Resumen

El sector de la certificación electrónica español tuvo un temprano nacimiento en 1995 cuando comenzó el primer proyecto en Banesto. Incluso antes, las universidades politécnicas de Madrid y Barcelona estaban ya implicadas en proyectos académicos.

Con los hitos de la Directiva europea de Firma Electrónica y el Real Decreto-Ley español de 1999, todo apuntaba a un prometedor desarrollo del sector. Sin embargo, hasta que se publicó la Ley 59/2003 los prestadores de servicios de servicios de certificación privados afrontaban un futuro tan desalentador, como la sensación recogida tras cuatro años de actividad trufada de frustración por la defectuosa regulación desarrollada por la Administración española.

Por último, con la aparición del DNI electrónico se relanzan las espectivas de un sector esencial para el desarrollo de la Sociedad de la Información.

El nacimiento de un sector

En 1995 era reciente la separación de la división de certificación de RSA en una empresa independiente, Verisign, cuyos principales clientes eran los bancos y las empresas pioneras en comercio electrónico, que comenzaban a poner en marcha “servidores seguros”. El motor de esa actividad era Netscape, que comercializaba esos servidores especiales, equivalentes por lo demás, a los servidores web que empezaban a estar disponibles como software gratuito. Entre los “servidores seguros” y los “navegadores” que Netscape permitía obtener gratuitamente se establecía una comunicación cifrada gracias a un protocolo inventado por la empresa en 1994, el SSL (Secure Sockets Layer), que ya se ha convertido en un estándar de Internet.

Lo que permitía que se estableciera la comunicación cifrada era la habilitación del software cliente y del software servidor para manejar el protocolo, junto con la disponibilidad en el servidor de un “certificado” que demostraba la identidad del servidor. La tecnología básica que usaba el protocolo SSL era un conjunto de programas informáticos (librerías) que manejaban avanzados algoritmos de cifrado y que suministraba la empresa RSA. Originalmente, los certificados los suministraba un departamento de la empresa, con el objetivo de facilitar la venta de sus librerías criptográficas. RSA se constituyó en empresa para comercializar los hallazgos de los criptólogos que ya han pasado a la historia de las matemáticas. Ron Rivest, Adi Shamir y Leonard Adleman idearon el algoritmo cuyo nombre lo forman sus iniciales y que también dio nombre a la empresa RSA.

Aunque el mayor avance teórico se produjo en 1976 cuando Witfield Diffie y Martin Hellman demostraron la viabilidad de un nuevo concepto en criptografía: la criptografía de clave pública.

Gracias a este tipo de criptografía aparecieron algunas nuevas formas de proteger la información contra el interés de los curiosos y también apareció un nuevo concepto separado: la firma electrónica.

La firma electrónica está basada en la transposición al mundo electrónico de un principio del mundo físico relativo a la firma manuscrita: “sólo uno la puede hacer pero cualquiera la puede verificar”. Para poder aplicar este principio a un mundo regulado por las matemáticas, había que pensar en una operación que tomara un número a firmar (que representa al documento en papel) y tras aplicar una clave como operando diera como resultado un criptograma (el documento firmado). El documento firmado debería poderse someter a otra operación matemática en la que se usara una clave diferente y que diera como resultado el documento original.

La primera función es la función de firmar, y la segunda, la de verificar la firma. Las claves utilizadas en ambas funciones son distintas pero relacionadas entre sí. La primera es la clave privada que garantiza que solo el firmante puede usar y la segunda es la clave pública, que equivaldría a una muestra de firma manuscrita para que quien tenga acceso a ella pueda verificar lo firmado.

Al ser la firma electrónica una operación matemática hecha al documento, un interesante efecto secundario es que protege al documento de cualquier cambio, algo que no sucede en la firma manuscrita respecto al documento en el que se estampa.

Aunque los principios generales podían emplearse de formas diversas, las primeras aplicaciones de uso masivo se produjeron gracias a la gran difusión de Netscape Navigator inicialmente (la apuesta pionera de Jim Clark y Marc Andreseen, a finales de 1994) y Microsoft Explorer con posterioridad (Windows 3.1 ni siquiera daba soporte a las comunicaciones TCP/IP). De forma que el equivalente a la firma electrónica se producía de forma automatizada en el servidor, además de emplearse la función inversa de la criptografía de clave pública para facilitar el cifrado de las comunicaciones merced al intercambio de una clave de sesión y establecer un canal opaco entre el servidor y el navegador.

Gracias a este mecanismo, los primeros prestadores de servicios de certificación, vendían certificados para servidores web, liderados hegemónicamente por la compañía norteamericana Verisign, y con una competencia inicial, más agresiva en precios, centrada inicialmente en la compañía sudafricana Thawte. Este mercado demostró ser rentable por dos hechos significativos: Verisign creció tanto que pudo adquirir Network Solutions, la empresa que gestionaba y comercializaba la asignación de dominios .com, .net y .org. Y también adquirió Thawte, aunque la mantuvo como segunda marca especializada en el segmento de clientes avanzados y sensibles al coste. El acuerdo entre Verisign y Thawte propició la anécdota de que Mark Shuttleworth, fundador y presidente de Thawte, y uno de los hombres más ricos de Sudáfrica tras la operación de venta de Thawte a Verisign, se convirtiera el año 2002 en el segundo turista espacial , tras Dennis Tito.

Da la impresión de que la certificación orientada a servidores es la más rentable. A finales de 2002, sobre un total de 35 millones de dominios, más de 16 millones eran sitios activos y casi 175.000 eran servidores SSL (según información de Netcraft). Si pensamos que un certificado SSL tiene un coste entre 350 y 900 euros, podemos estimar que el mercado de la certificación mueve entre 50 y 100 millones de euros al año.

Pero hay otros usos de perfil técnico que también son interesantes: gracias a la propiedad de la firma electrónica que permite detectar modificaciones en los documentos electrónicos, el software que se obtiene en Internet para ser instalado en los ordenadores puede ser firmado para garantizar la pureza de su origen y protegerlo de la infección de los virus que se suelen adherir a los programas y que, de hacerlo, quedarían evidenciados.

¿40 bits o 128 bits?

El empleo de certificados en los servidores o, incluso la posibilidad de firmar software, requiere que el software del navegador y, en cierto modo el del sistema operativo, estén preparados para reconocer alguno de los prestadores de servicios de certificación.

Inicialmente, el número de prestadores de estos servicios reconocidos por Netscape y Microsoft era muy reducido y esto propiciaba una concentración del negocio en las empresas que habían logrado este reconocimiento. Durante un tiempo, una forma de lograrlo fue mediante el pago de una cantidad a estas firmas, para lograr su homologación.

De hecho, el duopolio en el mundo de los navegadores/exploradores permitió que el Departamento de Comercio de Estados Unidos controlara con cierta facilidad la robustez de los mecanismos criptográficos utilizados, en función de ciertos supuestos de seguridad nacional.

Dado que para establecerse el canal opaco se emplea cifrado simétrico, si se utiliza un algoritmo de 128 bits de tamaño de clave, podemos regular cuántos de esos bits se tratan como verdaderamente secretos, comunicando el resto en claro en la fase inicial de establecimiento del canal.

El control de la robustez de cifrado pasó del Departamento de Estado al Departamento de Comercio en 1996, de forma que hasta esa fecha, los servidores web que se exportaban de Estados Unidos incluían una limitación en la gestión del canal que impedía su funcionamiento con gestión cifrada completa de la clave de sesión. Bajo condiciones de importación especiales, era posible, en algunos países y para empresas de sectores concretos (por ejemplo, bancos) obtener “servidores seguros” sin esa limitación. Sin embargo, el hecho de que el servidor fuera capaz de establecer sesiones con criptografía robusta no solucionaba el problema, ya que los navegadores que se descargaban por Internet fuera de Estados Unidos incluían la misma limitación.

Se creó un estado de opinión contrario a Estados Unidos por esta discriminación, que no era sino un reflejo de los Acuerdos de Wassenaar ratificados por muchos paises, entre ellos España (anteriormente bajo la competencia del Ministerio de Comercio Exterior, y en la actualidad, del de Defensa). Incluso, dentro de los Estados Unidos, diferentes expertos propugnaban un uso de claves robusto de difusión internacional. Esto propició una cierta relajación normativa respecto a la exportación de tecnología de doble uso que permitió la liberación en 1996 de una técnica especial SGC (Server Gated Cryptography) en los servidores web que, en combinación con un tipo de certificados de Verisign, permitía que los navegadores exportables (y por tanto inicialmente limitados en cuanto a robustez en su criptografía) establecer sesiones opacas utilizando la clave secreta al completo.

Esta solución dio origen a los denominados “Certificados de 128 bits” de Verisign que tuvieron una existencia limitada hasta el año 2000, fecha en la que se liberalizó completamente la criptografía tanto de los servidores como la de los navegadores. Aún hoy, gracias a la ignorancia del público sobre este tema, Verisign sigue vendiendo en banca “certificados de 128 bits” a 900 dólares, cuando la realidad es que todos los certificados son de 128 bits. O por precisar, los certificados (ya sean de 50 dólares o de 900) no limitan la capacidad del servidor y del navegador para establecer sesiones opacas con la máxima robustez. Actualmente, la mayor parte de los servidores disponibles y tanto el Navegador como el Explorador manejan sesiones robustas, y la mención de la criptografía de 128 bits no hace sino evidenciar la ignorancia de quienes pretender diferenciarse con ello.

El sector privado de la certificación en España.

En 1995 Banesto puso en marcha el primer proyecto de “Autoridad de Certificación” privado no académico. Aproximadamente en las mismas fechas se inició un proyecto académico bajo la cobertura del Programa ICE-TEL del que ya apenas quedan vestigios. Son acciones tempranas, porque no se puede olvidar que el mundo del web tenía aproximadamente 2 años, si contamos con que Tim Berners-Lee desde el CERN empezó a difundir su sistema World Wide Web en 1993, y las versiones de Mosaic (el primer “browser” de web, de 1994) no soportaban cifrado.

Las primeras implementaciones de CA (por su terminología en inglés, “Certification Authority”) eran de un solo nivel (sin jerarquías), de forma que la CA raíz era al mismo tiempo emisora de certificados de entidad final. Además de poder emitir certificados de servidor para SSL, también emitían certificados de correo electrónico para las recientes implementaciones de S/MIME que ya eran capaces de manejar tanto Netscape Messenger, inicialmente, como posteriormente Microsoft Outlook. En el caso de Banesto, la CA se utilizó además para autenticar los extremos de una comunicación SSL con las tiendas usuarias de su pasarela de pagos.

Los años 1995-1997 estuvieron marcados por anuncios como el SET (Secure Electronic Transactions) sistema de seguridad basado en certificados electrónicos y respaldado por Visa y Mastercard para su uso en transacciones económicas basadas en tarjeta de crédito, y por la paulatina incorporación de la banca a las transacciones financieras a través de Internet. Banesto, Open Bank y Bankinter, fueron entidades pioneras en definir una estrategia especial para el canal Internet, por delante de los grandes grupos bancarios.

IPS-CA, una pequeña empresa española especializada en desarrollos web con gran conocimiento de plataformas Notes (que ya empleaban una modalidad propia de criptografía de clave pública en la mensajería para implementar funciones de cifrado y autenticación de usuario) fue también pionera en el desarrollo de su CA, y puso a la venta sus certificados a principios de 1996. IPS-CA fue además una de las primeras en negociar con Microsoft el reconocimiento de su CA root en el Explorer de Microsoft.

En mayo de 1997 se constituye ACE, la Agencia de Certificación Electrónica. El nombre sonaba algo pretencioso, pero sus respaldos eran notables: CECA, Sistema 4B, y SERMEPA, junto con Telefónica. Retomaba los proyectos iniciados por “Negocios Cibernéticos” en la que ya participaban Telefónica y Visa España y despliega una de las primeras infraestructuras del mundo para SET, destinada a ser empleada en los medios de pago on-line, y que muestra sus primeros resultados antes de acabar el año.

A finales de 1997 se constituye la Fundación para el Estudio de la Seguridad de las Telecomunicaciones (FESTE), que se establece en Barcelona bajo la presidencia de D. Miquel Roca i Junyent. La Fundación tiene una clara orientación legal, ya que busca no solo la definición de un marco de seguridad técnica, sino también la seguridad jurídica. El Patronato, en el que se sientan notables representantes de Notarios, Corredores de Comercio y Abogados, contribuye decisivamente al desarrollo de la Directiva Europea sobre Firma Electrónica. En su modelo de seguridad jurídica preventiva juega un importante papel la fe pública, elemento diferenciador entre los contextos jurídicos latinos o continentales y los anglosajones, que impregnan el punto de vista de los avances técnicos ingleses y norteamericanos. Al promover que determinadas operaciones del mundo virtual se lleven a cabo con la participación de un fedatario público se refuerzan los mecanismos tecnológicos y operativos. Este modelo es extensible a cualquier prestador de servicios de certificación, por lo que se produce un primer acercamiento entre ACE y FESTE, en el que ACE se especializa en las funciones de certificación y FESTE en las de inscripción (RA, Registration Authority).

El 22 de junio del año 2000 se constituye AECODI, la Asociación de Entidades de Confianza Digital, una verdadera patronal del sector de certificación, con el objetivo de impulsar conjuntamente el sector, contribuir a la homogeneización de la normativa, y consensuar la adopción de estándares técnicos.

En julio de 2000, AC Camerfirma inicia sus actividades como empresa independiente. Hasta ese momento, Camerfirma había sido el nombre de un departamento del Consejo Superior de Cámaras de Comercio, Industria y Navegación de España, encargado del despliegue en España del sistema Chambersign, esfuerzo cooperativo de las Cámaras de Comercio Europeas. Es la primera CA que establece su prioridad en la emisión de certificados personales que señalen la relación entre una persona y una empresa, bien como empleado, bien como apoderado. A lo largo de su actividad establece la red de entidades de inscripción (RA) más densa de España, al contar con 45 Cámaras de Comercio (de un total de 85) capaces de desempeñar los trabajos de verificación de identidad asociados a dicha función.

En junio de 2001 inicia sus actividades Firmaprofesional. Participada por AC Camerfirma y los Colegios Oficiales de Médicos, Farmacéuticos y Arquitectos de Cataluña. Su vocación es la de desarrollar los servicios de certificación de todos los Colegios Profesionales, atendiendo a la potestad que sólo estos tienen de acreditar quién es colegiado, tras verificar que se cumplen los requisitos para ello. Es un modelo que busca optimizar el modelo de costes a base de replicar en diferentes colegios, el exigente entorno técnico y operativo capaz de satisfacer todos los requisitos legales

La Asociación Nacional de Fabricantes (ANF) ha estado desarrollando su tecnología de CA con poca presencia pública durante varios años, hasta que con la publicación de la normativa que desarrolla el uso de la Factura Electrónica presentó sus servicios poniendo énfasis en el uso de la firma electrónica en las facturas electrónicas. Su participación temprana en el grupo de trabajo de OASIS que define el lenguaje común de los ordenadores para los procesos de negocio (UBL, Universal Business Language) supuso inicialmente una ventaja de su propuesta que llevó aparejada cierta controversia en relación con el desarrollo de otras variantes de lenguajes de especificación de facturas como el CCI-XML.

A lo largo de los últimos años, otros prestadores de servicios de certificación, a caballo entre el sector privado y el público, se han especializado en determinados segmentos en los que prestan servicios a sus asociados: el Colegio Oficial de Caminos Canales y Puertos, que con sus servicios de certificación ha dado un gran impulso al desarrollo del Visado Digital, entorno en el que es pionero y por el que ha recibido numerosos premios, el Consejo General de la Abogacía Española, que promueve un sistema de certificación común para todos los abogados (a pesar de la existencia de varias iniciativas no siempre coincidentes de otros Consejos Autonómicos de Abogacía), o el Colegio de Registradores de España que a través de su Servicio de Certificación de los Registradores, agiliza algunos trámites de las empresas con los Registros Mercantiles, de la Propiedad y de Bienes Muebles de España.

Mención especial merecen los Notarios. Los notarios han sido pioneros en desarrollos de firma electrónica, con un sentido casi ecuménico en este tipo de iniciativas. Inicialmente desarrollaron su sistema de certificación con FESTE, la Fundación para el Estudio de la Seguridad de las Telecomunicaciones. Desde FESTE, llegaron a acuerdos con ACE. Posteriormente colaboraron con la FNMT en el desarrollo del sistema de Firma Electrónica Avanzada Notarial (FEAN). Necesariamente se relacionan con los registradores y, desde la entrada en vigor de la Ley 59/ 2003 han puesto en marcha un nuevo sistema. Efectivamente, la más reciente iniciativa de los notarios de denomina ANCERT (Agencia Notarial de Certificación) y es la evolución del INTI (Instituto Notarial de Tecnologías de la Información) que desarrolla mucha de las aplicaciones informáticas que utilizan los notarios. El impulso a ANCERT ha terminado por hacer desaparecer a FESTE, ya que sus dominios feste.org y feste.es han sido abandonados.

Contexto legal de la certificación en España

Desde el punto de vista legal, el artículo 45 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común sienta las primeras bases para facilitar el uso de las nuevas tecnologías en las relaciones entre los ciudadanos y las administraciones, pero la norma no consideraba las facilidades que ofrece Internet, ya que en 1992 las técnicas de telecomunicaciones basadas en BBS, videotex, telnet o ftp eran los referentes más avanzados. Cuando se promulga la Ley 66/1997, de 30 de diciembre, de Medidas Fiscales, Administrativas y del Orden Social, aparece el primer indicio de lo que podría ser el despliegue de una PKI (Public Key Infraestructure) respaldada por la Administración, si bien el artículo 81 solo hace referencia genérica a “servicios técnicos y administrativos necesarios para garantizar la seguridad, validez y eficacia de la emisión y recepción de comunicaciones y documentos a través de técnicas y medios electrónicos, informáticos y telemáticos (EIT)”.

El escaso desarrollo de la “línea normativa principal” que ampararía en general la prestación de servicios de certificación dio lugar durante varios años al desarrollo de normas de menor rango que al menos dieran cobertura a la actividad de la FNMT-RCM, mientras afectaba, por exclusión, a la presunción del resto de los prestadores de servicios de certificación.

De hecho, el Real Decreto Ley 14/1999, de 17 de septiembre, por el cual se regula el uso de la firma electrónica, el reconocimiento de su eficacia jurídica y la prestación al público de servicios de certificación, y la ORDEN de 21 de febrero de 2000 por la que se aprueba el Reglamento de acreditación de prestadores de servicios de certificación y de certificación de determinados productos de firma electrónica, fueron instrumentos de escaso valor que había que interpretar a la luz de la Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrónica. Es decir, hasta la publicación de la Ley 59/2003, la Directiva tenía más valor para la actividad de los prestadores de servicios de certificación, que la ley y el reglamento que la trasponían.

Entre los motivos que condujeron a ello, estaban las contradicciones respecto a la Directiva, y la falta de desarrollo de los medios para poder cumplir los requisitos que se establecían. Ya que no era posible inscribir al prestador de servicios de certificación en un registro que no se había creado, ni evaluar a los prestadores de servicios de certificación, puesto que no existía (ni existe en el 2005) ni la normativa de evaluación ni las entidades evaluadoras. A partir del año 2005, la Asociación ASIMELEC propone un sistema de acreditación de Prestadores de Servicios de Certificación que responde a la demanda del sector y suple como iniciativa privada las carencias de la administración en este sentido.

En aquel contexto en el que aparentemente no era posible que los PSC emitieran certificados “cualificados” o “reconocidos” (los que dotan a la firma electrónica de la presunción de equivalencia con la firma manuscrita), se produjo una circunstancia que, a pesar de defectuosa técnica legislativa abría expectativas para los PSC. El apartado 2 de la Instrucción de 19 de octubre de 2000 de la Dirección General de los Registros y del Notariado, sobre el uso de la firma electrónica de los fedatarios públicos, y posteriormente el artículo 109 de la Ley 24/2001, de 27 de diciembre, de Medidas Fiscales, Administrativas y del Orden Social, al regular la atribución y uso de la firma electrónica por parte de notarios y registradores de la propiedad, mercantiles y de bienes muebles, en el ejercicio de sus funciones públicas, establece una presunción de emisión de certificado reconocido a entidades que con arreglo a ley que específicamente se menciona como referencia en el artículo 108, no sería posible. Gracias a esta fisura legal, el conjunto de prestadores de certificación se benefician de la misma presunción.

También el esquema de presunciones respecto a la equivalencia de certificados de la FNMT-RCM respecto a los que el Real Decreto-Ley define restrictivamente como reconocidos, posiciona a todos los prestadores de servicios de certificación que igualan o mejoran los requisitos de la FNMT-RCM en el mismo contexto de presunción.

Desde antes de la publicación del Real Decreto-Ley de Firma Electrónica (RDLFE), y también con posterioridad a esa publicación, diferentes normativas han atribuido competencias a la FNMT-RCM, que según el propio RDLFE deberían haberse llevado a cabo en régimen de libre competencia.

Uno de los efectos que ello ha tenido es que ha quedado vacío de contenido el extremo fijado en el artículo 3 del RDLFE respecto al reconocimiento universal de las firmas electrónicas que cumplen ciertos requisitos y que, en teoría, deberían tener el mismo valor que la firma manuscrita. Por otro lado, las administraciones públicas no respetaron el artículo 5, ignorando que sus especificaciones, como claramente establece, solo tienen sentido para salvaguardar las garantías de cada procedimiento, de que sólo podrán hacer referencia a las características específicas de la aplicación de que se trate y se dictarán a propuesta del Ministerio de Administraciones Públicas y previo informe del Consejo Superior de Informática.

En ese contexto, se hacía necesaria una nueva Ley de Firma Electrónica que resolviera todas las incertidumbres que se crearon con la maraña de normas relacionadas directa o indirectamente con la firma electrónica.

Mientras la nueva ley superaba las diferentes fases de su tramitación, la iniciativa siempre pionera de la Agencia Estatal de Administración Tributaria añadió algo de luz a las expectativas de los Prestadores de Servicios de Certificación mediante la Orden HAC/1181/2003, de 12 de mayo.

Hay una cierta discrepancia en su valoración: en el lado positivo establece un mecanismo para que prestadores de servicios de certificación distintos de la FNMT-RCM puedan expedir certificados admitidos en las relaciones tributarias entre los ciudadanos o las empresas y la Administración; como contrapeso en la balanza, utiliza una técnica legislativa (la de publicación de normas en la web de la AEAT, sin pasar por el BOE) que no es la que más favorece la seguridad jurídica.

Sin embargo, esta última característica ha permitido a la AEAT corregir de forma ágil ciertas especificaciones que publicó inicialmente y que no eran muy conformes con el desarrollo de los estándares técnicos.

Las “Especificaciones técnicas relacionadas con la O.M. HAC/1181/2003” publicadas en la web de la AEAT tras la publicación en el BOE de la Resolución de 24 de Julio de 2003 de la Dirección General de la Agencia Estatal de Administración Tributaria, han ido evolucionando y haciéndose más útiles, y en la actualidad permiten identificar un contexto en el que la AEAT ejerce de sistema “homologador” cumpliendo el rol de los “sistemas voluntarios de acreditación” que prevé la nueva Ley 59/2003, y en el que también se enmarcaría la iniciativa de ASIMELEC.

El año 2003 fue significativo también por otra iniciativa de las Administraciones Públicas que dio un nuevo impulso al reconocimiento de los PSC. Se publicó el Real Decreto 209/2003, de 21 de febrero, por el que se regulan los registros y las notificaciones telemáticas, así como la utilización de medios telemáticos para la sustitución de la aportación de certificados por los ciudadanos.

Por prescripción de esta norma las diferentes administraciones públicas avanzaron en los sistemas de notificación a los ciudadanos, y, significativamente, en la puesta en marcha de “Registros Telemáticos” que permitían a estos iniciar trámites en cualquier nivel de la administración sin más que contar con certificado “reconocido”.

Este marco ha permitido la publicación de diferentes normas reguladoras de los registros telemáticos que paulatinamente se irán adecuando a las prescripciones de la Ley 59/2003, si bien eso todavía no se ha cumplido completamente.

En este sentido cabe citar las siguientes normas:

• ORDEN CTE/2500/2003, de 2 de septiembre, por la que se crea un registro telemático en el Ministerio de Ciencia y Tecnología y se regulan los requisitos y condiciones técnicas para la recepción o salida de solicitudes, escritos y comunicaciones que se transmitan por medios telemáticos
• ORDEN ECO/2579/2003, de 15 de septiembre, por la que se establecen normas sobre el uso de la firma electrónica en las relaciones por medios electrónicos, informáticos y telemáticos con el Ministerio de Economía y sus organismos adscritos.
• ORDEN INT/3298/2003, de 13 de noviembre, por la que se crea un registro telemático en el Ministerio del Interior y se regulan los requisitos y condiciones técnicas para la recepción o salida de solicitudes, escritos y comunicaciones que se transmitan por medios telemáticos. (BOE de 28 de noviembre de 2003)
• ORDEN APU/203/2004, de 29 de enero, por la que se crea un Registro Telemático en el Ministerio de Administraciones Públicas para la presentación de escritos y solicitudes y se establecen los criterios generales de tramitación telemática de determinados procedimientos. (BOE de 7 de febrero de 2004)
• RESOLUCIÓN de 8 de enero de 2004, del Instituto Nacional de Estadística, por la que se crea un Registro Telemático para la presentación de escritos, solicitudes y comunicaciones en el ámbito del Instituto Nacional de Estadística y se establecen los criterios generales para realizar el intercambio de datos padronales entre el Instituto Nacional de Estadística y los Ayuntamientos, Diputaciones Provinciales, Cabildos y Consejos Insulares por medios telemáticos.
• ORDEN ITC/3928/2004, de 12 de noviembre, por la que se crea un registro telemático en el Ministerio de Industria, Turismo y Comercio.

Estas normas establecen procedimientos para que pueda aceptarse la firma electrónica de prestadores diferentes a la FNMT-RCM.

La publicación en el BOE de 20 de diciembre de 2003 de la nueva Ley 59/2003 de Firma Electrónica cambió muchas de las expectativas del sector en sentido positivo.

Uno de los aspectos esenciales es la creación de un censo de Prestadores de Servicios de Certificación en el Ministerio de Ciencia y Tecnología (atribuciones que corresponden en la actualidad al Ministerio de Industria, Turismo y Comercio), y la desaparición del Registro de Prestadores que la norma anterior preveía que se creara por parte del Ministerio de Justicia (sin éxito).

En el momento actual, el censo está creado, y en el figuran los Prestadores que emiten certificados reconocidos (AC ABOGACÍA, ANCERT – Agencia Notarial de Certificación, ANF AC, CAMERFIRMA, CERES Fábrica Nacional de Moneda y Timbre – Real Casa de la Moneda / FNMT-RCM, CICCP, FIRMAPROFESIONAL e Izenpe, S.A) y los que emiten certificados de otro tipo (BANESTO CA, y CERES Fábrica Nacional de Moneda y Timbre – Real Casa de la Moneda / FNMT-RCM).

Desde el 15 de marzo de 2006 ya contamos con los primeros DNIs electrónicos. Este es uno de los hechos más importantes en relación con la firma electrónica, que culmina 10 años de intensos esfuerzos institucionales y personales. A partir de ahora la Firma Electrónica se hará ubicua y aparecerán cientos de servicios donde utilizarla.

Con el Real Decreto 1553/2005, de 23 de diciembre, por el que se regula documento nacional de identidad y sus certificados de firma electrónica., publicado en el BOE del día Nochebuena de 2005, se va completando el panorama legislativo de la Firma Electrónica.

El sector espera ahora la Ley de Administración Electrónica prometida por el Ministerio de Administraciones Públicas, sobre la que existen grandes expectativas, y la Ley de Impulso de la Sociedad de la Información promovida por el Ministerio de Industria, Comercio y Turismo, que pulirá algunos aspectos de la Ley de Firma Electrónica, la Ley de Servicios de la Sociedad de la Información y el Comercio Electrónico y la Ley de Comercio Minorista.

La certificación en Comunidades Autónomas y Corporaciones de derecho Público

El esfuerzo que un prestador de servicios de certificación tiene que hacer para que los usuarios de sus certificados encuentren usos útiles, no se limita a la Administración del Estado. Las Comunidades Autónomas están desarrollando interesantes iniciativas de Administración Electrónica que en ocasiones utilizan preferentemente los servicios de la FNMT-RCM, y otras no.

Un ejemplo de la adecuación de las Comunidades Autónomas a las exigencias de la Sociedad de la Información es el desarrollo en muchas de ellas de servicios relacionados con la Firma Electrónica, algunas veces como prestadores de servicios de certificación para los ciudadanos de su demarcaciones, o más frecuentemente, para los funcionarios de su Comunidad, pero especialmente para proporcionar servicios de validación a las administraciones públicas, autonómicas, provinciales y municipales que faciliten el desarrollo de aplicaciones a todos los niveles.

Las comunidades de Valencia (con su Autoritat de Certificació) y Cataluña (con CatCert) han sido pioneras reconociendo los certificados de prestadores privados, y otras comunidades, como el Principado de Asturias, el País Vasco (con Izenpe) y Andalucía, están llevando a cabo interesantes progresos en la e-administración.

Mención especial merece el caso de la Generalitat Catalana, cuyo modelo de servicios de validación marca el camino a seguir no solo a otras comunidades, sino a la propia Administración del Estado. La Agencia Catalana de Certificación (CatCert) administra una plataforma sobre la que se cualifican los diferentes modelos de autenticación y firma electrónica, permitiendo una amplia variedad de formas seguras, mediante las que los ciudadanos se relacionan con todas las administraciones de su ámbito.

Podemos apreciar que, a pesar de las enormes dificultades que supone gestionar un Prestador de Servicios de Certificación, la actividad que se desarrolla en España en este sector es destacable. Entre los colectivos particularmente activos se encuentran los colegios profesionales, que utilizan esta herramienta para facilitar servicios a distancia a sus colegiados. En este contexto, el desarrollo de aplicaciones precede normalmente a la emisión de certificados. Médicos y Farmacéuticos colaboran en la Receta Electrónica, Ingenieros y Arquitectos desarrollan proyectos de Visado Electrónico, y los Abogados diseñan una amplia panoplia de servicios para sus colegiados identificados con firma electrónica, uno de los cuales es la fehaciencia de las comunicaciones electrónicas y su inmediatez. Llama la atención incluso la fragmentación de iniciativas: 3 iniciativas diferentes en el ámbito de los abogados, 2 iniciativas en el caso de los notarios, los arquitectos y los ingenieros no son capaces de definir sistemas comunes para todos los colegios.

Espectativas

Tras años de dificultades para los Prestadores de Servicios de Certificación, ha empezado ya un período de grandes expectativas: cada vez existen más servicios en los que utilizar los certificados, las normas cada vez son más claras y se está produciendo un gran cambio que todavía acelerará más la creación de servicios: el despliegue del DNI digital.

En efecto, el gran despliegue ya ha comenzado, con el simbólico acto de expedición del primer DNI electrónico en Burgos, y desde este momento se iniciará la velocidad de crucero de la posibilidad de usar certificados en España, con 6 millones de unidades entregadas cada año.

Los prestadores de servicios de certificación podrán utilizar el DNI electrónico como activador para permitir la solicitud de su propio certificado, sin requerir la presencia del solicitante.

Y podrán especializarse en la provisión de atributos y de otros servicios relacionados con la certificación, como el fechado electrónico y la validación.

Con la futura Ley de Administración Electrónica y las iniciativas del sector privado, se espera el desarrollo de múltiples servicios, que son múltiples oportunidades para el uso de la firma electrónica. Con la disponibilidad de servicios a distancia que agilicen las estructuras del país sin merma de la seguridad, los españoles quizá estemos subiéndonos a tiempo, por esta vez, al tren de la historia.

Como en la maldición china, vamos a vivir “tiempos interesantes”.

Este artículo fue publicado parcialmente en la revista eSecurity, en su edición Latinoamérica de Abril de 2006. Esta es la versión en PDF