¿Qué es el reglamento eIDAS?
El reglamento de identificación electrónica, autenticación y servicios de confianza entró en vigor en la Unión Europea el 1 de julio de 2016. Se creó para normalizar la normativa sobre firmas y transacciones electrónicas. Legalmente, se conoce como Reglamento de la UE nº 910/2014.
el eIDAS es el sustituto de la Directiva de 1999 sobre la firma electrónica. Garantiza que todos los Estados miembros cumplan las mismas normas y reglamentos. El eIDAS se diseñó para corregir cualquier incoherencia, reducir las dudas y fomentar la confianza entre los mercados internos en lo que respecta a las firmas y transacciones electrónicas. El objetivo era garantizar que los documentos electrónicos con firma electrónica fueran reconocidos y aceptados en todos los Estados miembros de la UE.
¿Qué cubre el reglamento eIDAS?
En comparación con la Directiva sobre firmas electrónicas de 1999, el eIDAS es más amplio. Además de la firma electrónica, el reglamento eIDAS también abarca la identificación electrónica, la entrega, los servicios de archivo y la autenticación de sitios web.
el eIDAS estipula un conjunto estandarizado de normas relacionadas con la identificación electrónica y los servicios de confianza.
Identificación electrónica
En el ámbito del capítulo de la identificación electrónica, el eIDAS ofrece orientación para garantizar que la identificación electrónica sea reconocida en todos los Estados miembros de la UE.
Servicios fiduciarios
La Directiva sobre firmas electrónicas de 1999 se centró principalmente en las firmas electrónicas y sus certificaciones.
El reglamento eIDAS incluye un capítulo sobre servicios de confianza que proporciona una mayor estandarización en relación con los servicios de confianza para la autenticación y las firmas, incluyendo:
- Firmas electrónicas
- Certificados para firmas electrónicas
- Sellos electrónicos
- Sellos de tiempo
- Autenticación del sitio web
- Servicios de entrega electrónica certificada
Los proveedores de servicios fiduciarios cualificados deben cumplir los requisitos definidos por el Estado miembro y son identificables mediante la marca de confianza estándar de la UE.
¿Cuáles son las ventajas del reglamento eIDAS?
Con la Directiva sobre la firma electrónica, faltaba uniformidad en toda la UE. Cada país tenía su propia interpretación del sistema. Esto significaba que los niveles de seguridad y autenticación requeridos eran muy variados.
el eIDAS presenta un conjunto de directrices que benefician tanto a las empresas como a los ciudadanos, entre otras cosas:
- Mayor confianza en las transacciones en línea y electrónicas
- Reconocimiento de la identificación electrónica en todos los Estados miembros
- Proceso más rápido y racionalizado para las transacciones transfronterizas
- Normativa coherente sobre la firma electrónica en toda la UE
¿A quién afecta el eIDAS?
Cualquier persona que realice transacciones electrónicas utilizando firmas electrónicas en la UE está cubierta por el reglamento eIDAS. Esto hace posible que las empresas y los consumidores realicen sus transacciones sin tener que estar físicamente presentes.
Aunque los consumidores que realizan transacciones electrónicas deben conocer la normativa, la carga del cumplimiento recae generalmente en el proveedor de servicios de confianza.
eSignature Legality Guide
Learn the facts about electronic signature laws and local regulations that govern digital identities and digital certificates for e-signatures among EU member states and around the world.
Read More
¿Qué se considera una firma electrónica según el reglamento eIDAS?
Las firmas electrónicas en el marco del eIDAS incluyen cualquier dato en forma electrónica que se adjunte a otros datos en forma electrónica, o que esté lógicamente asociado a ellos, y que sea utilizado por el firmante para firmar. No se exige el uso de un tipo específico de tecnología para calificar una firma electrónica en el marco del eIDAS.
el eIDAS define tres niveles de garantía para la identificación: bajo, sustancial y alto. Asimismo, el eIDAS ha establecido tres categorías de firmas electrónicas:
- Firmas electrónicas
- Firmas electrónicas avanzadas
- Firmas electrónicas cualificadas
Aunque todas son válidas como firmas electrónicas, el tipo de firma afecta a la cantidad de pruebas que se requieren para demostrar que la firma es auténtica.
Estas son las principales diferencias entre los tres tipos de firmas.
Tipos de firmas electrónicas
La firma electrónica es ante todo un concepto jurídico. En general, se trata de tener un registro duradero de la intención del firmante. Una firma digital es diferente de una firma electrónica. La firma digital se refiere a la tecnología de encriptación utilizada en las aplicaciones de negocio electrónico y comercio electrónico, incluidas las aplicaciones de firma electrónica.
La firma electrónica se considera una firma electrónica básica o simple. Puede ser un nombre mecanografiado o una copia de una firma manuscrita. Dado que este tipo de firmas pueden ser falsificadas, el tribunal puede exigir más pruebas adicionales para demostrar que la firma es auténtica.
Firmas electrónicas básicas o simples
La firma electrónica básica es tecnológicamente neutra. Es decir, cualquier forma o proceso electrónico es generalmente aceptado siempre que la firma electrónica resultante cumpla tres requisitos básicos para firmar. Los requisitos para una firma electrónica son que la firma debe ser:
- Utilizado por la persona asociada a la firma
- Utilizado de manera que demuestre la intención del firmante
- Asociado al documento o a los datos que el firmante pretendía firmar
Firmas electrónicas avanzadas (AES)
Una firma electrónica avanzada va más allá de la firma electrónica básica al vincular la autenticación a la firma y al documento. Esto mitiga el riesgo en las transacciones comerciales al proporcionar pruebas adicionales que pueden utilizarse para verificar la autenticidad de la firma.Es más difícil de falsificar y el tribunal puede exigir menos pruebas para demostrar la intención y la autenticidad de la firma.
Además de los requisitos necesarios para una firma electrónica simple, una firma electrónica avanzada debe ser:
- Vinculado de forma exclusiva a la persona que utiliza la firma
- Capaz de identificar al firmante
- Creado de manera que el firmante esté seguro de que está bajo su control exclusivo
- Vinculado al documento, para que cualquier cambio realizado posteriormente sea identificable
Para el uso de la firma electrónica, la mayoría de las empresas y bancos optan por la firma electrónica avanzada como forma estándar de firma electrónica. Al incluir la garantía de autenticación integrada, aumenta la seguridad sin afectar a la experiencia del cliente.
Firma electrónica reconocida (FEC)
El término "firma electrónica reconocida" se basa en la normativa eIDAS, pero es similar a muchas otras leyes de todo el mundo que exigen un certificado emitido por una organización acreditada.
La firma electrónica cualificada OneSpan es una firma electrónica avanzada que también requiere un certificado digital personal además de todos los demás requisitos estándar. El certificado digital es una credencial de identidad electrónica segura, personal y única que debe ser emitida al firmante en una forma que pueda mantener bajo su control.
Además de los requisitos de la firma electrónica y de la firma electrónica avanzada, una firma electrónica cualificada debe ser:
- Creada con un dispositivo de creación electrónica o de creación de firmas cualificado
- Respaldado por un certificado cualificado (emitido por un proveedor de servicios de confianza cualificado; un ejemplo sería itsme en Bélgica)
Como una firma electrónica avanzada, se reconoce como equivalente a una firma manuscrita. Sin embargo, si se impugna en un litigio, este tipo de firma no requiere ninguna prueba adicional por parte del tribunal, según el artículo 25 del eIDAS.
La firma electrónica cualificada invierte la carga de la prueba que normalmente se produce durante una transacción digital. En el caso de las firmas electrónicas simples y de las firmas electrónicas avanzadas, corresponde a la organización que inicia la transacción autenticar al firmante. Pero, con una firma electrónica cualificada, el firmante debe presentar el certificado digital utilizado para autenticarse.
En la práctica, otras formas de firma electrónica pueden ser impugnadas en procedimientos judiciales y la organización que inicia la transacción puede tener que demostrar al tribunal que es fiable y original; en definitiva, que tiene efectos legales. Aunque algunos países pueden favorecer la admisibilidad de las firmas electrónicas basadas en certificados digitales, no pueden negar la admisibilidad del documento firmado ante los tribunales únicamente porque la firma tenga la forma de una firma electrónica básica o avanzada.
¿Qué tipo de firma debe utilizar en el marco del eIDAS?
El tipo de firma que debe utilizar depende del tipo de transacción y del nivel de riesgo (por ejemplo, riesgo de autenticación, riesgo legal, riesgo de cumplimiento, riesgo de adopción, etc.) que su organización esté dispuesta a asumir. Según el libro blanco eIDAS and E-Signatures: A Legal Perspective, si la ley no especifica que sea necesaria una firma electrónica cualificada para que un documento sea legal, puede bastar con una firma electrónica avanzada.
Escuche de primera mano a una organización europea, P&V Insurance en Bélgica, sobre su caso de uso y cómo su equipo legal tomó la decisión de adoptar la firma electrónica avanzada en lugar de la firma electrónica cualificada. Para P&V Insurance, la cuestión era: ¿cómo elegir el tipo de firma electrónica adecuado para cada caso de uso? El caso de uso inicial son las solicitudes de seguros de vida, un proceso de bajo riesgo en el que los requisitos de cumplimiento son mínimos.
"La solicitud de seguro no tiene el mismo nivel de riesgo que la póliza, por lo que basta con una firma electrónica avanzada. Sin embargo, en el caso de los documentos que necesitan una fuerte fuerza legal, como la propia póliza o el formulario de cambio de beneficiario, necesitamos firmas electrónicas cualificadas o incluso firmas de tinta para cumplir con la normativa", dice Marc Lucion, director de proyectos de TI.
Según el asesor general de la aseguradora, "aconsejamos a la empresa que utilizara firmas electrónicas cualificadas (con identificación electrónica y PIN emitidos por el gobierno) al menos para determinados actos o contratos en función del riesgo, la sensibilidad o el importe. Sin embargo, también estuvimos de acuerdo en que las firmas electrónicas avanzadas (con autenticación y código de acceso único por SMS) eran legalmente suficientes para la mayoría de las solicitudes de seguros. En todos los casos, los documentos firmados electrónicamente debían conservarse y archivarse en nuestros sistemas". Lea más en este caso práctico: P&V Insurance sienta las bases de la firma electrónica empresarial.
En resumen
el eIDAS resuelve la incoherencia de las transacciones electrónicas en todos los Estados miembros de la UE. Aunque pueda parecer complejo, al establecer un conjunto de normas básicas, el eIDAS ayuda a crear un entorno electrónico sin fisuras. La mayor confianza en los procesos electrónicos fomentará un crecimiento económico y social más rápido a largo plazo en toda la UE. Como empresa, es importante que se familiarice con el eIDAS y se asegure de que su organización cumple la normativa.
La solución de firma electrónica de OneSpan, OneSpan Sign, admite todos los tipos de firma según la normativa eIDAS. Obtenga más información sobre cómo OneSpan Sign está diseñado para cumplir los requisitos de firma electrónica en los países que han promulgado leyes de firma electrónica.
Para obtener más información sobre la ley de firma electrónica, y la eficacia legal y la aplicabilidad de la firma electrónica para sus transacciones comerciales o con un tipo específico de acuerdo o contrato, visite nuestra guía de legalidad de la firma electrónica y consulte a su asesor jurídico.