Informática
Firma electrónica en Chile
“Trabajo de Legislación, Firma Electrónica, un avance para un País.”
INDICE
INTRODUCCIÓN……………………………………………………………………………4-5 Págs.
FIRMA DIGITAL………………………………………………………………………………………6-12 Págs.
DEFINICION…………………………………………………………………………………...6-7 Págs.
IMPORTANCIA……………………………………………………………………………………7 Pág.
VENTAJAS …………………………………………………………………………………….7-8 Págs.
CARACTERISTICAS……………………………………………………………………………..8 Pág.
FUNCIONAMIENTO…………………………………………………………………………9-12 Págs.
METODOS CRIPTOGRAFICOS……………………………………………...9-11 Págs.
CIFRADO SIMETRICO O DE SECRETO COMPARTIDO……………………..11Pág.
METODOS ASIMETRICOS O DE CLAVE PUBLICA……………………..11-12 Págs.
FIRMA COMO SIMBOLO………………………………………………………………….12-13 Págs.
SEGURIDAD EN LA FIRMA DIGITAL………………………………………………………...14 Pág.
APLICACIONES …………………………………………………………………………...14-15 Págs.
ENTIDADES DE CERTIFICACION - EJEMPLO DE VERISIGN …………………….15-16 Págs.
INFRAESTRUCTURA DE FIRMA DIGITAL PARA EL SECTOR PUBLICO NACIONAL…………………………………………………………………………………17-21 Págs.
ORGANISMO LICENCIANTE……………………………………………………..17 Pág.
ORGANISMO AUDITANTE……………….………………………………………17 Pág.
AUTORIDADES CERTIFICANTES LICENCIADAS…………………………….18 Pág.
LABORATORIO DE FIRMA DIGITAL……………………………………………18 Pág.
COMPROBACION DE LA IDENTIDAD DEL FIRMANTE Y DE LA INTEGRIDAD DEL MENSAJE …………………………………………………………………….19 Pág.
CERTIFICADO DIGITAL PROPIO ……………………………………………….19 Pág.
OBTENCION DE UNA FIRMA DIGITAL …………………………………19-20 Págs.
ORGANISMOS QUE UTILIZAN FIRMA DIGITAL ……………………….20-21 Págs.
MARCO LEGAL ………………………………………………………………………….22-30 Págs.
LEY CHILENA SOBRE FIRMA DIGITAL………………………………………………..30-49 Págs.
OBJETIVOS DEL LEGISLADOR…………………………………………..32 Pág.
DISTINGO ENTRE LA FIRMA Y LA TECNOLOGIA UTILIZADA PARA FIRMAR …………………………………………………………………32-33 Págs.
DISTINGO ENTRE FIRMA ELECTRONICA Y FIRMA DIGITAL …………………………………………………………………………………33 Pág.
ELEMENTOS DE LA FIRMA DIGITAL……………………………….33-34 Págs.
NOCION DE FIRMA DIGITAL EN LA LEY ………………………….34-35 Págs.
REQUISITOS DE VALIDEZ ………………………………………………..35 Pág.
EQUIPARACION DE LOS EFECTOS JURIDICOS Y AMBITOS DE APLICACIÓN ………………………………………………………………36 Pág.
DOCUMENTO DIGITAL ……………………………………………….36 -38Págs.
LA FIRMA Y EL DOCUMENTO ELECTRONICO…………………...38-44 Págs.
CERTIFICADOS DIGITALES ..……………………………………….44-49 Págs.
ORGANIZACION INSTITUCIONAL ……………………………………………………..50-53 Págs.
SUPERVISIÓN Y CONTROL…………………………………………………………………..53 Pág.
INSTANCIAS QUE INTERVIENEN EN LA EMISIÓN DE CERTIFICADOS………………53 Pág.
ELEMENTOS DE SEGURIDAD ………………………………………………………………53 Pág.
VALOR PROBATORIO ………………………………………………………………………...53 Pág.
RECONOCIMIENTO DE CERTIFICADOS EXTRANJEROS………………………………53 Pág.
CONCLUSIÓN…………………………………………………………………………………………..54 Pág.
BIBLIOGRAFIA…………………………………………………………………………………………...55 Pág.
INTRODUCCIÓN
En el presente trabajo expondremos, dada la reciente aprobación de la ley de firma digital en nuestro país, el funcionamiento de la misma, tanto en el sector público nacional como en el ámbito privado.
La finalidad de nuestro esfuerzo consiste en dilucidar si es conveniente o no sancionar legislación integral sobre el tema y, en caso afirmativo, determinar los alcances de la misma.
En efecto, desde que se comenzó a usar la firma en el documento escrito, o sus equivalentes como los sellos, ha tenido gran importancia cumpliendo funciones que más adelante detallaremos.
Sin embargo, nos enfrentamos ahora a la problemática del documento electrónico en el cual nos vemos imposibilitados de firmar por las características que le son propias. Ello nos obliga a un estudio más detallado de su naturaleza, funciones y trascendencia con el objeto de encontrar la manera de sustituir sus funciones con otros métodos en los casos en que sea necesario y posible.
Uno de los grandes problemas que enfrenta el comercio electrónico es la seguridad de la transacción. Hoy en Internet se trabaja en base a la informalidad y la buena fe. Nadie sabe a ciencia cierta quién es la otra parte con la cual se hacen negocios.
Pero a partir de agosto de este año, el panorama será distinto en nuestro país ya que comenzará a operar la primera entidad nacional de certificaciones electrónicas, conocida como E-CertChile.
Los encargados de sacar adelante este proyecto son la Cámara de Comercio de Santiago (http://www.ccs.cl/), junto a la Asociación Chilena de Empresas de Tecnologías de la Información, ACTI (http://www.acti.cl/). Ambas entidades firmaron,un acuerdo con la Corfo, la cual, a través de su programa FDI, Fondo de Desarrollo e Innovación, asignó 300 mil dólares para su financiamiento.
La función de E-CertChile será otorgar certificados electrónicos a empresas y personas naturales que compran o venden a través de internet. Con ello, el documento electrónico, a través de la firma digital, podrá ser usado como medio de prueba en caso de controversias mercantiles entre dos partes.
En este sentido, Claudio Ortiz, gerente general de la Cámara de Comercio de Santiago, asegura que "la firma digital tiene mucho mayor validez que una firma en papel cuando se trata de determinar si las partes que intervienen en una transacción son realmente las que dicen ser y si el contenido de un contrato ha sido alterado o no posteriormente".
Si bien esta herramienta irá en concordancia con el proyecto de ley que se tramita en el congreso, Claudio Ortiz afirma que "la idea es adelantarnos a la ley sobre documento electrónico para que una vez que salga, el sistema ya esté implementado en el país".
En estos momentos, la CCS y la ACTI han iniciado un llamado a licitación para las empresas que aportarán el software que actuará como entidad certificadora. Los postulantes son alrededor de cinco empresas internacionales, tanto de Estados Unidos como de Europa, que ofrecen un programa estandarizado a nivel internacional y compatible con el protocolo SET.
Con la presencia del Presidente Ricardo Lagos y de los Ministro de Hacienda y Economía fue promulgada hoy la ley de Firma Digital.
El Primer Mandatario resaltó que "la innovación es una herramienta poderosísima para poder generar progreso económico y social".
El Presidente de la República, Ricardo Lagos, promulgó el 25 de Marzo de 2002, la Ley 19.799 de Firma Digital que regula las operaciones comerciales que se realizan en Chile a través de Internet, para estar completamente operativa durante el segundo semestre del año; haciendo de Chile, uno de los pocos países de Latinoamérica que aprueba una ley de esta naturaleza, tal como lo han hecho ya la Comunidad Europea (nov 1999) y Estados Unidos (julio 2000).
"Esta norma apunta a regular legalmente las operaciones comerciales que se efectúan a través de internet, para así dar mayor confianza a los capitalistas extranjeros para que inviertan", aseguró el ministro de Economía, Jorge Rodríguez Grossi. La aprobación de la firma digital proporciona al país un instrumento que le permitirá avanzar en las nuevas tecnologías del comercio electrónico, ofreciendo a las personas naturales y jurídicas chilenas una herramienta que las haga más competitivas en sus relaciones comerciales nacionales e internacionales. También los órganos del Estado podrán ejecutar o realizar actos, celebrar contratos y emitir documentos suscribiéndolos por este sistema. Los particulares podrán relacionarse con esas entidades a través de medios electrónicos y utilizando la firma digital, si se ajustan a las normas de procedimiento descritas en la ley.
FIRMA DIGITAL
DEFINICION
Proviene del latín "firmare" que significa corroborar o confirmar el contenido de un documento, lo cual se hacía poniendo la mano sobre él y después suscribiéndolo.
Según el Diccionario de la Lengua Española de la Real Academia, la firma es el " Nombre y apellido, o título, que una persona escribe de su propia mano en un documento, para darle autenticidad o para expresar que aprueba su contenido".
Couture define la firma como "trazado gráfico, conteniendo habitualmente el nombre, apellido y rúbrica de una persona, con el cual se suscriben los documentos para darles autoría y obligarse con lo que en ellos se dice".
Planiol y Ripert dicen que: "La firma es una inscripción manuscrita que indica el nombre de una persona que entiende hacer suya las declaraciones del acto".
Acosta Romero considera que "la firma es el conjunto de letras o signos que identifican a la persona que la estampa con un documento o texto".
El Uniform Commercial Code de los EE.UU. establece en su sección 1-201 respecto de la expresión signed (firmado): "Includes any symbol executed or adopted by a party with present intention to authenticate a writing" ("Incluye cualquier símbolo realizado o adoptado por una parte con la actual intención de autentificar un escrito"). Como podemos observar, esta definición puede incluir un número muy amplio de "formas" de firmar, no sólo la clásica que todos conocemos.
Llambias dice que la firma es "El trazo peculiar mediante el cual el sujeto consigna habitualmente su nombre y apellido o sólo su apellido, a fin de hacer constar las manifestaciones de su voluntad".
Vélez Sarsfield dice que "Es el nombre escrito de una manera particular, según el modo habitual seguido por la persona en diversos actos sometidos a esta formalidad".
Debemos observar que las dos últimas definiciones hacen hincapié en la habitualidad de la firma, receptando la corriente doctrinaria tradicional. Sin embargo, la doctrina moderna sostiene que la habitualidad no hace a la esencia de la firma sino la comprobación de su autenticidad a través del cotejo con otras registradas en asientos indubitables.
La firma digital puede ser definida como una secuencia de datos electrónicos (bits) que se obtienen mediante la aplicación a un mensaje determinado de un algoritmo (fórmula matemática) de cifrado asimétrico o de clave pública, y que equivale funcionalmente a la firma autógrafa en orden a la identificación del autor del que procede el mensaje. Desde un punto de vista material, la firma digital es una simple cadena o secuencia de caracteres que se adjunta al final del cuerpo del mensaje firmado digitalmente.
Este instrumento que permite, entre otras cosas, determinar de forma fiable si las partes que intervienen en una transacción son realmente las que dicen ser, y si el contenido del contrato ha sido alterado o no posteriormente. También es un conjunto de datos asociados a un mensaje que permite asegurar la identidad del firmante y la integridad del mensaje. La firma digital no implica que el mensaje esté encriptado, es decir, que este no pueda ser leído por otras personas; al igual que cuando se firma un documento holográficamente este puede ser visto por otras personas.
En jurisdicciones de todo el mundo, las firmas digitales ganan gradualmente el mismo peso legal que la firma manuscrita. No es una firma escrita, sino un software. Se basa en algoritmos que trabajan con números de hasta 2048 bits. La parte visible de la rúbrica es el nombre del firmante, pero también puede incluir el nombre de una compañía y el cargo.
IMPORTANCIA
Radica en que ella implica la asunción de autoría de una declaración de voluntad por parte del sujeto que suscribe el documento de tal manera que, aun cuando haya redactado íntegramente el texto, no le podrá ser imputado sin que antes haya estampado su firma.
VENTAJAS
Gracias a la firma digital, los ciudadanos podrán realizar transacciones de comercio electrónico seguras y relacionarse con la Administración con la máxima eficacia jurídica, abriéndose por fin las puertas a la posibilidad de obtener documentos como la cédula de identidad, carnet de conducir, pasaporte, certificados de nacimiento, o votar en los próximos comicios cómodamente desde su casa.
En la vida cotidiana se presentan muchas situaciones en las que los ciudadanos deben acreditar fehacientemente su identidad, por ejemplo, a la hora de pagar las compras con una tarjeta de crédito en un establecimiento comercial, para votar en los colegios electorales, con el fin de identificarse en el mostrador de una empresa, al firmar documentos notariales, etc.
En estos casos, la identificación se realiza fundamentalmente mediante la presentación de documentos acreditativos como el DNI, el pasaporte o el carnet de conducir, que contienen una serie de datos significativos vinculados al individuo que los presenta, como:
-
Nombre del titular del documento.
-
Número de serie que identifica el documento.
-
Período de validez: fecha de expedición y de caducidad del documento, más allá de cuyos límites éste pierde validez.
-
Fotografía del titular.
-
Firma manuscrita del titular.
-
Otros datos demográficos, como sexo, dirección, etc.
En algunos casos en los que la autenticación de la persona resulta importante, como en el pago con tarjeta de crédito, se puede exigir incluso que estampe una firma, que será comparada con la que aparece en la tarjeta y sobre su documento de identificación. En el mundo físico se produce la verificación de la identidad de la persona comparando la fotografía del documento con su propia fisonomía y en casos especialmente delicados incluso comparando su firma manuscrita con la estampada en el documento acreditativo que porta. En otras situaciones, no se requiere el DNI o pasaporte, pero sí la firma, para que el documento goce de la validez legal (cheques, cartas, etc.), ya que ésta vincula al signatario con el documento por él firmado.
Ahora bien, en un contexto electrónico, en el que no existe contacto directo entre las partes, ¿resulta posible que los usuarios de un servicio puedan presentar un documento digital que ofrezca las mismas funcionalidades que los documentos físicos, pero sin perder la seguridad y confianza de que estos últimos están dotados? La respuesta, por fortuna, es afirmativa. El trasunto electrónico del DNI o pasaporte es el certificado digital y que el mecanismo que permite atestiguar la identidad de su portador es la firma digital.
CARACTERISTICAS
Irregular:
La firma de una misma persona nunca es exactamente igual en cada una de las oportunidades en que se estampa.
Habitual:
Está referida a la intención del que firma en orden a no variarla. Es un importante elemento en la vinculación de la grafía con su autor, ya que el perito se basará en ejemplos anteriores de la firma que sean indubitables, al momento de realizar la pericia.
Peculiar:
Propia de una persona y de nadie más.
Autógrafa:
Puesta del puño y letra por el firmante. La manuscripción implica la inmediatez, el contacto directo entre el suscriptor y el documento, y la voluntariedad de la acción y el otorgamiento. Así, Planiol y Ripert conceptúan la firma como "inscripción manuscrita"; Couture habla de "trazado gráfico". En el mismo sentido nos habla Llambias: "trazo".
Se presume, en otros términos, que cada persona tiene un modo particular de suscripción, nunca perfectamente reproducible y que los peritos documentales pueden poner en evidencia las diferencias existentes entre una suscripción auténtica y otra falsificada o adulterada. De aquí la necesidad de que la firma sea autógrafa, es decir, impuesta de propio puño por el firmante; puede ser extendida inclusive con letra de imprenta, pero no por medios mecánicos, excepto en situaciones expresamente autorizadas por la legislación (ej: billetes, cheques extendidos así por su gran volumen y con previa autorización).
La firma, a nuestro entender, debe ser autógrafa para ser tal, pero esto no significa que sus funciones no puedan ser cumplidas por otros medios.
FUNCIONAMIENTO
¿Cómo funciona la Firma Digital?
La firma digital utiliza un criptosistema asimétrico. Esto significa que comprende dos procesos:
-
La Creación de la firma por el suscriptor utilizando la clave privada, que es sólo conocida por él, y que es responsable por su guarda, y
-
La verificación de la firma por la otra parte: el receptor del mensaje comprueba su autenticidad utilizando la clave pública que surge del certificado del suscriptor, comunicándose con el repositorio o registro donde el referido certificado se encuentra registrado.
Estas son, la declarativa, la indicativa y la probatoria, pudiendo conceptuarlas de la siguiente manera:
Declarativa
Planiol y Ripert consideran que la inscripción de la firma de una persona está indicando que la declaración que hace es suya, si bien muchas veces al firmar no se escribe el nombre, o se estampa media firma o se hacen signos que no son alfabéticos. Es decir, cuando se la asienta en documentos o escritos se está significando conformidad y asentimiento.
Indicativa
En nuestra legislación la utilización de la firma es de uso general para identificar a las personas que toman parte en un determinado acto jurídico como autores de él. Sin embargo, a simple vista podemos hacerle a esta función de la firma algunas críticas:
La generalidad de las personas no firma con su nombre sino con caracteres ilegibles (una rúbrica) que nada dicen acerca de la persona que los trazó. Su nombre estará generalmente, junto con otros datos relevantes para la identificación, en el contenido del documento.
La firma es fácilmente adulterable, y sobre todo la rúbrica hecha con caracteres ilegibles.
En la mayoría de los trámites que requieren la identificación de la persona se usará la cédula de identidad u otro medio similar.
C. Probatoria
Esta función esta íntimamente relacionada con la indicativa y ésta, a su vez, con la declarativa. Efectivamente, al establecer que una firma pertenece a la persona que la estampó (indicativa) estamos probando, en principio, que ella acepta lo que se acordó en el documento (declarativa).
A simple vista este no parece un medio demasiado exacto para probar ya que su adulteración es obviamente fácil de realizar, en todo caso nos remitimos a las críticas enumeradas en el punto anterior.
METODOS CRIPTOGRAFICOS
El mecanismo más básico es el denominado criptosistema o algoritmo de encriptación, que define dos transformaciones:
-
La encriptación: conversión el texto en claro (plaintext) en el texto cifrado o criptograma (ciphertext) mediante el empleo de la denominada clave de encriptación; y
-
La desencriptación: proceso inverso que se emplea la llamada clave de desencriptación.
La aplicación más inmediata de un algoritmo de encriptación (aunque no la única) es asegurar el servicio de confidencialidad: la información transmitida no se podrá desencriptar sin el conocimiento de la clave de desencriptación.
La seguridad de un sistema de cifrado radica casi totalmente en la privacidad de las claves secretas. Por ello, los ataques que puede realizar un criptoanalista enemigo están orientados a descubrir dichas claves.
La principal diferencia de los sistemas criptográficos modernos respecto a los clásicos está en que su seguridad no se basa en el secreto del sistema, sino en la robustez de sus operadores (algoritmos empleados) y sus protocolos (forma de usar los operadores), siendo el único secreto la clave (los operadores y protocolos son públicos).
El cifrado es, en su forma más simple, hacer ininteligible un mensaje de modo que no pueda leerse hasta que el receptor lo descifre. El emisor utiliza un patrón algorítmico o clave, para cifrar el mensaje. El receptor tiene la clave de descifrado.
Existen dos tipos de clave que pueden utilizarse para el cifrado (así como para la firma digital y autenticación):
-
Claves simétricas
-
Claves asimétricas
Las claves simétricas siguen un modelo antiguo en que el emisor y el receptor comparten algún tipo de patrón. Por lo tanto, el mismo patrón lo utilizan el emisor para cifrar el mensaje y el receptor para descifrarlo.
El riesgo que implican las claves simétricas es que deberá buscar un método de transporte seguro para utilizarlo cuando comparta su clave secreta con las personas con las que desea comunicarse.
Con las claves asimétricas se crea una pareja de claves. La pareja de claves está compuesta de una clave pública y una clave privada, que son distintas entre sí. La clave privada contiene una parte mayor del patrón cifrado secreto de la clave pública.
Como emisor, podrá difundir su clave pública a cualquier persona con la que desee comunicarse de forma segura. De este modo, conserva la clave privada y la protege con una contraseña.
A diferencia de las claves simétricas, la clave privada y la clave pública no son iguales. Como resultado, el mensaje que se ha cifrado con una clave pública sólo puede ser descifrado por la persona que lo ha cifrado, ya que dicha persona es el único propietario de la clave privada.
Un protocolo como el protocolo SSL (Secure Sockets Layer) utiliza tanto el cifrado de claves públicas como el cifrado de claves simétricas. El cifrado de claves públicas se utiliza para el protocolo de conexión TCP/IP. Durante el protocolo de conexión, la clave maestra se pasa del cliente al servidor. El cliente y el servidor crean sus propias claves de sesión utilizando la clave maestra. Las claves de sesión se utilizan para cifrar y descifrar los datos del resto de la sesión.
Para enviar un mensaje con firma digital, por ejemplo, al texto se le hace un hashing: de un texto se genera un número más chico con un algoritmo, de tal forma que es casi imposible que de otro texto se cree el mismo número. Al resultado se lo encripta usando la clave privada: ésa es la firma digital, que se envía con el mensaje original.
El destinatario recibe el texto y la firma: primero hace su propio hashing del mensaje y luego, con la clave pública del emisor, desencripta la firma: si ambos mensajes son iguales, significa que el remitente es válido y que el mensaje no sufrió alteraciones en el trayecto de un lugar al otro. Todo este proceso es invisible para el usuario; la firma digital aparece como una cadena de caracteres.
CIFRADO SIMETRICO O DE SECRETO COMPARTIDO
Cuando se emplea la misma clave en las operaciones de cifrado y descifrado, se dice que el criptosistema es simétrico o de clave secreta. Estos sistemas son mucho más rápidos que los de clave pública, y resultan apropiados para el cifrado de grandes volúmenes de datos.
Su principal desventaja es que hace falta que el emisor y el receptor compartan la clave, razón por la cual se hace inseguro el envío de la clave, ya que de cualquier forma que ésta se envíe, es posible que alguien la intercepte.
Este tipo de cifrado se utiliza para encriptar el cuerpo de los mensajes en el correo electrónico o los datos intercambiados en las comunicaciones digitales.
Para ello se emplean algoritmos como:
-
Data Encryption Standard (DES)
-
DES fue el primer algoritmo desarrollado comercialmente y surgió como resultado de la petición del Departamento de Defensa de EE.UU. a IBM.
Es un cifrador en bloque que utiliza una clave de 64 bits de longitud (de los cuales 8 son de paridad) para encriptar bloques de 64 bits de datos. Debido al actual desarrollo tecnológico, la seguridad proporcionada por una clave de sólo 56 bits de longitud está siendo cuestionada, lo que ha llevado a la búsqueda de otros sistemas simétricos alternativos como el Triple-DES que utiliza una clave de 168 bits o el IDEA que usa una clave de 128 bits.
METODOS ASIMETRICOS O DE CLAVE PUBLICA
La criptografía asimétrica usa dos claves, una para encriptar y otra para desencriptar, relacionadas matemáticamente de tal forma que los datos encriptados por una de las dos sólo pueden ser desencriptados por la otra. Cada usuario tiene dos claves, la pública y la privada, y distribuye la primera.
La desventaja de este método es su lentitud para encriptar grandes volúmenes de información. En comparación con los métodos simétricos es 100 veces más lento.
Estos algoritmos se pueden utilizar de dos formas, dependiendo de sí la clave pública se emplea como clave de encriptación o de desencriptación.
Algunos algoritmos de encriptación asimétrica son:
RSA (RIVEST-Shamir-Adelman)
DSA (Digital Signature Algorithm)
Rivest- Shamir-Adelman (RSA)
Este algoritmo fue inventado por R. Rivest, A. Shamir y L. Adleman (de sus iniciales proviene el nombre del algoritmo) en el Massachusetts Institute ofTechnology (MIT). RSA emplea las ventajas proporcionadas por las propiedades de los números primos cuando se aplican sobre ellos operaciones matemáticas La robustez del algoritmo se basa en la facilidad para encontrar dos números primos grandes frente a la enorme dificultad que presenta la factorización de su producto. Aunque el avance tecnológico hace que cada vez sea más rápido un posible ataque por fuerza bruta, el simple hecho de aumentar la longitud de las claves empleadas supone un incremento en la carga computacional lo suficientemente grande para que este tipo de ataque sea inviable. Sin embargo, se ha de notar que, aunque el hecho de aumentar la longitud de las claves RSA no supone ninguna dificultad tecnológica, las leyes de exportación de criptografía de EE.UU. imponen un límite a dicha longitud.
Digital Signature Algorithm (DSA)
Un algoritmo muy extendido es el Digital Signature Algorithm (DSA) definido en el Digital Signature Standard (DSS), el cual fue propuesto por el U.S. National Institute of Standards and Technology (NIST). Este algoritmo se basa en la función exponencial discreta en un campo de elementos finito, la cual tiene la característica de ser difícilmente reversible (logaritmo discreto).
FIRMA COMO SIMBOLO
Por todo lo dicho, creemos que la firma en su función indicativa y declarativa tiene un rol eminentemente simbólico. El nos habla de la función del símbolo en la vida jurídica de los pueblos primitivos y el progresivo abandono que se hace de ellos en un sistema jurídico cada vez más avanzado, afirmación que nos debe servir de luz al estudiar estas materias.
Podemos afirmar, entonces, que se puede hablar de una función indicativa simbólica, basándonos en las críticas que anteriormente hiciéramos. Lo mismo se puede decir de la declarativa porque, a nuestro entender, es sólo un convencionalismo jurídico y social que nos dice que la firma puesta al pie de un documento implica tomar para sí su contenido. No es que ella tenga por sí misma esta cualidad, sino que la sociedad así lo ha entendido, por tanto ¿porqué no darle este mismo valor simbólico a una eventual suscripción electrónica cuando la firma tradicional no sea practicable?
En cuanto a la función probatoria, ella es eminentemente práctica, tiene un rol útil. Sin embargo, ¿qué sucede con la firma autorizada ante notario? En este caso creemos ver que la función probatoria de la firma ya no es útil pues ella ahora es cumplida por la fe del notario y la firma será aquí plenamente un simbolismo.
Debemos entender que los nuevos medios de suscripción que la tecnología nos provee traerán aparejadas nuevas formas para comprobar la identidad y el consentimiento, de tal manera que la función probatoria que a veces cumple la firma podrá ser reemplazada.
Podemos inferir entonces que la firma puede y debe ser sustituida en ciertas situaciones en que su utilidad es dudosa y definitivamente se convierte en una traba para los negocios jurídicos.
Incluso tenemos casos en que la legislación ordena que la firma sea sustituida por signos impresos mecánicamente (acciones, billetes de moneda, bonos públicos, cheques). Aquí tenemos otro ejemplo en que la firma es un simple símbolo inútil, ya que la seguridad de estos papeles vendrá resguardada por otros medios, bastante sofisticados en algunos casos.
Hernán Peñafiel Ekhdal63 nos dice que en las operaciones bancarias a distancia desaparecerá la firma del representante y el banco se obligará por actos efectuados por sus máquinas, principalmente cajeros automáticos, máquinas que estarán previamente habilitadas por contratos maestros para el desarrollo de sus operaciones. Nos dice que así pasaremos de la firma del empleado responsable a la firma del computador la cual obligaría al banco. El explica esta aparente dualidad a través de las diferentes teorías de la representación llegando a la conclusión de que son absolutamente inaplicables debido a que para que haya representación se necesitan a lo menos dos personas.
Nos parece que la posición que sostiene este autor es errada. En efecto, es de la esencia de la firma el que ella sea trazada por una persona, por lo que hablar de una "firma del computador" es un contrasentido; sería lo mismo que creer que es el lápiz el que firma y no la persona. Como señalamos en el Capítulo I, no es el computador el que consiente, ya que por sí mismo nada puede hacer; sólo a través de órdenes preestablecidas él actuará y quién establece estas órdenes será el responsable, el "suscriptor electrónico" por el lado del banco.
Coincidimos con su posición en orden a que ninguna teoría de la representación es aplicable a la relación computador-banco, pero ello es así debido a la inexistencia de tres partes: el computador es un "documento abierto" del banco, no una especie de representante de nuevo tipo como parece querer insinuar este autor. Imaginemos esta hipotética situación: Un funcionario debidamente autorizado del banco escritura en papel una oferta de préstamo por $1.000 y la deja junto al dinero en una habitación del banco a la que sólo pueden ingresar clientes autorizados del mismo. Pasa un cliente, la acepta, la firma y se lleva el dinero. ¿Es esta situación esencialmente diferente de la que nos presenta el cajero automático? Evidentemente éste lo utilizará un cliente autorizado del banco, el cual entrará con su tarjeta, tomará dinero de su línea de crédito "automático" y se retirará. En el fondo el banco le esta haciendo una oferta permanente de crédito, la cual el cliente toma cuando desea, oferta que le autorizó un ejecutivo del banco y no la computadora, la cual es un mero "papel" en el cual el cliente mediante su tarjeta "firma" aceptando una oferta.
SEGURIDAD EN LA FIRMA DIGITAL
La firma digital proporciona un amplio abanico de servicios de seguridad:
-
Autenticación: permite identificar unívocamente al signatario, al verificar la identidad del firmante, bien como signatario de documentos en transacciones telemáticas, bien para garantizar el acceso a servicios distribuidos en red.
-
Imposibilidad de suplantación: el hecho de que la firma haya sido creada por el signatario mediante medios que mantiene bajo su propio control (su clave privada protegida, por ejemplo, por una contraseña, una tarjeta inteligente, etc.) asegura, además, la imposibilidad de su suplantación por otro individuo.
-
Integridad: permite que sea detectada cualquier modificación por pequeña que sea de los datos firmados, proporcionando así una garantía ante alteraciones fortuitas o deliberadas durante el transporte, almacenamiento o manipulación telemática del documento o datos firmados.
-
No repudio: ofrece seguridad inquebrantable de que el autor del documento no puede retractarse en el futuro de las opiniones o acciones consignadas en él ni de haberlo enviado. La firma digital adjunta a los datos un timestamp, debido a la imposibilidad de ser falsificada, testimonia que él, y solamente él, pudo haberlo firmado.
-
Auditabilidad: permite identificar y rastrear las operaciones llevadas a cabo por el usuario dentro de un sistema informático cuyo acceso se realiza mediante la presentación de certificados,
-
El acuerdo de claves secretas: garantiza la confidencialidad de la información intercambiada ente las partes, esté firmada o no, como por ejemplo en las transacciones seguras realizadas a través de SSL.
APLICACIONES
La firma digital se puede aplicar en las siguientes situaciones:
-
E-mail
-
Contratos electrónicos
-
Procesos de aplicaciones electrónicos
-
Formas de procesamiento automatizado
-
Transacciones realizadas desde financieras alejadas
-
Transferencia en sistemas electrónicos, por ejemplo si se quiere enviar un mensaje para transferir $100,000 de una cuenta a otra. Si el mensaje se quiere pasar sobre una red no protegida, es muy posible que algún adversario quiera alterar el mensaje tratando de cambiar los $100,000 por 1000,000,con esta información adicional no se podrá verificar la firma lo cual indicará que ha sido alterada y por lo tanto se denegará la transacción
-
En aplicaciones de negocios, un ejemplo es el Electronic Data Interchange (EDI) intercambio electrónico de datos de computadora a computadora intercambiando mensajes que representan documentos de negocios
En sistemas legislativos, es a menudo necesario poner un grupo fecha / hora a un documento para indicar la fecha y la hora en las cuales el documento fue ejecutado o llegó a ser eficaz. Un grupo fecha / hora electrónico se podría poner a los documentos en forma electrónica y entonces firmado usando al DSA o al RSA. Aplicando cualquiera de los dos algoritmos al documento protegería y verificaría la integridad del documento y de su grupo fecha / hora.
Firma digital y documentos electrónicos utilizados en la Administración del Estado, salvo la Contraloría General de la República, el Banco Central y las Municipalidades.
ENTIDADES DE CERTIFICACION - EJEMPLO DE VERISIGN
En los métodos asimétricos, cada entidad sólo ha de poseer un par de claves (privada y pública) independientemente del número de sistemas con los que se comunique. El único requisito que se ha de cumplir es la integridad de la clave, para así evitar que un posible atacante sustituya una clave pública y suplante a su usuario legítimo. Para evitar esto se recurre a lo que se denominan los certificados de clave pública, que son emitidos por unas entidades de confianza llamadas Autoridades Certificadoras (CAs, Certification Authorities) y que garantizan que una determina clave pública pertenece a su verdadero poseedor.
Estas entidades permiten garantizar los servicios de confidencialidad e integridad de los datos y el no repudio de origen y destino.
Una arquitectura de gestión de certificados (Public Key Infrastructure) ha de proporcionar un conjunto de mecanismos para que la autenticación de emisores y recipientes sea simple, automática y uniforme, independientemente de las políticas de certificación empleadas.
Las CAs tienen como misión la gestión de los denominados certificados (de clave pública). Un certificado está compuesto básicamente por la identidad de un usuario (subject), su clave pública, la identidad y la clave pública de la CA emisora (issuer) del certificado en cuestión, su periodo de validez y la firma digital del propio certificado. Esta firma, realizada por la CA emisora, permite que aquellas entidades que deseen realizar comunicaciones con la persona poseedora del certificado, puedan comprobar que la información que éste contiene es auténtica (suponiendo que confíen en la CA emisora). Una vez que los certificados han sido firmados, se pueden almacenar en servidores de directorios o transmitidos por cualquier medio (seguro o no) para que estén disponibles públicamente.
Antes de enviar un mensaje encriptado mediante un método asimétrico, el emisor ha de obtener y verificar los certificados de los receptores de dicho mensaje. La validación de un certificado se realiza verificando la firma digital en él incluida mediante el empleo de la clave pública de su signatario, que a su vez ha de ser validada usando el certificado correspondiente, y así sucesivamente hasta llegar a la raíz de la jerarquía de certificación.
Por lo tanto los usuarios pueden chequear la autenticidad de las claves públicas de otros usuarios verificando la firma de la CA en el certificado usando la clave pública del CA.
En el proceso de verificación se ha de comprobar el periodo de validez de cada certificado y que ninguno de los certificados de la cadena haya sido revocado.
VeriSign es una de las empresas que brinda servicios de certificación. Estos servicios han sido diseñados básicamente para brindar seguridad al comercio electrónico y a la utilización de la firma digital. Para el logro de este objetivo, las autoridades de emisión (Issuing Authorities, "IA") autorizadas por VeriSign funcionan como trusted third partie (o “garantes”), emitiendo, administrando, suspendiendo o revocando certificados de acuerdo con la práctica pública de la empresa.
Las IA facilitan la confirmación de la relación existente entre una clave pública y una persona o nombre determinado. Dicha confirmación es representada por un certificado: un mensaje firmado digitalmente y emitido por una IA.
Esta empresa ofrece tres niveles de servicios de certificación. Cada nivel o clase de certificados provee servicios específicos en cuanto a funcionalidad y seguridad. Los interesados eligen entre estos grupos de servicios el que más le conviene según sus necesidades. Cumplidos los requisitos exigidos se emite el certificado.
Los Certificados Clase 1 son emitidos y comunicados electrónicamente a personas físicas, y relacionan en forma indubitable el nombre del usuario o su "alias" y su dirección de E-mail con el registro llevado por VeriSign. No autentican la identidad del usuario. Son utilizados fundamentalmente para Web Browsing e E-mail, afianzando la seguridad de sus entornos. En general, no son utilizados para uso comercial, donde se exige la prueba de identidad de las partes.
Los Certificados Clase 2 son emitidos a personas físicas, y confirman la veracidad de la información aportada en el acto de presentar la aplicación y que ella no difiere de la que surge de alguna base de datos de usuarios reconocida. Es utilizado para comunicaciones intra-inter organizaciones vía E-mail; transacciones comerciales de bajo riesgo; validación de software y suscripciones online. Debido a las limitaciones de las referidas bases de datos, esta clase de certificados está reservada a residentes en los Estados Unidos y Canadá.
Los Certificados Clase 3 son emitidos a personas físicas y organizaciones públicas y privadas. En el primer caso, asegura la identidad del suscriptor, requiriendo su presencia física ante un notario. En el caso de organizaciones, asegura la existencia y nombre mediante el cotejo de los registros denunciados con los contenidos en bases de datos independientes. Son utilizados para determinadas aplicaciones de comercio electrónico como electronic banking y Electronic Data Interchange (EDI).
Como las IAs. autorizadas por VERISIGN firman digitalmente los certificados que emiten, la empresa asegura a los usuarios que la clave privada utilizada no está comprometida, valiéndose para ello de productos de hardware. Asimismo, recomiendan que las claves privadas de los usuarios sean encriptadas vía software o conservadas en un medio físico (smart cards o PC cards).
INFRAESTRUCTURA DE FIRMA DIGITAL PARA EL SECTOR PUBLICO NACIONAL
Esta clase de Infraestructura es también conocida como de "clave pública" o por su equivalente en inglés (Public Key Infrastructure, PKI). Crea el marco regulatorio para el empleo de la Firma Digital en la instrumentación de los actos internos del Sector Público Nacional que no produzcan efectos jurídicos individuales en forma directa, otorgándole a esta nueva tecnología similares efectos que a la firma ológrafa.
La disposición establece la configuración de la siguiente estructura:
-
Organismo Licenciante (OL)
-
Organismo Auditante (OA)
-
Autoridad Certificada Licenciada (ACL)
-
Suscriptores
ORGANISMO LICENCIANTE
Es la Autoridad Certificante Raíz que emite certificados de clave pública a favor de aquellos organismos o dependencias del Sector Público Nacional que deseen actuar como Autoridades Certificantes Licenciadas, es decir como emisores de certificados de clave pública para sus funcionarios y agentes.
Dentro del marco creado por dicho decreto, las funciones de Autoridad de Aplicación y de Organismo Licenciante son asumidas por la Subsecretaría de la Gestión Pública, SGP.
En cumplimiento de esa responsabilidad, se ha dispuesto la asignación de los recursos materiales y humanos, incluyendo la adquisición de equipamiento de última generación. Además, se ha elaborado una serie de documentos disponibles en este sitio - que se encuentran en proceso permanente de revisión - y que servirán como base para el funcionamiento de Autoridades Certificantes que se licencien.
La Infraestructura del Organismo Licenciante ha sido instalada en la sede de la Subsecretaría de la Gestión Pública
ORGANISMO AUDITANTE
Es el órgano de control, tanto para el Organismo Licenciante como para las Autoridades Certificantes Licenciadas. Según lo establecido, el rol del Organismo Auditante dentro de la Infraestructura de Firma Digital para el Sector Público Nacional es cumplido por la Sindicatura General de la Nación (SIGEN).
AUTORIDADES CERTIFICANTES LICENCIADAS
Son aquellos organismos o dependencias del Sector Público Nacional que soliciten y obtengan la autorización, por parte del Organismo Licenciante, para actuar como Autoridades Certificantes de sus propios agentes. Es decir que, cumplidos los recaudos exigidos por el Decreto mencionado, podrán emitir certificados de clave pública a favor de sus dependientes.
PROCEDIMIENTOS:
Licenciamiento
El licenciamiento es el procedimiento por el cual el Organismo Licenciante emite un certificado de clave pública a favor de un organismo público (quien adquiere la calidad de Autoridad Certificante Licenciada), quedando éste habilitado para emitir certificados a favor de sus dependientes.
Para obtener dicha licencia, el postulante debe completar un formulario de solicitud y adjuntar un requerimiento de certificado.
Revocación
La revocación es el procedimiento por el cual el Organismo Licenciante cancela la autorización otorgada a la Autoridad Certificante Licenciada para emitir certificados.
Esta cancelación puede efectuarse a solicitud de esta última o bien por decisión del Organismo Licenciante, según las pautas establecidas en la Política de Certificación.
Si una Autoridad Certificante Licenciada desea pedir al Organismo Licenciante la revocación de su certificado, puede utilizar un formulario de solicitud de revocación.
LABORATORIO DE FIRMA DIGITAL
Para optimizar el proceso de difusión de la tecnología de Firma Digital, se ha implementado un Laboratorio, donde el público en general, y particularmente los funcionarios y agentes de la Administración Pública Nacional, experimenten la generación de un par de claves, la gestión de su propio certificado y el envío de correo electrónico firmado, al tiempo de ofrecerse información diversa sobre esta tecnología.
Actualmente el Laboratorio cuenta con un nuevo circuito de certificados personales con validación a través de Autoridades de Registro.
COMPROBACION DE LA IDENTIDAD DEL FIRMANTE Y DE LA INTEGRIDAD DEL MENSAJE
En primer término el receptor generará la huella digital del mensaje recibido, luego desencriptará la firma digital del mensaje utilizando la clave pública del firmante y obtendrá de esa forma la huella digital del mensaje original; si ambas huellas digitales coinciden, significa que el mensaje no fue alterado y que el firmante es quien dice serlo.
Las firmas digitales dependen de un par de algoritmos matemáticos, denominados clave, que utilizan el remitente y el destinatario del mensaje. Estas claves se encargan de establecer la correspondencia que permite a la computadora del destinatario reconocer la computadora del remitente y certificar la autenticidad de un mensaje.
Una de las claves, la clave privada de la persona, está alojada en la PC o registrada en una tarjeta inteligente, e identifica que un mensaje ha sido enviado por la persona. La segunda es una clave pública, que puede ser empleada por cualquiera que desee autenticar documentos que la persona firme. La clave pública 'lee' la firma digital creada por la clave privada de la persona y verifica la autenticidad de los documentos creados con la misma.
La clave privada de la persona se desbloquea mediante una contraseña. En el futuro, para mayor seguridad aún, este sistema de clave y contraseña podría ser reemplazado por tecnologías biométricas, que miden características del cuerpo humano, como la retina, una huella digital o un rostro asociado con un registro de identidad.
CERTIFICADO DIGITAL PROPIO
En nuestro país, la Infraestructura de Firma Digital del Sector Público Nacional pone a disposición, una Autoridad Certificante gratuita a través de la cual se podrá obtener un certificado digital propio.
Utilizando este certificado cualquier persona podrá asegurar todas sus comunicaciones de correo electrónico, garantizando su autoría y la integridad del mensaje.
OBTENCION DE UNA FIRMA DIGITAL
Para enviar una firma digital, se requiere en primer lugar registrarse en una autoridad de certificados y solicitar el certificado de identidad digital, que hace de la firma un instrumento único. La mayoría de las autoridades de certificados también proporciona el software necesario y ofrece asesoría al usuario en el proceso de obtención, instalación y utilización de la firma digital. La persona debe llenar un formulario de solicitud y suministrar pruebas de identidad para obtener el certificado. La firma digital se anexa a un mensaje de E-mail de manera muy similar al de los archivos.
Este es el certificado Raíz de la Infraestructura de Firma Digital del Sector Público Nacional. Su instalación implica la aceptación de los términos y políticas establecidos por el Organismo Licenciante.
ORGANISMOS QUE UTILIZAN FIRMA DIGITAL
En la actualidad, el mercado Chileno esta integrado por 5 entidades de certificación: E- Cert Chile, ONCE, Acepta.com, WTCCert.com, y Decidir.com. Dos de ellas (E - Cert Chile y Acepta.com) fueron reconocidas por el Servicio de Impuesto Internos como entidades oficiales para la Operación Renta 2001.
Los servicios disponibles incluyen la emisión de certificados para servidores, de representación legal y de e-mail, entre otros.
Los precios de los diferentes certificados en el mercado local se rigen de acuerdo a las tarifas internacionales, variando entre los US$ 30 y US$ 300, según el tipo de certificado emitido. Su duración, por lo general, es de un año.
El primer obstáculo para impulsar la certificación en Chile es la aprobación definitiva de la ley de firma digital, que convertirá a ésta en un equivalente legal de la firma manuscrita.
Como consecuencia de la aprobación de la ley, se incrementará la demanda por los productos y servicios relacionados a la certificación electrónica. Cabe recordar que en la actualidad no existe ningún sustituto a esta tecnología (las PKI), en términos otorgar seguridad y confiabilidad a las transacciones electrónicas.
El hecho que las transacciones comerciales se realicen a futuro bajo ambientes seguros y con reconocimiento legal, impulsará los niveles de comercio electrónico a niveles muy superiores a los actuales.
ENTIDADES CERTIFICADORAS DE CHILE (Mayo 2001) | ||
Entidad Certificadora | Sitio Web | Entidad de Respaldo |
E - CERT CHILE Empresa Nacional de Certificación Electrónica | www.ecertchile.cl | Cámara de Comercio de Santiago (CCS) |
ACEPTA.COM Autoridad Certificadora | www.acepta.cl | Consultora claro & Asociados |
ONCE Organismo Nacional de Certificación Electrónica | www.cnc-once.cl | Cámara Nacional de comercio, servicios y Turismo de chile (CNC) |
WTCCERT.COM Certificación Digital | www.wtccert.com | World Trade Center |
DECIDIR.COM(*) | www.decidir.cl | Decidir.com |
(*) No es una entidad certificadora de hecho, ya que no emite certificados, aún cuando realiza algunas funciones semejantes.
Fuente: CCS
PRODUCTOS Y SERVICIOS DE CERTIFICADORAS CHILENAS (FEBRERO 2001) | |||
Entidad | Certificados | Servicios | Reconocimiento OP. Renta 2001 del SII |
E - CERT CHILE | Servidor Seguro E - mail Seguro Rut Digital Representante Legal Personal de Empresa Control de acceso | Aplication Service Provider (ASP) Consultorías y Asesorías en Seguridad Desarrollo de Software | SI |
ACEPTA.COM | Identidad Personal Servidor Seguro | Consultoría y Asesorías en Seguridad Software | SI |
ONCE | Servidor Web Representante Legal Empleado de Empresa | N.D | NO |
WTCCERT.COM | Servidores Representación Empresarial Direcciones e - mail | N.D | NO |
DECIDIR.COM | N.D | Verificación de identidad Pago Seguro | NO |
Fuente: CCS
MARCO LEGAL
“Ley sobre documentos electrónicos, firma electrónica y los servicios de certificación de dicha firma.”.
Final del formulario
TITULO I
Artículo 1º
La presente ley regula los documentos electrónicos y sus efectos legales, la utilización en ellos de firma electrónica, la prestación de servicios de certificación de estas firmas y el procedimiento de acreditación al que podrán sujetarse los prestadores de dicho servicio de certificación, con el objeto de garantizar la seguridad en su uso. Artículo 2º
Para los efectos de esta ley se entenderá por: Artículo 3º
Los actos y contratos otorgados o celebrados por personas naturales o jurídicas, públicas o privadas, suscritos por medio de firma electrónica, serán válidos de la misma manera y producirán los mismos efectos que los celebrados por escrito y en soporte de papel. Dichos actos y contratos se reputarán como escritos, en los casos en que la ley exija que los mismos consten por escrito, y en todos aquellos casos en que la ley prevea consecuencias jurídicas cuando constan por escrito. Artículo 4º
Los documentos electrónicos que tengan la calidad de instrumento público, deberán suscribirse mediante firma electrónica avanzada. Artículo 5°
Los documentos electrónicos podrán presentarse en juicio y, en el evento de que sean usados como medio de prueba, habrán de seguirse las reglas siguientes: TITULO II
Artículo 6º
Los órganos del Estado podrán ejecutar o realizar actos, celebrar contratos y expedir cualquier documento, dentro de su ámbito de competencia, suscribiéndolos por medio de firma electrónica. Artículo 7º
Los actos, contratos y documentos de los órganos del Estado, suscritos mediante firma electrónica, serán válidos de la misma manera y producirán los mismos efectos que los expedidos por escrito y en soporte de papel. Artículo 8º
La personas podrán relacionarse con los órganos del Estado, a través de técnicas y medios electrónicos con firma electrónica, siempre que se ajusten al procedimiento descrito por la ley y que tales técnicas y medios sean compatibles con los que utilicen dichos órganos. Artículo 9º
La certificación de las firmas electrónicas avanzadas de las autoridades o funcionarios de los órganos del Estado se realizará por los respectivos ministros de fe. Si éste no se encontrare establecido en la ley, el reglamento a que se refiere el artículo 10 indicará la forma en que se designará un funcionario para estos efectos. Artículo 10°
Los reglamentos aplicables a los correspondientes órganos del Estado regularán la forma cómo se garantizará la publicidad, seguridad, integridad y eficacia en el uso de las firmas electrónicas, y las demás necesarias para la aplicación de las normas de este Título.”. TITULO III
Artículo 11°
Son prestadores de servicios de certificación las personas jurídicas nacionales o extranjeras, públicas o privadas, que otorguen certificados de firma electrónica, sin perjuicio de los demás servicios que puedan realizar. Artículo 12°
Son obligaciones del prestador de servicios de certificación de firma electrónica: Artículo 13°
El cumplimiento, por parte de los prestadores no acreditados de servicios de certificación de firma electrónica, de las obligaciones señaladas en las letras a), b), c) y j) del artículo anterior, será considerado por el juez como un antecedente para determinar si existió la debida diligencia, para los efectos previstos en el inciso primero del artículo siguiente Artículo 14°
Los prestadores de servicios de certificación serán responsables de los daños y perjuicios que en el ejercicio de su actividad ocasionen por la certificación u homologación de certificados de firmas electrónicas. En todo caso, corresponderá al prestador de servicios demostrar que actuó con la debida diligencia. TITULO IV
Artículo 15°
Los certificados de firma electrónica, deberán contener, al menos, las siguientes menciones: Artículo 16°
Los certificados de firma electrónica quedarán sin efecto, en los siguientes casos: TITULO V
Artículo 17º
La acreditación es el procedimiento en virtud del cual el prestador de servicios de certificación demuestra a la Entidad Acreditadora que cuenta con las instalaciones, sistemas, programas informáticos y los recursos humanos necesarios para otorgar los certificados en los términos que se establecen en esta ley y en el reglamento, permitiendo su inscripción en el registro que se señala en el artículo 18. Artículo 18°
El procedimiento de acreditación se iniciará mediante solicitud ante la Entidad Acreditadora, a la que se deberá acompañar los antecedentes relativos a los requisitos del artículo 17 que señale el reglamento y el comprobante de pago de los costos de la acreditación. La Entidad Acreditadora deberá resolver fundadamente sobre la solicitud en el plazo de veinte días contados desde que, a petición del interesado, se certifique que la solicitud se encuentra en estado de resolverse. Si el interesado denunciare el incumplimiento de ese plazo ante la propia autoridad y ésta no se pronunciare dentro del mes siguiente, la solicitud se entenderá aceptada. Artículo 19°
Mediante resolución fundada de la Entidad Acreditadora se podrá dejar sin efecto la acreditación y cancelar la inscripción en el registro señalado en el artículo 18, por alguna de las siguientes causas: Artículo 20°
Con el fin de comprobar el cumplimiento de las obligaciones de los prestadores acreditados, la Entidad Acreditadora ejercerá la facultad inspectora sobre los mismos y podrá, a tal efecto, requerir información y ordenar visitas a sus instalaciones mediante funcionarios o peritos especialmente contratados, de conformidad al reglamento. Artículo 21°
La Entidad Acreditadora, así como el personal que actúe bajo su dependencia o por cuenta de ella, deberá guardar la confidencialidad y custodia de los documentos y la información que le entreguen los certificadores acreditados. Artículo 22°
Los recursos que perciba la Entidad Acreditadora por parte de los prestadores acreditados de servicios de certificación constituirán ingresos propios de dicha entidad y se incorporarán a su presupuesto. TITULO VI
Artículo 23°
Los usuarios o titulares de firmas electrónicas tendrán los siguientes derechos: Artículo 24°
Los usuarios de los certificados de firma electrónica quedarán obligados, en el momento de proporcionar los datos de su identidad personal u otras circunstancias objeto de certificación, a brindar declaraciones exactas y completas. Además, estarán obligados a custodiar adecuadamente los mecanismos de seguridad del funcionamiento del sistema de certificación que les proporcione el certificador, y a actualizar sus datos en la medida que éstos vayan cambiando. TITULO VII
Artículo 25°
El Presidente de la República reglamentará esta ley en el plazo de noventa días contados desde su publicación, mediante uno o más decretos supremos del Ministerio de Economía, Fomento y Reconstrucción, suscritos también por los Ministros de Transportes y Telecomunicaciones y Secretario General de la Presidencia. Artículo transitorio
El mayor gasto que irrogue a la Subsecretaría de Economía, Fomento y Reconstrucción las funciones que le asigna esta ley, durante el año 2002, se financiará con los recursos consultados en su presupuesto. |
LEY CHILENA SOBRE FIRMA DIGITAL
La primera iniciativa legal en materia del comercio electronico en Chile fue la que estableció la firma electronica al interior de la administración publica, promulgada en junio de 1999. En agosto del año 2000, en tanto, ingresó a la cámara de Diputados el proyecto de ley que pretende regular el uso de la Firma Digital y de las entidades Certificadoras. Posteriormente, el proyecto recibió suma urgencia en marzo de 2001 y en abril se aprobó la idea de legislar en la sala de diputados.
Principios Rectores del Proyecto de ley
Libre Prestación |
|
Voluntariedad |
|
Equivalencia de Medios |
|
Neutralidad Tecnológica |
|
No Discriminación |
|
OBJETIVOS DEL LEGISLADOR
Regular la utilización de la firma digital y los documentos electrónicos como soporte alternativo a la instrumentalización en papel de las actuaciones de los órganos de la administración del Estado.
Con el objetivo de establecer una normativa jurídica, que regule las transacciones digitales, para que éstas tengan validez legal y otorguen reconocimiento y protección ante la ley a los actos jurídicos celebrados por medios electrónicos de comunicación, fue aprobada en la Cámara de Diputados el proyecto de ley sobre firma electrónica. Desde el punto de vista público, permitirá que las compras del Estado se hagan por Internet y además que el día de mañana se puedan hacer trámites en los servicios públicos por parte de los ciudadanos en los casos que se requiera firma por Internet. Con esta legislación el país se pondrá a la vanguardia en América Latina en esta materia.
Cinco Objetivos para su desarrollo:
Institucionalidad y marco jurídico para internet y las nuevas industrias emergentes
Internet para todos. Acortar las brechas digitales en hogares, empresas y regiones.
El Estado al servicio de los ciudadanos. El rol del estado como principal prestador de servicios en la era de la información.
Elevar la productividad e innovación de las empresas y redes productivas.
Formar los recursos humanos del país para la sociedad de la información y la nueva economía.
DISTINGO ENTRE LA FIRMA Y LA TECNOLOGIA UTILIZADA PARA FIRMAR
En las relaciones jurídicas por medios electrónicos surge un problema de recognoscibilidad: en qué condiciones existe un documento y cuando es atribuible a su autor. En el mundo de los átomos y de la escritura es posible realizar una comparación entre el documento original y el falso para deducir la autenticidad; es factible la prueba empírica respecto de la firma consignada en el documento. En el mundo virtual no es posible, el documento original puede ser igual que el falso porque no hay bits falsos, un bits hará una copia exacta de otro bits original.
En cuanto a la firma, no hay una obra de la mano del autor, no hay una firma en el sentido que se le da a la palabra en la cultura escrita. La firma es un medio para vincular un documento con su autor.
En la cultura escrita se utilizó la grafía del autor en toda una serie de garantías de autenticidad para ese acto, según la importancia del mismo (ejemplo: para casarse hay un oficial público, para transferir un inmueble hay un notario y si es para obligarse a pagar un cupón de una tarjeta de crédito, es suficiente su sola presencia).
En la tarjeta de crédito, como en otros supuestos similares se ha llegado a prescindir de la firma, siendo suficiente el envío de los datos de identificación y una clave.
En el mundo digital se avanza en este sentido: se permite que el medio para vincular un documento a su autor sea una clave y no la firma ológrafa.
En un sentido amplio, la firma es cualquier método o símbolo utilizado por una parte con la intención de vincularse o autenticar un documento. Las técnicas pueden ser muy diferentes: desde la firma ológrafa hasta la clave en la criptografía. La diferencia entre todos estos sistemas técnicos es la seguridad que ofrecen y por ello la criptografía en doble clave es el mejor para el medio electrónico, pero nada impide que en un futuro no muy lejano exista otro medio mejor y, en ese caso caerían en desuso las leyes diseñadas en virtud de esta asimilación.
La ley argentina para evitar los riegos de la caducidad tecnológica no se ha inclinado por regular una técnica específica de firma digital.
DISTINGO ENTRE FIRMA ELECTRONICA Y FIRMA DIGITAL
La firma electrónica es un género, caracterizado por el soporte: todo modo de identificación de auditoría basado en medios electrónicos es firma; luego vienen las especies, que en general, se caracterizan por agregar elementos de seguridad que la sola firma electrónica no posee. Las legislaciones reconocen el género de la firma electrónica y luego eligen una especie que denominan “firma electrónica avanzada” o “firma digital”, que es la que utiliza un sistema, generalmente criptográfico, que da seguridad. La gran diferencia estriba en que cuando se utiliza la firma digital se aplican presunciones iuris tantum sobre la identidad del firmante y la integridad del documento que firmó.
ELEMENTOS DE LA FIRMA DIGITAL
Independientemente de la criptografía, la firma digital se caracteriza por los siguientes elementos:
Elemento objetivo-soporte: en un sentido negativo, el soporte no es escrito y no hay una elaboración manual del autor. En un sentido positivo, la firma es cualquier símbolo o procedimiento de seguridad usado por una persona que incluye medios electrónicos, digitales, magnéticos, ópticos o similares. Puede advertirse, entonces, que la firma electrónica no necesariamente debe ir anexa a un documento, como ocurre en el caso de la firma ológrafa.
Elemento subjetivo: los símbolos asentados en medios electrónicos tienen un propósito específico: se hacen para identificar a la persona e indicar su aprobación del contenido de un mensaje electrónico.
Con estos dos elementos hay firma electrónica pero no firma digital, pues para que se le asigne los efectos de presunción se requiere más seguridad.
Esfera de control del titular: siendo un elemento de imputación de autoría, es lógico que se requiera que esté bajo el control del titular, ya que sólo él es quien decide que declaraciones de voluntad son suyas. Por ello, es necesario que la firma pertenezca únicamente a su titular y se encuentre bajo su control exclusivo.
Derechos de verificación del receptor: es necesario que los sistemas utilizados puedan ser verificados por el receptor para asegurarse de la autoría.
NOCION DE FIRMA DIGITAL EN LA LEY
La ley define a la firma electrónica (Art. 2) diciendo que es el “...cualquier sonido, símbolo o proceso electrónico, que permite al receptor de un documento electrónico identificar al menos formalmente a su autor. aquella certificada por un prestador acreditado, que ha sido creada usando medios que el titular mantiene bajo su exclusivo control, de manera que se vincule únicamente al mismo y a los datos a los que se refiere, permitiendo la detección posterior de cualquier modificación, verificando la identidad del titular e impidiendo que desconozca la integridad del documento y su autoría, y usuario o titular (persona que utiliza bajo su exclusivo control un certificado de firma electrónica).
Establece dos tipos de Firmas:
Firma Electrónica (autentifica la identidad de la persona, es como "mostrar" nuestra cédula de identidad, para que se confirme quien soy)
Firma electrónica Avanzada (autentifica la identidad, pero además permite llevar a cabo transacciones comerciales avanzadas y contratos, es como ir a la Notaria donde muestro mi CI pero además se confirma ante el Notario la legalidad de la transación o relación)
Diferencias entre ambas
La diferenciación entre ambas clases de firmas está hecha en función de la protección legal que ellas producen.
Los efectos jurídicos que ella produce son consecuencia de ser un medio apto al que se le atribuye la cualidad de contener la voluntad de la persona.
Por ejemplo, offline, yo puedo firmar un contrato con un sujeto, ambos lo firmamos y ponemos nuestra CI. La ley protege ese contrato. Sin embargo, si ese mismo contrato, además es legalizado ante un Notario, la ley lo protege más aún, puesto que tiene una autentificación mayor que el primero, por tanto, en cuanto a lo penal también es diferente.
REQUISITOS DE VALIDEZ
Este es el elemento más importante que consagra el proyecto de ley, y consiste en que por medio de la normativa, se podrá otorgar plena validez legal a la firma digital en el país, igualándola en su fuerza legal a la firma tradicional.
El proyecto de ley reconoce que la mayor parte del desarrollo de todo tipo de comercio esta entregada hoy día a acuerdos de voluntad entre particulares, a actos o contratos que en su gran mayoría son consensuales, que sólo requieren el consentimiento de ambas que se realicen de forma digital a los contratos consensuales, con lo que se les otorga el mismo valor legal y por lo tanto los asimila a una categoría legal de contratación ya existente, evitando así tener que entrar a modificar una serie de normas.
Claves de la Ley
Firma electrónica
Reglamento publicado en el Diario Oficial del sábado 17 de agosto de 2002
-
validez ante la ley igual que el papel.
-
todo tipo de contratación, compra o trámite
-
no valida para celebraciones de compromiso de familia (matrimonios)
-
elemento probatorio ante la ley
-
dos tipos de firma: firma electrónica simple y firma avanzada
-
firma avanzada: método criptografico, método de conocimiento compartido, método biométrico (validados por Ente Certificador, que puede ser acredtado o no acreditado, en el caso del no acreditado, no tendrá valor probatorio ante la ley)
-
base de datos registro civil. (base de datos con huellas digitales asociadas al rut del ciudadano)
-
problemas, no hay capacitación de los jueces, cuando se presente un pleito, por ser muy nueva la figura.
EQUIPARACION DE LOS EFECTOS JURIDICOS Y AMBITOS DE APLICACION
El proyecto pretende estructurara un sistema donde existan entes autónomos que presten servicios de certificación, estableciendo la no obligatoriedad de este mecanismos, y el resguardo de la libre iniciativa privada en este ámbito. Para operar, dichos entes deben cumplir con las exigencias que determine el proyecto de ley y podrán emitir los certificados respectivos previo registro de los interesados. Este elemento es relevante, ya que estos organismos no sólo certificarán los documentos y las firmas electronicas, sino que tambien serviran de registros publicos a los cuales acudir en caso de duda.
De este modo, el proyecto de ley buca establecer condiciones para que el sistema goce de bases seguras dentro de las cuales se preste libremente un servicio de certificación.
DOCUMENTO DIGITAL
-
NOCION Y ESPECIE
Cada día que pasa aumenta el uso que se hace de los computadores en los más variados ámbitos de la vida social, incluyendo inevitablemente la actividad jurídica. Así, cualquiera de nosotros se encuentra diariamente en situación de tener que utilizar documentos provenientes de un sistema informático.
Es un fenómeno de origen relativamente reciente pero que parece presentar un carácter irreversible y es posible que en un momento no tan lejano la mayoría, sino la totalidad, de los procedimientos documentarios se llevarán a cabo en forma automatizada, salvo casos excepcionales. De esta manera, el documento manual será casi completamente sustituido por el documento electrónico.
El documento electrónico es aquel proveniente de un sistema de elaboración electrónica (certificados de antecedentes, tickets emitidos por cajeros automáticos, etc.), es decir, es la información procesada por computadora, a través de señales electrónicas, plasmadas en un soporte. Aquí se debe distinguir entre el documento electrónico en sentido estricto, que es aquel que está "escrito" en forma magnética u óptica y aquel proveniente de un sistema informatizado, es decir, que ha sido plasmado en papel o llevado a la pantalla del computador con información proveniente de un documento electrónico en sentido estricto. Veremos con mayor detalle esta clasificación.
Técnicamente, el documento electrónico es un conjunto de impulsos eléctricos que recaen en un soporte de computadora, y que sometidos a un adecuado proceso, a través del computador, permiten su traducción a lenguaje natural a través de una pantalla o de una impresora.
En este punto es necesario detenernos a reflexionar sobre si lo que se lee en la pantalla o lo impreso constituye o no el documento en original o si es solo una copia de este; este punto que será tocado mas adelante es trascendental a la hora de establecer la forma de incorporación del documento electrónico al proceso.
Documento electrónico e informático
Del análisis de los trabajos doctrinarios consultados se desprenden grandes diferencias de opinión en cuanto a una conceptualización precisa del documento electrónico. Las razones para ello son fundamentalmente la imprecisión que hay respecto del documento en general y la confusión conceptual que existe respecto de las nuevas tecnologías.
Hay autores que hablan de documento electrónico y otros de documento informático. Nos parece que la primera expresión es la más correcta ya que pone el acento en la diferencia fundamental entre el documento en sentido clásico y el electrónico: el soporte físico.
Muchos autores hablan de soporte con apellido, es decir, electromagnético. Consideramos esto como un error ya que se están refiriendo a un tipo de soporte determinado, existiendo actualmente otros tipos que utilizan principios físicos distintos al electromagnetismo para almacenar y leer la información, Así por ejemplo existen los CD-ROM (Compact Disc-Read Only Memory) que utilizan la refracción de la luz producida por un rayo láser, y no podemos dejar de pensar en aquellos que muy probablemente serán creados en el futuro y que tal vez utilicen otros principios físicos.
Algunos autores piensan que se debe categorizar el documento electrónico no sólo por el soporte, sino que también cabe hacerlo por los procedimientos de elaboración del dato y de impresión del soporte: "Así, tendremos documento electrónico, no sólo cuando los soportes físicos son electromagnéticos (informáticos u ópticos), sino también cuando la electrónica interviene en la elaboración de cualquiera de los elementos del documento.
Conforme a esta conceptuación, quedan comprendidos dentro de los documentos aun aquellos cuyo soporte físico es el papel, en tanto la electrónica haya participado en alguna etapa de su elaboración. Baste como ejemplo de lo que venimos diciendo el caso del certificado expedido actualmente por el Registro General de Inhibiciones, en el cual, en un soporte papel, se imprimen electrónicamente datos cuya búsqueda fue efectuada también en forma electrónica".
Nos parece que esta concepción es errada. El hecho de que un documento en soporte papel tenga su origen en un sistema electrónico no implica que sea documento electrónico estrictamente hablando. Opinamos que debería llamársele "documento de origen electrónico", lo cual salvaría sus evidentes diferencias en cuanto a su origen con los documentos corrientes, ya que sus problemas de validez y prueba serán diferentes.
Nos parece que lo correcto al distinguir el documento electrónico es hacerlo por el soporte, pero en forma general como aquel que puede ser utilizado directamente por un computador para guardar o leer información siempre que sea en forma digital. Debemos hacer el alcance de que actualmente hay nuevas tecnologías que permiten al computador aprehender información directamente de la realidad circundante sin intermediarios. Este es el caso del "scanner" o rastreador, que permite leer documentos impresos o manuscritos y guardarlos como archivo, en su memoria de masa, en forma facsimilar y que, con un programa adecuado, es posible transformar en un texto que no se diferencie en nada de otro ingresado con el teclado directamente. Pero es evidente que, a pesar de esta característica, el papel así leído no sería "soporte" en el sentido que intentamos explicar. Por ello, para evitar confusiones, Nestor Gomez prefiere hablar de "las nuevas formas de expresión gráfica".
-
CONCEPTO
"Bajo documento electrónico se comprenden datos (o bien informaciones) que tienen relevancia jurídica, los cuales son transmitidos o registrados por vía electrónica, especialmente a través del procesamiento electrónico de datos, pero también por medio de simples soportes de sonido".
"El documento electrónico es el que está en la memoria de la máquina y cuyo contenido o texto está en lenguaje de máquina, el que puede ser pasado a lenguaje natural y eventualmente ser impreso para facilitar su utilización y lectura por parte de los usuarios"
LA FIRMA Y EL DOCUMENTO ELECTRONICO
Crisis de la Firma:
Irti en "Il contratto tra faciendum e factum" expresa que se está ante una crisis de la firma; los contratantes en la economía moderna ya no se comunican mediante cartas firmadas, sino por telex o telefax y el producto es un texto sin firma, o como en el caso del fax, una fotocopia de un texto original firmado, o incluso directa y automáticamente entre sus respectivas computadoras. "Este proceso, que llamaría la crisis de la suscripción, está destinado a acelerarse y a intensificarse. Los sujetos de la economía moderna ya no se comunican con cartas firmadas por el remitente, sino por medio de signos transmitidos por aparatos mecánicos (telegrama sobre original escrito, telegrama dictado por teléfono, telex, telecopiart, etc.). El resultado de la actividad expresiva es siempre un texto escrito, aunque desprovisto de firma autógrafa. El requisito de la suscripción, históricamente ligado al contrato entre personas presentes y al uso social de las cartas misivas, se descubre ahora incompatible con las modernas técnicas de fijación y transmisión de la palabra. Los mensajes escritos quieren liberarse del vínculo de la firma, y por ello solicitan nuevos métodos de imputación, nuevos criterios de referencia a la persona del declarante. Métodos y criterios no ya más ligados a la firma autógrafa, sino al uso exclusivo del aparato técnico: la mencionada exclusividad tomará el lugar de la personalidad de la suscripción. Una rápida y advertida disciplina legislativa serviría para prevenir las tortuosas calles de la analogía y las temeridades de la jurisprudencia".
Se necesitarán nuevos métodos de imputación o criterios de referencia de la persona del declarante, métodos y criterios que tienen muy poco que ver con la firma autógrafa, existen inclusive computadoras que leen firmas, habiéndose implantado métodos para controlar la autenticidad del documento, los que aparentemente son superiores a la firma. Estudios biométricos (vasos sanguíneos de la retina, geometría de la mano), son medios de control que pueden identificar a la persona y que no pueden ser copiados, existiendo además los códigos de acceso que son personales.
La Suscripción Electrónica
Siguiendo la linea de Couture, para quien la firma no es más que un trazado gráfico podriamos deducir que las claves, los códigos, los signos y los sellos, al ser trazados gráficos, también serían firma y, por ende, obligarían.
Sin embargo, elementos tales como los códigos y las claves sólo servirán si están integradas como un medio de acceso a un sistema computacional en el cual éste lo pregunte como condición necesaria de identificación y acceso, es decir como un elemento activo, pero no cumplirían esta función si están trazados "gráficamente" ya que no existiría el necesario secreto que las hace confiables. Y si estamos de acuerdo en que no pueden estar trazados gráficamente, entonces no serán una firma en el sentido tradicional. El que la firma sea un trazado gráfico es sólo una condición necesaria de su existencia sobre papel, pero si éste no existe, entonces no hay necesidad alguna de usar una analogía y decir que la clave u otro medio es también un trazado gráfico puesto que es algo diferente, con otra naturaleza pero que puede cumplir las funciones que el convencionalismo de que hablábamos le atribuye a la firma.
Entonces, la función que cumple la firma no sólo puede realizarse con el nombre y apellidos puestos de puño y letra, seguidos de la rúbrica, además cabe la posibilidad de que se realicen algunas de sus funciones mediante códigos, claves, sellos u otros elementos identificatorios, pero no podríamos decir que es una firma.
Hay muchas relaciones jurídicas que no exigen para su validez solemnidades de ningún tipo y por lo tanto ¿como podríamos exigir la firma autógrafa como única manera de probar la autoría?. Podemos pensar con razón que los juzgados y altos tribunales deberán, a través de la jurisprudencia, llegar a aceptar el que hay formas nuevas y de la misma y mayor eficacia que podrán probar el consentimiento e identificar a las partes.
Estos nuevos métodos sólo cumplirán sus funciones, ya que la firma propiamente tal tiene características y contenido bien definidos. Por ello creemos que estos nuevos métodos de identificación y consentimiento no les debemos llamar "firma", ya que nos conduciría a una confusión conceptual. Proponemos entonces hablar de "suscripción electrónica", tomando el término suscripción en el sentido que nos indica el Diccionario de la Lengua Española (y que mencionáramos a propósito de la función declarativa de la firma) porque nos parece que va a la base de la nueva forma que estamos describiendo.
En este punto, como en otros, se nos revela la interdisciplinariedad característica del fenómeno informático. Aquí, el derecho no puede transitar sin el auxilio de la técnica. Ejemplo de ello es que la doctrina en torno al tema afirma que la utilización de claves de control de los sistemas informáticos es más confiable que la firma ológrafa, puesto que ésta es siempre irregular y por tanto de difícil verificación, en tanto que la firma electrónica es siempre regular y se verifica automáticamente.
Elementos de la Suscripción Electrónica
Debido a la naturaleza misma de la suscripción electrónica, se diferenciará de la firma en que aquella no incluirá la rúbrica, pero deberá llevar el nombre y apellido como complemento necesario de la clave, código de aceptación o sistema de verificación que se utilice.
Tendremos entonces:
Nombres y apellidos
Clave o código de aceptación:
Esta reemplazaría la función de prueba que cumple la rúbrica en la firma autógrafa. Podemos imaginarnos a las partes contratando a distancia a través de un "centro de suscripción electrónica" que guardaría en sus archivos las claves de aceptación de las partes, dando fe de su consentimiento, lográndose así una total seguridad del sistema para los efectos probatorios, sistema que bien podría estar adscrito al servicio que prestan las notarías.
Funciones de la Suscripción Electrónica
Al igual que en la firma, la suscripción electrónica deberá cumplir una función probatoria que le permitiría suplir eficazmente la función declarativa e indicativa, ya que como dijimos son atributos dados por un convencionalismo social y jurídico que es aplicable también a este nuevo método.
Características de la Suscripción Electrónica
Hay algunas similitudes y también diferencias con la firma en soporte papel:
Regular:
"La firma electrónica es siempre regular y se verifica automáticamente". Siempre será igual ya que por su naturaleza misma no puede variar, so pena que el computador la rechace.
Habitual:
La suscripción electrónica no podrá ser modificada de un acto a otro.
Peculiar:
Será propia de una persona y diferente de la utilizada por otras.
Electrónica:
Será de naturaleza electrónica y por tanto no podrá ser percibida por nuestros sentidos en forma directa.
Concedida:
No será de creación unilateral de la persona que la utilice, sino que deberá ser parte de un sistema nacional que las establezca para cada persona de manera que se pueda llevar un control que evite los fraudes.
Aunque bien podría tener más de una para las diferentes operaciones que tuviera que realizar por estos nuevos medios; podrían existir métodos de identificación electrónica que se hicieran valer entre un número limitado de partes con una relación comercial permanente como entre comerciantes y sus proveedores, pudiendo imaginarnos un registro notarial de tales identificaciones para efectos probatorios. Esto les permitiría realizar sus ofertas y aceptarlas por pantalla, autenticando la operación con una "suscripción electrónica" que sería propia de esa relación comercial permanente y no de otra y que, previamente recogida por la legislación, permitiría darle un nuevo impulso a, por ejemplo, las nuevas técnicas de manejo de stocks mediante compra y reposición automática de las mercaderías mediante computadores conectados entre cliente y proveedor.
Seguridad de la Firma Tradicional
Un argumento clásico para sostener el uso del documento papel es el de la aparente dificultad que reviste su falsificación. Pero a diario en nuestro país los hechos demuestran lo contrario. Basta con mirar en noticias, artículos de revistas y expedientes judiciales para que nos demos cuenta de lo fácilmente falsificable que es este tipo de documentos y la cantidad de ténicas que se desarrollan para ello. Títulos universitarios, membretes de notarías, pasaportes y visas, facturas, boletos para partidos de fútbol, etc; todo lo cual ha llevado a usar métodos cada vez más sofisticados para evitar estos hechos: papel químico para boletos de entrada a espectáculos deportivos, claves secretas en los billetes, fotos impresas y símbolos visibles sólo por luz ultravioleta. Sin embargo, todo esto ha sido falsificado produciendo un aumento de los costos de estos documentos. En otros simplemente no hay ningún resguardo: ¿qué nos impide falsificar un documento notarial?, aparentemente nada pues el papel de que está hecho es de lo más corriente, la firma es fácilmente adulterable y que decir de los sellos que pueden ser fabricados en cualquier esquina.
Algunos de estos papeles se utilizan para pedir préstamos en instituciones bancarias y financieras y, sin embargo, su aceptación en general está fuera de cuestión a pesar de que sabemos de la facilidad con que personas inescrupulosas pueden procurárselos.
Con esto no pretendemos decir que ya no tiene utilidad la documentación en papel, sino que la seguridad que muchos pretenden atribuirle no es tal y estas falencias podrían, en algunos casos, ser salvadas mediante métodos de control electrónico. Así, por ejemplo, imaginemos que se instaurara en Colombia un Registro Conservatorio informatizado. El abogado de un banco podría pedir directamente al Registro mediante su computador la historia de un bien raíz sin necesidad de que, por ejemplo, el solicitante de un préstamo con garantía hipotecaria llevara títulos cuya autenticidad no es absolutamente segura. Lo mismo podríamos decir de los registros notariales.
Autenticidad, Inalterabilidad y Seguridad del Documento Electrónico
Para Carnelutti, la autenticidad es la correspondencia entre el autor aparente y el autor real del documento. Dicha correspondencia dependerá, en lo relativo al documento electrónico, de los niveles de estandarización de los sistemas informáticos emisores, los que deberán responder a las reglamentaciones que se dicten al efecto. La autenticidad e inalterabilidad del documento, dependerá, en última instancia, de la seguridad con que se rodee el proceso de elaboración y emisión del mismo.
Nuevos métodos
Al decir de algunos autores estos nuevos métodos son muy superiores a la suscripción tradicional. Al expresarse así, ellos se refieren a la función probatoria de la firma y no parecen recordar las funciones declaratoria e indicativa, pero a nuestro entender si cumplimos cabalmente, con un nuevo método, la función probatoria, entonces las otras se cumplen simplemente atribuyéndoselas.
Clasificación
Estos nuevos métodos podemos clasificarlos de las siguientes maneras según el principio de que se valen para realizar la identificación y los objetos de ella:
La identificación electrónica:
De un computador a otro:
El principio en que se basa es que los computadores pueden reconocerse entre sí mediante protocolos previamente establecidos que nos permitan saber que computador emitió un mensaje y de esta forma conoceríamos la identidad del operador del computador emisor. Así, cada comunicación estaría precedida de una previa identificación que aparece más práctica que una simple firma.
Sin embargo, no es tan simple como parece ya que, aunque podrían darse situaciones de falsedad material en el contenido del mensaje en cuestión, lo más frecuente será el problema de la autenticidad, es decir ¿el mensaje recibido proviene realmente de la persona que aparece como dueña del computador emisor del mensaje?, porque ésta y la persona física que envió un mensaje no siempre serán una sola, sobre todo si pensamos en las grandes empresas.
Aquí es donde entra en uso una modalidad de identificación que aunque posee riesgos, es ventajosamente simple: la clave secreta, que operaría como sucedáneo de la firma. Esta puede ser un número, una palabra, o una combinación de ambas y deberá ser estrictamente personal.
Otra precaución que se puede tomar en estos casos es provocar nuevos mensajes, a fin de provocar un feed-back cuya dialexis genere indicios de autenticidad.
Puede hacerse también una verificación paralela de quién es realmente el titular del emisor consultando un servicio de información alternativo.
De persona a computador:
En estos casos el computador le pedirá a la persona que se identifique para permitirle el acceso a su sistema. Este es el caso de los cajeros automáticos cuyo acceso sólo es posible a través de una tarjeta magnética y de una clave secreta propia del usuario, aunque en rigor la sola clave podría ser suficiente. Los medios de identificación del operador y la autenticación de su expresión de voluntad, a los fines de otorgarle valor jurídico pleno al documento electrónico, deberán necesariamente comprender aspectos vinculados con la inalterabilidad del documento y con la seguridad técnica y operativa del sistema.
La identificación biométrica
Se vale de los principios de la biometría, es decir, de aquella ciencia que estudia cuantitativamente los fenómenos de la vida. La importancia de los estudios biométricos es que están en la base de los sistemas técnicos más precisos para la identificación de una persona. Un ejemplo embrionario de identificación biométrica es la posibilidad de reeplazar la firma por la impreción digital.
Principio esencial y basal de los estudios biométricos en materia de seguridad de datos, es que algunas características personales del individuo no son reproducibles y, por tanto, no son falsificables. Por consiguiente, éstas pueden ser utilizadas como medio de control por parte del computador de la identidad física de la persona que accede a un sistema electrónico.
CERTIFICADOS DIGITALES
Los certificados digitales permiten generar la infraestructura para hacer de Internet un lugar más seguro para todos sus usuarios y, con ello, sentar las bases para un desarrollo a nivel de país del comercio electrónico.
Gracias a los certificados digitales, CNC-once puede acreditar la existencia de una empresa o persona en el mundo virtual, además de asegurar la identidad digital de sitios web. Lo anterior permite reducir al mínimo los fraudes virtuales originados por la suplantación virtual de personas y empresas, y por la existencia de sitios fantasmas.
Con los certificados digitales de CNC-once , la transmisión de mensajes, documentos y transacciones comerciales navegan en Internet en un contexto de absoluta seguridad y confidencialidad.
Los certificados digitales de CNC-once contienen mecanismos de encriptación más acabados que permiten proteger la información a ser transmitida vía electrónica con altísimos estándares de seguridad.
-
EL CERTIFICADOR LICENCIADO
Se entiende por certificador licenciado a toda persona de existencia ideal, registro público de contratos u organismo público que expide certificados, presta otros servicios en relación con la firma digital y cuenta con una licencia para ello, otorgada por el ente licenciante.
La actividad de los certificadores licenciados no pertenecientes al sector público se prestará en régimen de competencia. El arancel de los servicios prestados por los certificadores licenciados será establecido libremente por éstos”.
Se entiende por certificador licenciado a toda persona de existencia ideal, registro público de contratos u organismo público que expide certificados, presta otros servicios en relación con la firma digital y cuenta con una licencia para ello, otorgada por el ente licenciante.
La actividad de los certificadores licenciados no pertenecientes al sector público se prestará en régimen de competencia. El arancel de los servicios prestados por los certificadores licenciados será establecido libremente por éstos”.
Las funciones del certificador licenciado,son las siguientes:
Recibir una solicitud de emisión de certificado digital, firmada digitalmente con los correspondientes datos de verificación de firma digital del solicitante;
Emitir certificados digitales de acuerdo a lo establecido en sus políticas de certificación, y a las condiciones que la autoridad de aplicación indique en la reglamentación de la presente ley
Identificar inequívocamente los certificados digitales emitidos;
Mantener copia de todos los certificados digitales emitidos, consignando su fecha de emisión y de vencimiento si correspondiere, y de sus correspondientes solicitudes de emisión;
Revocar los certificados digitales por él emitidos en los siguientes casos, entre otros que serán determinados por la reglamentación:
A solicitud del titular del certificado digital.
Si determinara que un certificado digital fue emitido en base a una información falsa, que en el momento de la emisión hubiera sido objeto de verificación.
Si determinara que los procedimientos de emisión y/o verificación han dejado de ser seguros.
Por condiciones especiales definidas en su política de certificación.
Por resolución judicial o de la autoridad de aplicación.
Informar públicamente el estado de los certificados digitales por él emitidos. Los certificados digitales revocados deben ser incluidos en una lista de certificados revocados indicando fecha y hora de la revocación. La validez y autoría de dicha lista de certificados revocados deben ser garantizadas”.
El certificador debe obtener una licencia para lo cual “... debe cumplir con los requisitos establecidos por la ley y tramitar la solicitud respectiva ante el ente licenciante, el que otorgará la licencia previo dictamen legal y técnico que acredite la aptitud para cumplir con sus funciones y obligaciones. Estas licencias son intransferibles”.
“Son obligaciones del certificador licenciado:
a) Informar a quien solicita un certificado con carácter previo a su emisión y utilizando un medio de comunicación las condiciones precisas de utilización del certificado digital, sus características y efectos, la existencia de un sistema de licenciamiento y los procedimientos, forma que garantiza su posible responsabilidad patrimonial y los efectos de la revocación de su propio certificado digital y de la licencia que le otorga el ente licenciante. Esa información deberá estar libremente accesible en lenguaje fácilmente comprensible. La parte pertinente de dicha información estará también disponible para terceros;
b) Abstenerse de generar, exigir, o por cualquier otro medio tomar conocimiento o acceder bajo ninguna circunstancia, a los datos de creación de firma digital de los titulares de certificados digitales por él emitidos;
c) Mantener el control exclusivo de sus propios datos de creación de firma digital e impedir su divulgación;
d) Operar utilizando un sistema técnicamente confiable de acuerdo con lo que determine la autoridad de aplicación;
e) Notificar al solicitante las medidas que está obligado a adoptar para crear firmas digitales seguras y para su verificación confiable, y las obligaciones que asume por el solo hecho de ser titular de un certificado digital;
f) Recabar únicamente aquellos datos personales del titular del certificado digital que sean necesarios para su emisión, quedando el solicitante en libertad de proveer información adicional;
g) Mantener la confidencialidad de toda información que no figure en el certificado digital;
h) Poner a disposición del solicitante de un certificado digital toda la información relativa a su tramitación.
i) Mantener la documentación respaldatoria de los certificados digitales emitidos, por diez (10) años a partir de su fecha de vencimiento o revocación;
j) Incorporar en su política de certificación los efectos de la revocación de su propio certificado digital y/o de la licencia que le otorgara la autoridad de aplicación;
k) Publicar en Internet o en la red de acceso público de transmisión o difusión de datos que la sustituya en el futuro, en forma permanente e ininterrumpida, la lista de certificados digitales revocados, las políticas de certificación, la información relevante de los informes de la última auditoría de que hubiera sido objeto, su manual de procedimientos y toda información que determine la autoridad de aplicación;
l) Publicar en el Boletín Oficial aquellos datos que la autoridad de aplicación determine;
m) Registrar las presentaciones que le sean formuladas, así como el trámite conferido a cada una de ellas;
n) Informar en las políticas de certificación si los certificados digitales por él emitidos requieren la verificación de la identidad del titular.
o) Verificar, de acuerdo con lo dispuesto en su manual de procedimientos, toda otra información que deba ser objeto de verificación, la que debe figurar en las políticas de certificación y en los certificados digitales;
p) Solicitar inmediatamente al ente licenciante la revocación de su certificado, o informarle la revocación del mismo, cuando existieren indicios de que los datos de creación de firma digital que utiliza hubiesen sido comprometidos o cuando el uso de los procedimientos de aplicación de los datos de verificación de firma digital en él contenidos hayan dejado de ser seguros;
q) Informar inmediatamente al ente licenciante sobre cualquier cambio en los datos relativos a su licencia;
r) Permitir el ingreso de los funcionarios autorizados de la autoridad de aplicación, del ente licenciante o de los auditores a su local operativo, poner a su disposición toda la información necesaria y proveer la asistencia del caso;
s) Emplear personal idóneo que tenga los conocimientos específicos, la experiencia necesaria para proveer los servicios ofrecidos y en particular, competencia en materia de gestión, conocimientos técnicos en el ámbito de la firma digital y experiencia adecuada en los procedimientos de seguridad pertinentes;
t) Someter a aprobación del ente licenciante el manual de procedimientos, el plan de seguridad y el de cese de actividades, así como el detalle de los componentes técnicos a utilizar;
u) Constituir domicilio legal en la República Argentina;
v) Disponer de recursos humanos y tecnológicos suficientes para operar de acuerdo a las exigencias establecidas en la presente ley y su reglamentación;
w) Cumplir con toda otra obligación emergente de su calidad de titular de la licencia adjudicada por el ente licenciante”.
“El certificador licenciado cesa en tal calidad:
a) Por decisión unilateral comunicada al ente licenciante;
b) Por cancelación de su personería jurídica;
c) Por cancelación de su licencia dispuesta por el ente licenciante.
La autoridad de aplicación determinará los procedimientos de revocación aplicables en estos casos”.
El certificado no es válido ,si es utilizado:
“a)Para alguna finalidad diferente a los fines para los cuales fue extendido;
b) Para operaciones que superen el valor máximo autorizado cuando corresponda;
c) Una vez revocado”.
Los derechos que surgen de la titularidad del certificado son los siguientes:
“a) A ser informado por el certificador licenciado, con carácter previo a la emisión del certificado digital, y utilizando un medio de comunicación sobre las condiciones precisas de utilización del certificado digital, sus características y efectos, la existencia de este sistema de licenciamiento y los procedimientos asociados. Esa información deberá darse por escrito en un lenguaje fácilmente comprensible. La parte pertinente de dicha información estará también disponible para terceros;
b) A que el certificador licenciado emplee los elementos técnicos disponibles para brindar seguridad y confidencialidad a la información proporcionada por él, y a ser informado sobre ello;
c) A ser informado, previamente a la emisión del certificado, del precio de los servicios de certificación, incluyendo cargos adicionales y formas de pago;
d) A que el certificador licenciado le informe sobre su domicilio en la República Argentina, y sobre los medios a los que puede acudir para solicitar aclaraciones, dar cuenta del mal funcionamiento del sistema, o presentar sus reclamos;
e) A que el certificador licenciado proporcione los servicios pactados, y a no recibir publicidad comercial de ningún tipo por intermedio del certificador licenciado”.
ORGANIZACION INSTITUCIONAL
La firma digital requiere un marco institucional que produzca confianza.
Evidentemente puede haber una firma de este tipo mediante un acuerdo celebrado entre dos partes, las cuales se obligan a reconocerla según los criterios que los contratantes fijen, y ello no ofrece ninguna dificultad. Sin embargo, el costo de negociar estos acuerdos es alto entre las partes que no se conocen o que están situados en lugares lejanos y no tienen referencias; por ello, para que exista un uso difundido y rápido, se utiliza un tercero que certifica.
La figura del tercero otorga confianza y disminuye los costos de la transacción. El problema es quien es ese tercero, que hace y con que extensión.
En la práctica negocial han surgido organizaciones que proveen de certificados y que se hacen confiables por su conducta y el apoyo que van logrando en la comunidad. La expansión de estos procedimientos de adhesión voluntaria se produce, generalmente, en grupos cerrados o que reconocen algún límite, pero es difícil para ellos lograr un reconocimiento generalizado de su actuación. Por esta razón, muchas legislaciones regulan un sistema institucional que requiere del registro público de las autoridades certificantes.
AUDITORIA
Además de la emisión por parte de un certificador licenciado ,se establece un sistema auditoria, en los siguientes términos: “La autoridad de aplicación, con el concurso de la Comisión Asesora para la Infraestructura de Firma Digital, diseñará un sistema de auditoría para evaluar la confiabilidad y calidad de los sistemas utilizados, la integridad, confidencialidad y disponibilidad de los datos, así como también el cumplimiento de las especificaciones del manual de procedimientos y los planes de seguridad y de contingencia aprobados por el ente licenciante”.
Los sujetos a auditar ,son el ente licenciante y los certificadores licenciados. La autoridad de aplicación podrá implementar el sistema de auditoria por sí o por terceros habilitados a tal efecto. Las auditorias deben como mínimo evaluar la confiabilidad y calidad de los sistemas utilizados, la integridad, confidencialidad y disponibilidad de los datos, como así también el cumplimiento de las especificaciones del manual de procedimientos y los planes de seguridad y de contingencia aprobados por el ente licenciante. Asimismo se establece en el artículo 34 que:" Podrán ser terceros habilitados para efectuar las auditorías las Universidades y organismos científicos y/o tecnológicos nacionales o provinciales, los Colegios y Consejos profesionales que acrediten experiencia profesional acorde en la materia”.
COMISION ASESORA
También se establece ,una comisión asesora para la infraestructura de firma digital.
La comisión asesora ,“... estará integrada multidisciplinariamente por un máximo de 7 (siete) profesionales de carreras afines a la actividad de reconocida trayectoria y experiencia, provenientes de Organismos del Estado nacional, Universidades Nacionales y Provinciales, Cámaras, Colegios u otros entes representativos de profesionales.
Los integrantes serán designados por el Poder Ejecutivo por un período de cinco (5) años renovables por única vez.
Se reunirá como mínimo trimestralmente. Deberá expedirse prontamente a solicitud de la autoridad de aplicación y sus recomendaciones y disidencias se incluirán en las actas de la Comisión.
Consultará periódicamente mediante audiencias públicas con las cámaras empresarias, los usuarios y las asociaciones de consumidores y mantendrá a la autoridad de aplicación regularmente informada de los resultados de dichas consultas”.
Son sus funciones :“...emitir recomendaciones por iniciativa propia o a solicitud de la autoridad de aplicación, sobre los siguientes aspectos:
a) Estándares tecnológicos;
b) Sistema de registro de toda la información relativa a la emisión de certificados digitales;
c) Requisitos mínimos de información que se debe suministrar a los potenciales titulares de certificados digitales de los términos de las políticas de certificación;
d) Metodología y requerimiento del resguardo físico de la información;
e) Otros que le sean requeridos por la autoridad de aplicación”.
AUTORIDAD DE APLICACION
Finalmente se dispone que la autoridad de aplicación será la jefatura de gabinete de ministros . Sus funciones son :
“a) Dictar las normas reglamentarias y de aplicación de la presente;
b) Establecer, previa recomendación de la Comisión Asesora para la Infraestructura de la Firma Digital, los estándares tecnológicos y operativos de la Infraestructura de Firma Digital;
c) Determinar los efectos de la revocación de los certificados de los certificadores licenciados o del ente licenciante;
d) Instrumentar acuerdos nacionales e internacionales a fin de otorgar validez jurídica a las firmas digitales creadas sobre la base de certificados emitidos por certificadores de otros países;
e) Determinar las pautas de auditoría, incluyendo los dictámenes tipo que deban emitirse como conclusión de las revisiones;
f) Actualizar los valores monetarios previstos en el régimen de sanciones de la presente ley;
g) Determinar los niveles de licenciamiento;
h) Otorgar o revocar las licencias a los certificadores licenciados y supervisar su actividad, según las exigencias instituidas por la reglamentación;
i) Fiscalizar el cumplimiento de las normas legales y reglamentarias en lo referente a la actividad de los certificadores licenciados;
j) Homologar los dispositivos de creación y verificación de firmas digitales, con ajuste a las normas y procedimientos establecidos por la reglamentación;
k) Aplicar las sanciones previstas en la presente ley”.
Se establecen las siguientes obligaciones:
“a) Abstenerse de generar, exigir, o por cualquier otro medio tomar conocimiento o acceder, bajo ninguna circunstancia, a los datos utilizados para generar la firma digital de los certificadores licenciados;
b) Mantener el control exclusivo de los datos utilizados para generar su propia firma digital e impedir su divulgación;
c) Revocar su propio certificado frente al compromiso de la privacidad de los datos de creación de firma digital;
d) Publicar en Internet o en la red de acceso público de transmisión o difusión de datos que la sustituya en el futuro, en forma permanente e ininterrumpida, los domicilios, números telefónicos y direcciones de Internet tanto de los certificadores licenciados como los propios y su certificado digital;
e) Supervisar la ejecución del plan de cese de actividades de los certificadores licenciados que discontinúan sus funciones”.
La autoridad de aplicación, podrá cobrar un arancel de licenciamiento para cubrir sus costos operativos y de las auditorias realizadas por sí o por terceros contratados a tal efecto.
SUPERVISIÓN Y CONTROL
Ministerio Secretaría General de la Presidencia asesorará a los organismos de la Administración del Estado en la implementación de sistemas de firma digital y diseñará y coordinará planes piloto para emplear la firma digital en servicios determinados.
INSTANCIAS QUE INTERVIENEN EN LA EMISIÓN DE CERTIFICADOS
-
No hace referencia.
-
Protección de datos
-
No hace referencia
ELEMENTOS DE SEGURIDAD
La utilización de soportes, medios y aplicaciones electrónicos, informáticas y telemáticas en las actuaciones administrativas, requerirá la adopción de medidas técnicas y de organización necesarias para garantizar la autenticidad confidencialidad, integridad y conservación de la información. Las autoridades de cada órgano o servicio deberán adoptar medidas de seguridad para que los soportes, medios y aplicaciones informáticas cumplan con estándares internacionalmente reconocidos.
VALOR PROBATORIO
Los documentos de los órganos señalados en la ley escritos en un soporte electrónico, producirán los mismos efectos que los escritos en un soporte de papel. En dichos documentos, la firma digital sustituirá a la firma ológrafa del funcionario que lo emite y producirá los mismos efectos que aquélla.
La firma digital sustituirá el uso de cualquier sello, timbre, visto bueno u otra marca distinta que fuere necesaria para la validez del documento, si este hubiere sido escrito sobre un soporte de papel.
RECONOCIMIENTO DE CERTIFICADOS EXTRANJEROS
-
No hace referencia
-
Responsabilidades por daños y perjuicios
-
No hace referencia
-
Sanciones
-
No hace referencia
CONCLUSIÓN
En el desarrollo de éste Trabajo hemos examinado las funciones y características de la firma, buscando su real funcionalidad en la realidad, concluyendo que en general, y en nuestra opinión, se trata de un símbolo cuya utilidad como medio de seguridad e identificación en el trafico jurídico no es tan grande como aparenta.
Hemos examinado, de una manera muy general, nuevas tecnologías que la podrían reemplazar y de qué manera en ellas se podrían incorporar sus funciones cuando su necesidad sea apremiante, ya que de hecho muchas de las transacciones electrónicas que hoy en día se realizan en el mundo, no utilizan sino protocolos de identificación a los que no podríamos llamar firma ni suscripción electrónica.
BIBLIOGRAFIA
Diccionario de la Lengua Española de la Real Academia, Vigésima segunda edición, Madrid, 2002.
Planiol y Ripert. Traite Pratique de Droit Civil Francais, T.VII, Nº1458. Cit por Siri García de Alonso, Julia y Wonsiak, María en El documento electrónico. Revista de la Facultad de Derecho y Ciencias Sociales, Nº 3 Y 4, Pág.294, julio-diciembre 1988
1
Firma Electrónica
4
Legislación
Descargar
Enviado por: | Karina Valenzuela |
Idioma: | castellano |
País: | Chile |