300 likes | 475 Views
La signatura electrònica a l’Administració Oberta. Nacho Alamillo Director jurídic CATCert Grup Directiu de la Iniciativa Europea de Normalització de la Signatura Electrònica (ICTSB) Grup Directiu de Seguretat de les Xarxes i la Informació (ICTSB). Marc normatiu de la signatura electrònica
E N D
La signatura electrònica a l’Administració Oberta Nacho Alamillo Director jurídic CATCert Grup Directiu de la Iniciativa Europea de Normalització de la Signatura Electrònica (ICTSB) Grup Directiu de Seguretat de les Xarxes i la Informació (ICTSB)
Marc normatiu de la signatura electrònica La signatura electrònica: tipus i reconeixement jurídic Les aplicacions d'ús de la signatura electrònica a l’Administració Oberta Índex
Unió Europea Estat espanyol Catalunya Marc normatiu de la signatura - 1
Unió Europea Directiva 1999/93/CE, de 13 desembre, per la que s’estableix un marc comunitari per a la signatura electrònica Decisió 2000/709/CE, de 6 de novembre, sobre criteris per designar els organismes d’avaluar la conformitat dels productes de signatura-e Decisió de 14 de juliol de 2003, sobre normes de productes de signatura amb reconeixement general Marc normatiu de la signatura - 2
Estat espanyol (Marc legal general) Nova Llei de Signatura Electrònica, de 19 de desembre de 2003 Substitueix el Real Decreto-Ley 14/1999, de 17 septiembre, de firma electrónica Fa inaplicable, a la pràctica, la Orden de 21 de febrero de 2000 Principals novetats: signatura electrònica reconeguda, tractament del document electrònic, certificats de persones jurídiques, DNI-e Marc normatiu de la signatura - 3
España (marcs sectorials) Ús de la signatura a la AGE Conjunt d’ordres ministerials, especialment Hisenda, per aprovar procediments amb la signatura basada en certificat FNMT (àmbit AEAT i altres) Altres Ministeris, com Economia, utilitzaven signatura electrònica ordinària (usuari i contrasenya), enlloc de certificat Aquest monopoli ha estat alliberat per Ordre HAC/1181/2003, de 12 de maig, obrint la porta a tots els certificats de qualitat, i no només a FNMT L’Ordre PRE/1551/2003, de 10 de juny, imposa la signatura-e avançada a tots els tràmits amb registre i notificació Factura telemàtica La factura és vàlida amb una signatura avançada, sense altres requeriments formals Tots han d’acceptar una factura signada digitalment, fins i tot impresa (signatura en codi de barres) Marc normatiu de la signatura - 4
España (marcs sectorials) Notaris i Registradors Llei 24/2001 – porta el concepte de la “seguretat jurídica preventiva” als procediments per vies telemàtiques Autoritat de Certificació del Consejo General del Notariado Autoritat de Certificació del Colegio de Registradores de España Utilitats: emetre qualsevol document amb garanties notarials i registrals amb la signatura electrònica, comunicacions entre professionals, registre de documentació comercial i administrativa, poders notarials en suport informàtic, accés telemàtic a certificacions registrals Marc normatiu de la signatura - 5
Reconeixement general: principi de no discriminació Reconeixement directe: principi d’equivalència funcional Signatura-e ordinària Signatura-e avançada Signatura-e reconeguda Tipus i reconeixement jurídic - 1
Reconeixement general: principi de no discriminació Les lleis de signatura estableixen la validesa legal de la signatura electrònica, a la que no es podrà negar efectes únicament pel fet de trobar-se en forma electrònica Això, però, no vol dir que es pugui utilitzar qualsevol signatura, en qualsevol entorn, sense suport jurídic addicional La normativa permet la construcció i operació de sistemes tancats d’usuaris i aplicacions, basats en contractes de signatura electrònica (signatura electrònica convencional o contractual) o normatives específiques de signatura electrònica (signatura electrònica normativa) Tipus i reconeixement jurídic - 2
Reconeixement directe: principi d’equivalència funcional Les lleis de signatura defineixen diversos tipus de signatura electrònica, donant efectes directes, ex lege, a un tipus que, per tant, es podrà emprar sense contracte previ entre las parts o sense normativa administrativa específica Per això s’anomena “signatura electrònica reconeguda”: es tracta d’una signatura funcionalment equivalent a la signatura escrita L’existència d’aquest reconeixement directe facilita l’ús de la signatura en l’àmbit de la documentació electrònica, amb subjecció al principi de legalitat Tipus i reconeixement jurídic - 3
Signatura-e “ordinària” Definició Art. 2.1 D 99/93: “Datos en forma electrónica adjuntos a otros datos en forma electrónica o asociados funcionalmente con ellos, utilizados como medio de autenticación” Art. 3.1 Llei 59/2003: “[...] conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante” Tots els mecanismes d’autenticació poden ser signatura electrònica ordinària El PIN El MAC La signatura digital Autenticació vol dir (normativa ISO): Identificació d’entitats Identificació d’origen de dades Tipus i reconeixement jurídic - 4
Signatura-e “ordinària” Efectes jurídics No se li ha de negar efectes jurídics ni admissibilitat judicial, “por el hecho de hallarse en forma electrónica, o no ser avanzada, o no estar basada en certificado reconocido, o por no haber sido producida empleando un dispositivo seguro de creación de firma” Art. 3.9 Llei 59/2003: “No se negarán efectos jurídicos a una firma electrónica que no reúna los requisitos de firma electrónica reconocida en relación a los datos a los que esté asociada por el mero hecho de presentarse en forma electrónica” Però se li poden negar efectes per altres motius: Que no sigui prou segura (concepte jurídic indeterminat) Que no garanteixi que hagi estat creada pel signatari Que sigui reproduïble No s’equipara directament a la signatura escrita, sinó que requereix una norma jurídica de legitimació Judicialment, la càrrega de la prova és del demandant (probatio diabolica) Tipus i reconeixement jurídic - 5
Signatura-e avançada Definició Art. 2.2 D 99/93/Art 2 b) RDL 14/99: “La firma electrónica que cumple las siguientes características: Estar vinculada al firmante de manera única Permitir la identificación del firmante Haber sido creada empleando medios que el firmante puede mantener bajo su exclusivo control Estar vinculada a los datos a los que se refiere de modo que cualquier cambio ulterior de los mismos sea detectable” Art. 3.2 Llei 59/2003: “La firma electrónica avanzada es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control” S’utilitzarà per a la factura telemàtica o pel ciutadà: idCAT Tipus i reconeixement jurídic - 6
Signatura-e avançada Efectes jurídics No se li ha de negar efectes jurídics ni admissibilitat judicial, “por el hecho de [...] no estar basada en certificado reconocido, o por no haber sido producida empleando un dispositivo seguro de creación de firma” Art. 3.9 Llei 59/2003: “No se negarán efectos jurídicos a una firma electrónica que no reúna los requisitos de firma electrónica reconocida en relación a los datos a los que esté asociada por el mero hecho de presentarse en forma electrónica” Però se li poden negar efectes per altres motius: Que no sigui prou segura (algorismes dèbils, programari de baixa qualitat) Que no garanteixi que hagi estat creada pel signatari (compromís de la clau) Que sigui reproduïble (atacs per força bruta) Tampoc no s’equipara directament a la signatura escrita, sinó que requereix una norma jurídica de legitimació Judicialment, la càrrega de la prova és del demandant (però ja no és diabòlica) i la norma de cobertura pot ajudar, establint presumpcions Tipus i reconeixement jurídic - 7
Signatura-e reconeguda Definició Art. 3.3 Llei 59/2003: “Se considera firma electrónica reconocida la firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma” Es la signatura-e que compleix les següents característiques: És una signatura electrònica avançada de qualitat Garanteix que ha signat una persona física Garanteix la possibilitat de visualització del document pel signatari Garanteix la prestació de l’aprovació i/o el consentiment És basa en un certificat reconegut, definit legalment: el certificat de c’advocats de l’ACA o el CPISR de CATCert Ha estat generada emprant un dispositiu segur de creació, definit legalment: per exemple, la targeta de l’ACA o de CATCert Tipus i reconeixement jurídic - 8
Signatura-e reconeguda Efectes jurídics S’equipara directament a la signatura escrita. Art. 3.4 Llei 59/2003: “La firma electrónica reconocida tendrá respecto de los datos consignados en forma electrónica el mismo valor que la firma manuscrita en relación con los consignados en papel” L’equiparació és ex lege, sense necessitat de norma jurídica de cobertura Document electrònic i signatura electrònica Nou tractament del document electrònic: art. 3.5, 3.6 i 3.7 “5. Se considera documento electrónico el redactado en soporte electrónico que incorpore datos que estén firmados electrónicamente. Tipus i reconeixement jurídic - 9
Document electrònic i signatura electrònica Nou tractament del document electrònic: art. 3.5, 3.6 i 3.7 “6. El documento electrónico será soporte de: a) Documentos públicos, por estar firmados electrónicamente por funcionarios que tengan legalmente atribuida la facultad de dar fe pública, judicial, notarial o administrativa, siempre que actúen en el ámbito de sus competencias con los requisitos exigidos por la Ley en cada caso. b) Documentos expedidos y firmados electrónicamente por funcionarios o empleados públicos en el ejercicio de sus funciones públicas, conforme a su legislación específica. c) Documentos privados. 7. Los documentos a que se refiere el apartado anterior tendrán el valor y la eficacia jurídica que corresponda a su respectiva naturaleza, de conformidad con la legislación que les resulte aplicable” Tipus i reconeixement jurídic - 10
Criteris jurídics per a l’ús Aplicacions al sector públic Les aplicacions de la signatura-e - 1
Criteris: Principi de legalitat Subjecta l’activitat de l’Administració L’anàlisi d’accions d’acord amb el principi de legalitat és previ a qualsevol altre tipus d’anàlisi Les accions derivades del principi de legalitat són obligatòries, encara que no hi hagi risc L’absència de frau no justifica la infracció del principi de legalitat El principi de legalitat incrementa el cost de la seguretat informàtica, apropant el cost de l’ús del PIN i de la signatura digital Estableix punts de connexió entre la Llei 30/92 i la normativa de signatura electrònica, referents a tipus de signatura i segell de data i hora També connecta amb la Llei Orgànica 15/1999, de protecció de dades de caràcter personal – identificació de la persona, consentiment Les aplicacions de la signatura-e - 2
Criteris: Principi de legalitat Art. 38.9 Llei 30/92: Registres Identificació de l’interessat – signatura electrònica Requeriments de disponibilitat, d’autenticitat, d’integritat, confidencialitat i conservació d’acord amb la norma de creació del registre Connectar amb la Llei 59/2003 Signatura electrònica del Registre d’entrada (còpia de la sol·licitud) Signatura electrònica del Registre de sortida Data i hora del registre – segell de data i hora Administración General del Estado: només signatura-e avançada basada en certificat reconegut X.509v3 d’acord amb la Llei (Ordre PRE/1551/2003, de 10 de juny) Les aplicacions de la signatura-e - 3
Criteris: Principi de legalitat Art. 45 Llei 30/92: Incorporació de mitjans tècnics Identificació i exercici de competència per l'òrgan – certificat CPISR de CATCert Documents EIT en qualsevol suport, o còpies d’originals – han de garantir la seva autenticitat, integritat i conservació Signatura electrònica del document, obligatòriament (art. 4 Llei 59/2003) Com a mínim, avançada, i millor reconeguda Versió impresa en codi de barres, per exemple Condicions addicionals per garantir la resta de requisits de l’article 45 Arxiu segur del document signat Les aplicacions de la signatura-e - 4
Criteris: Principi de legalitat Art. 59 Llei 30/92: Notificació Indicació del mitjà telemàtic com a preferent o consentiment exprés – signatura electrònica del ciutadà Acusament de rebuda o impossibilitat tècnica del mateix. Bústia virtual del ciutadà – accés amb certificat També les garanties del document que es notifica (identificació i signatura de l’òrgan), d’acord amb art. 45 Llei 30/92 i d’acord amb les garanties del Registre de sortida Les aplicacions de la signatura-e - 5
Criteris: Principi de legalitat Art. 70 Llei 30/92: Inici del procediment. Sol·licitud Identificació de l’interessat Signatura escrita o qualsevol altre mecanisme per acreditar l’autenticitat de la seva voluntat Signatura electrònica ordinària, per exemple, amb mecanismes addicionals de seguretat i control Idealment, signatura electrònica avançada o reconeguda Administración General del Estado: només signatura-e avançada basada en certificat reconegut X.509v3 d’acord amb la Llei (Ordre PRE/1551/2003) Les aplicacions de la signatura-e - 6
Criteris: Principi de legalitat Noves aplicacions: el RD 263/1996, després de la reforma del RD 209/2003 Expedició de certificats digitals – amb signatura-e avançada del certificat, i de la sol·licitud del mateix Comunicacions de dades – interconnexió entre AA.PP a efectes de cedir dades de ciutadà, objecte de possible certificació. Signatura-e avançada de l’Administració comunicant “Dirección electrónica única” – amb signatura electrònica avançada del ciutadà Les aplicacions de la signatura-e - 7
Criteris: Principi de legalitat Impacte en el sector privat Les normes imperatives de dret privat regeixen el nivell de signatura requerit La signatura com requisit de norma dispositiva No és un veritable requisit, sinó una “forma útil” Aplica l’anàlisi de risc pur S’ha reconduït a la signatura electrònica ordinària basada en contracte, en moltes ocasions Les aplicacions de la signatura-e - 8
Criteris: Àmbit de l’anàlisi de risc Opera en l’espai que deixa lliure l’aplicació del principi de legalitat – per exemple, interpretació estricta de l’article 70 de la Llei 30/1992 Es regeix per la reducció raonable del risc, prenent en compte valors actuarials de frau L’anàlisi de risc sempre té en compte el preu de les mesures de seguretat, i per tant aposta per la signatura electrònica ordinària o avançada enlloc de la signatura reconeguda Les aplicacions de la signatura-e - 9
Aplicacions al sector públic Gestió documental interna Presentació de sol·licituds i documents electrònics Registres d’entrada/sortida Notificacions administratives Certificacions i comunicacions de dades Contractació pública electrònica Les aplicacions de la signatura-e - 10
Aplicacions al sector públic Relacions amb l’AEAT i el Ministeri d’Hisenda Sol·licituds i recursos Representació de tercers Relacions amb el Ministeri d’Economia i tots els seus organismes adscrits Sol·licituds i recursos Relacions amb el Ministeri de Ciència i Tecnologia (ara absorbit pel Ministeri d’Indústria, Turisme i Comerç) i tots els seus organismes adscrits Sol·licituds i recursos Les aplicacions de la signatura-e - 11
Aplicacions al sector públic Relacions amb el Ministeri d’Interior Sol·licituds i recursos Relacions amb el Ministeri d’Administracions Públiques Sol·licituds i recursos Notificació telemàtica amb l’adreça electrònica única Relacions amb els òrgans judicials (prova pilot a Reus) Relacions amb l’Administració de la Generalitat de Catalunya (a través del CAT365) Les aplicacions de la signatura-e - 12
Més informació: Web CATCert: http://www.catcert.net E-mail: Nacho Alamillo: ialamillo@catcert.net