LA INTEROPERABILIDAD DE LA FIRMA ELECTRÓNICA DESDE UNA PERSPECTIVA INTERNACIONAL.

Introducción

En un mundo cada vez más digitalizado, la firma electrónica se ha convertido en una herramienta esencial para realizar trámites y transacciones de manera segura y eficiente. 

Sin embargo, para que esta tecnología sea verdaderamente útil, es necesario que las diferentes plataformas y sistemas puedan comunicarse e intercambiar información de forma fluida.

En ese sentido, y al ser esta una investigación que analiza la comunicación entre diversos sistemas de información, se tendrá como referencias teóricas las de Niklas Luhmann (Teoría de sistemas), así como la de Jürgen Habermass (Teoría de la acción comunicativa) 

Bajo esa tesitura, conviene definir, en primera instancia que la interoperabilidad de firma electrónica se refiere a la capacidad de distintos sistemas y plataformas para reconocer, validar y procesar firmas electrónicas de manera uniforme, independientemente del software o hardware utilizado para generarlas. Esto significa que una firma electrónica realizada en un sistema puede ser verificada y aceptada en otro sistema.

No obstante, la regulación actual tan dispersa de la firma electrónica avanzada en México ocasiona la coexistencia de varias autoridades y por ende distintos prestadores de servicios de emisión de firma electrónica que emiten certificados digitales bajo diversa regulación, proceso, vigencia, ámbito de validez, etc. 

Por ende, esta pluralidad de normativas en materia de firma electrónica no permite la comunicación efectiva entre los diversos sistemas utilizados por los emisores de firma, lo cual tiene como consecuencia una fragmentación en los procesos, una mayor carga administrativa, riesgos a la seguridad de la información, costos elevados y duplicados, crea barreras a la innovación, entre otras. 

Por tanto, se considera que, para tener una normatividad armonizada, es necesario realizar el análisis desde una perspectiva internacional, toda vez que esta dispone una serie de parámetros que pueden ser adoptados por la legislación local, e incluso adoptar una Ley Marco, como se maneja en el plano internacional, pasando de lo general a lo específico, unificando los elementos técnicos y jurídicos para después, en lo específico establecer una comunicación efectiva entre operadores, causando con ello beneficios tanto en los niveles de gobierno como en los usuarios finales.

Una vez presentado lo anterior, la presente investigación tiene por objeto analizar la implementación de la interoperabilidad de la firma electrónica en derecho público y privado desde una perspectiva internacional. 

Este trabajo se estructura en 4 grandes rubros, que son: el análisis del marco normativo internacional, mediante el cual se expondrán una serie de convenciones en materia de derechos humanos, así como su dialogo con la legislación local, a efecto de identificar deficiencias normativas. 

En segundo plano, se expondrá un ejemplo claro de una legislación europea que ha adoptado el sistema propuesto por la normatividad internacional como un caso de éxito. 

Como tercer punto, se analizarán los principios fundamentales de la interoperabilidad para una implementación eficaz, así como inconvenientes que acarrea el no implementarla en materia de firma electrónica.

Por último, se plantearán los hallazgos, así como las propuestas y conclusiones a las que se arriben derivado del análisis conjunto de los temas abordados.

Para la persecución de dicho objeto, se utilizará una metodología inductiva, así como descriptiva y de sustento académico se analiza la teoría de la acción comunicativa de Jürgen Habermas. 

Marco jurídico sobre la firma electrónica a nivel internacional.

Para efectos de esta investigación, resulta necesario el estudio del marco legislativo internacional, toda vez que esta sienta las bases para una correcta utilización de las tecnologías, al mismo tiempo que nos muestra ejemplos de países donde se ha implementado la interoperabilidad dentro de su marco tecnológico y jurídico en materia de firma electrónica para así poder traer a nuestro sistema jurídico lo que resulte útil y aplicable. 

En tal sentido, las firmas electrónicas, así como la firma autógrafa tiene distintos usos en distintos ámbitos de la vida profesional, legal, comercial, financiera, etc., la necesidad de la firma electrónica como un medio digital de identificación y como expresión de voluntad encuentra su fundamento en el comercio, sobre todo internacional. 

En ese sentido, en un mundo con una creciente interdependencia económica, se reconoce de manera generalizada la importancia de crear y mantener un marco jurídico transfronterizo robusto para facilitar el comercio y la inversión internacionales.

La Comisión de las Naciones Unidas para el Derecho Mercantil Internacional (en lo sucesivo CNUDMI) tiene un papel clave en la elaboración de ese marco en cumplimiento de su mandato de fomentar la armonización y modernización progresivas del derecho mercantil internacional. 

Con tal fin, la Comisión antes referida prepara y promueve la utilización e incorporación de instrumentos legislativos y no legislativos en varios ámbitos fundamentales del derecho creando una Ley Modelo, la cual tiene como por objeto posibilitar y facilitar la utilización de las firmas electrónicas estableciendo criterios de fiabilidad técnica para la equivalencia entre las firmas electrónicas y las manuscritas. 

Así pues, la Ley Modelo puede ayudar a los Estados a establecer un marco legislativo moderno, armonizado y equitativo que permita regular con eficacia el trato jurídico de las firmas electrónicas de modo que su utilización no dé lugar a dudas sobre su seguridad.

La Ley Modelo sobre las Firmas Electrónicas se basa en los principios fundamentales comunes a todos los textos de la CNUDMI que rigen el comercio electrónico, a saber, la no discriminación, la neutralidad respecto de los medios técnicos y la equivalencia funcional. 

También establece criterios de fiabilidad técnica para la equivalencia entre las firmas electrónicas y las firmas manuscritas, así como normas básicas de conducta que pueden servir de directrices para evaluar las obligaciones y la responsabilidad del signatario, de la parte que se fía de la firma y de otros terceros que intervienen en el proceso de firma y en quienes se confía. 

Por último, la Ley Modelo contiene disposiciones que favorecen el reconocimiento de los certificados extranjeros y las firmas electrónicas sobre la base de un principio de equivalencia sustantiva que no otorga importancia al lugar de origen de la firma extranjera.

Para los fines de la presente Ley: 

a) Por “firma electrónica” se entenderán los datos en forma electrónica consignados en un mensaje de datos, o adjuntados o lógicamente asociados al mismo, que puedan ser utilizados para identificar al firmante en relación con el mensaje de datos e indicar que el firmante aprueba la información recogida en el mensaje de datos;

(…)

De la Proción normativa antes apuntada, se desprende que la noción de “firma electrónica” aspira a abarcar todos los usos tradicionales de una firma manuscrita con consecuencias jurídicas, siendo la identificación del firmante y la intención de firmar sólo el mínimo común denominador de los diversos criterios relativos a la “firma” que se hallan en los diversos ordenamientos jurídicos. 

En consecuencia, definir una firma electrónica como capaz de indicar la aprobación de la información equivale primordialmente a establecer un requisito técnico previo para el reconocimiento de una determinada tecnología apta para crear el equivalente de una firma manuscrita.

Por otra parte, para efectos de la investigación que nos ocupa, la Ley Modelo dispone que, si los medios de creación de la firma electrónica cumplen con los requisitos de sus disposiciones, no deberá excluirse su uso, con lo que se abre la conversación al reconocimiento de certificados digitales a través de las fronteras. 

Artículo 3. Igualdad de tratamiento de las tecnologías para la firma. 

Ninguna de las disposiciones de la presente Ley, con la excepción del artículo 5, será aplicada de modo que excluya, restrinja o prive de efecto jurídico cualquier método para crear una firma electrónica que cumpla los requisitos enunciados en el párrafo 1 del artículo 6 o que cumpla de otro modo los requisitos del derecho aplicable.

Este artículo, resulta fundamental, toda vez que su espíritu es el de reconocimiento de los métodos utilizados en la creación, tanto de certificados de firma como la firma electrónica per se, lo cual se encuentra en armonía con los principios de neutralidad e interoperabilidad en estudio.

Estos conceptos se pueden traer al sistema jurídico mexicano, en cuanto a que si no es posible unificar la legislación en una sola que establezca los criterios y elementos para la creación de firma, se permita el reconocimiento entre los distintos emisores, para todos los efectos jurídicos que tengan lugar.

Actualmente esto no sucede, sino que, a pesar de que existen diversidad de operadores de firma electrónica, no se contempla el reconocimiento en la operación de los sistemas de los mismos, sino que cada firma tiene una función específica, sin que exista la posibilidad de poder utilizar esa firma en otro contexto. 

No obstante, algunos organismos de derecho público están generando convenios de colaboración en un marco de colaboración interinstitucional de cooperación técnica para recibir información sobre los certificados de firma electrónica. 

Esto es, las partes convienen en establecer las acciones necesarias y mecanismos de colaboración para la implementación y uso de los certificados de la Firma Electrónica Avanzada de las personas físicas y morales que expide la primera, en los trámites o servicios de la segunda, referentes a las gestiones conducentes para que los usuarios que requieran realizar trámites, gestiones o consultas a través de medios electrónicos ante el segundo, en términos de la Ley, puedan hacer uso de la Firma Electrónica Avanzada. 

Y aunque esto es un pequeño avance, significa un tratamiento muy limitado del uso de la firma electrónica, toda vez que se da únicamente entre dos operadores de firma, siendo necesario que el reconocimiento se de entre todos los agentes y a todos los niveles y en todos los aspectos en los que se pueda utilizar la firma. 

Ahora bien, la palabra “certificado” utilizada en el contexto de ciertos tipos de firma electrónica y definida en la Ley Modelo poco difiere de su significado general de documento mediante el cual una persona confirma ciertos hechos. La única diferencia es que el certificado se presenta en forma electrónica y no sobre papel.

La finalidad del certificado es reconocer, mostrar o confirmar un vínculo entre los datos de creación de la firma y el firmante. Ese vínculo nace cuando se generan los datos de creación de la firma. 

Por otra parte, el principio fundamental de la no discriminación se ha concebido con la finalidad de tener una aplicación general. Sin embargo, cabe señalar que ese principio no tiene que afectar a la autonomía de la voluntad de las partes. 

En la interpretación de la Ley en cita habrán de tenerse en cuenta su origen internacional y la necesidad de promover la uniformidad en su aplicación y la observancia de la buena fe.

En particular, la Ley Modelo tiene la finalidad de superar los obstáculos que plantean las disposiciones legislativas y que no pueden modificarse mediante contrato, equiparando el trato dado a la información sobre papel al trato dado a la información electrónica. Esa igualdad de tratamiento es esencial para hacer posibles las comunicaciones sin soporte de papel y para fomentar así la eficacia en el comercio internacional.

De esta forma, se trata de ayudar a remediar los inconvenientes que dimanan del hecho, de que un régimen legal interno inadecuado, puede obstaculizar el comercio internacional, al depender una parte importante de ese comercio de la utilización de las modernas técnicas de comunicación.

Por ello, la Ley Modelo sobre Comercio Electrónico se enuncian los procedimientos y principios básicos, a la vez que fundamentales, para facilitar el empleo de las técnicas modernas de comunicación, con objeto de consignar y comunicar la información en diversos tipos de circunstancias, tales como: la no discriminación, la neutralidad respecto de los medios técnicos y la equivalencia funcional, principios ampliamente reconocidos como elementos fundamentales de la firma electrónica

1.1 Convención de Naciones Unidas sobre la Utilización de las Comunicaciones Electrónicas en los Contratos Internacionales

Ante los obstáculos y problemas formales creados por la incertidumbre, en cuanto a los valores jurídicos de las comunicaciones electrónicas intercambiadas en el ámbito de los contratos internacionales, que constituyen una dificultad para el comercio internacional, se consideró conveniente la adopción de la Convención de las Naciones Unidas sobre la Utilización de las Comunicaciones Electrónicas en los Contratos Internacionales que establece normas uniformes para eliminar los obstáculos que se oponen al uso de las comunicaciones electrónicas en los contratos internacionales.

Dicha convención es un tratado internacional diseñado para facilitar y garantizar la seguridad jurídica de las transacciones comerciales realizadas a través de medios electrónicos. 

El principal objeto de esta Convención es promover el comercio electrónico transfronterizo. 

Al establecer un marco legal claro y uniforme se busca eliminar cualquier obstáculo legal que pueda surgir debido a la naturaleza electrónica de una comunicación o contrato, al mismo tiempo que promueve la confianza en las transacciones electrónicas al brindar seguridad jurídica a las partes involucradas.

Esta convención se aplica a todas las comunicaciones electrónicas intercambiadas entre partes cuyos establecimientos estén situados en diferentes Estados y cuando al menos una de esas partes tenga su establecimiento en un Estado Contratante.

Ha sido un hito importante en el desarrollo del comercio electrónico a nivel mundial, al proporcionar un marco legal sólido y predecible, ha contribuido a eliminar la necesidad de imprimir y enviar documentos físicos, reduciendo los costos asociados con las transacciones comerciales.

Del mismo modo, los procesos comerciales se vuelven más rápidos y eficientes gracias a la automatización y la digitalización y ha facilitado la expansión y el acceso a nuevos mercados y consumidores a nivel global.

La Convención, con miras a aumentar la certidumbre jurídica y la previsibilidad comercial, en el deseo de encontrar una solución común para eliminar los obstáculos jurídicos que se oponen al uso de las comunicaciones electrónicas para los estados con sistemas jurídicos, sociales y económicos diferentes, les ofrece disposiciones sobre comercio electrónico brindándoles una legislación moderna, uniforme y cuidadosamente redactada para ellos, aludiendo a dos principios que han guiado toda la labor de la CNUDMI en materia de comercio electrónico: neutralidad tecnológica y equivalencia funcional.

1.2 Conferencia de la Haya. Aspectos relevantes de Firma Electrónica

La Conferencia de la Haya de Derecho Internacional Privado es una organización intergubernamental de carácter mundial que elabora instrumentos jurídicos multilaterales que tratan de dar respuesta a las necesidades mundiales, al tiempo que garantiza su seguimiento, con el objetivo de promover la unificación progresiva de las normas de Derecho Internacional Privado. 

El mandato estatutario de la Conferencia consiste en trabajar en función de alcanzar la unificación progresiva de estas normas. Ello implica encontrar enfoques reconocidos internacionalmente para cuestiones como la competencia de los tribunales, el Derecho aplicable, el reconocimiento y la ejecución de sentencias en numerosos ámbitos diferentes, desde el Derecho bancario o comercial hasta el procedimiento civil internacional.

La Conferencia de La Haya de Derecho Internacional Privado ha organizado, desde finales de la década de los noventa, diversas conferencias y mesas redondas sobre comercio electrónico y derecho internacional privado a fin de analizar los múltiples aspectos que aquel representa y su incidencia en las normas. 

Así, se celebró una mesa redonda a fin de debatir sobre los problemas vinculados a la jurisdicción y a la ley aplicable al comercio electrónico y a las transacciones por Internet. 

En dicha reunión se afirmó que el Internet difiere de otras tecnologías en dos aspectos: en primer lugar, es inherentemente global, y en segundo lugar, se reduce enormemente las barreras económicas de entrada al comercio. 

Esto hace que las estrategias tradicionales de reglamentación para proteger a los consumidores y otros valores sociales sea cada vez más importante. Las recomendaciones de la mesa redonda se pueden sintetizar en lo siguiente: 

a. Se considera necesaria la aplicación de los principios establecidos en la Ley Modelo de la CNUDMI sobre Comercio Electrónico. 

b. Las normas deben ser, necesariamente, tecnológicamente neutrales. 

c. Los factores de conexión relevantes son la ubicación de cada una de las partes involucradas. 

d. En las transacciones electrónicas de negocio a negocio, la autonomía de las partes debe ser el principio rector, tanto en lo que respecta a la ley aplicable como a la jurisdicción. 

e. Comenzar un proceso de certificación que incluya reglas mínimas sustantivas de protección para el consumidor, incluyendo un mecanismo de resolución de conflictos justa y fácil, que podría ser gratuito para el consumidor. 

f. La identificación de los consumidores a través de la red es esencial para el buen funcionamiento del comercio electrónico. 

g. En materia de protección de datos, la mesa redonda reconoció que la recopilación de datos incluidos los datos personales y su procesamiento son inherentes al comercio electrónico. 

h. En materia de seguridad de los sistemas (confidencialidad, integridad, autenticación, no repudio y disponibilidad), se llegó a la conclusión de que la necesidad de confidencialidad no debe ser considerada como un impedimento para el uso de los formularios electrónicos de transmisión. Se sugirió que los Estados deben fomentar el uso de esas técnicas. 

i. Por último, la Mesa Redonda consideró necesario el fomentado el desarrollo de mecanismos de resolución de conflictos en línea.

2. Legislación Española en Materia de Firma Electrónica 

A manera de ejemplo, se considera útil el análisis de un estado el cual ha implementado de manera eficiente y funcional la interoperabilidad de firma electrónica dentro de sus sistemas digitales, por lo que, adicional al estudio de sus disposiciones, se analizará frente al orden jurídico mexicano, a efecto de evidenciar diferencias y deficiencias. 

La interoperabilidad de la firma electrónica en España es un tema de gran relevancia, ya que garantiza que las firmas electrónicas realizadas en un sistema puedan ser reconocidas y validadas en otros, facilitando así la realización de trámites y transacciones digitales.

2.1 Marco Legal y Normativo

Actualmente, la firma electrónica está regulada a nivel europeo en el Reglamento eIDAS que establece los tipos de firma electrónica existentes y las características de cada una de ellas.

Por su parte, la legislación española ha establecido un marco normativo sólido para regular la firma electrónica y promover su interoperabilidad. Entre las normas más importantes destacan:

2.1.1 Ley 59/2003, de 19 de diciembre, de firma electrónica: 

Esta ley establece los requisitos para que una firma electrónica tenga el mismo valor legal que una manuscrita, así como los principios básicos para garantizar la seguridad y la interoperabilidad de los sistemas de firma electrónica.

2.1.2 Real Decreto 1619/2012, de 30 de noviembre, por el que se desarrolla la Ley 59/2003: 

Este real decreto profundiza en los aspectos técnicos de la firma electrónica y establece los requisitos para que los prestadores de servicios de certificación puedan operar en España.

2.1.3 Esquema Nacional de Interoperabilidad (ENI): 

El ENI establece las normas y estándares técnicos que deben cumplir los sistemas de información de las administraciones públicas para garantizar su interoperabilidad, incluyendo la firma electrónica.

2.2 El Reglamento eIDAS o Reglamento (UE) Nº 910/2014 

Está recogido en el Parlamento Europeo y supone el principal punto de partida hacia la transformación digital en el ámbito de intercambio y firma de datos.

Este Reglamento concluye el marco legal que regula las firmas electrónicas y sirve como medida de transparencia y supervisión para los procesos de documentación.

El eIDAS tiene validez a nivel europeo y permite a los ciudadanos, empresas y administraciones públicas compartir e intercambiar información con plena validez legal.

Es decir, establece los límites jurídicos a los que hay que acogerse para que las firmas electrónicas sean válidas y seguras, regulando la identificación de la firma electrónica.

Su uso permite a todos los ciudadanos de la UE acceder a los servicios públicos y establece actividades de confianza ofreciendo garantías legales a los procesos de firma.

El eIDAS introdujo métodos de identificación electrónica para que las compañías y sus clientes pudiesen realizar las gestiones y trámites desde cualquier lugar sin requerir la presencia física de los clientes en la oficina.

Asimismo, el reglamento ha posibilitado la interoperabilidad de los ciudadanos de la UE garantizando sistemas de identificación electrónica seguros, es decir, a través del eIDAS se facilitan las transacciones entre empresas, Administraciones y clientes de todos los países propios de la Unión Europea.

Su importancia es tal que, aporta homogeneización europea, ya que todos los servicios de firma electrónica están regulados por el mismo reglamento y favorece el comercio internacional entre los distintos países de la UE.

Tal y como dispone el Reglamento eIDAS en su artículo 25:

“una firma electrónica cualificada tendrá un efecto jurídico equivalente al de una firma manuscrita”.

Y en su artículo 26, indica los requisitos que debe cumplir una firma electrónica avanzada: 

• Estar vinculada al firmante de manera única.

• Permitir la identificación del firmante.

• Haber sido creada utilizando datos de creación de la firma electrónica que el firmante puede utilizar, con un alto nivel de confianza, bajo su control exclusivo.

• Estar vinculada con los datos firmados por la misma de modo tal que cualquier modificación ulterior de los mismos sea detectable.

  
  

2.3 Ley 6/2020

Antes de entrar al análisis de las disposiciones de esta ley, es de destacar que existen varios tipos de firma electrónica en España, y su nivel de seguridad y validez legal puede variar. Estos son los principales tipos de firma electrónica en España:

• Firma electrónica simple: Es el nivel más bajo de firma electrónica y se utiliza para identificación básica. Se utiliza para transacciones que no requieren un alto nivel de seguridad.

• Firma electrónica avanzada: Este tipo de firma requiere un proceso de identificación más riguroso y proporciona un nivel moderado de seguridad. Puede utilizarse en una amplia variedad de transacciones electrónicas.

• Firma electrónica cualificada: Este es el nivel más alto de firma electrónica en España. Requiere una identificación muy sólida y cumple con los estándares establecidos en la normativa de la Unión Europea. Es adecuada para transacciones de alto valor y alto riesgo.

Ahora bien, dentro del Preámbulo V de la Ley, se dispone que, si bien la prestación de servicios electrónicos de confianza se realiza en régimen de libre competencia, el Reglamento (UE) 910/2014 prevé, para los servicios cualificados, un sistema de verificación previa de cumplimiento de los requisitos que en él se imponen. 

Así, se diseña un sistema mixto de colaboración público-privada para la supervisión de los prestadores cualificados, pues su inclusión en la lista de confianza, que permite iniciar esa actividad, debe basarse en un informe de evaluación de la conformidad emitido por un organismo de evaluación acreditado por un organismo nacional de acreditación, establecido en alguno de los Estados miembros de la Unión Europea. 

Por su parte, el Artículo 6 refiere que la identidad del titular en los certificados cualificados se consignará de la siguiente forma:

• En el supuesto de certificados de firma electrónica y de autenticación de sitio web expedidos a personas físicas, por su nombre y apellidos y su número de Documento Nacional de Identidad, número de identidad de extranjero o número de identificación fiscal, o a través de un pseudónimo que conste como tal de manera inequívoca. Los números anteriores podrán sustituirse por otro código o número identificativo únicamente en caso de que el titular carezca de todos ellos por causa lícita, siempre que le identifique de forma unívoca y permanente en el tiempo.

Dicha disposición es importante para entender que la firma electrónica en España está ligada al número del Documento Nacional de Identidad, por lo que anterior a solicitar una firma electrónica se debe tramitar un Documento Nacional de Identidad debidamente digitalizado, para cumplir con el requisito de unicidad. (Artículo 7)

Ahora bien, en las disposiciones adicionales (transitorios en México) se dispone lo siguiente: 

Disposición adicional segunda. Efectos jurídicos de los sistemas utilizados en las Administraciones públicas.

Todos los sistemas de identificación, firma y sello electrónico previstos en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, y en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, tendrán plenos efectos jurídicos.

2.4 Ley 39/2015 

El artículo 10 dispone los Sistemas de firma admitidos por las Administraciones Públicas, los cuales podrán ser: 

• Los interesados podrán firmar a través de cualquier medio que permita acreditar la autenticidad de la expresión de su voluntad y consentimiento, así como la integridad e inalterabilidad del documento.

• En el caso de que los interesados optaran por relacionarse con las Administraciones Públicas a través de medios electrónicos, se considerarán válidos a efectos de firma: 

a) Sistemas de firma electrónica cualificada y avanzada basados en certificados electrónicos cualificados de firma electrónica expedidos por prestadores incluidos en la ‘‘Lista de confianza de prestadores de servicios de certificación’’. 

b) Sistemas de sello electrónico cualificado y de sello electrónico avanzado basados en certificados electrónicos cualificados de sello electrónico expedidos por prestador incluido en la ‘‘Lista de confianza de prestadores de servicios de certificación’’. 

c) Cualquier otro sistema que las Administraciones públicas consideren válido en los términos y condiciones que se establezca, siempre que cuenten con un registro previo como usuario que permita garantizar su identidad y previa comunicación a la Secretaría General de Administración Digital del Ministerio de Asuntos Económicos y Transformación Digital.

Por otra parte, el artículo 14 refiere la obligación de relacionarse electrónicamente con la Administración Pública: 

• Las personas jurídicas.

• Las entidades sin personalidad jurídica.

• Quienes ejerzan una actividad profesional para la que se requiera colegiación obligatoria, para los trámites y actuaciones que realicen con las Administraciones Públicas en ejercicio de dicha actividad profesional. (Se entenderán incluidos los notarios y registradores de la propiedad y mercantiles).

• Quienes representen a un interesado que esté obligado a relacionarse electrónicamente con la Administración.

• Los empleados de las Administraciones Públicas para los trámites y actuaciones que realicen con ellas por razón de su condición de empleado público, en la forma en que se determine reglamentariamente por cada Administración.

Como se puede apreciar, España introduce a su sistema jurídico la firma electrónica cualificada, la cual tiene validez no sólo en ese país, sino en toda la Unión Europea mediante organismos certificadores de certificados digitales, tanto para el derecho privado como el público, garantizando la identificación de los firmantes y otorgando legalidad y certeza jurídica a quien use dicha tecnología.

3. Principios fundamentales de la Interoperabilidad 

Estos principios, resultan importantes en la implementación de una firma electrónica interoperable y jurídicamente valida, pues aportan elementos que dan legitimidad a la misma en cuanto a lo jurídico, como a lo técnico. 

3.1 Equivalencia Funcional

Por principio de cuentas, en el contexto de la firma electrónica, la equivalencia funcional establece que una firma electrónica avanzada tiene el mismo valor legal y probatorio que una firma autógrafa tradicional realizada en papel. Es decir, ambas cumplen la misma función: autenticar la identidad del firmante y garantizar la integridad del documento.

Es importante este concepto, dado que la equivalencia funcional otorga a las firmas electrónicas el mismo reconocimiento legal que a las firmas manuscritas, lo que permite su uso en una amplia variedad de trámites y transacciones.

También garantiza la integridad del documento, agiliza los procesos, reduce costos y facilita la realización de trámites a distancia.

3.1.1 Elementos clave de la equivalencia funcional:

• Autenticación: La firma electrónica debe permitir identificar de manera inequívoca al firmante.

• Integridad: La firma electrónica debe garantizar que el documento no ha sido alterado después de ser firmado.

• No repudio: El firmante no puede negar posteriormente haber firmado el documento.

Ahora bien, los requisitos para una eficiente equivalencia funcional son que, debe cumplir con los requisitos establecidos en la normativa vigente, que generalmente incluyen el uso de certificados digitales y algoritmos criptográficos seguros.

También se requiere una infraestructura de clave pública confiable para generar, gestionar y verificar los certificados digitales.

Y por último, la legislación debe reconocer la equivalencia funcional de la firma electrónica y establecer las condiciones para su uso, siendo esto el elemento más relevante para efectos de la investigación y el problema que plantea la misma, pues actualmente no existe marco legal uniforme que contemple este elemento como parte de una firma electrónica eficaz. 

3.2 Neutralidad Tecnológica 

Por su parte, la neutralidad tecnológica en el ámbito de la firma electrónica es un principio fundamental que busca garantizar que ningún método, procedimiento, dispositivo o tecnología en particular sea favorecido o desfavorecido a la hora de crear una firma electrónica válida. En otras palabras, se trata de un enfoque que evita discriminar entre las diversas tecnologías disponibles y promueve la competencia en el mercado.

Esto resulta importante, toda vez que, al no restringir el uso de determinadas tecnologías, se fomenta la innovación y el desarrollo de nuevas soluciones en el campo de la firma electrónica.

Además, permite que los sistemas de firma electrónica se adapten a los cambios tecnológicos y a las nuevas necesidades del mercado, creando competencia entre diferentes proveedores de soluciones de firma electrónica beneficiando a los usuarios al ofrecer mejores productos y servicios a precios más competitivos.

Ahora bien, para que la neutralidad tecnológica exista y sea efectiva, se tienen que atender diversos principios clave, lo cuales son: 

• Igualdad de trato: Todas las tecnologías que cumplan con los requisitos establecidos deben ser consideradas válidas para la creación de firmas electrónicas.

• Flexibilidad: La normativa debe permitir la evolución tecnológica y no quedar obsoleta rápidamente.

• Seguridad: La neutralidad tecnológica no debe comprometer la seguridad de las transacciones electrónicas.

Como pudo analizarse, tanto la equivalencia funcional, como la neutralidad tecnológica con elementos clave para que los sistemas de firma electrónica sean capaces de comunicarse e intercambiar información de manera fluida.

3.3 Retos por superar en la implementación de la interoperabilidad de firma electrónica

Una vez analizado lo anterior, la falta de interoperabilidad en sistemas de firma electrónica genera una serie de inconvenientes que afectan tanto a usuarios como a organizaciones, a saber: 

3.3.1 Fragmentación de los procesos:

La fragmentación de procesos es uno de los principales desafíos que enfrenta la implementación de la interoperabilidad de la firma electrónica, pues esta situación se produce cuando diferentes organizaciones o administraciones públicas utilizan sistemas de firma electrónica distintos, lo que dificulta la comunicación y el intercambio de información entre ellos.

Esta problemática se produce dado que las diferentes organizaciones han desarrollado sus propios sistemas de firma electrónica de manera independiente, sin una coordinación centralizada en el ámbito de derecho público. 

Por su parte, en el ámbito privado, la existencia de múltiples proveedores de soluciones de firma electrónica ha generado una gran variedad de sistemas con características técnicas diferentes.

Todo ello provocado por la ausencia de estándares técnicos comunes que han dificultado la integración de los diferentes sistemas, por lo que esto debe ser abordado, no solo desde la unificación sino  también desde la actualización. Es decir, si se pretende unificar los estándares se deben de descartar los obsoletos para darle paso a estándares presentes y funcionales.

Ahora bien, las consecuencias de que no se atienda esta fragmentación de los procesos, es que los ciudadanos y las empresas se ven obligados a repetir la misma información en diferentes trámites, lo que genera una pérdida de tiempo y recursos.

Además de que la gestión de múltiples sistemas de firma electrónica aumenta la complejidad de los procesos y dificulta su seguimiento, lo que puede generar vulnerabilidades en la seguridad de los sistemas, ya que cada sistema debe ser gestionado de forma independiente.

Por tanto, es fundamental definir y promover la adopción de estándares técnicos abiertos y consensuados a nivel nacional e internacional, así como desarrollar una infraestructura de clave pública común a todas las administraciones públicas facilitaría la interoperabilidad.

Del mismo modo, es necesario establecer mecanismos de colaboración entre las diferentes administraciones para coordinar el desarrollo de soluciones interoperables.

3.3.2. Mayor carga administrativa:

La fragmentación de sistemas y la falta de estándares comunes en la firma electrónica no solo generan problemas técnicos, sino que también implican una mayor carga administrativa para todas las partes involucradas: ciudadanos, empresas y administraciones públicas.

Este fenómeno se da, toda vez que, como fue analizado con anterioridad, cada sistema tiene sus propios procedimientos de registro, autenticación y firma, lo que obliga a los usuarios a aprender y adaptarse a diferentes interfaces y requisitos.

Pero, además, la verificación de la validez de una firma electrónica puede requerir el uso de diferentes herramientas y software, dependiendo del sistema en el que se haya generado la firma.

Y por último, las organizaciones deben adaptar sus procesos internos para adaptarse a los diferentes sistemas de firma electrónica, lo que requiere tiempo y recursos.

Todo ello tiene como consecuencia que se ralenticen los procesos y se reduce la eficiencia administrativa y que los usuarios se enfrentan a una mayor complejidad y a una experiencia de usuario menos satisfactoria.

3.3.3 Riesgos para la seguridad:

La búsqueda de la interoperabilidad en la firma electrónica, aunque necesaria para agilizar procesos y mejorar la eficiencia, conlleva consigo una serie de riesgos inherentes a la seguridad de los sistemas y datos. Estos riesgos se ven exacerbados por la diversidad de tecnologías, estándares y proveedores involucrados.

Riesgos Principales

• Vulnerabilidades en la Interfaz:

  • Ataques de intermediario: Un atacante podría interceptar y modificar los datos durante la transmisión entre diferentes sistemas, comprometiendo la integridad de la firma.

  • Inyección de código malicioso: La falta de validación adecuada de los datos de entrada podría permitir la ejecución de código malicioso en los sistemas.

• Debilidades en los Protocolos de Comunicación:

  • Ataques de denegación de servicio (DoS): Un atacante podría inundar un sistema con solicitudes, impidiendo que los usuarios legítimos puedan acceder a él.

  • Ataques de replay: Un atacante podría interceptar y volver a enviar una firma electrónica válida en un momento posterior, lo que podría permitir la realización de transacciones fraudulentas.

• Gestión Insegura de Certificados:

  • Robo de certificados: El robo de certificados digitales podría permitir a un atacante firmar documentos en nombre de otra persona.

  • Revocación de certificados: La revocación de certificados de forma oportuna es crucial para evitar su uso fraudulento, pero la gestión de las listas de revocación de certificados (CRL) puede ser compleja.

• Falta de Actualización de Software y Protocolos:

  • Explotación de vulnerabilidades: Los sistemas de firma electrónica y los protocolos de comunicación utilizados deben mantenerse actualizados para corregir las vulnerabilidades descubiertas.

• Riesgos Asociados a la Nube:

  • Pérdida de control sobre los datos: Al almacenar datos en la nube, las organizaciones pueden perder cierto control sobre la seguridad de sus datos.

  • Violaciones de datos: Las filtraciones de datos en la nube pueden exponer información sensible y comprometer la privacidad de los usuarios.

Ahora bien, para mitigar estos riesgos es fundamental adoptar estándares internacionales de seguridad como XAdES y PAdES y garantizar su cumplimiento en todos los sistemas.

Utilizar mecanismos de autenticación multifactor para proteger el acceso a los sistemas y cifrar los datos tanto en reposo como en tránsito para protegerlos de accesos no autorizados.

También se deben implementar sistemas de gestión de certificados robustos y garantizar la revocación oportuna de los certificados comprometidos.

Otro procedimiento provisto en los estándares de la ciberseguridad internacional es el de realizar auditorías de seguridad periódicas y monitorear los sistemas en busca de cualquier actividad sospechosa.

Por último, implementar controles de acceso basados en roles, tanto físicos como digitales para limitar el acceso a los sistemas y datos a los usuarios autorizados.

4. Conclusiones 

Como se pudo observar, encontramos que la firma electrónica se divide en dos: la que se usa en derecho privado como en contratos, comercio, etc. y la de derecho público que es la que se usa para realizar trámites e identificación ante las autoridades de la Administración Pública. 

Sin embargo, a nivel tecnológico la infraestructura necesaria para generación de la firma electrónica es la misma para ambos casos, así como las figuras jurídicas que recaen en agentes que la generan, certifican y validan la misma. 

A nivel internacional, las disposiciones dadas por la Organización de las Naciones Unidas aportan las características técnicas para que pueda existir un ambiente de neutralidad tecnológica. 

Por su parte, España aporta un sistema novedoso al reconocimiento de los certificados digitales de firma electrónica al introducir la firma electrónica cualificada, la cual esta intrínsecamente vinculada a la identidad digital de las personas, para ello es necesario contar con un documento de identidad electrónico y validado por la autoridad competente. 

También tienen el control de los agentes certificadores de certificados digitales, los cuales otorgan validez a las firmas electrónicas utilizadas tanto en el ámbito público, como en el privado, lo cual garantiza no sólo la integridad de los actos jurídicos que se celebren, sino que también garantiza la interoperabilidad de quienes participan en el sistema de gestión tecnológico, es decir, de quien firma y de quien reconoce la firma. 

Caso contrario con el estado mexicano que, a pesar de contar con las figuras jurídicas necesarias para la referida interoperabilidad y reconocimiento de los certificados digitales, la legislación tan dispersa y los vacíos legislativos generan un desorden en el sistema jurídico, lo que tiene como consecuencia el entorpecimiento en la operación y uso de la tecnología. 

Es por lo anterior, que resulta necesario, por primero de cuentas otorgar las facultades necesarias a las autoridades generadoras de los códigos raíz que permiten la generación de certificados digitales de firma electrónica. 

Por otra parte, simplificar el sistema dispositivo a una sola legislación marco, que contemple los estándares de observancia general en la adopción de las tecnologías necesarias para la expedición de certificados digitales y firmas electrónicas.

Por último, pero no menos importante, generar la normatividad necesaria para garantizar la seguridad de la información, así como la ciberseguridad necesaria y la centralización de la infraestructura, lo cual provocará la eficacia en los procesos de generación, así como evitar la confusión, y la pluralidad de procesos que generan mayores costos al estado y a los particulares. 

Con ello no se pretende replicar el modelo español, pues no se pretende que surja una figura similar a la firma electrónica cualificada, sino que, con las herramientas que actualmente se tienen a la mano, como lo es la Infraestructura Extendida de Seguridad, la figura de la Agencia registradora Central y las demás agencias, se centralice la actividad de la firma para simplificar procesos, leyes, procedimientos costos y tecnología en la actividad de derecho público y privado en nuestro país.