Tabla de contenidos

La firma electrónica simple, junto con la avanzada y la cualificada, son los tres tipos de firmas que reconoce la Unión Europea, dentro de su apuesta por reforzar las transacciones electrónicas dentro de la región.

En este post vamos a explicar cómo se definen y en qué se diferencian según el Reglamento (UE) Nº 910/2014 estos tres tipos de firmas.

Si aún no sabes qué es la firma digital te recomendamos que antes leas nuestro post anterior.

Firma electrónica avanzada, simple y cualificada según la normativa europea

La firma electrónica simple, avanzada y cualificada se regulan en el Reglamento (UE) Nº 910/2014 del Parlamento Europea y del Consejo de 23 de julio de 2014, el cual versa sobre la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior.

Este Reglamento (UE) Nº 910/2014, conocido como eIDAS, tiene el mismo objetivo que la Directiva anterior: crear un clima de confianza que haga posible y refuerce el comercio electrónico y las transacciones digitales en la UE.

Dicho de otro modo, lo que se pretende es eliminar todas las barreras a realizar transacciones electrónicas que existen entre países miembros. Para ello, el eIDAS establece sistemas comunes de identificación de ciudadanos y de validez de sus firmas electrónicas, para que se pueda  operar online con mayor seguridad, agilidad, y eficiencia a nivel europeo.

A diferencia de la Directiva predecesora, la ventaja del nuevo Reglamento es que se aplica directamente en todos los estados de la Unión, por lo que ya no es necesaria la transposición de la ley en cada uno de ellos.

Esto elimina uno de los principales problemas de la Directiva 1999/93/CE: que cada estado la interpretaba a su manera, complicando el reconocimiento y la validez de la firma electrónica avanzada por ejemplo, en los diferentes estados y tribunales de la UE.

¿Cómo se definen los diferentes tipos de firma electrónica?

El nuevo Reglamento mantiene la distinción de tres tipos de firma electrónica ya establecida en la anterior directiva: firma electrónica avanzada, simple y cualificada.

Además reitera que las firmas electrónicas son legalmente vinculantes y admisibles como pruebas válidas ante cualquier tribunal.

Tal y como se establece en el artículo 25.1., “no se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a una firma electrónica por el mero hecho de ser una firma electrónica o porque no cumpla los requisitos de la firma electrónica cualificada.”

En este video te explicamos detalladamente los diferentes tipos de firmas y sus características:

¿Qué es la firma electrónica?

Repasamos brevemente cómo se definen los tres tipos de firmas electrónicas en el Reglamento (UE) Nº 910/2014:

Firma electrónica simple: los datos en formato electrónico anejos a otros datos electrónicos o asociados de manera lógica con ellos que utiliza el firmante para firmar.”

Firma electrónica avanzada:

La firma electrónica que cumple los requisitos contemplados en el artículo 26.

Así los requisitos para la firma electrónica avanzada que establece el Artículo 26 son:

a) estar vinculada al firmante de manera única; 

b) permitir la identificación del firmante; 

c) haber sido creada utilizando datos de creación de la firma electrónica que el firmante puede utilizar, con un alto nivel de confianza, bajo su control exclusivo, y

d) estar vinculada con los datos firmados por la misma de modo tal que cualquier modificación ulterior de los mismos sea detectable.

  • Firma electrónica cualificada: “una firma electrónica avanzada que se crea mediante un dispositivo cualificado de creación de firmas electrónicas y que se basa en un certificado cualificado de firma electrónica.” (Ver recuadro al final de este post).

    En Signaturit ofrecemos 4 tipos de firmar electrónicas: firma electrónica simple, avanzada con biometría, avanzada con certificado digital y cualificada. ¡Prueba gratis nuestra solución ahora mismo!

Diferencias entre la firma electrónica avanzada, simple y cualificada

Firma electrónica simple

La firma electrónica simple es fácil y rápida ya que no se trata de un trazo como tal, sino que consiste en marcar una casilla o introducir un código PIN.

Esta es muy rápida de configurar, sin embargo, la validez legal en estos casos no está asegurada ya que no permite identificar al usuario de forma inequívoca. El usuario solo tiene que hacer clic en el botón de «Aceptar términos y condiciones» para mostrar su conformidad con el documento.

Su caso de uso más recomendado es para la firma de documentos con poco riesgo jurídico, como las condiciones generales de una web o para validar los días de vacaciones de un trabajador.

firma electronica simple de signaturit

Firma electrónica avanzada

La firma electrónica avanzada tiene un nivel de seguridad superior al de la firma simple: las dos primeras condiciones definidas por el Reglamento eIDAS aseguran que el firmante sólo puede haber sido aquel a quien se solicitó la firma, mientras que las dos últimas limitan extraordinariamente el riesgo de suplantación de identidad.

El sistema de creación de firma electrónica avanzada que ofrece Signaturit está desarrollado de forma que las firmas realizadas con nuestra herramienta cumplan con cada uno de los requisitos legales, pero ¿cómo?

  1. Para asegurar que la firma sólo puede asociarse a un único firmante, en el momento de la firma recopilamos un gran volumen de información y utilizamos un sellado de tiempo. El sellado de tiempo es un método para probar que un conjunto de datos existió antes de un momento dado y que ninguno de estos datos ha sido modificado desde entonces.

    NOTA: Signaturit es actualmente proveedor de sellos de tiempo cualificados de acuerdo con el Reglamento eIDAS, que garantiza la autenticidad de la fecha e integridad del documento a nivel legal. Fuente: Trusted lis Brower de la UE
     
  2. Para identificar al firmante, geolocalizamos con exactitud el lugar en el que se ha realizado la firma, registramos las direcciones de origen y destino de la solicitud y la hora de la firma, y capturamos datos biométricos del grafo a partir de la presión ejercida en el dispositivo de firma (en aquellos dispositivos que lo permite). De este modo, podemos poner esta información a disposición de un grafólogo en caso de disputa para que pueda realizar su 

    análisis de firmas


  3. Por último, impedimos cualquier cambio ulterior en la firma y, por extensión, garantizamos a solicitante y firmante que la firma obtenida no se puede modificar tras su realización. Para ello, ciframos la documentación generada conforme a unos estándares de encriptación que garantizan su integridad al 100%.

En resumen:
La firma electrónica avanzada asegura la verificación de la identidad e integridad de los datos firmados. Además es una evidencia jurídica admisible como prueba en un juicio.

Firma electrónica cualificada

Si bien la firma electrónica cualificada (también denominada firma reconocida) ofrece un nivel de seguridad alto, su uso se ve entorpecido por la necesidad de disponer de un certificado cualificado de firma electrónica (DNIe) y de un dispositivo seguro de creación de firma cualificado. Condiciones que no se exigen a la firma electrónica avanzada, tal y como hemos explicado.

Por este motivo, el uso de la firma electrónica cualificada suele limitarse a trámites que se realizan con las administraciones públicas, como Hacienda o la Seguridad Social. Su complejidad operativa no la hace una opción recomendable para empresas o personas que deban solicitar firmas a distancia de forma frecuente.

Conclusión, una firma electrónica para cada necesidad 

Las empresas que se planteen implementar la firma electrónica avanzada o simple para agilizar y conferir una capa adicional de seguridad en todos sus procesos de firma, deberán considerar primero a qué nivel es necesario implementarla, a nivel local/global, departamental o general.

A partir de ahí, se deberá realizar un estudio que determine en qué departamentos y en qué procesos conviene la firma electrónica avanzada o simple, qué interrelaciones existen entre departamentos, qué personas están involucradas en cada proceso, y qué niveles de seguridad se necesitan.

Una vez realizado este estudio ya se podrá establecer cuál de los tipos de firma electrónica es la más adecuada para cubrir cada caso de uso: la simple, la avanzada o la cualificada.

En Signaturit podemos ayudar a cubrir todos aquellos casos de uso que requieran la firma electrónica. Si quieres disfrutar de los beneficios de la firma electrónica, ponte en contacto con nosotros.

Este blog forma parte de nuestra guía de firma electrónica ¡Entra y descubre todo nuestro material!

Publicado originalmente el 5/09/17  

Reglamento (UE) Nº 910/2014

Anexo II 
REQUISITOS DE LOS DISPOSITIVOS CUALIFICADOS DE CREACIÓN DE FIRMA ELECTRÓNICA

  1. Los dispositivos cualificados de creación de firma electrónica garantizarán como mínimo, por medios técnicos y de procedimiento adecuados, que
    • a) esté garantizada razonablemente la confidencialidad de los datos de creación de firma electrónica utilizados para la creación de firmas electrónicas;
    • b) los datos de creación de firma electrónica utilizados para la creación de firma electrónica sólo puedan aparecer una vez en la práctica;
    • c) exista la seguridad razonable de que los datos de creación de firma electrónica utilizados para la creación de firma electrónica no pueden ser hallados por deducción y de que la firma está protegida con seguridad contra la falsificación mediante la tecnología disponible en el momento;
    • d) los datos de creación de la firma electrónica utilizados para la creación de firma electrónica puedan ser protegidos por el firmante legítimo de forma fiable frente a su utilización por otros.
  2. Los dispositivos cualificados de creación de firmas electrónicas no alterarán los datos que deben firmarse ni impedirán que dichos datos se muestren al firmante antes de firmar.
  3. La generación o la gestión de los datos de creación de la firma electrónica en nombre del firmante sólo podrán correr a cargo de un prestador cualificado de servicios de confianza.
  4. Sin perjuicio de la letra d) del punto 1, los prestadores cualificados de servicios de confianza que gestionen los datos de creación de firma electrónica en nombre del firmante podrán duplicar los datos de creación de firma únicamente con objeto de efectuar una copia de seguridad de los citados datos siempre que se cumplan los siguientes requisitos:
    • a) la seguridad de los conjuntos de datos duplicados es del mismo nivel que para los conjuntos de datos originales;
    • b) el número de conjuntos de datos duplicados no supera el mínimo necesario para garantizar la continuidad del servicio.

* Fuente: World Wide Web Consortium (W3C)