Índice
El mejor contenido en tu bandeja de entrada
La firma electrónica cualificada es un tipo de certificado digital asociado al contenido de una documentación generalmente en formato texto. Se utiliza para aceptar lo indicado en estos documentos anexos a los datos de identificación de un firmante. Su sentido y origen se basa en el Reglamento de la Unión Europea 910/2014.
Este método destaca de entre aquellos destinados al ejercicio de la firma electrónica por su complejidad y alto nivel de reconocimiento por parte de las instituciones públicas. Si bien puede que no sea el más indicado para cierto tipo de operaciones, la firma electrónica cualificada es capaz de ofrecer el respaldo normativo más exigente.
Muchos negocios han empezado a preguntarse si deben o no dar el salto a una solución de firma cualificada. La respuesta nunca es la misma, pues depende del sector al que pertenezcan, el tipo de operaciones que van a realizarse, el contexto de estas y el perfil de riesgo general alrededor de estos aspectos.
Qué es la firma electrónica cualificada
La firma electrónica cualificada es uno de los diferentes tipos de certificados electrónicos que se asocian a una documentación digital recogidos en el reglamento eIDAS. Es conocida por sus siglas en inglés como QES (Qualified Electronic Signature) y contiene información imprescindible para identificar al propietario de la firma con una serie de datos sensibles. Estos datos son:
- Nombre completo.
- Documentación gubernamental de identidad.
- Las claves que sólo le permiten hacer uso de ella al propietario de la misma.
- Algoritmos de cifrado que desbloquean la firma para su uso y visualización.
- Sello de tiempo (con fecha de expiración).
- Información sobre el organismo o empresa cualificada que ha expedido la firma.
Toda esta información está vinculada y se sella al contenido que se desea aprobar, negar, aceptar o rechazar, ya sea un contrato, un acuerdo o la dotación de consentimientos. La firma electrónica reconocida debe ser expedida por una Autoridad de Certificación Cualificada. Esto quiere decir que los dispositivos cualificados de creación de firma (QSCD) deben utilizarse para emitir estos certificados.
De esta forma, la firma cualificada es capaz de confirmar - sin lugar a dudas y con evidencia electrónica del más alto nivel - la autoría de una voluntad individual o colectiva dada para una declaración determinada y contenida en una serie de datos electrónicos. Este intercambio de datos da como resultado un documento firmado electrónicamente, inalterable y con interés legítimo.
Características, tipos y ventajas
Podríamos decir que hay un orden ascendente en los estándares de firma electrónica: simple, avanzada y cualificada. Mientras que la firma electrónica simple es la mera inclusión de la imagen de una firma manuscrita en un documento digital, la firma electrónica avanzada debe cumplir con una serie de requisitos muy concretos que otorgan , igual que la cualificada, validez legal al proceso de firma y trazabilidad digital de lo acontecido (con datos de identidad sellados al contenido).
Sin embargo, y pese a lo que muchos pudieran pensar, la firma avanzada se perfila como el método más versátil y completo, alejado de la complejidad, muchas veces innecesaria de la firma cualificada. Esta última es especialmente relevante de cara a los trámites con las administraciones públicas pero no tan interesante para entornos B2C y B2B.
La firma reconocida necesita de dispositivos cualificados que realicen la expedición. Estos son generalmente tarjetas criptográficas (como el DNI electrónico en la Unión Europea por ejemplo) o USBs criptográficos. Esto presenta cierta dificultad además de brechas de seguridad al poder ser robados o extraviados. Para su uso debe utilizarse la clave elegida o entregada pero en ocasiones algunos delincuentes utilizan métodos para dar con ellas. Es por eso que los servidores HSM se perfilan como la solución.
Firma electrónica cualificada centralizada
eIDAS ha contemplado la utilización de servidores con funcionamiento basado en las últimas técnicas de criptografía para generar y - más importante aún - custodiar los certificados cualificados que permiten firmar digitalmente documentos. El hecho de que queden en la nube soluciona el problema que veníamos indicando sobre extravíos o robos, además de que los proveedores que ofrecen esta solución garantizan medidas de seguridad realmente altas.
Así, en cualquier momento y en cualquier lugar se puede acceder a plataformas de firma electrónica cualificada para generar certificados sin problemas con las claves privadas. Estos repositorios únicos y supervisados son especialmente indicados para organizaciones que cuentan con diferentes tipos de certificados.
Regulación, respaldo y legalidad
La firma electrónica cualificada, en muchas ocasiones, se trata como homóloga o sustituta de la firma manuscrita tradicional. Sin embargo, digitalizar la firma de documentos no encarna únicamente una trasposición digital de un proceso tradicional sino que agrega un plus de validez legal al contar con más datos, información y pruebas que la mayoría de firmas físicas.
electronic IDentification, Authentication and trust Services, el reglamento eIDAS fue aprobado en la Unión Europea para establecer un marco de servicios de confianza y transacciones electrónicas seguras. Sin embargo, esta norma que ya es ley en todos los estados de la región se ha tomado como referencia para establecer los estándares jurídicos y técnicos del ejercicio de la firma digital en todo el mundo. Es decir, cumplir con eIDAS significa prácticamente cumplir con cualquier regulación de firma digital en cualquier estado, país o región del globo.
Otras normas como AML6 y PSD2 se unen a eIDAS en el objetivo de crear un ecosistema económico y social donde las operaciones digitales tienen una serie de estándares concretos que garantizan seguridad técnica y reconocimiento jurídico ante tribunales en caso de disputa. Ahora, negocios de todo el mundo pueden vender online y operar en cualquier mercado si cumplen con estos estándares sin necesidad de inversiones adicionales.
El respaldo de los estándares es tan alto que en muchas regiones está prohibido exigir modelos de firma digital superiores a la firma electrónica cualificada por ley. Sus estándares son XAdES, CAdES y PAdES, los cuales fueron definidos por el Instituto Europeo de Normas de Telecomunicaciones.
Casos de uso y casos de éxito de la firma electrónica cualificada
La integración de sistemas de firma electrónica cualificada en las empresas era costosa y compleja hace unos años. Sin embargo, ahora gracias a las plataformas escalables SaaS de firma digital y verificación de identidad de usuarios, las empresas pueden estar utilizándolas en días sin impacto en sus sistemas ni equipos de IT.
El desarrollo de software personalizable por parte de las startups más disruptivas ha dado como resultado sistemas API y webhook con llamadas sencillas que los usuarios no notan ya que están completamente integrados en los customer journey. Los proveedores de servicios de confianza cualificados (TSP - Trust Services Providers) con especialización RegTech en todas las industrias están asesorando e integrando estas herramientas con tiempos récord para que los negocios obtengan el mejor time-to-market posible y mejoren la conversión de sus procesos de adquisición de clientes y contratación. Esto es especialmente notable en industrias como la banca, los seguros, el FinTech o el WealthTech.
Soluciones de firma electrónica
Como veníamos avanzando, las soluciones de firma electrónica se centran en vincular de manera única al firmante los datos de tal forma que estos no sean modificados. En el caso de producirse una modificación ulterior, esta debe ser detectable y trazable. La tecnología detrás de estos sistemas lleva años siendo utilizada y más allá de aportar seguridad, estas soluciones han dado incontables beneficios a las empresas.
Desde el gran ahorro en materiales y espacio hasta la mejora de la productividad de los departamentos de administración, la firma electrónica ha reinventado la forma en la que los usuarios y las empresas interactúan y contratan. Ya no hay riesgo de pérdida y el contrato firmado posee validez automática frente a un juez por todo lo que conlleva. Con un efecto jurídico que equivale a la firma manuscrita, ya no es necesario que el cliente se persone en una oficina comercial o tienda para firmar su contrato y adquirir productos y servicios o finalizar cualquier tipo de transacción delicada.
La diferencia entre la firma electrónica avanzada y la cualificada radica en el certificado digital creado por la Autoridad de Certificación. Esto es útil de cara a las administraciones públicas (B2G) pero en modelos B2C y B2B la firma electrónica avanzada es más que suficiente. Actualmente, algunas firmas electrónicas como Tecalis Signature ofrecen la posibilidad de realizar un proceso KYC (Know Your Customer) vinculado a la firma electrónica avanzada, lo que da una garantía extrema y habilita el onboarding y la contratación instantánea para procesos tan delicados como la apertura de una cuenta bancaria. De cara a procesos entre empresas, el Know Your Business ha comenzado a utilizarse junto a la firma electrónica en el mismo flow.
