Consideraciones preliminares
Actualmente, con la globalización e incremento del uso de medios electrónicos para la realización de transacciones comerciales, fue necesario incorporar a la legislación mexicana algunos términos para su debida regulación, como fue en el caso del Código de Comercio y el Código Fiscal de la Federación.
Entre los diversos términos y conceptos, se incorporó el de certificado, llamado también certificado digital, que de acuerdo con el artículo 89 del Código de Comercio (CCom) es todo mensaje de datos u otro registro que confirme el vínculo entre un firmante y los datos de creación de firma electrónica, entendiéndose a ésta como los datos en forma electrónica consignados en un mensaje de datos, o adjuntados o lógicamente asociados al mismo por cualquier tecnología, utilizados para identificar al firmante en relación con el mensaje de datos e indicar que el firmante aprueba la información contenida en el mensaje de datos, la cual produce los mismos efectos jurídicos que la firma autógrafa, y es admisible como prueba en juicio.
En las transacciones comunes la identificación, autentificación y privacidad son resueltos con marcas físicas, tales como sellos o firmas; en las transacciones electrónicas, el equivalente a un sello tiene que ser codificado en información.
Asimismo, el incremento de las transacciones y operaciones comerciales y financieras a través de Internet, hace necesario el desarrollo de una tecnología que brinde seguridad, privacidad y confiabilidad para la realización de las mismas.
Por eso, para crear un equivalente electrónico a la seguridad física, se usa la criptografía, y el uso de firmas digitales.
En esta tecnología, cada usuario posee una clave privada que se mantiene secreta y una pública que pasa a formar parte de un certificado digital, emitidos por una autoridad certificante quien comprueba la identidad de los participantes. Dicho certificado también permite detectar si una transacción ha sido alterada durante la transmisión a través de la red, pudiendo garantizar el objetivo esencial de verificar la integridad de un mensaje.
Los certificados digitales son un requisito para el crecimiento de las transacciones comerciales a través de medios electrónicos (comercio electrónico), haciendo posible la realización de transacciones a distancia, con la misma seguridad que si se estuvieran realizando con la presencia física de las partes.
El certificado digital reemplaza al documento de identidad que presenta una persona cuando pretende realizar personalmente una transacción, y substituye a la firma como elemento que asegura y compromete la voluntad de las partes.
Las razones principales por las que debería usarse un certificado digital son:
- probar la identidad de su empresa (o de su servidor) en línea, y crear un sentido de fiabilidad y confianza a quien usa su sitio Web, y
- ofrecer protección de los datos enviados a su sitio Web (o entre servidores) mediante el uso de codificación. Si llegara a interceptarse cualquier información, será imposible descifrarla sin la clave distintiva que debe utilizarse para la decodificación.
Por ello, se dice que el certificado digital posee cuatro características:
- autenticidad, esta cualidad radica en la vinculación que se hace respecto del emisor y el mensaje, estableciendo su plena identificación y validez; el emisor del mensaje queda acreditado y su firma electrónica avanzada tiene la misma validez que una firma autógrafa;
- confidencialidad, asegurarse de que la información enviada no sea vista, es decir, que no sea del dominio público. En estos casos se encripta un mensaje, el cual sólo puede ser abierto y leído por el receptor del mismo;
- integridad, el mensaje original no puede ser modificado por un tercero, y
- no repudio, el autor del mensaje no puede desconocer el envío.
Personas autorizadas para la emisión de certificados digitales
Ahora bien, el certificado digital que ha de usarse en transacciones comerciales requiere ser expedido por un Prestador de Servicios de Certificación (PSC): la persona o institución pública prestadora de servicios relacionados con firmas electrónicas y que expide los certificados, los cuales deberán cumplir con ciertos requisitos de validez.
Obligaciones de los PSC para la emisión de los certificados A fin de que los PSC emitan los certificados digitales, según lo dispuesto en el artículo 104 del CCom, deberán:
- comprobar la identidad de los solicitantes y cualesquiera circunstancias pertinentes para la emisión de los certificados, ya sea por sí o por medio de una persona física o moral que actúe en nombre y por su cuenta, utilizando cualquiera de los medios admitidos en derecho, siempre y cuando sean previamente notificados al solicitante; poner a disposición del titular del certificado los dispositivos de generación de los datos de creación y de verificación de la firma electrónica;
- informar a la persona que solicite sus servicios, antes de la emisión del certificado, su precio, las condiciones precisas para la utilización del certificado, sus limitaciones de uso, y en su caso, de la forma en que garantiza su posible responsabilidad;
- mantener un registro de certificados, en el que quedará constancia de los emitidos, e incluirá las circunstancias que afecten la suspensión, pérdida o terminación de vigencia de sus efectos;
- guardar confidencialidad respecto a la información recibida para la prestación del servicio de certificación; en el caso de cesar en su actividad, los PSC deberán comunicarlo a la Secretaría de Economía a fin de determinar el destino que se dará a sus registros y archivos;
- asegurar las medidas para evitar la alteración de los certificados y mantener la confidencialidad de los datos en el proceso de generación de los datos de creación de la firma electrónica;
- establecer declaraciones sobre sus normas y prácticas, y
- proporcionar en el certificado medios de acceso que permitan determinar al destinatario del mensaje de datos como:
- la identidad del PSC;
- que el firmante nombrado en el certificado tenía bajo su control el dispositivo y los datos de creación de la firma en el momento de expedición del certificado;
- que los datos de creación de la firma eran válidos en la fecha en que se expidió el certificado;
- el método utilizado para identificar al firmante;
- cualquier limitación en los fines o el valor respecto de los cuales puedan utilizarse los datos de creación de la firma o el certificado;
- cualquier limitación en cuanto al ámbito o el alcance de la responsabilidad indicada por el PSC;
- si existe un medio para que el firmante dé aviso al PSC de que los datos de creación de la firma han sido controvertidos, y
- si se ofrece un servicio de terminación de vigencia del certificado.
Características de validez de los certificados digitales Por otra parte, para que los certificados emitidos sean considerados válidos, deberán contener los requisitos previstos en el artículo 108 del CCom y que son:
- la indicación de que se expiden como tales;
- el código de identificación único del certificado;
- la identificación del PSC que expide el certificado, su razón social, domicilio, dirección de correo electrónico, en su caso, y los datos de acreditación ante la Secretaría de Economía;
- nombre del titular;
- período de vigencia;
- fecha y hora de la emisión, suspensión, y renovación del certificado;
- alcance de las responsabilidades que asume el PSC, y la
- referencia de la tecnología empleada para la creación de la firma electrónica.
Causales por las que los certificados dejan de tener validez De acuerdo con lo dispuesto en el artículo 109 del citado Código, los certificados dejan de surtir efectos por:
- expiración del período de su vigencia, el cual no podrá ser superior a dos años, contados a partir de la fecha en que se hubieren expedido. Antes de que concluya el período de vigencia del certificado, su titular deberá renovarlo ante el PSC;
- revocación del PSC, a solicitud del titular del certificado, o por la persona física o moral representada por éste o por un tercero autorizado;
- pérdida o inutilización por daños del dispositivo en el que se contenga el certificado; haberse comprobado que al momento de su expedición, el certificado no cumplió con los requisitos establecidos en la ley, y resolución judicial o de autoridad competente que lo ordene.
Conclusiones El certificado digital tiene como objetivo demostrar que la persona que cuente con una firma electrónica avanzada es propietaria de esa firma, confirmando que sí es el emisor del mensaje. Por ello, se establece como requisito para determinar la validez de los documentos digitales que se cuente con un certificado digital vigente que ampare una firma electrónica avanzada, sustituyendo a la firma autógrafa asentada en un papel, ya que:
- tiene los mismos efectos legales y el mismo valor probatorio que los documentos con firma autógrafa, y
- garantiza la integridad del documento, es decir, que el documento no fue cambiado o alterado.
Asimismo, permite realizar una gran cantidad de acciones a sus titulares, identificándose las siguientes como los más frecuentes:
- identificación, control de accesos a sitios Web o servicios en línea restringidos; desarrollo de comunidades cerradas, intranets corporativas; control de acceso físico de tarjetas inteligentes; firma de software para su uso en Internet de manera que se puedan realizar acciones en el navegador del usuario que de otro modo le serían negadas;
- transacciones electrónicas, como los movimientos en una cuenta corriente o las transacciones comerciales seguras;
- trámites fiscales, declaraciones de impuestos, pago on-line de tributos;
- seguridad en servidores Web, teniendo la certeza de que se está en el verdadero sitio y no en una copia, permitiendo realizar transacciones seguras;
- documentos electrónicos, haciendo posible la firma de contratos, órdenes de compra o cualquier otro documento de uso público o privado con los mismos efectos que los celebrados por escrito y en soporte de papel;
- asimismo, asegura la confidencialidad en procesos administrativos o consultas de información de importancia en servidores de la administración, y
- correo seguro, permite enviar correo electrónico cifrado y firmado para proteger este canal identificando quién lo emite, y quién lo recibe, además de encriptar el contenido del mensaje.