A voltes amb la conservació de la signatura i el segell electrònic dels documents

Una de les qüestions que habitualment han estat objecte de debat al voltant de l’ús de la signatura electrònica de les persones físiques i del segell electrònic de les persones jurídiques ha estat la relativa a la conservació d’aquests artefactes.

1. Introducció

La problemàtica prové, amb caràcter general, de les limitacions associades a les tecnologies emprades per a la creació de les signatures i segells electrònics, en especial quan les mateixes són avançades o qualificades. En basar-se en algorismes de signatura digital, que al teu torn es construeixen sobre determinats tipus de problemes matemàtics, de difícil resolució actualment però possibilitat de resolució futura, succeeix que no es pot garantir que les signatures electròniques o els segell electrònics tinguin garantit un termini concret de durada, quelcom que no ocorre en el cas de la signatura de tinta, sempre que s’apliquin tècniques de conservació adients al document.

En definitiva, a mida que transcorre el temps, es pot dir que les signatures digitals esdevenen potencialment més i més atacables, ja que s’incrementa la capacitat de càlcul dels ordinadors i apareixen noves tècniques de criptoanàlisi que posen en entredit la capacitat probatòria d’aquestes institucions jurídiques. Imaginem, per exemple, la possibilitat que es pugui trobar una tècnica per modificar un document ja signat, sense que canviï el corresponent resum criptogràfic, de forma que la signatura es continuï validant com a correcta des de la perspectiva tècnica. No cal dir que la confiança en aquesta signatura i, per tant, el seu valor probatori, s’hauria perdut. 

Es tracta d’un problema recentment agreujat amb l’aparició de vulnerabilitats de programari que, como en el cas de ROCA – Return of the Coppersmith Attack – han permès obtenir claus privades de signatura (dades de creació de signatura o de segell, les anomena el legislador comunitari) a partir de les claus públiques, palesant que hi ha vectors d’atac amb impacte massiu que són plenament factibles avui en dia.

2. Una resposta a aquesta problemàtica des del Dret

Tot i acceptant que l’autenticitat a llarg termini dels documents electrònics (així com de les signatures i segells electrònics) es pot garantir sense la necessitat de mantenir també la validesa criptogràfica de les signatures digitals que incorporin aquells, posició que al meu parer resulta pacífica en la doctrina, no és menys cert que durant la fase activa i de vigència de la documentació és absolutament essencial mantenir el valor probatori de les signatures i segells electrònics, amb la finalitat de poder fer-los servir en cas d’haver d’incoar o respondre a un procediment judicial, administratiu o judicial. 

El legislador ha estat sensible a aquesta problemàtica, tant en seu nacional com, més recentment, en el nivell de la Unió Europea.

A l’Estat espanyol cal referir-se a la legislació reguladora del procediment administratiu electrònic i al funcionament electrònic de les entitats del sector públic, primer en la important – i altament ignorada – llei 11/2007, del 22 de juny, d’accés electrònic dels ciutadans als serveis públics, a l’empara de la qual es dicta el reial decret 4/2010, del 8 de gener, pel qual es regula l’Esquema Nacional d’Interoperabilitat en l’àmbit de l’Administració electrònica, i posteriorment les lleis 39 i 40 de 2015, de l’1 d’octubre.

Es tracta d’una regulació parcial que, tot i ser avançada per a la seva època, aposta per tècniques de conservació de la signatura electrònica que avui han quedat parcialment obsoletes, en especial des de la perspectiva de l’aparició de noves tècniques que també permeten la conservació. 

Més recentment, el Reglament (UE) Nº 910/2014, del Parlament Europeu i del Consell, del 23 de juliol, relatiu a la identificació electrònica i als serveis de confiança per a les transaccions en el mercat interior (Reglament eIDAS) ha regulat, com a servei de confiança, el de conservació de la signatura electrònica qualificada o del segell electrònic qualificat, en una normativa de caràcter harmonitzat i horitzontal a l’ordenament jurídic de la totalitat d’Estats membres de la Unió Europea que pretén facilitar la conservació, en condicions de simplicitat i elevada seguretat jurídica.

Tot i que el Reglament eIDAS no conté una definició d’aquest servei, el seu article 34.1 concreta que consisteix en la utilització de procediments i tecnologies capaces d’ampliar la fiabilitat de les dades de la signatura electrònica qualificada més enllà del seu període de validesa tecnològica, previsió aplicable al segell electrònic qualificat per mandat de l’article 40.  

2. La normalització tècnica i la potenciació de l’arxiu electrònic

Més encara, degut al model regulatori del Reglament eIDAS, que permet un especial protagonisme a la autoregulació de la indústria en forma de normes tècniques, podem saludar amb satisfacció la producció de les primeres especificacions tècniques de l’ETSI específicament dissenyades per facilitar la conservació de signatures i segells, amb una considerable alineació amb els serveis d’arxiu, amb els quals es relaciona i potencia. 

Així, l’especificació ETSI TS 119 511, actualment en fase final d’aprovació, determina requisits de política i de seguretat per a un servei de conservació de signatura o segell electrònic, qualificat o no, resultant especialment important el seu Annex C, que determina les relacions entre aquest servei i l’arxiu electrònic de documents. I ho fa perquè el servei de conservació es pot fer conservant també el document, conservant-lo només temporal, o sense conservar-lo.

La gran novetat d’aquesta especificació es troba també en el seu enfocament tecnològicament neutre, que orbita al voltant dels conceptes d’objectes de preservació i de proves d’existència temporal, les qual es podran obtenir de diverses formes, per bé que sempre amb base en l’ús de signatures digitales. Per tant, es podrien fer servir segells de temps incorporats a les pròpies signatures, però també es podria enregistrar el document en una cadena de blocs, o en un arxiu electrònic en el marc de la legislació vigent.

Millor encara, algunes legislacions nacionals, significativament la belga, han fusionat servei d’arxiu amb serveis de confiança com el descrit, atorgant efectes jurídics a l’ingrés dels documents en aquests arxius, de forma que s’ha d’entendre, des de la perspectiva jurídica, que s’ha conservat correctament el document electrònic que hagi estat incorporat a aquest servei d’arxiu electrònic millorat. El que constitueix un avantatge en termes de reducció de risc jurídic per a les entitats productores de documents amb valor legal.

Atenent a aquestes tendències… qui va dir que aquesta professió d’arxivera o arxiver no tenia futur en el món de la tecnologia?