La firma electrónica y la digital son medios de identificación personal y se asemejan a la clásica firma manuscrita. Mientras las firmas manuscritas (las que se plasman en cualquier documento en papel) se vinculan a un soporte físico, las firmas electrónicas y digitales son un medio de identificación digital respecto de un mensaje de datos. El mensaje de datos es toda información generada, enviada, recibida, almacenada o comunicada por medios electrónicos, ópticos o similares. Por ejemplo, mensajes de correo electrónico, SMS o los mensajes que enviamos por WhatsApp o Telegram.
¿Cuál es el origen de las firmas electrónicas?
El origen de este tipo de mecanismos se plantea por primera vez en la Comisión de las Naciones Unidas para el Derecho Mercantil Internacional (CNUDMI), mediante la expedición de la Ley Modelo sobre Comercio Electrónico. En dicha ley se consagró el concepto de firma electrónica en el marco del principio de equivalentes funcionales, en virtud del cual, la firma electrónica puede remplazar la firma manuscrita.
En Colombia, siguiendo las recomendaciones de la CNUDMI, la Ley 527 de 1999 definió el acceso y uso de los mensajes de datos, la firma electrónica y las firmas digitales y se establecieron las entidades de certificación. Posteriormente, el Decreto 2364 reglamentó la firma electrónica y el Decreto Ley 019 de 2012 modificó las actividades propias de las entidades de certificación permitiendo que estas pudieran emitir certificados, no solo en relación con las firmas digitales, sino también con las firmas electrónicas.
¿Qué es una firma electrónica?
Son los datos en forma electrónica consignados en un mensaje de datos, ya sea adjuntados o lógicamente asociados al mismo, que puedan ser utilizados para identificar al firmante en relación con el mensaje de datos e indicar que el firmante aprueba la información recogida en el mensaje de datos.
El Decreto 2364 de 2012 la definió como los códigos, contraseñas, datos biométricos, o claves criptográficas privadas que permiten identificar a una persona, en relación con un mensaje de datos, siempre y cuando el mismo sea confiable y apropiado respecto de los fines para los que se utiliza la firma.
La firma electrónica puede ser creada y emitida por cualquier persona natural o jurídica y en este sentido no son auditadas ni vigiladas en su proceso de creación. Por ello, en caso de repudio, la entidad que las usa deberá probar, a través de perito experto, junto con su proveedor de firma y en sede judicial, la confiabilidad y apropiabilidad del mecanismo de firma.
Por otro lado están las firmas electrónicas certificadas. Estas, a diferencia de las anteriores, son emitidas únicamente por una entidad de certificación digital la cual garantizará su confiabilidad y apropiabilidad en tanto dicho proceso de creación y emisión está acreditado ante el Organismo Nacional de Acreditación -ONAC, lo que conlleva una auditoría robusta en materia de seguridad técnica y jurídica y por tanto se garantiza la idoneidad del mecanismo.
¿Qué es una firma digital?
La Ley 527 de 1999 la definió como un valor numérico que se adhiere a un mensaje de datos y que, utilizando un procedimiento matemático vinculado a la clave del iniciador y al texto del mensaje, permite determinar que este valor se ha obtenido exclusivamente con la clave del iniciador y que el mensaje inicial no ha sido modificado después de efectuada la transmisión. La firma digital, a diferencia de una firma electrónica, consta de dos claves separadas por lo que técnicamente se generan con un algoritmo de cifrado llamado criptografía asimétrica que permite tener estándares de seguridad altos que hoy en día no han sido vulnerados. La firma digital no es una tecnología como se interpreta siempre en algunos medios, la firma digital es un conjunto de estándares técnicos y puede ser empleada en cualquier tecnología desarrollada permitiendo garantizar neutralidad tecnológica de conformidad con la ley.
Este mecanismo goza de una presunción legal de no repudio. Esto es que cuando una firma digital ha sido fijada en un mensaje de datos se presume que el mensaje no ha sido alterado o modificado desde su creación y que el suscriptor tenía la intención de acreditar ese mensaje de datos y de ser vinculado con el contenido.
A través de la firma digital se garantiza que el documento es íntegro, es decir, su contenido no ha sido modificado o alterado desde su creación y transmisión y que el receptor tampoco puede modificarlo. Todo este respaldo lo brinda la entidad de certificación digital, previamente acreditada por el ONAC.
¿Cuál es la diferencia entre firmas electrónicas y firmas digitales?
Es importante resaltar que el uso de cada uno de los mecanismos de firmas descritos depende de las necesidades del usuario y de la seguridad que requiera. En la normatividad colombiana no se establecen estándares técnicos para las firmas electrónicas. La combinación de firmas electrónicas podría generar integridad, pero, en todo caso, deberá probarse su confiabilidad y apropiabilidad por perito experto.
La recomendación es usar firma digital en contratos, documentos públicos en general, recibos públicos, facturas electrónicas de venta, pagarés electrónicos, informes/ reportes ante superintendencias, providencias judiciales, escrituras públicas digitales, firmas de reglamentos de uso de tarjetas débito y crédito, contratos bancarios en general, informes contables, actas de junta, actas de asamblea de accionistas o copropietarios, entre otras. La firma electrónica puede aplicarse en e-mails, memorandos internos, comunicaciones internas, informes internos, acceso a sistemas de información, identificación off line de clientes y usuarios, entre otras.
La escogencia entre una firma electrónica, una firma electrónica certificada o una firma digital depende del nivel o factor de riesgo del proceso, acto o documento que se quiera firmar. Sin duda, la firma digital, al generar autenticidad e integridad en un mismo mecanismo, es más segura y robusta. Se deben tener en cuenta los riesgos informáticos de robo de información personal y por esta razón hay que ser cuidadosos y precavidos al escoger el mecanismo de firma.
