lunes, 17 enero, 2022

Validez de la firma electrónica




Validez de la firma electrónica

Tribuna de Lara Puyol, abogada de ECIJA

Actualmente las operaciones o contrataciones a distancia forman parte de nuestro día a día, tanto desde el punto de vista laboral (si eres empleado o empresa), como desde el punto de vista de contratación de productos o servicios con entidades bancarias, aseguradoras, etc. En este sentido, es evidente que estamos cada vez más acostumbrados a gestionar este tipo de operaciones a través de medios electrónicos o desde entornos on-line.

La firma electrónica es, hoy en día, un instrumento fundamental mediante el que las organizaciones y ciudadanos llevan a cabo multitud de operaciones, pero ¿tiene la misma validez cualquier tipo de firma plasmada en formato electrónico? ¿Cómo debe ser una firma electrónica para que surta plenos efectos jurídicos sobre el documento que se está firmando? ¿Qué dice nuestra normativa al respecto?

Algunas sentencias relevantes    

Recientemente, hemos conocido casos en los que se evaluaba la validez de la firma presentada en el marco de distintas operaciones y que sirven de referencia para conocer cuáles son las cuestiones que se están planteando ante los tribunales.

Falta de pruebas que acrediten la firma electrónica

En enero de 2021 conocimos una sentencia en la que la Audiencia Provincial de Lleida revocaba la sentencia de primera instancia y absolvía a la demandada del pago de la cantidad reclamada por no poder probar (por la entidad crediticia) que la firma que consta en el contrato es efectivamente de la demandada. Cabe recordar que, de acuerdo con el artículo 326. 2 de la Ley de Enjuiciamiento Civil, cuando se impugnare la autenticidad de un documento privado, el que lo haya presentado puede pedir cualquier medio de prueba que resulte útil y pertinente al efecto.

Pues bien, el sistema utilizado para llevar a cabo la firma  (DocuSign) resultó no ser suficiente para acreditar que el firmante es quien dice ser. En concreto, dicho sistema consistía en el envío de los documentos objeto de firma por correo electrónico a su destinatario para que este los firme y devuelva, electrónicamente, el documento firmado. El aspecto clave en este caso es la ausencia de autenticación del firmante puesto que, queda acreditado que el sistema no utiliza medios de autenticación reforzada del firmante y, por tanto, en ningún momento se comprueba que quien recibió el correo para la firma del documento y quien lo envía con posterioridad firmado, es efectivamente la misma persona.

La sentencia concluye que estamos ante un simple documento privado cuya firma  enviada por medios electrónicos no había podido ser acreditada ni constatada por quién la impugnó por ausencia de pruebas en la autenticación del firmante que constatasen que la firma realizada corresponde a la persona que efectivamente debía firmar.

SAP L 54/2021 – ECLI:ES:APL:2021:54

Uso de certificado cualificado de firma en un documento que es escaneado

Por su parte, una Sentencia del Tribunal de Justicia de mayo de 2020, declaró inadmisible la presentación de un recurso por falta de firma manuscrita.  Y es que, según declaró este Tribunal, las firmas que aportaban los abogados en el documento (se trataba de una demanda), que tenían apariencia de firma manuscrita, indicaban en el propio documento en papel “Firmadas digitalmente por [ Nombre del Abogado]”. En este caso, el documento original objeto de firma se entregaba en soporte papel y los abogados que firmaron la demanda lo hicieron con sus certificados electrónicos imprimiendo los documentos para su entrega.

El Tribunal de Justicia declaró que los datos relativos a esas firmas eran meras menciones impresas, por lo que no cabía considerar que las mismas supusieran una firma electrónica cualificada como alegó la parte recurrida, puesto que la demanda no se presentaba por medios electrónicos. Reforzando el argumento de Tribunal este concluyó que, aunque las firmas tenían apariencia de ser firmas manuscritas e incluían la fecha y hora del momento de la misma (de acuerdo con el uso de certificados cualificados de firma electrónica), las firmas incluidas resultaban imágenes escaneadas de dichas firmas, y por tanto las mismas eran meras impresiones en papel de un documento electrónico. Por todo ello, este Tribunal negó el hecho de considerar las mismas firmas electrónicas cualificadas o firmas manuscritas, teniendo así consideración de firmas escaneadas, careciendo de los efectos jurídicos que sí puede ofrecer una firma electrónica cualificada.

C-309/19 P: Asociación de fabricantes de morcilla de Burgos/Comisión

Firma en el marco de un contrato laboral

En la misma línea, otra sentencia dictaminó, en el marco de un contrato laboral de un jugador de futbol profesional, que la firma escaneada y enviada por correo electrónico no resultaba admisible, en ningún caso, dentro del ámbito en el que se desarrolló (contrato laboral) alegándose que una firma de estas características es fácilmente manipulable, no pudiendo acreditarse fehacientemente que el firmante es quién dice ser.

Roj: SJSO 16/2017 – ECLI: ES:JSO:2017:16

Cabe señalar que, en el ámbito laboral, es especialmente recomendable utilizar una firma cualificada que es la que ofrece más garantías de autoría, integridad y autenticidad del consentimiento prestado por el firmante y se equipara a la firma manuscrita. Y es que esta firma supone un paso adicional en la legitimidad, seguridad y control de la firma electrónica, cumpliendo con los requisitos de la firma avanzada pero además es creada mediante un dispositivo cualificado de creación de firmas electrónicas y está basada en un certificado cualificado de firma electrónica (emitido por un prestador de servicios cualificado). Sin embargo, en el ámbito privado, no resulta obligatoria por lo que el uso de cualquier otra firma que no presente los requisitos exactos de una firma cualificada, no debe invalidarse por defecto.

De los casos anteriormente expuestos puede deducirse que uno de los aspectos clave a tener en cuenta cuando queremos realizar operaciones vía electrónica, es contar con las evidencias suficientes que puedan acreditar en definitiva la autenticidad del firmante y la integridad del documento firmado. Pero ¿qué aspectos deberíamos conocer para valorar si estamos ante la firma electrónica que regula nuestra normativa?

Consideraciones respecto a la validez de la firma electrónica

La firma electrónica persigue garantizar, igual que la firma manuscrita tradicional, la autoría de la firma y la integridad del documento asociado a ésta, de manera que se genere una confianza suficiente hacia terceros respecto al firmante que está vinculado al documento electrónico objeto de la firma. En definitiva, trata de garantizar la identidad del firmante, el no repudio y la autenticidad e integridad del documento firmado. De estos elementos, dependerá precisamente el nivel de eficacia y validez de la firma electrónica realizada en el marco de una operación concreta.

Partiendo de estas premisas, cabe diferenciar lo que sería una firma electrónica regulada por nuestra normativa principal en la materia (Reglamento (UE) Nº 910/2014, o reglamento “eIDAS ) y una firma digitalizada, esto es, aquella que se genera por la conversión del trazo de una firma en una imagen (como puede ser, la que obtienes una vez la escaneas el documento en cuestión, en línea con los casos citados). Si bien, aunque las firmas digitalizadas son legales, lo cierto es que, como hemos podido ver en los casos antes expuestos, no ofrecen garantía respecto a la identidad del firmante por si solas.

En la práctica, nuestra normativa regula la firma electrónica simple o básica (aunque no tiene esta denominación oficial por nuestra normativa) como puede ser, el uso de un usuario y contraseña, por otro lado,  la firma avanzada (cumpliendo los requisitos del artículo 26 de eIDAS) y la firma cualificada (basada en un certificado cualificado y que es creada mediante un dispositivo seguro de creación de firma), teniendo la primera, el nivel más bajo de seguridad y por tanto siendo más complicado acreditar las garantías de seguridad de la firma y, la firma cualificada la que presentaría un nivel de  seguridad más alto, cuyos efectos se equiparan a la firma manuscrita.

No obstante, debe tenerse presente que el hecho de que una firma esté en formato electrónico o no cumpla con los requisitos de una firma electrónica cualificada, no supone que la firma no pueda ser admitida como prueba por un juez, tal y como indica el considerando 49 de eIDAS.

Según lo anterior, dependiendo de la relevancia y las obligaciones jurídicas de la transacción u operación que queramos realizar, podrá ser suficiente una firma simple o, por el contrario, ser más recomendable utilizar una firma avanzada o cualificada.

Requisitos de una firma avanzada

En el marco de un proceso judicial donde se esté analizando la validez de la firma electrónica utilizada, la firma avanzada será aquella que pueda garantizar los siguientes requisitos:

  • Que se encuentre vinculada de manera única al firmante, esto es, solo puede ser utilizada por el titular de la firma y esta ligada directamente a este.

 

  • Adicionalmente al “grafo” de la propia firma, es aquella que identifica al firmante con mecanismos adicionales, como puede ser la solicitud de algún tipo de acreditación de la identidad del titular que le autentique y puede comprobarse en un alto grado de confianza que el firmante es efectivamente el titular de la misma.

 

  • Que la firma ha sido creada utilizando datos de creación de la firma electrónica que el firmante puede utilizar, con un alto nivel de confianza, bajo su control exclusivo, de tal forma que el proceso de generación de firma ha requerido al usuario al menos dos de tres factores, como son, el factor de conocimiento (conocimiento de una contraseña), tenencia (dispositivo utilizado) o inherencia (por ejemplo, la huella dactilar) en el momento de realizar el firmado del documento en cuestión.

 

  • Que la firma se encuentra vinculada con la información firmada por la misma de modo tal que cualquier modificación ulterior del documento pueda ser detectable, de tal forma que el sistema de firma utilizado garantice que el documento firmado se encuentra asociado, de forma inexorable a la firma en cuestión, por ejemplo, mediante un algoritmo unidireccional seguro, la función resumen (o hash) del documento en cuestión.

Así pues, algunos casos de uso que podrían considerarse una firma avanzada podrían ser:

  • Firmar el documento utilizando una doble autenticación del firmante, como por ejemplo, a través de sistemas OTP (One Time Password) que, junto con el uso de certificados electrónicos o de sellos de tiempo cualificados garanticen la integridad del documento ante posibles modificaciones posteriores del mismo.

 

  • A través de una firma biométrica en la que los datos recogidos sean inherentes al firmante (rasgos faciales, huella dactilar o grafo) a través de los cuales puedan determinarse, por ejemplo en el caso de la firma ológrafa, la velocidad y presión ejercida para la firma). Otro ejemplo de firma avanzada, podría ser aquella firma biométrica que se realiza sobre un dispositivo que cuente con  una pantalla resistiva capaz de captar datos biométricos ejercidos sobre la misma. Este factor inherente junto con otros mecanismos utilizados en el momento de la identificación y autenticación del firmante, y con medios que doten de integridad al documento firmado y a la propia firma, podría generar un sistema robusto de firma con las garantías de seguridad suficientes para acreditar que el sujeto que firmó es quien dice ser.

Sin perjuicio de los casos descritos todo proceso quedará sujeto, en caso de impugnación o repudio de la firma, a una prueba por peritos expertos que, en definitiva, valide y acredite las evidencias generadas en los procesos de firmado y demuestren ante el juez que efectivamente la persona que firmó es quién dice ser.

Conclusiones

Como hemos visto, existen diversas modalidades de firma que pueden llegar a demostrar que estamos ante una firma electrónica cuya acreditación depende fundamentalmente de las evidencias recogidas durante todas las fases del proceso de firmado.

En esta línea, parece evidente que, para demostrar en el marco de un procedimiento judicial, si una firma electrónica cuenta con plenos efectos jurídicos debe realizarse un análisis pormenorizado de todo el proceso desde los medios de la recogida inicial de los datos identificativos del firmante hasta la inclusión de la firma en el documento, pudiendo ser demostrado por la intervención de un perito experto en la materia.

Asimismo, en todo proceso de firmado, resulta relevante la fase de identificación y autenticación previa del firmante, así como los medios técnicos que se utilicen para firmar (dispositivos concretos) o la relevancia del formato en el cual se presenta el documento original que posteriormente es objeto de firma.

Nuestra normativa deja en manos de los jueces la decisión de validez de las firmas, sin perder el foco en dos aspectos clave: por un lado, la acreditación de la autenticidad durante el proceso y, por otro lado, la integridad de la firma y del documento objeto de firma para evitar un posible delito de usurpación de la identidad o la falta de evidencias técnicas, que supongan como consecuencia, la anulación del contrato o documento objeto de firma.


Compartir