Certificado digital cualificado

Certificado digital cualificado

En el contexto del Reglamento (UE) 910/2014 (eIDAS), un certificado digital cualificado es un certificado de clave pública emitido por un proveedor de servicios de confianza cualificado, que asegura la autenticidad e integridad de datos de una firma electrónica y su mensaje acompañante y/o dato adjuntado.

Descripción

El eIDAS define varios niveles de firmas electrónicas que pueden utilizarse en la realización de transacciones del sector público y privado dentro y fuera de las fronteras de los Estados miembros de la UE. Se requiere un certificado digital cualificado, además de otros servicios específicos prestados por un proveedor de servicios de confianza cualificado, para elevar el estatus de una firma electrónica a la consideración de firma electrónica cualificada. Utilizando la criptografía, el certificado digital, también conocido como certificado de clave pública, contiene información que lo vincula a su propietario y la firma digital de la entidad de confianza que verifica la autenticidad del contenido que ha sido firmado.

Según el eIDAS, para ser considerado un certificado digital cualificado, el certificado debe cumplir con los requisitos previstos en el Anexo I del Reglamento (UE) nº 910/2014, entre otros:

  • Identificación de que el certificado es un certificado cualificado para la firma electrónica
  • Identificación del prestador de servicios de confianza cualificado que emitió el certificado cualificado, incluyendo dicha información
  • Datos de validación de la firma electrónica y datos de creación de la firma electrónica correspondientes
  • Indicación del período de validez del certificado
  • Código único de identidad del certificado del prestador de servicios de confianza
  • Firma electrónica avanzada o sello electrónico del prestador de servicios de confianza cualificado.

Visión

La necesidad de no repudio y autenticación de las firmas electrónicas se abordó originalmente en la Directiva de Firmas Electrónicas  1999/93/CE para ayudar a facilitar las transacciones seguras, específicamente las que se producen a través de las fronteras de los Estados miembros de la UE. El Reglamento eIDAS sustituyó posteriormente a la Directiva y definió las normas que debían utilizarse en la creación de certificados digitales cualificados por parte de los proveedores de servicios de confianza.

Función de un proveedor de servicio de confianza cualificado

Un certificado digital cualificado sólo puede ser emitido por un proveedor de servicios de confianza cualificado que haya recibido la autorización del organismo de supervisión de su Estado miembro para prestar servicios de confianza cualificados para crear firmas electrónicas cualificadas. El proveedor debe figurar en la Lista de Confianza de la UE; de lo contrario, no está autorizado a proporcionar certificados digitales cualificados u otros servicios de confianza cualificados. El prestador de servicios de confianza debe cumplir las directrices establecidas en el marco del eIDAS para la creación de certificados digitales reconocidos, entre las que se incluyen::

  • Proporcionar un sello de fecha y hora válidos de cuando se creó el certificado,
  • la revocación inmediata de cualquier firma que tenga un certificado caducado,
  • proporcionar una formación adecuada a todos sus empleados que participen en la prestación de servicios de confianza,
  • cualquier equipo o software que se utilice para los servicios de confianza debe ser de confianza y capaz de evitar la falsificación de certificados.

Implicaciones legales de firmas electrónicas con certificados digitales cualificados

n los tribunales, una firma electrónica cualificada proporciona el mayor nivel de valor probatorio, lo que hace difícil refutar su autoría. Una firma electrónica cualificada, junto con su certificado cualificado, tiene la misma consideración que una firma manuscrita cuando se utiliza como prueba en un procedimiento judicial. La validez de una firma electrónica cualificada que haya sido creada con un certificado cualificado debe ser aceptada por otros Estados miembros de la UE, independientemente del Estado miembro en el que se haya producido la firma.

Perspectiva global

En otras partes del mundo se han creado conceptos similares para definir normas de firma electrónica. En Suiza, el estándar de firma digital ZertES tiene normas comparables que abordan la conformidad y la regulación de los proveedores de servicios de confianza que producen certificados digitales.

En Estados Unidos, la norma NIST Digital Signature Standard (DSS) no proporciona una norma comparable para regular los certificados cualificados que aborde el no repudio del certificado cualificado de un firmante. Actualmente se está debatiendo una enmienda a la DSS del NIST que estaría más en consonancia con el modo en que eIDAS y ZertES gestionan los servicios de confianza.

Firma electrónica cualificada

Una firma electrónica cualificada es una firma electrónica que cumple con el Reglamento de la UE n.º 910/2014 (Reglamento eIDAS) para las transacciones electrónicas en el mercado interior europeo.​ Permite verificar la autoría de una declaración en el intercambio de datos electrónicos durante largos períodos de tiempo. Las firmas electrónicas cualificadas pueden considerarse como un equivalente digital a las firmas manuscritas.

Descripción

El objetivo del eIDAS era crear un conjunto de normas para garantizar que las firmas electrónicas pudieran utilizarse de forma segura al realizar negocios en línea o al llevar a cabo actividades oficiales a través de las fronteras entre los Estados miembros de la UE. La firma electrónica cualificada es una de las normas que se han establecido en el marco del eIDAS.

Una firma electrónica cualificada es una firma electrónica avanzada con un certificado digital cualificado que ha sido creada por un dispositivo cualificado de creación de firmas (QSCD). Para que una firma electrónica se considere cualificada, debe cumplir tres requisitos principales: En primer lugar, el firmante debe estar vinculado e identificado de forma única con la firma. El segundo es que los datos utilizados para crear la firma deben estar bajo el control exclusivo del firmante. Y por último debe tener la capacidad de identificar si los datos que acompañan a la firma han sido manipulados desde la firma del mensaje.

Es importante tener en cuenta que la creación de una firma electrónica cualificada es algo más que añadir un certificado cualificado a una firma electrónica avanzada. La firma también debe crearse utilizando un dispositivo cualificado de creación de firmas (QSCD). Este dispositivo se encarga de calificar las firmas electrónicas mediante el uso de hardware y software específicos que garantizan que el firmante sólo tiene el control de su clave privada. Además, un proveedor de servicios de confianza cualificado gestiona los datos de creación de firma que se producen. Los datos de creación de la firma deben ser únicos, confidenciales y estar protegidos contra la falsificación.

Las firmas electrónicas cualificadas que cumplen con el eIDAS pueden ser implementadas técnicamente a través de tres estándares específicos de firma digital XAdES, PAdES y CAdES que fueron desarrollados por el Instituto Europeo de Normas de Telecomunicaciones (ETSI) y luego necesitan ser complementados con un certificado digital cualificado a través de los procedimientos descritos anteriormente.

Proveedores de servicio de confianza cualificados

El proveedor de servicios de confianza cualificado tiene un papel crucial en el proceso de la firma electrónica cualificada. Un proveedor de servicios de confianza debe recibir el estatus de cualificado por parte de un organismo gubernamental de supervisión que permita a la entidad prestar servicios de confianza cualificados para ser utilizados en la creación de firmas electrónicas cualificadas. Regulado en el eIDAS, la Unión Europea publicó una lista de confianza de la UE con efecto constitutivo, lo que significa que un proveedor o servicio sólo estará cualificado si aparece en la lista de confianza. Los proveedores de servicios de confianza cualificados están obligados a cumplir las estrictas directrices establecidas en el Reglamento eIDAS, que incluyen como parte del proceso de creación del certificado:

  • El proveedor de servicios debe proporcionar una fecha y hora válidas para los certificados creados.
  • Las firmas con certificados caducados deben ser revocadas inmediatamente.
  • El personal empleado por el proveedor de servicios de confianza cualificado debe estar debidamente formado.
  • El software y el hardware utilizados por el proveedor de servicios deben ser fiables y capaces de evitar la falsificación de certificados.

Visión e impacto esperado

En el marco del eIDAS, la intención de la implantación de la firma electrónica reconocida es servir a varios propósitos, como la facilitación de los procesos empresariales y de servicios públicos, incluidos los que son transfronterizos. Estos procesos pueden agilizarse de forma segura utilizando la firma electrónica. En el marco del eIDAS, se ha encargado a los Estados miembros de la UE que establezcan «ventanillas únicas» (PSC) para los servicios de confianza con el fin de garantizar que los sistemas de identificación electrónica puedan utilizarse en las transacciones transfronterizas del sector público, como el intercambio y el acceso a la información sanitaria a través de las fronteras.

Anteriormente, un firmante firmaba un documento o mensaje y luego lo devolvía al destinatario a través del servicio postal, el servicio de fax, a mano o escaneándolo y adjuntándolo a un correo electrónico. El problema de estos métodos es que no siempre son seguros o puntuales. Pueden producirse retrasos en la entrega y existe la posibilidad de que se falsifiquen las firmas o se alteren los documentos adjuntos. El riesgo aumenta cuando se requieren múltiples firmas de diferentes personas que pueden estar ubicadas en diferentes lugares. Estos problemas se alivian con el uso de firmas electrónicas cualificadas, que ahorran tiempo, son legalmente vinculantes y proporcionan un mayor nivel de seguridad técnica.

Se espera que la mayor transparencia en el proceso de firma y transacción electrónicas y la mayor interoperabilidad estimulen la innovación en el mercado interior europeo.

Implicaciones legales

El eIDAS exige que no se denieguen efectos jurídicos o admisibilidad como prueba a ninguna firma electrónica por el mero hecho de estar en formato electrónico o de no cumplir los requisitos de las firmas electrónicas cualificadas.​ La firma electrónica cualificada tendrá un efecto jurídico equivalente al de una firma manuscrita. Su valor probatorio depende de las circunstancias, pero normalmente se considerará muy alto. Todos los Estados miembros de la UE están obligados a reconocer como válida una firma electrónica cualificada, siempre que haya sido creada con un certificado cualificado que haya sido emitido por otro Estado miembro.

De acuerdo con el Reglamento eIDAS, artículo 27, Firma electrónica en los servicios públicos, se prohíbe a los Estados miembros solicitar firmas de un nivel superior al de la firma electrónica cualificada. El artículo 25 (2) del eIDAS permite que una firma electrónica cualificada tenga el mismo peso legal que una firma manuscrita.