Firma digital: análisis sobre su marco regulatorio, operatividad, incidencia y corroboración probatoria en la litis
Por Gastón Andrés Navarro[1]
y Baltazar Avendaño[2]
I.-) PREFACIO
En la República Argentina rige la ley de firma digital,
incorporada por la ley 25.506 (sancionada el 14 de noviembre de 2001,
promulgada de hecho el 11 de diciembre de 2001).
Habíamos analizado previamente[3], de qué manera se diferenciaba
la firma electrónica de la firma digital[4], y en aquella oportunidad
sostuvimos que el Correo Electrónico debía ser considerado como un documento
más que merece ser considerado en los análisis jurídicos y, sobre tal premisa,
entender como la firma digital vino a robustecer sus características
particularísimas como vía de acreditación.
En particular, el sentido final de la norma que regula la firma digital,
es la de dar certeza jurídica a los “telecontratos”, es decir, contrataciones
realizadas sin la necesidad de presencia física de las partes para celebrar el
acto. Conforme al estado de la normativa, lo que resulta central para ello es
la existencia del certificante, que opera como un depositario de la fe pública
en esta área específica. Su existencia es “conditio sine qua non” para la
existencia de la firma digital. Todo otro acto de identificación electrónica
que carezca de los elementos exigidos por la ley 25.506 para la firma digital,
queda relegado a la categoría de “firma electrónica”. Allí es donde quedan
circunscriptos los casos de envíos de correos electrónicos y otros sistemas de
mensajería.
Nos hemos propuesto analizar en este trabajo cuales son las condiciones
exigidas por la normativa al efecto, y en su caso, encontrar el fundamento de
la normativa de mención, para culminar evaluando al “modus” y “qualitatis”
probatoria en un pleito judicial.
II.-) EL CERTIFICADOR DIGITAL EN LA LEY Nº 25.506 DE FIRMA
DIGITAL
La norma establece en su art 17 que el certificador licenciado
es “toda persona de existencia ideal, registro público de contratos u organismo
público que expide certificados, presta otros servicios en relación con la
firma digital y cuenta con una licencia para ello, otorgada por el ente
licenciante.”
Y luego realiza la
distinción referida a los certificadores licenciados que no fueran
pertenecientes al sector público, estableciendo para ello el régimen de
competencia, dejando que la determinación del arancel sea establecida
libremente por ellos.
En su art 18 se establece la normativa de certificación respecto
a las entidades profesionales que controlan la matrícula. Puntualmente indica:
“Las entidades que controlan la matrícula, en relación a la prestación de
servicios profesionales, podrán emitir certificados digitales en lo referido a
esta función, con igual validez y alcance jurídico que las firmas efectuadas en
forma manuscrita. A ese efecto deberán cumplir los requisitos para ser
certificador licenciado.”
En lo atinente a los requisitos y condiciones exigidos para
obtener la licencia de certificador, el Art. 20 establece que: “Para obtener
una licencia el certificador debe cumplir con los requisitos establecidos por
la ley y tramitar la solicitud respectiva ante el ente licenciante, el que
otorgará la licencia previo dictamen legal y técnico que acredite la aptitud
para cumplir con sus funciones y obligaciones. Estas licencias son
intransferibles.
Esta normativa, se encuentra reglamentada por el Decreto PEN
2628/2002 de fecha 19/12/2002. Mediante dicho Decreto, se crea el Ente
Administrador de Firma Digital (capítulo IV art 11) previendo que el mismo
dependerá de la Jefatura de Gabinete de Ministros siendo dicho Ente el “órgano
técnico, administrativo encargado de otorgar las licencias a los certificadores
y de supervisar su actividad, según las exigencias instituidas por el presente
decreto y las normas reglamentarias, modificatorias o de aplicación que se
dicten en el futuro y de dictar las normas tendientes a asegurar el régimen de
libre competencia, equilibrio de participación en el mercado de los prestadores
y protección de los usuarios.”
Se establece en el Art. 13 del Decreto que el Ente Administrador
será el encargado de: “a) Otorgar las licencias habilitantes para acreditar a
los certificadores en las condiciones que fijen el presente decreto y las
normas reglamentarias, modificatorias o de aplicación que se dicten en el
futuro. b) Fiscalizar el cumplimiento de las normas legales y reglamentarias en
lo referente a la actividad de los certificadores licenciados. c) Denegar las
solicitudes de licencia a los prestadores de servicios de certificación que no
cumplan con los requisitos establecidos, para su licenciamiento. d) Revocar las
licencias otorgadas a los Certificadores licenciados que dejen de cumplir con
los requisitos establecidos para su licenciamiento. e) Aprobar las políticas de
certificación, el manual de procedimiento, el plan de seguridad, de cese de
actividades y el plan de contingencia, presentado por los certificadores
solicitantes de la licencia o licenciados. f) Solicitar los informes de
auditoría en los casos que correspondiere. g) Realizar inspecciones a los
certificadores licenciados por sí o por terceros. h) Homologar los dispositivos
de creación y verificación de firmas digitales, con ajuste a las normas y
procedimientos establecidos por la presente reglamentación. i) Disponer la
instrucción sumarial, la aplicación de sanciones e inhabilitar en forma
temporal o permanente a todo certificador o licenciado que no respetare o
incumpliere los requerimientos y disposiciones de la Ley N° 25.506, el presente
decreto y las normas complementarias. j) Publicar en Internet o en la red de
acceso público de transmisión o difusión de datos que la sustituya en el
futuro, en forma permanente e ininterrumpida, los domicilios, números
telefónicos, direcciones de internet y certificados digitales de los
certificadores licenciados. k) Publicar en internet o en la red de acceso
público de transmisión o difusión de datos que la sustituya en el futuro, en
forma permanente e ininterrumpida, los domicilios, los números telefónicos,
direcciones de internet y certificados digitales de los certificadores cuyas
licencias han sido revocadas. I) Publicar en Internet o en la red de acceso
público de transmisión o difusión de datos que la sustituya en el futuro, en
forma permanente e ininterrumpida, el domicilio, números telefónicos,
direcciones de internet y certificados digitales del Ente Administrador. m) Administrar
los recursos generados de acuerdo con lo dispuesto por el artículo 16 de la
presente reglamentación, provenientes de las distintas fuentes de
financiamiento. n) Fijar el concepto y los importes de todo tipo de aranceles y
multas previstos en la Ley N° 25.506 y en el artículo 16 de la presente
reglamentación. o) Solicitar la ampliación o aclaración sobre la documentación
presentada por el certificador. p) Dictar las normas tendientes a asegurar el
régimen de libre competencia, equilibrio de participación en el mercado de los
prestadores y protección de los usuarios.
Por otra parte, la normativa analizada permite que el
Certificador Licenciado pueda delegar las funciones de validación de identidad
y otros datos de los suscriptores de certificados, en la entidad denominada
“Autoridades de Registro”, en su Art. 35, a saber: “Los Certificadores
Licenciados podrán delegar en Autoridades de Registro las funciones de
validación de identidad y otros datos de los suscriptores de certificados y de
registro de las presentaciones y trámites que les sean formuladas, bajo la
responsabilidad del Certificador Licenciado, cumpliendo las normas y
procedimientos establecidos por la presente reglamentación.”
Se establece normativamente la responsabilidad del Certificador
Licenciado respecto de la autoridad de Registro en el art 36: “El Certificador,
Licenciado es responsable con los alcances establecidos en la Ley N° 25.506,
aún en el caso de que delegue parte de su operatoria en Autoridades de
Registro, sin perjuicio del derecho del certificador de reclamar a la Autoridad
de Registro las indemnizaciones por los daños y perjuicios que aquél sufriera
como consecuencia de los actos y/u omisiones de ésta.”
Es importante reseñar que mediante Decreto 1.028/2003 se
disolvió el Ente Administrador de Firma Digital creado por el artículo 11 del
Decreto N° 2628 del 19 de diciembre de 2002. Esencialmente dicho Acto modifico
el esquema de misiones y funciones del Anexo II atinente a la Estructura
Orgánica de la Jefatura de Gabinetes y terminó por asignar a la OFICINA
NACIONAL DE TECNOLOGÍAS DE INFORMACIÓN (O.N.T.I.) las funciones de: 1) Asistir
al Subsecretario de la Gestión Pública en la formulación de políticas e
implementación del proceso de desarrollo e innovación tecnológica para la
transformación y modernización del Estado, promoviendo la integración de nuevas
tecnologías, su compatibilidad e interoperabilidad de acuerdo con los objetivos
y estrategias definidas en el Plan Nacional de Modernización del Estado. 2)
Promover la estandarización tecnológica en materia informática, teleinformática
o telemática, telecomunicaciones, ofimática o burótica. 3) Asistir al
Subsecretario de la Gestión Pública en la definición, implementación y control
del uso de la Firma Digital, interviniendo en la definición de las normas
reglamentarias y tecnológicas tendientes a asegurar el buen ejercicio del
régimen, en el otorgamiento y revocación de las licencias a certificadores y
actuando como autoridad certificante en los organismos del Sector Público Nacional.
Asimismo, el Decreto 1.028/2003 dispuso que la Comisión Asesora para la
Infraestructura de Firma Digital actuará en el ámbito de la Subsecretaria de la
Gestión Publica de la Jefatura de Gabinete de Ministros y se procedió a la
transferir a la Oficina Nacional de Tecnologías de Información (O.N.T.I.), los
bienes patrimoniales y los créditos presupuestarios correspondientes al Ente
Administrador de Firma Digital. Por último, se determinaba que los recursos
generados por los aranceles que se abonen por la provisión de los servicios que
brinde la Oficina Nacional de Tecnologías de Información en cumplimiento de la
normativa vigente en la materia, así como también el producido de las multas
impuestas, serán administrados por el servicio administrativo de la
jurisdicción.
En virtud de la Disposición de la SUBSECRETARÍA DE TECNOLOGÍAS
DE GESTIÓN de la SECRETARÍA DE GABINETE de la JEFATURA DE GABINETE DE MINISTROS
Nº 11, de fecha 30 de diciembre de 2014, que aprueba la POLÍTICA ÚNICA DE
CERTIFICACIÓN de la AUTORIDAD CERTIFICANTE de la OFICINA NACIONAL DE
TECNOLOGÍAS DE INFORMACIÓN, en el apartado 1.3.3 se indica que podrán ser
suscriptores de los certificados emitidos por la AC-ONTI: A) Las personas
físicas que desempeñen funciones en entes públicos estatales. B) Las personas
físicas o jurídicas que realicen trámites con el Estado, cuando existe una
aplicación que requiera una firma digital, siempre que se cumplan las
siguientes condiciones: 1) Deberá existir una AUTORIDAD DE REGISTRO autorizada
por el Certificador en el organismo responsable de la aplicación, quien debe
informar de la misma al Certificador; 2) Los solicitantes de certificados
deberán efectuar el trámite de solicitud exclusivamente ante la AUTORIDAD DE
REGISTRO autorizada. C) Los organismos y las empresas públicas.
III.-) EL CERTIFICADOR DIGITAL EN LA NORMATIVA ADMINISTRATIVA
El Ministerio de Modernización emitió Resolución 399 - E/2016 de
fecha 05/10/2016 que establece en su art 1 aprobar los “Requisitos para el
licenciamiento de certificadores”, además de aprobar la “Política Única de
Certificación”, “Perfiles de los Certificados y de las Listas de Certificados
Revocados”, “Contenidos Mínimos de los Acuerdos con Suscriptores” y “Contenidos
Mínimos de los Términos y Condiciones con Terceros Usuarios”.
Mención aparte merece el anexo antes referido (“Requisitos para
el licenciamiento de certificadores”) donde se reúnen en forma estricta las
condiciones para la obtención de la licencia.
En su capítulo IV la normativa se refiere al Certificador
Licenciado, regulando, en su art 18, que: “El certificador licenciado deberá
tener su domicilio constituido en la República Argentina, considerándose que
cumple con este requisito, cuando el establecimiento en el cual desempeña su
actividad en forma permanente, habitual o continuada, y su infraestructura se
encuentren situados en el territorio argentino.
Se prohíbe el uso del término “licenciado” a todos aquellos
prestadores del servicio de certificación u otros servicios relacionados con la
firma digital, que no hayan cumplido con el correspondiente proceso de
licenciamiento establecido por la presente Resolución. (art 19)
Se establece en el art 20 la obligación de los certificadores
licenciados de realizar las publicaciones en sus sitios web de Internet en
forma permanente e ininterrumpida de: “copia de todos los actos administrativos
por los cuales les fueron otorgadas y eventualmente revocadas sus licencias,
las Políticas de Certificación anteriores y vigentes, los acuerdos con
suscriptores y términos y condiciones con terceros usuarios para cada una de
las políticas de certificación aprobadas, la Política de Privacidad, el Manual
de Procedimientos (parte pública), la Lista de Certificados Revocados
(Certificate Revocation List - CRL), el listado de Autoridades de Registro
(indicando si operan bajo modalidad móvil) y la información relevante de los
informes de la última auditoría de que hubieran sido objeto. Asimismo, deberán
garantizar el acceso a los certificados del certificador licenciado y de la
Autoridad Certificante Raíz de la República Argentina, utilizando el protocolo
de sitio seguro (https) y permitir la consulta de certificados emitidos,
indicando su estado.”
Un dato que no es menor, es que el Ministerio de Modernización,
por Decreto 892/2017 de fecha 1/11/2017, crea la “Plataforma de Firma Digital
Remota”. Esta normativa, aspira
reglamentar las condiciones establecidas en la ley de creación de firma digital
y su decreto reglamentario, disponiendo en su art 1 “Créase la Plataforma de
Firma Digital Remota, administrada exclusivamente por el Ministerio de
Modernización, a través de la Dirección Nacional de Sistemas de Administración
y firma digital, dependiente de la
Secretaría de Modernización Administrativa en la que se centralizará el uso de
firma digital, en el marco de la normativa vigente sobre Infraestructura de
Firma Digital.”
Esta normativa establece una pauta de centralización y
unificación de estándares para todo el territorio nacional.
Por último es importante destacar que la Secretaria de
Modernización Administrativa dictó la Resolución N° 13/2018 cuyo Anexo 2 -de forma
específica- establece un Manual de Procedimientos en el marco de la
Infraestructura de Firma Digital, donde describe el conjunto de procedimientos
utilizados por el Certificador cuyas funciones son ejercidas por la DIRECCIÓN
NACIONAL DE GESTIÓN DE LA INFORMACIÓN Y SOPORTE de la SECRETARÍA DE
MODERNIZACIÓN ADMINISTRATIVA del MINISTERIO DE MODERNIZACIÓN en el cumplimiento
de sus responsabilidades para la emisión y administración de los certificados
digitales emitidos a favor de sus suscriptores de acuerdo con los términos
establecidos por la Política Única de Certificación asociada a este documento,
en el marco de la Ley N° 25.506 de Firma Digital, el Decreto N° 2628 del 19 de
diciembre de 2002, la Resolución N° 399 E/2016 del MINISTERIO DE MODERNIZACIÓN
del 5 de octubre de 2016 y demás normas reglamentarias. Este conjunto de
procedimientos también regula el accionar del Certificador y sus Autoridades de
Registro.
IV.) VALOR PROBATORIO, OPERATIVIDAD Y MEDIOS DE ACREDITACION DE
LA FIRMA DIGITAL
IV.- A.-) A esta altura conviene refrescar y reiterar un poco
más ampliamente algunas sencillas disquisiciones: A-) Una Firma Electrónica es
un concepto amplio e indefinido desde el punto de vista tecnológico. Es por
tanto una expresión más genérica.[5] B) Una Firma Digital es aquella firma
electrónica que está basada en los sistemas de criptografía de clave pública
(PKI – Public Key Infrastructure) que satisface los requerimientos de
definición de firma electrónica avanzada.[6] C) Una Firma Digitalizada, no
tiene nada que ver con las anteriores. Se trata de una simple representación
gráfica de la firma manuscrita obtenida a través de un escáner, que puede ser
“pegada” en cualquier documento.[7] Esta técnica la empezaron a utilizar
masivamente los expertos en Marketing cuando la publicidad circulaba por correo
postal ordinario (Snail mail).[8]
En la práctica, la firma que utilizamos mayoritariamente para la
realización de muchos trámites tanto ante los Organismos Tributarios y otras
Administraciones Públicas, e incluso, para uso interno de las propias empresas
o el correo electrónico seguro, es la Digital. Ejemplos de este tipo de firmas
son los que ofrece la FNMT, Camerfirma, Ancert, el DNI electrónico, etc.
Las reglas de valoración judicial de la firma digital y de la
firma electrónica, vienen, en gran medida condicionadas por las pautas de
validez y sistemas presuncionales establecidos en la ley de firma digital
25.506 y, en segundo orden, por la restante normativa jerárquicamente inferior
conforme al principio de la norma especial. Tal premisa es lo que nos indican
los arts. 7º (Presunción de autoría. Se presume, salvo prueba en contrario, que
toda firma digital pertenece al titular del certificado digital que permite la
verificación de dicha firma.), 8º (Presunción de integridad. Si el resultado de
un procedimiento de verificación de una firma digital aplicado a un documento
digital es verdadero, se presume, salvo prueba en contrario, que este documento
digital no ha sido modificado desde el momento de su firma.) 10° (Remitente.
Presunción. Cuando un documento electrónico sea firmado por un certificado de
aplicación, se presumirá, salvo prueba en contrario, que el documento firmado
proviene de la persona titular del certificado.) 11° (Original. Los documentos
electrónicos firmados digitalmente y los reproducidos en formato digital
firmados digitalmente a partir de originales de primera generación en cualquier
otro soporte, también serán considerados originales y poseen, como consecuencia
de ello, valor probatorio como tales, según los procedimientos que determine la
reglamentación.) de la Ley 25506.
De acuerdo a la remisión reglamentaria tenemos que el Artículo
1° Decreto N° 2628/02 (según modificaciones introducidas por Decreto N° 724/06)
sostiene que regula el empleo de la firma electrónica y de la firma digital
como así también su eficacia jurídica. Por ello, en los casos contemplados por
los artículos 3°, 4° y 5° de la Ley N° 25.506 podrán utilizarse los siguientes
sistemas de comprobación de autoría e integridad:
a) Firma electrónica,
b) Firma electrónica basada en certificados digitales emitidos
por certificadores no licenciados en el marco de la presente reglamentación,
(Inciso sustituido por art. 5° del Decreto N° 724/2006, B.O. 13/6/2006)
c) Firma digital basada en certificados digitales emitidos por
certificadores licenciados en el marco de la presente reglamentación,
d) Firma digital basada en certificados digitales emitidos por
certificadores extranjeros que hayan sido reconocidos en los siguientes casos:
1. En virtud de la existencia de acuerdos de reciprocidad entre
la República Argentina y el país de origen del certificador extranjero.
2. Por un certificador licenciado en el país en el marco de la
presente reglamentación y validado por la Autoridad de Aplicación.
Vemos aquí que adquiere un papel central la calidad de entidad
certificante, la cual, en similitud necesaria con los instrumentos dotados de
“fideidatio”, requiriendo de condiciones muy precisas y específicas para poder
tener tal entidad. En otras palabras, sin aprobación gubernamental expresa y
habilitación respectiva, no hay entidad certificante de firma digital.
Tenemos aquí un sistema de disposiciones que marca como se debe
comprobar la integridad y autenticidad de cada tipo de firma, pero a su vez
regulan una valoración de tipo “iuris tantum” (puesto que admite prueba en
contrario) con lo cual debe analizarse de qué manera se logra su efectiva
acreditación en una Litis. Desde ya es conveniente adelantar que ello no se logra
con la adopción de un solo medio de prueba puesto que debe estarse a las
particularidades de la prueba informática que se ofrece la cual no
necesariamente se zanjara con solamente una pericia.
IV.- B.-) Ahora bien, previo a sumergirnos en el mundo de la
acreditación judicial de la firma digital resulta menester entender de manera
práctica y sencilla como opera esta.
Siguiendo la claridad de las ilustraciones e instrucciones que
nos concede la Inspección General de Justicia[9], reseñaremos que el sistema de
firma digital consta de DOS partes: un método que hace imposible la alteración
de la firma y otro que permite verificar que la firma pertenece efectivamente
al firmante.
1) Empecemos
por tratar la Clave Asimétrica. La inalterabilidad de la firma está garantizada
por las propiedades de la Clave Asimétrica. Este es un método de codificación,
en el que se generan dos claves mediante una fórmula matemática compleja. Estas
claves son distintas, pero están relacionadas, de modo tal que lo que se cifra
o encripta con una clave sólo puede descifrarse con la otra. A este par de
claves se los conoce como Clave Pública y Clave Privada. La clave pública se
distribuye y la clave privada la conserva el propietario, protegida por una
contraseña que sólo él conoce.
A continuación, explicaremos que es el “Hash”. Para poder firmar
digitalmente un documento, primero debe obtenerse un resumen del mismo. Para
esto, se aplica un cálculo matemático llamado “función unidireccional de
resumen”, o función hash. El hash es el resultado. Es un resumen, porque sin
importar el tamaño del documento, la función hash devuelve un valor de la misma
longitud o tamaño. Es unidireccional, porque no es posible convertir el hash
nuevamente en el documento original, o conocer el contenido del documento a
partir del hash. Sus principales características son: El resumen de un
documento o mensaje siempre devuelve el mismo hash. Las copias de ese documento
o mensaje también. Cualquier alteración
del documento, por mínima que sea, hará que el hash de ese documento varíe de
forma notoria. Es estadísticamente
imposible encontrar dos documentos que posean el mismo hash. Veremos a
continuación a través de algunas muestras como se compone y diversifica el Hash
según las características y variaciones del contenido que posee:
- Hash de “Esto es un ejemplo”
38E1CAD08CD88EFD203280451C0A415454A5D2C14C1A0D79BC5C77D295726CC5
- Hash de “esto es un ejemplo”
3F129DF29C5D855D8553E0B7F1C416CA7E18F76D468BC02671AAE20F42516667
- Hash de “esto es un ejemplo”
5A4F4A107992D58E37D461B7DA143197BA02146973D3CFF2A33F6EF315FD11D3
- Hash de “esto es otro ejemplo, solamente un poco más largo”
DCCFFFB069574AD94AF8996A37018D999520E245F81A34D63074110671C21508
Los hash varían, aunque
sólo se modifique una letra mayúscula o acento, y siempre poseen la misma
longitud. Al momento de firmar, se calcula el hash del documento. Luego, se
utiliza la clave privada para cifrar ese hash, y finalmente se incorpora, junto
con otros datos de certificación, como anexo del documento, obteniendo así un
documento firmado digitalmente. Cualquiera que posea la clave pública puede
Autenticar el documento, es decir, puede descifrar el hash encriptado y
compararlo con el hash del documento. Sí los hash coinciden, el receptor puede
confirmar dos cosas: que el contenido del documento no fue alterado luego de la
firma, y que la clave privada con que se firmó coincide con la clave pública.
2) El segundo factor que sostiene el sistema de firma digital es
la “Infraestructura de Clave Pública” (PKI, en inglés), que regula los
Certificados Digitales. El Certificado Digital es en sí un documento firmado
digitalmente, mediante el cual se atestigua que una clave pública pertenece a
un determinado individuo o entidad. En general, contiene la identidad de la
persona, su clave pública y el nombre de la autoridad que emitió el
certificado. Todos los datos de identidad son previamente validados por la
autoridad que emite el certificado, y este se puede autenticar de la misma
forma que cualquier otro documento con firma digital. La Infraestructura de
Clave Pública es el conjunto de procedimientos, políticas y roles normados que
definen cómo se generan y organizan esos certificados. Si el certificado es auténtico
y confiamos en la autoridad emisora, podemos asegurar la identidad del
firmante. En nuestro país, esta regulación se conoce como Infraestructura de
Firma Digital de la República Argentina (IFDRA).
En el Capítulo Segundo de este trabajo ya explicamos cómo está
organizada la Autoridad de Aplicación, razón por la cual solamente diremos que
la Autoridad Certificante Raíz (AC-RAÍZ), operada por el Ente Licenciante, es
el primer nivel de jerarquía en la IFDRA. Emite certificados digitales a las
Autoridades Certificantes de segundo nivel, una vez aprobados los requisitos de
licenciamiento. Los Certificadores Licenciados son entidades públicas o
privadas que se encuentran habilitados por el Ente Licenciante para emitir
certificados digitales. Estos operan cada Autoridad Certificante de segundo
nivel. Cada Certificador Licenciado delega en Autoridades de Registro las
funciones de validación de identidad y otros datos de los suscriptores de
certificados. ¿Cómo se obtiene la firma digital?
- Firma Digital Token: Requiere un dispositivo físico donde se
almacena el certificado. Puede verificar los requisitos para obtener un
Certificado de Firma Digital Token, y dirigirse ante cualquier Autoridad de
Registro de la Administración Pública, o consultar con alguno de los
Certificadores Licenciados.
- Firma Digital Cloud: Permite firmar a través de una plataforma
online. Puede consultarse características, requisitos y forma de obtenerla en
la Plataforma de Firma Digital Remota (PDFR).
IV.- C.-) Queda abordar el tema de la prueba de la firma digital
dentro de un proceso judicial. Desde ya podemos sostener que el nivel de
complejidad dependerá de que y como se pretende acreditar o viceversa. Pero
nunca perdamos de vista que lo que se discute en torno a la Firma Digital es la
imputación de autenticidad, integridad y veracidad respecto a quien es el autor
que esta detrás del documento electrónico que se arrima al proceso como prueba;
con ello referimos que el desafío a probar no es el contenido en sí, sino la
autoría e integridad del documento.
Repasando un poco lo reglado bajo Decreto N° N° 2628/02 para
empezar debemos estar conscientes y tener en claro que tipo de firma se arguye
en el proceso y sobre esta premisa avanzar pues en consecuencia respecto de la
prueba a ofrecer. Según qué tipo de
firma digital o electrónica corresponderá la carga probatoria sino también el
requerimiento de acreditación de los certificados otorgados por la entidad
correspondiente.
Vimos ya que el firmante genera, mediante una función matemática,
una huella digital del mensaje, la cual se cifra con la clave privada de éste.
El resultado es lo que se denomina firma digital, que se enviará adjunta al
mensaje original. De esta manera el firmante adjuntará al documento una marca
que es única para dicho documento y que sólo él es capaz de producir. Enseña
por ejemplo la AFIP[10] que, para realizar la verificación del mensaje, en
primer término, el receptor generará la huella digital del mensaje recibido,
luego descifrará la firma digital del mensaje utilizando la clave pública del
firmante y obtendrá de esa forma la huella digital del mensaje original; si
ambas huellas digitales coinciden, significa que no hubo alteración y que el
firmante es quien dice serlo. El sistema opera de tal modo que la información
cifrada con una de las claves sólo puede ser descifrada con la otra. De este
modo si un usuario cifra determinada información con su clave privada,
cualquier persona que conozca su clave pública podrá descifrar la misma. En
consecuencia, si es posible descifrar un mensaje utilizando la clave pública de
una persona, entonces puede afirmarse que el mensaje lo generó esa persona
utilizando su clave privada (probando su autoría). Si un documento firmado
digitalmente es verificado correctamente, se presume, salvo prueba en
contrario, que proviene del suscriptor del certificado asociado y que no fue
modificado. Por otra parte, para reconocer que un documento ha sido firmado
digitalmente se requiere que el certificado digital del firmante haya sido
emitido por un Certificador Licenciado (o sea que cuente con la aprobación del
Ente Licenciante).
Si bien es cierto que en Internet abundan instructivos y
programas que ilustran cómo corroborar la existencia y validez de la firma
digital de un documento[11], siendo a nuestro modesto entender como guía de
consulta los Videotutoriales del Instituto Argentino de Derecho
Informático[12], lo cierto y concreto es que tal operación no deja de ser más
de una mera constatación particular que cualquier persona puede realizar desde
su propia computadora. Para ello, de manera resumida, podemos aleccionar que se
debe proceder a descargar el Certificado Raíz de la Autoridad Certificante[13]
y una vez instalado este en la computadora, debemos dirigirnos a la Website del
Ministerio de Modernización del Poder Ejecutivo Nacional[14], donde llenando
los campos con la información requerida[15], podremos acceder a la constatación
solicitada.
Ahora bien, con dicho proceder no hacemos otra cosa más que
verificar algo, pero en modo alguno deviene tal accionar traspolable de forma
válida a un proceso judicial por cuanto, en rigor de verdad, estamos careciendo
del medio probatorio en sí mismo.
Entonces lo realmente recomendable -y por una razón evidente de
que lo argüido debe ser demostrado ante los estrados judiciales y por ende lo
que se haga en la computadora debe ser demostrable- es que dicha tarea deba ser
realizada por un Perito Informático. Bajo el análisis forense de la evidencia
informática se nos permite lograr resultados de distinta naturaleza, que
escapan a la observación de un usuario común. Asi un experto informático puede
recolectar y analizar una variable de datos que pueden resultar fácilmente
visibles como aquellos otros que, para el neófito de la materia, resultan
ocultos, pero contienen información relevante. Asi la evidencia puede
encontrarse tanto en los "medios de almacenamiento" (como lo son el
disco rígido, CD/DVD, pen drive, Compact Flash/Memory stick, cinta magnética,
cinta DAT, PC Card, minidisk, smart Card, disquetes, etc.), así como en los
"dispositivos de almacenamiento" (valen de ejemplos las computadoras
personales, los servidores, las computadoras portátiles, las manuales
(PDA/Palm), los teléfonos celulares, los contestadores electrónicos, los identificadores
de llamadas, faxes con memoria, impresoras, scanners con memoria, cámaras y
filmadoras digitales, consolas de videojuegos, rastreadores digitales (GPS),
dispositivos de acceso biométricos, etc.).
Con el objetivo de proceder a la producción de la pericia informática,
con mucho criterio se sostiene que: "La informática forense reconoce
cuatro etapas: a) adquisición, en la que se persigue la obtención del objeto;
b) la preservación, durante la que se apunta a la conservación del objeto; c)
la obtención, en la que se realiza el análisis y búsqueda de evidencia, y
finalmente d) la presentación en la que se rinde el informe de resultados. En
la informática forense pueden distinguirse dos clases de investigación: a) el
análisis forense, consistente en la búsqueda de información específica, a la
vista, oculta o eliminada (residual), así como el análisis de tiempos y
actividades, y b) el descubrimiento electrónico (e-discovery), que se dedica a
la obtención de grandes volúmenes de información general para su posterior
procesamiento y análisis o su procesamiento y selección en tiempo real. Un
investigador forense informático necesita ciertos conocimientos técnicos, así
como ciertos conocimientos jurídicos referidos a temas de fondo y de forma, y
una especial capacidad de comunicación para lograr la confianza del tribunal y
de las partes sobre la eficacia de sus informes. Es frecuente que se recurra a
un escribano para constatar datos, pantallas, u otros objetos encontrados en un
equipo informático, con la idea de que posteriormente esa evidencia sirva como
prueba, o lo que hemos denominado etapa de adquisición de la evidencia. Para el
caso de instrumentar la inspección en un acta notarial, los expertos aconsejan
que esto contenga, o agregue como complemento, el informe de un perito en
informática forense, que puede incluir un acta técnica o informe del experto
presente en el acto de constatación. En estos supuestos es aconsejable que el
informe contenga los datos filiatorios del investigador, la identificación de
los medios magnéticos examinados, de la plataforma empleada para la obtención
de la evidencia (hardware y software), una explicación sucinta del
procedimiento técnico realizado, nombre del archivo de destino, algoritmo de
autenticación y resultado (hash). Si se tratara de un disco rígido extraído de
una computadora, es necesario que quede constancia de los valores RTC y la
comparación con el tiempo real. En la etapa siguiente, de conservación de la
evidencia, una adecuada cadena de custodia debe incluir el nombre de la persona
y la fecha de contacto con la evidencia, el registro del pasaje de una persona
a otra, así como el registro del pasaje de una ubicación física a otra, las
tareas realizadas durante la posesión del o de los objetos y el sellado de la
evidencia al finalizar la posesión. También deben registrarse testigos de este
procedimiento, fotografías de la evidencia en las tareas realizadas, así como
el log de actividades durante la posesión."[16]
Una vez que mediante el proceso pericial se logró determinar la
existencia de la firma digital, a quien corresponde según el respectivo
certificado, la adulteración o no de esta y cualquier otro dato de relevancia
que permita conocer el estado de la misma[17] (proceso de adquisición de la
evidencia), corresponderá a continuación proceder, como bien lo indica la cita
transcripta precedentemente, a establecer el método y forma de constatación de
aquello. De esta manera y mediante la intervención apropiada se habrá logrado
generar un medio de prueba idóneo que permite llevar al proceso la información
constatada.
Otra vía también puede ser a través de la prueba documental
(concebida en sentido amplio por cierto), iniciándose con la impresión del
documento electrónico con su respectivo contenido a los fines de exhibirlo en
el expte, y correlativamente generar una copia digital del mismo en algún
soporte que lo contenga (como ser un Cd, Pendrive, etc…) para ser presentado
por ante el tribunal, a los fines de requerir al magistrado que por Secretaria
actuante del Juzgado se proceda -mediante respectivo labrado de Acta- a
efectuar el cotejo ya descripto ut supra.
Por último, a modo complementario, también podemos contar con la
Prueba Informativa mediante la cual podemos dirigirnos a la Autoridad
Certificante a los fines de que brinde detalle respecto a los postulados ya
enunciados ut supra, o sea, si tal o cual persona se encuentra autorizada a
tener firma digital, bajo qué certificado se otorgó, licencia habilitante,
características de la misma, ámbito de uso para el cual fue requerido, etc…
No queremos obviar traer a colación un magnífico trabajo
publicado por Gastón Bielli[18] donde, abordando la cuestión del “WhatsApp”,
desarrolla las variadas facetas de la prueba electrónica y la multiplicidad de
medios de acreditación, a cuyo texto instamos su lectura y nos remitimos en
aras de la brevedad.
Así, a modo conclusivo y como dijimos en un comienzo, el campo
de acción de la demostrabilidad en sede judicial de la prueba electrónica
dependerá no solo del marco regulatorio al cual específicamente esté inserto
(como lo es aquí especialmente la Firma Digital) sino también del tipo de
prueba que se tiene al alcance como que se pretende demostrar de ella, para así
determinar cómo buscamos su inserción adecuada al pleito.
[1] Abogado Litigante (Univ. Nac. de Córdoba), Diplomado en
Magistratura y Análisis del Caso Judicial (Escuela de Capacitación Judicial de
Catamarca y Fundación para el Desarrollo de las Cs Jurídicas), Magíster en
Derecho Procesal (Univ. Nac. de Rosario), Aspirante a Doctor en Derecho y Cs.
Sociales (Univ. Nac. de Rosario), Ex Asesor Legal de la Dirección de Inspección
Laboral y de la Subsecretaria de Trabajo de la Pcia. de Catamarca, Asesor Legal
de la Subsecretaria de Asuntos Institucionales de la Pcia. de Catamarca, Ex
Director de Asesoramiento y Colegislación de la Asesoría Gral. de Gobierno de
Catamarca, Ex Vocal de la Junta de Disciplina del Poder Ejecutivo de Catamarca,
Miembro del Instituto de Derecho Procesal de la Academia Nac. de Derecho y Cs
Sociales de Córdoba, Miembro de la Asociación Argentina de Derecho Procesal,
Miembro de la Academia Virtual Iberoamericana de Derecho y Altos Estudios
Judiciales, Miembro de la Catedra de Derecho Procesal II de la Fac. de Derecho
de la Univ. Nac. de Catamarca., Delegado en Catamarca del Instituto Argentino de
Derecho Procesal Informático, Ex Presidente de la Comisión de Jóvenes Abogados
y actual Director del Instituto de Investigación y Formación Jurídica del
Colegio de Abogados de Catamarca, Disertante y Autor de múltiples Publicaciones
Científicas relacionadas con el Derecho Procesal.
[2] Baltazar Avendaño: Abogado (1994); Mediador Nacional (1998)
Postgrado de Especialista en Derecho
Procesal (2000). Doctorando en Ciencias Humanas (Universidad Nacional de
Catamarca , desde 2011); Ex empleado judicial Civil y Comercial (La Banda,
Santiago del Estero 1991 a 1994); Ex Presidente de la Comisión de Jóvenes
Abogados de la provincia de Santiago del Estero; Ex Jefe de Abogados de la
Dirección Provincial del Trabajo de la provincia de Catamarca; Ex Director
Interino de la Dirección Provincial del Trabajo; Ex miembro de la Comisión Directiva del
Colegio de Abogados de la Provincia de Catamarca; Ex Asesor de la
Vicegobernación de la Provincia de Catamarca (2012 a 2015); Disertante en
diversos Talleres de Derecho Laboral del
Colegio de Abogados (años 2008 a 2018). Miembro co fundador del Instituto de
Derecho Procesal de la Provincia de Catamarca; Miembro directivo del Instituto de Derecho Laboral del Colegio
de Abogados de la provincia de Catamarca. Secretario Regional del Foro Federal
del Trabajo (FOFETRA) desde Octubre de 2017; Miembro co-fundador del Instituto
de Investigación y Formación Jurídica del Colegio de Abogados de Catamarca,
Publicó trabajos de carácter jurídico, en digestos de doctrina y
jurisprudencia. Coautor de libros de Derecho Procesal y de Derecho Procesal Laboral.
[3] En un trabajo de nuestra autoría titulado “Correo
electrónico e incidencia de la firma digital. Implicancias y desafíos
probatorios”, Publicado el 31/10/2018, elDial DC263F.
[4] A modo breve e introductorio, y sin perjuicio de los apuntes
que haremos más adelante, la firma electrónica es aquella realizada con un
certificado que no cumple todos los requisitos que exige la Infraestructura de
Firma Digital de la República Argentina (IFDRA). Como ejemplos de esto, pueden
ser las firmas realizadas con certificados que no fueran emitidos por un
Certificador Licenciado, incluidos aquellos certificados que fueran generados
por el propio firmante por medio de alguna aplicación informática. La firma
realizada sobre la plataforma de Trámites a Distancia (TAD), y que no haya sido
validada mediante un Token, Firma Cloud también se considera firma electrónica.
Conforme la ley, la firma electrónica no tiene el mismo valor de prueba que la
firma digital. Si alguien niega o desconoce una firma digital, esa persona
tiene que probar que la firma es falsa. En cambio, si alguien niega o desconoce
una firma electrónica, es la otra parte quién debe que probar que la firma es
auténtica. Sí la Firma Digital es comparable a la Firma Certificada en papel,
la Firma Electrónica es comparable con la Firma Simple.
[5] ARTICULO 5º L. 25.506— Firma electrónica. Se entiende por
firma electrónica al conjunto de datos electrónicos integrados, ligados o
asociados de manera lógica a otros datos electrónicos, utilizado por el
signatario como su medio de identificación, que carezca de alguno de los
requisitos legales para ser considerada firma digital. En caso de ser
desconocida la firma electrónica corresponde a quien la invoca acreditar su
validez.
[6] ARTICULO 2º l. 25.506-
Firma Digital. Se entiende por firma digital al resultado de aplicar a
un documento digital un procedimiento matemático que requiere información de
exclusivo conocimiento del firmante, encontrándose ésta bajo su absoluto
control. La firma digital debe ser susceptible de verificación por terceras
partes, tal que dicha verificación simultáneamente permita identificar al
firmante y detectar cualquier alteración del documento digital posterior a su
firma. Los procedimientos de firma y verificación a ser utilizados para tales
fines serán los determinados por la Autoridad de Aplicación en consonancia con
estándares tecnológicos internacionales vigentes.
[7] ARTICULO 6º L. 25.506— Documento digital. Se entiende por
documento digital a la representación digital de actos o hechos, con
independencia del soporte utilizado para su fijación, almacenamiento o archivo.
Un documento digital también satisface el requerimiento de escritura.
[8] Ver https://bartolomeborrego.wordpress.com/2007/09/20/diferencias-entre-firma-electronica-firma-digital-y-firma-digitalizada/
[9] Ver
http://www.jus.gob.ar/media/3175414/certificados_de_firma_digital_actualizado_01-11-2018.pdf
[10] http://www.afip.gob.ar/firmaDigital/
[11] Basta repasar por ejemplo los siguientes links:
1)
https://support.office.com/es-es/article/c%C3%B3mo-se-sabe-si-una-firma-digital-es-fidedigna-61a46050-9a9f-40ab-a894-3ccd60c44415#bm2;
2)
https://www.redeszone.net/2018/04/21/comprobar-firmas-digitales-programas-windows/;
3)
https://sedeelectronica.gijon.es/page/12627-como-puedo-validar-una-firma-y-comprobar-la-integridad-de-un-documento-electronico-firmado;
4)https://www.nuance.com/products/help/NuancePDF/1_2/es_ES/Verifying_Digital_Signature.htm;
5)http://citiseg.com/wp-content/uploads/2017/01/SSIN04%20INSTRUCTIVO%20PARA%20FIRMAR%20Y%20VERIFICAR%20FIRMA.pdf;
6)http://www.justiciasantafe.gov.ar/NOTIFICACIONES%20ELECTRON./Instructivo%20para%20el%20profesional-parte%201.pdf
[12] https://www.iadpi.com.ar/index.php/videotutoriales/
[13] Por ej: https://pki.jgm.gov.ar/app/CertificateAuthority/RootCertificateDownload.aspx
[14] Por ej:
https://pki.jgm.gov.ar/app/CertificateAuthority/CertificatePublicKeyRequest.aspx
[15] Cuyos datos deben estar visibles y extraerse del mismo
documento que buscamos verificar: nombre, apellido, numero serial,…
[16] Véase el excelente trabajo de MOLINA QUIROGA, Eduardo,
"LA PRUEBA PERICIAL EN MATERIA INFORMÁTICA", Revista de Derecho
Procesal, Cita: RC D 195/2015.
[17] Ya que tranquilamente se puede atacar el carácter fidedigno
de la firma. De hecho, una firma de confianza es válida, para la cuenta de
usuario, en el equipo en que se indica como válida. Si la firma se abre en otro
equipo o en otra cuenta, la firma puede aparecer como no válida porque esa
cuenta no puede confiar en el emisor del certificado. Además, para que una
firma sea válida, la integridad del cifrado de la firma debe estar intacta.
Esto significa que el contenido firmado no se ha manipulado y el certificado de
firma no expiró o se revocó. Las razones por las que una firma digital se
convierta en no válida son los siguientes: 1) La firma digital está dañada, ya
que su contenido se ha manipulado. 2) El certificado no fue emitido por una
entidad de certificación (CA) de confianza, por ejemplo puede ser un
certificado autofirmado. Si este es el caso, debe elegir confiar en un emisor
que no es de confianza para que la firma sea válida de nuevo. 3) Se revocó el
certificado que se usa para crear la firma y no está disponible ninguna marca
de tiempo. (Vease
https://support.office.com/es-es/article/c%C3%B3mo-se-sabe-si-una-firma-digital-es-fidedigna-61a46050-9a9f-40ab-a894-3ccd60c44415#bm2)
[18] BIELLI, Gastón E., “Los mensajes de WhatsApp y su
acreditación en el proceso civil”, Revista La Ley, Tomo La Ley 2018-E, AÑO
LXXXII N° 203, Bs As, Lunes 29 de octubre de 2018.
Citar: elDial.com - DC274E
Publicado el 29/04/2019
Copyright 2020 - elDial.com - editorial albrematica - Tucumán
1440 (1050) - Ciudad Autónoma de Buenos Aires - Argentina
Directora editorial: Romina A. Lozano - Propietario: Albrematica
S.A.
Copyright 1997 - 2020 - elDial.com - editorial albrematica -
Tucumán 1440 (1050) Cap. Fed. Telfax (5411) 4371-2806 - E-Mail:
info@albrematica.com.ar
ISSN Nro. 2362-3527.
Comentarios
Publicar un comentario