La Firma Electrónica lleva casi dos décadas de existencia en la regulación mexicana, sin embargo muchas empresas no se decidían aún a usarla. Luego llegó el confinamiento forzado y hubo que sumarse en masa a esta dinámica legal de validar un acuerdo o contrato de forma remota. Pero hay un problema: no todas las formas de la firma electrónica ofrecidas actualmente en el mercado son legales y válidas en un juicio.
El camino para la implementación en las empresas de Firma Electrónica ha sido largo y pesado. Implicó generar confianza en la utilidad y seguridad de la firma en muchos niveles de las organizaciones, una tarea que se enfrentó a obstáculos tanto técnicos como culturales. No tanto así en el sector Gubernamental: Desde 2005 se empezó a utilizar la e-firma del SAT, que es una Firma Electrónica Avanzada, para comprobantes fiscales digitales y presentar declaraciones, entre otros.
Pero con la pandemia se aceleró el proceso de adopción de modelos de firma electrónica en el sector Privado. Más bien, no quedó otra alternativa. Lo relevante es que no solo se popularizaron los más conocidos, como la Firma Electrónica Simple y la Firma Electrónica Avanzada.
El artículo 89 del Código de Comercio indica que la Firma Electrónica se refiere a “los datos en forma electrónica consignados en un Mensaje de Datos, o adjuntados o lógicamente asociados al mismo por cualquier tecnología, que son utilizados para identificar al Firmante en relación con el Mensaje de Datos e indicar que el Firmante aprueba la información contenida en el Mensaje de Datos, y que produce los mismos efectos jurídicos que la firma autógrafa, siendo admisible como prueba en juicio”.
Mientras que la Firma Electrónica Avanzada cuenta con mayores requisitos de autenticación, por lo que también se le conoce como Fiable. El artículo 97 del Código de Comercio indica que para ser Avanzada debe cumplir lo siguiente:
- Los Datos de Creación de la Firma, en el contexto en que son utilizados, corresponden exclusivamente al Firmante;
- Los Datos de Creación de la Firma estaban, en el momento de la firma, bajo el control exclusivo del Firmante;
- Es posible detectar cualquier alteración de la Firma Electrónica hecha después del momento de la firma, y
- Respecto a la integridad de la información de un Mensaje de Datos, es posible detectar cualquier alteración de ésta hecha después del momento de la firma.
Pero han aparecido nuevos esquemas que se desprenden de estas definiciones. “Uno muy importante es la firma biométrica, o firma autógrafa, en mensaje de datos. Es decir: si es funcionalmente equivalente un mensaje de datos a un documento en papel y una firma autógrafa a una firma electrónica, nada me impide firmar electrónicamente en un documento en papel, o firmar de manera autógrafa en un mensaje de datos”, explicó Alfredo Reyes Krafft, experto en Derecho Informático y consultor internacional sobre Firma Electrónica. “Este esquema puede parecer extraño, pero todos hemos recibido en PDF comprobantes fiscales digitales que contienen un código bidimensional. Ese código QR contiene la firma del Proveedor Autorizado de Certificación (PAC), que representa al SAT, y que nos asignó un número de folio a nuestro comprobante fiscal digital”.
Por otro lado, de acuerdo con Reyes Krafft, se comenzó a ver mucho el uso de la firma autógrafa en un equivalente electrónico al papel. Cuando se firma en un dispositivo móvil en un restaurante, se está realizando este tipo de operación. La ventaja es que la rúbrica está en un mensaje de datos, así que también sirve como prueba en cualquier juicio.
“Tenemos varias combinaciones posibles para firmar electrónicamente de forma legal, lo que abre la puerta a una difusión mayor del método y a mayor seguridad. Puedo intercambiar contigo una contraseña, usar un segundo factor de autenticación (con una llamada o un one-time-password a mi teléfono celular), y después firmar de manera autógrafa”.
Pero esto también trajo riesgos, pues surgieron en México una nueva oleada de servicios relacionados a la Firma Electrónica. “Es importante aclarar que no todas las firmas que ofertan los prestadores de servicios tienen valor legal en el país. Nos hemos dado cuenta que muchos empresarios decantan por estos proveedores y sus ofertas, pero no saben que jurídicamente no tienen un fundamento legal para operar en México”, agregó Krafft.
No firmar un problema a futuro
Hay empresas muy grandes, como DocuSign, OneSpan y Adobe Sign, entre otras, que parecen confiables y sus alternativas ciertamente son legales y válidas bajo las legislaciones de otros países, pero no todas los son necesariamente en México. “Estos proveedores ofertan una modalidad de firma que implica simplemente escribir en el teclado el nombre del firmante, en cursivas. Eso es legal en Estados Unidos, pero no en México. De la misma forma, dan la opción de cargar una imagen de la firma, una fotografía o un escaneo, para pegarla en donde se requiera firmar. Este método tampoco tiene peso en un juicio”, aclara el experto.
Otros método ofrecidos en el mercado son el de firma con huella digital en medios electrónicos, y el de firma sin presencia, con los datos alojados en un servidor en la nube que puede validar de forma automatizada los acuerdos y contratos.
Reyes Krafft advierte que la huella dactilar sí es una firma válida, pero no es recomendable que sea el único factor de autenticación, pues es más lenta de verificar y es menos segura que otras modalidades. El modelo de firma sin presencia, por otra parte, es válido sí y solo sí la clave privada se encuentra almacenada en un lugar donde el firmante es el único que tiene acceso. “Debe estar bajo el exclusivo control del usuario. Si hay un tercero con acceso a ese dispositivo de control esa firma ya no es Firma Electrónica Avanzada y pierde todo valor. Pero sí es muy útil para negocios que tienen que firmar muchos documentos”, indicó Reyes Krafft.
Las organizaciones que quieran estar seguros de que sus firmas electrónicas son válidas y pueden ser utilizadas en un juicio, deben considerar los siguientes elementos:
- El solicitante de la firma debe celebrar un convenio con el intermediario autorizado. En ese contrato debe haber un “Cláusula de Encargado”, para efectos de protección de datos personales. En ese convenio debe entregarse la información de quien se requiere que firme.
- Es el intermediario quien pide al firmante que realice la firma. Debe garantizar que se firme con una grafía propia, no con una imagen o escribiendo el nombre.
- Debe obtenerse una Constancia de Conservación, emitida por un Prestador de Servicios de Certificación, acreditado por la Secretaría de Economía.
Con estos requisitos, que no son caros ni difíciles de obtener, se tendrá la certeza de que la firma tendrá valor legal en el derecho mexicano.
Otro punto destacable es que las empresas pagan impuestos y por lo tanto ya cuentan con un certificado de Firma Electrónica Avanzada. No es mala idea usar ese mismo certificado para realizar la firma electrónica de forma segura en todo tipo de contextos, que también es un servicio que algunos proveedores ofrecen.