Factura Electrónica y dispositivo seguro de creación de firma

1 respuesta

En el Blog «Lo que no se da… se pierde» hay un interesante artículo de junio de 2006 que no había visto, aunque me suena y con el que estoy muy de acuerdo. Aunque el blog no parece muy activo en tiempos recientes, parece muy interesante por el resto de sus artículos.

(por cierto, ya sé por qué me suena. Se trató en el Foro de las Evidencias Electrónicas http://www.evidenciaselectronicas.org/mailman/private/general/2006-June/000547.html y era un mail de Chema López que trajo también interesantes respuestas)

Lo transcribo:

Sin consideración especial a la factura electrónica, la Directiva 2001/115/CE dice que los estados no podran obligar a los emisores a firmar las facturas. Es decir, no es que las facturas en papel no se firman, es que no se deben firmar. Esto entra en contradicción con la normativa española que exige firma electrónica reconocida que, como sabemos, es equivalente a la firma manuscrita.

En cualquier caso, a pesar de que el RD 1496/2003 impone el uso de firma electrónica reconocida, la AEAT basa la aceptación de certificados no en el hecho que sean reconocidos, sino en el hecho que esten «aceptados» por la Orden HAC/1181/2003.

En el evento del año 2006 del CEN/ISSS eINVOICING WORKSHOP, se aportaban algunos argumentos interesantes:

  • En aquellos estados en que se requiera firma electrónica reconocida por la legislación nacional, esta no debe tener la consideración de acuerdo con el contenido de la factura electrónica. Sólo debe considerarse en este caso el propósito de garantia de autenticidad e integridad. Para los propositos de
    la Directiva el término «firma electrónica» debe tener el significado de «sello electrónico».
  • Dado que no debemos considerar que la firma significa acuerdo con el contenido, no hay ningún problema en que sean procesos batch los que firmen las facturas.

«derivaciones»:

1. Este tipo de prácticas generan la confusión de que la firma electrónica reconocida es algo que se puede conseguir con un certificado almacenado en un simple PC, cuando todos sabemos que la presunción legal exige el dispositivo seguro (aunque en mi opinión no es necesario que esté certificado: la certificación simplifica más la prueba, pero no resulta exigible para la firma reconocida).

2. Aunque en este Estado todos nos autosugestionemos para creer que la firma electrónica avanzada ha sido transmutada por arte de la AEAT en una firma electrónica reconocida, resulta que no lo es, y por  consiguiente tendremos  más problemas (de los que ya tenemos, quiero decir) para lograr la «libre
circulación de las firmas electrónicas».

3. Además, resulta que con esta práctica no ha liberado a las empresas de la obligación de cumplir la Ley 59/2003, por lo que el riesgo lo asumen ellas. Me explico:

  1. Una empresa quiere hacer factura telemática; ergo conforme RD 1496/2003 sabe que se encuentra obligada a emplear algo que legalmente sea «firma electrónica reconocida».
  2. Como dispone de un certificado gratuito de la FNMT-RCM, que está admitido por la AEAT, lo utiliza para facturar.
  3. En caso de duda jurídica sobre la firma electrónica producida, lo primero que encontrará es que ha elegido un instrumento que no era idóneo legalmente para cumplir la normativa, con lo cual habrá infringido la normativa tributaria.
  4. Por supuesto, la FNMT-RCM no resultará responsable, básicamente por no haberle prometido en ningún sitio que el producto suministrado era idóneo para producir firmas electrónicas reconocidas.
  5. Por fortuna, como la AEAT ha «admitido» el certificado, entonces difícilmente será sancionado por la propia AEAT, pero… ¿qué pasa si el problema legal NO es con la AEAT, sino en relación con un moroso que no paga?

¿No se puede encontrar con un juez que decida – con base suficiente, por cierto – que el instrumento no debe producir sus plenos efectos, dado que se emitió de forma incorrecta? Ciertamente es un vicio subsanable, pero seguro que podríamos haberlo hecho mejor.

SOBRETODO porque la Directiva 2001/115/CE NO exigía a los Estados Miembros imponer el requisito de la firma electrónica reconocida, porque – como todo el mundo sabe – las facturas en papel, NO SE FIRMAN.

CONCLUSIÓN: No parece haber sido una buena idea que el RD 1496/2003 imponga el uso de la firma electrónica reconocida, para después «saltarse» el requisito mediante una frase publicada en una página web, que por cierto, no tiene valor legal.

MI RECOMENDACIÓN: Emplear firma electrónica reconocida «de verdad», CON INDEPENDENCIA de lo que la AEAT considere dispositivo seguro.

4. Además, hace falta avanzar en la definición de normas y criterios en relación con los dispositivos seguros de creación de firma de funcionamiento automático en servidor (los llamados «servidores de firmas» o «portafirmas», por algunos), no sea que ahora necesitemos a los pobres humanos para introducir su PIN de firma constantemente.

De otra forma, podemos hasta conseguir lo contrario de lo perseguido con la normativa de firma electrónica; es decir, que NO SE USE.

Relacionado con la factura electrónica, me llama la atención una cosa que no sé si se ha discutido alguna vez con anterioridad. La cuestión es la siguiente:

  • En la orden HAC/1181/2003, disposición segunda, punto 1, 4o párrafo, se dice que las firmas de las facturas electrónicas deben realizarse con un «dispositivo seguro de creación de firma» (DSCF) según la legislación sobre firma electrónica: entiendo que la ley 59/2003, de 19 de diciembre, de firma electrónica.
  • Esta ley define los requisitos de un DSCF en el artículo 24, punto 3. El artículo 27 viene a decir que es necesario pasar una certificación para que un dispositivo de creación de firma se considere DSCF y que las normas técnicas de referencia aparecerán en el diario oficial de la Unión Europea. Hasta donde yo sé, estos dispositivos deben cumplir la norma CWA-14169 (Official Journal of European Union, 15.7.2003) 
  • Hasta la fecha, que yo conozca, sólo algunos dispositivos hardware criptográficos (alguna tarjeta inteligente), cumple esta norma y desde luego, ningún módulo criptográfico sólo basada en software lo cumple.

Sin embargo, en la siguiente dirección, de la AEAT, aparece esta ‘innovadora’ definición de dispositivo seguro de creación de firma: » La AEAT aceptará dispositivos seguros de creación de firma consistentes en
aplicaciones informáticas de amplio uso, como módulos criptográficos normalizados contenidos en sistemas operativos u otro software».

Esto presenta los siguientes problemas:

  • Tenemos dos definiciones de DSCP, la que marca la ley y la que le conviene a la AEAT
  • La definición de la AEAT, en aras de facilitar la adopción de la factura-e, está perjudicando a:
    – fabricantes de tarjetas
    – prestadores de servicios de certificación posicionados en servicio de alta calidad y seguridad, cumpliendo la legislación vigente

La verdad es que no parece necesaria esta concesión que está haciendo la AEAT, pues ya existen en el mercado DSCF, cuyo coste,comparado con el ahorro que proporciona la e-factura es irrisorio.

1 comentario en “Factura Electrónica y dispositivo seguro de creación de firma

  1. Pingback: 1.000.000 de visitas « Todo es electrónico

Deja un comentario

Este sitio utiliza Akismet para reducir el spam. Conoce cómo se procesan los datos de tus comentarios.