En México, el Código de Comercio reconoce dos tipos de firma electrónica: firma electrónica simple y firma electrónica avanzada, también conocida como certificada, digital o fiable. [1]
Como se ha explicado en artículos anteriores, las firmas electrónicas avanzadas o firmas digitales utilizan un certificado digital para la creación de la firma que generan confianza respecto a los datos de creación de la firma, la identidad de los firmantes, la autenticidad de la firma, así como a la integridad del mensaje de datos firmado.[2]
¿Pero qué es un certificado digital y por qué se dice que genera “confianza”?
El uso de la firma electrónica avanzada o digital se basa en estándares internacionales de infraestructura de claves públicas (o PKI por sus siglas en inglés: Public Key Infrastructure) en donde se utilizan dos claves para el envío de mensajes:[3]
- La clave privada que únicamente es conocida por su propietario y sirve para cifrar los datos.
- La clave pública, disponible para consulta de todos los usuarios de la infraestructura, con la que se descifran datos.
Un certificado digital es un documento electrónico mediante el cual un tercero confiable garantiza la vinculación entre la identidad de un sujeto o entidad y su clave pública.
Esto es debido a que la PKI se utiliza para crear certificados digitales únicos e inviolables que vinculan al firmante, es decir, al titular del certificado, con un mensaje de datos y garantiza la autenticidad del mensaje. Lo anterior, debido a que un certificado digital solo puede ser otorgado por una autoridad certificadora del país que se trate que previamente haya validado e identificado a la persona a cuyo nombre se creará y vinculará el certificado digital.[4]
Por todo lo anterior un certificado digital es el único medio que permite garantizar técnicamente la identidad de una persona que opera o firma por medios electrónicos, así como la autenticidad e integridad del mensaje de datos y de la firma plasmada en éste último.
Hablando en términos legales y en materia internacional, la Ley Modelo de la Comisión de las Naciones Unidas para el Derecho Mercantil Internacional sobre las Firmas Electrónicas o Ley Modelo sobre Firmas Electrónicas (Ley Modelo) ha sido adoptada por diversos paÍses integrantes de las Naciones Unidas como modelo o estándar para regular en su derecho interno a las firmas electrónicas[5]. Esta Ley Modelo busca habilitar y facilitar el uso de las firmas electrónicas estableciendo un criterio de fiabilidad técnica para la equivalencia entre las firmas escritas y las electrónicas, incluyendo y reconociendo especialmente a las firmas electrónicas avanzadas o digitales que funcionan con base en certificados digitales.[6]
Respecto a los certificados digitales, esta Ley Modelo establece la validez de los certifcados digitales y establece que por “certificado” se entenderá “todo mensaje de datos u otro registro que confirme el vínculo entre un firmante y los datos de creación de la firma”, además de señalar que los certificados digitales deberán estar basados en el estándar tecnológico PKI y reconocer la validez legal de certificados extranjeros emitidos por autoridades extranjeras, así como las firmas electrónicas que utilicen certificados extranjeros basados en PKI y emitidos por las autoridades certificadoras de cada país.
México al tomar como referencia la Ley Modelo ha establecio en el Código de Comercio y la Ley de Firma Electrónica Avanzada, principalmente, la validez y requisitos de los certificados y las firmas digitales, así como las entidades que podrán ser autoridades certificadoras, por ejemplo, el Servicio de Adminitración Tributaria y los Prestadores de Servicios de Certificación o PSC autorizados por la Secretaría de Economía.
Certificados de confianza en la Unión Europea y su impacto en América Latina
En la Unión Europea (UE) también existen leyes análogas que regulan a las firmas electrónicas, los sellos digitales de tiempo y las constancias de conservación, entre otros servicios de confianza. La norma que regula que estas figuras es el Reglamento (UE) n ° 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014 , relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE[7], también conocido como “Reglamento elDAS” o “elDAS”. eIDAS es el acrónimo, por sus siglas en inglés, de Electronic Identity (elD) y Authentication and trust Services (AS).[8]
Los servicios digitales que contempla el Reglamento elDAS son la identificacion electrónica (eID) y los siguientes servicios de confianza: Firmas Electrónicas (eSignatures), servicios de entrega electrónica certificada (ERDS), Sellos Electrónicos (eSeals), Sellos de Tiempo (eTimestamps) y soluciones de autenticación de sitios Web.
El objetivo del Reglamento elDAS es crear un marco único para la identificación electrónica y los servicios de confianza mencionados y promover la interoperabilidad en los 28 países de la UE, garantizando que los países reconocen mutuamente la identificación electrónica y los servicios de confianza mencionados entre estos países.[9]
En América Latina las disposiciones aplicables también contemplan a las firmas electrónicas, firmas digitales basadas en PKI y los certificados o servicios digitales de confianza. Además, en América Latina se cuenta con terceros autorizados legalmente para la operación de servicios relacionados a firmas electrónicas y certificados digitales. Dichas figuras adquieren diversas denominaciones como autoridades certificadoras a lo largo de LATAM y son homólogas a la figura del Prestador de Servicios de Certificación en México que autoriza la Secretaría de Economía y a las figuras de prestador de servicios de confianza y/o de confianza cualificados previstos en el Reglamento eIDAS.
Como referencia práctica de lo anterior se presenta la siguiente tabla:
De acuerdo con el Reglamento eIDAS, los certificados y servicios de confianza emitidos por prestadores de servicios de certificación en países fuera de la Unión Europea tienen validez dentro de esta región siempre que cumplan con lo establecido en el propio reglamento y se hayan celebrado los acuerdos correspondientes entre la UE y el país tercero para reconocer la validez de dichos certificados o servicios de confianza.[10] De igual forma, los servicios de confianza cualificados prestados por prestadores cualificados de servicios de confianza establecidos en la UE son reconocidos por el Reglamento eIDAS como legalmente equivalentes a los servicios de confianza prestados por prestadores de servicios en terceros países u organizaciones internacionales con los que se celebren acuerdos.
En resumen, son legales y válidos todos aquellos certificados y servicios de confianza emitidos entre países de la unión europea y países extranjeros siempre que los mismos cumplan con los requisitos que establece el Reglamento eIDAS.
Fuentes consultadas
[1] Código de Comercio, artículo 89.
[2] Código de Comercio, artículo 97:
“La Firma Electrónica se considerará Avanzada o Fiable si cumple por lo menos los siguientes requisitos:
I. Los Datos de Creación de la Firma, en el contexto en que son utilizados, corresponden exclusivamente al Firmante;
II. Los Datos de Creación de la Firma estaban, en el momento de la firma, bajo el control exclusivo del Firmante;
III. Es posible detectar cualquier alteración de la Firma Electrónica hecha después del momento de la firma, y
IV. Respecto a la integridad de la información de un Mensaje de Datos, es posible detectar cualquier alteración de ésta hecha después del momento de la firma.
Lo dispuesto en el presente artículo se entenderá sin perjuicio de la posibilidad de que cualquier persona demuestre de cualquier otra manera la fiabilidad de una Firma Electrónica; o presente pruebas de que una Firma Electrónica no es fiable.”
[3] Firma electrónica, Banco de México.
https://www.banxico.org.mx/servicios/firma-electronica-autenticaci.html
[4] ¿Qué es un Certificado Digital?, Universidad Politécnica de Valencia.
https://www.upv.es/contenidos/CD/info/711545normalc.html
[5] https://uncitral.un.org/en/texts/ecommerce/modellaw/electronic_signatures/status
[6] Ley Modelo de la CNUDMI sobre Firmas Electrónicas
http://tfig.unece.org/SP/contents/uncitral-model-law-esignatures.htm
[7] Consultable en: https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=celex%3A32014R0910
[8] eIDAS es el acrónimo de Identificación Electrónica (elD) y Authentication and trust Services (AS).
[9] “eIDAS para las PYME”, European Comission, consultable en:
https://ec.europa.eu/digital-single-market/en/eidas-para-las-pyme
[10] Reglamento eIDAS:
Artículo 14
Aspectos internacionales
1. Los servicios de confianza prestados por los prestadores de servicios de confianza establecidos en un tercer país serán reconocidos como legalmente equivalentes a los servicios de confianza cualificados prestados por prestadores cualificados de servicios de confianza establecidos en la Unión si los servicios de confianza originarios del tercer país son reconocidos en virtud de un acuerdo celebrado entre la Unión y el tercer país en cuestión u organizaciones internacionales de conformidad con el artículo 218 del TFUE.
2. Los acuerdos a que se refiere el apartado 1 garantizarán, en particular, que:
a) los prestadores de servicios de confianza de terceros países u organizaciones internacionales con los que se celebren acuerdos y los servicios de confianza que prestan cumplen los requisitos aplicables a los prestadores cualificados de servicios de confianza establecidos en la Unión y a los servicios de confianza cualificados que prestan;
b) los servicios de confianza cualificados prestados por prestadores cualificados de servicios de confianza establecidos en la Unión son reconocidos como legalmente equivalentes a los servicios de confianza prestados por prestadores de servicios en terceros países u organizaciones internacionales con los que se celebran acuerdos.
Fecha de última revisión 15 de marzo de 2021