Firma electrónica en Banca

1 respuesta

Factura electrónica y DNI electrónico son conceptos unidos por algo más que por el “apellido” electrónico. Ambos son dos expresiones de la importancia que está adquiriendo la firma electrónica.

Los primeros proyectos de firma electrónica españoles se llevaron a cabo en el ámbito de las universidades y de las entidades financieras en 1995. Sin embargo, tras el tropiezo que sufrieron proyectos como GTA o Identrus, o las abortadas iniciativas PKI de Iberion, las entidades financieras han adoptado una actitud de "wait and see".

Algunas de ellas advierten el potencial que la nueva normativa (Ley 59/2003) otorga a la firma electrónica cualificada y empiezan a pensar en cómo adaptar las tarjetas de crédito EMV (tarjetas con chip que, según la normativa de Visa y Mastercard seberán sustituir a las actuales con banda magnética) para que permitan llevar a cabo todo tipo de trámites.

 Sin embargo, quizá el reto más importante y para el que pocas entidades están preparadas, es para el despliegue de servicios que se tiene que asociar al DNI electrónico. A partir del 15 de marzo de 2006, y a un ritmo de seis millones de documentos al año, los ciudadanos españoles dispondrán de un mecanismo que no sólo permitirá acreditar su identidad a distancia, sino firmar electrónicamente con el DNI y con su PIN, también en entornos presenciales.

Y las casi 40.000 oficinas bancarias españolas no están preparadas para esto.

En lo que sí empiezan a estar preparadas es en el despliegue de estructuras de gestión de facturas electrónicas, con lo que pueden ser el verdadero motor del éxito de la facturación electrónica en España.

Aunque la normativa europea que generalizará la validez de la factura electrónica es de 2001, las autoridades tributarias españolas adoptaron tempranamente medidas que aceleraran su adopción en España ya en el año 2002.

La Agencia Tributaria ha publicado un nuevo Reglamento de facturación en 2003 y ha simplificado en 2005 los requisitos de la factura rectificativa (que sustituye a la nota de abono, con grandes quebraderos de cabeza para las pymes).

Varias entidades financieras han comenzado a dar pasos en el uso propio de la factura electrónica y en el despliegue de plataformas para sus clientes que se enmarcarán en sus sistemas de banca electrónica para empresas.

Gracias a las facilidades que la nueva norma otorga a los mecanismos de facturación a través de terceros, la posible complejidad del uso de la firma electrónica queda escondida en un simplificado interfaz de usuario que se centra en lo esencial: emitir y recibir facturas, y gestionar su cobro o su pago o el anticipo de crédito a través de la entidad financiera.

Unicaja, Caja Madrid o Eurobits son interesantes exponentes de las mejores prácticas en el despliegue de plataformas de factura electrónica que, en manos de las empresas, mejorarán la eficiencia y la competitividad y conllevarán ahorros de hasta 4 euros por factura gestionada.

Interceptación legal de las Telecomunicaciones

5 respuestas

Ya es legal interceptar las telecomunicaciones.

El Real Decreto 424/2005, de 15 de abril, por el que se aprueba el Reglamento sobre las condiciones para la prestación de servicios de comunicaciones electrónicas, el servicio universal y la protección de los usuarios. (publicado en el BOE núm. 102, de 29-04-2005, pp. 14545-14588) establece en su sección terecera el régimen de interceptación de las telecomunicaciones.  

Sorprende el poco eco que ha tenido la publicación de esta norma (incluyo en forma de comentario toda la sección referida a la interceptación de las telecomunicaciones)

HalCash

1 respuesta

Hal Cash, el nuevo sistema de envío de dinero al móvil diseñado por Caixa Galicia y Bankinter, está ganando adeptos, al mismo tiempo que más entidades financieras se adhieren al sistema.  Además de las entidades mencionadas, ya están operativas en el sistema las siguientes entidades españolas: Bancaja, Banesto, Caja Laboral Popular, Cajamar y El Monte, y en Ecuador, Banco Guayaquil.

A través del sistema de banca electrónica de la entidad, o por diferentes canales, incluida las propias oficinas (depende de la entidad, y la forma que ésta haya elegido para desplegar el servicio) el ordenante indica el número de teléfono móvil al que quiere enviar el dinero. La entidad le devuelve un código de autenticación y envía al destinatario un SMS con un código de activación.

El ordenante comunica mediante una llamada telefónica el código de autenticación al beneficiario (en la que se cerciora de su identidad).

El beneficiario, con ambos códigos, acude a cualquier cajero automático de cualquiera de las entidades participantes, y obtiene el dinero. Dispone de 10 días, a partir de la fecha de envío, para retirar el dinero: si el dinero no es retirado por cualquier motivo, se devolverá el importe enviado a la cuenta corriente del ordenante.

Con este sistema se puede enviar el dinero incluso a quienes no tienen cuenta bancaria (de forma semejante a como funciona Western Union, o el clásico sistema bancario, hoy en desuso, de envío de dinero a una sucursal con indicación de «a disposición» que permitía entregar la cuantía tras identificar a la persona que se presentaba solicitándolo).

Dado que el sistema está diseñado para poder obtener dinero en los cajeros automáticos, es conveniente elegir una cuantía que sea múltiplo de las denominaciones habituales disponibles en los cajeros en el país de destino.

Otro de los aspectos destacables es el coste económico del envío, que ronda los 2 euros y que se reparte, según indican las entidades financieras participantes, del siguiente modo: 1 euro para el banco o caja que aporta el cajero, 0,5 euros para el banco o caja que inicia el envío y 0, 5 euros para HalCash por el servicio de intermediación.

El sistema incluye interesantes mecanismos de control para evitar su uso como mecanismo de blanqueo de dinero.

Seguro de Responsabilidad Civil de PSC

7 respuestas

Este es un tema sobre el que recibo consultas frecuentes, sobre todo después de mis comentarios en Foros Internet y el post de la semana pasada en este Diario.

Si no sirven ni el Aval ni el Seguro de Caución (aunque algunas entidades han optado por alguna de estas modalidades, designando un beneficiario espúreo), ¿cómo pueden los Prestadores de Servicios de Certificación contratar un seguro especializado de Responsabilidad Civil?

Aunque la cantidad de 3 millones de euros de la actual Ley 59/2003 de Firma Electrónica o la de 6 millones de euros del anterior Real Decreto Ley del año 1.999 son cantidades arbitrarias sin fundamentación, que crean una presión económica sobre los PSC hasta el punto de que puede hacer inviable la actividad económica asociada a la certificación, algún tipo de seguro es muy deseable.

La forma correcta de incluir en la Ley el requisito del seguro podría haber sido algo parecido a esto: "Los Prestadores de Servicios de Certificación que emitan certificados reconocidos serán responsables de los daños que causen como consecuencia del desarrollo de su actividad, tanto a los titulares de los certificados que expidan como a los terceros que confíen en ellos, para lo que deberán contar con la solvencia económica suficiente o disponer de un Seguro de Responsabilidad Civil, adecuado a a su actividad, que tenga en cuenta el número de certificados que gestionan, así como los usos o limitaciones de uso con los que se expiden".

Por lo demás, es cierto que este seguro obligatorio no lo ofrece ninguna entidad aseguradora española (lo sé de buena tinta porque en mi época de Camerfirma envié solicitudes por carta a todas las aseguradoras, e incluso a la Dirección General de Seguros).

Este tipo de seguros se contratan a través de brokers o corredores de seguros especializados, y es habitual que los respalde el consorcio Lloyds of London. Como producto, el más popular se denomina CFC "Click for Cover" y cubre de forma expresa "Actividades Electrónicas". Es por tanto un seguro adecuado no solo para Prestadores de Servicios de Certificación, sino también para otras empresas especializadas en alguna modalidad de Comercio Electrónico.

En nuestra empresa colaboramos con la Aseguradora que ofrece este servicio y ayudamos a contratarlo, para lo que es preciso completar una declaración de valoración de riesgos. Tras valorar la actividad y los riesgos, se procede a la contratación a través del corredor de seguros designado.

Un seguro de este tipo puede tener un coste de unos 30.000 euros al año, si bien la cuantía concreta se determina tras el análisis de riesgos.

Proyectos con Firma Electrónica

Deja un comentario

Los proyectos que utilizan firma electrónica están lidiando con problemas de cierta complejidad en los que intervienen el manejo de diferentes protocolos (algunos de ellos criptográficos), la gestión de certificados (con sus múltiples perfiles) y claves privadas, a veces, el uso de hardware criptográfico, y casi siempre, un entorno jurídico en efervescencia.

Muchas de las paranoias de los técnicos en el desarrollo de sistemas criptográficos correctamente implementados deben complementarse y, a veces, pueden sustituirse por un adecuado mecanismo de cobertura legal y, de ser necesario, por un seguro.

La seguridad absoluta no existe y la complejidad es enemiga de la seguridad. Prefiero una implementación más sencilla en la que un usuario pueda detectar un intento de engaño que una muy compleja que se quiebre del lado del usuario.

El enfoque mejor es el de seguridad "holística" en el que podamos evaluar qué perdemos cuando ganamos algo de seguridad en alguna parte de la implementación.

Al fin y al cabo, se trata de transmitir a los usuarios sensación de "confiabilidad" (lo cual tiene más de publicitario que de técnico), siendo diligentes en la atención al cliente en cualquier percepción que este tenga de que algo "no ha ido bien".

En todo caso hay que transmitir que "el sistema es seguro" y si en algún momento, alguien más listo encuentra un punto débil, los negocios jurídicos subyacentes no se verán afectados y la responsabilidad/quebranto, será asumido por su diligente prestador, dejando al usuario exonerado de toda responsabilidad.

En este sentido, no necesito aclarar que la firma manuscrita tiene graves inconvenientes, asumidos en general por los usuarios, pero que constituye una institución confiable porque se sabe (más o menos) qué hacer en caso de discrepancias.

Con la llegada del DNI electrónico empezaremos a tratar la firma electrónica con naturalidad, y veremos qué problemas resuelve y qué otros no resuelve. Incluso qué problemas crea y cómo se resuelven de modos no técnicos.

En todo caso, los problemas los resolverán las personas: no la tecnología.

Por poner un ejemplo, supongamos un contrato firmado por dos partes. ¿Qué pasa si la firma de uno de ellas, por culpa del bolígrafo (problema técnico) sólo contiene tinta en alguno de sus trazos y en su mayor parte no aparece bien escrita? ¿Vale el contrato? ¿Cómo puede demostrar la existencia del contrato la parte que posee la firma mal escrita?

La Amenaza Fantasma

3 respuestas

Aunque todavía no he recibido comentarios al POST anterior, sigo dándole al tema porque algunas cosas son menos obvias de lo que aparentan.

En el mismo sentido de la prgunta que he dejado en el aire, mi buen amigo César Belda, notario de Onda, gran experto en esto de la firma electrónica, ha dado el nombre de "La Amenza Fantasma" a una curiosa situación.

En la película de este título, perteneciente a la saga de "La guerra de las Galaxias", los malos tienen cientos de miles  de robots, pero un certero ataque a la nave controladora los deja a todos inactivos.

Esta situación presenta paralelismos con otra que se puede dar en el mundo de la firma electrónica: Uno de los requisitos para que una firma electrónica sea equivalente a la manuscrita, es que se acompañe de un certificado cualificado o "reconocido". Este, a su vez, debe ser expedido por un Prestador de Servicios de Certificación que emite Certificados Reconocidos, lo cual implica el cumplimiento de un elevado número de requisitos. Entre los requisitos hay uno, el de la constitución de una garantía económica de 3 millones de euros. La garantía puede ser mediante una de 3 formas:

  • Mediante un seguro de responsabilidad civil, que ninguna entidad aseguradora ESPAÑOLA proporciona. Además no existe previsión en el Consorcio de Compensación de Seguros ni en la Dirección General de Seguros de designar a una entidad para que diseñe el seguro (en los seguros obligatorios, como es este caso, la Ley del Seguro define que tiene que existir una forma de contratarlo).
  • Mediante un aval. Un aval no sirve para PSC porque el damnificado puede ser un titular del certificado o un tercero que confía, mientras que el beneficiario del aval puede ser uno que se nos haya ocurrido al contratarlo (por ejemplo, el Ministerio del Ramo, que no sé con qué excusa podría ejecutarlo)
  • Mediante un seguro de caución. Este es exactamente el mismo caso que el del aval, salvo por el matiz de que la garantía la proporciona una aseguradora en vez de una entidad financiera.

Bueno, como se ve, no hay forma de cumplir en España este requisito legal. Salvo por el pequeño matiz de que alguna aseguradora extranjera sí cuenta con seguros de este tipo (por cierto, también de dudosa ejecutabilidad, dadas las condiciones de contratación).

Bueno, a lo que iba. ¿qué pasaría si, por ejemplo, el PSC no renueva la póliza de seguro, o pasa un tiempo entre el vencimiento y su renovación?

¿dejan de servir los certificados? ¿la firma electrónica ya no es equivalente a la manuscrita? ¿lo firmado deja de ser válido? Es decir, ¿le pasa a la firma electrónica lo que a los robots de la amenaza fantasma? 

La ley 59/2003 de Firma Electrónica

1 respuesta

Al intentar encontrar información sobre un aspecto que me preocupa de la aplicación de esta Ley, he dado con un artículo muy interesante escrito por la persona más directamente involucrada en su desarrollo, durante los años 2002 y 2003.

De paso, he encontrado un pequeño "kiosko virtual" en el ministerio de Industria, Comercio y Turismo, con los diferentes números de la revista Economía Industrial en formato electrónico.

El artículo de Salvador Soriano es un riguroso repaso a la Ley 59/2003, en un tono menos jurídico, pero eligiendo un lenguaje muy preciso, que no pueda dar lugar a falsas intepretaciones.

Por eso no he logrado confirmar ni desechar mi teoría sobre el tema, que expongo aquí por si hubiera algún amigo que quisiera comentar y exponer su punto de vista.

Lo que yo sostengo es que una firma electrónica es que es, ante todo, firma, y que el certificado que la acompaña es circunstancial a la firma, en el sentido de que puede reforzar presunciones hacia su reconocimiento pero no contra el.

Dicho con otras palabras: si los datos del certificado aportan algo a lo firmado, se acepta su relevancia, y si no, es como si no existieran.

Un ejemplo: supongamos que en un certificado se indica que una persona (Fulanito de Copas) es apoderada de la empresa "Aridos del Norte" y de "Bituminosos del Norte", para lo cual dispone de los poderes en papel, recién inscritos en el registro mercantil. Además acaba de obtener un "Certificado de Representante" en el que se señala la vigencia de sus poderes en Aridos. Supongamos que Fulanito trata con Menganito de Oros, apoderado, debidamente acreditado de "Carreteras del Sur", y que acuerdan la venta de Aridos y Bituminosos para la ejecución de proyectos de Carreteras. Firman un contrato en PDF con sus respectivos certificados entre Bituminosos y Carreteras, tras mostrarse su poderes. Sin embargo, Fulanito emplea para firmar el certificado en el que solo se expresa su capacidad de representación en Aridos.

¿Es válido el contrato?

Avances en VISA y Master Card

6 respuestas

La SEPA (Single Euro Payment Area) será la zona de Europa en la que los usuarios podremos utilizar los servicios bancarios de forma equivalente a como lo hacemos en la actualidad en nuestro propio país.

Entre los objetivos más importantes de simplificación y ahorro de costes están los que se refieren a las transferencias bancarias (payment orders), los adeudos por domiciliación (direct debit) y las tarjetas de crédito.

Las entidades financieras están trabajando en los distintos frentes, y cuentan con aliados poderosos en lo que se refiere a las tarjetas de crédito.

Estos últimos años, las marcas de medios de pago han afrontado retos importantes, como los que se refieren al despliegue de los sistemas de pago para internet (3D Secure Verified by Visa y MasterCard Secure Code )

En el caso de EMV, la especificación de tarjetas chip, destinada a luchar contra el fraude en las operaciones "off-line", la posición española era resistente. En España, las operaciones se realizan mayoritariamente "on-line", con una estructura de costes de telecomunicaciones envidiable desde la óptica de las entidades financieras de los países vecinos, de forma que el nivel de seguridad es muy alto, y el fraude, comparativamente bajo.

Las entidades españolas, que ya habían decidido demorar el despliegue de tarjetas EMV a sus titulares hasta 2008, habían acometido ya la conversión de TPVs (Terminales Punto de Venta, terminales financieros de recogida de operaciones electrónicas con tarjetas de crédito, de débito y monedero) y Cajeros Automáticos, como consecuencia de la aplicación, desde el 1de enero de 2005, de las nuevas reglas europeas de atribución de responsabilidades en transacciones fraudulentas.

Sin embargo, las nuevas reglas SEPA imponen que antes de 2010, EMV esté completamente desplegado en la "Zona Euro", de forma que las entidades españolas tendrán que acometer las grandes inversiones que estaban intentando demorar.

Estas exigencias de grandes inversiones se producen además en un momento en el que la banca española viene de negociar, con la intermediación del Ministerio de Industria, Comercio y Turismo un plan de reducción de comisiones que tiene que completarse en tres (3) años.

El mundo de los Medios de Pago está viviendo los "tiempos interesantes" de la maldición china, en los que tan importantes son los retos como las oportunidades, con tasas de adopción de medios de pago crecientes siempre.

En estos tiempos interesantes, no será seguramente, el reto menor la anunciada salida a Bolsa de Master Card. Baldomero Falcones, actual presidente del Consejo de Administración de Master Card anunció en el reciente evento CIT 2006 organizado por IIR España la salida a Bolsa de la entidad, reservando un 10% (el control bisagra) a una Fundación.

Armonización europea de la factura telemática

1 respuesta

Veo con disgusto que en la próxima reunión de trabajo abierta de factura electrónica en el marco del Comité Europeo de Normalización se presentan borradores de documentos sobre el grado de avance en la adopción de la factura electrónica en Europa que, además de incompletos y sesgados, reflejan una notable ausencia: la de España. No sé si es que los miembros del grupo de trabajo, coordinado por AFNOR (el equivalente de AENOR en Francia) no preguntaron o no recibieron respuesta, pero me parece una ausencia injusta.

La reunión es en Bruselas el próximo dia 11 de abril de 2006, con motivo de los trabajos del CEN/ISSS Workshop on «Interoperability of Electronic Invoices in the European Community» .

La página web del Comité de Interoperabilidad de las Facturas Electrónicas en la Comunidad Europea está hospedado en AFNOR.

A la vista de los propios esfuerzos de normalización de la factura electrónica por la Agencia Estatal de Administración Tributaria, España está muy infrarrepresentada en estos trabajos del CEN.

Lo cierto es que desde la publicación de la Directiva 115 del año 2001, la unión europea está manifestando un gran respaldo a la facturación electrónica, dentro del esfuerzo de armonización de los mecanismos tributarios relacionados con el IVA (Impuesto sobre el Valor Añadido) y la facturación de las empresas y de los profesionales.

Parte de ese esfuerzo puede verse en estas Reglas de Facturación del IVA.

Por otro lado, es inevitable plantearse cómo de sincronizados van los esfuerzos de normalización de la factura a nivel técnico, lo que claramente es un objetivo de este grupo de trabajo, respecto a los grupos de trabajo de OASIS que están avanzando no solo en el mensaje de factura, sino en otros mensajes necesarios en la comunicación entre empresas. De hecho, estamos en la fase previa a la publicación de la versión 2.0 de UBL.  

La banca pacta un nuevo sistema centralizado para frenar el fraude

1 respuesta

Las estafas crecen un 20% al año y ya provocan pérdidas de 110 millones.

Un tipo que logra suplantar la personalidad de un cliente desviando dinero de su cuenta o usando su tarjeta de crédito, otro que solicita préstamos en distintas entidades en varios puntos del país con datos falsos, un tercero que hace creer en Internet que su página web es la de determinada caja de ahorros… Morosos e impostores logran timar cada año a las entidades financieras y a sus clientes en torno a 110 millones de euros al año. Y el problema crece a un ritmo del 20% anual. Internet y la banca telefónica multiplican además las posibilidades

Para intentar frenar el problema, el Centro de Cooperación Interbancaria (CCI), la asociación que agrupa a más de 200 bancos y cajas de toda España, está promoviendo el proyecto llamado Servicio de Prevención del Fraude. El grupo Santander, el BBVA, el Banco Popular, Bankinter, el Banco Pastor, el Banco Gallego, el Banco de Finanzas e Inversiones y la Caja de Ahorros del Mediterráneo han acordado ya su implantación, según ha podido saber EL MUNDO.

El proyecto, que será presentado en las próximas semanas al Ministerio del Interior y que puede arrancar este mismo año, está encabezado con la creación del llamado Centro de Observación del Delito Económico. «Se trata de un equipo profesional contratado, formado por expertos en la lucha contra el fraude», según afirma Rafael Marín, director de Administración del CCI.

El Code se encargará de vigilar la red y difundir alertas tempranas de nuevos fraudes para prevenir a los asociados del CCI, a sus clientes y al público en general. Se convertirá en un centro de estudio del delito en España, capaz de colaborar con las fuerzas de seguridad y en la formación del personal bancario.

Y, sobre todo, el proyecto prevé la creación de tres bases de datos con un sistema centralizado. «Hasta ahora, cada entidad se defiende como puede del fraude, pero uniendo fuerzas en un sistema que proporcione alertas a todos los bancos y cajas se puede ser mucho más eficaz», afirman los promotores.

Intentos. El fichero de Solicitudes y Operaciones Registradas (SOR) almacenará los datos de fraudes conocidos que han afectado a los usuarios en algún momento. Las entidades que lo han sufrido alimentarán esta base con sus datos y utilizarán herramientas automáticas de análisis de solicitudes.

DNI robado. El Servicio de Actualización de Datos Personales (SADP) integrará en una base de datos los datos de personas físicas y jurídicas que se quieran incluir voluntariamente en un fichero de vigilancia. Personas que han perdido su documentación o que han sufrido un robo pueden darse de alta. Si alguien pretende realizar una operación financiera con sus datos serán avisados en tiempo real. «Por ejemplo, se les enviará un mensaje a su móvil de que alguien intenta algo con sus cuentas en ese momento», explica Marín.

Incoherencias. La base de datos de información de solicitudes (SOL) comparará posibles incoherencias. Si una misma persona pide un préstamo en BBVA alegando que gana 50.000 euros y al día siguiente solicita otro en el Santander asegurando que su sueldo son 55.000, será descubierto. «Ningún banco sabrá a qué otra entidad se ha dirigido, pero sí que esa persona está dando datos incoherentes en otras oficinas», resume Marín.

Intimidad. Los promotores aseguran que el proyecto no va a poner en peligro la intimidad de los usuarios, «al contrario, se van a ver más protegidos». El CCI ha mantenido reuniones con la Agencia de Protección de Datos y el Banco de España y, de acuerdo con Interior, será explicado a las fuerzas y cuerpos de seguridad del Estado.

La tentación vive en la casa de al lado
Un ejemplo de fraude que los promotores del proyecto creen que podrán atajar es el del vecino defraudador. Se trata de un caso real que sucedió en Reino Unido y que fue neutralizado por un sistema de alerta temprana similar al que la banca española quiere introducir ahora en el país.

Un ciudadano que preparaba un cambio de vivienda cedió la llave a su vecino durante un tiempo y le pidió que le recogiera su correspondencia.

El vecino no resistió la tentación de abrir las cartas del banco y, al ver la existencia de fondos y cuentas, decidió hacer fortuna.Se hizo con claves que encontró en la vivienda y utilizó el servicio de banca telefónica de la entidad financiera. Siguió los pasos correctamente para desviar fondos a sus cuentas, pero cometió un error. No supo responder a una pregunta del banco sobre la fecha de nacimiento del cliente y colgó.

La equivocación bastó para que saltara una alerta en el sistema y que una investigación de la procedencia de la llamada, puesta posteriormente en conocimiento de la policía, sirvieran para descubrir todo el pastel.

El proyecto que impulsa el CCI no afecta al ya existente Registro de Aceptaciones Impagadas (RAI).

El RAI es el fichero utilizado por los bancos para ver si una empresa ha devuelto letras o pagarés; es propiedad del CCI y sólo se puede acceder caso a caso y tras consultar un informe.

Fuente: El Mundo
13.03.06

Noticias relacionadas: