¿Es necesaria una regulación especial de la firma electrónica en el Perú?
Carlos PEDROZA BARRIOS*
RESUMEN
Si bien es cierto que la firma digital está siendo utilizada mayormente como una solución práctica en estos momentos, no podemos dejar de lado a la firma electrónica como género, para lo cual el autor plantea que se dé una regulación especial al respecto. Así considera que se debería dar un reglamento o una norma especial que desarrolle la firma electrónica como parte del sistema nacional, por cuanto es importante su desarrollo tomando en cuenta que su uso viene dándose décadas atrás en nuestro país y puede perjudicar actualmente si todo se direcciona –como aparentemente se deduce– de la normativa como está legislada actualmente la firma digital.
MARCO NORMATIVO
Ley Nº 27269: Ley de firmas y certificados digitales: passim.
Decreto Supremo N° 052-2008-PCM: Reglamento de la ley de firmas y certificados digitales: passim.
Palabras clave: Firma electrónica / Firma digital / Firma manuscrita
Recibido: 01/07/2020
Aprobado: 16/07/2020
I. LA LEY DE FIRMAs DIGITALES Y CERTIFICADOS DIGITALES
La ley de firmas y certificados digitales[1] regula la utilización de la firma electrónica otorgándole la misma validez y eficacia jurídica que el uso de la firma manuscrita u otra análoga que conlleve manifestación de voluntad[2].
Como podemos apreciar dicha norma lo que busca es regular la firma electrónica en todas sus modalidades como un género. Luego en el artículo tercero y demás de la ley, esta se dedica a desarrollar la firma digital, que viene a ser una especie del género firma electrónica[3]. Podemos decir, en un primer momento, que lo que la norma nos indica es que si bien regula la firma electrónica, en el fondo lo que busca es regular al detalle la firma digital desviándose del objeto de la ley indicada.
La Ley Modelo de la CNUDMI[4] regula la firma electrónica y no la digital por el principio de neutralidad tecnológica en su artículo 2, inciso a), indicando que por “firma electrónica se entenderán los datos en forma electrónica consignados en un mensaje de datos, o adjuntados o lógicamente asociados al mismo, que puedan ser utilizados para identificar al firmante en relación con el mensaje de datos e indicar que el firmante aprueba la información recogida en el mensaje de datos”.
Así también la Ley Modelo de la CNUDMI sobre Comercio Electrónico[5] en su artículo 7 - Firma en el párrafo 1) nos indica:
1) Cuando la ley requiera la firma de una persona, ese requisito quedará satisfecho en relación con un mensaje de datos:
a) Si se utiliza un método para identificar a esa persona y para indicar que esa persona aprueba la información que figura en el mensaje de datos; y
b) Si ese método es tan fiable como sea apropiado para los fines para los que se generó o comunicó el mensaje de datos, a la luz de todas las circunstancias del caso, incluido cualquier acuerdo pertinente.
Regresando a lo indicado por nuestra Ley N° 27269 de firmas y certificados digitales en su artículo 1[6], podemos precisar que lo que se solicita respecto de la firma en los documentos electrónicos es:
a. Identificar al firmante (la persona).
b. Asociar a esa persona con el contenido del documento, y
c. Seguridad de la participación de esa persona en el acto de firmar propiamente.
Entonces podemos tener una primera conclusión, en el sentido de que nuestra norma busca concentrarse en dos funciones básicas de la firma:
a. La identificación del generador o autor del documento, y
b. Certeza que este generador o autor del documento manifiesta su intención de vincularse con dicho documento.
II. LA FIRMA ELECTRÓNICA
Podemos afirmar que “la firma electrónica es un método de seguridad informática y documental asociado a la incorporación de datos en forma digital que permitan las funciones de autenticidad, integridad y no repudio respecto del contenido de un mensaje de datos” (Peña Valenzuela, 2015, p. 134). Por lo tanto, este mecanismo debe ser fiable y apropiado. Para la Ley Modelo de la CNUDMI[7], una firma electrónica es fiable si:
a) los datos de creación de la firma, en el contexto en que son utilizados, corresponden exclusivamente al firmante;
b) los datos de creación de la firma estaban, en el momento de la firma, bajo el control exclusivo del firmante;
c) es posible detectar cualquier alteración de la firma electrónica hecha después del momento de la firma; y
d) cuando uno de los objetivos del requisito legal de firma consista en dar seguridades en cuanto a la integridad de la información a que corresponde, es posible detectar cualquier alteración de esa información hecha después del momento de la firma.
Este método para ser apropiado, debe tomar en cuenta, entre otros, los siguientes factores jurídicos, técnicos y comerciales[8]:
a) la perfección técnica del equipo utilizado por cada una de las partes;
b) la naturaleza de su actividad comercial;
c) la frecuencia de sus relaciones comerciales;
d) el tipo y la magnitud de la operación;
e) la función de los requisitos de firma con arreglo a la norma legal o reglamentaria aplicable;
f) la capacidad de los sistemas de comunicación;
g) la observancia de los procedimientos de autenticación establecidos por intermediarios;
h) la gama de procedimientos de autenticación que ofrecen los intermediarios;
i) la observancia de los usos y prácticas comerciales;
j) la existencia de mecanismos de aseguramiento contra el riesgo de mensajes no autorizados;
k) la importancia y el valor de la información contenida en el mensaje de datos;
l) la disponibilidad de otros métodos de identificación y el costo de su aplicación;
m) el grado de aceptación o no aceptación del método de identificación en el sector o la esfera pertinente, tanto en el momento en el que se acordó el método como en el que se comunicó el mensaje de datos; y
n) cualquier otro factor pertinente (Guía para la incorporación al derecho interno de la Ley Modelo de la CNUDMI sobre Comercio Electrónico, párrs. 53 y 56 a 58).
Es importante recordar que las firmas electrónicas se vienen usando hace muchas décadas –principalmente en el Sector Privado– con el fin de poder identificarse y generar documentos electrónicos, mensajes de datos fiables, entre otros. Esto es lo que se conoce como el Intercambio electrónico de documentos o Electronic Document Interchange (EDI). Si bien es cierto con el devenir del tiempo, la firma digital ha surgido como una alternativa, ambas (la electrónica y digital) son perfectamente válidas y aceptadas por la normativa y no podemos afirmar que una sea más segura y confiable que otra. Para determinar el uso de alguna de ellas, deberá entonces asegurarse lo señalado líneas arriba:
a. La identificación del generador o autor del documento, y
b. Certeza que este generador o autor del documento manifiesta su intención de vincularse con dicho documento.
Quisiera a continuación mencionar algunos aspectos señalados en un estudio de la CNUDMI titulado “Fomento de la confianza en el comercio electrónico: cuestiones jurídicas de la utilización internacional de métodos de autenticación y firmas electrónicas” (CNUDMI, 2009):
a. La definición de “firma electrónica” en los textos de la CNUDMI es deliberadamente amplia, para que abarque todos los métodos de “firma electrónica” existentes o futuros. Siempre que el método utilizado “es tan fiable como sea apropiado para los fines para los que se generó o comunicó el mensaje de datos,” a la luz de todas las circunstancias del caso, incluido cualquier acuerdo pertinente, se deberá considerar que cumplen las prescripciones legales en materia de firma. Los textos de la CNUDMI relativos al comercio electrónico, así como un gran número de otros textos legislativos, se basan en el principio de la neutralidad tecnológica y por lo tanto pretenden dar cabida a todas las formas de firma electrónica. Así pues, la definición de firma electrónica dada por la CNUDMI abarcaría todo el abanico de técnicas de “firma electrónica”, desde los altos niveles de seguridad, como los sistemas de garantía de la firma basados en criptografía asociados a un sistema de ICP (una forma habitual de “firma digital” (...), hasta los niveles de seguridad más bajos, como códigos o contraseñas no cifrados. La mera inclusión del nombre mecanografiado del autor al final de un mensaje de correo electrónico, que es la forma más habitual de “firma” electrónica, por ejemplo, cumpliría la función de identificar correctamente al autor del mensaje siempre que no sea infundado utilizar un nivel tan bajo de seguridad. (CNUDMI, 2009, p. 15)
b. En el curso de los años se ha creado una serie de distintas técnicas de firma electrónica. Cada una de ellas tiene por objetivo atender a distintas necesidades y proporcionar distintos niveles de seguridad y también entraña diferentes requisitos técnicos. Los métodos de autenticación y firma electrónicas pueden clasificarse en tres categorías, a saber: los que se basan en lo que el usuario o el receptor sabe (por ejemplo, contraseñas, números de identificación personal (NIP)), los basados en las características físicas del usuario (por ejemplo, biométrica) y los que se fundamentan en la posesión de un objeto por el usuario (por ejemplo, códigos u otra información almacenados en una tarjeta magnética. En una cuarta categoría se podría incluir a diversos tipos de métodos de autenticación y firma que, sin pertenecer a ninguna de las categorías arriba citadas, podrían también utilizarse para indicar el iniciador de una comunicación electrónica (por ejemplo, un facsímil de una firma manuscrita, o un nombre mecanografiado en la parte inferior de un mensaje electrónico). Entre las tecnologías que se utilizan en la actualidad figuran las firmas digitales en el marco de una infraestructura de clave pública (ICP), dispositivos biométricos, NIP, contraseñas elegidas por el usuario o asignadas, firmas manuscritas escaneadas, firmas realizadas por medio de un lápiz digital, y botones de pulsación del tipo de “si” o “aceptar” o “acepto”. Las soluciones hibridas basadas en la combinación de distintas tecnologías están adquiriendo una aceptaci6n creciente, como por ejemplo en el caso del uso combinado de contraseñas y sistemas TLS/SSL (seguridad del estrato de transporte/estrato de zócalos seguro), que es una tecnología en la que se utiliza una combinación de cifrados de clave pública y simétrica. Las características de las principales técnicas de uso actual se describen infra (...). (CNUDMI, 2009, p. 13)
c. La firma digital funciona bien como un medio para verificar las firmas que se crean durante el periodo de validez de un certificado. Sin embargo, cuando el certificado caduca o se revoca la clave pública correspondiente pierde validez, aunque no esté en entredicho el par de claves. Por ello, todo mecanismo de ICP requeriría un sistema de gestión de la firma digital para asegurar que la firma siga disponible a lo largo del tiempo. La dificultad principal proviene del riesgo de que los registros electrónicos “originales” (esto es, los dígitos binarios o “bitios” que conforman el fichero informático en que se registra la información), incluida la firma digital, pueden resultar ilegibles o poco fiables con el tiempo, principalmente por la obsolescencia del programa, del equipo físico o de ambos. De hecho, la firma digital podría resultar insegura por los avances científicos en materia de criptoanálisis; el programa de verificación de las firmas podría faltar durante periodos prolongados, o el documento podría perder su integridad. Por ello, la conservación a largo plazo de la firma electrónica es en general problemática. Aunque por un tiempo se consideró que la firma digital era indispensable a efectos de archivo, la experiencia ha demostrado que no está exenta de riesgos a largo plazo. Como toda modificación del registro posterior al momento de creación de la firma dará lugar a que la verificación no funcione, las operaciones de reformateado destinadas a mantener la legibilidad futura del registro (como la “migración” o la “conversión”) pueden afectar a la durabilidad de la firma. En realidad, la firma digital se concibió más para dar seguridad a la comunicación de información que para conservarla. Las iniciativas para superar este problema todavía no han dado con una solución duradera. (CNUDMI, 2009, p. 26)
d. Un volumen importante de operaciones comerciales electrónicas se lleva a cabo en redes cerradas, es decir, en grupos con un número limitado de participantes a los que pueden acceder únicamente personas o empresas previamente autorizadas. Las redes cerradas apoyan el funcionamiento de una sola entidad o de un grupo de usuarios cerrado ya existente, como las instituciones financieras participantes en el sistema de pagos interbancarios, las bolsas de valores y productos básicos, o una asociación de líneas aéreas y agencias de viajes. En tales casos, la participación en la red se suele restringir a instituciones y empresas admitidas previamente en el grupo. La mayoría de dichas redes han existido desde hace varios decenios, emplean tecnología muy avanzada y han adquirido un alto nivel de pericia en el funcionamiento del sistema. El rápido crecimiento del comercio electrónico en el último decenio ha dado lugar a la aparición de otros modelos de redes, como las cadenas de suministro o las plataformas comerciales. (CNUDMI, 2009, p. 37)
Por lo citado líneas arriba podemos afirmar y sustentar que existen diferentes métodos de firma electrónica, donde se encuentra la firma digital como una especie de aquella. La firma electrónica como género puede servir para determinados procesos, trámites, etc., así como la firma digital en algunos casos será la más pertinente.
Por lo que podemos precisar que en nuestro país:
a. Es perfectamente válido el uso de firmas electrónicas como género, dentro de la cual se encuentra la firma digital como especie (cuyo uso también es válida).
b. Las firmas electrónicas deben ser admitidas como medio de prueba toda vez que estas deben garantizar:
b.1 La identificación del generador o autor del documento; y
b.2 Certeza que este generador o autor del documento manifiesta su intención de vincularse con dicho documento.
c. El Decreto Supremo N° 052-2008-PCM Reglamento de la ley de firmas y certificados digitales en su artículo 1, segundo párrafo[9] –como se encuentra redactada en estos momentos– no excluye ninguna modalidad, ni combinación de modalidades de firmas electrónicas, siempre que cumplan los requisitos establecidos en el artículo 2 de la Ley N° 27269[10], pero no regula el uso de la firma electrónica.
d. Sin embargo, solo tenemos algunas referencias o menciones sobre la firma electrónica en el artículo 2 de la ley y en las definiciones del Decreto Supremo N° 052-2008-PCM, Reglamento de la ley de firmas y certificados digitales:
d.1 Sobre la neutralidad tecnológica, entendida como la no discriminación, preferencia o restricción de ninguna de las diversas técnicas o tecnologías que puedan utilizarse para firmar, generar, comunicar, almacenar o archivar electrónicamente información[11].
d.2 Respecto del no repudio en su relación con lo mencionado en el artículo 2 de la Ley Nº 27269[12].
d.3 Se menciona un Sistema de Intermediación Electrónico, indicando el uso de componentes de firma electrónica[13].
d.4 Por ultimo, se define la Infraestructura Oficial de Firma Electrónica, mencionando únicamente la generación de firmas digitales, dejando de lado las firmas electrónicas, no obstante lo señalado en el artículo 2 de la Ley Nº 27269[14].
Por lo mismo que la Ley Nº 27269 establece el concepto de firma electrónica y su reconocimiento mediante su uso, resaltamos que el reglamento actual de la Ley mencionada[15] se dedica exclusivamente a reglamentar la firma digital y desarrollar todo lo referente al Infraestructura oficial de firma electrónica (OIFE) que se dedica exclusivamente a tomar en cuenta la firma digital como instrumento de uso en el país.
Pero no debemos olvidar que la Ley N° 27269 regula la firma electrónica dándole el mismo valor que la firma manuscrita y, por lo tanto, estimamos que debe reglamentarse su uso, disponibilidad y consecuencia de su utilización.
CONCLUSIÓN
A nuestro entender, debería darse un reglamento o una norma especial que desarrolle la firma electrónica como parte del sistema nacional, por cuanto es importante su desarrollo tomando en cuenta que su uso viene dándose décadas atrás en nuestro país y puede perjudicar actualmente si todo se direcciona –como aparentemente se deduce de la normativa– como está legislada actualmente la firma digital.
A modo de conclusión final, esta normativa debería basarse o construirse sobre la base de lo siguiente:
a. Acuerdo EDI (intercambio electrónico de datos, por sus siglas en inglés), un acuerdo de voluntades donde se estipularán las condiciones legales a las que se ajustarán las partes para realizar comunicaciones, transacciones o cualquier otra actividad mediante el uso del intercambio electrónico de datos.
b. Respecto de la firma electrónica; verificar los datos (que serían únicos y personales) como códigos, contraseñas, biometría o claves criptográficas que se usarán para crear la firma electrónica.
c. Rescatar el concepto de firma electrónica de la Ley N° 27269.
d. Reiterar el principio de neutralidad tecnológica.
e. Establecer la confiabilidad de la firma electrónica, estableciendo sus requisitos.
f. Verificar el valor jurídico de la firma electrónica indicando que esta tendrá la misma fuerza que la firma manuscrita u otros tipos diferentes a la firma digital.
g. Indicar la admisión y valor probatorio de la firma electrónica.
h. Deberá también establecer los criterios de seguridad de las firmas electrónicas de acuerdo a la normativa técnica que emitiría el Inacal.
Referencias
Decreto Supremo Nº 052-2008-PCM: Reglamento de Ley de Firmas y Certificados Digitales. Publicado en el diario oficial El Peruano el 18 de julio del 2008.
CNUDMI (2009). Fomento de la confianza en el comercio electrónico: cuestiones jurídicas de la utilización internacional de métodos de autenticación y firmas electrónicas. Viena: Naciones Unidas.
Ley Modelo de la CNUDMI sobre Comercio Electrónico con la Guía para su incorporación al Derecho Interno 1996 con el nuevo artículo 5 bis aprobado en 1998. Nueva York: Naciones Unidas, 1999.
Ley Modelo de la CNUDMI sobre Firmas Electrónicas con la Guía para su incorporación al derecho interno 2001. Nueva York: Naciones Unidas, 2002
Ley N° 27269: Ley de Firmas y Certificados Digitales. Publicada en el diario oficial El Peruano el 28 de marzo del 2000.
Peña, D. (2015). De la firma manuscrita a las firmas electrónica y digital. Bogotá.
Remolina, N. (2010). Conceptos fundamentales de la Ley 527 de 1999. En Cano Martínez, Jeimy José (Coord.). El peritaje informático y la evidencia digital en Colombia - Conceptos, retos y propuestas. Bogotá: Uniandes. pp. 3-52.
[1] Ley N° 27269: Ley de firmas y certificados digitales.
[2] Primer párrafo del artículo 1 de la Ley N° 27269.
[3] “(...) la doctrina trata a la firma electrónica como el género y a la digital como una especie de la primera. (...)”. Citado por (Remolina Angarita, p. 19).
[4] Ley Modelo de la CNUDMI sobre Firmas Electrónicas con la Guía para su incorporación al derecho interno 2001.
[5] Ley Modelo de la CNUDMI sobre Comercio Electrónico con la Guía para su incorporación al Derecho Interno 1996 con el nuevo artículo 5 bis aprobado en 1998
[6] Artículo 1.- Objeto de la ley
La presente ley tiene por objeto regular la utilizaci6n de la firma electr6nica otorgándole la misma validez y eficacia jurídica que el uso de una firma manuscrita u otra análoga que conlleve manifestaci6n de voluntad.
Entiéndase por firma electrónica a cualquier símbolo basado en medios electrónicos utilizado o adoptado por una parte con la intención precisa de vincularse o autenticar un documento cumpliendo todas o algunas de las funciones características de una firma manuscrita.
[8] Párrafo 75 de la Segunda Parte - Ley Modelo de la CNUDMI sobre Firmas Electrónicas con la Guía para su incorporación al derecho interno 2001, p. 40.
(...)
Reconociendo la variedad de modalidades de firmas electrónicas, la diversidad de garantías que ofrecen, los diversos niveles de seguridad y la heterogeneidad de las necesidades de sus potenciales usuarios, la Infraestructura Oficial de Firma Electrónica no excluye ninguna modalidad, ni combinación de modalidades de firmas electrónicas, siempre que cumplan los requisitos establecidos en el artículo 2 de la Ley.
[10] Artículo 2.- Ámbito de aplicación
La presente ley se aplica a aquellas firmas electrónicas que, puestas sobre un mensaje de datos o añadidas o asociadas lógicamente a los mismos, puedan vincular e identificar al firmante, así como garantizar la autenticación e integridad de los documentos electrónicos.
[11] Neutralidad tecnológica.- Es el principio de no discriminación entre la información consignada sobre papel y la información comunicada o archivada electrónicamente; asimismo, implica la no discriminación, preferencia o restricción de ninguna de las diversas técnicas o tecnologías que pueden utilizarse para firmar, generar, comunicar, almacenar o archivar electrónicamente información.
(...).
En el ámbito del artículo 2 de la Ley de Firmas y Certificados Digitales, el no repudio hace referencia a la vinculación de un individuo (o institución) con el documento electrónico, de tal manera que no puede negar su vinculación con él ni reclamar supuestas modificaciones de tal documento (falsificación).
[13] Sistema de Intermediación Electrónico.- Es el sistema web que permite la transmisión y almacenamiento de información, garantizando el no repudio, confidencialidad e integridad de las transacciones a través del uso de componentes de firma electrónica, autenticación y canales seguros.
[14] Infraestructura Oficial de Firma Electrónica.- Sistema confiable, acreditado, regulado y supervisado por la Autoridad Administrativa Competente, provisto de instrumentos legales y técnicos que permiten generar firmas digitales y proporcionar diversos niveles de seguridad respecto de:
1) La integridad de los documentos electrónicos;
2) La identidad de su autor, lo que es regulado conforme a Ley.
El sistema incluye la generación de firmas digitales, en la que participan entidades de certificación y entidades de registro o verificación acreditadas ante la Autoridad Administrativa Competente incluyendo a la Entidad de Certificación Nacional para el Estado Peruano, las Entidades de Certificación para el Estado Peruano, las Entidades de Registro o Verificación para el Estado peruano y los Prestadores de Servicios de Valor Añadido para el Estado peruano.
[15] Decreto Supremo N° 052-2008-PCM Reglamento de la ley de firmas y certificados digitales.
_____________________________
* Abogado egresado de la Universidad de Lima. Fedatario juramentado con especializaci6n en Informática. Magíster en Derecho Informático y Nuevas Tecnologías de la Universidad Externado de Colombia en convenio con la Universidad Complutense de Madrid. Especialista en Derecho Digital y Nuevas Tecnologías de la Universidad del Pacífico. Miembro del Comité de Microformas Digitales CTN 63 del INACAL. Actualmente se desempeña como fedatario juramentado con especializaci6n en Informática en diferentes entidades públicas y privadas.