Tabla de contenidos
Como parte del programa llamado Agenda Digital para Europa, anunciado en 2010, la UE continúa trabajando para construir un mercado único digital. Se trata fundamentalmente de eliminar las barreras al comercio electrónico y a todo tipo de transacciones electrónicas entre los diferentes estados de la unión, creando así un espacio común, libre y seguro para las interacciones online entre ciudadanos, empresas y estados de la Unión Europea.
Para lograr este objetivo se elaboraron una serie de leyes encaminadas a derribar todas las barreras digitales y a establecer las bases legales necesarias para realizar transacciones electrónicas de forma segura y fiable.
En una de estas leyes, en concreto, en el Reglamento (UE) Nº 910/2014 (eIDAS) relativo a la identificación electrónica y a los servicios electrónicos de confianza para las transacciones electrónicas, se define lo que son los prestadores de servicios electrónicos de confianza.
Lo explicamos en este post.
eIDAS: un reglamento europeo necesario para construir el mercado único digital
Con carácter previo a la aprobación del eIDAS, cada estado miembro emitía sus propios certificados digitales, que son los documentos electrónicos que sirven para identificar a las personas y a las empresas.
El problema era que la validez de estos certificados fuera de las fronteras del país de emisión no estaba garantizada, y dependía de la existencia de convenios entre la entidad emisora del certificado y su contraparte (en este caso, cualquier otro estado de la UE).
Para lograr el objetivo del mercado único digital, este problema debía ser resuelto. Y de esta necesidad nace el Reglamento eIDAS – cuyas siglas corresponden a Electronic Identification and Authentication Services – para fijar un estándar de identificación electrónica para armonizar y volver seguras las transacciones online en toda Europa. Y para ello, el Reglamento se apoya en lo que se denominan los servicios electrónicos de confianza.
Gracias al eIDAS, la UE garantiza la validez de cualquier certificado digital en todo su territorio, con independencia del país de origen.
Por tanto, con el objetivo muy claro de eliminar las fronteras a las transacciones electrónicas en la UE y construir un clima de confianza, el eIDAS establece y regula a nivel europeo dos conceptos:
- El de los servicios electrónicos de confianza.
- El del prestador o proveedor de servicios electrónicos de confianza.
1. ¿Qué es un servicio electrónico de confianza según el eIDAS?
Básicamente, los servicios electrónicos de confianza permiten comprobar la identidad de origen en Internet, y también la integridad de los mensajes que se intercambian a través de la Red. Son por tanto un elemento fundamental en la eliminación de las barreras al mercado digital, puesto que refuerzan la seguridad de la información y contribuyen a la generación de confianza (de ahí su nombre).
El artículo 3 del Reglamento eIDAS recoge la definición de los servicios electrónicos de confianza. En el sub-apartado 16 se establece que “servicio de confianza” es el servicio electrónico prestado habitualmente a cambio de una remuneración, consistente en:
- “la creación, verificación y validación de firmas electrónicas, sellos electrónicos o sellos de tiempo electrónicos, servicios de entrega electrónica certificada y certificados relativos a estos servicios, o
- la creación, verificación y validación de certificados para la autenticación de sitios web, o
- la preservación de firmas, sellos o certificados electrónicos relativos a estos servicios.”
2. ¿Qué es un prestador de servicios electrónicos de confianza según el eIDAS?
Del mismo modo, en el artículo 3, sub-apartado 19, del Reglamento eIDAS se recoge la definición de lo que es un prestador de servicios electrónicos de confianza: “una persona física o jurídica que presta uno o más servicios electrónicos de confianza, bien como prestador cualificado o como prestador no cualificado de servicios electrónicos de confianza”.
Como establece el Reglamento, los prestadores de servicios electrónicos de confianza pueden ser cualificados o no cualificados. Para ser un prestador cualificado de servicios electrónicos de confianza se deben prestar servicios electrónicos de confianza cualificados y se debe tener el reconocimiento como tal por parte de un organismo de supervisión.
3. ¿Qué requisitos debe cumplir un prestador de servicios electrónicos de confianza para ser cualificado?
Los prestadores cualificados de servicios electrónicos de confianza son los que, para expedir un certificado digital a una persona física o jurídica, deben verificar su identidad.
Artículo 24.1
“Al expedir un certificado cualificado para un servicio de confianza, un prestador cualificado de servicios electrónicos de confianza verificará, por los medios apropiados y de acuerdo con el Derecho nacional, la identidad y, si procede, cualquier atributo específico de la persona física o jurídica a la que se expide un certificado cualificado.”
Para verificar la identidad, los prestadores cualificados de servicios electrónicos de confianza pueden hacerlo directamente, o bien a través de un tercero de conformidad con el Derecho nacional.
El Reglamento eIDAS establece 4 maneras para verificar la identidad:
a) “En presencia de la persona física o de un representante autorizado de la persona jurídica.”
b) “A distancia, utilizando medios de identificación electrónica, para los cuales se haya garantizado la presencia de la persona física o de un representante autorizado de la persona jurídica previamente a la expedición del certificado cualificado.”
Estos medios de identificación electrónica deberán cumplir además con los requisitos establecidos con el artículo 8 con respecto a los niveles de seguridad «sustancial» o «alto».
c) “Por medio de un certificado de una firma electrónica cualificada o de un sello electrónico cualificado expedido de conformidad con la letra a) o b).”
d) “Utilizando otros métodos de identificación reconocidos a escala nacional que aporten una seguridad equivalente en términos de fiabilidad a la presencia física. La seguridad equivalente será confirmada por un organismo de evaluación de la conformidad.”
En España, son la Secretaría de Estado de Digitalización e Inteligencia Artificial y la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales, del Ministerio de Asuntos Económicos y Transformación Digital, los organismos de supervisión encargados de verificar que los prestadores de servicios electrónicos de confianza cualificados cumplen con estos requisitos, y también con los requisitos que se establecen para los servicios electrónicos de confianza cualificados.
Signaturit es una empresa reconocida como Prestador de Servicios Electrónicos de Confianza por el organismo de supervisión mencionado, y como Tercero de Confianza según la Ley de Servicios de la Sociedad de la Información (LSSI – Ley 34/2002, de 11 de julio de Servicios de la Sociedad de Información y Comercio Electrónico).