eIDAS: Tipos de firma electrónica. Firma Biométrica

eIDAS: Reglamento de firma electrónica en la Unión Europea

El Parlamento Europeo y el Consejo de la Unión Europea aprobaron el 23 de Julio de 2014 el Reglamento Nº 910/2014 (eIDAS), para crear un marco regulatorio ante el vacío legal que generan las nuevas tecnologías y dotarlas de una mayor confianza. Esta ley deroga a la anterior directiva establecida 15 años antes (Directiva 1999/93/CE), la cual ya establecía un estándar comunitario para las firmas electrónicas.

El 29 de septiembre de 2018 entró en vigor la obligación de reconocimiento mutuo de identidades electrónicas. A partir de aquí todos los servicios públicos online que usen una identificación electrónica con un nivel alto tienen que aceptar los sistemas de identificación electrónica de otros países europeos. 

Se fomenta así la confianza de pymes y consumidores para incrementar el uso de servicios y productos de identificación, eliminando todas las barreras a la hora de realizar pagos online seguros entre los distintos países de la UE.

Además de la Firma Electrónica, también se crea este marco regulatorio para servicios de confianza como los de sellado y marcado de tiempo, correo electrónico certificado, documentos electrónicos o certificados para autenticación de sitios web.  

Por todo ello, el reglamento eIDAS tiene un carácter muy riguroso en cuanto al manejo de datos personales, ya que es el punto clave que genera una confianza plena en las nuevas tecnologías permitiendo usar los datos identificativos exclusivamente para prestación del servicio explícito que se solicita. 

Tipos de firma electrónicas reconocidas por eIDAS

La firma electrónica es uno de los aspectos que adquieren mayor relevancia dentro del reglamento debido a su uso masivo, su transversalidad a múltiples sectores y a que gracias a la firma electrónica evitamos la suplantación de identidad y el uso de papel.

El eIDAS clasifica las firmas electrónicas en tres tipos, adaptándose cada una a las distintas necesidades de los clientes finales:

• Firma Electrónica,
• Firma Electrónica Avanzada (la firma biométrica se considera avanzada) y
• Firma Electrónica Cualificada,

Para valorar la idoneidad de cada una de ellas, podemos considerar los siguientes parámetros:

• Identificación, certeza de identificación del firmante
• Seguridad en cuanto a Manipulación, confirmación de que el archivo no ha sido manipulado “a posteriori”
• Experiencia de Usuario, usabilidad que favorezca al uso de esta tecnología.
• Autenticación, verificación de que ha sido creada por el firmante. 

Firma Electrónica

Se consideran como Firma Electrónica a todas aquellas firmas mediante las cuales un firmante acepta las condiciones del documento que esta firmando. Se puede realizar a través de un esbozo de nuestra firma mediante nuestro ordenador, un botón aceptando las cláusulas de un contrato, una casilla de aceptación de derechos, etc.

En la firma electrónica no es obligatorio que la firma o la aceptación del firmante se identifique con la identidad de una persona. Además se crea bajo el único control del firmante, sin que exista algún tipo de control ya sea del dispositivo utilizado, de certificado o sistema.

La manera de verificar la identidad del usuario que firma se realiza en ocasiones a través de la cuenta de correo electrónico utilizada para enviar el documento firmado. Aún así, no hay manera de saber quién ha firmado ese documento realmente.

Firma Electrónica Avanzada

La Firma Electrónica Avanzada ofrece mayor nivel de seguridad que la firma electrónica y logra el equilibrio perfecto entre seguridad y usabilidad, otorgando además una gran experiencia de uso y validez legal. 

Una firma electrónica Avanzada debe cumplir con todos los requisitos establecidos en el Artículo 26 del Reglamento eIDAS:

1. La firma ha de estar vinculada de manera única a la persona que firma.
2. Debido al proceso de creación de esta firma, debe permitir la identificación del firmante.
3. Gracias a la utilización de datos de creación de firma electrónica, la firma se puede crear con un alto nivel de confianza bajo control exclusivo del firmante. 
4. La firma electrónica avanzada tiene que estar vinculada con los datos firmados por la misma de modo tal que cualquier modificación ulterior de los mismos sea detectable.

Las autoridades competentes en los Estados miembros usan diferentes formatos de firma electrónica avanzada para firmar electrónicamente. Sin embargo, es necesario que éstos puedan soportar técnicamente al menos una serie de formatos de firma electrónica avanzada cuando reciban documentos firmados.

Firma Electrónica Cualificada

A pesar de ser el tipo de firma electrónica con mas fuerza legislativa dentro de la UE, nunca ha llegado a extenderse su uso de manera masiva por su falta de usabilidad y su dependencia de dispositivos hardware.

A la hora de la realización de la firma los usuarios necesitan disponer de un certificado cualificado de firma electrónica, además de un dispositivo de creación de firma cualificada, que deben cumplir con unos requisitos.

El proceso de validación de una firma electrónica cualificada confirmará la validez de la firma siempre que el certificado cualificado sea emitido por un prestador de servicios de confianza en el momento de la firma y sea válido, la firma electrónica se haya creado mediante un dispositivo cualificado de creación de firmas electrónicas y la integridad de los datos no se haya visto comprometida.

Debido a tal necesidad de requerimientos el uso de la firma electrónica cualificada queda principalmente reservada a trámites y solicitudes con las administraciones públicas.

Firma biométrica como Firma Electrónica Avanzada

La firma biométrica capturada con procedimientos basados en la tecnología MobbSign, que recoge en forma electrónica datos biométricos únicos de cada individuo para asociarlos de forma segura al contenido de un documento electrónico o PDF, reúne los requisitos legales para ser considerada como firma electrónica avanzada, en los términos definidos por el artículo 26 del eIDAS, ya que permite identificar de manera inequívoca al firmante y si el documento ha sufrido cambios posteriores.

Mobbeel ayuda a sus cliente en la transformación digital de sus modelos de negocio, llevando al mercado tecnologías como la firma biométrica con plena validez legal y la identificación digital en procesos de onboarding digital o mediante reconocimiento biométrico.

Algunas de las ventajas de utilizar MobbSign, nuestra solución de firma biométrica son:

• MobbSign permite a los usuarios la versatilidad de firmar un contrato en cualquier lugar y situación, incluso en lugares sin conexión ya que el proceso es totalmente offline, lo que dota a a la firma de más seguridad al no disociar la firma del documento ni tener que viajar a ningún servidor evitando que un usuario malintencionado la pueda interceptar.

• Se trata de tecnología contactless. Nuestra solución de firma biométrica permite visionar un documento PDF en la pantalla del móvil del usuario, y firmarlo utilizando su propio dispositivo, sin necesidad de contacto físico con las demás partes. Desde la entrada del coronavirus se ha incrementado la necesidad de este tipo de tecnología para prevenir el contagio.

• Nuestro sistema de cifrado del documento firmado, evita la modificación ulterior que pueda sufrir el documento ya sea la manipulación de la firma, o de la información general del documento, lo que asegura la integridad completa del documento. Además se puede implementar un sellado de tiempo bajo un tercero de confianza.
• Nuestra firma biométrica recoge datos inherentes a cada persona a la hora de realizar una firma y que la asocia directa e inequívocamente a esta. Los datos biométricos extraídos son tales como el tiempo, la posición, la presión en cada punto, el número de trazos realizados, por dónde empieza y termina la firma, velocidad en los ejes X e Y, velocidades angulares, comparativa de trazos, etc. Además, la información biométrica de la firma se almacena según el estándar ISO 19794-7 para facilitar la interoperabilidad futura de esos datos con herramientas de verificación.
• La integración de la geolocalización permite integrar en el documento las coordenadas GPS de donde se realizó la firma, otorgando otra capa extra de seguridad a la hora de identificar la persona con la firma realizada.

Si estás interesado en conocer más en profundidad lo que nuestra tecnología de digitalización de firma a través de firma biométrica puede hacer para verificar la identidad online de tus clientes, no dudes en ponerte en contacto con nosotros!