firma avanzada – mitos y leyendas
A menudo se confunde identificar a un firmante con prestar el consentimiento; y ahí nace la leyenda de la (mal llamada) firma avanzada.
Avanzada, conviene recordarlo, es el apellido de firma electrónica; en consecuencia si hablamos de firma avanzada – con las consecuencias jurídicas que lleva aparejadas – no debemos olvidar que estamos hablando de firma electrónica avanzada, y que todo lo que no sea firma electrónica no puede tener el apellido avanzada (si de ello queremos que se deriven determinados efectos jurídicos conforme a la Ley de firma electrónica – o lo que de ella queda – y el Reglamento U.E. 910/ 2014, de 23 julio.
Así, una firma electrónica (avanzada o cualificada) es aquella que está basada en un certificado de creación de firma bajo control del firmante…y todo lo demás (firma manuscrita sobre dispositivos táctiles, clave de un solo uso a teléfono móvil…huella…iris…) no lo es. Lo que no quiere decir que no sean soluciones válidas – más o menos robustas – para acreditar la prestación del consentimiento ante determinado negocio jurídico por parte de persona identificada o identificable conforme a tres factores:
- algo que tienes
- algo que sabes
- algo que eres
La máxima norma jurídica en materia de firma electrónica en el ámbito de la Unión Europea1 la regula dentro de la SECCIÓN 4, bajo el epígrafe firma electrónica; concretamenteen el artículo 26. Veamos las diferencias entre firma electrónica avanzada y firma electrónica cualificada:
- firma electrónica avanzada es aquella generada a partir de un certificado de creación de firma que cumple con los requisitos técnicos y jurídicos establecidos en el Reglamento eIDAS y las normas ETSI de aplicación…pero cuyo certificado NO ha sido generado por un Prestador Cualificado de emisión de certificados de firma-e.
- Firma electrónica cualificada es aquella que, cumpliendo con la normativa y estándares técnicos vigentes el certificado a partir del cual se ha creado sí ha sido generado por un Prestador Cualificado.
La firma electrónica cualificada (denominada digital en otros ordenamientos jurídicos) va más allá de servir como forma válida de prestar el consentimiento – que no es poco – sino que, además, identifica inequívocamente al firmante quien, para obtener el certificado con el que creará la firma o firmas, ha tenido que cumplir el protocolo definido por el Prestador de Servicios para su obtención.
¿Significa ésto que sólo la firma electrónica cualificada sirve para prestar el consentimiento en transacciones online/ no presenciales?
Muy al contrario; la firma-e cualificada nos permite identificar al firmante y adverar la prestación del consentimiento a un determinado negocio jurídico al instante; y por ello considero que es el modo jurídica y técnicamente más robusto para celebrar contratos a distancia.
Sin embargo existen otros métodos igualmente válidos de identificar al firmante y adverar que prestó su consentimiento a determinado negocio jurídico a distancia bajo los factores de identificación – antes expuestos – de algo que tienes, algo que eres, algo que sabes. Siempre que confluyan, al menos, dos de los tres factores expuestos podemos considerar con un alto grado de fiabilidad que una persona identificable ha prestado su consentimiento a distancia.
Ejemplo de ésto es la prestación del consentimiento a partir de una clave de un solo uso (algo que sabes) enviada al teléfono móvil del firmante (algo que tienes); o la firma manuscrita estampada en un dispositivo táctil (algo que eres) siguiendo un enlace recibido en un teléfono móvil (algo que tienes). Las combinaciones de dos de los tres factores de identificación expuestos nos permitirán (a posteriori), junto al uso de otras herramientas criptográficas como el sello cualificado de tiempo como garantía de la trazabilidad e integridad de un proceso de aceptación contractual a distancia, soluciones de prestación del consentimiento más sólidas que la firma manuscrita sobre papel en supuestos – muchos – en que el firmante recibe en su domicilio un contrato que firma a solas y devuelve por correo postal al remitente.
El hecho de que se esté extendiendo el mal uso del concepto firma avanzada tiene su origen en dos realidades:
- La paz mental, o seguridad emocional si se prefiere, de los adquirentes de servicios de contratación online.
- La habilidad comercial de algunos proveedores de soluciones para contratación a distancia.
Efectivamente, conscientes de las barreras de todo tipo que acompañan desde sus orígenes al uso de los certificados electrónicos, clientes y proveedores han consensuado de forma tácita la denominación de firma avanzada para referirse a medios de prestación del consentimiento online no contemplados en el Reglamento eIDAS, que ven en el artículo 26 del Reglamento un paraguas jurídico para este tipo de métodos basados en la combinación de factores de identificación (algo que tienes, algo que sabes, algo que eres).
Considero, humildemente, que en aras de la seguridad jurídica, va siendo hora de proscribir la denominación firma avanzada (sin más) para referirnos a estos medios alternativos de prestación del consentimiento cuyos efectos jurídicos no se ven mermados por el solo hecho de no asociarse al concepto positivo de firma electrónica avanzada.
Pensemos por ejemplo en el menos robusto de los medios de prestación del consentimiento (que llevamos a cabo de manera habitual cada vez que accedemos a una APP, aceptamos las cookies de un sitio web o instalamos un sistema operativo en nuestro ordenador personal): marcar una o varias casillas de verificación.
Si el proponente del contrato/ autorización puede acreditar, por ejemplo, la IP de acceso al documento/ contrato en fecha cierta desde un concreto dispositivo que el firmante reconoce a posteriori de su propiedad operará una presunción iuris tantum de aceptación de las condiciones por parte de un firmante identificable.
La firma electrónica cualificada permite la identificación y acreditación de la prestación del consentimiento al instante…pero, en Derecho y con las herramientas tecnológicas actuales, caben otras formas de acreditación a posteriori en caso de repudio.
1Reglamento eIDAS