La signatura electr

1
La signatura electrònica a lAdministració Oberta

• Nacho Alamillo
• Director jurídic CATCert
• Grup Directiu de la Iniciativa Europea de
  Normalització de la Signatura Electrònica (ICTSB)
• Grup Directiu de Seguretat de les Xarxes i la
  Informació (ICTSB)

2
Índex

• Marc normatiu de la signatura electrònica
• La signatura electrònica tipus i reconeixement
  jurídic
• Les aplicacions d'ús de la signatura electrònica
  a lAdministració Oberta

3
Marc normatiu de la signatura - 1

• Unió Europea
• Estat espanyol
• Catalunya

4
Marc normatiu de la signatura - 2

• Unió Europea
• Directiva 1999/93/CE, de 13 desembre, per la que
  sestableix un marc comunitari per a la signatura
  electrònica
• Decisió 2000/709/CE, de 6 de novembre, sobre
  criteris per designar els organismes davaluar la
  conformitat dels productes de signatura-e
• Decisió de 14 de juliol de 2003, sobre normes de
  productes de signatura amb reconeixement general

5
Marc normatiu de la signatura - 3

• Estat espanyol (Marc legal general)
• Nova Llei de Signatura Electrònica, de 19 de
  desembre de 2003
• Substitueix el Real Decreto-Ley 14/1999, de 17
  septiembre, de firma electrónica
• Fa inaplicable, a la pràctica, la Orden de 21 de
  febrero de 2000
• Principals novetats signatura electrònica
  reconeguda, tractament del document electrònic,
  certificats de persones jurídiques, DNI-e

6
Marc normatiu de la signatura - 4

• España (marcs sectorials)
• Ús de la signatura a la AGE
• Conjunt dordres ministerials, especialment
  Hisenda, per aprovar procediments amb la
  signatura basada en certificat FNMT (àmbit AEAT i
  altres)
• Altres Ministeris, com Economia, utilitzaven
  signatura electrònica ordinària (usuari i
  contrasenya), enlloc de certificat
• Aquest monopoli ha estat alliberat per Ordre
  HAC/1181/2003, de 12 de maig, obrint la porta a
  tots els certificats de qualitat, i no només a
  FNMT
• LOrdre PRE/1551/2003, de 10 de juny, imposa la
  signatura-e avançada a tots els tràmits amb
  registre i notificació
• Factura telemàtica
• La factura és vàlida amb una signatura avançada,
  sense altres requeriments formals
• Tots han dacceptar una factura signada
  digitalment, fins i tot impresa (signatura en
  codi de barres)

7
Marc normatiu de la signatura - 5

• España (marcs sectorials)
• Notaris i Registradors
• Llei 24/2001 porta el concepte de la seguretat
  jurídica preventiva als procediments per vies
  telemàtiques
• Autoritat de Certificació del Consejo General del
  Notariado
• Autoritat de Certificació del Colegio de
  Registradores de España
• Utilitats emetre qualsevol document amb
  garanties notarials i registrals amb la signatura
  electrònica, comunicacions entre professionals,
  registre de documentació comercial i
  administrativa, poders notarials en suport
  informàtic, accés telemàtic a certificacions
  registrals

8
Tipus i reconeixement jurídic - 1

• Reconeixement general principi de no
  discriminació
• Reconeixement directe principi dequivalència
  funcional
• Signatura-e ordinària
• Signatura-e avançada
• Signatura-e reconeguda

9
Tipus i reconeixement jurídic - 2

• Reconeixement general principi de no
  discriminació
• Les lleis de signatura estableixen la validesa
  legal de la signatura electrònica, a la que no es
  podrà negar efectes únicament pel fet de
  trobar-se en forma electrònica
• Això, però, no vol dir que es pugui utilitzar
  qualsevol signatura, en qualsevol entorn, sense
  suport jurídic addicional
• La normativa permet la construcció i operació de
  sistemes tancats dusuaris i aplicacions, basats
  en contractes de signatura electrònica (signatura
  electrònica convencional o contractual) o
  normatives específiques de signatura electrònica
  (signatura electrònica normativa)

10
Tipus i reconeixement jurídic - 3

• Reconeixement directe principi dequivalència
  funcional
• Les lleis de signatura defineixen diversos tipus
  de signatura electrònica, donant efectes
  directes, ex lege, a un tipus que, per tant, es
  podrà emprar sense contracte previ entre las
  parts o sense normativa administrativa específica
• Per això sanomena signatura electrònica
  reconeguda es tracta duna signatura
  funcionalment equivalent a la signatura escrita
• Lexistència daquest reconeixement directe
  facilita lús de la signatura en làmbit de la
  documentació electrònica, amb subjecció al
  principi de legalitat

11
Tipus i reconeixement jurídic - 4

• Signatura-e ordinària
• Definició
• Art. 2.1 D 99/93 Datos en forma electrónica
  adjuntos a otros datos en forma electrónica o
  asociados funcionalmente con ellos, utilizados
  como medio de autenticación
• Art. 3.1 Llei 59/2003 ... conjunto de datos
  en forma electrónica, consignados junto a otros o
  asociados con ellos, que pueden ser utilizados
  como medio de identificación del firmante
• Tots els mecanismes dautenticació poden ser
  signatura electrònica ordinària
• El PIN
• El MAC
• La signatura digital
• Autenticació vol dir (normativa ISO)
• Identificació dentitats
• Identificació dorigen de dades

12
Tipus i reconeixement jurídic - 5

• Signatura-e ordinària
• Efectes jurídics
• No se li ha de negar efectes jurídics ni
  admissibilitat judicial, por el hecho de
  hallarse en forma electrónica, o no ser avanzada,
  o no estar basada en certificado reconocido, o
  por no haber sido producida empleando un
  dispositivo seguro de creación de firma
• Art. 3.9 Llei 59/2003 No se negarán efectos
  jurídicos a una firma electrónica que no reúna
  los requisitos de firma electrónica reconocida en
  relación a los datos a los que esté asociada por
  el mero hecho de presentarse en forma
  electrónica
• Però se li poden negar efectes per altres motius
• Que no sigui prou segura (concepte jurídic
  indeterminat)
• Que no garanteixi que hagi estat creada pel
  signatari
• Que sigui reproduïble
• No sequipara directament a la signatura escrita,
  sinó que requereix una norma jurídica de
  legitimació
• Judicialment, la càrrega de la prova és del
  demandant (probatio diabolica)

13
Tipus i reconeixement jurídic - 6

• Signatura-e avançada
• Definició
• Art. 2.2 D 99/93/Art 2 b) RDL 14/99 La firma
  electrónica que cumple las siguientes
  características
• Estar vinculada al firmante de manera única
• Permitir la identificación del firmante
• Haber sido creada empleando medios que el
  firmante puede mantener bajo su exclusivo control
• Estar vinculada a los datos a los que se refiere
  de modo que cualquier cambio ulterior de los
  mismos sea detectable
• Art. 3.2 Llei 59/2003 La firma electrónica
  avanzada es la firma electrónica que permite
  identificar al firmante y detectar cualquier
  cambio ulterior de los datos firmados, que está
  vinculada al firmante de manera única y a los
  datos a que se refiere y que ha sido creada por
  medios que el firmante puede mantener bajo su
  exclusivo control
• Sutilitzarà per a la factura telemàtica o pel
  ciutadà idCAT

14
Tipus i reconeixement jurídic - 7

• Signatura-e avançada
• Efectes jurídics
• No se li ha de negar efectes jurídics ni
  admissibilitat judicial, por el hecho de ...
  no estar basada en certificado reconocido, o por
  no haber sido producida empleando un dispositivo
  seguro de creación de firma
• Art. 3.9 Llei 59/2003 No se negarán efectos
  jurídicos a una firma electrónica que no reúna
  los requisitos de firma electrónica reconocida en
  relación a los datos a los que esté asociada por
  el mero hecho de presentarse en forma
  electrónica
• Però se li poden negar efectes per altres motius
• Que no sigui prou segura (algorismes dèbils,
  programari de baixa qualitat)
• Que no garanteixi que hagi estat creada pel
  signatari (compromís de la clau)
• Que sigui reproduïble (atacs per força bruta)
• Tampoc no sequipara directament a la signatura
  escrita, sinó que requereix una norma jurídica de
  legitimació
• Judicialment, la càrrega de la prova és del
  demandant (però ja no és diabòlica) i la norma de
  cobertura pot ajudar, establint presumpcions

15
Tipus i reconeixement jurídic - 8

• Signatura-e reconeguda
• Definició
• Art. 3.3 Llei 59/2003 Se considera firma
  electrónica reconocida la firma electrónica
  avanzada basada en un certificado reconocido y
  generada mediante un dispositivo seguro de
  creación de firma
• Es la signatura-e que compleix les següents
  característiques
• És una signatura electrònica avançada de qualitat
• Garanteix que ha signat una persona física
• Garanteix la possibilitat de visualització del
  document pel signatari
• Garanteix la prestació de laprovació i/o el
  consentiment
• És basa en un certificat reconegut, definit
  legalment el certificat de cadvocats de lACA o
  el CPISR de CATCert
• Ha estat generada emprant un dispositiu segur de
  creació, definit legalment per exemple, la
  targeta de lACA o de CATCert

16
Tipus i reconeixement jurídic - 9

• Signatura-e reconeguda
• Efectes jurídics
• Sequipara directament a la signatura escrita.
  Art. 3.4 Llei 59/2003 La firma electrónica
  reconocida tendrá respecto de los datos
  consignados en forma electrónica el mismo valor
  que la firma manuscrita en relación con los
  consignados en papel
• Lequiparació és ex lege, sense necessitat de
  norma jurídica de cobertura
• Document electrònic i signatura electrònica
• Nou tractament del document electrònic art. 3.5,
  3.6 i 3.7
• 5. Se considera documento electrónico el
  redactado en soporte electrónico que incorpore
  datos que estén firmados electrónicamente.

17
Tipus i reconeixement jurídic - 10

• Document electrònic i signatura electrònica
• Nou tractament del document electrònic art. 3.5,
  3.6 i 3.7
• 6. El documento electrónico será soporte de
• a) Documentos públicos, por estar firmados
  electrónicamente por funcionarios que tengan
  legalmente atribuida la facultad de dar fe
  pública, judicial, notarial o administrativa,
  siempre que actúen en el ámbito de sus
  competencias con los requisitos exigidos por la
  Ley en cada caso.
• b) Documentos expedidos y firmados
  electrónicamente por funcionarios o empleados
  públicos en el ejercicio de sus funciones
  públicas, conforme a su legislación específica.
• c) Documentos privados.
• 7. Los documentos a que se refiere el apartado
  anterior tendrán el valor y la eficacia jurídica
  que corresponda a su respectiva naturaleza, de
  conformidad con la legislación que les resulte
  aplicable

18
Les aplicacions de la signatura-e - 1

• Criteris jurídics per a lús
• Aplicacions al sector públic

19
Les aplicacions de la signatura-e - 2

• Criteris Principi de legalitat
• Subjecta lactivitat de lAdministració
• Lanàlisi daccions dacord amb el principi de
  legalitat és previ a qualsevol altre tipus
  danàlisi
• Les accions derivades del principi de legalitat
  són obligatòries, encara que no hi hagi risc
• Labsència de frau no justifica la infracció del
  principi de legalitat
• El principi de legalitat incrementa el cost de la
  seguretat informàtica, apropant el cost de lús
  del PIN i de la signatura digital
• Estableix punts de connexió entre la Llei 30/92 i
  la normativa de signatura electrònica, referents
  a tipus de signatura i segell de data i hora
• També connecta amb la Llei Orgànica 15/1999, de
  protecció de dades de caràcter personal
  identificació de la persona, consentiment

20
Les aplicacions de la signatura-e - 3

• Criteris Principi de legalitat
• Art. 38.9 Llei 30/92 Registres
• Identificació de linteressat signatura
  electrònica
• Requeriments de disponibilitat, dautenticitat,
  dintegritat, confidencialitat i conservació
  dacord amb la norma de creació del registre
• Connectar amb la Llei 59/2003
• Signatura electrònica del Registre dentrada
  (còpia de la sollicitud)
• Signatura electrònica del Registre de sortida
• Data i hora del registre segell de data i hora
• Administración General del Estado només
  signatura-e avançada basada en certificat
  reconegut X.509v3 dacord amb la Llei (Ordre
  PRE/1551/2003, de 10 de juny)

21
Les aplicacions de la signatura-e - 4

• Criteris Principi de legalitat
• Art. 45 Llei 30/92 Incorporació de mitjans
  tècnics
• Identificació i exercici de competència per
  l'òrgan certificat CPISR de CATCert
• Documents EIT en qualsevol suport, o còpies
  doriginals han de garantir la seva
  autenticitat, integritat i conservació
• Signatura electrònica del document,
  obligatòriament (art. 4 Llei 59/2003)
• Com a mínim, avançada, i millor reconeguda
• Versió impresa en codi de barres, per exemple
• Condicions addicionals per garantir la resta de
  requisits de larticle 45
• Arxiu segur del document signat

22
Les aplicacions de la signatura-e - 5

• Criteris Principi de legalitat
• Art. 59 Llei 30/92 Notificació
• Indicació del mitjà telemàtic com a preferent o
  consentiment exprés signatura electrònica del
  ciutadà
• Acusament de rebuda o impossibilitat tècnica del
  mateix. Bústia virtual del ciutadà accés amb
  certificat
• També les garanties del document que es notifica
  (identificació i signatura de lòrgan), dacord
  amb art. 45 Llei 30/92 i dacord amb les
  garanties del Registre de sortida

23
Les aplicacions de la signatura-e - 6

• Criteris Principi de legalitat
• Art. 70 Llei 30/92 Inici del procediment.
  Sollicitud
• Identificació de linteressat
• Signatura escrita o qualsevol altre mecanisme per
  acreditar lautenticitat de la seva voluntat
• Signatura electrònica ordinària, per exemple, amb
  mecanismes addicionals de seguretat i control
• Idealment, signatura electrònica avançada o
  reconeguda
• Administración General del Estado només
  signatura-e avançada basada en certificat
  reconegut X.509v3 dacord amb la Llei (Ordre
  PRE/1551/2003)

24
Les aplicacions de la signatura-e - 7

• Criteris Principi de legalitat
• Noves aplicacions el RD 263/1996, després de la
  reforma del RD 209/2003
• Expedició de certificats digitals amb
  signatura-e avançada del certificat, i de la
  sollicitud del mateix
• Comunicacions de dades interconnexió entre
  AA.PP a efectes de cedir dades de ciutadà,
  objecte de possible certificació. Signatura-e
  avançada de lAdministració comunicant
• Dirección electrónica única amb signatura
  electrònica avançada del ciutadà

25
Les aplicacions de la signatura-e - 8

• Criteris Principi de legalitat
• Impacte en el sector privat
• Les normes imperatives de dret privat regeixen el
  nivell de signatura requerit
• La signatura com requisit de norma dispositiva
• No és un veritable requisit, sinó una forma
  útil
• Aplica lanàlisi de risc pur
• Sha reconduït a la signatura electrònica
  ordinària basada en contracte, en moltes ocasions

26
Les aplicacions de la signatura-e - 9

• Criteris Àmbit de lanàlisi de risc
• Opera en lespai que deixa lliure laplicació del
  principi de legalitat per exemple,
  interpretació estricta de larticle 70 de la Llei
  30/1992
• Es regeix per la reducció raonable del risc,
  prenent en compte valors actuarials de frau
• Lanàlisi de risc sempre té en compte el preu de
  les mesures de seguretat, i per tant aposta per
  la signatura electrònica ordinària o avançada
  enlloc de la signatura reconeguda

27
Les aplicacions de la signatura-e - 10

• Aplicacions al sector públic
• Gestió documental interna
• Presentació de sollicituds i documents
  electrònics
• Registres dentrada/sortida
• Notificacions administratives
• Certificacions i comunicacions de dades
• Contractació pública electrònica

28
Les aplicacions de la signatura-e - 11

• Aplicacions al sector públic
• Relacions amb lAEAT i el Ministeri dHisenda
• Sollicituds i recursos
• Representació de tercers
• Relacions amb el Ministeri dEconomia i tots els
  seus organismes adscrits
• Sollicituds i recursos
• Relacions amb el Ministeri de Ciència i
  Tecnologia (ara absorbit pel Ministeri
  dIndústria, Turisme i Comerç) i tots els seus
  organismes adscrits
• Sollicituds i recursos

29
Les aplicacions de la signatura-e - 12

• Aplicacions al sector públic
• Relacions amb el Ministeri dInterior
• Sollicituds i recursos
• Relacions amb el Ministeri dAdministracions
  Públiques
• Sollicituds i recursos
• Notificació telemàtica amb ladreça electrònica
  única
• Relacions amb els òrgans judicials (prova pilot a
  Reus)
• Relacions amb lAdministració de la Generalitat
  de Catalunya (a través del CAT365)

30

• Més informació
• Web CATCert http//www.catcert.net
• E-mail
• Nacho Alamillo ialamillo_at_catcert.net