La clave está en las evidencias jurídicas de la firma electrónica

Este artículo también está disponible en francés, alemán e inglés.

Recientemente ha tenido bastante repercusión una sentencia de un tribunal de Lleida que ha determinado que un documento firmado a través de una de las grandes compañías de firma electrónica no era admisible. Esta sentencia, lejos de poner en duda todos los sistemas de firma electrónica, es un claro ejemplo de algo en lo que desde Validated ID siempre insistimos: el valor de las firmas electrónicas reside en las evidencias obtenidas durante el proceso de firma y la capacidad de defenderlas en un eventual litigio.

Antes de analizar el caso concreto, merece la pena recordar que existen diferentes tipos de firmas electrónicas más allá de las definiciones legales de firma simple, avanzada o cualificada (o sus denominaciones equivalentes en las diferentes legislaciones mundiales). Así, encontramos productos y servicios de firma digital “tradicionales” basados en el uso de certificados digitales (centralizados o locales), sistemas de firma electrónica manuscrita (firma biométrica) o servicios de firma basados en la recolección de evidencias (firma remota). En cada uno de estos tipos de firma el peso jurídico se centra en aspectos diferentes y la práctica de la prueba también es diferente en cada caso, por lo que consideramos que intentar “encorsetarlas” todas en los conceptos de firma simple, avanzada o cualificada es un error, ya que, salvo la citadísima pero escasamente usada firma cualificada, el 99% de las firmas que se hacen en la práctica son firmas que llegado el momento tendremos que probar.

El caso concreto que analizamos corresponde al  tipo de firma basada en la recolección de evidencias o como nos gusta denominarlo a nosotros, firma remota, que se basa en la creación de una bitácora de evidencias que van ocurriendo durante el proceso de firma, de forma que, si en algún momento se pone en duda, se puedan extraer las pruebas  y analizarlas para determinar si realmente podría atribuirse esa firma a una persona o no. En el fondo, es la forma habitual de proceder en Derecho: en un proceso judicial, las partes siempre tendrán que hacer valer sus pretensiones a partir de pruebas (evidencias). Si queremos demostrar que se ha cometido una infracción o por el contrario que se ha actuado conforme a la ley debemos aportar  pruebas que refuercen o avalen nuestras tesis.

El problema en el caso de esta sentencia judicial  es que las evidencias que se recogen en el proceso son pocas, poco concluyentes y, según se deduce de la sentencia, ni tan siquiera se presentan adecuadamente en el proceso judicial. En cualquier litigio  se pueden presentar las pruebas que se estimen oportunas para determinar qué ha sucedido algo (en este caso que el cliente prestó su consentimiento en una contratación). Si estas evidencias se limitan únicamente a que se ha enviado un email a una cuenta de correo y que alguien ha hecho click en un botón que dice firmar es muy difícil demostrar la autoría.

En el caso de VIDsigner Remote, el email es sólo el inicio, es una evidencia más, pero no la única ni la más fuerte: en nuestro caso se recoge el email, el momento exacto de tiempo con un servicio de time stamping cualificado, la IP del firmante, su geolocalización (si el firmante acepta expresamente), su entorno tecnológico (SO, navegador), recibe  un SMS con un código único (a su teléfono móvil personal) y finalmente debe realizar su firma  que, aun no siendo tampoco una evidencia tan fuerte como la del SMS sí aporta ciertas presunciones (en el servicio de firma que se analiza en la sentencia de forma genérica el firmante puede decidir no hacer rúbrica, simplemente elegir una fuente tipográfica que se asociará a su nombre y/o iniciales). El valor jurídico está por tanto no en el email, ni en la rúbrica, ni siquiera en el SMS, sino en todo el conjunto de evidencias que plasmamos en un reporte que Validated ID entrega  al cliente para que pueda defenderlo llegado el momento.

Por tanto, la clave no reside en el modelo de firma que se analiza, que podemos calificar de firma por evidencias, sino en su implementación y, sobre todo, en la cantidad y calidad de evidencias que se recogen en el proceso. La sentencia considera que los métodos elegidos durante el proceso no son suficientes para acreditar la autenticidad de la identidad del firmante. 

En otras palabras, el juez, en el caso que nos ocupa, específica que  corresponde a la parte que la defiende demostrar su validez y que , no se aportaron más evidencias que la dirección IP del firmante

Esto último nos lleva a analizar otra diferencia fundamental de VIDsigner respecto a otros servicios en apariencia similares y es que, aparte de que el sistema de Validated ID es  muy escrupuloso con la cantidad y calidad de evidencias que se recogen en el proceso, en caso de tener que demostrar una firma realizada siempre garantiza  el acompañamiento y asesoramiento legal más adecuado al cliente.

las evidencias jurídicas de la firma electrónica
Validated ID Team