El Tercero de Confianza en el Comercio Electrónico: Clave para la Seguridad y Legitimidad Digital
En el dinámico mundo del comercio electrónico, la figura del tercero de confianza ha adquirido una importancia capital. Este concepto, que se define en el ámbito de las transacciones digitales cuando dos o más partes que se relacionan dentro del comercio electrónico recurren a una tercera parte, abarca diversas tareas esenciales. Estas incluyen el archivo de las declaraciones de voluntad que integran los contratos electrónicos, consignar la fecha y hora de las comunicaciones, o archivar en soporte digital las declaraciones entre las partes.
La Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza, publicada en el BOE de 12 de noviembre y con entrada en vigor al día siguiente, ha venido a complementar el Reglamento (UE) 910/2014. Este reglamento garantiza la equivalencia jurídica entre la firma electrónica cualificada y la firma manuscrita, pero permite a los Estados miembros determinar los efectos de las otras firmas electrónicas y de los servicios electrónicos de confianza en general. En este aspecto, se modifica la regulación anterior al atribuir a los documentos electrónicos para cuya producción o comunicación se haya utilizado un servicio de confianza cualificado una ventaja probatoria.
Marco Legal y Evolución de los Servicios de Confianza
La Ley 59/2003, de 19 de diciembre, de firma electrónica, que supuso la transposición al ordenamiento jurídico español de la derogada Directiva 1999/93/CE, se encuentra desde entonces jurídicamente desplazada en todo aquello regulado por el Reglamento (UE) 910/2014. La Ley 6/2020 no realiza una regulación sistemática de los servicios electrónicos de confianza, que ya han sido legislados por el citado Reglamento, el cual, por respeto al principio de primacía del Derecho de la Unión Europea, no debe reproducirse total o parcialmente. En tal sentido, el objetivo de la Ley 6/2020 es complementar el Reglamento (UE) 910/2014 en aquellos aspectos que este no ha armonizado y que se dejan al criterio de los Estados miembros.
Se establece un régimen jurídico específico para los servicios electrónicos de confianza cualificados, consecuente con las elevadas exigencias de supervisión y seguridad que soportan, y cuyo reflejo es la singular relevancia probatoria que poseen respecto de los servicios no cualificados. La aplicabilidad directa del Reglamento no priva a los Estados miembros de toda capacidad normativa sobre la materia regulada; es más, aquellos están obligados a adaptar los ordenamientos nacionales para garantizar que aquella cualidad se haga efectiva.
Certificados Electrónicos y Sellos Electrónicos
Por lo que respecta a los certificados electrónicos, se introducen en la Ley varias disposiciones relativas a la expedición y contenido de los certificados cualificados, cuyo tiempo máximo de vigencia se mantiene en cinco años. En este sentido, no se permite a los prestadores de servicios el denominado «encadenamiento» en la renovación de certificados cualificados utilizando uno vigente, más que una sola vez, por razones de seguridad en el tráfico jurídico.
El Reglamento (UE) 910/2014 contempla la posibilidad de verificación de la identidad del solicitante de un certificado cualificado utilizando otros métodos de identificación reconocidos a escala nacional que garanticen una seguridad equivalente en términos de fiabilidad a la presencia física. La identificación de la persona física que solicite un certificado cualificado exigirá su personación ante los encargados de verificarla y se acreditará mediante el Documento Nacional de Identidad, pasaporte u otros medios admitidos en Derecho. Los certificados cualificados expedidos a personas físicas incluirán el número de Documento Nacional de Identidad, número de identidad de extranjero o número de identificación fiscal, salvo en los casos en los que el titular carezca de todos ellos.
Reglamentariamente, mediante Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital, se determinarán otras condiciones y requisitos técnicos de verificación de la identidad a distancia y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación como videoconferencia o vídeo-identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física según su evaluación por un organismo de evaluación de la conformidad. La forma en que se ha procedido a identificar a la persona física solicitante podrá constar en el certificado.
En el caso de certificados cualificados de sello electrónico y de firma electrónica con atributo de representante, los prestadores de servicios de confianza comprobarán, además de los datos señalados en los apartados anteriores, los datos relativos a la constitución y personalidad jurídica, y a la persona o entidad representada, respectivamente, así como la extensión y vigencia de las facultades de representación del solicitante mediante los documentos, públicos si resultan exigibles, que sirvan para acreditar los extremos citados de manera fehaciente y su inscripción en el correspondiente registro público si así resulta exigible. Únicamente las personas físicas están capacitadas para firmar electrónicamente, por lo que no prevé la emisión de certificados de firma electrónica a favor de personas jurídicas o entidades sin personalidad jurídica. A estas se reservan los sellos electrónicos, que permiten garantizar la autenticidad e integridad de documentos tales como facturas electrónicas.
| Tipo de Certificado/Sello | Identificación para Personas Físicas | Identificación para Personas Jurídicas | Vigencia Máxima |
|---|---|---|---|
| Certificado de firma electrónica (cualificado) | Nombre, apellidos, DNI/NIE/NIF (o pseudónimo) | No aplicable (reservado para sellos) | 5 años |
| Certificado de autenticación de sitio web (cualificado) | Nombre, apellidos, DNI/NIE/NIF (o pseudónimo) | Denominación o razón social, NIF | 5 años |
| Sello electrónico (cualificado) | No aplicable | Denominación o razón social, NIF | 5 años |
| Firma electrónica con atributo de representante (cualificado) | Nombre, apellidos, DNI/NIE/NIF (o pseudónimo) | Datos de constitución, personalidad jurídica, representación | 5 años |
EnRed | ¿Conoces la diferencia entre firma digital y firma electrónica?
Obligaciones de los Prestadores de Servicios de Confianza
En lo que se refiere a las obligaciones de los prestadores, la Ley establece el requisito de constitución de una garantía económica para la prestación de servicios cualificados de confianza, debiendo constituir un seguro de responsabilidad civil por importe mínimo de 1.500.000 euros, excepto si el prestador pertenece al sector público.
Una de las exigencias del Reglamento (UE) 910/2014 se centra en garantizar la seguridad de los servicios de confianza frente a actos deliberados o fortuitos que afecten a sus productos, redes o sistemas de información. En este sentido, todos los prestadores de servicios de confianza, cualificados y no cualificados, están sometidos a la obligación de adoptar las medidas técnicas y organizativas adecuadas para gestionar los riesgos para la seguridad de los servicios de confianza que prestan, así como de notificar al órgano de supervisión cualquier violación de la seguridad o pérdida de la integridad que tenga un impacto significativo en el servicio de confianza prestado.
El prestador cualificado que vaya a cesar en su actividad deberá comunicarlo a los clientes a los que preste sus servicios y al órgano de supervisión con una antelación mínima de dos meses al cese efectivo de la actividad, por un medio que acredite la entrega y recepción efectiva siempre que sea factible. Igualmente, comunicará al órgano de supervisión cualquier otra circunstancia relevante que pueda impedir la continuación de su actividad. Además, deberá enviar el informe de evaluación de la conformidad al Ministerio de Asuntos Económicos y Transformación Digital en los términos previstos en el artículo 20.1 del Reglamento (UE) 910/2014.
Supervisión y Régimen Sancionador
Si bien la prestación de servicios electrónicos de confianza se realiza en régimen de libre competencia, el Reglamento (UE) 910/2014 prevé, para los servicios cualificados, un sistema de verificación previa de cumplimiento de los requisitos que en él se imponen. Así, se diseña un sistema mixto de colaboración público-privada para la supervisión de los prestadores cualificados, pues su inclusión en la lista de confianza, que permite iniciar esa actividad, debe basarse en un informe de evaluación de la conformidad emitido por un organismo de evaluación acreditado por un organismo nacional de acreditación, establecido en alguno de los Estados miembros de la Unión Europea. Por su parte, los prestadores de servicios no cualificados pueden prestar servicios sin verificación previa de cumplimiento de requisitos, sin perjuicio de su sujeción a las potestades de seguimiento y control posterior de la Administración.
El Ministerio de Asuntos Económicos y Transformación Digital realizará las actuaciones inspectoras que sean precisas para el ejercicio de su función de supervisión y control. Podrá requerirse la realización de pruebas en laboratorios o entidades especializadas para acreditar el cumplimiento de determinados requisitos. Los prestadores de servicios de confianza deberán permitir a sus funcionarios o al personal inspector el acceso a sus instalaciones y la consulta de cualquier documentación relevante para la inspección de que se trate.
Por último, se define el régimen sancionador aplicable a los prestadores cualificados y no cualificados de servicios electrónicos de confianza, sin perjuicio de la posibilidad ya prevista en el artículo 20.3 del Reglamento (UE) 910/2014 de retirar la cualificación al prestador o servicio que presta, y su exclusión de la lista de confianza, en determinados supuestos. La potestad sancionadora regulada en esta Ley se ejercerá de conformidad con lo establecido al respecto en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, y en sus normas de desarrollo. El procedimiento tendrá una duración máxima de nueve meses a contar desde la fecha del acuerdo de iniciación.
La Confianza del Consumidor y los Sellos de Confianza Online
La confianza de los consumidores es tan importante para las empresas, como frágil. Un consumidor desencantado es muy difícil de recuperar, y por eso hay que poner todos los medios a nuestro alcance para que se sientan cómodos y seguros cuando deciden realizar una compra online. Un estudio extenso de la Singapore Management University afirma que la intención de compra de los consumidores se refuerza si tienen altos niveles de confianza y un riesgo percibido muy bajo. Son muchas las variables que influyen en la confianza de un consumidor sobre un eCommerce, y los sellos de confianza son una de ellas.
La confianza de un consumidor en una web o en un comercio online se basa en múltiples indicadores, algunos de ellos negativos. Por ejemplo, podemos desconfiar de sitios sospechosos de fraude, virus, exposición de datos personales. Cualquier sospecha de que una página web no se gestiona siguiendo unos criterios mínimos de seguridad, privacidad e integridad que nos protejan es una página en la que no confiaremos. Los sellos de confianza nos ayudan a identificar de un vistazo que una página de eCommerce dada sigue esos criterios mínimos. Las empresas que así lo desean se pueden someter a un proceso de certificación para acreditar que cuenta con ciertos niveles de seguridad y calidad para sus clientes. Un tercero reconocido revisará los procesos y una lista de buenas prácticas que deberían estar implementadas. Una vez validado todo esto, se otorga el sello, que será visible en la página web.
De esta manera, un consumidor cualquiera puede fiarse de una página web sin necesidad de hacer tantas comprobaciones. Para ello, el usuario debería comprobar en las páginas oficiales de cada sello que realmente la empresa que lo muestra está adherida al programa. Existe fraude, como en casi todo, asociado a los sellos de confianza online, y por eso cada entidad certificadora dispone de un buscador. Al introducir el nombre de la empresa comprobaremos fácilmente si la página ha pasado por el proceso de certificación, o no. Como vemos, este proceso es, además, periódico. Las empresas deben renovar los sellos de confianza online y también adaptarse a los cambios solicitados desde la entidad para poder lucir el distintivo.
Ejemplos de Sellos de Confianza
- Confianza Online: este es un sello pensado para que las empresas demuestren «su compromiso ético con las buenas prácticas en Internet y Comercio Electrónico«.
- iCERT: este sello se define como una «certificación para tiendas online con sistema de reputación basado en opiniones de compradores«, con lo cual está aportando esa subjetividad propia de las opiniones de los usuarios, algo que tiene un peso específico muy alto desde el punto de vista de un consumidor que quiera decidirse a comprar.
Aspectos Técnicos de la Confianza Digital
Sellado de Tiempo (Timestamp Digital)
La fecha de creación que aparece en un documento digital no representa una “fecha fehaciente” que pueda ser utilizada como referencia. Para lograr que las firmas de documentos PDF logren cumplir con el estándar LTV (Long Term Validation) es necesario el uso de sellos de tiempo (Timestamp digital). Dentro de estos documentos puede almacenarse información para ser utilizada como prueba, garantizando que la misma no ha sido alterada y que existió en un determinado momento. La solución puede generar firmas visibles o invisibles dentro del documento dependiendo de la configuración del mismo.
Los servidores de la plataforma Sign to Sign ® y las Unidades de Sellado de Tiempo (TSU) de ANF AC, se sincronizan con el Laboratorio del Real Instituto y Observatorio de la Armada- San Fernando (Cádiz), “ROA” (nivel Stratum 1). ROA, es responsable del mantenimiento de la unidad básica de Tiempo, declarado a efectos legales como Patrón Nacional de dicha unidad, así como del mantenimiento y difusión oficial de la escala “Tiempo Universal Coordinado” (UTC(ROA)), considerada a todos los efectos como la base de la hora legal en todo el territorio nacional. Los TSUs verifican el offset entre la hora del servidor utilizado para prestar servicio TSU, y la hora del servidor NTP (hora.roa.es). La respuesta del timesatmping incluye el campo accuracy (precisión), donde indicamos qué diferencia hay entre la hora del servidor y la hora del servidor NTP, que normalmente suele de ser de varios milisegundos. Para controlar la desviación horaria entre el tiempo transcurrido entre la consulta y la recepción de la respuesta utilizamos Protocolo NTP (Network Time Protocol). El proceso de sincronización se activa automáticamente cada 5 minutos, en caso de detectar un desvío sustancial, realiza una parada técnica de los sistemas de sellado de tiempo para someterlos a auditoría. El encadenamiento hash se incluye en una lista de encadenamientos que diariamente es firmada y cuya información básica es remitida para protocolización notarial.
Sistemas de Firma Digitalizada y Biometría
Al suscribir contratos electrónicos o completar formularios que requieren la firma de un individuo, su información biométrica debe ser cifrada para garantizar que la evidencia tenga valor para la organización que haga uso de la misma. Los sistemas de firma digitalizada insertan la información biométrica del individuo dentro de un documento (con frecuencia, en formato PDF). El proceso de comprobación de una firma digitalizada se inicia a partir del documento electrónico que incluye la firma a verificar y requiere el uso de la clave custodiada para poder descifrar los datos biométricos. CertiSur garantiza de esta forma que una clave en custodia solo será utilizada bajo las condiciones descriptas en el contrato de servicio y por personal idóneamente capacitado y habilitado.
Seguridad y Gestión de Documentos Electrónicos
Es posible controlar fácilmente qué aplicación tiene permiso para firmar documentos y resguardar las claves del firmante en un dispositivo HSM para su mayor protección y garantía. Cada uno de los firmantes cuenta con un mecanismo de autorización propio. En Sign to Sign ® no almacenamos contraseñas, utilizamos técnica hash. Nuestra plataforma dispone de medidas de seguridad adecuadas para controlar el acceso a la información de base de datos y para la descarga de documentos. La plataforma Sign to Sign ® está diseñada para atender consultas sobre la validez de los certificados y sellos cualificados emitidos por cualquier PCSC de la Unión Europea. Disponemos de un Plan de Contingencias y Recuperación de Desastres que define las acciones a realizar, recursos a utilizar, y personal a emplear en el caso de producirse un acontecimiento intencional o accidental que inutilice o degrade los recursos y los servicios de certificación de ANF AC, o los servicios prestados por Sign to Sign ®. La tecnología docker automatiza el despliegue de aplicaciones dentro de contenedores de software, proporcionando una capa adicional de abstracción y automatización de virtualización de aplicaciones.
Impacto de la Ley 6/2020 en Otras Normativas
En las disposiciones finales de la Ley 6/2020 se modifican diversas leyes. En la primera, la Ley 56/2007, de 28 de diciembre, de medidas de impulso de la sociedad de la información, de forma que las empresas que presten servicios al público en general de especial trascendencia económica deberán disponer de un medio seguro de interlocución telemática, no necesariamente basado en certificados electrónicos. En la segunda, se modifica la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil, con objeto de adaptarla al nuevo marco regulatorio de los servicios electrónicos de confianza definido en esta Ley. En la final tercera, se modifica la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, para adaptar su regulación al Reglamento (UE) 2019/1150.
La Ley 6/2020 se dicta al amparo de las competencias exclusivas que corresponden al Estado en materia de legislación civil, telecomunicaciones y seguridad pública, conforme al artículo 149.1.8.ª, 21.ª y 29.ª de la Constitución Española. El artículo 3 y la disposición final segunda se dictan, además, al amparo de lo previsto en el artículo 149.1.6.ª de la Constitución, el cual atribuye al Estado competencia exclusiva en materia de legislación procesal.
Prueba de Documentos Electrónicos
El Reglamento (UE) 910/2014 garantiza la equivalencia jurídica entre la firma electrónica cualificada y la firma manuscrita, pero permite a los Estados miembros determinar los efectos de las otras firmas electrónicas y de los servicios electrónicos de confianza en general. En este aspecto, se modifica la regulación anterior al atribuir a los documentos electrónicos para cuya producción o comunicación se haya utilizado un servicio de confianza cualificado una ventaja probatoria. La prueba de los documentos electrónicos privados en los que se hubiese utilizado un servicio de confianza no cualificado se regirá por lo dispuesto en el apartado 3 del artículo 326 de la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil.
Si aun así se impugnare el documento electrónico, la carga de realizar la comprobación corresponderá a quien haya presentado la impugnación. Si dichas comprobaciones obtienen un resultado negativo, serán las costas, gastos y derechos que origine la comprobación exclusivamente a cargo de quien hubiese formulado la impugnación.