Estamos en una época de transformación digital. Todos los días, escuchamos o leemos términos como Big Data, Deep Learning, Artificial Intelligence, Criptomonedas, y Firma Digital, entre muchos otros.
Argentina se caracteriza por tener desarrolladores que van a la vanguardia respecto de sus pares de otros países de la región en cuanto al conocimiento y aprendizaje de nuevas tecnologías como las antes mencionadas; sin embargo, cuando se habla de Firma Digital, el país -no sus programadores- no es el más claro exponente en materia de implementación.
Si bien Argentina cuenta con una ley de Firma Digital (N° 25.506) desde el año 2001 y otras normativas complementarias (ej., Decreto de Reglamentación N° 2628/2002, Decreto 409/05 de Designación de la Autoridad de Aplicación, etc.), se podría decir que hace relativamente poco se está dando impulso a esta tecnología, sobre todo desde el ámbito del sector público.
Actualmente la ONTI, ANSES y AFIP son autoridades de certificación licenciados, es decir, que pueden emitir certificados de Firma Digital para las personas que a estos les compete, y tales certificados son válidos para la ley argentina; pero seguramente haga falta tiempo (y con ello capacitación) para que muchos otros organismos públicos empiecen a adoptar esta herramienta que viene no solo para reemplazar al papel, sino para dar muchos otros beneficios: reducción de costos de materiales, de espacio, de tiempos, asegurar la integridad del objeto firmado, entre otros.
¿Qué es lo que hace complejo implementar Firma Digital en una organización, sin importar si es pública o privada?
Existen diferentes factores que podrían clasificarse como:
- Técnicos: se requiere gente capacitada, conocimiento de la tecnología, infraestructura de clave pública (PKI), uso de algoritmos y herramientas afines, seguridad del entorno, etc.
- Operativos: actualización de software para el soporte de nuevos estándares, almacenamiento y gestión (solicitud/revocación) de certificados, aplicativos que operen con firma digital, etc.
- Legales: la Firma es Digital únicamente si cumple con criterios específicos que marca la ley. Cualquiera de los criterios que no cumpla el proceso, lo convierte en una firma electrónica en lugar de digital.
Podríamos mencionar un cuarto factor, socio-cultural, donde uno se puede plantear la pregunta: ¿Para qué implementar Firma Digital si el resto aún no lo hizo? Este factor está desapareciendo de a poco, pero los otros tres siguen (y seguirán) vigentes.
Dado que existen infinidad de artículos explicando lo que es una Firma Digital técnicamente hablando, en este caso vamos a centrarnos en el aspecto legal, es decir, qué es y qué no es una firma digital según la ley argentina.
Para empezar, los criterios que debe cumplir una firma para que sea digital según la ley 25.506, art. 2, 9, 14 y 16 son, resumidamente, los siguientes:
- Autenticidad: debe permitir identificar al autor de la firma de forma inequívoca.
- Integridad: debe permitir comprobar que el documento firmado no ha sido adulterado.
- Exclusividad: debe poder garantizarse que la clave privada con que se firma está bajo control absoluto de su apoderado (firmante).
- No repudio: dadas las condiciones anteriores, se da por hecho esta cuarta que significa que si: a) se constató al autor de una firma, b) el documento no ha sido adulterado, y c) se entiende que la clave con que fue firmado está bajo control exclusivo del firmante, éste no puede negar que fue él quien firmó el documento.
- Validez: este punto es la clave de la aplicación de la Firma Digital en Argentina. Los certificados de Firma Digital deben haber sido expedidos por un Certificador Licenciado para que la firma sea considerada válida.
¿A qué refiere esta última propiedad?
Supongamos que una empresa cualquiera tiene la infraestructura necesaria para poder emitir certificados para sus empleados: servidores seguros, PC actualizadas, datos personales de los empleados, software para procesar requerimientos y emitir certificados, etc. Y supongamos que estos certificados van a ser utilizados por los empleados para firmar, por ejemplo, los recibos de sueldo. En este escenario, y para nuestra ley, los recibos serían firmados por algo que no es una firma digital, sino una firma electrónica.
¿Por qué?
Pues porque los recibos firmados electrónicamente solamente cumplen con 4 de los 5 criterios enunciados anteriormente. La firma puede parecer digital, aunque en realidad es electrónica. Desde el punto de vista tecnológico y operativo ambas son exactamente iguales. Ambas brindan autenticidad (la empresa sabe a qué empleado le emitió el certificado), integridad (lo que se firma puede ser factible de detección de adulteración), exclusividad (cada empleado genera su propia clave [*]), no repudio (se da automáticamente debido a las condiciones anteriores). Pero el hecho de que la empresa NO sea un certificador licenciado invalida el proceso como una firma digital legítima. Dicho de otra forma, esa firma no puede reemplazar legalmente a la firma ológrafa -en papel- del recibo del empleado porque el certificado de éste no fue emitido por un ente certificador licenciado.
[*] Se habla de “clave” en modo singular, pero en las firmas digitales en realidad se utiliza un par de claves (privada y pública). La referencia a una clave se hace para referir a la “entidad de seguridad”, no al concepto técnico.
Esto plantea una situación no menor al momento de querer implementar un proceso de firma digital: la generación del pedido de certificados la debe hacer el usuario, pero la emisión de estos la debe hacer un ente licenciado. Por ello, todo el proceso de firma debe planearse de antemano, seleccionando con qué herramientas trabajar, métodos, proveedores, circuitos, procesos, roles y, sobre todo, quién va a emitir los certificados para que sean válidos ante la ley.
Aunque se está viendo un empuje desde el sector público, hacen falta más elementos que ayuden a incorporar la firma digital como una herramienta cotidiana:
- En primer lugar, leyes que incentiven a disminuir el uso de papel, poniendo fechas límites para la aceptación de trámites que utilicen medios físicos.
- Capacitación, no solamente a empleados públicos, sino a los ciudadanos, para que empiecen a entender la tecnología desde un nivel básico.
- Herramientas que permitan usar firma digital de forma amigable.
Enterate cómo puede ayudarte DigitalDocs acá.