¿Creías que tus firmas electrónicas eran válidas legalmente? La importancia de utilizar certificados cualificados creados con dispositivo seguros de creación de firma (QSCD).
Language: es La mayor parte de los profesionales TIC que trabajamos en áreas de administración electrónica estamos acostumbrados a generar expedientes electrónicos que, como valor probatorio, contienen las firmas electrónicas de los ciudadanos que intervienen en los procedimientos, los sellos electrónicos de los órganos gestores y, en ocasiones, las firmas electrónicas de los funcionarios que gestionan dichos expedientes.
La mayor parte de estos certificados están emitidos por organismos públicos, que otorgan certificados que permiten la firma electrónica tanto a los ciudadanos que lo solicitan como a los empleados públicos, siendo bastante habitual que cada funcionario tenga una tarjeta criptográfica que contenga su certificado de empleado público, y que se realicen firmas electrónicas avanzadas.
Estos organismos certificadores que emiten certificados digitales cualificados se encuentran dentro de los listados de los prestadores de servicios electrónicos de confianza cualificados que exige Reglamento de la UE n.º 910/2014 (Reglamento eIDAS) y que publica el estado español en la página https://sede.serviciosmin.gob.es/es-es/firmaelectronica/paginas/Prestadores-de-servicios-electronicos-de-confianza.aspx </p>
<p>Todo este ecosistema se apoya principalmente en los servicios de @firma, mantenidos por la Secretaría general de Administración Digital, que actúan como garante de que las firmas electrónicas son correctas, y no están revocadas.
Entonces, si la administración pública española realiza firmas electrónicas avanzadas utilizando certificados digitales emitidos por prestadores de servicios electrónicos de confianza que emiten certificados cualificados, ¿cuál es el fallo?
El problema es que no es lo mismo tener una firma electrónica avanzada realizada con un certificado digital cualificado que tener una firma digital cualificada. La diferencia entre una y otra es que la firma electrónica cualificada es una firma electrónica avanzada realizada con un certificado cualificado emitido con un dispositivo seguro de creación de firma (QSCD). El Reglamento eIDAS exige firmas electrónicas cualificadas para las transacciones electrónicas en el mercado interior europeo. Estas firmas cualificadas son las únicas que pueden considerarse como un equivalente digital a las firmas manuscritas y que por consiguiente tienen su mismo valor legal, con lo que sólo tendremos firmas cualificadas cuando hayan sido generadas por un dispositivo seguro QSCD.
En la ponencia se pone de manifiesto que, con la excepción de aquellos organismos que firmen con los certificados del DNI electrónico, que sí son QSCD, la mayor parte de las firmas electrónicas de la administración no pueden considerarse como firmas electrónicas cualificadas.
Jorge Navas
Licenciado en informática por la Universidad Politécnica de Madrid, Master en Tecnologías de la información por la Universidad de Edimburgo. Master en Gobernanza TIC por la Universidad Libre de Bruselas. Experiencia en el sector privado (Grupo SAGEM, Telefónica Móviles, Terra) y en el público (Dirección General de Tráfico, Ministerio del Interior, Comisión Europea, Ministerio de Hacienda). Inspector de servicios habilitado de la Administración General del Estado. Especialidad en seguridad, auditoría de sistemas de información y protección de datos. Certificaciones auditor líder ISO 27001, CISA, CISM y Hacking ético.