La signatura electrnica a lAdministraci Oberta Nacho Alamillo

La signatura electrònica a l’Administració Oberta Nacho Alamillo Director jurídic CATCert Grup Directiu de la Iniciativa Europea de Normalització de la Signatura Electrònica (ICTSB) Grup Directiu de Seguretat de les Xarxes i la Informació (ICTSB)

Índex • Marc normatiu de la signatura electrònica • La signatura electrònica: tipus i reconeixement jurídic • Les aplicacions d'ús de la signatura electrònica a l’Administració Oberta 2

Marc normatiu de la signatura - 1 • Unió Europea • Estat espanyol • Catalunya 3

Marc normatiu de la signatura - 2 • Unió Europea – Directiva 1999/93/CE, de 13 desembre, per la que s’estableix un marc comunitari per a la signatura electrònica – Decisió 2000/709/CE, de 6 de novembre, sobre criteris per designar els organismes d’avaluar la conformitat dels productes de signatura-e – Decisió de 14 de juliol de 2003, sobre normes de productes de signatura amb reconeixement general 4

Marc normatiu de la signatura - 3 • Estat espanyol (Marc legal general) – Nova Llei de Signatura Electrònica, de 19 de desembre de 2003 • Substitueix el Real Decreto-Ley 14/1999, de 17 septiembre, de firma electrónica • Fa inaplicable, a la pràctica, la Orden de 21 de febrero de 2000 – Principals novetats: signatura electrònica reconeguda, tractament del document electrònic, certificats de persones jurídiques, DNI-e 5

Marc normatiu de la signatura - 4 • España (marcs sectorials) – Ús de la signatura a la AGE • Conjunt d’ordres ministerials, especialment Hisenda, per aprovar procediments amb la signatura basada en certificat FNMT (àmbit AEAT i altres) • Altres Ministeris, com Economia, utilitzaven signatura electrònica ordinària (usuari i contrasenya), enlloc de certificat • Aquest monopoli ha estat alliberat per Ordre HAC/1181/2003, de 12 de maig, obrint la porta a tots els certificats de qualitat, i no només a FNMT • L’Ordre PRE/1551/2003, de 10 de juny, imposa la signatura-e avançada a tots els tràmits amb registre i notificació – Factura telemàtica • La factura és vàlida amb una signatura avançada, sense altres requeriments formals • Tots han d’acceptar una factura signada digitalment, fins i tot impresa (signatura en codi de barres) 6

Marc normatiu de la signatura - 5 • España (marcs sectorials) – Notaris i Registradors • Llei 24/2001 – porta el concepte de la “seguretat jurídica preventiva” als procediments per vies telemàtiques • Autoritat de Certificació del Consejo General del Notariado • Autoritat de Certificació del Colegio de Registradores de España • Utilitats: emetre qualsevol document amb garanties notarials i registrals amb la signatura electrònica, comunicacions entre professionals, registre de documentació comercial i administrativa, poders notarials en suport informàtic, accés telemàtic a certificacions registrals 7

Tipus i reconeixement jurídic - 1 • Reconeixement general: principi de no discriminació • Reconeixement directe: principi d’equivalència funcional • Signatura-e ordinària • Signatura-e avançada • Signatura-e reconeguda 8

Tipus i reconeixement jurídic - 2 • Reconeixement general: principi de no discriminació – Les lleis de signatura estableixen la validesa legal de la signatura electrònica, a la que no es podrà negar efectes únicament pel fet de trobar-se en forma electrònica – Això, però, no vol dir que es pugui utilitzar qualsevol signatura, en qualsevol entorn, sense suport jurídic addicional – La normativa permet la construcció i operació de sistemes tancats d’usuaris i aplicacions, basats en contractes de signatura electrònica (signatura electrònica convencional o contractual) o normatives específiques de signatura electrònica (signatura electrònica normativa) 9

Tipus i reconeixement jurídic - 3 • Reconeixement directe: principi d’equivalència funcional – Les lleis de signatura defineixen diversos tipus de signatura electrònica, donant efectes directes, ex lege, a un tipus que, per tant, es podrà emprar sense contracte previ entre las parts o sense normativa administrativa específica – Per això s’anomena “signatura electrònica reconeguda”: es tracta d’una signatura funcionalment equivalent a la signatura escrita – L’existència d’aquest reconeixement directe facilita l’ús de la signatura en l’àmbit de la documentació electrònica, amb subjecció al principi de legalitat 10

Tipus i reconeixement jurídic - 4 • Signatura-e “ordinària” – Definició • Art. 2. 1 D 99/93: “Datos en forma electrónica adjuntos a otros datos en forma electrónica o asociados funcionalmente con ellos, utilizados como medio de autenticación” • Art. 3. 1 Llei 59/2003: “[. . . ] conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante” • Tots els mecanismes d’autenticació poden ser signatura electrònica ordinària – El PIN – El MAC – La signatura digital • Autenticació vol dir (normativa ISO): – Identificació d’entitats – Identificació d’origen de dades 11

Tipus i reconeixement jurídic - 5 • Signatura-e “ordinària” – Efectes jurídics • No se li ha de negar efectes jurídics ni admissibilitat judicial, “por el hecho de hallarse en forma electrónica, o no ser avanzada, o no estar basada en certificado reconocido, o por no haber sido producida empleando un dispositivo seguro de creación de firma” • Art. 3. 9 Llei 59/2003: “No se negarán efectos jurídicos a una firma electrónica que no reúna los requisitos de firma electrónica reconocida en relación a los datos a los que esté asociada por el mero hecho de presentarse en forma electrónica” • Però se li poden negar efectes per altres motius: – Que no sigui prou segura (concepte jurídic indeterminat) – Que no garanteixi que hagi estat creada pel signatari – Que sigui reproduïble • No s’equipara directament a la signatura escrita, sinó que requereix una norma jurídica de legitimació • Judicialment, la càrrega de la prova és del demandant (probatio diabolica) 12

Tipus i reconeixement jurídic - 6 • Signatura-e avançada – Definició • Art. 2. 2 D 99/93/Art 2 b) RDL 14/99: “La firma electrónica que cumple las siguientes características: – Estar vinculada al firmante de manera única – Permitir la identificación del firmante – Haber sido creada empleando medios que el firmante puede mantener bajo su exclusivo control – Estar vinculada a los datos a los que se refiere de modo que cualquier cambio ulterior de los mismos sea detectable” • Art. 3. 2 Llei 59/2003: “La firma electrónica avanzada es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control” • S’utilitzarà per a la factura telemàtica o pel ciutadà: id. CAT 13

Tipus i reconeixement jurídic - 7 • Signatura-e avançada – Efectes jurídics • No se li ha de negar efectes jurídics ni admissibilitat judicial, “por el hecho de [. . . ] no estar basada en certificado reconocido, o por no haber sido producida empleando un dispositivo seguro de creación de firma” • Art. 3. 9 Llei 59/2003: “No se negarán efectos jurídicos a una firma electrónica que no reúna los requisitos de firma electrónica reconocida en relación a los datos a los que esté asociada por el mero hecho de presentarse en forma electrónica” • Però se li poden negar efectes per altres motius: – Que no sigui prou segura (algorismes dèbils, programari de baixa qualitat) – Que no garanteixi que hagi estat creada pel signatari (compromís de la clau) – Que sigui reproduïble (atacs per força bruta) • Tampoc no s’equipara directament a la signatura escrita, sinó que requereix una norma jurídica de legitimació • Judicialment, la càrrega de la prova és del demandant (però ja no és diabòlica) i la norma de cobertura pot ajudar, establint presumpcions 14

Tipus i reconeixement jurídic - 8 • Signatura-e reconeguda – Definició • Art. 3. 3 Llei 59/2003: “Se considera firma electrónica reconocida la firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma” • Es la signatura-e que compleix les següents característiques: – És una signatura electrònica avançada de qualitat » Garanteix que ha signat una persona física » Garanteix la possibilitat de visualització del document pel signatari » Garanteix la prestació de l’aprovació i/o el consentiment – És basa en un certificat reconegut, definit legalment: el certificat de c’advocats de l’ACA o el CPISR de CATCert – Ha estat generada emprant un dispositiu segur de creació, definit legalment: per exemple, la targeta de l’ACA o de CATCert 15

Tipus i reconeixement jurídic - 9 • Signatura-e reconeguda – Efectes jurídics • S’equipara directament a la signatura escrita. Art. 3. 4 Llei 59/2003: “La firma electrónica reconocida tendrá respecto de los datos consignados en forma electrónica el mismo valor que la firma manuscrita en relación con los consignados en papel” • L’equiparació és ex lege, sense necessitat de norma jurídica de cobertura • Document electrònic i signatura electrònica – Nou tractament del document electrònic: art. 3. 5, 3. 6 i 3. 7 • “ 5. Se considera documento electrónico el redactado en soporte electrónico que incorpore datos que estén firmados electrónicamente. 16

Tipus i reconeixement jurídic - 10 • Document electrònic i signatura electrònica – Nou tractament del document electrònic: art. 3. 5, 3. 6 i 3. 7 • “ 6. El documento electrónico será soporte de: • a) Documentos públicos, por estar firmados electrónicamente por funcionarios que tengan legalmente atribuida la facultad de dar fe pública, judicial, notarial o administrativa, siempre que actúen en el ámbito de sus competencias con los requisitos exigidos por la Ley en cada caso. • b) Documentos expedidos y firmados electrónicamente por funcionarios o empleados públicos en el ejercicio de sus funciones públicas, conforme a su legislación específica. • c) Documentos privados. • 7. Los documentos a que se refiere el apartado anterior tendrán el valor y la eficacia jurídica que corresponda a su respectiva naturaleza, de conformidad con la legislación que les resulte aplicable” 17

Les aplicacions de la signatura-e - 1 • Criteris jurídics per a l’ús • Aplicacions al sector públic 18

Les aplicacions de la signatura-e - 2 • Criteris: Principi de legalitat – Subjecta l’activitat de l’Administració – L’anàlisi d’accions d’acord amb el principi de legalitat és previ a qualsevol altre tipus d’anàlisi • Les accions derivades del principi de legalitat són obligatòries, encara que no hi hagi risc • L’absència de frau no justifica la infracció del principi de legalitat • El principi de legalitat incrementa el cost de la seguretat informàtica, apropant el cost de l’ús del PIN i de la signatura digital – Estableix punts de connexió entre la Llei 30/92 i la normativa de signatura electrònica, referents a tipus de signatura i segell de data i hora – També connecta amb la Llei Orgànica 15/1999, de protecció de dades de caràcter personal – identificació de la persona, consentiment 19

Les aplicacions de la signatura-e - 3 • Criteris: Principi de legalitat – Art. 38. 9 Llei 30/92: Registres • Identificació de l’interessat – signatura electrònica • Requeriments de disponibilitat, d’autenticitat, d’integritat, confidencialitat i conservació d’acord amb la norma de creació del registre – Connectar amb la Llei 59/2003 – Signatura electrònica del Registre d’entrada (còpia de la sol·licitud) – Signatura electrònica del Registre de sortida • Data i hora del registre – segell de data i hora • Administración General del Estado: només signatura-e avançada basada en certificat reconegut X. 509 v 3 d’acord amb la Llei (Ordre PRE/1551/2003, de 10 de juny) 20

Les aplicacions de la signatura-e - 4 • Criteris: Principi de legalitat – Art. 45 Llei 30/92: Incorporació de mitjans tècnics • Identificació i exercici de competència per l'òrgan – certificat CPISR de CATCert • Documents EIT en qualsevol suport, o còpies d’originals – han de garantir la seva autenticitat, integritat i conservació – Signatura electrònica del document, obligatòriament (art. 4 Llei 59/2003) » Com a mínim, avançada, i millor reconeguda » Versió impresa en codi de barres, per exemple – Condicions addicionals per garantir la resta de requisits de l’article 45 – Arxiu segur del document signat 21

Les aplicacions de la signatura-e - 5 • Criteris: Principi de legalitat – Art. 59 Llei 30/92: Notificació • Indicació del mitjà telemàtic com a preferent o consentiment exprés – signatura electrònica del ciutadà • Acusament de rebuda o impossibilitat tècnica del mateix. Bústia virtual del ciutadà – accés amb certificat • També les garanties del document que es notifica (identificació i signatura de l’òrgan), d’acord amb art. 45 Llei 30/92 i d’acord amb les garanties del Registre de sortida 22

Les aplicacions de la signatura-e - 6 • Criteris: Principi de legalitat – Art. 70 Llei 30/92: Inici del procediment. Sol·licitud • Identificació de l’interessat • Signatura escrita o qualsevol altre mecanisme per acreditar l’autenticitat de la seva voluntat – Signatura electrònica ordinària, per exemple, amb mecanismes addicionals de seguretat i control – Idealment, signatura electrònica avançada o reconeguda • Administración General del Estado: només signatura-e avançada basada en certificat reconegut X. 509 v 3 d’acord amb la Llei (Ordre PRE/1551/2003) 23

Les aplicacions de la signatura-e - 7 • Criteris: Principi de legalitat – Noves aplicacions: el RD 263/1996, després de la reforma del RD 209/2003 • Expedició de certificats digitals – amb signatura-e avançada del certificat, i de la sol·licitud del mateix • Comunicacions de dades – interconnexió entre AA. PP a efectes de cedir dades de ciutadà, objecte de possible certificació. Signatura-e avançada de l’Administració comunicant • “Dirección electrónica única” – amb signatura electrònica avançada del ciutadà 24

Les aplicacions de la signatura-e - 8 • Criteris: Principi de legalitat – Impacte en el sector privat • Les normes imperatives de dret privat regeixen el nivell de signatura requerit • La signatura com requisit de norma dispositiva – No és un veritable requisit, sinó una “forma útil” – Aplica l’anàlisi de risc pur – S’ha reconduït a la signatura electrònica ordinària basada en contracte, en moltes ocasions 25

Les aplicacions de la signatura-e - 9 • Criteris: Àmbit de l’anàlisi de risc – Opera en l’espai que deixa lliure l’aplicació del principi de legalitat – per exemple, interpretació estricta de l’article 70 de la Llei 30/1992 – Es regeix per la reducció raonable del risc, prenent en compte valors actuarials de frau – L’anàlisi de risc sempre té en compte el preu de les mesures de seguretat, i per tant aposta per la signatura electrònica ordinària o avançada enlloc de la signatura reconeguda 26

Les aplicacions de la signatura-e - 10 • Aplicacions al sector públic – Gestió documental interna – Presentació de sol·licituds i documents electrònics – Registres d’entrada/sortida – Notificacions administratives – Certificacions i comunicacions de dades – Contractació pública electrònica 27

Les aplicacions de la signatura-e - 11 • Aplicacions al sector públic – Relacions amb l’AEAT i el Ministeri d’Hisenda • Sol·licituds i recursos • Representació de tercers – Relacions amb el Ministeri d’Economia i tots els seus organismes adscrits • Sol·licituds i recursos – Relacions amb el Ministeri de Ciència i Tecnologia (ara absorbit pel Ministeri d’Indústria, Turisme i Comerç) i tots els seus organismes adscrits • Sol·licituds i recursos 28

Les aplicacions de la signatura-e - 12 • Aplicacions al sector públic – Relacions amb el Ministeri d’Interior • Sol·licituds i recursos – Relacions amb el Ministeri d’Administracions Públiques • Sol·licituds i recursos • Notificació telemàtica amb l’adreça electrònica única – Relacions amb els òrgans judicials (prova pilot a Reus) – Relacions amb l’Administració de la Generalitat de Catalunya (a través del CAT 365) 29

Més informació: • Web CATCert: http: //www. catcert. net • E-mail: – Nacho Alamillo: ialamillo@catcert. net 30