Firmas electrónicas y firmas digitales ¿Qué son y cuándo utilizarlas?

Recientemente el Tribunal español de Lleida, negó las pretensiones de un organismo de crédito por el uso de una firma electrónica

Recientemente el Tribunal español de Lleida, negó las pretensiones de un organismo de crédito por el uso de una firma electrónica, al no poder demostrarse que ésta provenía del titular del crédito. (Sentencia No. 74 de 2021, Tribunal español de Lleida).
Las firmas electrónicas en Colombia y en el mundo

Las Leyes Modelo de la Comisión de las Naciones Unidas para el Desarrollo Mercantil Internacional (CNUDMI) sobre comercio electrónico y firmas electrónicas, son las normas referente en materia de firmas electrónicas a nivel internacional. La recomendación de la CNUDMI es que los países incorporen en su derecho interno estas normas marco, y que promuevan su conocimiento, a fin de que haya uniformidad en la normatividad y se promueva el comercio electrónico internacional.

Colombia adoptó la ley marco de comercio electrónico y firma electrónica, através de la Ley 527 de 1999 reglamentada por el Decreto 2364 de 2012 y el Decreto 333 de 2014 (que derogó el D.1747/2000). La Ley 527 introdujo en el país, el concepto de mensajes de datos, firma electrónica, firma digital y creó las Entidades de Certificación Digital.

Este año se cumplen 21 años desde la expedición de la Ley 527, pero fue la llegada de la pandemia la que nos acercó de manera inexorable al mundo de las firmas electrónicas. En la actualidad, la gestión documental electrónica se ha visto necesariamente acelerada, lo que ha hecho indispensable entender qué son las firmas electrónicas, qué tipos de firmas electrónicas existen y cuándo debemos utilizarlas.

En el mundo pueden distinguirse tres tipos de firmas electrónicas. En europa se han denominado firma electrónica cualificada, firma electrónica avanzada y firma electrónica simple. En Colombia tenemos los mismos tres tipos de firmas, pero las hemos denominado firmas digitales, firmas electrónicas “certificadas” y firmas electrónicas “simples”; estas dos últimas son una definición académica y de mercado más no reglamentaria. Las firmas electrónicas cualificadas son iguales a nuestras firmas digitales, las electrónicas avanadas son similares a las electrónicas certificadas y las simples en Colombia se asimilan a las simples en Europa.

Europa                                                         Colombia

Firmas electrónicas cualificadasFirmas digitales
Firmas electrónicas avanzadasFirma electrónica certificada
Firma electrónica simpleFirma electrónica simple

La firma electrónica cualificada (firma digital) es la firma que tiene mayor respaldo tecnológico (hace uso del sistema de clave pública asímetrica) Public Key Infraestructure (PKI) y tiene también, el mayor grado de respaldo legal; se presumen la autenticidad y la integridad del documento que ha sido firmado con este tipo de firma, por tanto es el más confiable, y es la firma recomendada para la suscripción de documentos que tengan un alto valor intríseco, esto es, entre otros, escrituras públicas digitales, contratos, resoluciones, títulos valores electrónicos, actos administrativos, sentencias, actas de junta directiva, entre otros. La firma digital o cualificada, tiene el más alto valor legal y garantiza la exigibilidad de un documento frente a terceros. Estos mecanimos de firma son provistos únicamente por un Prestador de Servicios de Confianza debidamente acreditado, como se conoce internacionalmente, y en Colombia por Entidades de Certificación Digital, acreditadas ante el Organismo Nacional de Acreditación -ONAC-. Por su parte, la firma electrónica avanzada (firma electrónica certificada) puede desarrollarse con diferentes tecnologías, como por ejemplo firmas biométricas, contraseñas, claves de un solo uso (one time password-OTP-), entre otras. Estas firmas electrónicas avanzadas o “certificadas”, pueden estar acompañadas de la emisión de un certificado emitido por un tercero de confianza (Entidad de Certificación Digital (EC), es decir, que la firma electrónica acompañada de un certificado de firma electrónica, debe entenderse en Colombia, como una firma electrónica “certificada”. Ahora bien, la firma electrónica que no es emitida por un tercero de confianza autorizado, se debe entener como una firma electrónica “simple”.  En particular el uso de certificados digitales emitimos por  EC, es el mecanismo más seguro para este tipo de firmas, ya que garantiza directamente en el proceso, la integridad del documento firmado y según el procedimiento utilizado, incluso, la autenticidad del firmante. La firma electrónica “simple” no permite tener certeza de quién ha sido realmente el firmante y tampoco garantiza, en todos los casos, la integridad del documento. Un ejemplo de esto sería una firma electrónica basada en claves y contraseñas; se trata entonces de una firma electrónica simple que no permite tener certeza sobre la autenticidad e integridad del documento. Otro tipo de firmas electrónicas “simples” como las claves ciptográficas, permitirán aegurar la integridad del documento pero no la autenticidad del mismo.

Las funcionas básicas de la firma electrónica

El artículo 7 de la Ley 527 de 1999 se enfoca en las funciones básicas de la firma: 1) la identificación del autor y 2) la confirmación de que el autor aprueba el contenido del documento. En el literal a) del párrafo 1) se indica que las funciones jurídicas básicas de la firma, se cumplen al utilizarse un método que identifique al iniciador de un mensaje de datos y confirme que el iniciador aprueba la información en él consignada.

De este modo, la Ley 527 señala, en virtud del principio de equivalentes funcionales que, cuando una norma exija la firma manuscrita de una una persona en un determinado documento, dicho requisito quedará satisfecho por una firma electrónica: “a) Si se utiliza un método para identificar a esa persona y para indicar que esa persona aprueba la información que figura en el mensaje de datos; y b) Si ese método es tan fiable como sea apropiado para los fines para los que se generó o comunicó el mensaje de datos”. (Decreto 2364 de 2012).

Adicionalmente, debe hacerse una distinción y precisión frente a las funciones de la firma electrónica. El Decreto 2364 define la firma electrónica como métodos tales como códigos, contraseñas, datos biométricos, claves ciptográficas, entre otros, que permiten identificar a una persona en relación con un mensaje de datos. De la definición de firma electrónica, se entiende de manera clara que la firma electrónica tiene una función de identificación, por sus carácteristicas técnicas, como pasa con una contraseña o con un dato biométrico. Sin embargo, de la definición del Decreto 2364 no queda claro la segunda función básica de la firma electrónica, esto es la de vincular a la persona con el contenido del documento.

La Ley marco de la CNUDMI, al definir la firma electrónica, precisó la importancia de que en las normas internas de cada país, se incluyera de manera experesa, que con la firma electrónica impuesta en un documento, el firmante acepta su vinculación con el contenido del documento. La exposición de motivos de la Ley marco ya lo advertía, al indicar “En la preparación de la Ley Modelo, se estimó que había que señalar a la atención de los usuarios el riesgo de confusión que podría resultar del uso del mismo instrumento técnico para la producción de una firma jurídicamente pertinente y para otras funciones de autenticación o identificación (véase A/CN.9/483, párr. 62).

La eficacia jurídica de la firma electrónica

Por regla general no se podrán desconocer un mensaje de datos (documento electrónico), por el solo hecho de encontrarse en ese formato (digital). Lo que sucede es que existen distintos niveles de seguridad para las firmas electrónicas y para las firmas digitales. Así, las firma digital es la firma más segura y se encuentra en la cuspide de las firmas electrónicas, siendo la más segura y confiable, en segundo lugar tenemos las firmas electrónicas “certificadas” y por último las firmas electrónicas “simples”.

Ahora bien, para determinar si el método seleccionado es confiable y apropiado, la Ley marco de firma electrónica señala que deberán tenerse encuenta, entre otros, los siguientes criterios de orden técnico, jurídico y comercial, lo cual aplica tanto para las firmas electrónicas “certificadas” como para las firmas electrónicas “simples”: “a) la perfección técnica del equipo utilizado por cada una de las partes; b) la naturaleza de su actividad comercial; c) la frecuencia de sus relaciones comerciales; d) el tipo y la magnitud de la operación; e) la función de los requisitos de firma con arreglo a la norma legal o reglamentaria aplicable; f) la capacidad de los sistemas de comunicación; g) la observancia de los procedimientos de autenticación establecidos por intermediarios; h) la gama de procedimientos de autenticación que ofrecen los intermediarios; i) la observancia de los usos y prácticas comerciales; j) la existencia de mecanismos de aseguramiento contra el riesgo de mensajes no autorizados; k) la importancia y el valor de la información contenida en el mensaje de datos; l) el grado de aceptación o no aceptación del método de identificación en el sector o la esfera pertinente, tanto en el momento en el que se acordó el método como en el que se comunicó el mensaje de datos”. (Guía para la incorporación al derecho interno de la Ley Modelo de la CNUDMI sobre Comercio Electrónico).

Lo anterior cobra especial importancia ante la probabilidad de litigio. En un proceso judicial, si bien se presume la autenticidad del mensaje de datos (artículo 244 CGP), las partes podrán desconocer o tachar el mensaje de datos indicando que no han firmado dicho documento. En caso de desconocimiento o tacha, la carga probatoria estará en cabeza de quien creó dicho mecanismo de firma, conjuntamente con la empresa que hizo uso de ella. Así, por ejemplo, si se firma un contrato de prestación de servicios con firma electrónica “simple”, y el contratista desconoce la firma, esto es, manifiesta no haber firmado el contrato, la carga probatoria recaerá en la empresa contratante y en su proveedor de firma electrónica, quienes deberán demostrar la confiabilidad y apropiabilidad del método de firma, através de todos los aspectos reseñados anteriormente.

Por el contrario, en el caso de la firma digital, se presume su autenticidad e integridad y por tanto la carga de la prueba se invierte, de manera que, para seguir con el ejemplo, en presencia de una firma digital, será el contratista quién deberá probar en juicio que no firmó dicho documento. De esta forma, no hace sentido exponer a este riesgo, documentos como títulos valores (pagarés, letras, etc.,), sentencias, actos administrativos, etc.

La autenticidad e integridad de los documentos electrónicos

La autenticidad de un documento electrónico consiste en vincular al firmante del documento con el contenido del mismo, es decir, que quien firma el documento sea realmente quien dice ser y por tanto se vincula con el contenido del documento. La integridad del documento electrónico se refiere a que el documento no ha sufrido modificaciones no autorizadas a partir de la firma del mismo. Estos dos elementos son fundamentales en los entornos electrónicos para tener la certeza de que el documento no podrá ser repudiado.

Para tener certeza de la identidad de una persona que firma un documento electrónico se debe tener un proceso de validación de identidad robusto, que verifique de manera inequívoca la identidad de una persona. Este puede ser el atributo de seguridad jurídica más complejo en los medios electrónicos.

La integridad por su parte, se puede lograr a través de distintos mecanismos tecnológicos como la criptografía, donde se busca evitar alteraciones o modificaciones del documento a partir de la firma del mismo. En el caso de las firmas digitales, se utiliza un sistema criptográfico de claves asimétricas, que es el mecanismo más seguro a la fecha para asegurar y garantizar la integridad de los documentos electrónicos.

EL CASO DEL TRIBUNAL ESPAÑOL, QUE RECHAZÓ COBRO DE PAGARÉ SUSCRITO CON FIRMA ELECTRÓNICA “SIMPLE”

Recientemente, en España, una entidad financiera reclamaba judicialmente el pago de una deuda cuya garantía era un pagaré, firmado por el deudor con una firma electrónica “simple”. El Banco presentó demanda ejecutiva, frente a lo cual la parte demandada argumentó no haber firmado el pagaré, es decir, desconoció la deuda afirmando que se trataba de una suplantación de identidad.

Para resolver el caso, el Juez tuvo en cuenta el Reglamento 910/2014 del Parlamento Europeo y del Consejo relativo a la identificación electrónica y los servicios de confianza, así como la Ley Española 6/2020 que reglamenta los servicios de confianza, en donde se precisa que “cuando la parte a quien interese la eficacia de un documento electrónico impugne su autenticidad, se procederá con la verificación de si se trata de una firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma». (Sentencia

Al igual que en Colombia, en España la carga probatoria de realizar tales comprobaciones (autenticidad e integridad) corresponderá a quien haya presentado el documento electrónico firmado con firma electrónica “simple”. Si dichas validaciones arrojan un resultado positivo, se verificará la autenticidad de la firma electrónica “simple” con la que se haya firmado dicho documento electrónico, así como la integridad del documento.

En el caso objeto de análisis, el tribunal español, constató que el pagaré fue suscrito con una firma electrónica “simple”, en donde, previo un proceso de registro que no verifica la identidad de la persona de manera fehaciente, los documentos le llegaban posteriormente al correo registrado por la persona, sin que hubiese ninguna acreditación de que quien haya firmado el documento sea quen dice ser, y en donde no intervino un tercero de confianza (Entidad de Certificación Digital), concluyendo que no hubo un proceso de validación de identidad y que tampoco hubo una validacion o autenticación de la cuenta de correo resgistrada, siendo la única comprbación posible la dirección IP de donde salió el mensaje, dato que no permite tener claridad de quién es el autor del mensaje y mucho menos de su integridad.

La investigación arrojó el resultado esperado, el tribunal constató que no se trataba de una firma electrónica basada en un certificado reconocido por un prestador de servicios de confianza (Entidad de Certificación Digital), por lo que se estaba en presencia de una firma electrónica “simple”, donde no se verificó más allá de los datos básicos de la persona, de suerte que no se validó la identidad del firmante por tanto no se tenía certeza de la identidad del deudor, la firma impuesta en el documento es una imagen de la firma autógrafa de la persona y por tanto no evidenció el tribunal que dicha firma fuera realmente de la demandada, desestimando las pretensiones de la entidad financiera demandante.

En Colombia se firman miles de pagarés con firma electrónica “simple”, bajo la falsa creencia que se está asegurando la autenticidad e integridad del pagaré, lo cual, como quedó demostrado por el tribunal de Lleida, es erróneo. Por ahora no se han presentado litigios donde se desconozca o tache este tipo de pagarés en el país, pero sin duda en cualquier momento empezaremos a ver estos casos y nuestros jueces llegaran a la misma conclusión que el tribunal español; una firma electrónica “simple” no da certeza de la autenticidad del firmante.

Convierta a Valora Analitik en su fuente de noticias