Terceros de Confianza-Autoridades Certificantes

Terceros de confianza es un término genérico que abarca cualquier entidad de confianza de las partes intervinientes en una transacción para proporcionar servicios de seguridad.

Dentro del concepto de terceros de confianza encontramos aquella  autoridad que emite certificados y distribuye clave pública asociando de forma segura la identidad de una persona concreta con una clave pública determinada.

Lo que quiere decir que toda autoridad de certificación es un tercero de confianza pero no todo tercero de confianza es autoridad de certificación.

Necesidad de la figura del tercero de confianza como Autoridad Certificante: Cuando una parte desea verificar la firma digital generada por la otra parte, la parte verificadora necesita tener acceso a la clave pública del firmante con la seguridad que se corresponde con su clave privada.

Tanto el emisor que debe cifrar el mensaje o el destinatario para verificar la firma necesitan utilizar tecnología de clave pública.

Se requiere un sistema de distribución segura y fiable de claves públicas que garantice la seguridad de correspondencia con la clave privada del firmante.

La seguridad de esta tecnología podría quedar gravemente comprometida si la firma digital fuese falsificada de allí la necesidad de asociar en forma segura fiable y convincente una determinada persona o entidad al par de claves., por otro lado un sistema abierto como Internet requiere de una sistema de autenticación de la identidad del titular de un par de claves criptográficas.

  

La autoridad certificante de un certificador  asegura  el vínculo entre la clave pública y el titular de la clave privada, también puede desempeñar otras funciones como autenticar fechas y horas de las transacciones (autoridad certificante de time stamping), publicación de certificados, emisión de certificados de clave pública, servicios de registro, adscribir responsabilidades para los implicados en el comercio electrónico cuando una de las partes niegue responsabilidad por la transacción.

En Argentina para constituirse en autoridad de certificación de un certificador y emitir certificados a los usuarios con efectos de firma digital, este certificador deberá aprobar el procedimiento de licenciamiento establecido por la Autoridad de Aplicación conforme al régimen de infraestructura de firma digital establecido por la ley N° 25506 y normativa concordante y especialmente con los requisitos establecidos por la DA. N° 927/14.

La ley 25506 regula el empleo de la firma digital y de la firma electrónica, todo aquello que no reúne los requisitos de la firma digital se considera firma electrónica.

Por lo que los sistemas de comprobación de autoría e integridad que admite nuestro régimen conforme al decreto 2628 reglamentario de la ley de firma digital son:

            a) firma electrónica

            b) firma electrónica basada en certificado digital emitido por certificadores no licenciados.

            c) firma digital basada en certificado digital emitido por certificador licenciado (produce efectos de firma digital amparada por la presunción de autoría e integridad)

            d) firma digital basada en certificado digital emitido por certificador extranjero que haya sido reconocido como tal.  

leer más...

Existen firmas digitales de distinta naturaleza y de distinto valor legal. Por ejemplo una firma digital que no se puede verificar en relación a un certificado puede ser válida si las partes se conocen, incluso podrían celebrar un acuerdo con el fin de dar validez a dichas firmas equiparándolas a la  firma manuscrita. Obviamente esta firma  va a tener una   eficacia jurídica distinta  a la firma digital.

Uncitral establece al efecto una interesante clasificación de distintas categorías de firmas en función de su seguridad: firma electrónica, firma digital, firma digital verificada por referencia a un certificado emitido por una autoridad licenciada., o bien firma digital por referencia a un  certificado emitido por una autoridad de certificación especialmente cualificada como podría ser un notario o fedatario público. En el caso de autoridad cualificada la misma Autoridad Certificante es un notario o bien podría ser el colegio de escribanos, el cual se podría constituir en autoridad certificante de firma digital.

Tenemos que tener en cuenta que una firma  podría ser válida efectiva y eficaz incluso si es verificada en base a un certificado emitido por una autoridad de certificación sin licencia, en esta situación nos encontraríamos ante un sistema de firma electrónica.

El proceso de licenciamiento aprobado por un certificador  y la obtención de la licencia como certificador licenciado para sus políticas de certificación, establece un sistema regulador mínimo para proporcionar un nivel básico de confianza en las prácticas de la autoridad de certificación.

En el caso de  una  firma digital autenticada ante notario, dicha firma  digital se realiza sobre el documento electrónico  en presencia de un fedatario público o funcionario especialmente cualificado.

En el caso de de firma digital autenticada por notario, estamos ante un supuesto donde el firmante,  suscriptor del certificado asociado a su firma, va a firmar digitalmente el documento electrónico en presencia de un fedatario público de tal manera que la firma digital se encuentre autenticada por notario.

La autenticación consiste en la afirmación por parte del notario o funcionario público de que la firma digital se realizó por su titular en  su presencia,  previa comprobación de su identidad personal y de la validez de su clave pública.

Este notario o también llamado “cibernotario” es una tercera parte de confianza  que podrá desempeñarse o no como Autoridad Certificante de firma digital.

Tengamos en cuenta que la  figura del “cibernotario” es una creación anglosajona que tropieza con la distinta naturaleza del notariado en los países latinos.

En Argentina a la fecha ya existen cinco certificadores licenciados privados y tres certificadores estatales. Todos operan en base a una política única de certificación que les permite emitir certificados digitales a sus suscriptores para fines de firma, autenticación o cifrado.

Las autoridades certificantes de firma digital pueden emitir conforme a lo normativa antes referida certificados de clave pública con fines de identificación a favor de personas físicas o jurídicas o bien identificar aplicaciones o sitios seguros o bien pueden prestar otros servicios relacionados con la firma digital como por ejemplo emitir certificados de time stamping (colocan la fecha en que una transacción fue realizada) o bien pueden emitir certificados de competencia o también llamados sellos de competencia (la autoridad certificante en este caso determina que tal persona tiene un atributo determinado por ejemplo que es abogada o Presidente de una compañía o bien funcionario público).

En España existe otra realidad puesto que la ley 34/1992 de servicios de la sociedad de la información y de comercio electrónico incorpora al ordenamiento jurídico español la Directiva 2000/31/CE  del parlamento Europeo y del Consejo, relativa a determinados aspectos de los servicios de la sociedad de la información y en particular del comercio electrónico.

Uno de los aspectos más importantes de la ley es la regulación de la contratación por vía electrónica afirmándose la equivalencia entre los contratos en soporte papel y los contratos electrónicos. En el artículo 25 crea la figura de los terceros de confianza, figura que podría ser utilizada por las partes de un contrato para archivar en soporte informático por un plazo mínimo de 5 años, las declaraciones de voluntad de las partes consignando la fecha y hora en que dichas declaraciones tuvieron lugar., siendo el documento electrónico admisible en juicio como prueba documental.

Por lo que si ambas partes de la transacción lo desean,  el tercero de confianza podrá certificar los términos del contrato válidamente alcanzado entre las partes, el cual será admisible en juicio. Asimismo, en  caso de conflicto los únicos términos y condiciones realmente pactados entre las partes serán los  archivados por el tercero de confianza.

En los contratos de consumo el tercero de confianza podrá certificar el contenido de la compra y la identidad de las partes en caso de haberse utilizado firma digital o bien documento nacional de identidad electrónico en caso que existiere.

Este tipo de tercero de confianza,  no es autoridad de certificación de firma digital, no otorga fe pública como un notario ni confiere al documento carácter de instrumento público, solo certifican y archivan el contenido de las compras, transacciones y contratos “on line” o bien certifican la identidad de las partes pero no son depositarios de fe pública lo que implica que la función que desempeñan es similar a la de un imaginario notario virtual.

En la próxima seguiremos con más información sobre esta temática que recién comienza a desarrollarse en Argentina. Cualquier duda no dudes en consultarme.

Dra Leonor Guini

Abogada especialista en

Derecho de Alta Tecnología.

leonorguini@gmail.com