Final Draft Regulatory Technical Standards y #eIdAS

1 respuesta

El artículo 25 del proyecto de norma técnica reguladora publicado por la EBA en cumplimiento del mandato de la Comisión Europea de desarrollo de la PSD2 (Segunda Directiva de Pagos) se refiere a los requisitos de identificación y el 29 al mecanismo específico de los certificados.

En este último artículo queda patente la importancia de los servicios de confianza definidos por el EIDAS (Reglamento UE 910/2014).

  1. Para el propósito de identificación, a que se refiere el artículo 21, apartado 1, letra a), los proveedores de servicios de pago  confiarán en certificados cualificados para generación de sellos electrónicos tal como se definen en el apartado 30 del artículo 3 del Reglamento (UE) n ° 910/2014 4 o en los certificados de autenticación de sitio webpara según se definen en el en el apartado 39 del artículo 3 de dicho Reglamento.
  2. A los efectos del presente Reglamento, el número de registro contemplado en la letra C del anexo III del Reglamento (UE) no 910/2014 se referirá al número de autorización correspondiente a los proveedores de servicios de pago que emiten instrumentos de pago basados en tarjetas (payment service provider issuing card-based payment instruments),  a los proveedores de servicios de información de cuenta (account information service provider) y a los proveedores de servicios de iniciación de pagos (payment initiation service provider), así como los prestadores de servicios
    de pagos de gestión de cuenta (account servicing payment service provider) que proporcionen dichos servicios, según consten  en el registro público del Estado miembro de origen del prestador, de conformidad con el artículo 14 de la Directiva (UE) 2015/2366 o según resulte de la notificación de cada autorización concedida al amparo del artículo 8 de la Directiva 2013/36 / EU de conformidad con el artículo 20 de dicha Directiva.
  3. A efectos del presente Reglamento, los certificados cualificados para generación de sellos electrónico  o para la autenticación del sitio web a que se refiere el párrafo 1 del presente artículo, deberán incluir varias menciones en lengua inglesa para reflejar los siguientes atributos específicos adicionales:
    (a) el papel del prestador de servicios de pago, que podrá ser uno o más  uno o más de los siguientes:  «account servicing payment service provider»; «payment initiation service provider»;  «account information service provider»;  «payment service provider issuing card-based payment instruments», respectivamente «proveedor de servicios de pago de gestión de cuenta», «proveedor de servicios de iniciación de pago», «proveedor de servicio de información de cuenta» y «proveedor de servicios de pago que emite instrumentos de pago basados en tarjetas».
    (b) la denominación de las autoridades competentes en las que el prestador de servicios está registrado.
    4. Los atributos mencionados en el apartado 3 no afectarán a la interoperabilidad y
    reconocimiento de certificados calificados para sellos electrónicos o autenticación de sitios web.

En el marco de #eIdAS es de aplicación el estándar EN 319 412 en sus partes 1, 3 y 4 (EN 319 412-1, EN 319 412-3 y EN 319 412-4) por lo que la mención del registro de entidades financieras correspondería a las siglas BA (Banking Authority).

eadt-logoPor ejemplo, el «serial number» del certificado cualificado del BBVA a los efectos de la autenticación como «Prestador de servicios de gestión de cuentas» en el marco de la segunda directiva de pagos (PSD2) debería identificarse con el valor  BA:ES0182

EADTrust ya está en condiciones de emitir certficados cualificados para prestadores de servicios amparados por la PSD2 y alineados con la versión publicada a finales de febrero de 2017 de los «Regulatory Technical Standards» de la European Banking Association.

Segunda directiva de servicios de pago (PSD2) y Regulatory Technical Standards

1 respuesta

La DIRECTIVA (UE) 2015/2366 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 25 de noviembre de 2015 sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) no 1093/2010 y se deroga la Directiva 2007/64/CE se publicó el Diario Oficial de la Unión Europea el 23 de diciembre de 2015. Deberá ser recogida por las leyes nacionales de los paises miembros de la UE a más tardar el 13 de enero de 2018.

Independiza la gestión de los servicios de pago de la titularidad de la cuenta, de forma que el cliente de varias entidades financieras podría utilizar un proveedor único para consolidar la información de todas sus cuentas bancarias y para iniciar operaciones, por ejemplo transferencias.

Estos proveedores especiales que acceden a las cuentas para obtener información y para realizar transferencias se denominan prestadores o proveedores de servicios de pago y deben adoptar prudentes medidas de seguridad, en especial para garantizar la debida autenticación de los usuarios. Además, deben contar con un adecuado mecanismo de notificación de incidentes de seguridad a a los supervisores  y a los usuarios.

Los servicios de pago previstos son:

  1. Servicios que permiten el depósito de efectivo en una cuenta de pago y todas las operaciones necesarias para la gestión de una cuenta de pago.
  2. Servicios que permiten la retirada de efectivo de una cuenta de pago y todas las operaciones necesarias para la gestión de una cuenta de pago.
  3. Ejecución de operaciones de pago, incluida la transferencia de fondos, a través de una cuenta de pago en el proveedor de servicios de pago del usuario u otro proveedor de servicios de pago: a) ejecución de adeudos domiciliados, incluidos los adeudos domiciliados no recurrentes, b) ejecución de operaciones de pago mediante tarjeta de pago o dispositivo similar, c) ejecución de transferencias, incluidas las órdenes permanentes.
  4. Ejecución de operaciones de pago cuando los fondos estén cubiertos por una línea de crédito abierta para un usuario de servicios de pago: a) ejecución de adeudos domiciliados, incluidos los adeudos domiciliados no recurrentes, b) ejecución de operaciones de pago mediante tarjeta de pago o dispositivo similar, c) ejecución de transferencias, incluidas las órdenes permanentes.
  5. Emisión de instrumentos de pago y/o adquisición de operaciones de pago.
  6. Envío de dinero.
  7. Servicios de iniciación de pagos.
  8. Servicios de información sobre cuentas.

Las entidades que se constituyan para prestar servicios de pagos deberán cumplir ciertos requisitos de capital en su constitución:  si la entidad de pago solo pretende prestar el servicio de pago del punto 6,  su capital  inicial deberá ser mayor de 20.000 EUR; si la entidad de pago solo pretende prestar el servicio de pago del punto 7, su capital inicial  deberá ser mayor de 50.000 EUR; si la entidad de pago pretende prestar cualquiera de los servicios de pago a que se refieren los puntos 1 a 5, su capital inicial deberá ser mayor de 125.000 EUR. Solo la prestación de Servicios de información sobre cuentas no impone requisitos especiales de capital inicial a las entidades que los presten.

Sin embargo, más importante que el importe de capital inicial son los fondos propios. Uno de los métodos de cálculo de fondos propios mínimos indicados en la directiva para las entidades de pago exige que superen el 10 % de sus gastos generales del año anterior o de los previstos en su plan de negocios, en caso de que no superen el año de actividad.

Para que la actividad de los nuevos prestadores de servicios de pago pueda desarrollarse sin fricciones de interoperabilidad es necesario que se estabilicen las normas técnicas impulsadas por la Autoridad Bancaria Europea (EBA European Banking Authority) «Regulatory Technical Standards«, en particular sobre los aspectos de «strong customer authentication» y «secure communication»

Sin embargo, los borradores publicados por la EBA se han visto como restrictivos con la competencia, en particular respecto a los nuevos modelos de negocio que pretende impulsar la Directiva 2015/2366.

En noviembre de 2016 los eurodiputados a cargo de la negociación con la EBA expresaron su preocupación por el hecho de que los proyectos de normas presentados por la Autoridad Bancaria Europea (EBA) para apoyar la innovación en el mercado de pagos serían restrictivos a los nuevos modelos de negocio.

En agosto de 2016, la EBA propuso los borradores de nuevas normas técnicas de reglamentación (RTS, Regulatory Technical Standards) sobre la autenticación fuerte de los clientes como parte de su mandato de establecer tales normas bajo la nueva Directiva de Servicios de Pagos (PSD2).

Estos RTS incluyen la «autenticación fuerte del cliente» que se deberán usar cuando sea necesario acceder a cuentas de pago en línea, o iniciar una operación de pago electrónico o «realizar cualquier acción a través de un canal remoto que pueda implicar un riesgo de fraude de pago u otros abusos».

También se aplican a los casos en que los pagos se inician a través de proveedores de servicios de iniciación de pagos (PISP, payment initiation service providers) o cuando los titulares de cuentas solicitan información sobre sus cuentas a través de un proveedor de servicios de información de cuentas (AISP, account information service provider ).

En el borrador de la norma, la EBA establece que los PSP deberían tener la libertad de decidir si se habilitan los pagos o el acceso a la cuenta a través de una «interfaz dedicada», que sería una interfaz común para el uso de la industria en su totalidad o a través de su propia interfaz de banca electrónica, lo cual implicará que los agregadores de información y los iniciadores de pagos tendrían que ir una por una adaptando las interficies a los requisitos de cada entidad financiera (desvirtuando el propósito de los RTS).

Sin embargo, en una carta a la EBA en nombre del Parlamento Europeo, los eurodiputados Markus Ferber y Antonio Tajani le transmitieron que «el equipo de negociación del Prlamento Europeo apoya el acceso directo por parte de los proveedores de servicios de iniciación de pagos (PISP, payment initiation service providers ) y de los de servicios de información de cuenta (AISP, account information service providers) a la cuenta del ordenante, sin que el proveedor de servicios de pago de cuentas (ASPSP, account servicing payment service provider) exija que utilice un modelo de negocio determinado para la prestación de su servicio, ya se base en el acceso directo o en el indirecto.

Feber y Tajani expresaron su preocupación de que permitir el empleo de una «interfaz dedicada» implica el riesgo de dar a los ASPSP la posibilidad de excluir o limitar el acceso directo a la cuenta del ordenante a través de las instalaciones bancarias en línea preexistentes.

Esta opción  sería contraria al principio establecido en la Directiva, que impone a la EBAel desarrollo de las RTS con el fin de asegurar y mantener una competencia leal entre todos los proveedores de servicios de pago y garantizar la neutralidad de la tecnología y los modelos de negocio.

Feber y Tajani dejaron claro que el Parlamento Europeo quiere que la EBA se asegure de que los PISP y los AISP puedan obtener acceso directo a cuentas a través de todas las interfaces orientadas al cliente proporcionadas por los ASPSP en todo momento.

La EBA también debe asegurar que los ASPSPs siguen rigurosamente las reglas impuestas por la Directiva PSD2 para permitir a los PISPs y a los AISPs el acceso seguro a las cuentas cuando dichas entidades usan las interfaces propias de los ASPSPs.

El pasado 23 de febrero de 2017 la Autoridad Bancaria Europea (EBA) publicó su borrador final de Normas Técnicas de Reglamentación (RTS) sobre la autenticación fuerte de los clientes y la comunicación común y segura. Estas RTS, establecidas en virtud de la Directiva sobre servicios de pago revisada (PSD2) y desarrolladas en estrecha cooperación con el Banco Central Europeo (BCE).

Draft Regulatory Technical Standards on Strong Customer Authentication and common and secure communication under Article 98 of Directive 2015/2366 (PSD2)

La EBA recibió 224 respuestas a su documento de consulta, en el que se plantearon más de 300 consideraciones o solicitudes de aclaraciones. En la tabla de comentarios publicada como parte de la RTS, la EBA ha resumido cada uno de ellos y ha proporcionado su evaluación sobre si se han realizado cambios en la RTS como resultado de tales consideraciones.

En particular, una de las principales preocupaciones tratadas en este proyecto final de RTS se refiere a las exenciones de la aplicación de la autenticación fuerte de los clientes en función del nivel de riesgo que implica el servicio prestado; la cantidad y recurrencia de la transacción; y el canal de pago utilizado para la ejecución de la transacción. A este respecto, la ABE ha introducido dos nuevas exenciones: una basada en el análisis de riesgo de transacción basada en niveles definidos de fraude y la otra en pagos en las denominadas «terminales sin vigilancia» para las tarifas de transporte o estacionamiento. La exención sobre el análisis del riesgo de transacción está vinculada a un nivel predefinido de fraude y está sujeta a una cláusula de revisión de 18 meses después de la fecha de solicitud de la RTS.

Además, la ABE ha aumentado también el umbral de las transacciones de pago a distancia de 10 a 30 euros y ha suprimido las referencias anteriores a la norma ISO 27001 ya otras características específicas de la autenticación fuerte de los clientes para garantizar la neutralidad tecnológica de la RTS y para facilitar futuras innovaciones.

Con respecto a la comunicación entre proveedores de servicios de pago de cuentas (ASPSP), proveedores de servicios de información de cuentas (AISP) y proveedores de servicios de iniciación de pagos (PISPs), la ABE ha decidido mantener la obligación de que los ASPSP ofrezcan al menos una interfaz para AISPs y PISP para acceder a la información de la cuenta de pago. Esto está vinculado al hecho de que el PSD2 ya no permite el acceso de terceros sin identificación (a veces denominado «simulación de usuario» o, en inglés»screen scraping») una vez transcurrido el período de transición previsto en el PSD2 para la aplicación de las Normas Técnicas Regulatorias  Regulatory Technical Standards.

La Directiva PSD2 establece que las RTS se aplicarán 18 meses después de su adopción por la Comisión de la UE como un acto delegado, por lo que es preciso que estas RTS se referencien oficialmente en una norma publicada en el Diario Oficial de la Unión Europea.

En el desarrollo de las tecnologías de Strong Customer Authentication claramente juegan un rol relevante los Prestadores de Servicios Electrónicos de Confianza que como EADTrust (European Agency of Digital Trust) aplican lo previsto en el Reglamento EIDAS.

 

 

Manu Ayerdi, visita Ingeteam 

Deja un comentario

La empresa centra su actividad en ámbitos relacionados con la Estrategia de Especialización Inteligente como las energías renovables y el vehículo eléctrico

El vicepresidente de Desarrollo Económico de la Comunidad Foral de Navarra, Manu Ayerdi, ha visitado las instalaciones de la empresa Ingeteam ubicadas en la Ciudad de la Innovación de Sarriguren (Valle de Egüés), con cuyo equipo directivo ha mantenido un encuentro de trabajo, y posteriormente se ha desplazado hasta Sesma para conocer la planta de producción que Ingeteam tiene en Navarra.

En su planta de Sesma, Ingeteam produce equipos que se instalarán en plantas de generación de energías renovables ubicadas en diferentes países: India, México, Brasil, Australia o Burkina Faso.

La tecnología de Ingeteam, diseñada y fabricada en Navarra, está presente en el 7,5% de los aerogeneradores y en el 3% de los parques solares de todo el mundo, habiendo suministrado más de 49 GW en el sector de las energías renovables.

Entre otras actividades de ingeniería industrial, Ingeteam ha suministrado más de 2.000 puntos de recarga para vehículos eléctricos en diversos países.

Esta empresa que emplea en Navarra a 455 personas de las que un 11% está dedicada a tareas de ingeniería y desarrollo de proyectos, es líder en contextos de Estrategia de Especialización Inteligente y Sostenible (S3, Smart Specialization Strategies o S4 Smart Specialisation Strategies for Sustainability) de Navarra como las energías renovables y el vehículo eléctrico.

Caber recordar que la especialización regional S3 apuesta por varias líneas de desarrollo tecnológico para Navarra como la generación eólica, la solar fotovoltaica y los sistemas de almacenamiento de energía. Además, se marca como reto para el periodo 2017-2019 el impulso del vehículo eléctrico.

Durante su visita, el vicepresidente Ayerdi ha estado acompañado por el director gerente de Ingeteam en Navarra, David Solé López; y los directores de las áreas de Automatización de Plantas de Generación, Javier Inza Ilundáin; de Eólica, Ana Goyen Pérez; de Fotovoltaica, Juan Carlos Jadraque Aznárez; y de Movilidad Eléctrica, Mikel Borrega Ayala.

De izda. a dcha.: Juan Carlos Jadraque, Ana Goyén, David Solé, el vicepresidente Manu Ayerdi, Mikel Borrega y Javier Inza

Ingeteam es una empresa multinacional con una plantilla global de 3.700 personas, de las cuales casi 500 trabajan en Navarra. El 11% de su plantilla y el 5% de su facturación anual se dedican a cuestiones relacionadas con la investigación, el desarrollo y la innovación (I+D+i). Su núcleo de negocio se basa en la tecnología de máquinas eléctricas, generadores y motores; en la electrónica de potencia y control; y en la ingeniería de aplicación. Por áreas, centra su actividad en el sector energético, el industrial, el naval y en el de tracción ferroviaria.

Noticia difundida por la Comunidad Foral de Navarra

Digitalización certificada en Francia

1 respuesta

España cuenta con legislacion sobre Digitalización Certificada desde 2007, inicialmente para el ámbito tributario y posteriormente para el ámbito de la administración electrónica y de la Justicia (GIS de Digitalización Certificada del CTEAJE).

En Francia se acaba de producir un hito importante en relación con la digitalización  certificada con la publicación del decreto «Décret n° 2016-1673 du 5 décembre 2016 relatif à la fiabilité des copies et pris pour l’application de l’article 1379 du code civil»

A pesar de la generalización del uso de las tecnologías de la información en las relaciones humanas, las relaciones jurídicas se han vinculado hasta hace poco al papel, por hacer más intuitiva la garantía de integridad, de autenticidad y por su facilidad de conservación (con todos los problemas del archivo y localización de la documentación). Al final, cuando se precisa reflejar los compromisos adquiridos por las partes en un contrato, el papel sigue siendo el medio preferido.

Sin embargo, ¿es posible escanear el papel para su almacenamiento en un sistema moderno de gestión de documentos electrónicos y destruir el documento original?

En Francia, la publicación del «Decreto N ° 2016-1673 de 5 de diciembre el año 2016 sobre la fiabilidad de las copias  a los efectos del artículo 1.379 del Código Civil» ha supuesto una pequeña revolución clarificadora. viene a traer la respuesta correcta a esta pregunta.

El contexto del Decreto del 5 de diciembre el año 2016

Durante mucho tiempo, es decir, a partir de una Ley de 12 de julio 1980, las reglas de la prueba de las obligaciones contractuales establecen que posible hacer prueba de los escritos con una copia que sea una reproducción «fiel» y «duradera» (art. 1348 del código Civil).

La ley de 13 de marzo del 2000 «que adaptó el derecho de la prueba a las tecnologías de la información y a las relativas a la firma electrónica»,  no había incluido ninguna previsión para dar cobertura al citado artículo del código civil.

Por tanto, se presentaba la controversia de si una copia electrónica de un documento escrito, de un contrato en papel, de un pedido, de un albarán. podría alcanzar el nivel de fiabilidad requerido por el artículo 1348 del Código Civil como evidencia de la misma manera que el documento original, si por ,casualidad, este se destruye o se pierde.

En 2016, el derecho contractual francés vio una reforma importante, que no había conocido desde 1804 con la adopción del Código Civil, por la ordenanza de 10 de febrero de 2016. Con motivo de esta reforma, el artículo 1348 del código civil, ahora la sección 1379 se ha renovado con la aclaración «se presume fiable salvo prueba en contrario toda copia resultante de una reproducción idéntica de la forma y el contenido de un acto, y cuya integridad está garantizada a lo lo largo del tiempo por un proceso conforme a las condiciones establecidas por decreto en Consejo de Estado «.

A pesar del riesgo de legislar con «patada para adelante» de los detalles, la respuesta del legislador no se hizo esperar y fue publicada el 5 de diciembre de 2016.

Condiciones de fiabilidad de la copia digital de un original en papel

El decreto del 5 de diciembre el año 2016 prevé dos situaciones en las cuales se considera que una copia es fiable.

Por un lado, cuando el método de reproducción conduce a la modificación irreversible del soporte de la copia. Esto en realidad repite el mismo antiguo artículo 1348 del Código Civil que fue adoptado en 1980 para apuntar, sin decirlo, la tecnología de microfilm, que es la que se venía usando en Francia.

En segundo lugar, y esto es la noticia, cuando se reproduce electrónicamente respetando una serie de condiciones establecidas por el decreto.

En primer reto técnico: la copia digital debe proporcionar una garantía de la integridad del documento original. La Sección 3 del Decreto establece que esta condición se cumple por una huella electrónica que garantiza que «cualquier modificación posterior de la copia a la que está unido es detectable».

La fiabilidad de la integridad de la huella se presume por el uso de una marca de tiempo cualificado o de un sello electrónico cualificado o de una firma electrónica cualificada en el sentido del Reglamento nº 910/2014 de 23 de julio de 2014 de servicios de identificación y de confianza electrónicos para las transacciones electrónicas en el mercado interior (eIDAS).

Se trata de una firma electrónica aplicada de forma automática por el sistema de archivo electrónico que crea la copia digital.

En la práctica, el Reglamento eIDAS establece que los proveedores de servicios electrónicos de confianza  que emiten sellos de tiempo, y certificados «cualificados» para la realización de sellos electrónicos o de firmas electrónicas  están sujetos a un control previo de un órgano de supervisión (en Francia el ANSSI), y se incluyen en una TSL (una lista de confianza)  establecida por cada Estado miembro y tienen derecho a utilizar la marca de confianza de la UE (definida en el Reglamento de ejecución 2015/806 de 22 de mayo de 2015 por el que se establecen especificaciones relativas a la forma de la etiqueta de confianza «UE» para servicios de confianza cualificados)

La preservación de la fiabilidad de la copia electrónica en el largo plazo, al menos, siempre y cuando queremos ser la capacidad de oponerse a la otra parte, se efectuará mediante el uso de un sistema de archivo electrónico ya contemplado en el Artículo 34 del EIDAS «Servicio cualificado de conservación de firmas electrónicas cualificadas» y para el que se prepara la normativa técnica de aplicación EN 319 512 «Long term data preservation services, including preservation of/with digital signatures»

Aunque esta norma no está cubierta explícitamente por el decreto de 5 de diciembre 2016. el marco del EIDAS hace que sea presumible su adopción.

 

Mientras, los tribunales franceses han dado por buena la cobertura que la norma  NF Z 42-013, proveía a las copias en microfilm. El Tribunal de Apelación de París, en una sentencia de 11 de febrero del 2016 había decidido que las copias de un contrato de apertura de cuenta realizados en el marco de un sistema de archivo electrónico desarrollado conforme a las especificaciones de la norma NF Z 42-013 contaban con el mismo valor probatorio que los originales.

 

«Simetría probatoria» y «Soporte duradero» en las firmas electrónicas

1 respuesta

Uno de los retos del mundo de las firmas electrónicas es que los documentos firmados electrónicamente puedan estar a disposición de los firmantes de forma permanente y que todos ellos puedan demostrar que las firmas electrónicas son válidas (o que no lo son).

A veces la complejidad del uso de los sistemas de firma electrónica puede hacer útil recurrir a una plataforma que gestione las firmas y que simplifique la operativa, sin merma de la validez jurídica.

Sin embargo, algunas entidades que ofertan plataformas orientadas a la contratación con firma electrónica se arrogan el rol de «tercero de confianza» escasamente definido en la normativa legal como un requisito para la validez de la recogida de las manifestaciones de voluntad por vía digital. La escasa preparación legal de sus interlocutores les permite afirmar con aplomo esa supuesta condición de «tercero de confianza» y con técnicas comerciales dudosas convencen, incluso, a departamentos jurídicos de grandes empresas.

Lo cierto es que no son necesarios los terceros de confianza en el sentido en el que los define el artículo 25 de la LSSI-CE. Y además quienes supuestamente ofrecen servicios de «tercero de confianza» no lo hacen en el sentido de la LSSI-CE

Artículo 25. Intervención de terceros de confianza.

1. Las partes podrán pactar que un tercero archive las declaraciones de voluntad que integran los contratos electrónicos y que consigne la fecha y la hora en que dichas comunicaciones han tenido lugar. La intervención de dichos terceros no podrá alterar ni sustituir las funciones que corresponde realizar a las personas facultadas con arreglo a Derecho para dar fe pública.

2. El tercero deberá archivar en soporte informático las declaraciones que hubieran tenido lugar por vía telemática entre las partes por el tiempo estipulado que, en ningún caso, será inferior a cinco años.

No solo no son necesarios los terceros de confianza, sino que pueden incluso ser sospechosos de ser afines a la parte que los contrata. Cuando se pone más énfasis en que sea un tercero quien dictamine sobre si se realizó o no una contratación, por ejemplo, en vez de dejar que las partes puedan tener la posibilidad de custodiar sus propia pruebas, se aplica un sesgo que se aparta de los usos y costumbres del comercio.

Además, el concepto ambiguo de «tercero de confianza» se asocia frecuentemente al de los notarios, que, en realidad no necesitan esa «muletilla» para que se les reconozca su labor, De esta forma la entidad que dice ser un «tercero de confianza» pretende ponerse al nivel de los notarios, cuando en realidad hay mucha diferencia entre sus roles.

En mi opinión los conceptos de «Simetría probatoria» y «Soporte duradero» son preferibles.

La «simetría probatoria» implica que ambas partes de un acuerdo bilateral o sinalagmático (aquel que genera obligaciones recíprocas para ambos contratantes desde su origen. como la compraventa, el arrendamiento, la permuta o el transporte) están en las mismas condiciones para demostrar su existencia, la validez de su firma y la de la firma de la contraparte

El «Soporte duradero» debe garantizar a las partes, al igual que el soporte papel, la posesión de la información o documentos  precontractuales o contractuales firmados  para que, en caso necesario, pueda ejercitar los derechos que dependan de la disponibilidad de los documentos, incluyendo los aspectos relativos a las evidencias electrónicas.

¿Cuantos tipos de firma avanzada existen?

1 respuesta

Según la legislación aplicable en España, y obviando la Ley 59/2003 que en lo esencial se ha visto sustituida por el Reglamento (UE) 910/2014 (EIDAS) se definen tres tipos de firma electrónica:

  • «firma electrónica (simple)», los datos en formato electrónico anejos a otros datos electrónicos o asociados de manera lógica con ellos que utiliza el firmante para firmar.
  • «firma electrónica avanzada», la firma electrónica que cumple los siguientes requisitos:
    • estar vinculada al firmante de manera única.
    • permitir la identificación del firmante.
    • haber sido creada utilizando datos de creación de la firma electrónica que el firmante puede utilizar, con un alto nivel de confianza, bajo su control exclusivo, y
    • estar vinculada con los datos firmados por la misma de modo tal que cualquier modificación ulterior de los mismos sea detectable.
  • «firma electrónica cualificada», una firma electrónica avanzada que se crea mediante un dispositivo cualificado de creación de firmas electrónicas y que se basa en un certificado cualificado de firma electrónica. Es equivalente a la firma manuscrita.

La firma electrónica avanzada puede ser:

  • No basada en certificados. En cuyo caso, la vinculación del firmante con lo firmado, la identificación del firmante y su creación con un alto nivel de confianza, bajo su control exclusivo, deberá gestionarse con técnicas apropiadas, incluyendo las criptográficas. Entre estas se encuentran las firmas biométricas.
  • Basada en certificados. En cuyo caso se dan dos variantes:
    • Certificados no cualificados.
    • Certificados cualificados. En cuyo caso se dan dos variantes:
      • No basadas en dispositivos cualificados de creación de firma
      • Basadas en dispositivos cualificados de creación de firma. Esta es la firma cualificada.

Muchas normas dan valor jurídico a diferentes tipos de firmas avanzadas (no solo a las firmas cualificadas). Por ejemplo, la Ley 18/2011 da valor de forma expresa a la firma avanzada basada en certificado cualificado, y no basadas en un dispositivo cualificado de creación de firma:

Artículo 14. Formas de identificación y autenticación.

1. La Administración de Justicia admitirá, en sus relaciones por medios electrónicos, sistemas de firma electrónica que sean conformes a lo establecido en (la ley 18/2011 hacer referencia a la Ley 59/2003, de 19 de diciembre, de firma electrónica, pero en la actualidad sta refeencia debe entenderse en relación con el Reglamento UE 910/2014) y resulten adecuados para garantizar la identificación de los firmantes y, en su caso, la autenticidad e integridad de los documentos electrónicos.

2. Sin perjuicio de lo dispuesto en los artículos 4 y 6 de la presente Ley y en todo caso, con sujeción estricta a lo dispuesto por las leyes procesales, los ciudadanos y profesionales del ámbito de la Justicia podrán utilizar los siguientes sistemas de firma electrónica para relacionarse con la Administración de Justicia:

(…)

b) Sistemas de firma electrónica avanzada, incluyendo los basados en certificado electrónico reconocido, admitidos por las Administraciones públicas.

c) Otros sistemas de firma electrónica, como la utilización de claves concertadas en un registro previo como usuario, la aportación de información conocida por ambas partes u otros sistemas no criptográficos, en los términos y condiciones que en cada caso se determinen.

No olvidemos que el Artículo 25 del Reglamento UE 910/2014 define los efectos jurídicos de las firmas electrónicas

1. No se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a una firma electrónica por el mero hecho de ser una firma electrónica o porque no cumpla los requisitos de la firma electrónica cualificada.

2. Una firma electrónica cualificada tendrá un efecto jurídico equivalente al de una firma manuscrita.

3. Una firma electrónica cualificada basada en un certificado cualificado emitido en un Estado miembro será reconocida como una firma electrónica cualificada en todos los demás Estados miembros.

Aunque la Ley 59/2003 ya no se considera de aplicación en sentido estricto, cabe mencionar una variante de firma electrónica definida en ella (en su artículo 3 apartado 10), que podria denominar «firma acordada»:

Cuando una firma electrónica se utilice conforme a las condiciones acordadas por las partes para relacionarse entre sí, se tendrá en cuenta lo estipulado entre ellas.

Publicidad digital de actos societarios

1 respuesta

EADTrust simplifica a las sociedades (cotizadas o no) el trabajo de publicación de los actos societarios de su empresa (cambios de administradores, ampliaciones de capital, convocatorias de juntas extraordinarias,…).

Además de gestionar todos los aspectos de la publicación digital, puede también coordinar la inservión de anuncios societarios en medios impresos, prensa local o nacional y publicaciones económicas .

Elija el diario en que quiere publicar su anuncio, háganos llegar el texto del mismo y le ofreceremos un presupuesto on line sin compromiso.

Ayudamos a gestionar:

  • Las convocatorias a las juntas generales, juntas ordinarias y/o juntas extraordinarias de S.A. y S.I.C.A.V.S.
  • Los complementos a las convocatorias de juntas generales de accionistas.
  • Las ofertas de adquisiciones.
  • Las transmisiones y/o emisiones de acciones.
  • Los cambios de domicilios, denominaciones y/o sustituciones de objeto social.
  • Las fusiones.
  • Las escisiones.
  • Los acuerdos de disoluciones, transformaciones en S.R.L. o S.L., balances, canjes de acciones y/u ofertas de adquisiciones.
  • Las liquidaciones.
  • Los aumentos de capital.
  • Las reducciones de capital.
  • Las suscripciones y/o emisiones de obligaciones.
  • Las subastas y concursos, según la Ley de Contratos de las Administraciones Públicas.
  • Levantamientos de actas previas a la ocupación en una expropiación.
  • Trámites de información pública.

Contacte llamando al 902 365 612 o al 91716 0555

Firma manuscrita digitalizada avanzada en las administraciones públicas

Deja un comentario

La digitalización de los administraciones públicas ha pasado a ser obligatoria con la aprobación de la Ley 39/2015 del procedimiento administrativo común y las administraciones públicas, estatales, autonómicas y locales deben dotarse de las herramientas necesarias para atender a los ciudadanos de una manera rápida, eficaz y segura.

La aplicación de la citada Ley 39/2015, de 1 de octubre, del procedimiento administrativo común de las administraciones públicas obliga a los entes públicos a evolucionar hacia la administración sin papeles de forma que las solicitudes y trámites puedan realizarse en formato electrónico. La administración íntegramente electrónica mejorará en eficacia y en eficiencia la gestión pública, dotará de mayor celeridad a los trámites y permitirá ahorrar costes a la administración y al administrado.

No obstante, digitalizar los procesos es una tarea costosa que requiere soluciones tecnológicas adecuadas.

La administración pública debe comprometerse a disponer de métodos digitales legalmente válidos y sencillos de usar, especialmente para los ciudadanos, para poder formular solicitudes, presentar declaraciones responsables o comunicaciones, interponer recursos, desistir de acciones o renunciar a derechos.

Los organismos públicos deben garantizar que los ciudadanos (incluyendo los representantes de las empresas)  puedan relacionarse con ellos a través de los medios electrónicos poniendo a disposición canales de acceso, sistemas y aplicaciones seguras.

Dos aspectos claves de esta relación son la acreditación de la identidad (según lo define el artículo 9) y la firma electrónica  (según lo define el artículo 10). Es importante señalar que muchos procedimientos requieren identificación  y otros requieren firma (cuando verdaderamente sea necesario prestar consentimiento).

Aunque la norma se orienta hacia la firma electrónica basada en certificados, deja margen para gestionar firmas avanzadas, no basadas en certificados, como sucede con el caso de la gestión de firmas manuscritas digitalizadas.

A la hora de implantar un sistema de firma manuscrita digitalizada en un organismo hay que tener en cuenta las garantías que se ofrecen por parte del sistema sobre seguridad técnica y jurídica. Es importante garantizar que durante el proceso de firma y de custodia del documento firmado electrónicamente no se podrán manipular los datos biométricos de la firma.

En el nuevo marco jurídico administrativo, muchos ciudadanos continuarán acudiendo a las oficinas de atención presencial para realizar sus trámites con la ayuda de funcionarios habilitados, pero los trámites se cursarán de forma digital. Tiene sentido que, aunque el funcionario se identifique y firme con su certificado electrónico, los ciudadanos que no se manejen con esa tecnología puedan firmar los escritos  de su puño y letra, pero de forma que el documento electrónico que firman preserve la información de su firma de forma digital.

Los sistemas de firma biométrica o grafométrica permiten firmar en una tableta u otro dispositivo móvil obteniendo una firma manuscrita en soporte digital  con valor legal. De esta manera se agiliza el trámite a realizar potenciando la administración electrónica.

La firma en tabletas o dispositivos móviles, a priori, no permite por si misma garantizar la integridad y autenticidad de la documentación firmada a no ser que se apliquen ciertas medidas de seguridad como el cifrado de la información biométrica.

Se debe usar una combinación de medios tecnológicos y de procedimientos que permiten dar garantías a la firma, recogiendo entre otras aspectos evidencias electrónicas del contexto de la transacción.

Las plataformas de  firma digital permiten la automatización del proceso administrativo de recogida de firma, de envío, de registro y de archivo. Y eventualmente de gestión de controversias respecto a la atribución de la firma al firmante, en un contexto en que se tenga que demostrar esta vinculación.

Para tener la certeza de que un  plataforma es adecuada para la gestión de firmas manuscritas digitalizadas avanzadas (FMDA) es conveniente que esta pueda aportar un certificado de idoneidad tras haber superado una auditoría.

EADTrust cuenta con experiencia para la realización de auditorías de FMDA y avala a las  plataformas y soluciones que han superado sus auditorías.

Son auditorías que se enmarcan en un esquema de evaluación que permite que en cada país pueda desarrollarse un modelo específico orientado al contexto normativo del país, especialmente en lo relativo a las normas procesales.

Entre los principios que se revisan se destacan los siguientes:

  1. Captura de elementos biométricos dinámicos de la firma asociados a sus datos de producción
  2. Vinculación biunívoca de los elementos biométricos con el documento firmado
  3. Imposibilidad de incrustar la firma en otros documentos
  4. Autenticidad del documento y vinculación con el firmante
  5. Confidencialidad de los datos biométricos y Protección de la información conforme a la LOPD
  6. Posibilidad de comprobar la firma por el titular
  7. Posibilidad de demostrar la validez de la firma en un proceso litigioso
  8. Simetría probatoria
  9. Soporte duradero
  10. Existencia de un procedimiento de detección y notificación a la autoridad de protección de datos de incidentes de seguridad que afecten a datos de carácter personal.

 

Cambios en las domiciliaciones SEPA desde noviembre de 2016

1 respuesta

En los dos últimos años, tanto las entidades financieras como las que giran adeudos por domiciliaciones a través de ellas, según la normativa «Cuaderno AEB 19 de recibos» (antiguo cuaderno CSB 19 o variantes modernas AEB 19.14 y AEB 19.44),  se  han ido adaptando a todos los cambios necesarios para cumplir con la normativa europea, de manera que todos los ficheros emitidos tuvieran el formato único europeo SEPA.

Actualmente en España existen dos modelos de cuadernos de adeudos SEPA que permiten presentarlos en plazos distintos, a elección del usuario y de la localización de la entidad de destino:

  • Esquema CORE: con plazos de 4 días si el adeudo es recurrente o último  y 7 días si el adeudo es el primero o único.
  • Esquema COR1: con plazos de 1 día antes de la fecha de vencimiento del recibo siempre que los adeudos sean nacionales.

A partir del 21 de noviembre de 2016, el esquema COR1 desapare en España y solamente se pueden enviar cuadernos en formato CORE.

Sin embargo, los plazos que tiene este esquema CORE a partir del cambio, son los mismos que el establecido para el COR1, es decir, todos los adeudos, sea cual sea su tipología se podrán presentar hasta un día antes de su fecha de vencimiento. Además ya no hace falta distinguir si el adeudo es el primero en caso de adeudo periódico o recurrente, sino que se delega a la entidad del deudor la operativa de identificar el primer adeudo en caso de este tipo de adeudos.

Por lo tanto, a partir de la fecha indicada sólo existirá un modelo de cuaderno 19, con todas las ventajas que supone el presentar cualquier tipo de adeudo hasta el día anterior a su vencimiento y que afectará por igual tanto al cuaderno tradicional (19.14) como al cuaderno de adeudos domiciliados orientados a empresas B2B (19.44).

FprEN 16931-1 Facturación electrónica – Parte 1: Modelo de datos semántico de los elementos básicos de una factura electrónica

1 respuesta

e-invoicingYa está disponible en las tiendas on-line de estándares el borrador de la norma FprEN 16931-1 Electronic invoicing – Part 1: Semantic data model of the core elements of an electronic invoice

Esta Norma Europea establece un modelo de datos semántico de los elementos centrales de una factura electrónica. El modelo semántico incluye sólo los elementos esenciales de información que una factura electrónica necesita para garantizar el cumplimiento legal (incluido el fiscal) y permitir la interoperabilidad para el comercio transfronterizo, transversal y para el comercio interior.

El modelo semántico puede ser utilizado por las organizaciones de los sectores público y privado para la facturación en un contexto de contratación pública.

También puede utilizarse para la facturación entre empresas del sector privado. Esta norma europea cumple al menos los siguientes criterios:

  • es tecnológicamente neutra;
  • es compatible con las normas internacionales de aplicación en materia de facturación electrónica;
  • tiene en cuenta las necesidades de protección de datos de carácter personal de conformidad con la Directiva 95/46 / CE, un enfoque de «protección de datos por diseño» y los principios de proporcionalidad, minimización de datos y limitación de objetivos; es compatible con las disposiciones de aplicación de la Directiva 2006/112 / CE;
  • permite el establecimiento de sistemas de facturación electrónica prácticos, fáciles de utilizar, flexibles y rentables;
  • tiene en cuenta las necesidades especiales de las pequeñas y medianas empresas, así como de los poderes adjudicadores subcentrales y las entidades adjudicadoras del sector público;
  • es apto para ser utilizado en transacciones comerciales entre empresas

Sin embargo, no recoge el elemento semántico que permita indicar el mecanismo de autenticidad e integridad previsto en la Directiva 2010/45/UE del Consejo, de 13 de julio de 2010, por la que se modifica la Directiva 2006/112/CE relativa al sistema común del Impuesto sobre el Valor Añadido, en lo que respecta a las normas de facturación.

OJO. No confundir esta norma con la ISO 19631 (2009) Animal and vegetable fats and oils. Determination of polymerized triacylglycerols by high-performance size- exclusion chromatography (HPSEC)

En español UNE-EN ISO 16931:2010 Aceites y grasas de origen animal y vegetal. Determinación de triacilgliceroles polimerizados mediante cromatografía de exclusión de tamaño de alta resolución (HPSEC). (ISO 16931:2009)