Condiciones de uso de firma no criptográfica

Resolución de 21 de febrero de 2025, de la Dirección General de Administración Electrónica y Aplicaciones Corporativas, por la que se establecen las condiciones de uso de firma no criptográfica (BOA de 28 de febrero de 2025). Texto completo.

RESOLUCIÓN DE 21 DE FEBRERO DE 2025, DE LA DIRECCIÓN GENERAL DE ADMINISTRACIÓN ELECTRÓNICA Y APLICACIONES CORPORATIVAS, POR LA QUE SE ESTABLECEN LAS CONDICIONES DE USO DE FIRMA NO CRIPTOGRÁFICA.

El acceso de la ciudadanía a los servicios que se ofrecen en la Sede electrónica de la Administración de la Comunidad Autónoma de Aragón requiere la identificación electrónica de la persona y, en algunas ocasiones, la firma electrónica del documento electrónico generado a partir de la información introducida en la aplicación tramitadora correspondiente.

La firma tiene como finalidad ser prueba de la voluntad y no repudio de la persona que la realiza, de verificación de la integridad y aprobación de la información contenida en un documento o similar. Así, la firma es un requisito y una garantía para dotar de carácter legal a un documento en los supuestos que así se exija por la normativa y las Administraciones Públicas deben apostar por dotar a la ciudadanía de sistemas de firma que, cumpliendo con los estándares exigidos por la normativa aplicables, sean lo más sencillos y fáciles de usar. Ese es el esfuerzo de todas las Administraciones Públicas y el equilibrio necesario para garantizar de forma real el derecho de las personas a relacionarse electrónicamente con su administración.

La Ley 39/2015, de 1 de octubre , del Procedimiento Administrativo Común de las Administraciones Públicas, regula en su artículo 9 los sistemas de identidad admitidos en las relaciones con las Administraciones Públicas y, en su artículo 10, los sistemas de firma.

El artículo 10 apuesta por el uso como sistema de firma de certificados electrónicos reconocidos o cualificados, pero reconoce la posibilidad de implementar cualquier otro sistema que las Administraciones Públicas consideren válido, en los términos y condiciones que se establezcan, recogiendo la posibilidad de admitir los sistemas de identificación contemplados en la Ley como sistemas de firma.

Asimismo, incide en que todos los sistemas de firma electrónica admitidos deberán garantizar el cumplimiento de los requisitos recogidos en el apartado primero del artículo 10 de la citada Ley. Esto es, que estos sistemas permitan acreditar la autenticidad de la expresión de la voluntad y consentimiento de los interesados, así como la integridad e inalterabilidad del documento.

A estos sistemas de firma electrónica complementarios se les reconocerán plenos efectos jurídicos conforme se establecen en el artículo 25.1 del Reglamento (UE) N o 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE (EIDAS). Pero, para que ello se produzca, se deberán cumplir las determinaciones de este mismo Reglamento y del Esquema Nacional de Seguridad (en adelante ENS) regulado por el Real Decreto 311/2022, de 3 de mayo .

En este marco normativo, en cuanto a sistemas de identificación y firma electrónica en el ámbito de la Administración de la Comunidad Autónoma de Aragón, se apostó por el uso de la plataforma estatal Clave que provee de mecanismos de autenticación y firma electrónica a las Administraciones Públicas. Así se recoge en el artículo 51.1 de la Ley 1/2021, de 11 de febrero, de simplificación administrativa.

Sin embargo, con el uso por parte de la ciudadanía de estos sistemas, se observa que existe una barrera para sectores de la ciudadanía para completar el requisito de firma electrónica. Así, Cl@ve firma, que provee sencillos mecanismos para facilitar la firma electrónica criptográfica, requiere que el ciudadano tenga activa la identificación por Cl@ve Permanente que le permite acceder a su certificado electrónico centralizado. Y este requisito, sin perjuicio de las facilidades de la plataforma y del suministro de credenciales por parte de oficinas de registro de la Administración de la Comunidad Autónoma, supone un obstáculo para poder hacer efectivo el derecho a un acceso electrónico a los servicios digitales de la Administración.

Por ello, el objeto de esta Resolución es plantear los requisitos de un nuevo sistema de firma basado en la propia identificación electrónica de la persona y en la categorización del procedimiento del sistema de información. Este sistema es, en todo caso, complementario a uso de certificados a través de la integración de los sistemas corporativos de identificación y firma autonómicos con la plataforma estatal.

Como se ha establecido con anterioridad, en la implantación de un sistema de firma electrónica no criptográfica se deberá cumplir con el ENS para garantizar la seguridad de los datos y los servicios, como un instrumento capaz de permitir la comprobación de la autenticidad de la procedencia y la integridad de la información ofreciendo las bases para evitar el repudio. El ENS establece la necesidad de categorizar los sistemas de información, siendo la categoría de un sistema de información, en materia de seguridad, la que permite modular el equilibrio entre la importancia de la información que maneja, los servicios que presta y el esfuerzo de seguridad requerido, en función de los riesgos a los que está expuesto, bajo el principio de proporcionalidad.

En esta Resolución se explica este ámbito de aplicación y las medidas de seguridad, trazabilidad e integridad necesarias para los procedimientos que hagan uso de él no requieren la necesidad de recordar o tener activa una contraseña ni un certificado electrónico centralizado. También resulta apropiado el uso de este sistema cuando, aun habiéndose utilizado un certificado electrónico en el proceso de identificación, no se quiera realizar una firma electrónica local con dicho certificado, para evitar los problemas de restricciones de compatibilidad de navegadores, máquinas virtuales Java y versiones de sistemas operativos.

Por tanto, el objeto de esta Resolución es establecer los criterios de uso y las condiciones técnicas de implementación de los sistemas de firma electrónica no criptográfica, previstos en el artículo 10.2.c) de la Ley 39/2015, de 1 de octubre, que se considerarán válidos a efectos de firma en la Administración General del Estado y sus organismos públicos, así como en aquellas otras Administraciones Públicas que adopten estos criterios y condiciones técnicas

Esta Resolución se emite en ejercicio de las competencias que tiene atribuidas la Dirección General de Administración Electrónica y Aplicaciones Corporativas en el desarrollo e implantación de la administración electrónica en la Administración de Comunidad Autónoma de Aragón de acuerdo con lo establecido en artículo 52.1.a) del Decreto 202/2024, de 29 de noviembre, del Gobierno de Aragón, por el que se aprueba la estructura orgánica del Departamento de Hacienda, Interior y Administración Pública.

Por lo tanto, y en virtud de lo anterior, resuelvo:

Primero.- Definir las características y condiciones de uso del sistema corporativo de la firma electrónica no criptográfica en el ámbito de la Administración Pública de la Comunidad Autónoma de Aragón y sus organismos públicos vinculados o dependientes.

Segundo.- Los órganos de la Administración Pública de la Comunidad Autónoma de Aragón y sus organismos públicos dependientes, únicamente podrán utilizar como sistema de firma electrónica no criptográfica el sistema corporativo implementado por la Dirección General competente en materia de administración electrónica y que se ofrece como servicio a herramientas integradoras.

Tercero.- Ordenar la publicación de esta Resolución en el "Boletín Oficial de Aragón".

Cuarto.- La presente Resolución producirá efectos a partir del día siguiente de su publicación.

ANEXO

CARACTERÍSTICAS Y CONDICIONES DE USO DE LA FIRMA ELECTRÓNICA NO CRIPTOGRÁFICA EN EL ÁMBITO DE LA ADMINISTRACIÓN DE LA COMUNIDAD AUTÓNOMA DE ARAGÓN Y SUS ORGANISMOS PÚBLICOS VINCULADOS Y DEPENDIENTES

I. Objeto.

Este documento tiene por objeto establecer las características técnicas del sistema de firma no criptográficas y establecer las condiciones en las que los órganos de la Administración de la Comunidad Autónoma de Aragón pueden incorporarlo en los trámites de firma establecidos para la relación con la ciudadanía.

II. Marco normativo.

La Ley 39/2015 , en su artículo 10.2.c) permite a las administraciones públicas el uso de sistemas de firma que consideren válidos en los términos y condiciones que se establezca, siempre que cuenten con un registro previo como usuario que permita garantizar su identidad.

Por otra parte, el Real Decreto 311/2022, de 3 de mayo , por el que se regula el Esquema Nacional de Seguridad, establece los principios básicos y requisitos mínimos para la protección adecuada de la información tratada y los servicios prestados por las administraciones públicas, permitiendo a las personas interesadas el ejercicio de derechos y el cumplimiento de deberes a través de medios electrónicos. En la implantación de un sistema de firma no criptográfico, basado por tanto en el sistema de identificación, se cumplirá con las medidas establecidas en su anexo II, garantizando la integridad, autenticidad y trazabilidad de la firma electrónica y los datos firmados.

III. Ámbito de aplicación.

Los presentes términos y condiciones serán de aplicación a los órganos de la Administración Pública de la Comunidad Autónoma de Aragón y sus organismos públicos vinculados o dependientes.

IV. Condiciones de uso del sistema de firma electrónica que no requieran certificado electrónico de la persona interesada.

El Real Decreto 311/2022, de 3 de mayo , por el que se regula el Esquema Nacional de Seguridad, determina que se podrán utilizar sistemas de firma electrónica no criptográfica cuando el sistema de información asociado al procedimiento haya sido valorado, conforme al anexo I del citado Decreto, con categoría básica o categoría media, siempre que no se requiera el uso de una firma electrónica avanzada, cuando así lo disponga la normativa reguladora aplicable. De esta forma, se incorporará como información del Catálogo de Servicios de la Administración de la Comunidad Autónoma de Aragón y sus organismos públicos vinculados o dependientes, la información sobre el nivel de riesgo, o catalogación, de sus procedimientos.

A esta información se llegará a través de una autoevaluación del procedimiento como activo de información del sistema de información. Sólo aquellos procedimientos que tengan una catalogación baja o media podrán incorporar el sistema de firma no criptográfica.

V. Garantía de las evidencias de la firma.

Para garantizar el no repudio de la firma por parte de la persona firmante, el sistema de firma deberá acreditar la vinculación de la expresión de la voluntad y los datos firmados la identidad de la persona firmante.

Para ello, en primer lugar, la identificación y autenticación del interesado deberá hacerse, en todo caso, a través de la plataforma Cl@ve, sistema de identificación, autenticación y firma electrónica basado en claves concertadas, común para todo el sector público administrativo estatal, o a través de sistemas de identificación y autenticación basados es un registro presencial previo o equivalente.

En segundo lugar, se deberá acreditar la autenticidad de la expresión de la voluntad y consentimiento del interesado y se requerirá:

1. La acción explícita por parte de la persona interesada por la que manifiesta su consentimiento y la expresión de su voluntad de firma.

2. La verificación previa por parte del interesado de los datos a firmar. Estos datos se obtendrán a partir de aquella información presentada por el ciudadano y de cuya veracidad se hace responsable, así como de los documentos electrónicos que, eventualmente, presente en el procedimiento.

3. Verificación de la identidad de la persona interesada que vaya a realizar el acto de la firma en el momento inmediatamente previo, mediante una nueva autenticación o utilizando mecanismos de contraste que garanticen la verificación.

En tercer lugar, la garantía de no repudio exige que el sistema de firma asegure una adecuada trazabilidad en el caso de que sea necesario auditar una operación de firma concreta, para lo cual conservará, por cada firma y, por tanto, por cada proceso de autenticación, como mínimo, la siguiente información:

a) Fecha y hora de la autenticación.

b) Nombre y apellidos del interesado.

c) DNI/NIF/NIE del interesado.

d) Sistema de identificación empleado y nivel de seguridad de identificación.

e) Resultado exitoso de la autenticación junto con las correspondientes evidencias técnicas de dicha autenticación.

g) Fecha y hora de manifestación de la voluntad de firma.

h) Resumen criptográfico de los datos firmados, con un algoritmo de hash que cumpla las especificaciones del esquema nacional de seguridad.

i) CSV documento con los datos.

La anterior información será firmada con un certificado de sello electrónico, de forma que se garantiza su integridad incorporando un sello de tiempo acorde la normativa de aplicación, y será almacenada, como evidencia de la voluntad de firma, verificación de la identidad del firmante, integridad de los datos firmados y vinculación entre los tres elementos anteriores.

Por último, con el mismo propósito de auditoría para asegurar la garantía de no repudio, se almacenarán las evidencias de las actuaciones de autenticación durante el plazo mínimo de cinco años. Corresponderá al sistema de firma la custodia de las evidencias, así como de sus referencias y vinculación al CSV del justificante de firma.

VI. Garantía del proceso de firma.

Una vez acreditada la expresión de la voluntad y el consentimiento para firmar del interesado, se inicia el proceso de sellado y almacenamiento de las evidencias y, de forma simultánea, de los datos objeto de firma. Se iniciarán los mecanismos para garantizar la integridad e inalterabilidad de los datos firmados y de la información que acredita la voluntad de firma.

Para ello, el sistema de firma sellará el documento con los datos a firmar, con un sello de órgano y la adición de un sello de tiempo realizado con un certificado cualificado y emitido por un prestador de sellado de tiempo supervisado, y la pondrá a disposición del sistema de información asociado al procedimiento electrónico que requiere la firma.

Tras el proceso de firma, se entregará a la persona interesada un justificante de firma, que será un documento legible en formato pdf, de acuerdo con la Norma Técnica de Interoperabilidad de Catálogo de estándares y que deberá cumplir estos requisitos:

- Garantizar la autenticidad del organismo emisor mediante un sellado electrónico y cuyo justificante, en formato pdf, podrá validarse a partir del CSV en la Sede electrónica de la entidad emisora.

- Contener los datos de la persona que ha manifestado la voluntad de firma.

- Contener los datos que ha manifestado expresamente la persona interesada la voluntad de firmar, así como una relación de los documentos complementarios presentados.

- Referencia a que se ha garantizado el proceso de firma con sello de órgano y la referencia al organismo responsable que será la dirección general competente en materia de administración electrónica.

- Garantizar el instante en que se realizó la manifestación de la voluntad de la firma, mediante sello de tiempo del justificante, realizado con un certificado cualificado y emitido por un prestador de sellado de tiempo supervisado.

- Garantizar la autenticidad del justificante de firma, incluyendo en el justificante de firma un código seguro de verificación (CSV), y garantizando que este justificante se pueda consultar en línea mediante un sistema de cotejo de CSV cuya dirección se incluya en el propio justificante de firma.

Comentarios