Ir al contenido

Términos y condiciones

La legislación básica sobre firma electrónica cualificada se recoge en el Reglamento (UE) Nº 910/2014, conocido como Reglamento eIDAS (electronic IDentification, Authentication and trust Services) que entró en vigor el 1 de julio de 2016, aprobado en 2014.

Artículo 3: Definiciones

A efectos del presente Reglamento, se entenderá por:

  • "firma electrónica": los datos en formato electrónico anejos a otros datos electrónicos o asociados de manera lógica con ellos que utiliza el firmante para firmar;

  • "firma electrónica avanzada": la firma electrónica que cumple los requisitos del artículo 26;

  • "firma electrónica cualificada": una firma electrónica avanzada que se crea mediante un dispositivo cualificado de creación de firma electrónica y que se basa en un certificado cualificado de firma electrónica;

  • "certificado de firma electrónica": una declaración electrónica que vincula los datos de validación de una firma con una persona física y confirma al menos el nombre o el seudónimo de dicha persona;

  • "certificado cualificado de firma electrónica": un certificado de firma electrónica que ha sido expedido por un prestador cualificado de servicios de confianza y que cumple los requisitos establecidos en el anexo I;

  • "prestador de servicios de confianza": una persona física o jurídica que presta uno o más servicios de confianza, ya sea como prestador cualificado o no cualificado;

  • "prestador cualificado de servicios de confianza": un prestador de servicios de confianza que proporciona uno o varios servicios de confianza cualificados y al que un organismo de supervisión ha otorgado la cualificación;

  • "datos de creación de firma electrónica": datos únicos que el firmante utiliza para crear una firma electrónica;

  • "datos de validación de firma electrónica": datos utilizados para validar una firma electrónica;

  • "dispositivo de creación de firma electrónica": una configuración de hardware y/o software utilizada para implementar los datos de creación de firma electrónica;

  • "dispositivo cualificado de creación de firma electrónica": un dispositivo de creación de firma electrónica que cumple los requisitos establecidos en el anexo II;

  • "servicio de validación de firma electrónica": un servicio que valida una firma electrónica;

  • "servicio de conservación de firmas electrónicas": un servicio que conserva firmas electrónicas;

Artículo 25: Efectos jurídicos de la firma electrónica

1. No se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a una firma electrónica por el mero hecho de ser electrónica o de no cumplir los requisitos de la firma electrónica cualificada.

2. Una firma electrónica cualificada tendrá un efecto jurídico equivalente al de una firma manuscrita.

3. Una firma electrónica cualificada basada en un certificado cualificado emitido en un Estado miembro será reconocida como una firma electrónica cualificada en todos los demás Estados miembros.

eIDAS 2.0 – Regulación (UE) 2024/1183

 

  • Aprobada por el Parlamento Europeo: 29 de febrero de 2024
  • Publicada en el Diario Oficial de la UE: 11 de abril de 2024
  • Entró en vigor20 de mayo de 2024

 

Esta reforma amplía el alcance del reglamento original (UE 910/2014) e introduce, entre otras innovaciones:

 

  1. - Cartera Europea de Identidad Digital (European Digital Identity Wallet o EUDI Wallet), que los Estados miembros deben ofrecer voluntariamente.
  2. - Nuevos servicios cualificados, como archivado electrónicolibros electrónicos y atributos electrónicos asociados a la identidad.
  3. - Fortalecimiento de controles de seguridad y auditorías periódicas para los prestadores de servicios de confianza cualificados.

La Firma Electrónica Avanzada

🔹 Artículo 26 - Requisitos para la firma electrónica avanzada

Una firma avanzada (base para la cualificada) debe:

  1.     Estar vinculada al firmante de manera única.
  2.     Permitir la identificación del firmante.
  3.     Ser creada con datos que estén bajo el control exclusivo del firmante.
  4.     Estar vinculada con los datos firmados, de forma que cualquier modificación         posterior sea detectable.

 

 

🔹 Artículo 27 – Dispositivos cualificados de creación de firma electrónica

Establece que la firma cualificada debe generarse con un dispositivo cualificado (como un token criptográfico o un HSM), cumpliendo con los requisitos del Anexo II.

 

🔹 Artículo 28 – Certificados cualificados de firma electrónica

Una firma cualificada debe basarse en un certificado cualificado emitido por un prestador cualificado de servicios de confianza y cumplir con lo establecido en el Anexo I del reglamento.

 

Política de Firma

Cuando se firman datos, el firmante indica la aceptación de unas condiciones generales y unas condiciones particulares aplicables a aquella firma electrónica mediante la inclusión de un campo firmado, dentro de la firma, que específica una política explícita o implícita.

Si el campo correspondiente a la normativa de firma electrónica está ausente y no se identifica ninguna normativa como aplicable, entonces se puede asumir que la firma ha sido generada o verificada sin ninguna restricción normativa, y en consecuencia, que no se le ha asignado ningún significado concreto legal o contractual. Se trataría de una firma que no especifica de forma expresa ninguna semántica o significación concreta y, por lo tanto, hará falta derivar el significado de la firma a partir del contexto (y especialmente, de la semántica del documento firmado).

La finalidad de una política de firma es reforzar la confianza en las transacciones electrónicas a través de una serie de condiciones para un contexto dado, el cual puede ser una transacción determinada, un régimen legal o un rol que asuma la parte firmante.

Por ejemplo, la Política de Firma de la Administración General del Estado (AGE) especifica las condiciones generales aplicables a la firma electrónica para su validación, en la relación electrónica de la Administración General del Estado con los ciudadanos y entre los órganos y entidades de la AGE.

Según el artículo 24 del Real Decreto 1671/2009 por el que se desarrolla parcialmente la Ley 11/2007 de Acceso Electrónico de los Ciudadanos a los Servicios Públicos, la política de firma electrónica y certificados en el ámbito de la Administración General del Estado y de sus organismos públicos, está constitu&icaute;da por las directrices y normas técnicas aplicables a la utilización de certificados y firma electrónica dentro de su ámbito de aplicación.

Esquema Nacional de Interoperabilidad (ENI)

La política de firma tiene una misión importante ya que define las reglas y obligaciones de todos los actores involucrados en el proceso de firma en determinados contextos (contractual, jurídico, legal,…).

El Real Decreto 4/2010 por el que se regula el Esquema Nacional de Interoperabilidad establece que la política de firma electrónica y de certificados de la Administración General del Estado, servirá de marco general de interoperabilidad para la autenticación y el reconocimiento mutuo de firmas electrónicas dentro de su ámbito de actuación. También establece que dicha política podrá ser utilizada como referencia por otras Administraciones Públicas para definir las políticas de certificados y firmas a reconocer dentro de sus ámbitos competenciales..

Esquema Nacional de Seguridad (ENS)

El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, tiene por objeto el establecimiento de los principios y requisitos de una política de seguridad protección de la información.

Pues bien, el decreto, en su artículo 33 también relega a la Política de Firma toda la función de concretar los procesos de generación, validación y conservación de firmas electrónicas, así como las características y requisitos exigibles a los sistemas de firma electrónica, los certificados, los servicios de sellado de tiempo, y otros elementos de soporte de las firmas.

Por otra parte, el RD en su anexo II punto 5.7.4 es muy específico sobre los tipos de firma que deben aplicarse en función del nivel de la información que debe protegerse.

  • Nivel BAJO

    Se puede emplear cualquier medio de firma electrónica de los previstos en la legislación vigente.

  • Nivel MEDIO

    Los medios utilizados en la firma electrónica serán proporcionados a la calificación de la información tratada. En todo caso:

    Se emplearán algoritmos acreditados por el Centro Criptológico Nacional.

    • Se emplearán, preferentemente, certificados reconocidos.
    • Se emplearán dispositivos seguros de firma.

    Se garantizará la verificación y validación de la firma electrónica durante el tiempo requerido por la actividad administrativa que aquélla soporte, sin perjuicio de que se pueda ampliar este período de acuerdo con lo que establezca la política de firma electrónica y de certificados que sea de aplicación. Para tal fin:

    • Se adjuntará a la firma, o se referenciará, toda la información pertinente para su verificación y validación.
    • Se protegerán la firma y la información mencionada en el apartado anterior con un sello de tiempo.
    • El organismo que recabe documentos firmados por el administrado verificará y validará la firma recibida en el momento de la recepción, anexando o referenciando sin ambigüedad la información descrita en los epígrafes a) y b).
    • La firma electrónica de documentos por parte de la Administración anexará o referenciará sin ambigüedad la información descrita en los epígrafes a) y b).
  • Nivel ALTO

    Se aplicarán las medidas de seguridad referentes a firma electrónica exigibles en el nivel Medio, además de las siguientes:

    • Se usarán certificados reconocidos.
    • Se usarán dispositivos seguros de creación de firma.
    • Se emplearán, preferentemente, productos certificados [op.pl.5].

    La norma CCN-STIC-807 del Centro Criptológico Nacional establece en el punto 5.7 cuáles son los mecanismos y algoritmos que se pueden utilizar para firmar en función del nivel de la información.

Notas Normativas Adicionales

  • El reglamento europeo 910/2014, de 23 de julio, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE, establece la obligación de validar certificados electrónicos emitidos por cualquier Prestador de Servicios de Confianza europeo.
  • La normativa de desarrollo del reglamento eIDAS, Decisión de Ejecución (UE) 2015/1506 de la Comisión de 8 de septiembre de 2015 por la que se establecen las especificaciones relativas a los formatos de las firmas electrónicas avanzadas y los sellos avanzados que deben reconocer los organismos del sector público de conformidad con los artículos 27, apartado 5, y 37, apartado 5, del Reglamento (UE) no 910/2014 del Parlamento Europeo y del Consejo, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior, establece que los Estados miembros deben fijar los medios técnicos necesarios que les permitan procesar los documentos firmados electrónicamente que son necesarios cuando se utiliza un servicio en línea ofrecido por, o en nombre de, un organismo del sector público. Para ello define una serie de formatos de firma electrónica avanzada que deben admitir técnicamente los Estados miembros cuando se necesiten firmas electrónicas avanzadas para un procedimiento administrativo en línea.
  • El artículo 47 del Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla parcialmente la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos, establece la necesidad de incorporar una referencia temporal de los documentos administrativos electrónicos, siendo una de las modalidades de referencia temporal, el «Sello de tiempo», entendiendo por tal la asignación por medios electrónicos de una fecha y hora a un documento electrónico con la intervención de un prestador de servicios de certificación que asegure la exactitud e integridad de la marca de tiempo del documento.
  • Por otro lado, el Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica expone en su artículo 22.4 que los aspectos relativos a la firma electrónica en la conservación del documento electrónico se establecerán en la Política de firma electrónica y de certificados, y a través del uso de formatos de firma longeva que preserven la conservación de las firmas a lo largo del tiempo.
  • La preservación de las firmas longevas a lo largo del tiempo se concreta en la Resolución de 19 de julio de 2011, de la Secretaría de Estado para la Función Pública, por la que se aprueba la Norma Técnica de Interoperabilidad de Política de Firma Electrónica y de certificados de la Administración, en el apartado II.7 relativo al Archivado y custodia, que establece que para garantizar la fiabilidad de una firma electrónica a lo largo del tiempo, se podrán utilizar: Firmas longevas mediante las que se añadirá información del estado del certificado asociado, incorporando un sello de tiempo, así como los certificados que conforman la cadena de confianza.
  • El sello de tiempo es una parte indispensable de la firma electrónica, sobre todo en el caso de las firmas longevas, que necesiten ser validadas mucho tiempo después de su generación.
  • Así mismo el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, en ANEXO II de Medidas de seguridad, en el apartado 5.7.4 relativo a la firma electrónica, especifica que para los sistemas clasificados de nivel medio en las dimensiones de integridad y autenticidad, se garantizará la verificación y validación de la firma electrónica durante el tiempo requerido por la actividad administrativa que aquélla soporte, para lo cual se adjuntará a la firma, o se referenciará, toda la información pertinente para su verificación y validación, y se protegerán la firma y la información mencionada en el apartado anterior con un sello de tiempo.

 

 Normas técnicas relacionadas

Además del reglamento eIDAS, la serie de normas ETSI desarrolla aspectos técnicos y de interoperabilidad. Las más relevantes para la firma cualificada son:

  • ETSI EN 319 411-2: Requisitos para prestadores cualificados que emiten certificados cualificados.

  • ETSI EN 319 401: Requisitos generales para los prestadores de servicios de confianza.

  • ETSI EN 319 421: Requisitos para servicios de conservación de firmas electrónicas cualificadas.

  • ETSI EN 319 411-1: Requisitos para prestadores de servicios de certificación.