Firma electrónica remota de documentos en eIDAS y eIDAS2

2 respuestas

Uno de los aspectos que han cambiado tras la publicación del Reglamento eIDAS2 es la forma de categorizar los sistemas de firma electrónica remota, si bien los requerimientos son semejantes.

En el Reglamento (UE) Nº 910/2014 se contempla la firma remota en 2 considerandos:

(52) Debe ser posible para el firmante confiar a un tercero los dispositivos cualificados de creación de firmas electrónicas, a condición de que se apliquen los procedimientos y mecanismos adecuados para garantizar que el firmante tiene el control exclusivo del uso de sus datos de creación de la firma electrónica y que la utilización del dispositivo cumple los requisitos de la firma electrónica cualificada.

(53) Debido a sus múltiples ventajas económicas, debe desarrollarse la creación de firmas electrónicas a distancia en un entorno de creación de firma electrónica gestionado por un prestador de servicios de confianza en nombre del firmante. Sin embargo, a fin de garantizar que estas firmas electrónicas obtengan el mismo reconocimiento jurídico que las firmas electrónicas creadas en un entorno completamente gestionado por el usuario, los prestadores que ofrezcan servicios de firma electrónica a distancia deben aplicar procedimientos de seguridad de la gestión y administrativos específicos y utilizar sistemas y productos fiables, incluidos canales de comunicación electrónica seguros para garantizar que el entorno de creación de firmas electrónicas es fiable y se utiliza bajo el control exclusivo del firmante. En el caso de una firma electrónica cualificada creada mediante un dispositivo de creación de firmas electrónicas a distancia, se aplicarán los requisitos aplicables a los prestadores cualificados de servicios de confianza contemplados en el presente Reglamento

Ya no se recoge nada más en el articulado, pero en el Anexo II se indican los requisitos que exige el Reglamento para la firma remota (en nombre del firmante):

Anexo II . Requisitos de los dispositivos cualificados de creación de firma electrónica

(…)

3. La generación o la gestión de los datos de creación de la firma electrónica en nombre del firmante solo podrán correr a cargo de un prestador cualificado de servicios de confianza.

4. Sin perjuicio de la letra d) del punto 1, los prestadores cualificados de servicios de confianza que gestionen los datos de creación de firma electrónica en nombre del firmante podrán duplicar los datos de creación de firma únicamente con objeto de efectuar una copia de seguridad de los citados datos siempre que se cumplan los siguientes requisitos:

  1. la seguridad de los conjuntos de datos duplicados es del mismo nivel que para los conjuntos de datos originales;
  2. el número de conjuntos de datos duplicados no supera el mínimo necesario para garantizar la continuidad del servicio.

De modo que los sistemas de gestión de firma en nombre del firmante solo los pueden gestionar prestadores cualificados (aunque su cualificación no esté relacionada con la emisión de certificados).

El servicio en sí no se consideraba un servicio cualificado y por eso no se incluía en la lista de servicios cualificados publicada por el Organismo Supervisor. Los servicios cualificados en el contexto del eIDAS1 eran:

  • Servicio de expedición de certificados electrónicos cualificados de firma electrónica;
  • Servicio de expedición de certificados electrónicos cualificados de sello electrónico;
  • Servicio de expedición de certificados electrónicos cualificados de autenticaciónde sitios web;
  • Servicio de expedición de sellos electrónicos cualificados de tiempo;
  • Servicio cualificado de entrega electrónica certificada;
  • Servicio cualificado de validación de firmas electrónicas cualificadas;
  • Servicio cualificado de validación de sellos electrónicos cualificados;
  • Servicio cualificado de conservación de firmas electrónicas cualificadas;
  • Servicio cualificado de conservación de sellos electrónicos cualificados.

Pero tras la publicación del Reglamento (UE) 2024/1183 la prestación de servicios de gestión de firma remota en nombre del firmante sí se considera servicio cualificado.

En base a este reglamento se insertan cambios en el Reglamento EIDAS. En el artículo 3:

se insertan los puntos siguientes:

«23 bis) “dispositivo cualificado de creación de firma electrónica a distancia”, dispositivo cualificado de creación de firmas electrónicas que está gestionado por un prestador cualificado de servicios de confianza, de conformidad con el artículo 29 bis, en nombre de un firmante;

23 ter) “dispositivo cualificado de creación de sello electrónico a distancia”, dispositivo cualificado de creación de sellos electrónicos que está gestionado por un prestador cualificado de servicios de confianza, de conformidad con el artículo 39 bis, en nombre de un creador de sellos;»;

Y en el articulado:

En el artículo 29, se inserta el apartado siguiente:

«1 bis.   La creación o la gestión de datos de creación de firma electrónica o la duplicación de estos datos de creación de firma con fines de copia de seguridad se llevará a cabo únicamente en nombre del firmante, a solicitud de este, y por un prestador cualificado de servicios de confianza que preste un servicio de confianza cualificado para la gestión de un dispositivo cualificado de creación de firma electrónica a distancia.».

Se inserta el artículo siguiente:

«Artículo 29 bis

Requisitos aplicables a un servicio cualificado para la gestión de dispositivos cualificados de creación de firma electrónica a distancia

  1. La gestión de dispositivos cualificados de creación de firma electrónica a distancia como servicio cualificado se llevará a cabo únicamente por un prestador cualificado de servicios de confianza que:

a) cree o gestione datos de creación de firmas electrónicas en nombre del signatario;

b) no obstante lo dispuesto en el punto 1, letra d), del anexo II, duplique los datos de creación de firmas electrónicas exclusivamente con fines de copia de seguridad, siempre y cuando se cumplan los requisitos siguientes:

i) la seguridad de los conjuntos de datos duplicados debe ser del mismo nivel que el previsto para los conjuntos de datos originales,

ii) el número de conjuntos de datos duplicados no debe superar el mínimo necesario para garantizar la continuidad del servicio;

c) cumpla todos los requisitos definidos en el informe de certificación del dispositivo cualificado específico de creación de firmas electrónicas a distancia expedido en virtud del artículo 30.

  1. A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos a los efectos del apartado 1 del presente artículo. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

Se inserta el artículo siguiente:

«Artículo 39 bis

Requisitos aplicables a un servicio cualificado para la gestión de dispositivos cualificados de creación de sello electrónico a distancia

El artículo 29 bis se aplicará mutatis mutandis a los servicios cualificados para la gestión de dispositivos cualificados de creación de sello electrónico a distancia.».

Por tanto, en la actualidad ya se considera cualificado el servicio cualificado para la gestión de dispositivos cualificados de creación de firma electrónica a distancia. Sin embargo, el detalle técnico se conocerá cuando se publique el acto de ejecución que establezca la lista de normas de referencia y, en su caso, las especificaciones y los procedimientos aplicables.

2 comentarios en “Firma electrónica remota de documentos en eIDAS y eIDAS2

  1. Avatar de Julián InzaJulián Inza

    En lo que se centran las normas EIDAS y EIDAS2 es en el control del QSCD en nombre del firmante, que sólo puede ser realizado por un Prestador Cualificado, aunque no sea el que emite los certificados.

    En España se han desplegado funciones de emisión y custodia de certificados electrónicos centralizados de usuarios en el Sistema Cl@ve (denominado DNIe en la nube o firma centralizada). La entidad encargada de realizar las funciones de emisión y custodia de certificados electrónicos centralizados de usuarios del Sistema Cl@ve es la Dirección General de la Policía (DGP). La Gerencia de Informática de la Seguridad Social (GISS) actúa como prestador de servicios de firma con certificado electrónico centralizado.

    Los HSM de la policía y de la Seguridad Social se sincronizan por el subsistema de alta disponibilidad ya que es la misma tecnología de equipamiento.

    Los certificados cualificados llevan unos campos (QCStatement) en los que se indican que son cualificados. Los que se basan en QSCD llevan un campo en el que se indica que se basan en QSCD (QC_SSCD).

    Pero la inmensa mayoría de los certificados expedidos en España no incluyen QSCD. Incluso algunos que se gestionan en equipos HSM se expiden sin indicar el campo QSCD.

    Dado que solo hay firma cualificada si el certificado es cualificado y además indica el uso de QSCD, esto implica que casi no se usan firmas cualificadas e ESpaña

    Pero no suele ser problema porque tanto la Ley 39 2015 (artículo 10) como el RDL 6 2023 (articulo 20) admiten la firma avanzada basada en certificado cualificado.

    Responder
  2. Avatar de MiguelSolanoMiguelSolano

    En tu artículo argumentas muy bien, pero te quedan cositas nacionales.

    ▶️ La firma remota o en la nube en España. Al permitir activarla con Cl@ve no puede ser cualificada porque su obtención no ha sido cualificada

    ▶️ ¿Cómo se obtendría si se fuera riguroso? ¿Qu hacen las TTP que la comercializan? ¿Hay acto de registro?

    Responder

Replica a Julián Inza Cancelar la respuesta

Este sitio utiliza Akismet para reducir el spam. Conoce cómo se procesan los datos de tus comentarios.