La signatura electrònica a l’Administració Oberta

La signatura electrònica a La signatura electrònica a l’Administració Obertal’Administració Oberta

Nacho AlamilloDirector jurídic CATCert

Grup Directiu de la Iniciativa Europea de Normalització de la Signatura Electrònica (ICTSB)

Grup Directiu de Seguretat de les Xarxes i la Informació (ICTSB)

Pàgina 2

Índex

• Marc normatiu de la signatura electrònica

• La signatura electrònica: tipus i reconeixement jurídic

• Les aplicacions d'ús de la signatura electrònica a l’Administració Oberta

Pàgina 3

Marc normatiu de la signatura - 1

• Unió Europea

• Estat espanyol

• Catalunya

Pàgina 4


• Unió Europea– Directiva 1999/93/CE, de 13 desembre, per la que

s’estableix un marc comunitari per a la signatura electrònica

– Decisió 2000/709/CE, de 6 de novembre, sobre criteris per designar els organismes d’avaluar la conformitat dels productes de signatura-e

– Decisió de 14 de juliol de 2003, sobre normes de productes de signatura amb reconeixement general

Pàgina 5


• Estat espanyol (Marc legal general)– Nova Llei de Signatura Electrònica, de 19 de

desembre de 2003• Substitueix el Real Decreto-Ley 14/1999, de 17

septiembre, de firma electrónica• Fa inaplicable, a la pràctica, la Orden de 21 de febrero de

2000

– Principals novetats: signatura electrònica reconeguda, tractament del document electrònic, certificats de persones jurídiques, DNI-e

Pàgina 6

Marc normatiu de la signatura - 4• España (marcs sectorials)

– Ús de la signatura a la AGE• Conjunt d’ordres ministerials, especialment Hisenda, per aprovar procediments

amb la signatura basada en certificat FNMT (àmbit AEAT i altres)• Altres Ministeris, com Economia, utilitzaven signatura electrònica ordinària

(usuari i contrasenya), enlloc de certificat• Aquest monopoli ha estat alliberat per Ordre HAC/1181/2003, de 12 de maig,

obrint la porta a tots els certificats de qualitat, i no només a FNMT • L’Ordre PRE/1551/2003, de 10 de juny, imposa la signatura-e avançada a tots

els tràmits amb registre i notificació

– Factura telemàtica• La factura és vàlida amb una signatura avançada, sense altres requeriments

formals• Tots han d’acceptar una factura signada digitalment, fins i tot impresa (signatura

en codi de barres)

Pàgina 7


• España (marcs sectorials)– Notaris i Registradors

• Llei 24/2001 – porta el concepte de la “seguretat jurídica preventiva” als procediments per vies telemàtiques

• Autoritat de Certificació del Consejo General del Notariado

• Autoritat de Certificació del Colegio de Registradores de España

• Utilitats: emetre qualsevol document amb garanties notarials i registrals amb la signatura electrònica, comunicacions entre professionals, registre de documentació comercial i administrativa, poders notarials en suport informàtic, accés telemàtic a certificacions registrals

Pàgina 8

Tipus i reconeixement jurídic - 1

• Reconeixement general: principi de no discriminació

• Reconeixement directe: principi d’equivalència funcional

• Signatura-e ordinària

• Signatura-e avançada

• Signatura-e reconeguda

Pàgina 9

Tipus i reconeixement jurídic - 2• Reconeixement general: principi de no discriminació

– Les lleis de signatura estableixen la validesa legal de la signatura electrònica, a la que no es podrà negar efectes únicament pel fet de trobar-se en forma electrònica

– Això, però, no vol dir que es pugui utilitzar qualsevol signatura, en qualsevol entorn, sense suport jurídic addicional

– La normativa permet la construcció i operació de sistemes tancats d’usuaris i aplicacions, basats en contractes de signatura electrònica (signatura electrònica convencional o contractual) o normatives específiques de signatura electrònica (signatura electrònica normativa)

Pàgina 10

Tipus i reconeixement jurídic - 3• Reconeixement directe: principi d’equivalència

funcional– Les lleis de signatura defineixen diversos tipus de signatura

electrònica, donant efectes directes, ex lege, a un tipus que, per tant, es podrà emprar sense contracte previ entre las parts o sense normativa administrativa específica

– Per això s’anomena “signatura electrònica reconeguda”: es tracta d’una signatura funcionalment equivalent a la signatura escrita

– L’existència d’aquest reconeixement directe facilita l’ús de la signatura en l’àmbit de la documentació electrònica, amb subjecció al principi de legalitat

Pàgina 11

Tipus i reconeixement jurídic - 4• Signatura-e “ordinària”

– Definició• Art. 2.1 D 99/93: “Datos en forma electrónica adjuntos a otros datos en forma

electrónica o asociados funcionalmente con ellos, utilizados como medio de autenticación”

• Art. 3.1 Llei 59/2003: “[...] conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante”

• Tots els mecanismes d’autenticació poden ser signatura electrònica ordinària– El PIN– El MAC– La signatura digital

• Autenticació vol dir (normativa ISO):– Identificació d’entitats– Identificació d’origen de dades

Pàgina 12

Tipus i reconeixement jurídic - 5• Signatura-e “ordinària”

– Efectes jurídics• No se li ha de negar efectes jurídics ni admissibilitat judicial, “por el hecho de

hallarse en forma electrónica, o no ser avanzada, o no estar basada en certificado reconocido, o por no haber sido producida empleando un dispositivo seguro de creación de firma”

• Art. 3.9 Llei 59/2003: “No se negarán efectos jurídicos a una firma electrónica que no reúna los requisitos de firma electrónica reconocida en relación a los datos a los que esté asociada por el mero hecho de presentarse en forma electrónica”

• Però se li poden negar efectes per altres motius:– Que no sigui prou segura (concepte jurídic indeterminat)– Que no garanteixi que hagi estat creada pel signatari– Que sigui reproduïble

• No s’equipara directament a la signatura escrita, sinó que requereix una norma jurídica de legitimació

• Judicialment, la càrrega de la prova és del demandant (probatio diabolica)

Pàgina 13

Tipus i reconeixement jurídic - 6• Signatura-e avançada

– Definició• Art. 2.2 D 99/93/Art 2 b) RDL 14/99: “La firma electrónica que cumple las

siguientes características:– Estar vinculada al firmante de manera única– Permitir la identificación del firmante– Haber sido creada empleando medios que el firmante puede mantener bajo su

exclusivo control– Estar vinculada a los datos a los que se refiere de modo que cualquier cambio ulterior

de los mismos sea detectable”

• Art. 3.2 Llei 59/2003: “La firma electrónica avanzada es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control”

• S’utilitzarà per a la factura telemàtica o pel ciutadà: idCAT

Pàgina 14

Tipus i reconeixement jurídic - 7• Signatura-e avançada

– Efectes jurídics• No se li ha de negar efectes jurídics ni admissibilitat judicial, “por el hecho de

[...] no estar basada en certificado reconocido, o por no haber sido producida empleando un dispositivo seguro de creación de firma”

• Art. 3.9 Llei 59/2003: “No se negarán efectos jurídicos a una firma electrónica que no reúna los requisitos de firma electrónica reconocida en relación a los datos a los que esté asociada por el mero hecho de presentarse en forma electrónica”

• Però se li poden negar efectes per altres motius:– Que no sigui prou segura (algorismes dèbils, programari de baixa qualitat)– Que no garanteixi que hagi estat creada pel signatari (compromís de la clau)– Que sigui reproduïble (atacs per força bruta)

• Tampoc no s’equipara directament a la signatura escrita, sinó que requereix una norma jurídica de legitimació

• Judicialment, la càrrega de la prova és del demandant (però ja no és diabòlica) i la norma de cobertura pot ajudar, establint presumpcions

Pàgina 15

Tipus i reconeixement jurídic - 8• Signatura-e reconeguda

– Definició• Art. 3.3 Llei 59/2003: “Se considera firma electrónica reconocida

la firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma”

• Es la signatura-e que compleix les següents característiques:– És una signatura electrònica avançada de qualitat

» Garanteix que ha signat una persona física» Garanteix la possibilitat de visualització del document pel signatari» Garanteix la prestació de l’aprovació i/o el consentiment

– És basa en un certificat reconegut, definit legalment: el certificat de c’advocats de l’ACA o el CPISR de CATCert

– Ha estat generada emprant un dispositiu segur de creació, definit legalment: per exemple, la targeta de l’ACA o de CATCert

Pàgina 16

Tipus i reconeixement jurídic - 9• Signatura-e reconeguda

– Efectes jurídics• S’equipara directament a la signatura escrita. Art. 3.4 Llei 59/2003: “La firma

electrónica reconocida tendrá respecto de los datos consignados en forma electrónica el mismo valor que la firma manuscrita en relación con los consignados en papel”

• L’equiparació és ex lege, sense necessitat de norma jurídica de cobertura

• Document electrònic i signatura electrònica– Nou tractament del document electrònic: art. 3.5, 3.6 i 3.7

• “5. Se considera documento electrónico el redactado en soporte electrónico que incorpore datos que estén firmados electrónicamente.

Pàgina 17

Tipus i reconeixement jurídic - 10• Document electrònic i signatura electrònica

– Nou tractament del document electrònic: art. 3.5, 3.6 i 3.7• “6. El documento electrónico será soporte de:• a) Documentos públicos, por estar firmados electrónicamente por funcionarios

que tengan legalmente atribuida la facultad de dar fe pública, judicial, notarial o administrativa, siempre que actúen en el ámbito de sus competencias con los requisitos exigidos por la Ley en cada caso.

• b) Documentos expedidos y firmados electrónicamente por funcionarios o empleados públicos en el ejercicio de sus funciones públicas, conforme a su legislación específica.

• c) Documentos privados.• 7. Los documentos a que se refiere el apartado anterior tendrán el valor y la

eficacia jurídica que corresponda a su respectiva naturaleza, de conformidad con la legislación que les resulte aplicable”

Pàgina 18

Les aplicacions de la signatura-e - 1

• Criteris jurídics per a l’ús

• Aplicacions al sector públic

Pàgina 19

Les aplicacions de la signatura-e - 2• Criteris: Principi de legalitat

– Subjecta l’activitat de l’Administració– L’anàlisi d’accions d’acord amb el principi de legalitat és previ a

qualsevol altre tipus d’anàlisi• Les accions derivades del principi de legalitat són obligatòries, encara que no hi

hagi risc• L’absència de frau no justifica la infracció del principi de legalitat• El principi de legalitat incrementa el cost de la seguretat informàtica, apropant

el cost de l’ús del PIN i de la signatura digital– Estableix punts de connexió entre la Llei 30/92 i la normativa de

signatura electrònica, referents a tipus de signatura i segell de data i hora

– També connecta amb la Llei Orgànica 15/1999, de protecció de dades de caràcter personal – identificació de la persona, consentiment

Pàgina 20

Les aplicacions de la signatura-e - 3• Criteris: Principi de legalitat

– Art. 38.9 Llei 30/92: Registres• Identificació de l’interessat – signatura electrònica • Requeriments de disponibilitat, d’autenticitat, d’integritat,

confidencialitat i conservació d’acord amb la norma de creació del registre

– Connectar amb la Llei 59/2003– Signatura electrònica del Registre d’entrada (còpia de la sol·licitud)– Signatura electrònica del Registre de sortida

• Data i hora del registre – segell de data i hora • Administración General del Estado: només signatura-e avançada

basada en certificat reconegut X.509v3 d’acord amb la Llei (Ordre PRE/1551/2003, de 10 de juny)

Pàgina 21


• Criteris: Principi de legalitat– Art. 45 Llei 30/92: Incorporació de mitjans tècnics

• Identificació i exercici de competència per l'òrgan – certificat CPISR de CATCert

• Documents EIT en qualsevol suport, o còpies d’originals – han de garantir la seva autenticitat, integritat i conservació

– Signatura electrònica del document, obligatòriament (art. 4 Llei 59/2003)

» Com a mínim, avançada, i millor reconeguda

» Versió impresa en codi de barres, per exemple

– Condicions addicionals per garantir la resta de requisits de l’article 45

– Arxiu segur del document signat

Pàgina 22


• Criteris: Principi de legalitat– Art. 59 Llei 30/92: Notificació

• Indicació del mitjà telemàtic com a preferent o consentiment exprés – signatura electrònica del ciutadà

• Acusament de rebuda o impossibilitat tècnica del mateix. Bústia virtual del ciutadà – accés amb certificat

• També les garanties del document que es notifica (identificació i signatura de l’òrgan), d’acord amb art. 45 Llei 30/92 i d’acord amb les garanties del Registre de sortida

Pàgina 23


• Criteris: Principi de legalitat– Art. 70 Llei 30/92: Inici del procediment. Sol·licitud

• Identificació de l’interessat• Signatura escrita o qualsevol altre mecanisme per

acreditar l’autenticitat de la seva voluntat– Signatura electrònica ordinària, per exemple, amb mecanismes

addicionals de seguretat i control– Idealment, signatura electrònica avançada o reconeguda

• Administración General del Estado: només signatura-e avançada basada en certificat reconegut X.509v3 d’acord amb la Llei (Ordre PRE/1551/2003)

Pàgina 24


• Criteris: Principi de legalitat – Noves aplicacions: el RD 263/1996, després de la

reforma del RD 209/2003• Expedició de certificats digitals – amb signatura-e

avançada del certificat, i de la sol·licitud del mateix• Comunicacions de dades – interconnexió entre AA.PP a

efectes de cedir dades de ciutadà, objecte de possible certificació. Signatura-e avançada de l’Administració comunicant

• “Dirección electrónica única” – amb signatura electrònica avançada del ciutadà

Pàgina 25


• Criteris: Principi de legalitat – Impacte en el sector privat

• Les normes imperatives de dret privat regeixen el nivell de signatura requerit

• La signatura com requisit de norma dispositiva– No és un veritable requisit, sinó una “forma útil”

– Aplica l’anàlisi de risc pur

– S’ha reconduït a la signatura electrònica ordinària basada en contracte, en moltes ocasions

Pàgina 26


• Criteris: Àmbit de l’anàlisi de risc– Opera en l’espai que deixa lliure l’aplicació del

principi de legalitat – per exemple, interpretació estricta de l’article 70 de la Llei 30/1992

– Es regeix per la reducció raonable del risc, prenent en compte valors actuarials de frau

– L’anàlisi de risc sempre té en compte el preu de les mesures de seguretat, i per tant aposta per la signatura electrònica ordinària o avançada enlloc de la signatura reconeguda

Pàgina 27


• Aplicacions al sector públic– Gestió documental interna

– Presentació de sol·licituds i documents electrònics

– Registres d’entrada/sortida

– Notificacions administratives

– Certificacions i comunicacions de dades

– Contractació pública electrònica

Pàgina 28

Les aplicacions de la signatura-e - 11• Aplicacions al sector públic

– Relacions amb l’AEAT i el Ministeri d’Hisenda• Sol·licituds i recursos• Representació de tercers

– Relacions amb el Ministeri d’Economia i tots els seus organismes adscrits

• Sol·licituds i recursos

– Relacions amb el Ministeri de Ciència i Tecnologia (ara absorbit pel Ministeri d’Indústria, Turisme i Comerç) i tots els seus organismes adscrits


Pàgina 29


• Aplicacions al sector públic– Relacions amb el Ministeri d’Interior


– Relacions amb el Ministeri d’Administracions Públiques• Sol·licituds i recursos• Notificació telemàtica amb l’adreça electrònica única

– Relacions amb els òrgans judicials (prova pilot a Reus)

– Relacions amb l’Administració de la Generalitat de Catalunya (a través del CAT365)

Pàgina 30

Més informació:

• Web CATCert: http://www.catcert.net

• E-mail:– Nacho Alamillo: [email protected]

La signatura electrònica a l’Administració Oberta

Documents

Transcript of La signatura electrònica a l’Administració Oberta