestro país tecnologías modernas, como es la firma digital, introduciendo al documento electrónico como un documento valido, además de aceptar, también, a la firma digital como firma valida y estableciendo en torno a estos una gran cantidad de normas, que los hace de más fácil aplicación.
Estas normas son:
De los hechos y actos jurídicos.
ART.42- Donde se prevén importantes modificaciones es en el tratamiento de los instrumentos. Se mantiene la regla de libertad de formas y se prevé la forma convenida que es obligatoria para las partes bajo pena de invalidez del negocio jurídico.
Se reconocen los instrumentos públicos, los instrumentos privados y los instrumentos particulares que son los no firmados.
Lo relevante es:
Se amplía la noción de escrito, de modo que puede considerarse expresión escrita la que se produce, consta o lee a través de medios electrónicos.
Se define la firma y se considera satisfecho el requisito de la firma cuando en los documentos electrónicos se sigue un método que asegure razonablemente la autoría e inalterabilidad del documento.
Se prevé expresamente la posibilidad de que existan instrumentos públicos digitales. En este sentido el Código se abre a la realidad abrumadora de los documentos electrónicos, aunque con fórmulas abiertas y flexibles y sin vinculación a la tecnología actual, de modo de evitar su rápido envejecimiento que se produciría por la previsible permanente superación de esas tecnologías.
ART.43- En las escrituras públicas se incorporan dos reglas novedosas. La primera relativa a la justificación de la identidad, que sustituye a la fe de conocimiento; se prevé incluso la posibilidad de insertar la impresión digital del compareciente no conocido por el notario.
La segunda es la reglamentación de las actas, a las que sólo se asigna valor probatorio cuando son protocolares.
ART.44- En materia de instrumentos privados, se elimina el requisito del doble ejemplar.
Con ello se sigue el criterio definido por el Proyecto de Código Unico de 1987, que había contado con el aval de la doctrina que lo comentó.
Lo relevante es:
Y se regula expresamente el valor probatorio del documento electrónico, que se vincula a los usos, a las relaciones preexistentes de las partes y a la confiabilidad de los métodos usados para asegurar la inalterabilidad del texto. Cabe apuntar que en cuanto a la noción de firma y de valor probatorio, se han tenido especialmente en consideración la ley modelo de comercio electrónico elaborada por UNCITRAL, el Código de Québec y las tentativas de reforma del Código Civil francés en materia de prueba.
ART.46- La contabilidad y estados contables tienen un tratamiento con numerosas novedades.
En esta materia se siguen los pasos de los Proyectos de Código Único de 1987 y los de 1993 (el de la Comisión Federal y el de la Comisión designada por decreto 468/92). El sistema propuesto prevé que el interesado pueda llevar el sistema de registración mediante métodos mecánicos, electrónicos o libros.
Forma y prueba de los actos jurídicos.
ART. 260. – Libertad de formas. Si la ley no designa una forma determinada para un acto jurídico, las partes pueden usar las formas que juzguen convenientes
ART. 261. – Forma impuesta. Sanción. Si la ley impone una forma para la validez del acto éste es inválido si la forma exigida no ha sido satisfecha.
Si la ley no impone una forma determinada, ésta constituye sólo un medio de prueba del otorgamiento del acto.
ART. 262. – Forma convenida. Si las partes convienen por escrito la forma a que han de sujetar la conclusión de un acto jurídico futuro, entiéndase que sólo quedarán vinculadas por la forma convenida.
ART. 263. – Expresión escrita. La expresión escrita puede tener lugar por instrumentos públicos o por instrumentos particulares firmados o no firmado, salvo los casos en que determinada forma de instrumento sea exclusivamente impuesta. Puede hacerse constar en cualquier soporte siempre que su contenido pueda ser representado como texto inteligible aunque para su lectura se requiera la intervención de medios técnicos.
ART. 264. – Instrumentos particulares. Son instrumentos particulares, si no están firmados, los impresos, los registros visuales o auditivos de cosas o hechos y, cualquiera que sea el medio empleado, los registros de la palabra y de información, y en general todo escrito no firmado.
ART. 265. – Instrumentos privados. Son instrumentos privados los instrumentos particulares firmados.
ART.266.- Firma. La firma prueba la declaración de voluntad expresada en el texto al cual corresponde. Debe ser manuscrita y consistir en el nombre del firmante, o en un signo, escritos del modo en que habitualmente lo hace a tal efecto.
En los instrumentos generados por medios electrónicos, el requisito de la firma de una persona queda satisfecho si se utiliza un método para identificarla; y ese método asegura razonablemente la autoría e inalterabilidad del instrumento.
ART. 268. – Requisitos. Son recaudos de validez del instrumento público:
e) Que el instrumento conste en el soporte exigido por la ley o las reglamentaciones. Los instrumentos generados por medios electrónicos deben asegurar la autenticidad, integridad e inalterabilidad del contenido del instrumento y la identificación del oficial público.
ART.269.- Validez como instrumento privado. El instrumento que no reúne los recaudos del artículo precedente, vale como instrumento privado si lo han firmado los comparecientes
Escrituras públicas y actas.
ART.277.- Requisitos. El escribano debe recibir por sí mismo las declaraciones de los comparecientes. Las escrituras públicas, que deben extenderse en un único acto, pueden ser manuscritas o mecanografiadas, pudiendo utilizarse mecanismos electrónicos de procesamiento de textos, siempre que en definitiva el texto resulte estampado en el soporte exigido por las reglamentaciones, con caracteres fácilmente legibles.
En los casos de pluralidad de otorgantes en los que no haya entrega de dinero, títulos valores o cosas en presencia del escribano, los interesados pueden suscribir la escritura en distintas horas del mismo día de su otorgamiento, dejándose constancia de ello en el protocolo. Este procedimiento puede usarse siempre que no se modifique el texto definitivo después de la primera firma.
Instrumentos particulares y privados.
ART. 289. – Instrumentos privados. Requisito. El único requisito de validez de los instrumentos privados es la firma del o de los otorgantes.
ART. 290. – Reconocimiento de la firma. Todo aquél contra quien se presente un instrumento cuya firma se le atribuye, debe manifestar si ésta le pertenece. Los herederos pueden limitarse a manifestar que ignoran si la firma es o no de su causante. La autenticidad de la firma puede ser probada por cualquier medio.
ART. 294. – Fecha cierta. La eficacia probatoria de los instrumentos privados reconocidos se extiende a los terceros desde que adquieren fecha cierta. Adquieren fecha cierta el día en que acontece un hecho del que resulta como consecuencia ineludible que el documento ya estaba firmado o no pudo ser firmado después. La prueba puede producirse por cualquier medio, y debe ser apreciada rigurosamente por el tribunal.
ART. 296. – Instrumentos particulares. El valor probatorio de los instrumentos particulares debe ser apreciado por el tribunal ponderando, entre otras pautas, los usos del tráfico, las relaciones precedentes de las partes si las hubiere habido, y la razonable convicción que pueda alcanzarse sobre su autoría, legibilidad e inalterabilidad de acuerdo a los métodos utilizados para su creación y transmisión a terceros.
Luego de esta vistazo al proyecto de código civil argentino, podemos decir que este ha adoptado una postura de "Tecnología Neutra", en esta materia, sin definir específicamente el método que asegure efectivamente la autoría e inalterabilidad del documento.
La utilización de una "Tecnología Neutra", no impide que en algún momento se opte por otra o varias tecnologías a legislar, pero así, se evita que el paso del tiempo vuelva obsoleto al código.
Análisis De La Ley Argentina De Firma Digital (Ley 25.506)
Con la puesta en común de varios proyectos que tenían trámite parlamentario, el Congreso de la Nación Argentina dio sanción a la Ley de Firma Digital.
Una de las cuestiones más debatidas en cuanto a la política legislativa en el derecho comparado ha sido referida a si la Ley de Firma Digital debe ser una ley de principios generales o bien una disposición que imponga tecnologías específicas, como la criptografía asincrónica.
La ley Argentina se inclina por seguir el modelo de principios y reglas generales, ya que el modelo utilizado para la elaboración de esta ley ha sido "La Ley Modelo aprobada por la Comisión de las Naciones unidas para el derecho mercantil internacional, Uncitral".
*Objetivos del legislador
El objetivo de la ley argentina (Art. 1) es reconocer "el empleo de la firma electrónica y de la firma digital y su eficacia jurídica en las condiciones que establece la presente ley".
El texto se refiere a las fuentes de legitimación de la firma, que naturalmente surge de un acuerdo de partes, al que la norma reconoce y da eficacia en cuanto a su oponibilidad ínter partes y frente a terceros.
También es posible extraer de esta norma objetivos generales:
– Dar eficacia jurídica a la firma digital
– Dar eficacia jurídica a la firma electrónica
– Dar eficacia jurídica al documento electrónico.
A fin de facilitar el comercio electrónico internacional, se reconoce la validez de certificados digitales emitidos por certificadores extranjeros cuando los mismos reúnan las condiciones que establece la ley.
Para promover la masificación del uso de esta herramienta e impulsar la despapelización del sector público nacional, el artículo 48 establece un plazo máximo de cinco años para que se aplique la tecnología de firma digital a la totalidad de las leyes, decretos, decisiones administrativas, resoluciones y sentencias emanadas de las respectivas jurisdicciones.
*Distingo entre la firma y la tecnología utilizada para firmar
En las relaciones jurídicas por medios electrónicos surge un problema de recognoscibilidad: en qué condiciones existe un documento y cuando es atribuible a su autor.
En el mundo de los átomos y de la escritura es posible realizar una comparación entre el documento original y el falso para deducir la autenticidad; es factible la prueba empírica respecto de la firma consignada en el documento.
En el mundo virtual no es posible, el documento original puede ser igual que el falso porque no hay bits falsos, un bits hará una copia exacta de otro bits original.
En cuanto a la firma, no hay una obra de la mano del autor, no hay una firma en el sentido que se le da a la palabra en la cultura escrita. La firma es un medio para vincular un documento con su autor.
En la cultura escrita se utilizó la grafía del autor en toda una serie de garantías de autenticidad para ese acto, según la importancia del mismo (ejemplo: para casarse hay un oficial público, para transferir un inmueble hay un notario y si es para obligarse a pagar un cupón de una tarjeta de crédito, es suficiente su sola presencia).
En la tarjeta de crédito, como en otros supuestos similares se ha llegado a prescindir de la firma, siendo suficiente el envío de los datos de identificación y una clave.
En el mundo digital se avanza en este sentido: se permite que el medio para vincular un documento a su autor sea una clave y no la firma ológrafa.
En un sentido amplio, la firma es cualquier método o símbolo utilizado por una parte con la intención de vincularse o autenticar un documento.
Las técnicas pueden ser muy diferentes: desde la firma ológrafa hasta la clave en la criptografía. La diferencia entre todos estos sistemas técnicos es la seguridad que ofrecen y por ello la criptografía en doble clave es el mejor para el medio electrónico, pero nada impide que en un futuro no muy lejano exista otro medio mejor y, en ese caso caerían en desuso las leyes diseñadas en virtud de esta asimilación.
La ley Argentina para evitar los riegos de la caducidad tecnológica no se ha inclinado por regular una técnica específica de firma digital.
*Distingo entre firma electrónica y firma digital
La firma electrónica es un género, caracterizado por el soporte: todo modo de identificación de auditoria basado en medios electrónicos es firma; luego vienen las especies, que en general, se caracterizan por agregar elementos de seguridad que la sola firma electrónica no posee.
Las legislaciones reconocen el género de la firma electrónica y luego eligen una especie que denominan "firma electrónica avanzada" o "firma digital", que es la que utiliza un sistema, generalmente criptográfico, que da seguridad.
La gran diferencia esta en que cuando se utiliza la firma digital se aplican presunciones iuris tantum sobre la identidad del firmante y la integridad del documento que firmó.
*Elementos de la firma digital
Independientemente de la criptografía, la firma digital se caracteriza por los siguientes elementos:
Elemento objetivo-soporte: en un sentido negativo, el soporte no es escrito y no hay una elaboración manual del autor. En un sentido positivo, la firma es cualquier símbolo o procedimiento de seguridad usado por una persona que incluye medios electrónicos, digitales, magnéticos, ópticos o similares. Puede advertirse, entonces, que la firma electrónica no necesariamente debe ir anexa a un documento, como ocurre en el caso de la firma ológrafa.
Elemento subjetivo: los símbolos asentados en medios electrónicos tienen un propósito específico: se hacen para identificar a la persona e indicar su aprobación del contenido de un mensaje electrónico.
Con estos dos elementos hay firma electrónica pero no firma digital, pues para que se le asigne los efectos de presunción se requiere más seguridad:
Esfera de control del titular: siendo un elemento de imputación de autoría, es lógico que se requiera que esté bajo el control del titular, ya que sólo él es quien decide que declaraciones de voluntad son suyas. Por ello, es necesario que la firma pertenezca únicamente a su titular y se encuentre bajo su control exclusivo.
Derechos de verificación del receptor: es necesario que los sistemas utilizados puedan ser verificados por el receptor para asegurarse de la autoría.
*Noción de firma digital en la ley
La ley define a la firma digital (Art. 2) diciendo que es el "… resultado de aplicar a un documento digital un procedimiento matemático que requiere información de exclusivo conocimiento del firmante, encontrándose ésta bajo su absoluto control. La firma digital debe ser susceptible de verificación por terceras partes, tal que dicha verificación simultáneamente permita identificar al firmante y detectar cualquier alteración del documento digital posterior a su firma.
Los procedimientos de firma y verificación a ser utilizados para tales fines serán los determinados por la Autoridad de Aplicación en consonancia con estándares tecnológicos internacionales vigentes".
De acuerdo con la norma, los elementos de calificación de la firma digital son:
Debe existir un documento digital;
Se debe aplicar sobre dicho documento un procedimiento matemático que requiere información de exclusivo conocimiento del firmante;
Debe existir un absoluto control del firmante sobre esa información;
Debe permitir una verificación por parte de los terceros respecto de la identidad del firmante y de cualquier alteración del documento digital con posterioridad a su firma;
El procedimiento de verificación debe ser determinado por la autoridad de aplicación.
La ley define a la firma electrónica (Art. 5) como el "… conjunto de datos electrónicos integrados, ligados o asociados de manera lógica a otros datos electrónicos, utilizado por el signatario como su medio de identificación, que carezca de alguno de los requisitos legales para ser considerada firma digital. En caso de ser desconocida la firma electrónica corresponde a quien la invoca acreditar su validez".
De modo que la diferencia entre una firma digital y una firma electrónica es simplemente que a la segunda le falta alguno de los requisitos legales de la primera.
*Requisitos de validez
La ley establece (Art. 9) que: "Una firma digital es válida si cumple con los siguientes requisitos:
a) Haber sido creada durante el período de vigencia del certificado digital válido del firmante;
b) Ser debidamente verificada por la referencia a los datos de verificación de firma digital indicados en dicho certificado según el procedimiento de verificación correspondiente;
c) Que dicho certificado haya sido emitido o reconocido, según el artículo 16 de la presente, por un certificador licenciado".
*Equiparación de los efectos jurídicos y ámbitos de aplicación
El articulo 3 dice: "Del requerimiento de firma. Cuando la ley requiera una firma manuscrita, esa exigencia también queda satisfecha por una firma digital. Este principio es aplicable a los casos en que la ley establece la obligación de firmar o prescribe consecuencias para su ausencia".
El primer párrafo prevé el principio de no-discriminación, lo que significa que cuando la ley establece el requerimiento de firma, tanto puede cumplirse con la modalidad manuscrita como con la digital.
El segundo párrafo limita estos efectos, excluyendo los casos en que existe una obligación de firmar o se establecen consecuencias jurídicas derivadas de la ausencia de firma. Esta segunda regla es una excepción respecto de la regla general de la equiparación de los efectos y se complementa con el Art. 4, que establece:
"Exclusiones. Las disposiciones de esta ley no son aplicables:
a) A las disposiciones por causa de muerte;
b) A los actos jurídicos del derecho de familia;
c) A los actos personalismos en general;
d) A los actos que deban ser instrumentados bajo exigencias o formalidades incompatibles con la utilización de la firma digital, ya sea como consecuencia de disposiciones legales o acuerdo de partes".
*Documento digital
El documento digital es (Art.6): "la representación digital de actos o hechos, con independencia del soporte utilizado para su fijación, almacenamiento o archivo. Un documento digital también satisface el requerimiento de escritura".
El documento digital tiene como principal efecto el dar por cumplido el requisito de forma escrita, cuando la ley así lo requiere y con las excepciones ya mencionadas.
La ley establece que(Art. 7): "Se presume, salvo prueba en contrario, que toda firma digital pertenece al titular del certificado digital que permite la verificación de dicha firma".
Esta norma se complementa con el Art. 10 que dice: "Remitente. Presunción. Cuando un documento digital sea enviado en forma automática por un dispositivo programado y lleve la firma digital del remitente se presumirá, salvo prueba en contrario, que el documento firmado proviene del remitente".
La ley dispone (Art. 8) que: "Si el resultado de un procedimiento de verificación de una firma digital aplicado a un documento digital es verdadero, se presume, salvo prueba en contrario, que este documento digital no ha sido modificado desde el momento de su firma".
*Documento electrónico original, duplicado y falsificado
La ley dice al respecto en su Art. 11: "Los documentos electrónicos firmados digitalmente y los reproducidos en formato digital firmados digitalmente a partir de originales de primera generación en cualquier otro soporte, también serán considerados originales y poseen, como consecuencia de ello, valor probatorio como tales, según los procedimientos que determine la reglamentación".
El documento electrónico puede ser firmado o no y, en ambos casos, puede haber un original y un duplicado; este ultimo puede ser legítimamente emitido por el autor o por un tercero, o bien ser una falsificación ilegitima.
Como hemos señalado anteriormente la dificultad que ofrece el documento electrónico reside en que el original es igual al duplicado, ya que los bites son idénticos, por lo que no son aplicables los procedimientos legales elaborados con relación a la duplicación y falsificación del documento escrito.
El concepto de documento original y duplicado no tiene base empírica, sino que deberá surgir de una definición de las partes en el contrato o del legislador; en este ultimo caso, la tendencia se orienta a tomar en cuenta el criterio de la "primera generación", en el sentido de "primera elaboración", y la segunda para referirse al duplicado.
*Conservación
La ley dice en el Art. 12: "La exigencia legal de conservar documentos, registros o datos, también queda satisfecha con la conservación de los correspondientes documentos digitales firmados digitalmente, según los procedimientos que determine la reglamentación, siempre que sean accesibles para su posterior consulta y permitan determinar fehacientemente el origen, destino, fecha y hora de su generación, envío y/o recepción".
Uno de los problemas relevantes es el de la conservación, ya que existe la impresión generalizada de que el documento electrónico puede desaparecer en un instante y ofrece menos seguridades que el escrito. Paradójicamente, el documento electrónico se ha ido transformando en la principal fuente de archivo de la cultura escrita, ya que por razones de espacio, los documento escritos se traducen en bites para su conservación. La realidad es que puede ser mucho mas seguro y conservable que la forma escrita.
En una relación jurídica, las partes tienen la opción de utilizar la tecnología digital para guardar los documentos que emiten, o para hacerlos desaparecer, ya sea que esto sea decidido por una de ellas para perjudicar a la otra, o por ambas para eludir a terceros. Consecuentemente el problema no reside en la tecnología, sino en las obligaciones de conservación que las partes deben asumir.
Una vez decidida la conservación deviene otro problema: se ha creado una base de datos que interesa a las partes, pero también a terceros. Por ello debe establecerse que la guarda de datos tenga una forma fiable y sea accesible.
*Certificados digitales
El certificado digital tiene por función básica la de autorizar la comprobación de la identidad del firmante, pero además debe permitir que el titular los reconozca indubitablemente, conocer su período de vigencia, determinar que no ha sido revocado, reconocer claramente la inclusión de información no verificada, especificar tal información, contemplar la información necesaria, para la verificación de la firma, identificar claramente al emisor del certificado digital.
La ley 25.506 en su artículo 13 dice que: "Se entiende por certificado digital al documento digital firmado digitalmente por un certificador, que vincula los datos de verificación de firma a su titular".
Para ser válidos, los certificados deben cumplir, según el Art. 14, con los siguientes requisitos:
a) Ser emitidos por un certificador licenciado por el ente licenciante;
b) Responder a formatos estándares reconocidos internacionalmente, fijados por la autoridad de aplicación, y contener, como mínimo, los datos que permitan:
1. Identificar indubitablemente a su titular y al certificador licenciado que lo emitió, indicando su período de vigencia y los datos que permitan su identificación única;
2. Ser susceptible de verificación respecto de su estado de revocación;
3. Diferenciar claramente la información verificada de la no-verificada incluidas en el certificado;
4. Contemplar la información necesaria para la verificación de la firma;
5. Identificar la política de certificación bajo la cual fue emitido.
El certificado tiene un período de vigencia (Art. 15) y "… es válido únicamente dentro del período de vigencia, que comienza en la fecha de inicio y finaliza en su fecha de vencimiento, debiendo ambas ser indicadas en el certificado digital, o su revocación si fuere revocado.
La fecha de vencimiento del certificado digital referido en el párrafo anterior en ningún caso puede ser posterior a la del vencimiento del certificado digital del certificador licenciado que lo emitió.
La Autoridad de Aplicación podrá establecer mayores exigencias respecto de la determinación exacta del momento de emisión, revocación y vencimiento de los certificados digitales".
La ley en el artículo 16 establece: "Los certificados digitales emitidos por certificadores extranjeros podrán ser reconocidos en los mismos términos y condiciones exigidos en la ley y sus normas reglamentarias cuando:
a) Reúnan las condiciones que establece la presente ley y la reglamentación correspondiente para los certificados emitidos por certificadores nacionales y se encuentre vigente un acuerdo de reciprocidad firmado por la República Argentina y el país de origen del certificador extranjero, o
b) Tales certificados sean reconocidos por un certificador licenciado en el país, que garantice su validez y vigencia conforme a la presente ley. A fin de tener efectos, este reconocimiento deberá ser validado por la autoridad de aplicación".
*El certificador licenciado
Conforme al artículo 17, "Se entiende por certificador licenciado a toda persona de existencia ideal, registro público de contratos u organismo público que expide certificados, presta otros servicios en relación con la firma digital y cuenta con una licencia para ello, otorgada por el ente licenciante.
La actividad de los certificadores licenciados no pertenecientes al sector público se prestará en régimen de competencia. El arancel de los servicios prestados por los certificadores licenciados será establecido libremente por éstos".
La ley permite (Art. 18) que: "Se entiende por certificador licenciado a toda persona de existencia ideal, registro público de contratos u organismo público que expide certificados, presta otros servicios en relación con la firma digital y cuenta con una licencia para ello, otorgada por el ente licenciante.
La actividad de los certificadores licenciados no pertenecientes al sector público se prestará en régimen de competencia. El arancel de los servicios prestados por los certificadores licenciados será establecido libremente por éstos".
Las funciones del certificador licenciado, según el artículo 19 son las siguientes:
"a) Recibir una solicitud de emisión de certificado digital, firmada digitalmente con los correspondientes datos de verificación de firma digital del solicitante;
b) Emitir certificados digitales de acuerdo a lo establecido en sus políticas de certificación, y a las condiciones que la autoridad de aplicación indique en la reglamentación de la presente ley;
c) Identificar inequívocamente los certificados digitales emitidos;
d) Mantener copia de todos los certificados digitales emitidos, consignando su fecha de emisión y de vencimiento si correspondiere, y de sus correspondientes solicitudes de emisión;
e) Revocar los certificados digitales por él emitidos en los siguientes casos, entre otros que serán determinados por la reglamentación:
1) A solicitud del titular del certificado digital.
2) Si determinara que un certificado digital fue emitido en base a una información falsa, que en el momento de la emisión hubiera sido objeto de verificación.
3) Si determinara que los procedimientos de emisión y/o verificación han dejado de ser seguros.
4) Por condiciones especiales definidas en su política de certificación.
5) Por resolución judicial o de la autoridad de aplicación.
f) Informar públicamente el estado de los certificados digitales por él emitidos. Los certificados digitales revocados deben ser incluidos en una lista de certificados revocados indicando fecha y hora de la revocación. La validez y autoría de dicha lista de certificados revocados deben ser garantizadas".
El certificador debe obtener una licencia (Art. 20) para lo cual "… debe cumplir con los requisitos establecidos por la ley y tramitar la solicitud respectiva ante el ente licenciante, el que otorgará la licencia previo dictamen legal y técnico que acredite la aptitud para cumplir con sus funciones y obligaciones. Estas licencias son intransferibles".
Según la ley (Art. 21): "Son obligaciones del certificador licenciado:
a) Informar a quien solicita un certificado con carácter previo a su emisión y utilizando un medio de comunicación las condiciones precisas de utilización del certificado digital, sus características y efectos, la existencia de un sistema de licenciamiento y los procedimientos, forma que garantiza su posible responsabilidad patrimonial y los efectos de la revocación de su propio certificado digital y de la licencia que le otorga el ente licenciante. Esa información deberá estar libremente accesible en lenguaje fácilmente comprensible. La parte pertinente de dicha información estará también disponible para terceros;
b) Abstenerse de generar, exigir, o por cualquier otro medio tomar conocimiento o acceder bajo ninguna circunstancia, a los datos de creación de firma digital de los titulares de certificados digitales por él emitidos;
c) Mantener el control exclusivo de sus propios datos de creación de firma digital e impedir su divulgación;
d) Operar utilizando un sistema técnicamente confiable de acuerdo con lo que determine la autoridad de aplicación;
e) Notificar al solicitante las medidas que está obligado a adoptar para crear firmas digitales seguras y para su verificación confiable, y las obligaciones que asume por el solo hecho de ser titular de un certificado digital;
f) Recabar únicamente aquellos datos personales del titular del certificado digital que sean necesarios para su emisión, quedando el solicitante en libertad de proveer información adicional;
g) Mantener la confidencialidad de toda información que no figure en el certificado digital;
h) Poner a disposición del solicitante de un certificado digital toda la información relativa a su tramitación.
i) Mantener la documentación respaldatoria de los certificados digitales emitidos, por diez (10) años a partir de su fecha de vencimiento o revocación;
j) Incorporar en su política de certificación los efectos de la revocación de su propio certificado digital y/o de la licencia que le otorgara la autoridad de aplicación;
k) Publicar en Internet o en la red de acceso público de transmisión o difusión de datos que la sustituya en el futuro, en forma permanente e ininterrumpida, la lista de certificados digitales revocados, las políticas de certificación, la información relevante de los informes de la última auditoria de que hubiera sido objeto, su manual de procedimientos y toda información que determine la autoridad de aplicación;
l) Publicar en el Boletín Oficial aquellos datos que la autoridad de aplicación determine;
m) Registrar las presentaciones que le sean formuladas, así como el trámite conferido a cada una de ellas;
n) Informar en las políticas de certificación si los certificados digitales por él emitidos requieren la verificación de la identidad del titular.
o) Verificar, de acuerdo con lo dispuesto en su manual de procedimientos, toda otra información que deba ser objeto de verificación, la que debe figurar en las políticas de certificación y en los certificados digitales;
p) Solicitar inmediatamente al ente licenciante la revocación de su certificado, o informarle la revocación del mismo, cuando existieren indicios de que los datos de creación de firma digital que utiliza hubiesen sido comprometidos o cuando el uso de los procedimientos de aplicación de los datos de verificación de firma digital en él contenidos hayan dejado de ser seguros;
q) Informar inmediatamente al ente licenciante sobre cualquier cambio en los datos relativos a su licencia;
r) Permitir el ingreso de los funcionarios autorizados de la autoridad de aplicación, del ente licenciante o de los auditores a su local operativo, poner a su disposición toda la información necesaria y proveer la asistencia del caso;
s) Emplear personal idóneo que tenga los conocimientos específicos, la experiencia necesaria para proveer los servicios ofrecidos y en particular, competencia en materia de gestión, conocimientos técnicos en el ámbito de la firma digital y experiencia adecuada en los procedimientos de seguridad pertinentes;
t) Someter a aprobación del ente licenciante el manual de procedimientos, el plan de seguridad y el de cese de actividades, así como el detalle de los componentes técnicos a utilizar;
u) Constituir domicilio legal en la República Argentina;
v) Disponer de recursos humanos y tecnológicos suficientes para operar de acuerdo a las exigencias establecidas en la presente ley y su reglamentación;
w) Cumplir con toda otra obligación emergente de su calidad de titular de la licencia adjudicada por el ente licenciante".
Conforme al artículo 22: "El certificador licenciado cesa en tal calidad:
a) Por decisión unilateral comunicada al ente licenciante;
b) Por cancelación de su personería jurídica;
c) Por cancelación de su licencia dispuesta por el ente licenciante.
La autoridad de aplicación determinará los procedimientos de revocación aplicables en estos casos".
El certificado no es válido (Art. 3) si es utilizado:
"a)Para alguna finalidad diferente a los fines para los cuales fue extendido;
b) Para operaciones que superen el valor máximo autorizado cuando corresponda;
c) Una vez revocado".
Los derechos que surgen de la titularidad del certificado son los siguientes (Art. 24):
"a) A ser informado por el certificador licenciado, con carácter previo a la emisión del certificado digital, y utilizando un medio de comunicación sobre las condiciones precisas de utilización del certificado digital, sus características y efectos, la existencia de este sistema de licenciamiento y los procedimientos asociados. Esa información deberá darse por escrito en un lenguaje fácilmente comprensible. La parte pertinente de dicha información estará también disponible para terceros;
b) A que el certificador licenciado emplee los elementos técnicos disponibles para brindar seguridad y confidencialidad a la información proporcionada por él, y a ser informado sobre ello;
c) A ser informado, previamente a la emisión del certificado, del precio de los servicios de certificación, incluyendo cargos adicionales y formas de pago;
d) A que el certificador licenciado le informe sobre su domicilio en la República Argentina, y sobre los medios a los que puede acudir para solicitar aclaraciones, dar cuenta del mal funcionamiento del sistema, o presentar sus reclamos;
e) A que el certificador licenciado proporcione los servicios pactados, y a no recibir publicidad comercial de ningún tipo por intermedio del certificador licenciado".
*Organización institucional
La firma digital requiere un marco institucional que produzca confianza.
Evidentemente puede haber una firma de este tipo mediante un acuerdo celebrado entre dos partes, las cuales se obligan a reconocerla según los criterios que los contratantes fijen, y ello no ofrece ninguna dificultad.
Sin embargo, el costo de negociar estos acuerdos es alto entre las partes que no se conocen o que están situados en lugares lejanos y no tienen referencias; por ello, para que exista un uso difundido y rápido, se utiliza un tercero que certifica.
La figura del tercero otorga confianza y disminuye los costos de la transacción. El problema es quien es ese tercero, que hace y con que extensión.
En la práctica negocial han surgido organizaciones que proveen de certificados y que se hacen confiables por su conducta y el apoyo que van logrando en la comunidad. La expansión de estos procedimientos de adhesión voluntaria se produce, generalmente, en grupos cerrados o que reconocen algún límite, pero es difícil para ellos lograr un reconocimiento generalizado de su actuación.
Por esta razón, muchas legislaciones regulan un sistema institucional que requiere del registro público de las autoridades certificantes.
La ley Argentina organiza una serie de instituciones para afianzar la confiabilidad del certificado.
*Auditoria
Además de la emisión por parte de un certificador licenciado (Art. 26) se establece un sistema auditoria (Art. 27), en los siguientes términos: "La autoridad de aplicación, con el concurso de la Comisión Asesora para la Infraestructura de Firma Digital, diseñará un sistema de auditoría para evaluar la confiabilidad y calidad de los sistemas utilizados, la integridad, confidencialidad y disponibilidad de los datos, así como también el cumplimiento de las especificaciones del manual de procedimientos y los planes de seguridad y de contingencia aprobados por el ente licenciante".
Los sujetos a auditar (Art. 33) son el ente licenciante y los certificadores licenciados.
La autoridad de aplicación podrá implementar el sistema de auditoria por sí o por terceros habilitados a tal efecto.
Asimismo se establece en el artículo 34 que:" Podrán ser terceros habilitados para efectuar las auditorias las Universidades y organismos científicos y/o tecnológicos nacionales o provinciales, los Colegios y Consejos profesionales que acrediten experiencia profesional acorde en la materia".
*Comisión asesora
También se establece (Art. 28) una comisión asesora para la infraestructura de firma digital.
La comisión asesora (Art. 35) "… estará integrada multidisciplinariamente por un máximo de 7 (siete) profesionales de carreras afines a la actividad de reconocida trayectoria y experiencia, provenientes de Organismos del Estado nacional, Universidades Nacionales y Provinciales, Cámaras, Colegios u otros entes representativos de profesionales.
Página anterior | Volver al principio del trabajo | Página siguiente |