Este trabajo está orientado a desarrollar un estudio generalizado sobre la forma de funcionamiento de la firma electrónica, y de su especie la firma digital, con el fin de plantear los principales problemas que la misma plantea, orientándonos en lo que refiere a la inseguridad que estos métodos pueden despertar en la sociedad, y analizar sus posibles soluciones.

La Internet es una red de redes, creada en 1969 bajo el nombre de Arpa Net, mediante subsidio estatal por investigadores académicos de los Estados Unidos. Recién en 1991 se autorizó la actividad comercial en su seno, que hasta entonces estaba prohibida. De ahí en mas, la Internet fue desarrollándose y creando nuevas posibilidades mediante su utilización,  tanto para las personas, como para las empresas, y hasta para los estados entre sí y en su propio seno.

Esto va acompañado de un creciente proceso de globalización mundial del cual ya nadie es ajeno.  Dicho proceso de integración de las economías, de las políticas, de las legislaciones y de las culturas se está produciendo a un paso sumamente acelerado y seguro. A su vez, Internet ha despertado el interés de empresarios y comerciantes, que han visto en ella una buena oportunidad de abaratar los costos de sus transacciones comerciales y de llegar a un mayor número de personas.

Sin embargo, las transacciones comerciales a través de la red despiertan fundadas sospechas en la sociedad, las cuales encuentran su base fundamentalmente en los siguientes puntos: -Hay una falta de conocimiento generalizado acerca del funcionamiento de estos nuevos sistemas.

-La alta complejidad técnica que estos métodos entrañan que vuelve difícil este propósito de educación popular sobre el tema.

-Como consecuencia de lo anterior, el miedo que todo ser humano siente hacia lo desconocido.

Pero el camino no es cerrarse a lo desconocido, sino buscar métodos que aseguren a las personas y a las empresas la seguridad de sus transacciones y del intercambio de sus documentos, para así de esta forma permitir que la tecnología esté al servicio del hombre, y no el hombre esclavizado a la tecnología.

Cuando uno habla de comercio electrónico existen 2 tipos de definiciones:

-         Por un lado tenemos las definiciones más amplias y más comprensivas, las cuales incluyen todas las transacciones tanto financieras como comerciales que se llevan a cabo electrónicamente, no solo a través de Internet, sino también por redes cerradas como el EDI (incluye transacciones comerciales entre empresas, intercambios de datos entre empresas, etc.), el EFT(intercambio electrónico de fondos),así como todas las operaciones de las tarjetas de crédito o débito.

En esta concepción, el comercio electrónico hace uso de otro numeroso grupo de tecnologías, como pueden ser , el fax, los códigos de barras, los workflow management sistems, las videoconferencias, etc.

-         Por otro lado tenemos las definiciones más restrictivas, las cuales tienden a asociar el concepto de e-commerce exclusivamente con las transacciones minoristas que se realizan por la red( B2C: business to consumers)

Entre estos dos extremos podemos tomar como aceptable, la elaborada por la organización de cooperación y desarrollo Económico :

Serían”Las transacciones económicas que se efectúan por redes abiertas como Internet”.

En cuanto al panorama internacional encontramos como uno de los primeros intentos por la regularización del comercio electrónico, a la ley modelo de las Naciones Unidas sobre comercio electrónico. Esta ley fue promulgada por la Secretaría en el año 1996. Dicha ley modelo tiene por objeto enunciar los procedimientos y principios básicos que los países deberían incorporar en sus legislaciones para facilitar el empleo de las técnicas modernas de comunicación, para asignar y transmitir información utilizando dichas técnicas.

En cuanto a la validez  y eficacia de la firma y del documento electrónico, la ley modelo trata de determinar la función básica de cada uno de los requisitos de forma de  la documentación sobre papel, con el fin de determinar los criterios que de ser cumplidos permitirán la atribución a ese mensaje de un reconocimiento legal equivalente al de un documento en papel.

Encontramos en España un gran desarrollo  de este tipo de contratación  a nivel legislativo

En el año 1997 se realizó un Anteproyecto de ley de comercio electrónico para aplicar en la comunidad económica europea. En el mismo se regula el régimen de actuación de los prestadores de servicios de la sociedad de la información, de las comunicaciones comerciales, de la contratación por vía electrónica, la responsabilidad de los prestadores de servicios, códigos de conducta, el régimen de resolución judicial y extra judicial de los conflictos, etc.

En España se ha impulsado notablemente, de allí en más la utilización de medios electrónicos no solo en las transacciones comerciales, sino que existen proyectos en consideración sobre la aplicación de diversas técnicas de firma digital y autenticación de documentación en diversas áreas como puede ser en el ámbito de la administración y del funcionamiento interno del Estado y del Poder judicial.

Encontramos leyes sobre firma digital también en otros países de Europa como ser Alemania, la ley sobre firma digital de este país regula los certificados de las claves y la autoridad certificadora. A su vez define a la firma digital como un sello digital con una clave privada asociada a una clave pública, certificada por una entidad de certificación. Esta ley del 19 de septiembre de 1996 es el primer proyecto de ley sobre firma digital en Europa.

En Italia, la ley N° 59 del 15 de marzo de 1997, es la primera norma del ordenamiento jurídico italiano que recoge el principio de la plena validez de los documentos electrónicos.

Se define la firma digital como el resultado del proceso informático de validación, basado en un sistema de claves asimétricas o dobles, una pública y otra privada, que permite al suscriptor transmitir la clave privada y la clave pública al destinatario para verificar la procedencia y la integridad de un documento informático.

Así podemos encontrar leyes similares en distintos países de Europa y también en distintos Estados de los Estados Unidos de América., y en América latina (Perú, Argentina, Chile, Brasil, y Uruguay) comenzamos a ver los primeros intentos de regulación de la materia.

En estos países de América Latina el primer paso ha consistido en aceptar el uso de la firma electrónica en el interior de la Administración Pública, este es el primer paso, que sin duda culminara con la aceptación del uso de la firma digital también fuera de la misma, tal es la situación actual de la legislación uruguaya.

Como primer antecedente podemos citar la ley N° 16713 del 3 de Septiembre de 1995. Esta ley es una ley de seguridad social, en la cual en su art. 84 se establece que en los cheques que emita el Banco de Previsión Social, destinados al pago de jubilaciones, pensiones y otros beneficios, podrá sustituirse la firma autógrafa por signos o contraseñas impuestos mecánica o electrónicamente.

También podemos citar el art. 695 inc. final de la ley 16736 del 5 de enero de 1996, según el cual se establece que en sede de expedientes administrativos  “la firma autógrafa podrá ser sustituida por contraseñas o signos informáticos adecuados”. Aquí vemos la primera inclusión de la firma electrónica  en el ámbito de la administración.

Luego encontramos el decreto 65/998, reglamentario de la ley 16736, de fecha del 10 de marzo de 1998, que en su art. 1° inc. Final, establece: “Cuando la substanciación de las actuaciones administrativas se realice por medios informáticos, las firmas autógrafas que la misma requiera podrán ser sustituidas por contraseñas o signos informáticos adecuados”.

Complementando esto, el decreto N° 312/998 del 3 de noviembre de 1998,establece el uso de la firma  electrónica para el Documento Único Aduanero y para la declaración de Valor de Aduanas cuando se realicen por medios electrónicos.

La recientemente aprobada ley de urgencia de junio del 2000 establece en su artículo 25:

“Autorizase en todo caso la firma electrónica y la firma digital, las que tendrán idéntica validez y eficacia a la firma autógrafa, siempre que estén debidamente autenticadas por claves u otros procedimientos seguros de acuerdo a la tecnología informática.

La prestación de servicios de certificación no estará sujeta a  autorización previa y se realizará en régimen de libre competencia, sin que ello implique sustituir o modificar las normas que corresponde realizar a las personas facultadas para dar fe pública o intervenir en documentos públicos.”

Con este artículo se amplía en derecho positivo uruguayo el alcance de la firma electrónica más allá de el ámbito de la administración pública. El inciso 1° nos dice que será de aplicación en” todo caso”. En el inciso 2° se introduce la previsión de los llamados “ servicios de certificación”.

La criptografía que es el mecanismo que se utiliza en la firma electrónica necesita una “tercera parte de confianza”(trusted third party), habitualmente identificada como una entidad de certificación.

Dicha norma prevé 2 aspectos principales con relación a los servicios de certificación:

-que esta prestación no estará sujeta a autorización previa, y que se realizará en régimen de libre competencia

-que la misma no implica sustituir o modificar las normas que regulan las funciones que corresponde realizar a las personas facultadas para dar fe pública o intervenir en documentos públicos.

Esta norma de nuestra primera ley de urgencia fue inspirada en el decreto-ley español N° 14/1999 del 17 de septiembre de1999 que establece una norma similar en esta materia. Nuestra ley al igual que la española, en cuanto al punto de si las entidades de certificación pueden constituirse libremente, o si se requiere un acto habilitante de un órgano estatal, opta por el sistema de la libertad, lo cual no exonera (o no debería exonerar) a quienes pretendan brindar este servicio de cumplir con requisitos mínimos de confiabilidad y solvencia. A su vez se encarga de indicar, que dicha prestación de servicios de certificación no interferirá con las normas que regulan la función notarial.

La firma es un signo elegido por la persona que hará uso de el, y tiene fundamentalmente 2 funciones:

-sirve para identificar quién es el autor del documento.

-significa la asunción del contenido por el autor de la firma.

Sobre todo cuando se trata de un contrato, la firma es el signo principal que representa la voluntad de obligarse por parte del firmante. Por tanto la firma cumple una función identificativa del autor, y una función declarativa, en tanto por medio de ella se acredita la prestación del consentimiento al contenido del escrito.

La forma tradicional es la forma manuscrita, otras formas consideradas dentro de las tradicionales son los sellos, las estampillas, las huellas digitales, etc. De ésta consideración podemos concluir que no es imprescindible que la  firma sea realizada a mano mediante un garabato.

A estos medios tradicionales, debemos agregar formas modernas de identificación, que se realizan en la actualidad, tales pueden ser:

-técnicas basadas en passwords o consignas, las cuales nos dan acceso al documento, tanto para emitirlo, como para recibirlo.

-medios biométricos, como por ejemplo las exploraciones de retina, que registran una “firma visual” del individuo almacenándola en un microprocesador, etc.

-Los algoritmos simétricos, en los cuales, mediante la criptografía simétrica, los documentos se cifran y se descifran con una misma clave secreta. Con esta misma clave secreta y única que el receptor posee, este puede cifrar y descifrar en su caso.

-Finalmente llegamos a la firma digital, la cual se basa en algoritmos de clave pública o asimétricos. En estos casos se utilizan 2 claves diferentes: una para cifrar, que solo conoce el dueño de la misma, y otra para descifrar que es pública. Ambas claves están relacionadas matemáticamente. No obstante el calculo inverso debería ser de tal complejidad, que fuera imposible, a partir de la clave pública obtener la clave privada. Es del caso aclarar que la firma digital no es lo mismo que la firma electrónica. Firma electrónica es el género, y firma digital es la especie.

La firma digital esta basada en el uso de la criptografía asimétrica o de clave pública. La criptografía es la transformación de un mensaje de datos en una forma ilegible para todo aquel que no posea la clave para  desencriptar el mensaje de datos. La transformación de un mensaje de datos en un mensaje imposible de leer se llama encriptar, el procedimiento inverso, la transformación de un mensaje ilegible en un mensaje legible se llama desencriptar.

El objetivo de esta es obtener la confidencialidad de la comunicación.

En este tipo de criptografía, los documentos se cifran y se descifran con una misma llave o clave, que ambas partes conocen.

La confidencialidad se logra, porque sólo las partes conocen esa clave secreta.

La finalidad de la criptografía asimétrica es garantizar la autoría del mensaje, y su integridad.  Este algoritmo se basa en que cada uno de los intervinientes tiene 2 claves, una pública y una privada (secreta).

La clave privada es conocida solo por el emisor, mientras que la clave pública, es pública.

Ambas claves están relacionadas entre sí, de forma tal, que conociendo la clave pública, no es posible averiguar la privada. Esta sería la forma de asegurar la confidencialidad y autenticidad de la transacción.

Sin embargo, debido a la rapidez con que aumentan y se desarrollan los conocimientos matemáticos, no hay que descartar la posibilidad de que en un futuro no muy lejano este método ya no sea seguro, y deba ser remplazado por otro mejor.

Mediante este sistema, una vez encriptado el mensaje, este es irreversible, es inmodificable. La clave que se utiliza para encriptar no puede desencriptar, y lo mismo sucede con la llave que sirve para desencriptar.

Así vemos como se refleja la autoría del mensaje, ya que el receptor del mismo, sólo podrá descifrar el mensaje, si la clave pública que este posee de su emisor, se asocia con la clave privada del mismo

A su vez, el receptor del mensaje no podrá modificar el contenido del mismo, porque las claves son unidireccionales (una cifra, la otra descifra). A través de este procedimiento, se puede obtener también la confidencialidad de la comunicación. Para ello, una vez firmado el documento con la clave privada por el emisor, éste procederá a su ves a encriptar el mismo documento con la clave pública del receptor. De esta manera se asegura que solo el receptor, con su clave privada podrá desencriptar el mensaje y leerlo.

El funcionamiento de la firma digital esta basado en las claves asimétricas antes mencionadas, pero a este procedimiento puede agregarse para mayor seguridad otro sistema, que es el de las llamadas “Hush function”.

La “hush function” es unidireccional y debe estar en posesión de ambos comunicantes. Esta función es un procedimiento matemático basado en un algoritmo que crea una representación digital o forma comprimida del mensaje, de longitud mucho menor que la del mensaje original. Luego al aplicar nuevamente la función de hush, el mensaje volverá a su condición normal.

El procedimiento es el siguiente: El emisor en primer lugar, aplicará la función de hush, con el fin de resumir el mensaje, a este resultado, le aplicará a su vez, su clave privada (o sea, lo firmará), luego mandará esto a su receptor más el mensaje en claro. El receptor, al recibir el mensaje inteligible, y el encriptado, procederá de la siguiente manera: Primero verificará la firma a través de la aplicación de la clave pública del emisor, obteniendo así el mensaje al que se le ha aplicado la función de hush. El siguiente paso será aplicar la misma función de hush que aplicó el emisor, al mensaje escrito normalmente.  Si el mensaje no ha sido modificado, o adulterado durante la transmisión, ambos mensajes deberán coincidir.

Como podemos concluir de todo lo antedicho, la confidencialidad de la clave privada y de la función de hush, es fundamental para que este proceso garantice la autenticidad y la integridad del mensaje transmitido. Deberán tomarse especiales precauciones para su distribución, conservación y almacenaje.

Sin embargo queda un problema por resolver, este es que el receptor de un mensaje, de una firma digital, no tiene forma de saber con certeza que la persona que dice ser tal, autor de dicha firma es realmente esa persona, titular de dicha clave pública, y no un impostor que esta haciendo uso de esa clave y haciéndose pasar por el verdadero titular de dicha firma. Esta sería la tarea que deberían desarrollar las entidades de certificación.  Dichas entidades tendrían la función de registrar a los sujetos, que se presentan como titulares de las claves públicas, y certificar que tal sujeto es el titular de determinada clave. Este servicio llevado a cabo por las entidades de certificación se conoce como “servicio de soporte”.

Estas entidades tendían la función de vincular a una persona debidamente identificada con un par de claves determinado, para hacerlo emite un certificado, un registro o documento electrónico que liga una clave pública con el sujeto del certificado, y confirma que el potencial firmante identificado en el certificado tiene la correspondiente clave privada.

La principal función del certificado es asociar directamente la identidad de una persona determinada a una clave pública concreta e indirectamente a  una clave privada. Así el destinatario de un certificado que desee comprobar la firma digital creada por la persona que consta como titular del certificado, puede usar la clave pública incluida en el mismo para verificar que la firma digital fue creada con la correspondiente clave privada.

Tal verificación ofrece una razonable seguridad de que la correspondiente clave privada es poseída por la persona mencionada en el certificado y que la firma digital fue creada por esa persona determinada. La autoridad o entidad de certificación deberá reunir los requisitos que determine la ley de cada Estado, conocimientos técnicos, y la experiencia necesaria, de forma de que ofrezca confianza, fiabilidad y seguridad.

A su vez se debería prever para el caso de desaparición del organismo certificador, algún mecanismo confiable, el cual podría ser crear un registro general de certificación, tanto nacional como internacional, que a su vez auditase a las entidades encargadas , y fuese garante de su funcionamiento.

Las entidades de certificación pueden emitir distintos tipos de certificados:

-         certificados de identidad (que son los más utilizados actualmente dentro de los criptosistemas de clave pública, y ligan una identidad personal (usuario) o digital (equipo, software, etc.) a una clave pública.

-         Los certificados de autorización o potestad que son aquellos que certifican otro tipo de atributos del usuario distintos de la identidad.

-         Los certificados transaccionales, que son aquellos que atestiguan que algún hecho o formalidad acaeció.

-         Los certificados de tiempo o de estampillado digital de tiempo, que permiten dar fe de que un documento existía en determinado tiempo.

Así, sus funciones principales serán las siguientes:

-generación de los registros de claves y de las claves.

-identificación de peticionarios de certificados

-emisión de certificados

-almacenamiento de claves privadas

-mantenimiento de las claves vigentes y de las revocadas

-y la creación de servicios de directorio.

Es muy importante que dichas entidades se presenten como confiables y capacitadas ante la sociedad y las empresas.

La sociedad, las personas, estamos acostumbrados a la contratación en soporte papel, y esta forma de contratación tradicional, nos brinda una considerable sensación de seguridad.

Es por esto que nos sentimos un tanto reticentes a adoptar las nuevas tecnologías en nuestra vida diaria y en nuestras transacciones comerciales. Si bien es verdad que existe un considerable miedo a lo desconocido, también existen fundado motivos para que las personas duden y tengan incluso un cierto rechazo a la idea de utilizar estas tecnologías.

Nuestra información al ser transmitida por vía electrónica puede ser víctima de numerosos ataques.

Estos ataques pueden ser muy variados, entre ellos encontramos como los más comunes los siguientes:

-         acceder a la información sin ser autorizado

-         interferir la comunicación entre dos usuarios

-         suplantar a otra persona a efectos de crear información fraudulenta, etc.

Es de público conocimiento que hasta los sistemas más seguros, de las empresas que parecía serían las últimas en sufrir dichos ataques, los han sufrido (caso de la Microsoft), y considero fundado el temor que el empleo de estas tecnologías pueda generar.

Para aplacar este temor es necesario que se desarrolle un verdadero sistema de seguridad que permita que las transacciones se realicen de forma absolutamente segura.

Es fundamental que nuestros legisladores y nuestros juristas comiencen a interiorizarse en el tema de la contratación electrónica y en los nuevos métodos que estas técnicas implican. Necesitamos personas que conozcan muy bien el asunto y que a la hora de legislar elijan lo mejor para la sociedad en lo que a este y a todos los temas concierne.

La legislación debe tratar de acompañar este proceso vertiginoso de adopción de nuevas técnicas de contratación a nivel mundial, para así lograr mantenernos en un buen nivel de competitividad y poder beneficiarnos todos con los avances de la tecnología.

Se debería establecer claramente que tipo de requisitos de confiabilidad, solvencia, y experiencia, deben reunir aquellos que pretendan constituir una entidad de certificación, y no dejar esto librado a la suerte

Los estados deben cumplir con su deber y buscar una buena solución a los problemas que pueda plantear la contratación electrónica, y al mismo tiempo debe encargarse de generalizar los conocimientos sobre el funcionamiento de estas nuevas técnicas.

-         Rosa Julia Barceló. “Comercio electrónico entre empresarios. La formación y prueba del contrato electrónico (EDI).

-         Mathías Rodríguez Perdomo. “Regulación Estatal del comercio electrónico: El fin del minimalismo

-         Carlos E. Delpiazzo. “Validez y eficacia de la firma electrónica”.