Póngale la firma (digital)

Por segurosaldia.com junio 30, 2005 21:39

El completo seminario sobre Firma Digital organizado por el IT Interest Group de la Cámara de Comercio Argentino-Británica buscó concientizar sobre los beneficios de la utilización de esta herramienta.

Jorge Bacher, socio de PricewaterhouseCoopers abrió con los motivos de por qué era importante el evento: “Actualmente están más presentes los temas de transparencia, la buena informática, la información más eficiente, y la mejora de los procesos”. Y claro, para todo eso, no hay nada como la firma digital.

Y para explicar por qué la firma digital contribuye a esos objetivos, los invitados fueron Gustavo Bricchi, Gerente de Gestión de la Información de la Superintendencia de Entidades Financieras y Cambiarias (SEFyC); la Dra. Mercedes Rivolta, Coordinadora de la Comisión Técnica de Firma Digital del Ministerio de Justicia y Derechos Humanos; Stephen Mason, abogado inglés especialista en firma electrónica; el Ingeniero Pablo Anselmo, Gerente de PricewaterhouseCoopers; y el Dr. Horacio Granero, socio de Allende & Brea.

La firma digital, según la definió Anselmo, “es el resultado de aplicar a un documento digital un procedimiento matemático que requiere información de exclusivo conocimiento del firmante, encontrándose dicha información bajo su absoluto control”. Pero, aclaró, “la firma digital no implica que el mensaje esté encriptado, sólo se adjunta al texto”.

En la Argentina, la firma digital encuentra su marco legal en la ley 25.506. Como explicara Rivolta, “establece la validez del documento digital, la validez de la firma electrónica y la semi validez de la firma digital”. Se puede utilizar en contratos entre partes, y es un fuerte mecanismo de autenticación y de seguridad informática. Existen otras normas, como los decretos 2628/02, 1023/01 y 427/98. Este último regula “el empleo de la firma digital en la instrumentación de los actos internos, que no produzcan efectos jurídicos individuales en forma directa, que tendrá los mismos efectos de la firma ológrafa”, y designa a la Secretaría de la Función Pública, dependiente de la Jefatura de Gabinete de Ministros, como autoridad de aplicación del decreto.

Específicamente para el ámbito del Banco Central, existe la comunicación A 4345, que acepta la utilización de la firma digital exclusivamente para la operatoria cambiaria. Al respecto, Bricchi comentó: “Los negocios van más adelante que la legislación. Esta comunicación surgió por un pedido de las entidades financieras de tener alguna facilidad tecnológica para poder concretar operaciones”, y agregó que “la comunicación no está muy bien redactada, se mezcla firma digital con firma electrónica”.

A pesar de la diversidad de normas, hay un largo trecho hasta que la firma digital se implemente en su totalidad. Rivolta explicó que “faltan normas técnicas para darle valor jurídico integral a la firma digital”. Tampoco se han denominado entidades certificantes privadas. Pero, sobre todo, los participantes adjudicaron esta brecha a una cuestión cultural, y por eso insistieron en la necesidad de educar y capacitar sobre el tema. Bricchi sostuvo: “A veces es difícil entender el concepto de firma digital. Faltan muchas generaciones hasta que esto esté implementado del todo”. Y planteó el interrogante sobre cómo se manejará la Justicia cuando se utilice la firma digital.

En el sitio de la Secretaría de la Función Pública se puede obtener un certificado digital (paso previo a la firma digital) en forma instantánea y gratuita. Pero, como advirtió Granero, aún esa firma no sirve legalmente, sino que es sólo “para probar”. ¿Quiere hacer la prueba? Ingrese a http://ca.sgp.gov.ar/eMail/principal.html

La encripción fue otro tema tratado; quien lo explicó claramente fue Anselmo. Definió los dos tipos de algoritmos de encripción que existen: el simétrico, en el que se utiliza la misma clave para encriptar y desencriptar el mensaje; y el asimétrico, donde las claves son diferentes (una pública y otra privada) pero están asociadas matemáticamente. El problema del primero es que, si al enviar el mensaje también se adjunta la clave para desencriptarlo, quien lo intercepte podrá “abrirlo”. En el caso del segundo, aunque es más seguro, se presenta el inconveniente de que el emisor debe distribuir su clave pública a todos aquéllos con quienes interactúa. Esto último se soluciona con el uso de certificados digitales y la creación de repositorios de certificados.

Pero surgen otros obstáculos, como la desconfianza natural en la certificación cuando el emisor es alguien desconocido. Para ello aparecen las autoridades certificantes, y entonces se da una suerte de “transferencia” de la confianza. Si la autoridad certificante demuestra confianza en el emisor, y el receptor a su vez se fía en la autoridad certificante, el receptor finalmente aceptará al emisor aunque no lo conozca.

Además, los certificados tienen vencimiento y puede verificarse su validez online en tiempo real. También cuentan con distintos niveles de seguridad, de acuerdo al uso que se le va a dar: si es para enviar e-mails será un nivel de seguridad más bajo que si se trata de un certificado para comerciar online. Estos niveles están acompañados de la forma de obtenerlos: así, para el primer caso se podrá obtener el certificado vía Internet, y para el último, el individuo deberá dirigirse personalmente a la entidad certificante.

Para Granero, los certificados deberán ser otorgados, además, por distintas entidades de acuerdo a la actividad para la que serán utilizados (profesional, personal, comercial, etcétera). Esas entidades, esos “terceros de confianza que certifican que soy quien digo ser”, como los definió el letrado, serán, por ejemplo, el Colegio de Abogados para esos profesionales; el banco del que uno es cliente; y/o el club donde la persona practica un deporte.

Por otra parte, Rivolta se refirió al tema del e-Procurement (las compras públicas realizadas por la vía electrónica). Explicó que en el Ministerio de Justicia ya se está utilizando la firma digital pero aún no se extendió ese uso a las compras. De todas maneras, es en el Ministerio donde existe la primera experiencia de e-Procurement a nivel de administración nacional en la Argentina.

Habló del impacto a nivel internacional del e-Procurement: mejora los regímenes de compra, permite el desarrollo de mercados regionales (ya que logra la participación de las empresas de todo el país), simplifica las presentaciones de las ofertas, otorga rapidez y seguridad a los procesos de compra, hace crecer la oferta y por lo tanto logra la disminución de los precios, y permite a la sociedad controlar directamente qué y cómo compra el Estado; esta transparencia, a su vez, implica mejor gobernabilidad.

También enumeró las condiciones de un buen sistema de e-Procurement: debe ser operable por no expertos (por ejemplo, los proveedores), debe ser accesible por Internet sin necesidad de instalar elementos adicionales, implica cambios en la operación de compras (es decir, no reproducir lo que se hace en papel al sistema electrónico), requiere gerentes públicos con espíritu de cambio, demandar un fuerte liderazgo político, y exige trabajar con grupos interdisciplinarios.

Una de las bondades principales de este sistema es el significativo nivel de ahorro estimado a nivel internacional: en gastos de transacciones, un 12%, y en cuanto a precios, entre el 5% y el 25%. “Nosotros calculamos que si el Estado hubiese implementado el sistema de e-Procurement antes, entre 2001 y 2005 habría ahorrado $981 millones”, señaló Rivolta.

El sistema utilizado por el Ministerio de Justicia fue donado por el Banco Provincia de Buenos Aires y adaptado a las necesidades del organismo. Cuenta con tres módulos: el de difusión de pliegos (que mejora la calidad de los pliegos porque los participantes pueden verlos y criticarlos para perfeccionarlos), el de compras programadas, que establece el sistema de subasta inversa (donde los oferentes pujan para bajar los precios), y el de oferta permanente. Se puede ingresar al sistema a través de la siguiente dirección: http://sisofer.jus.gov.ar.

A abril de 2005, los resultados son bastante impresionantes: se realizaron 200 subastas inversas, se obtuvieron 831 ofertas y se concretaron operaciones por más de $1 millón, principalmente para la adquisición de bienes estandarizados –especialmente elementos de informática–, artículos de librería y maquinarias.

El invitado de honor, Stephen Mason, basó su exposición en la normativa que rige la firma digital en el territorio del Reino Unido.

Las normas principales en materia de firma digital son el Electronic Communications Act del año 2000 y la norma administrativa Electronic Signatures Regulations de 2002; ambas fueron dictadas en conformidad con la Directiva de Firma Electrónica de la Unión Europea.

Para la legislación británica, lo principal es que no importa la forma de la firma sino su intención. Incluso desde antes de la sanción del Electronic Communications Act, en el Reino Unido se aceptan como firmas la marca de cruz (cuando se trata de alguien que no puede escribir su nombre), el uso del nombre impreso, la firma impresa, el sello o las marcas mecánicas (télex, fax o e-mail).

El Electronic Communications Act establece que cualquier firma electrónica o certificación sobre esa firma es admisible como prueba en cualquier procedimiento legal, para comprobar la autenticidad y la integridad de la comunicación o datos electrónicos a los que se adjunta. Esa firma “es aplicable a los documentos electrónicos donde es incorporada o asociada con cualquier comunicación o data electrónica; y su propósito es asociarla para poder usarla estableciendo la autenticidad de la comunicación o data, la integridad de la comunicación o data, o ambas”.

Según Mason, existen varios formatos de firma electrónica aceptados en todo el mundo: el nombre tipeado en un e-mail o documento electrónico, el click sobre el ícono “Acepto” o “Estoy de acuerdo” (por ejemplo, al aceptar condiciones al bajar software); el número de identificación personal (PIN), particularmente al utilizar tarjetas de crédito; la firma escaneada; la medida biométrica; y la firma digital (o firma criptográfica), que es la más compleja. Las últimas dos todavía no son muy utilizadas. La más popular es el nombre tipeado dentro de un mail, “probablemente porque este tipo de firma electrónica es simple al uso y muy precisa, así como se relaciona con el mundo físico en el que vivimos”, explicó Mason.

El abogado inglés especificó que si una parte confía en usar una firma electrónica y la otra se niega, será quien confía en la firma la que debe probar que ésta no es una falsificación.

Por otra parte, señaló que por el momento existen muy pocas querellas sobre firma electrónica alrededor del mundo. Los casos principales son dos casos americanos de 2001 y 2004 que aceptan que el nombre tipeado es firma electrónica; y uno de Alemania de 2003 que establece que la dirección de e-mail no es firma electrónica.

Para cerrar, Mason subrayó la importancia de conocer las leyes sobre firma digital de otros países o jurisdicciones al hacer negocios con ellos.

Las principales conclusiones del seminario fueron que la firma digital es una de las mejores medidas de seguridad de la información, que sirve para mejorar y hacer más eficientes los procesos, y que no requiere de altos conocimientos técnicos. Pero a la Argentina todavía le falta recorrer un largo camino para firmar su pacto de confianza.

Frida Stecher

NORMATIVA

Ley 25.506
Decreto 427/98
Decreto 1023/01
Decreto 2628/2002
COMUNICACIÓN «A» 4345 BCRA
Electronic Communications Act 2000
Electronic Signatures Regulations 2002
DIRECTIVA 1999/93/CE

Por segurosaldia.com junio 30, 2005 21:39