Archivos de la etiqueta: certificado digital

01Ene/15

Análisis comparativo de la legislación y proyectos a nivel mundial sobre firmas y certificados digitales

Trabajos, ,

Análisis comparativo de la legislación y proyectos a nivel mundial sobre firmas y certificados digitales
Distintas soluciones [1]

Sumario

  1. Introducción. La Era Digital. La necesidad de firmas y certificados electrónicos
  2. En qué consisten las firmas y los certificados digitales. Criptología y Entidades certificantes
    1. Criptología
    2. Entidades de Certificación
    3. Definición de la Firma Digital
    4. Certificado Digital
  3. Aplicaciones y beneficios de la firma digital
  4. Proyectos, legislaciones y estándares internacionales
    1. Estándares Internacionales
    2. Antecedentes Internacionales
    3. Actividades por paises relativas a la sanción de normas en la materia
    4. Antecedentes Nacionales
  5. Conclusión

1- Introducción. La Era Digital. La necesidad de firmas y certificados electrónicos

Sabemos que la Tecno-era o Era Digital ha producido un drástico cambio de paradigma científico y social, con terribles impactos en el resideño de la producción cultural y la industria [2] . Siguiendo a Manuel Castells [3] , debemos señalar que las consecuencias de este nuevo paradigma tecnológico, que afectan y modifican la estructura social y económica, permiten distinguir las llamadas Economía informacional (la capacidad de generación y manipulación de infraestructuras informacionales son decisivas para el desarrollo y expansión de las empresas), la Economía Red (descentralización de las grandes empresas y formación de redes o alianzas con pequeñas y medianas empresas que funcionan como auxiliares de aquéllas) y la Economía global o Globalización a secas (donde, en realidad, todos las áreas se encuentran subordinadas a este fenómeno: trabajo, comunicaciones, mercados financieros, cultura, etc.).

Huela señalar que esta Sociedad de la Información impacta sobre el orden regulador de conductas, el Derecho, e impone el reanálisis de las legislaciones y dogmas vigentes, las que no parecen adaptarse con docilidad a los nuevos fenómenos.
La informática nos rodea y es una realidad incuestionable y parece que también irreversible [4] . Está en casi todos los aspectos de la vida del hombre. Desde los más triviales hasta los más sofisticados. Sin la informática las sociedades actuales colapsarían [5] , generándose lo que se conoce como “computer dependency”. La informática se presenta como una nueva forma de poder [6] , que puede estar concentrado o difuminado en una sociedad, confiado a la iniciativa privada o reservado al monopolio estatal. Es instrumento de expansión ilimitada e inimaginable del hombre y es, a la vez, una nueva forma de energía, si se quiere intelectual [7] , de valor inconmensurable, que potencia y multiplica de manera insospechada las posibilidades de desarrollo científico y social, erigiéndose en patrimonio universal de la humanidad. FROSINI efectúa, a los efectos de entender el grado de poder de la informática, una comparación entre la civilización con escritura y la civilización sin ella.

En este contexto la firma digital es justificable desde el momento en que los contratos, las transacciones económicas, las compras, etc. se realizan on-line (a través de la Internet), es decir sin la presencia física de las partes y frente a la utilización pervertida de las nuevas tecnologías (aparición de los denominados delitos informáticos), que atentan contra la información como bien jurídico de naturaleza colectiva o macro-social.

En definitiva, la firma digital se presenta como un instrumento de seguridad y confidencialidad de las actividades que se producen en el curso de la interacción humana en todos sus ámbitos y que dependen de los sistemas informáticos (transporte, comercio, sistema financiero, gestión gubernamental, arte, ciencia, relaciones laborales, tecnología, etc.).

2- En qué consisten las firmas y los certificados digitales. Criptología y Entidades certificantes

Actualmente, la firma manuscrita permite certificar el reconocimiento, la conformidad o el acuerdo de voluntades sobre un documento por parte de cada firmante, aspecto de gran importancia desde un punto de vista legal. La firma manuscrita tiene un reconocimiento particularmente alto pese a que pueda ser falsificada, ya que tiene peculiaridades que la hacen fácil de realizar, de comprobar y de vincular a quién la realiza. Para intentar conseguir los mismos efectos que la firma manuscrita se requiere el uso de la criptología y el empleo de algoritmos matemáticos.

2.1- Criptología

La firma digital consiste en la utilización de un método de encriptación llamado asimétrico o de clave pública. Este método consiste en establecer un par de claves asociadas a un sujeto, una pública, conocida por todos los sujetos intervinientes en el sector, y otro privada, sólo conocida por el sujeto en cuestión. De esta forma cuando se desea establecer una comunicación segura con otra parte basta con encriptar el mensaje con la clave pública del sujeto para que a su recepción sólo el sujeto que posee la clave privada pueda leerlo.

La criptología se define como aquella ciencia que estudia la ocultación, disimulación o cifrado de la información, así como el diseño de sistemas que realicen dichas funciones. Abarca por tanto a la criptografía (datos, texto e imágenes), la criptofonía (voz) y el criptoanálisis, ciencia que estudia los pasos y operaciones orientados a transformar un criptograma en el texto claro original pero sin conocer inicialmente el sistema de cifrado utilizado y/o la clave. Cifrar por tanto consiste en transformar una información (texto claro) en otra ininteligible (texto cifrado o cripto) según un procedimiento y usando una clave determinada, pretendiendo que sólo quién conozca dicho procedimiento y clave pueda acceder a la información original. La operación inversa se llamara lógicamente descifrar.

Explica el Dr. Fernando RAMOS SUAREZ [8] que estamos ante un criptosistema simétrico o de clave secreta cuando las claves para cifrar y descifrar son idénticas, o fácilmente calculables una a partir de la otra. Por el contrario si las claves para cifrar y descifrar son diferentes y una de ellas es imposible de calcular por derivación de la otra entonces estamos ante un criptosistema asimétrico o de clave pública (el aceptado uniformemente en la actualidad). Esto quiere decir que si utilizamos un criptosistema de clave secreta o simétrico necesariamente las dos partes que se transmiten información tienen que compartir el secreto de la clave, puesto que tanto para encriptar como para desencriptar se necesita una misma clave u otra diferente pero deducible fácilmente de la otra. Entre estos sistemas se encuentran: DES, RC2, RC4, IDEA y SkipJack. La peculiaridad de estos sistemas de encriptación es que son rápidos en aplicarse sobre la información.

2.2- Entidades de Certificación

Para brindar confianza a la clave pública surgen las autoridades de certificación, que son aquellas entidades que merecen la confianza de otros actores en un escenario de seguridad donde no existe confianza directa entre las partes involucradas en una cierta transacción. Es por tanto necesaria, una infraestructura de clave pública (PKI) para cerrar el círculo de confianza, proporcionando una asociación fehaciente del conocimiento de la clave pública a una entidad jurídica, lo que le permite la verificación del mensaje y su imputación a una determinada persona. Esta infraestructura de clave pública consta de una serie de autoridades que se especializan en papeles concretos:

Autoridades de certificación (CA o certification authorities): que vinculan la clave pública a la entidad registrada proporcionando un servicio de identificación. Una CA es a su vez identificada por otra CA creándose una jerarquía o árbol de confianza: dos entes pueden confiar mutuamente entre sí si existe una autoridad común que directa o transitivamente las avala.

Autoridades de registro (RA o registration authorities): que ligan entes registrados a figuras jurídicas, extendiendo la accesibilidad de las CA.

Autoridades de fechado digital (TSA o time stamping authorities): que vinculan un instante de tiempo a un documento electrónico avalando con su firma la existencia del documento en el instante referenciado (resolverían el problema de la exactitud temporal de los documentos electrónicos).

Estas autoridades pueden materializarse como entes individuales, o como una colección de servicios que presta una entidad multipropósito.

2.3- Definición de Firma Digital

En consecuencia, la firma digital es un bloque de caracteres que acompaña a un documento (o fichero) acreditando quién es su autor (autenticación) y que no ha existido ninguna manipulación posterior de los datos (integridad). Para firmar un documento digital, su autor utiliza su propia clave secreta (sistema criptográfico asimétrico), a la que sólo él tiene acceso, lo que impide que pueda después negar su autoría (no revocación). De esta forma, el autor queda vinculado al documento de la firma. Por último la validez de dicha firma podrá ser comprobada por cualquier persona que disponga de la clave pública del autor.

2.4- Certificado Digital

Un certificado digital es un fichero digital intransferible y no modificable, emitido por una tercera parte de confianza (AC), que asocia a una persona o entidad una clave pública. Un certificado digital que siga el standard X509v3, utilizado por los navegadores, contiene la siguiente información:

  • Identificación del titular del certificado: Nombre, dirección, etc.
  • Clave pública del titular del certificado.
  • Fecha de validez.
  • Número de serie.
  • Identificación del emisor del certificado. [9]

En síntesis, la misión fundamental de los certificados es permitir la comprobación de que la clave pública de un usuario, cuyo conocimiento es imprescindible para autenticar su firma electrónica, pertenece realmente a ese usuario, ya que así lo hace constar en el certificado una autoridad que da fe de ello. Representan además una forma conveniente de hacer llegar la clave pública a otros usuarios que deseen verificar sus firmas. Normalmente, cuando se envía un documento firmado digitalmente, éste siempre se acompaña del certificado del signatario, con el fin de que el destinatario pueda verificar la firma electrónica adjunta.

Estos certificados permiten a sus titulares realizar una gran cantidad de acciones a través de Internet: acceder por medio de su navegador a sitios web restringidos, a los cuales les deberá presentar previamente el certificado, cuyos datos serán verificados y en función de los mismos se le permitirá o denegará el acceso; enviar y recibir correo electrónico cifrado y firmado; entrar en intranets corporativas, e incluso a los edificios o instalaciones de la empresa, donde se le pedirá que presente su certificado, posiblemente almacenado en una tarjeta inteligente; firmar software para su uso en Internet, como applets de Java o controles ActiveX de Microsoft, de manera que puedan realizar acciones en el navegador del usuario que de otro modo le serían negadas; firmar cualquier tipo de documento digital, para uso privado o público; obtener confidencialidad en procesos administrativos o consultas de información sensible en servidores de la Administración; realizar transacciones comerciales seguras con identificación de las partes, como en SSL, donde se autentica al servidor web, y especialmente en SET, donde se autentican tanto el comerciante como el cliente. Actualmente, el estándar de uso en este tipo de certificados es el X.509.v3.

3- Aplicaciones y beneficios de la firma digital

La firma electrónica proporciona un amplio abanico de servicios de seguridad, que superan con creces a los ofrecidos en un contexto físico por el DNI o pasaporte y las firmas manuscritas:

  • Autenticación: permite identificar unívocamente al signatario, al verificar la identidad del firmante, bien como signatario de documentos en transacciones telemáticas, bien para garantizar el acceso a servicios distribuidos en red. En este último caso, la utilización de firmas digitales para acceder a servicios de red o autenticarse ante servidores web evita ataques comunes de captación de contraseñas mediante el uso de analizadores de protocolos (sniffers) o la ejecución de reventadores de contraseñas.
  • Imposibilidad de suplantación: el hecho de que la firma haya sido creada por el signatario mediante medios que mantiene bajo su propio control (su clave privada protegida, por ejemplo, por una contraseña, control biométrico, una tarjeta inteligente, etc.) asegura, además, la imposibilidad de su suplantación por otro individuo.
  • Integridad: permite que sea detectada cualquier modificación por pequeña que sea de los datos firmados, proporcionando así una garantía ante alteraciones fortuitas o deliberadas durante el transporte, almacenamiento o manipulación telemática del documento o datos firmados.
  • No repudio: ofrece seguridad inquebrantable de que el autor del documento no puede retractarse en el futuro de las opiniones o acciones consignadas en él ni de haberlo enviado. La firma electrónica adjunta a los datos, debido a la imposibilidad de ser falsificada, testimonia que él, y solamente él, pudo haberlo firmado.
  • Auditabilidad: permite identificar y rastrear las operaciones llevadas a cabo por el usuario dentro de un sistema informático cuyo acceso se realiza mediante la presentación de certificados, especialmente cuando se incorpora el estampillado de tiempo, que añade de forma totalmente fiable la fecha y hora a las acciones realizadas por el usuario.
  • El acuerdo de claves secretas: garantiza la confidencialidad de la información intercambiada ente las partes, esté firmada o no, como por ejemplo en las transacciones seguras realizadas a través de SSL.

La información contenida en las firmas digitales es completamente segura y fiable, no siendo posible ningún tipo de falsificación o fraude en su verificación. Amén de todas las posibilidades que ofrece el comercio electrónico y el ámbito interno empresarial (vgr.: teletrabajo, entornos virtuales compartidos), debe señalarse que, en el ámbito de la Administración Pública (relación administración – administrado), la firma digital tiene enormes aplicaciones, algunas de las cuales son: presencia de la Administración en la red, consulta de información personal desde Internet, realización de cualquier trámite por Internet (vgr.: pago de tributos), acceso a aplicaciones informáticas de gestión por ciudadanos y empresas, comunicación entre dependencias de distintas administraciones, integración de información al ciudadano desde distintas administraciones, democracia electrónica (vgr.: plesbicitos, sufragio).

Tanto las referidas modalidades de trabajo como el incremento en la velocidad de circulación de la información que permite el documento digital, importaría que las organizaciones de nuestro país ofrezcan un mejor nivel de servicios a sus clientes y simultáneamente reduzcan sus costos, aumentando su productividad y su competitividad en lo que hoy son mercados cada vez más globalizados y competitivos.

4- Proyectos, legislaciones y estándares internacionales

4.1- Estándares Internacionales

La criptografía de clave asimétrica, también denominada criptografía de clave pública, forma parte de los siguientes estándares internacionales:

  1. ISO 9796:
    International Standards Organization (“Organización de Estándares Internacionales”), Norma ISO 9796 de Tecnología de la Información – Técnicas de Seguridad – Mecanismo de Firma Digital (“Information Technology – Security Techniques – Digital Signature Scheme”) (Ver: http://www.iso.ch/cate/d17658.html ).
  2. ANSI X9.31:
    Instituto Americano de Estándares Nacionales (“American National Standards Institute”), estándar X9.31 de Autenticado de Mensajes para Instituciones Financieras (“Financial Institution Message Authentication“) para el sistema bancario estadounidense (Ver: http://www.x9.org ).
  3. ITU-T X.509:
    Unión Internacional de Telecomunicaciones, Sector de Estandarización de Telecomunicaciones (“International Telecommunication Union, Telecommunication Standardization Sector”), estándares X.509 de Tecnología de la Información – Interconexión de Sistemas Abiertos – El Directorio: Marco para el Autenticado (“Information Technology – Open Systems Interconnection – The Directory: Authentication Framework”) (Ver: http://www.itu.int/itudoc/itu-t/rec/x/x500up/x509_27505.html).
  4. PKCS:
    Estándares de Criptografía de Clave Pública (“Public Key Cryptography Standards”) desarrollados por RSA Corporation, en forma conjunta con Apple, Microsoft, Digital, Lotus, Sun y Massachussets Institute of Technology. (Ver: http://www.rsa.com/rsalabs/pubs/PKCS)
  5. SWIFT:
    Sociedad para las Telecomunicaciones Financieras Interbancarias Mundiales (“Society for Worldwide Interbank Financial Telecommunications”) (Ver: https://www.swift.com/).
  6. ETEBAC:
    Sistema Financiero Francés, estándar 5. (Ver: http://www.afb.fr/catalog/p18b1. html ).
4.2- Antecedentes Internacionales

En el plano internacional tienen lugar actualmente múltiples actividades y debates en torno a los aspectos legales de la firma digital:

  1. La Comisión Europea ha redactado su borrador final de Directiva de Firma Digital (“Propuesta de Directiva del Parlamento Europeo y el Consejo sobre un Marco Común Para las Firmas Electrónicas”) del 13 de mayo de 1998, publicado en el Diario Oficial de las Comunidades Europeas del 23 de octubre de 1998, que establece las pautas para la utilización de la firma digital por los Estados miembros. (Ver: http://www.mbc.com/legis/eu-digsig-dir.html, y http://www.cnv. gov.ar/FirmasDig/Internacional/DirectivaFirmaDigitalComEurop_Esp.htm)
  2. La Comisión de las Naciones Unidas para el Derecho Comercial Internacional (UNCITRAL) ha aprobado una Ley-Modelo sobre Comercio Electrónico y ha comenzado a trabajar en la preparación de normas uniformes en materia de firma digital, cuyas directivas han sido tomadas como base por la mayoría de los países latinoamericanos que legislaron en la materia, por su ductilidad para adaptarse a sus necesidades. (Ver: http://www.un.or.at/uncitral/english/sessions/wg_ec/wp-79.htm y http://www.un.or.at/uncitral/english/texts/electcom/ml-ec.htm o http://www.cnv.gov.ar/FirmasDig/default.htm para una traducción al español)
  3. La Organización de Cooperación y Desarrollo Económico (OCDE) prosigue sus trabajos en este ámbito, a modo de continuación de sus pautas de política criptográfica de 1997. Otras organizaciones internacionales, como la Organización Mundial del Comercio (OMC), han empezado también a interesarse en el tema.
  4. El Comité de Seguridad de la Información de la Sección de Ciencia y Tecnología de la American Bar Association (“ABA” – Asociación de Abogados de los EE.UU.) redactó su Normativa de Firma Digital en 1996, en la que participaron casi ochenta profesionales de las disciplinas del derecho, la informática y la criptografía de los sectores público y privado, en la que especifica un mecanismo de firma digital a base a critpografía asimétrica, los certificados de clave pública y los certificadores de clave pública. (Ver: http://www.abanet.org/scitech/ec/isc/dsg-toc.html).
4.3- Actividades por paises relativas a la sanción de normas en la materia

Varios países desarrollan ya actividades normativas pormenorizadas en relación con la firma digital:

PaísEstado de avance de la actividad legislativa de firma digital
Alemania
  • Ley y decreto promulgados en materia de firma digital, estableciendo las condiciones para considerar segura una firma digital; acreditación voluntaria de proveedores de servicios de certificación;
  • Elaboración de un catálogo de medidas de seguridad adecuadas;
  • Consulta pública en curso sobre los aspectos jurídicos de la firma digital y de los documentos firmados digitalmente.
Australia
  • Estrategia para la creación de una infraestructura de firma digital que asegure la integridad y autenticidad de las transacciones efectuadas en el ámbito gubernamental y en su relación con el sector privado.
  • Prevé la creación de una autoridad pública que administre dicha infraestructura y acredite a los certificadores de clave pública (Proyecto “Gatekeeper”).
Bélgica
  • Ley de telecomunicaciones: Régimen voluntario de declaración previa para los certificadores de clave pública ;
  • Proyecto de ley de certificadores de clave pública relacionados con la firma digital;
  • Proyecto de ley de modificación del Código Civil en materia de prueba digital;
  • Proyecto de ley sobre la utilización de la firma digital en los ámbitos de la seguridad social y la salud pública.
Brasil
  • Proyecto de ley sobre creación, archivo y utilización de documentos electrónicos.
Chile
  • Proyecto de ley sobre documento electrónico que regula la utilización de la firma digital y el funcionamiento de los certificadores de clave pública.
Colombia
  • Proyecto de ley que define y reglamenta el acceso y uso del comercio electrónico, firmas digitales y autoriza los certificadores de clave pública .
Dinamarca
  • Proyecto de ley de utilización segura y eficaz de la comunicación digital.
Finlandia
  • Proyecto de ley de intercambio electrónico de datos en la administración y los procedimientos judiciales administrativos;
  • Proyecto de ley por la que la Oficina del Censo actuará como certificador de clave pública .
Francia
  • Ley de telecomunicaciones (decretos de autorizaciones y exenciones):
  • suministro de productos de firma digital sujeto a procedimiento de información;
  • libertad de uso, importación y exportación de productos y servicios de firma digital;
  • Normativa sobre utilización de la firma digital en los ámbitos de la seguridad social y la sanidad pública.
Italia
  • Ley general de reforma de los servicios públicos y simplificación administrativa promulgada: Principio del reconocimiento legal de los documentos digitales;
  • Decreto de creación, archivo y transmisión de documentos y contratos digitales;
  • Decreto regulador de productos y servicios, en preparación;
  • Decreto sobre las obligaciones fiscales derivadas de los documentos digitales, en preparación.
España
  • Circulares de la dirección de Aduanas sobre utilización de la firma digital;
  • Resolución en el ámbito de la seguridad social que regula la utilización de medios digitales;
  • Leyes y circulares en materia de hipotecas, fiscalidad, servicios financieros y registro de empresas que autorizan el uso de procedimientos digitales;
  • Ley de presupuestos de 1998, por la que la Casa de la Moneda actuará como certificador de clave pública .
EE.UU.Iniciativas del Gobierno Federal:

  • Iniciativa sobre la creación de una infraestructura de clave pública para el comercio electrónico.
  • Ley que autoriza la utilización de documentación electrónica en la comunicación entre las agencias gubernamentales y los ciudadanos, otorgando a la firma digital igual validez que la firma manuscrita. (Ley Gubernamental de Reducción de la Utilización de Papel – “Government Paperwork Elimination Act”).
  • Ley que promueve la utilización de documentación electrónica para la remisión de declaraciones del impuesto a las ganancias.
  • Proyecto piloto del IRS (Dirección de Rentas – “Internal Revenue Service”) para promover la utilización de la firma digital en las declaraciones impositivas.
  • Proyecto de ley de Firma Digital y Autenticación Electrónica para facilitar el uso de tecnologías de autenticación electrónica por instituciones financieras.
  • Proyecto de ley que promueve el reconocimiento de técnicas de autenticación electrónica como alternativa válida en toda comunicación electrónica en el ámbito público o privado.
  • Resolución de la Reserva Federal regulando las transferencias electrónicas de fondos.
  • Resolución de la FDA (Administración de Alimentos y Medicamentos – “Food and Drug Administration”) reconociendo la validez de la utilización de la firma electrónica como equivalente a la firma manuscrita.
  • Iniciativa del Departamento de Salud proponiendo la utilización de la firma digital en la transmisión electrónica de datos en su jurisdicción.
  • Iniciativa del Departamento del Tesoro aceptando la recepción de solicitudes de compra de bonos del gobierno firmadas digitalmente.

Iniciativas de los Gobiernos Estatales

  • Casi todos los estados tienen legislación, aprobada o en proyecto, referida a la firma digital. En algunos casos, las regulaciones se extienden a cualquier comunicación electrónica pública o privada. En otros, se limitan a algunos actos internos de la administración estatal o a algunas comunicaciones con los ciudadanos.
  • Se destaca la Ley de Firma Digital del Estado de Utah, que fue el primer estado en legislar el uso comercial de la firma digital. Regula la utilización de criptografía asimétrica y fue diseñada para ser compatible con varios estándares internacionales. Prevé la creación de certificadores de clave pública licenciados por el Departamento de Comercio del Estado. Además, protege la propiedad exclusiva de la clave privada del suscriptor del certificado, por lo que su uso no autorizado queda sujeto a responsabilidades civiles y criminales.
Malasia
  • Ley de firma digital, aprobada y pendiente de promulgación, que otorga efecto legal a su utilización y regula el licenciamiento de los certificadores de clave pública.
  • Proyecto piloto de desarrollo de infraestructura de firma digital.
Países Bajos
  • Régimen voluntario de acreditación para los certificadores de clave pública, en preparación;
  • Normativa fiscal que prevé la presentación digital de la declaración de ingresos;
  • Proyecto de ley de modificación del Código Civil, en preparación.
Reino Unido
  • Proyectos legislativos en materia de concesión de licencias voluntarias a los certificadores de clave pública y reconocimiento legal de la firma digital.

Otras legislaciones:

  • AUSTRIA. Federal Electronic Signature Law – (Signature Law – SigG). Enero de 2000.
  • ECUADOR. Proyecto de Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos.
  • GUATEMALA. Proyecto de Ley de Comercio Electrónico y Firma Digital.
  • JAPON. Law Concerning Electronic Signatures and Certification Services. May 24th, 2. 1º de abril de 2001.
  • MEXICO. Convenio de Colaboración para participar en los programas de modernización registral y de economía digital, que celebran la Secretaría de Economía y la Asociación Nacional del Notariado Mexicano, A.C.
  • PERU. Ley que modifica el Código Civil permitiendo la utilización de los medios electrónicos para la comunicación de la manifestación de la voluntad y la utilización de la firma electrónica. Ley 27269 – de Firmas y certificados digitales.
4.3- Antecedentes Nacionales

1. Decreto Nº 427/98 del PODER EJECUTIVO – Firmas Digitales para la Administración Pública Nacional. Autoriza el empleo de la firma digital en la instrumentación de los actos internos del Sector Público Nacional, que no produzcan efectos jurídicos individuales en forma directa. La firma digital tiene los mismos efectos de la firma manuscrita, siempre que se hayan cumplido los recaudos establecidos y dentro del ámbito de aplicación en el Sector Público Nacional, dentro del cual se comprende la administración centralizada y la descentralizada, los entes autárquicos, las empresas del Estado, las Sociedades del Estado, las Sociedades Anónimas con participación estatal mayoritaria, los bancos y entidades financieras oficiales y todo otro ente, cualquiera sea su denominación o naturaleza jurídica, en que el Estado Nacional o sus organismos descentralizados tengan participación suficiente para la formación de sus decisiones.

La correspondencia entre una clave pública, elemento del par de claves que permite verificar una firma digital, y el agente titular de la misma, se acredita mediante un certificado de clave pública emitido por un certificador de clave pública. Se establecen los requisitos y condiciones para la vigencia y validez de los certificados de clave pública (emisión, aceptación, revocación, expiración y demás contingencias del procedimiento), así como las condiciones bajo las cuales deben operar los certificadores de clave pública licenciados integrantes de la citada Infraestructura de Firma Digital para el Sector Público Nacional.

El Decreto fue redactado por el Sub-Comité de Firma Digital del CUPI (“Comité de Usuarios de Procesamiento de Imágenes”), convocado por el BANCO CENTRAL DE LA REPUBLICA ARGENTINA y del que participaron representantes de distintos organismos estatales.

(Ver: http://www.pki.gov.ar/PKIdocs/Dec427-   8.html    /http://infoleg.mecon.ar/txtnorma/50410.htm)

2. Resolución MTSS nº 555/97 MINISTERIO DE TRABAJO Y SEGURIDAD SOCIAL – Normas y Procedimientos para la Incorporación de Documentos y Firma Digital. Define el documento digital, la firma digital, el certificador de clave pública, el certificado, la clave privada, la clave pública y establece que los documentos digitales se considerarán válidos y eficaces, surtiendo todos los efectos legales y probatorios cuando estén firmados digitalmente.

3. Resolución SAFJP Nº 293/97 SUPERINTENDENCIA DE ADMINISTRADORAS DE FONDOS DE JUBILACION Y PENSIONES – Incorporación del Correo Electrónico con Firma Digital. Establece que los CD-ROMs remitidos por las Administradoras de Fondos de Jubilaciones y Pensiones, debidamente identificados por el Sistema, serán válidos y eficaces, surtiendo todos los efectos legales y probatorios, a partir de la fecha y hora en que queden disponibles en las bandejas de entrada y que la firma electrónica o clave de seguridad habilitante para acceder al sistema poseerá el mismo valor legal que la firma manuscrita.

(Ver: http://infoleg.mecon.ar/txtnorma/43569.htm)

4. Resolución SFP Nº 45/97 SECRETARIA DE LA FUNCION PUBLICA – Incorporación de Tecnología de Firma Digital a los Procesos de Información del Sector Público. La SECRETARIA DE LA FUNCION PUBLICA adhiere y hace suyos los conceptos vertidos por el Sub-Comité de Criptografía y Firma Digital del CUPI en el documento “Pautas Técnicas en la Materia de Normativa de Firma Digital” y autoriza el empleo de ésta tecnología para la promoción y difusión del documento y la firma digital en el ámbito de la Administración Pública Nacional.

(Ver: http://www.pki.gov.ar/PKIdocs/Res457.htmlhttp://www.sfp.gov.ar/res45.html ).

5. Resolución SFP Nº 194/98 SECRETARIA DE LA FUNCION PUBLICA – Estándares Aplicables a la Infraestructura de Firma Digital para el Sector Público Nacional del Decreto Nº 427/98. La SECRETARIA DE LA FUNCION PUBLICA dicta los estándares de homologación de algoritmos criptográficos para la Infraestructura de Clave Pública de la Administración Pública Nacional. (Ver: http://infoleg.mecon.ar/txtnorma/54714.htmhttp://ol.pki.gov.ar/standard/actual.html).

6. Resolución SFP Nº 212/97 SECRETARIA DE LA FUNCION PUBLICA – Políticas de Certificación para el Licenciamiento de Autoridades Certificantes. La SECRETARIA DE LA FUNCION PUBLICA dicta los estándares de licenciamiento y operación de las autoridades certificantes de la Administración Pública Nacional. (Ver: http://ol.pki.gov.ar/policy/actual.html-http://infoleg.mecon.ar/txtnorma/55346.htm).

7. Anteproyecto de Ley de Firma Digital (Comisión interdisciplinaria redactora del Ministerio de Justicia de la Nación). Apunta a asegurar el buen funcionamiento de las firmas digitales, instituyendo un marco jurídico homogéneo y adecuado para el uso de estas firmas en el país y definiendo un conjunto de criterios que constituyen los fundamentos de su validez jurídica. Implementa un marco jurídico Nacional que garantiza que la fuerza ejecutoria, el efecto o la validez jurídica de una firma digital no sea cuestionado por el solo motivo de que la firma se presenta bajo la forma de datos digitales, de que ella no se base en un certificado emitido por un certificador de clave pública licenciado, y que las firmas digitales sean reconocidas al nivel jurídico de la misma manera que las firmas manuscritas. Adicionalmente, los regímenes nacionales de admisibilidad de pruebas se extienden para incluir la utilización de firmas digitales.

En el marco de la legislación nacional, el principio de la libertad contractual permite a las partes contrayentes convenir entre ellas la modalidad de sus transacciones, es decir, si ellas aceptan o no las firmas digitales. Los certificadores de clave pública prestatarios de servicios de certificación pueden ofrecer sus servicios sin la obligación de obtener una licencia. El reconocimiento jurídico de firmas digitales debe reposar sobre criterios objetivos, transparentes, no discriminatorios y proporcionales, que no deben ser condicionados a ninguna autorización o licenciamiento del prestatario del servicio respectivo. Las exigencias comunes aplicables a los prestatarios de servicios de certificación deben permitir el reconocimiento internacional de firmas y certificados para los países del Mercosur y del mundo que cuentan con un marco normativo compatible.

En materia de responsabilidad, las reglas comunes deben contribuir a suscitar la confianza de los usuarios y de los suscriptores y de las organizaciones, que confíen en los certificados y en los prestatarios de servicios y promover así una amplia difusión de las firmas digitales.

8. Régimen de Contrataciones de la Administración Nacional (Decreto 1023/2001.Régimen General. Contrataciones Públicas Electrónicas. Contrataciones de Bienes y Servicios. Obras Públicas. Disposiciones Finales y Transitorias). Tiene por objeto que las obras, bienes y servicios sean obtenidos con la mejor tecnología proporcionada a las necesidades, en el momento oportuno y al menor costo posible, como así también la venta de bienes al mejor postor, coadyuvando al desempeño eficiente de la Administración y al logro de los resultados requeridos por la sociedad. Aplicación a los procedimientos de contratación en los que sean parte las jurisdicciones y entidades comprendidas en el inciso a) del artículo 8° de la Ley nº 24.156.

Las contrataciones comprendidas en este régimen podrán realizarse en formato digital firmado digitalmente, utilizando los procedimientos de selección y las modalidades que correspondan. Las jurisdicciones y entidades comprendidas en el artículo 2° estarán obligadas a aceptar el envío de ofertas, la presentación de informes, documentos, comunicaciones, impugnaciones y recursos relativos a los procedimientos de contratación establecidos en este régimen, en formato digital firmado digitalmente, conforme lo establezca la reglamentación.

Se considerarán válidas las notificaciones en formato digital firmado digitalmente, en los procedimientos regulados por el presente. Se considera que los actos realizados en formato digital firmados digitalmente cumplen con los requisitos del artículo 8° de la Ley nº 19.549, su modificatoria y normas reglamentarias, en los términos establecidos en las disposiciones referentes al empleo de la firma digital en el Sector Público Nacional, las que se aplicarán, en el caso de las contrataciones incluidas en los artículos 4° y 5° de este régimen, aún a aquellos actos que produzcan efectos individuales en forma directa. Los documentos digitales firmados digitalmente tendrán el mismo valor legal que los documentos en soporte papel con firma manuscrita, y serán considerados como medio de prueba de la información contenida en ellos.

9. Media Sanción en Diputados:15 de agosto de 2001. LEY DE FIRMA DIGITAL. Se reconoce el empleo de la firma electrónica y de la firma digital y su eficacia jurídica en las condiciones que establece la presente ley. Se entiende por firma digital al resultado de aplicar a un documento digital un procedimiento matemático que requiere información de exclusivo conocimiento del firmante encontrándose bajo su absoluto control. La firma digital debe ser susceptible de verificación por terceras partes tal que dicha verificación simultáneamente permita identificar al firmante y detectar cualquier alteración del documento digital posterior a su firma.

Los procedimientos de firma y verificación a ser utilizados para tales fines serán los determinados por la Autoridad de Aplicación en consonancia con estándares tecnológicos internacionales vigentes.

Las disposiciones de esta ley no son aplicables: a) a las disposiciones por causa de muerte; b) a los actos jurídicos del derecho de familia; c) a los actos personalísimos en general; d) a los actos que deban ser instrumentados bajo exigencias o formalidades incompatibles con la utilización de la firma digital, ya sea como consecuencia de disposiciones legales o acuerdo de partes.

Se entiende por firma electrónica al conjunto de datos electrónicos integrados, ligados o asociados de manera lógica a otros datos electrónicos, utilizado por el signatario como su medio de identificación, que carezca de alguno de los requisitos legales para ser considerada firma digital. En caso de ser desconocida la firma electrónica corresponde a quien la invoca acreditar su validez.

Se entiende por documento digital a la representación digital de actos o hechos, con independencia del soporte utilizado para su fijación, almacenamiento o archivo. Un documento digital también satisface el requerimiento de escritura.

Se presume, salvo prueba en contrario, que toda firma digital pertenece al titular del certificado digital que permite la verificación de dicha firma. Una firma digital es válida si cumple con los siguientes requisitos: a) haber sido creada durante el período de vigencia del certificado digital válido del firmante; b) ser debidamente verificada por la referencia a los datos de verificación de firma digital indicados en dicho certificado según el procedimiento de verificación correspondiente; y c) que dicho certificado haya sido emitido o reconocido, según el artículo 16 de la presente, por un certificador licenciado.

Cuando un documento digital sea enviado en forma automática por un dispositivo programado y lleve la firma digital del remitente se presumirá, salvo prueba en contrario, que el documento firmado proviene del remitente. Se entiende por certificado digital al documento digital firmado digitalmente por un certificador, que vincula los datos de verificación de firma a su titular.

Los certificados digitales para ser válidos deben: a) ser emitidos por un certificador licenciado por el Ente Licenciante; b) responder a formatos estándares reconocidos internacionalmente fijados por la Autoridad de Aplicación y contener, como mínimo, los datos que permitan: identificar indubitablemente a su titular y al certificador licenciado que lo emitió, indicando su período de vigencia y los datos que permitan su identificación única; verificar su estado de revocación; diferenciar claramente la información verificada de la no verificada incluídas en el certificado; contemplar la información necesaria para la verificación de la firma; identificar la política de certificación bajo la cual fue emitido.

Los certificados digitales emitidos por certificadores extranjeros podrán ser reconocidos en los mismos términos y condiciones exigidos en la ley y sus normas reglamentarias cuando: reúnan las condiciones que establece la presente ley y la reglamentación correspondiente para los certificados emitidos por certificadores nacionales y se encuentre vigente un acuerdo de reciprocidad firmado por la República Argentina y el país de origen del certificador extranjero, o; tales certificados sean reconocidos por un certificador licenciado en el país, que garantice su validez y vigencia conforme a la presente ley.

Se entiende por certificador licenciado a toda persona de existencia ideal, registro público de contratos u organismo público que expide certificados y presta otros servicios en relación con la firma digital y cuenta con una licencia para ello, otorgada por el Ente Licenciante. La Autoridad de Aplicación, con el concurso de la Comisión Asesora para la Infraestructura de Firma Digital, diseñará un sistema de auditoría para evaluar la confiabilidad y calidad de los sistemas utilizados, la integridad, confidencialidad y disponibilidad de los datos, como así también el cumplimiento con las especificaciones del manual de procedimientos y los planes de seguridad y de contingencia aprobados por el Ente Licenciante.

La Autoridad de Aplicación de la presente ley será la JEFATURA DE GABINETE DE MINISTROS. Se crea la Comisión Asesora para la Infraestructura de Firma Digital y se establece un régimen de responsabilidad y sanciones para los Entes Certificadores Licenciados.

5- Conclusión

Es indiscutible que las nuevas tecnologías de la información se presentan como una oportunidad inmejorable para que los países menos desarrollados o emergentes puedan achicar la brecha que los separa con los denominados países del primer mundo.

La firma digital es un instrumento más que permite la adaptación a este nuevo paradigma socio-económico-cultural, que posibilita la expansión del comercio dentro de esta nueva economía digital globalizada, rediseña las relaciones laborales y la interacción humana y, a su vez, en el ámbito administrativo o gubernamental, optimiza la eficiencia a un bajo costo, con intervención y participación de los administrados (ciudadanos), lo que importa dotar al sistema de una mayor transparencia y obtener la consecuente reducción del gasto público y restablecer la credibilidad en las instituciones democráticas, algo que debe garantizar todo Estado social de Derecho.

1 Trabajo presentado por el Dr. Hugo Daniel CARRION (Abogado especialista en Derecho Penal. Secretario de la Sala Tercera de la Cámara de Apelación y Garantías en lo Penal del Departamento Judicial de Lomas de Zamora, Provincia de Buenos Aires, República Argentina) en el marco de la Maestría en Derecho, Ciencia y Tecnologías de la Información dictada por la Universidad del Museo Social Argentino y la Universidad de Burgos (España). Materia: Sistemas jurídicos comparados.

2 Alvin y Heidi TOFFLER, “La nueva economía apenas comienza”, La Nación, 9 de mayo de 2001.

3 Manuel CASTELLS, “Globalización, sociedad y política en la era de la información”, Ponencia presentada por el autor en el Auditorio León de Greiff de la Universidad Nacional de Colombia el 7 de mayo de 1999.

4 GUTIERREZ FRANCES, M. Luz, “Fraude informático y estafa”, Ministerio de Justicia, Secretaría General Técnica, Centro de Publicaciones, Madrid, 1991, pág. 41.

5 PEREZ LUÑO, A. E. (1987 b): “Nuevas tecnologías, sociedad y derecho. El impacto socio-jurídico de las N.T. de la información”, Fundesco, Madrid.

6 GARCIA-PABLOS MOLINA, A., “Informática y Derecho Penal”, en Implicaciones socio-jurídicas de las tecnologías de la información, Citema, Madrid, 1984, pp. 39-40.

7 FROSINI, V., Cibernética, Derecho y Sociedad, Tecnos, Madrid, 1982, pp. 173-175.

8 RAMOS SUAREZ, Fernando. “La firma digital: aspectos técnicos y legales”. Revista Electrónica de Derecho Informático nº 35 – http://publicaciones.derecho.org/redi/

9 MARTINEZ, Fernando. “Qué son los certificados digitales”.Publicado en el Boletín del Criptonomicón.

26Jun/00

Ley 27310 Certificados de Firmas Digitales

Ley, Perú,

EL PRESIDENTE DE LA REPÚBLICA

POR CUANTO:

EL CONGRESO DE LA REPÚBLICA;

Ha dado la Ley siguiente:

LEY QUE MODIFICA EL ARTÍCULO 112 DE LA LEY NÚMERO 27.269

Objeto de la ley

Modificase el Artículo 110 de la Ley NÚMERO 27.269, el mismo que quedará redactado de la siguiente manera:

Artículo 110.

Los Certificados de Firmas Digitales emitidos por Entidades Extranjeras tendrán la misma validez y eficacia jurídica reconocidas en la presente Ley, siempre y cuando tales certificados sean reconocidos por la autoridad administrativa competente.

Comuníquese al señor Presidente de la República para su promulgación.

En Lima, a los veintiséis días del mes de junio del dos mil.