Partnerships & Growth Manager en weetrust
La e.firma del SAT (antes FIEL): una firma electrónica construida bajo una infraestructura de llave pública. Diversas disposiciones normativas le otorgan el carácter de Firma Electrónica Avanzada, dotándola del famoso “No Repudio” que revierte la carga de la prueba sobre la firma, siendo el firmante quien, en caso de desconocer la firma, debe probar que no firmó.
Hasta aquí todo suena muy bien, pero esta triste historia toma un giro de 180° cuando analizamos la manera en la que se obtiene y puede utilizarse la e.firma.
¿Cómo se obtiene? El proceso es, en teoría, sencillo: el contribuyente obtiene una cita con el SAT (tema que, por cierto, requiere otro análisis y quizás una nota en medios nacionales), acude el día de su cita a la oficina correspondiente, se le toman datos biométricos para verificar su identidad, genera su contraseña y, en ese mismo acto, recibe sus archivos .cer, y .key en un dispositivo USB.
¿Cómo se utiliza? La e.firma fue desarrollada con un enfoque fiscal; sin embargo, hoy en día diversas disposiciones normativas (eg. en materia laboral y financiera) le atribuyen el carácter de “Avanzada” y la tecnología ya permite que sea utilizada como medio para manifestar la voluntad en actos jurídicos de cualquier índole.
El problema surge desde la raíz: la infraestructura de llave pública implica la formación de una firma electrónica con archivos electrónicos que son fácilmente duplicables y transmisibles. Es decir, cualquier persona puede compartir–o le pueden robar–su contraseña y sus archivos .cer y .key al resto del mundo y, en consecuencia, cualquier persona en posesión de esa información podría firmar de manera fraudulenta cualquier documento a nombre de la titular de la e.firma.
¿Qué pasa en la práctica? Todos sabemos que, a pesar de ser una mala práctica, muchas personas comparten su e.firma con sus contadores y otras personas.
Trágico ejemplo: Ese contador podría fácil y fraudulentamente solicitar un crédito a nombre de la titular firmando con su e.firma, obtener el dinero y desaparecer. Unos meses después, la acreditante, al no recibir el pago de lo debido, estará exigiéndolo a la titular de la e.firma. Ésta, sorprendida, manifestará que no ha solicitado ningún crédito y, en caso de ser demandada, deberá probar que no firmó por tratarse de una Firma Electrónica Avanzada (No Repudio).
¿Cómo demostrará la titular de la e.firma que no firmó para evitar el pago del crédito más intereses? Buena pregunta. Se las dejo a resolver… (pista: es prácticamente imposible).
La tecnología de firma electrónica basada en infraestructura de llave pública fue desarrollada hace décadas y, aunque muchos lo quieran negar, ya es obsoleta si la visualizamos en el contexto moderno. Los avances tecnológicos del mundo actual, que han sido trasladados al comercio, permiten mucha mayor agilidad y certeza en todo tipo de transacciones.
El Código de Comercio establece que, tratándose de mensajes de datos (ie. documentos electrónicos), el juzgador debe evaluar la fiabilidad de los métodos de su creación. Esa fiabilidad se resume en dos elementos que el mismo Código y otras disposiciones normativas repiten constantemente en materia de mensajes de datos: Integridad e Identidad.
Seré enfático: la e.firma NO nos permite cerciorarnos de la identidad del firmante que aparece sobre un documento electrónico. Otras tecnologías o información, como lo son los datos biométricos de una persona, sí lo pueden hacer. Los datos biométricos son únicos a la persona y son intransferibles y, si a ellos, agregas una prueba de vida, por ejemplo, tendrás una prueba irrefutable de la manifestación de la voluntad y, en su caso, de la autoría del documento electrónico. Con la e.firma sólo tendrás una peligrosa presunción y un posible fraude.
¿Debería ser la e.firma una Firma Electrónica Avanzada? ¿Deberían de continuar las autoridades y los “expertos” promoviendo su uso y su prevalencia al momento de legislar?