¿Qué diferencia hay entre una firma electrónica avanzada y una cualificada?
Al pasar de firmas tradicionales manuscritas a firmas electrónicas, es fundamental que se mantengan garantías legales. Tanto las firmas electrónicas avanzadas como las cualificadas ofrecen un alto nivel de confianza y seguridad, y están basadas en normas europeas ETSI que garantizan el cumplimiento del Reglamento eIDAS, basándose en criptografía de clave pública, mediante el empleo de un certificado cualificado de firma electrónica.
Sin embargo, existen diferencias en cuanto a su eficacia legal y seguridad técnica, que trataremos en este artículo. Primero de todo, veamos qué es cada una.
Firma avanzada (AdES)
Una firma electrónica avanzada es una firma electrónica:
- Vinculada de forma única al firmante;
- Capaz de identificar al firmante;
- Creada utilizando datos de creación de firma electrónica (certificado electrónico cualificado) que el firmante puede, con un alto nivel de confianza, utilizar bajo su control exclusivo.
- Vinculada al documento de manera que cualquier cambio posterior de los datos sea detectable. Es decir, garantizando la integridad del contenido firmado.
Estos requisitos se establecen en el artículo 26 del Reglamento eIDAS y se cumplen por las firmas electrónicas basadas en criptografía de clave pública, es decir, las realizadas con un certificado electrónico cualificado. Un certificado es una identidad digital que solo se expide después de una verificación exhaustiva de la identidad del titular por parte de un prestador cualificado de servicios de confianza (también conocido comúnmente como Autoridad de Certificación o CA).
Las firmas electrónicas garantizan la integridad y la autenticidad. El certificado y la firma que realiza son únicos para el firmante, prácticamente imposibles de suplantar, y permiten verificar si se han realizado cambios en el documento desde el momento en que se firmó.
Desde un punto de vista técnico, las firmas electrónicas avanzadas reconocidas por la UE y compatibles con el Reglamento eIDAS se pueden implementar a través de tres estándares de firma electrónica desarrollados por ETSI (European Telecommunications Standards Institute): XAdES, PAdES y CAdES.
Si bien en el Reglamento eIDAS y la legislación nacional solo se equipara la firma electrónica cualificada con la firma manuscrita, e incluso el Reglamento eIDAS solo hace referencia expresa a los instrumentos cualificados, el mismo eIDAS acepta la posibilidad de que existan otros tipos de firma (neutralidad tecnológica), pero sin reconocer una eficacia legal específica. Por tanto, queda en cada caso a juicio del Tribunal el valor de esta prueba indirecta:
"No se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a una firma electrónica por el mero hecho de ser una firma electrónica o porque no cumpla los requisitos de la firma electrónica cualificada." (eIDAS Art. 25.1)
Este nivel de firma es muy común y suficiente en trámites con la administración pública. Sin embargo, en caso de cuestionar la validez de una AdES, la carga de la prueba de que se han cumplido todos los criterios necesarios recae en el firmante. Se alcanza un mayor valor probatorio cuando se emplea a una firma electrónica cualificada, que dispone de los mismos efectos jurídicos que la firma manuscrita.
¿Firma electrónica "avanzada" sin emplear un certificado electrónico cualificado?
Es posible que en el mercado de software de firma electrónica haya oído a proveedores hablar de "firma avanzada" haciendo referencia a la estampación en un documento electrónico de un grafo dibujado en un tablet o directamente en el PC con el mouse.
Se debe tener en cuenta que este tipo de firmas o rúbricas no tienen el respaldo de normas ni estándares reconocidos en la UE. Y, paradójicamente, se suele obviar lo más importante: no existen instrumentos de validación acreditados.
Por si sola, este tipo de firma no garantiza identidad ni integridad, aunque tiene efectos estéticos y, sobre todo, presunción de validez para usuarios no avanzados.
Una cuestión especialmente importante que debe de tener presente en el caso de firmas elaboradas mediante pizarra electrónica, es si se trata de tecnología de firma dinámica (inclinación, presión, etc) con lo cual se captura el patrón biométrico, o es una firma grafo métrica (rubrica). La legislación en materia de protección de datos, en el caso de firmas dinámicas, prohíbe este tratamiento de datos personales.
El uso de tecnología de criptografía de clave pública (PKI), que implica el uso de certificados es esencial para lograr el cumplimiento de los requisitos de firmas avanzadas, si desea que sus firmas puedan verificarse automáticamente y se confíe en ellas en los principales softwares de documentos, como Adobe Acrobat. De esta manera, no solo obtendrá cumplimiento, sino también una buena experiencia de usuario para el destinatario del documento firmado.
Firma cualificada (QES)
Por encima de las firmas electrónicas avanzadas, encontramos la firma electrónica cualificada. La firma electrónica cualificada cumple todos los requerimientos de la firma electrónica avanzada pero, además:
- Está creada empleando un dispositivo cualificado de creación de firmas (QSCD); que puede ser en modalidad SmardCard / Token USB o bien en HSMs (Hardware Security Modules) de forma centralizada en (modalidad cloud).
La firma electrónica cualificada, posee las mayores garantías jurídicas tal y como recoge el Reglamento eIDAS en su artículo 25.2, dado que tiene el efecto jurídico equivalente a una firma manuscrita.
ANF AC dispone de un servicio de firma electrónica basado en la nube que le permite aplicar firmas electrónicas tanto QES como AdES. También dispone de dispositivos QSCD físicos (SmartCard).
Recordemos que la firma electrónica cualificada tiene un reconocimiento transfronterizo entre todos los Estados Miembros de la Unión Europea (artículo 25.3 eIDAS). Una firma electrónica cualificada hecha con un certificado cualificado emitido por cualquier prestador cualificado, por ejemplo, ANF AC en España, será reconocida como firma cualificada en cualquier otro Estado Miembro, con todos sus efectos jurídicos.
¿Cuál debo aplicar para garantizar cumplimiento?
Como indicábamos inicialmente dependerá del tipo de documentos a firmar (algunas transacciones requieren obligatoriamente firma cualificada), o del nivel de seguridad requerido por el firmante, o de la eficacia jurídica deseada por su departamento legal.
Por ejemplo, en la firma de documentos para una licitación europea, o el sellado del documento de identificación para EPREL, se requiere firma cualificada. En muchos casos no hay margen de decisión.
¿El flujo de firma requiere un alto volumen de firmas? Entonces nuestro servicio de firma electrónica mediante la plataforma Sign to sign podría ser lo que está buscando.
Sign to Sign tiene la capacidad de elaborar firmas electrónicas cualificadas y avanzadas. Cuando utiliza firmas avanzadas, obtenemos pruebas trazabilidad y la participación del usuario en el proceso de autenticación que refuerza la evidencia legal.
Resumen de diferencias
| Operativas |
La ley solo equipara la firma electrónica cualificada con la firma manuscrita, y solo esta firma es equiparable en todos los Estados miembros de la UE. Por tanto, es la única funcional en todo tipo de operaciones. (eIDAS Art.25.ptos.2 y 3) En el caso de la firma electrónica avanzada, le recomendamos que previo a su aplicación confirme con su abogado si logra la eficacia legal que requiere la operación, o incluso, si el uso es permitido o no. (eIDAS Art.25.1) P.ej. la firma electrónica cualificada es obligada en la firma de contratos laborales, ciertos actos con la Administración Pública…etc. |
| Funcionales |
Para el firmante es transparente elaborar una firma electrónica cualificada o avanzada. El la experiencia de usuario es similar si se emplea un modelo de firma centralizada en remoto. |
| Técnicas |
En la firma electrónica cualificada interviene un dispositivo cualificado de firma electrónica, ya sea en modalidad Cloud o Físico (SmartCard/Token). En la firma electrónica avanzada se admite el uso de certificados cualificados en modalidad software (pfx). |
| Coste | La firma electrónica cualificada respecto a la avanzada no tiene diferencia de costo. |
| Seguridad de la información |
Si bien ambas firmas ofrecen un alto nivel de seguridad, lo cierto es que la seguridad que ofrece la firma electrónica cualificada es muy superior a la firma electrónica avanzada. La firma electrónica cualificada emplea dispositivos de firma que han sido sometidos a los más rigurosos controles, cuentan con certificaciones que así lo atestiguan. Están clasificados como inviolables. |
¿Qué debo solicitar a un proveedor de firmas electrónicas?
Si está buscando implantar un software de firma electrónica con garantías legales y eficacia jurídica, es importante que acuda a fuentes de información sólidas e imparciales y no se deje llevar por el discurso que los comerciales de proveedores de software de firma electrónica han memorizado para persuadirle.
A modo de recomendación de elementos imprescindibles a tener en cuenta:
- Escoja un Prestador cualificado de servicios de confianza. Solo los PCSC asumen responsabilidad patrimonial por su ejercicio profesional (ANF AC dispone de una póliza RD de 5.000.000 euros), están regulados por Ley y supervisados anualmente por auditores eIDAS y Organismo de Supervisión (Secretaria de Estado de Digitalización e Inteligencia Artificial (SEDIA) dependiente del Ministerio de Asuntos Económicos y Transformación Digital).
- Asegúrese que cuando habla de firma electrónica avanzada o cualificada, se trata de firma electrónica basada en certificados electrónicos cualificados y no únicamente firma grafométrica.
- Tenga en cuenta la cualificación de la firma electrónica: avanzada o cualificada. La firma cualificada es la única directamente equiparable a la firma manuscrita.
- Huya si le hablan de "firma electrónica simple":
Este término acuñado por ciertos proveedores de software del mercado, es empleado por éstos para hacer referencia a un proceso de marcar un checkbox o introducir un código OTP enviado por SMS. Anteriormente acogidos a la figura de tercero de confianza de la LSSI, hoy en día figura derogada.
Debemos aclarar que, el hecho de marcar un checkbox, introducir un código PIN u OTP, o realizar un grafo con el mouse no constituye una firma electrónica, y mucho menos una firma electrónica avanzada, y, evidentemente, no está respaldado por ninguna norma europea ETSI. Se trata de un instrumento que puede falsificarse, por si solo no garantiza la integridad del contenido ni la identidad de quién marcó el checkbox o introdujo el código.
Precisamente, el Reglamento eIDAS aborda esa problemática, a través de la Decisión de Ejecución 2015/1506/UE, que define una serie de perfiles de referencia para garantizar que las firmas electrónicas puedan crearse y validarse en cualquier lugar de Europa, basándose en firmas electrónicas con certificados electrónicos cualificados.
- Pregunte qué nivel de firma electrónica aplica el software. No se conforme con un nivel básico.
ANF Autoridad de Certificación es un prestador cualificado de servicios de confianza, con más de 20 años de recorrido en el sector de firma electrónica. Ofrecemos plataformas web y API de firma electrónica basada en criptografía de clave pública (certificados cualificados), con posibilidad de realizar firmas electrónicas avanzadas y cualificadas de forma intuitiva, y garantía de validez a largo plazo (nivel -LT y -LTA).
ANF AC es garantía de conocimiento experto en la materia. Somos uno de los pocos PCSC de la Unión Europea con el 100 % de los servicios eIDAS acreditados, y el único PCSC acreditado por Entidad de Certificación en materia de Protección de Datos DPD-AEPD.
¿Tiene dudas? ¿Quiere saber más sobre nuestro software de firma electrónica? Contacte con nuestro servicio de atención al cliente y estaremos encantados de informarle sobre nuestras soluciones.