La evolución en los últimos veinte años del comercio, las relaciones personales y la interacción de ciudadanos con las administraciones públicas ha sido rápida y ha hecho mutar el concepto de identidad personal. La identidad de la persona se ha basado tradicionalmente en la asociación del individuo con actos o signos distintivos de naturaleza analógica: así, un individuo acredita ser quien es contrastando su persona con la de un documento oficial en el que aparece su fotografía y datos personales, siendo la rúbrica o firma el signo aparente y distintivo que relaciona el documento con su portador. Para realizar determinados actos, la presentación del documento de identidad y la firma, son requisitos ineludibles porque la identidad se comprueba en acto de presencia.
Sin embargo, en la actualidad, hay una larga lista de actos y negocios jurídicos que se efectúan a distancia, usando medios telemáticos. Pensemos en la forma en que hoy nos relacionamos con los bancos: la presencia física en una oficina ya no es necesaria para la mayor parte de las operaciones, que se realizan a través de aplicaciones instaladas en teléfonos móviles, tabletas u ordenadores. En estos casos, el usuario no se acredita con una firma digital sino códigos alfanuméricos de identificación, seguidos de claves privadas que sirven para validar las operaciones. En otros casos, la firma electrónica es la forma aceptada para permitir que un ciudadano o persona jurídica pueda interactuar a través de medios telemáticos, como sucede con la administración pública. En todo caso, no ofrece dudas que la digitalización de la economía es una tendencia lógica y consolidada puesto que la tecnología aporta al menos dos elementos dinamizadores: la rapidez de las transacciones y la sencillez de los procesos que permiten la toma de decisiones.
El desarrollo de la economía digital o también llamada “en línea” acarrea varios pesos que lastran su desarrollo. Cada país tiene legislación específica y requisitos técnicos para la creación de las firmas electrónicas que no son reconocidas en otros países, lo que impide la perfección de operaciones en línea por falta de reciprocidad en su reconocimiento. En segundo lugar, está la percepción de falta de seguridad jurídica en las transacciones en línea, por su exposición a ataques cibernéticos y a la suplantación de identidad.
El Reglamento de la Unión Europea 910/2014, se aprobó para intentar dar solución a dichos problemas, siendo uno esencial, la identificación digital de las personas que operan “en línea”. Se creó el concepto de firmas electrónicas cualificadas que tendrán reconocimiento en todos los Estados Miembros, partiendo de una homogeneidad relativa a los requisitos técnicos que deben reunir las legislaciones de cada Estado para controlar la creación de dichas firmas. Siendo esto de capital importancia, no parece ser suficiente para conseguir el objetivo, pues hay una cuestión que falta para completar el concepto de identidad digital y es el establecimiento de una forma segura de vincular a la persona física o jurídica con su firma digital, puesto que los certificados de firma electrónica operan mediante dispositivos electrónicos, los cuales pueden ser sustraídos o utilizados sin el conocimiento o contra la voluntad de su propietario. Ese uso no consentido o ignorado puede tener como consecuencia el cierre de transacciones fraudulentas e incluso la creación de perfiles digitales falsos, con enorme perjuicio del afectado.
Pues si el perfil digital de las personas actualmente se fija no tanto por lo que las personas dicen ser sino por lo que el rastro digital dejan a través de las operaciones que realizan en línea, ese uso fraudulento de la firma digital es capaz de crear una imagen falsa del usuario que tendrá numerosas consecuencias prácticas como ser clasificado en grupos de riesgo financiero, resultar excluido de determinadas ofertas laborales, ser penalizado en las cuotas de compañías de seguros o asistencia sanitaria u otros casos aun peores. La disociación entre persona titular de la firma electrónica y sus actos es un grave riesgo en la medida que el principio general aceptado es que la identidad general sigue al dispositivo electrónico que genera la expresión de aceptación de una transacción cualquiera, pero sin contar con un medio que permita contrastar que el usuario de ese dispositivo es la persona en cuestión u otra debidamente autorizada. Podrá objetarse que corresponde a cada usuario la custodia de los medios electrónicos o dispositivos que almacenan la firma electrónica, aunque siendo cierto el argumento no consigue desvirtuar el peligro ni aporta una solución a los casos de separación no consentidos o ignorados de la persona y el dispositivo electrónico en el que se guarda su firma digital y desde el que se realizan transacciones en línea. Aceptar el silogismo de que, si la transacción ha sido llevada a cabo mediante una certificación electrónica legalmente válida, ésta corresponde a su dueño es una peligrosa media verdad, pues ignora el problema de la suplantación.
Por tanto, no es suficiente con crear un marco de normas jurídicas y técnicas que regulen la creación de firmas digitales cualificadas que sean reconocidas entre los Estados Miembros de la UE. Es preciso establecer métodos técnicos que permitan asegurar razonablemente que la persona que procede a realizar una operación en línea a través de un dispositivo electrónico coincide con su titular o persona autorizada, pues de otra forma, el peligro de la suplantación de identidad no se suprime, sino que simplemente se enmascara. Mientras esto no sea posible, tampoco lo será hablar propiamente de seguridad jurídica en las transacciones en línea, y esto trae consigo las dudas sobre el sistema y la ralentización del proceso de conversión a la economía digital.
Parece probable que con el uso generalizado de la Red como medio para realizar transacciones, éstas serán cada vez de mayor transcendencia jurídica y volumen económico. De ahí la importancia del problema que señalamos. Actualmente, el uso de la certificación electrónica opera a través de un mero click de aceptación, de modo que lo que suceda a continuación son actos de relevancia jurídica y económica que se asocian al titular de esa certificación y constituyen una presunción de veracidad en cuanto a la expresión de la voluntad y la identidad de quien la expresa. Esto no nos parece aceptable y no tiene encaje en ordenamiento jurídico en el que con frecuencia, la intervención de un fedatario público es condición indispensable para la realización de determinados actos, como la compraventa de inmuebles, la suscripción de contratos financieros etc. Por contra, parece lógico y razonable exigir que para que dicha presunción se cumpla, el titular de la firma digital cualificada tenga de emplear determinadas fórmulas, algoritmos o elementos técnicos de otra índole indisolublemente asociados a persona, con el fin de acreditarse como titular de la firma y acreditar su voluntad de realizar esa transacción. Un sistema que permita asegurar la relación de identidad entre el usuario de la firma electrónica y su titular completaría el concepto de identidad digital, dotaría al sistema de seguridad jurídica y con ello permitiría el desarrollo de mercados en materias sensibles como las transacciones de productos financieros que, dada su trascendencia, no se fían actualmente a la Red sino a los métodos analógicos convencionales.
Eduardo Vilá
Vilá Abogados
Para más información contacte con:
15 de noviembre de 2019
