NUEVA ETAPA EN LA IDENTIFICACIÓN ELECTRÓNICA, ¿UN PASO DE GIGANTE?
|Esmeralda Saracibar
Gerente del Área de Cumplimiento
ECIX GROUP
Cada vez es más habitual encontrar noticias sobre robos de credenciales; “Las contraseñas de 7 millones de usuarios de Dropbox estarían comprometidas”, “eBay confirma el robo de una gran parte de la información de sus registros”, “Descubierto el mayor robo de credenciales en la historia de Internet”, informaciones que van minando la confianza de los usuarios en la Red, lo que supone un importante obstáculo para la economía digital.
La Comisión Europea consecuente con que titulares como éstos desembocan en frases del estilo “la seguridad en Internet es una entelequia” o “Internet es un territorio comanche” y que este nuevo entorno digital aglutina en la actualidad la variedad delictiva de mayor crecimiento con un volumen total anual de pérdidas, a nivel mundial, de 87.000 millones de euros,[1] ha puesto en marcha nuevas normas e iniciativas para fomentar la seguridad y confianza en Internet.
En su “Agenda Digital para Europa” la Comisión consciente de la fragmentación del mercado digital europeo y de la falta de interoperabilidad de los sistemas, está promoviendo la creación de un mercado único digital plenamente integrado y en el que el uso transfronterizo de los servicios on line resulte sencillo. Todo ello para favorecer el comercio electrónico y la interacción de los ciudadanos y empresas con las Autoridades Públicas de otros estados de la Unión Europea
En este contexto, el 28 de agosto se publica en el Diario Oficial de la Unión Europea (DOCE) el Reglamento 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE.
El nuevo Reglamento Europeo de Identificación Electrónica reviste especial interés debido a la incidencia directa que tendrá en los sistemas jurídicos nacionales de todos los estados miembros en cuanto a la autenticación e identificación electrónica segura de los usuarios por cuanto que prevé el reconocimiento por parte de un estado miembro de los medios de identificación electrónica expedidos en otros estados miembros de la Unión Europea siempre que los mismos se hayan notificado a la Comisión y cumplan con las condiciones de seguridad establecidas.
En aras a reforzar la certidumbre jurídica y la confianza de los ciudadanos, empresas y consumidores en las transacciones electrónicas transfronterizas y a diferencia de la regulación que había hasta ahora a nivel europeo (la Directiva exclusivamente contemplaba la regulación de las firmas electrónicas transponiendo cada estado motu proprio a nivel nacional las directrices europeas), el Reglamento establece un marco legislativo global y homogéneo de identificación electrónica y de regulación de las firmas electrónicas, los documentos electrónicos, los sellos y marcas de tiempo electrónicos, los servicios de entrega electrónica certificada y los servicios de certificados para la autenticación de sitios web, así como, de prestación de los servicios de confianza en toda la Unión Europea.
Aunque el Reglamento ya ha entrado en vigor, las especificaciones contenidas en él, con ciertas salvedades, no serán de aplicación hasta el 1 de julio de 2016, fecha en la que quedarán sin efecto las disposiciones de la Directiva 1999/93/CE por la que se establece un marco comunitario para la firma electrónica y, de manera parcial en lo que a identificación y firma electrónica se refiere, leyes nacionales, como la Ley 59/2003 de firma electrónica o la Ley 11/2007 de acceso electrónico de los ciudadanos a los Servicios Públicos.
El texto reglamentario se ha constituido bajo la premisa del reconocimiento mutuo por parte de los Estados Miembros, correspondiendo a cada estado decidir sobre que medios de identificación electrónica existentes a nivel nacional serán notificados a la Comisión para su reconocimiento en otros estados miembros de cara a que sus ciudadanos, consumidores y empresas puedan acceder a los servicios en línea públicos y privados prestados en el resto de estados miembros.
Así mismo, el Reglamento regula a nivel europeo, el uso de las firmas electrónicas, homogeneizando los requisitos que debe reunir las diferentes tipologías de firma electrónica e intentando superar así las diferencias que se derivaron de la transposición de la Directiva de Firma Electrónica en las distintas legislaciones nacionales. Además, reincide en aspectos como la equivalencia automática entre el efecto jurídico de la firma electrónica reconocida y la firma manuscrita.
En lo que respecta a los certificados electrónicos, el Reglamento armoniza el reconocimiento, a nivel jurídico, de los certificados de firma electrónica emitidos en los distintos Estados Miembros.
Por último, en cuanto a los servicios de confianza, tales como la creación y verificación de las marcas de tiempo electrónicas, los servicios de entrega registrada electrónicos o la creación y validación de certificados para la autenticación de sitios web, el Reglamento fija las condiciones y requisitos de seguridad que deben cumplir las entidades para ser consideradas prestadores de servicios de confianza cualificados y regula aspectos internacionales de los servicios de confianza proporcionados por prestadores situados en terceros países para que sean considerados como legalmente equivalentes a los servicios de confianza cualificados prestados por los prestadores establecidos en la Unión, en caso de que entre la UE y dicho tercer país existiese un acuerdo que reconociese esta circunstancia.
Con carácter adicional, se prevé la creación de una marca de confianza de la UE en orden a identificar los servicios de confianza digital que cumplan los requisitos exigidos, siendo el uso de dicha marca de carácter voluntario.
En definitiva, la aprobación del Reglamento si bien no supone una solución integral para las transacciones electrónicas transfronterizas sí comporta un punto de partida para la seguridad jurídica on line en el marco europeo, en todo caso, habrá que esperar y comprobar si esto es suficiente para lograr ese clima de confianza y seguridad entre los ciudadanos y consumidores o si, será necesario adoptar nuevas normas de regulación global y homogéneas respecto del resto del proceso para que el mercado único digital a nivel europeo sea una realidad.
____________________________
[1] Informe sobre «La Responsabilidad Legal de las empresas frente a un Ciberataque» de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información) y ENATIC (Asociación de Expertos Nacionales de la Abogacía TIC).