35
EAD Trust European Agency of Digital Trust Contexto legal de la firma grafométrica Thursday, November 3, 2016 1 © European Agency of Digital Trust “JORNADA JURÍDICA SOBRE FIRMA BIOMÉTRICA” Julián Inza

Contexto legal de la firma grafométrica - cecabank.es · La firma electrónica (simple) es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos,

  • Upload
    buique

  • View
    221

  • Download
    0

Embed Size (px)

Citation preview

Page 1: Contexto legal de la firma grafométrica - cecabank.es · La firma electrónica (simple) es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos,

EADTrust

European Agencyof Digital Trust

Contexto legal de la firma grafométrica

Thursday, November 3, 20161© European Agency of Digital Trust

“JORNADA JURÍDICA SOBRE FIRMA BIOMÉTRICA”

Julián Inza

Page 2: Contexto legal de la firma grafométrica - cecabank.es · La firma electrónica (simple) es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos,

EADTrust

European Agencyof Digital TrustEvolución en la gestión

Wednesday, November 2, 20162© European Agency of Digital Trust

“S.M. el REY (Q.D.G.), y en su nombre la REINA Regente del Reino, ha tenido á bien disponer que en todas las oficinas del Estado, provinciales y municipales se admitan cuantas instancias y documentos se presenten hechos con máquinas de escribir, en los mismos términos y con iguales efectos de los escritos ó copiados a mano.”

Page 3: Contexto legal de la firma grafométrica - cecabank.es · La firma electrónica (simple) es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos,

EADTrust

European Agencyof Digital Trust

Contexto: despapelización

• Muchas entidades están llevando a cabo una transformación de procesos desde unentorno tradicional basado en papel a una gestión electrónica integral de ladocumentación en los que se plantea la utilización de dispositivos de captura defirma biométrica o “digitalizada”.

• Frecuentemente la validez de estos sistemas de firma se pone en duda desde elpunto de vista de la protección de datos y de su potencial como prueba electrónicay por buenas razones.

• Sin embargo con ayuda de cifrado y otras medidas de seguridad puedendesplegarse sistemas plenamente legales.

• EADTrust ayuda a las entidades a diseñar y desplegar sistemas válidos, aclarandodudas, realizando auditorías y aportando dictámenes técnicos y jurídicos einformes periciales.

• Los sistemas que cumplen los requisitos definidos pueden utilizar su logo de“buenas prácticas”.

11/2/20163© European Agency of Digital Trust

Page 4: Contexto legal de la firma grafométrica - cecabank.es · La firma electrónica (simple) es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos,

EADTrust

European Agencyof Digital Trust¿Qué es EAD Trust?

El creciente uso de documentos electrónicos ha creado la necesidad decontar con un servicio que garantice autenticidad, integridad, seguridad yvalor legal en las transacciones electrónicas.

EADTrust nace en 2009 como Prestador de Servicios de Confianza Digital,para ayudar a las empresas y organismos a sustituir documentos probatorios en papel por susequivalentes electrónicos aportando la experiencia de sus promotores en temas como FirmaElectrónica, Documento Electrónico, Factura Electrónica, DNIe, Administración Electrónico,Justicia Electrónica y Medios de Pago.

Con EADTrust, tanto entidades públicas como privadas solucionan los inconvenientes de laadecuación de estas nuevas herramientas al integrar en los diversos sistemas de informacióndisponibles. EADTrust garantiza que sus soluciones cubrien todos los requisitos legales y técnicos.

Los servicios de EADTrust facilitan el cumplimiento de la reciente normativa legal que prevé y enalgunos casos impone el uso de la firma electrónica la custodia digital, las notificacionesfehacientes o la certificación de publicaciones en página web .

EADTrust ha definido y promueve un nuevo ecosistema digital para la gestión de firmasmanuscritas digitalizadas, que facilita a otros profesionales la prestación de susservicios.

11/2/20164© European Agency of Digital Trust

Page 5: Contexto legal de la firma grafométrica - cecabank.es · La firma electrónica (simple) es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos,

EADTrust

European Agencyof Digital Trust

Supervisado por el Minetur

11/2/20165© European Agency of Digital Trust

Prestador de servicios de certificación registrado

Page 6: Contexto legal de la firma grafométrica - cecabank.es · La firma electrónica (simple) es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos,

EADTrust

European Agencyof Digital TrustCertificaciones

• EADTrust ha renovado en 2015 una auditoría de su sistema integrado de gestión con respecto a varias normas, ampliando el alcance de las auditorías anteriores.

• En estos momentos, EADTrust está certificado respecto a las normativas ISO 27001:2005, ISO 9001:2008 e ISO 20000-1:2011, a través de la entidad LRQA Business Assurance, con el siguiente alcance

• El Sistema Integrado de Gestión de la Información que dan soporte a consultoría, auditoría, desarrollo y provisión de los siguientes servicios de confianza digital: Autoridades de Certificación (PKI) que cumplen los requerimientos de las normas ETSI TS 101 456 v1.4.3 y ETSI TS 102 042 v2.3.1 para Sellado de Tiempo, Emisión de Certificados, Firma Electrónica Centralizada, Extensión de Firma Electrónica, Notificacion Electrónica Fehaciente (Correo Electrónico Certificado), Publicación Electrónica Fehaciente, Foro Electrónico de Accionistas, Emisión y Gestión de Claves, Validación OCSP, Cartulario (Custodia Digital de Documentos Electrónicos), Custodia de Evidencias Electrónicas (Retención de Datos), Voto Electrónico, Facturación Electrónica, Digitalización Certificada y Gestión de firmas manuscritas digitalizadas, para garantizar la validez legal de todo tipo de gestiones que las utilizan, de acuerdo a la declaración de aplicabilidad vigente. Estos son los certificados

11/2/20166© European Agency of Digital Trust

Norma CertificadoISO 20000-1:2011 SGI 6015629/114ISO 27001:2005 SGI 6015629/19ISO 9001:2008 SGI 6015629/11

Page 7: Contexto legal de la firma grafométrica - cecabank.es · La firma electrónica (simple) es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos,

EADTrust

European Agencyof Digital Trust

Muchas instituciones empiezan a desplegar sistemas que capturan firmasmanuscritas para adjuntarlas a documentos electrónicos.En general, los sistemas utilizados no cumplen las garantías legales para serconsideradas una prueba en caso de controversia, pero podrían ser válidossi se siguieran una serie de principios.EADTrust ha creado la metodología, realiza auditorías, emite losinformes de auditoría y expide certificados de buenas prácticas paralos sistemas que implementan un proceso adecuado de gestión de firmasdigitalizadas, en el marco de la Ley 59/2003.

Auditoría de digitalización de firmas

Page 8: Contexto legal de la firma grafométrica - cecabank.es · La firma electrónica (simple) es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos,

EADTrust

European Agencyof Digital Trust

• RAE: “Nombre y apellido, o título, que una persona escribe de su propia mano en un documento, para darle autenticidad o para expresar que aprueba su contenido”.

• La firma ológrafa o autógrafa, es la que se realiza por la propia mano del autor, y se utiliza para expresar la vinculación entre un documento y el firmante, por ejemplo, el consentimiento en un contrato, o el acuse de recibo en una notificación.

• No suele estar definida en la legislación aunque sí se atribuyen efectos a la firma.

• Permite confirmar la identidad del firmante por quien conoce la firma y, si es legible, identificarlo.

• Antiguamente se usaban signos en vez de la firma o acompañándola y cuando los nobles no sabían leer y escribir usaron sellos, lo que se extendió a los que sí sabían leer.

Qué es la firma

Page 9: Contexto legal de la firma grafométrica - cecabank.es · La firma electrónica (simple) es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos,

EADTrust

European Agencyof Digital Trust

• La firma implica “intención de firma” (ánimus signandi). Se resume en “consentimiento informado”: se conoce lo que se va a firmar y se firma en conformidad (o disconformidad si se antecede la frase ante la firma como “Recibido y no conforme”)

• En relación con la firma se presupone que solo su autor la puede realizar pero que cualquier persona la puede comprobar con ayuda de una muestra

• La firma manuscrita supone autoría “inmediata” concepto jurídico opuesto al de autoría “mediata” que se da, por ejemplo usando un sello. Inmediato implica que solo el firmante la puede realizar. Mediato significa que quien disponga del instrumento puede utilizarlo para crear la presunción: sello, tarjeta chip+PIN

• Aun estando un documento firmado, la firma siempre puede “repudiarse” por las causa previstas en el código civil (Artículo 1265: Será nulo el consentimiento prestado por error, violencia, intimidación o dolo)

Qué es la firma

Page 10: Contexto legal de la firma grafométrica - cecabank.es · La firma electrónica (simple) es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos,

EADTrust

European Agencyof Digital Trust

Pericial caligráfica Ley de Enjuiciamiento Civil

• Artículo 326 Fuerza probatoria de los documentos privados• 1. Los documentos privados harán prueba plena en el proceso, en los términos del

artículo 319, cuando su autenticidad no sea impugnada por la parte a quien perjudiquen.

• 2. Cuando se impugnare la autenticidad de un documento privado, el que lo haya presentado podrá pedir el cotejo pericial de letras o proponer cualquier otro medio de prueba que resulte útil y pertinente al efecto.

• Si del cotejo o de otro medio de prueba se desprendiere la autenticidad del documento, se procederá conforme a lo previsto en el apartado tercero del artículo 320 (Cuando de un cotejo o comprobación resulte la autenticidad o exactitud de la copia o testimonio impugnados, las costas, gastos y derechos que origine el cotejo o comprobación serán exclusivamente de cargo de quien hubiese formulado la impugnación. Si, a juicio del tribunal, la impugnación hubiese sido temeraria, podrá imponerle, además, una multa de 120 a 600 euros.). Cuando no se pudiere deducir su autenticidad o no se hubiere propuesto prueba alguna, el tribunal lo valorará conforme a las reglas de la sana crítica.

• 3. Cuando la parte a quien interese la eficacia de un documento electrónico lo pida o se impugne su autenticidad, se procederá con arreglo a lo establecido en el artículo 3 de la Ley de Firma Electrónica.

Page 11: Contexto legal de la firma grafométrica - cecabank.es · La firma electrónica (simple) es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos,

EADTrust

European Agencyof Digital Trust

Pericial caligráfica Ley de Enjuiciamiento Civil

• Artículo 349 Cotejo de letras• 1. Se practicará por perito el cotejo de letras cuando la

autenticidad de un documento privado se niegue o se ponga en duda por la parte a quien perjudique.

• 2. También podrá practicarse cotejo de letras cuando se niegue o discuta la autenticidad de cualquier documento público que carezca de matriz y de copias fehacientes según lo dispuesto en el artículo 1221 del Código Civil, siempre que dicho documento no pueda ser reconocido por el funcionario que lo hubiese expedido o por quien aparezca como fedatario interviniente.

• 3. El cotejo de letras se practicará por perito designado por el tribunal conforme a lo dispuesto en los artículos 341 y 342 de esta Ley.

Page 12: Contexto legal de la firma grafométrica - cecabank.es · La firma electrónica (simple) es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos,

EADTrust

European Agencyof Digital TrustLey de firma electrónica

• Artículo 3 Firma electrónica, y documentos firmados electrónicamente

• 1. La firma electrónica (simple) es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante.

• 2. La firma electrónica avanzada es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control.

• 3. Se considera firma electrónica reconocida la firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma.

• 4. La firma electrónica reconocida tendrá respecto de los datos consignados en forma electrónica el mismo valor que la firma manuscrita en relación con los consignados en papel.

Page 13: Contexto legal de la firma grafométrica - cecabank.es · La firma electrónica (simple) es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos,

EADTrust

European Agencyof Digital Trust

Consideraciones legales sobre firma electrónica

• Ley 59/2003 de firma electrónica – Artículo 3– 2. La firma electrónica avanzada es la firma electrónica que

permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control.

– 9. No se negarán efectos jurídicos a una firma electrónica que no reúna los requisitos de firma electrónica reconocida en relación a los datos a los que esté asociada por el mero hecho de presentarse en forma electrónica.

• Ley 15/1999 de protección de datos personales• El sistema considera la firma manuscrita vinculada al firmante

como un dato de carácter personal que requiere protección de nivel alto.

• Se contempla el efecto del Reglamento (UE) 910/2014Wednesday, November 2, 201613© European Agency of Digital Trust

Page 14: Contexto legal de la firma grafométrica - cecabank.es · La firma electrónica (simple) es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos,

EADTrust

European Agencyof Digital TrustLey de firma electrónica

• Artículo 3 Firma electrónica, y documentos firmados electrónicamente

• 5. Se considera documento electrónico la información de cualquier naturaleza en forma electrónica, archivada en un soporte electrónico según un formato determinado y susceptible de identificación y tratamiento diferenciado.

• Sin perjuicio de lo dispuesto en el párrafo anterior, para que un documento electrónico tenga la naturaleza de documento público o de documento administrativo deberá cumplirse, respectivamente, con lo dispuesto en las letras a) o b) del apartado siguiente y, en su caso, en la normativa específica aplicable.

• 6. El documento electrónico será soporte de:a) Documentos públicos, por estar firmados electrónicamente por funcionarios

que tengan legalmente atribuida la facultad de dar fe pública, judicial, notarial o administrativa, siempre que actúen en el ámbito de sus competencias con los requisitos exigidos por la ley en cada caso.

b) Documentos expedidos y firmados electrónicamente por funcionarios o empleados públicos en el ejercicio de sus funciones públicas, conforme a su legislación específica.

c) Documentos privados.

Page 15: Contexto legal de la firma grafométrica - cecabank.es · La firma electrónica (simple) es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos,

EADTrust

European Agencyof Digital TrustLey de firma electrónica

• Artículo 3 Firma electrónica, y documentos firmados electrónicamente• 7. Los documentos a que se refiere el apartado anterior tendrán el valor y la eficacia jurídica

que corresponda a su respectiva naturaleza, de conformidad con la legislación que les resulte aplicable.

• 8. El soporte en que se hallen los datos firmados electrónicamente será admisible como prueba documental en juicio. Si se impugnare la autenticidad de la firma electrónica reconocida con la que se hayan firmado los datos incorporados al documento electrónico se procederá a comprobar que se trata de una firma electrónica avanzada basada en un certificado reconocido, que cumple todos los requisitos y condiciones establecidos en esta Ley para este tipo de certificados, así como que la firma se ha generado mediante un dispositivo seguro de creación de firma electrónica.

• La carga de realizar las citadas comprobaciones corresponderá a quien haya presentado el documento electrónico firmado con firma electrónica reconocida. Si dichas comprobaciones obtienen un resultado positivo, se presumirá la autenticidad de la firma electrónica reconocida con la que se haya firmado dicho documento electrónico siendo las costas, gastos y derechos que origine la comprobación exclusivamente a cargo de quien hubiese formulado la impugnación. Si, a juicio del tribunal, la impugnación hubiese sido temeraria, podrá imponerle, además, una multa de 120 a 600 euros.

• Si se impugna la autenticidad de la firma electrónica avanzada, con la que se hayan firmado los datos incorporados al documento electrónico, se estará a lo establecido en el apartado 2 del artículo 326 de la Ley de Enjuiciamiento Civil.

Page 16: Contexto legal de la firma grafométrica - cecabank.es · La firma electrónica (simple) es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos,

EADTrust

European Agencyof Digital TrustLey de firma electrónica

• Artículo 3 Firma electrónica, y documentos firmados electrónicamente

• 9. No se negarán efectos jurídicos a una firma electrónica que no reúna los requisitos de firma electrónica reconocida en relación a los datos a los que esté asociada por el mero hecho de presentarse en forma electrónica.

• 10. A los efectos de lo dispuesto en este artículo, cuando una firma electrónica se utilice conforme a las condiciones acordadas por las partes para relacionarse entre sí, se tendrá en cuenta lo estipulado entre ellas.

Page 17: Contexto legal de la firma grafométrica - cecabank.es · La firma electrónica (simple) es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos,

EADTrust

European Agencyof Digital TrustSentencia TS 3/11/1997

«La firma es el trazado gráfico, conteniendo habitualmente el nombre, los apellidos y la rúbrica de una persona, con el cual se suscriben los documentos para darles autoría y virtualidad y obligarse con lo que en ellos se dice. Aunque la firma puede quedar reducida, sólo, a la rúbrica o consistir, exclusivamente, incluso, en otro trazado gráfico, o en iniciales, o en grafismos ilegibles, lo que la distingue es su habitualidad, como elemento vinculante de esa grafía o signo de su autor. Y, en general, su autografía u olografía, como vehículo que une a la persona firmante con lo consignado en el documento, debe ser manuscrita o de puño y letra del suscribiente, como muestra de la inmediatez y de la voluntariedad de la acción y del otorgamiento.Pero la firma autógrafa no es la única manera de signar, pues hay otros mecanismos que, sin ser firma autógrafa, constituyen trazados gráficos, que asímismo conceden autoría y obligan. Así, las claves, los códigos, los signos y, en casos, los sellos con firmas en el sentido indicado. Y, por otra parte, la firma es un elemento muy importante del documento, pero, a veces, no esencial, en cuanto existen documentos sin firma que tienen valor probatorio (como son los asientos, registros, papeles domésticos y libros de los comerciantes).En consecuencia, aunque, al igual que en el caso de los documentos comunes, puede haber documentos electrónicos sin firma, el documento electrónico (y, en especial, el documento electrónico con función de giro mercantil) es firmable, en el sentido de que el requisito de la firma autógrafa o equivalente puede ser sustituída, por el lado de la criptografía, por medio de cifras, signos, códigos, barras, claves u otros atributos alfa-numéricos que permitan asegurar la procedencia y veracidad de su autoría y la autenticidad de su contenido.Por lo tanto, si se dan todas las circunstancias necesarias para acreditar la autenticidad de los ficheros electrónicos o delcontenido de los discos de los ordenadores o procesadores y se garantiza, con las pruebas periciales en su caso necesarias, la veracidad de lo documentado y la autoría de la firma electrónica utilizada, el documento mercantil en soporte informático, con función de giro, debe gozar, como establece el artículo 76.3.c) del Reglamento de 1995, de plena virtualidad jurídica operativa…».

Page 18: Contexto legal de la firma grafométrica - cecabank.es · La firma electrónica (simple) es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos,

EADTrust

European Agencyof Digital TrustResolución de 4/02/2011

• Resolución de 4 de febrero de 2011, de la Presidencia de la Agencia Estatal de Administración Tributaria, sobre uso de código seguro de verificación y por la que se crean sellos electrónicos del organismo.

• Sexto. Integración de las firmas de los funcionarios actuantes y de los obligados tributarios en un documento administrativo.–Conforme a los criterios que establezca la Dirección General de la Agencia Tributaria se podrán utilizar instrumentos que permitan la firma conjunta de los funcionarios actuantes y de los ciudadanos con quienes se entiendan las actuaciones, tales como tabletas digitalizadoras o asistentes personales digitales, siempre que quede asegurada la integridad del documento firmado mediante la inmediata generación de un CSV o sistema análogo.

Page 19: Contexto legal de la firma grafométrica - cecabank.es · La firma electrónica (simple) es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos,

EADTrust

European Agencyof Digital TrustResolución de 6/04/2016

• Resolución de 6 de abril de 2016, del Servicio Público de Empleo Estatal, por la que se aprueba el sistema de firma electrónica mediante captura de firma digitalizada con datos biométricos para relacionarse presencialmente con el Servicio Público de Empleo Estatal.

• La firma por parte del ciudadano se producirá tras una identificación previa por parte de un empleado público autorizado, de forma que se garantice en todo momento la vinculación entre los datos firmados y la identidad del firmante, requisito necesario para que la firma sea válida.

• Los datos biométricos se almacenarán junto con el documento electrónico, y con la firma de la huella (hash) del conjunto formado por ambos, datos biométricos y documento electrónico, firmado con el sello electrónico del Organismo.

• La confidencialidad queda asegurada dado que los datos biométricos correspondientes a la firma no se pondrán a disposición ni se revelarán a individuos, entidades o procesos no autorizados. La integridad queda garantizada mediante la utilización de la firma realizada con el sello electrónico del Organismo sobre la huella de los datos biométricos. La autenticidad podrá determinarse mediante una prueba caligráfica que determine las diferencias (o no) entre la firma capturada y otra firma de la misma o distinta persona.

Wednesday, November 2, 201619© European Agency of Digital Trust

Page 20: Contexto legal de la firma grafométrica - cecabank.es · La firma electrónica (simple) es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos,

EADTrust

European Agencyof Digital TrustCTEAJE: GIS de Autenticación,

Certificados y Firma electrónicaEJIS - Esquema Judicial de Interoperabilidad y Seguridad17. Pautas de realización de firmas electrónicas en PDF basadas en firmas manuscritas, sin uso de certificado (1/2)En el caso de que se empleen firmas electrónicas avanzadas no basadas en certificado, sino en la vinculación a los documentos electrónicos de firmas manuscritas captadas con técnicas biométricas se respetarán los siguientes criterios:• El proceso de creación de las firmas manuscritas digitalizadas implicará el cifrado

de la información biométrica asociada a la realización del trazo de la firma sobre un dispositivo idóneo y su incorporación al propio documento. El cifrado se apoyará sobre una clave pública gestionada por el software de codificación de firmas, asociada con una clave privada custodiada por un notario o un Prestador de Servicios de Confianza Digital.

• En caso de controversia sobre la firma, debe ser posible su cotejo para lo que se podrá recurrir al notario o Prestador de Servicios de Confianza Digital supervisado por el órgano designado (Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información, adscrita al Ministerio de Industria, Energía y Turismo), que custodia la clave privada, que colaborarán para el descifrado de la información biométrica del documento, lo que podrá utilizar un perito calígrafo para comparar la firma con otras indubitadas del mismo autor.

Wednesday, November 2, 201620© European Agency of Digital Trust

Page 21: Contexto legal de la firma grafométrica - cecabank.es · La firma electrónica (simple) es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos,

EADTrust

European Agencyof Digital TrustCTEAJE: GIS de Autenticación,

Certificados y Firma electrónica

EJIS - Esquema Judicial de Interoperabilidad y Seguridad17. Pautas de realización de firmas electrónicas en PDF basadas en firmas manuscritas, sin uso de certificado (2/2)

• La posibilidad de extraer la información dinámica estará disponible sin coste en el Prestador a disposición de los firmantes y terceros con interés legítimo.

• La firma y el contenido del documento se vincularán de forma indisociable, de forma que esta vinculación pueda ser comprobada por quien acceda al documento

• La imagen estática de la firma será visible en el documento PDF• El software de análisis pericial que permita comparar una firma controvertida con

otras indubitadas estará disponible sin coste en un tercero depositario a disposición de los firmantes yterceros con interés legítimo.

• Las firmas electrónicas de este tipo pueden ir reforzadas con sellos de tiempo o firmas o sellos automatizados

• Se preferirán los sistemas que estén respaldados por sellos de calidad que el fabricante o distribuidor haya obtenido tras superar una auditoría.de una entidad auditora especializada en sistemas de firma manuscrita digitalizada avanzada.

Wednesday, November 2, 201621© European Agency of Digital Trust

Page 22: Contexto legal de la firma grafométrica - cecabank.es · La firma electrónica (simple) es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos,

EADTrust

European Agencyof Digital Trust

• REGLAMENTO 910/2014 DEL PARLAMENTO EUROPEO Y DEL CONSEJO relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior

• http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0238:FIN:ES:HTML

Identificación electrónica y servicios de confianza

Page 23: Contexto legal de la firma grafométrica - cecabank.es · La firma electrónica (simple) es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos,

EADTrust

European Agencyof Digital Trust

Artículo 26. Requisitos para firmas electrónicas avanzadasUna firma electrónica avanzada cumplirá los requisitos siguientes:a) estar vinculada al firmante de manera única;b) permitir la identificación del firmante;c) haber sido creada utilizando datos de creación de la firma electrónica que el

firmante puede utilizar, con un alto nivel de confianza, bajo su control exclusivo, y

d) estar vinculada con los datos firmados por la misma de modo tal que cualquier modificación ulterior de los mismos sea detectable.

Identificación electrónica y servicios de confianza

Page 24: Contexto legal de la firma grafométrica - cecabank.es · La firma electrónica (simple) es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos,

EADTrust

European Agencyof Digital Trust

• Imposibilidad de que la firma realizada sobre un documento de pueda incrustar en otro.

• Equilibrio entre las partes firmantes respecto a la posibilidad de demostrar su propia firma o la de la contraparte

• Disponibilidad del documento a lo largo del tiempo

• Comprobación de la propia firma de forma sencilla

• Protección de los datos biométricos en el marco de la LOPD (Derechos ARCO)

Garantías básicas

Page 25: Contexto legal de la firma grafométrica - cecabank.es · La firma electrónica (simple) es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos,

EADTrust

European Agencyof Digital Trust

Decálogo FMDA de EADTrust

EADTrust ha definido un conjunto de principios de buenas prácticas que forman la base de su modelo deauditoría.

1. Captura de elementos biométricos dinámicos de la firmaasociados a sus datos de producción

2. Vinculación biunívoca de los elementos biométricos con eldocumento firmado

3. Imposibilidad de incrustar la firma en otros documentos4. Autenticidad del documento y vinculación con el firmante5. Posibilidad de comprobar la firma por el titular6. Confidencialidad de los datos biométricos y Protección de

la información conforme a la LOPD7. Posibilidad de demostrar la validez de la firma en un proceso litigioso8. Simetría probatoria9. Soporte duradero10. Existencia de un procedimiento de detección y notificación a la autoridad de protección

de datos de incidentes de seguridad que afecten a datos de carácter personal

Page 26: Contexto legal de la firma grafométrica - cecabank.es · La firma electrónica (simple) es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos,

EADTrust

European Agencyof Digital Trust

Principios de calidad

EADTrust ha definido un conjunto de principios de buenas prácticas que forman la base de su modelo de auditoría.

• Ofrece un servicio de auditoría 360º y certificación. Expide certificado de buenas prácticas– Revisión de contratos,– Designación de responsabilidades de gestión en la

organización– Modelo de seguridad: MDM– Valoración de técnicas criptográficas– Valoración de sistema de custodia– Gestión de controversias– Renovación de claves– Depósito del software de valoración pericial– Escrow de código fuente

Page 27: Contexto legal de la firma grafométrica - cecabank.es · La firma electrónica (simple) es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos,

EADTrust

European Agencyof Digital Trust

Homologación de softwarePlan de trabajo. Auditoría

El auditor prepara un cuestionario sobre la solución(CheckList) que el desarrollador o los responsablesimplicados deben completar y retornar junto uninforme técnico y documentación escrita de lasolución.

Basándose en dicha información, el auditor analiza endetalle la arquitectura, los datos obtenidos y losprocedimientos empleados.

Como conclusión, el auditor emite un informe derecomendaciones donde propone las mejoras alsistema y modificaciones necesarias para elcumplimiento de los requisitos.

En caso de ser necesario, el auditor, propone unareunión, con el objeto de resolver las dudas quepueden surgir.

El desarrollador comunica al auditor la planificaciónpara la aplicación de las correcciones e informa delmomento en que estén finalizadas.

el auditor analiza la solución final y de conformidadcon el cumplimiento de la normativa, emite elcorrespondiente informe de auditoría.

Análisis Cumplimiento (CheckList)

Informe de Recomendaciones

Aplicación de Correcciones

Auditoría

Informe de Auditoría

Page 28: Contexto legal de la firma grafométrica - cecabank.es · La firma electrónica (simple) es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos,

EADTrust

European Agencyof Digital Trust

HAdES

Handwritten Advanced Electronic Signature– Propuesta de EADTrust para codificar firmas facilitando la

interoperabilidad entre implementaciones.– Codifica información relevante de la firma manuscrita y sus

condiciones de realización en formato XML– Establece diferentes formas de incluir la información en ficheros

PDF– Es extensible y permite personalizaciones en función de la

información disponible en cada implementación– Incluye consideraciones de cifrado simétrico y asimétrico e

indicaciones de los terceros de confianza participantes– Puede utilizarse en entornos operativos y en entornos de práctica

forense (periciales informáticas)

Page 29: Contexto legal de la firma grafométrica - cecabank.es · La firma electrónica (simple) es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos,

EADTrust

European Agencyof Digital Trust

Recomendaciones

• Definir un procedimiento extraordinario de extracción de datos biométricos en formato estándar.

• Incluir referencias al documento que se firma en el bloque cifrado de la firma biométrica, como información de control.

• Definir un procedimiento a seguir en caso de litigio que conste por escrito y sea de fácil consulta para uso interno.

• Reflejar cómo y durante cuánto tiempo podrá acceder el firmante al documento.

• Implementar un sistema basado en CSV para su aportación ante jueces o titulares de las firmas.

• Definir un procedimiento de custodia de los documentos por escrito para su presentación en caso de litigio.

• Definir un procedimiento interno de expurgo para la eliminación o borrado controlado de documentos firmados.

Page 30: Contexto legal de la firma grafométrica - cecabank.es · La firma electrónica (simple) es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos,

EADTrust

European Agencyof Digital TrustListado de peritos

11/2/201630© European Agency of Digital Trust

• EADTrust imparte cursos y seminarios a peritos calígrafos para actualizar el ámbito de su pericia y extenderlo a sistemas digitales de captura de firma

• El seminario on-line del pasado 22 de octubre de 2015 contó con una nutrida concurrencia de expertos en documentoscopia y análisis caligráfico lo que favoreció el intercambio de opiniones al final del evento.

• Tras el evento varios especialistas y gabinetes profesionales manifestaron su interés en su incorporación al listado de peritos de EAD Trust y en profundizar más en el ecosistema de gestión de evidencias digitales de firma manuscrita captada con medios digitales impulsado por EADTrust.

• Uno de los aspectos tratados es el estudio de comparaciones híbridas en las que las firmas controvertidas y las indubitadas pueden ser plasmadas en papel o en tableta digitalizadora.

• Se indican referencias a herramientas de uso forense existentes, con valoración de sus ventajas y limitaciones y se tratan los retos que en el futuro deberán contemplar este tipo de firmas.

Page 31: Contexto legal de la firma grafométrica - cecabank.es · La firma electrónica (simple) es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos,

EADTrust

European Agencyof Digital TrustPlataformas auditadas

11/2/201631© European Agency of Digital Trust

• Cuando las entidades promotoras utilizan plataformas auditadas, se simplifica el proceso de auditoría, por lo que esta se realiza en menos tiempo y tiene un menor coste.

• Las plataformas son soluciones técnicas propuestas por sus desarrolladores que cumplen los requisitos técnicos del modelo y ayudan a cumplir los aspectos operativos y procesales que incumben a la entidad.

• Resuelven, entre otros aspectos las circunstancias de controversia proporcionando herramientas de gestión de evidencias electrónicas para su uso forense por los peritos.

• Las plataformas auditadas cuentan con el sello FMDA Ready

Page 32: Contexto legal de la firma grafométrica - cecabank.es · La firma electrónica (simple) es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos,

EADTrust

European Agencyof Digital Trust

Conclusiones

• La Firma Biométrica como Firma Manuscrita Digitalizada Avanzada es un tipo de Firma Avanzada de los previstos por el nuevo reglamento europeo.

• Su modelo de prueba, en caso de litigio, es el mismo que el de las firmas manuscritas según lo previsto en la LEC.

• Es una firma “inmediata” que tiene propiedades que la hac en preferible a la firma reconocida o cualificada en ciertos contextos.

• No requiere enrollment previo ni acarrear dispositivos, ni conocer un PIN o clave.

• Su uso implica grandes ahorros en gestión de documentos en las empresas.• Las mejores prácticas hacen recomendable seguir ciertas pautas que

protegen al firmante.• La auditoría de plataformas y soluciones aporta garantías a los

desarrolladores, a los implantadores y a los clientes finales que firman en estos sistemas

• La homologación y el sello de calidad transmite esta confianza a todos los intervinientes

Page 33: Contexto legal de la firma grafométrica - cecabank.es · La firma electrónica (simple) es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos,

EADTrust

European Agencyof Digital Trust

Firma vocal

1. Constancia de la prestación del consentimiento del firmante respecto de un documento por su propia voz y vinculación de la evidencia con el documento

2. Resistencia a simulaciones de voz pregrabadas y sintetizadores de voz por posibles suplantadores

3. Simetría probatoria. Disponibilidad del documento para el firmante de forma inmediata y de los medios de prueba a un coste semejante al que tendría en papel la prueba sobre una firma.

4. Soporte duradero. Persistencia del documento para que las partes puedan probar la identidad de los firmantes y el contenido del documento en cualquier momento futuro.

5. Posibilidad de comprobar la firma vocal y el contenido del documento por el firmante de forma sencilla, con una versión degradada de lo pronunciado por el firmante.

6. Imposibilidad de extraer la voz grabada en alta calidad por parte de la entidad que aplica la tecnología y de incrustar la firma vocal en otros documentos

7. Posibilidad de comparar la voz grabada en alta calidad con otras indubitadas en un contexto forense y de resolución de controversias.

8. Posibilidad de generar documentos híbridos, en papel y electrónicos.9. Disponibilidad de información para los firmantes o sus representantes legales respecto a la

forma de aportar la prueba y analizarla en un contexto litigioso.10. Protección de la información conforme a la LOPD. Existencia de un procedimiento de

detección y notificación a la autoridad de protección de datos de incidentes de seguridad que afecten a datos de carácter personal.

Page 34: Contexto legal de la firma grafométrica - cecabank.es · La firma electrónica (simple) es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos,

EADTrust

European Agencyof Digital Trust

Firma electrónica avanzada mediante voz

• En una llamada comercial se informa al cliente sobre la posibilidad de contratar un producto o servicio.

• Una vez da su consentimiento, el firmante es transferido al sistema de firma.

• El sistema guía al firmante en la recogida de la información necesaria para llevar a cabo la firma.

• La grabación de voz, junto con los parámetros biométricos de ésta, son incrustados en un documento PDF, cifrados, y vinculados con un sello de tiempo.

• El resultado es un documento digital con una firma electrónica avanzada vocal que aporta simetría probatoria, ya que cada parte conserva su copia.

• La copia de cada interviniente puede ser aportada en una controversia y si existe duda sobre la autoría de la firma puede ser cotejada por un perito.

Page 35: Contexto legal de la firma grafométrica - cecabank.es · La firma electrónica (simple) es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos,

EADTrust

European Agencyof Digital Trust

Datos de contacto

¿Preguntas?

Wednesday, November 2, 201635© European Agency of Digital Trust

@julianinza

[email protected]

http://www.eadtrust.net