• Author / Uploaded
• Luis Guzman

Citation preview

Informática Jurídica

Firma Digital. Nociones. Definiciones. Problemática Jurídica. Dr. Julio E. Blajean

I – INTRODUCCIÓN 1. Firma digital Las redes abiertas como Internet revisten cada vez mayor importancia para la comunicación mundial. Esas redes permiten una comunicación interactiva entre interlocutores que no necesariamente han entablado previamente relación alguna. Ofrecen asimismo nuevas posibilidades empresariales, creando herramientas que mejoran la productividad y reducen los costos, así como nuevas formas de llegar al cliente. Las redes están siendo utilizadas por empresas que desean aprovechar los nuevos tipos de actividad y nuevas formas de trabajo, como el tele trabajo y los entornos virtuales compartidos. También las administraciones públicas las utilizan en su gestión interna y en su interacción con empresas y ciudadanos. El comercio electrónico brinda al país una excelente oportunidad para avanzar en su interacción económica con las naciones del resto del mundo. Para aprovechar todas las posibilidades resulta indispensable un mecanismo que permita asegurar con un alto grado de probabilidad la identidad del autor de un documento (autenticación de la autoría) así como comprobar que dichos datos no han sufrido alteración desde que fueron firmados (integridad). Para ello han sido diseñados distintos tipos de soluciones, que van desde algunos muy sencillos como la inserción de la imagen escaneada de una firma manuscrita en un documento creado con un procesador de texto, a otros muy avanzados como la firma digital que utiliza la ―criptografía de clave pública‖. Existe acuerdo a nivel mundial de que la firma digital basada en la criptografía de clave pública constituye en la actualidad el único mecanismo que permite resolver las cuestiones planteadas. En este sentido, se coincide en forma casi unánime que el término firma digital debe reservarse para aquel mecanismo que se basa en la criptografía y en la clave pública.

2. Beneficios de la firma digital Al facilitar la autenticación a distancia entre partes que no necesariamente se conocen previamente, las firmas digitales constituyen el mecanismo esencial para proveer seguridad y desarrollar confianza en las redes abiertas. Por ello constituyen un elemento clave para el desarrollo del comercio electrónico en Internet. En el ámbito nacional el comercio electrónico ya se esta manifestando, existiendo supermercados, aerolíneas, agentes bursátiles y bancos que ofrecen sus productos y servicios por Internet permitiendo así la compra de alimentos y artículos del hogar, de pasajes aéreos, de títulos valores bursátiles y de transferencias de fondos entre cuentas bancarias y el pago de facturas de servicios. A título de ejemplo puede mencionarse el efecto del comercio electrónico en Internet respecto del ámbito bursátil, para el cual el valor monetario de las transacciones de compra-venta de títulos valores iniciadas desde Internet en los EEUU en 1997 ascendió a 120 mil millones de dólares, estimándose que tal cifra se triplicaba para 1998 y se quintuplicará para el 2005. Dr. Julio E. Blajean

Página 2 de 57

El comercio electrónico no es el único beneficiario de la firma digital: actualmente las empresas y los organismos públicos de nuestro país están atorados de grandes cantidades de documentos en soporte papel que ocupan un significativo y costoso espacio de archivo en sus oficinas y que dificultan su informatización resultando en un acceso a la información más lento y costoso. Los requerimientos legales que exigen la utilización del papel con firma manuscrita impiden la implementación de modernos sistemas informáticos mediante los cuales se podría exceder a documentos a distancia y a la información en forma inmediata, dando lugar a nuevas modalidades de desempeño laboral como ser el tele-trabajo (―tele-commuting‖). Y es así donde se produce el mayor beneficio de la utilización de la firma digital: tanto estas nuevas modalidades de trabajo como el incremento en la velocidad de circulación de la información que hace factible el documento digital permitirían que las organizaciones de nuestro país ofrezcan un mejor nivel de servicios a sus administrados y simultáneamente reduzcan sus costos, aumentando su productividad y su competitividad en lo que hoy son mercados cada vez más globalizados y competitivos.

3. El documento y la firma. 3.1 El Documento en Soporte Papel y la Firma Ológrafa. La firma manuscrita tiene efectos jurídicos en nuestra sociedad y cultura pues en la tradición de su uso la ley considera aceptable para identificar al autor de un documento y simultáneamente asegurar la integridad del contenido de dicho documento, en tanto se cumplen las siguientes condiciones: 1. El documento está escrito con tinta indeleble y en soporte papel absorbente, tal que una enmienda o raspadura que altere la información escrita sea visible y evidente; 2. El documento posee márgenes razonables que contienen los renglones escritos, tal que cualquier escritura adicional sea visible y evidente; 3. La firma manuscrita se coloque delimitando la información escrita, tal que no sea posible agregar texto escrito excepto a continuación de la firma manuscrita; 4. El firmante siempre utiliza la misma o similar firma manuscrita para firmar los documentos de su autoría; 5. La firma manuscrita es suficientemente compleja tal que su falsificación deviene no trivial, y 6. Existen peritos caligráficos que pueden detectar las falsificaciones con un razonable grado de certeza. Cabe aclarar que en la referida enumeración no se consideran los requisitos impuestos por las leyes y reglamentaciones para las escrituras públicas. Es importante destacar que la falta de cualquiera de los seis puntos especificados tornaría inseguro al mecanismo de firma manuscrita para documentos en soporte papel, permitiendo así a su autor repudiar la autoría de los documentos que le podrían ser atribuidos y en tanto no se recurra a un mecanismo adicional como podría ser la certificación notarial de la firma.

Dr. Julio E. Blajean

Página 3 de 57

En el mecanismo de Firma Digital propuesto, estos puntos se implementan generando un digesto o resumen criptográfico del mensaje, creado por una función de digesto de mensaje, el cual a su vez es encriptado con la clave privada del firmante (que solo el firmante conoce), y un certificador de clave pública confiable que certifica cual es la clave pública utilizada por el firmante. 3.2 La Integridad, inalterabilidad y perdurabilidad de la información Vale la pena explorar cuidadosamente las diferencias en los conceptos de integridad, inalterabilidad y perdurabilidad de la información y de cómo estos se relacionan con los conceptos de la firma digital, del archivo de la información y de los distintos medios de almacenamiento. 3.2.1 Integridad Significa que la información no carece de ninguna de sus partes, que no ha sido modificada. La integridad es una cualidad imprescindible para otorgarle efectos jurídicos a la información. La firma digital detecta la integridad de la información que fuera firmada, en forma independiente al medio de su almacenamiento. 3.2.2 Inalterabilidad Significa que la información no se puede alterar. Ya que la información siempre puede ser alterada, la inalterabilidad no se refiere a la información en sí, sino a su medio de almacenamiento. La firma digital no impide que la información sea alterada, sino que detecta si se ha producido alguna alteración. La inalterabilidad del medio de almacenamiento no asegura la integridad de la información: El disco digital ―CD – ROM‖, por ejemplo es un medio de almacenamiento gravable una sola vez, por lo que impide que se altere la información que en él ha sido grabada, pero no impide que esa información sea alterada y copiada a un segundo CD – ROM que luego sustituya a su original. 3.2.3 Perdurabilidad Significa que la información perdura en el tiempo y es una cualidad del medio de almacenamiento. La información que debe perdurar en el tiempo debe ser archivada en un medio perdurable. La inalterabilidad del medio de almacenamiento es ortogonal a (desconexa de) la perdurabilidad de la información: por ejemplo en la antigua informática, la ―tarjeta perforada‖ de cartón es un medio inalterable porque no es reperforable, pero no demuestra buenas características de perdurabilidad por su sensibilidad a la humedad y a los roedores. Por otro lado, el disco rígido de una computadora no es un medio inalterable de almacenamiento, pero demuestra excelentes características de perdurabilidad cuando opera como parte de un banco de discos, si la información se almacena con suficiente redundancia y si los disco tienen un tiempo promedio entre fallas del orden de 350.000 horas (40 años). 3.3 El Documento Digital

Dr. Julio E. Blajean

Página 4 de 57

El documento digital es simplemente una secuencia informática de bits (unos y ceros) que puede representar cualquier tipo de información. Esta representación de la información en base a dígitos implica en el ámbito informático una representación ―binaria‖. Todo tipo de información es apta para ser representada digitalmente: mediante el escaneo, la imagen de una fotografía o la imagen de un documento en soporte papel; mediante un procesador de palabras, la información escrita; mediante una plaqueta digitalizadora, la voz, la música y el video; mediante hojas de cálculo, la información numérica y financiera; y mediante base de datos, la información estadística y de diversos bancos de información. Todo tipo de información representada digitalmente constituye un documento digital y es susceptible de ser firmada digitalmente. Es por ello que la firma digital puede utilizarse para otorgar efectos jurídicos o eficacia probatoria a toda declaración de voluntad o de conocimiento, con independencia de su extensión o de su medio de almacenamiento, sin limitación alguna. 3.4 El Digesto del Mensaje El digesto del mensaje es una secuencia de bits de longitud corta y fija, producida por una función de digesto (resumen) luego de procesar un documento digital. La función de digesto es un algoritmo criptográfico que forma un documento digital de forma tal que siempre se obtenga el mismo digesto de mensaje cada vez que se calcule esta función respecto del mismo documento digital, y sea computacionalmente no factible encontrar dos documentos digitales diferentes que produzcan el mismo digesto de mensaje. La firma digital respecto de un documento digital es el digesto de mensaje de ese documento encriptado mediante la clave privada del firmante. La verificación de una firma digital consiste en volver a calcular el digesto de mensaje para compararlo con el digesto de mensaje original que se obtiene desencriptando la firma digital con la clave pública del firmante. Aunque sería factible encriptar el documento digital directamente, se encripta en vez el digesto del documento pues este es más corto, con lo cual los procedimientos de encriptado y desencriptado son sustancialmente más veloces. 3.5. La implementación de la Firma Digital Para esclarecer ciertas cuestiones relativas a la terminología de la tecnología de firma digital, se incluyen los siguientes conceptos: En primer lugar corresponde hablar de firma digital y no de firma electrónica. También corresponde explicar que la firma digital sub-examine nada tiene que ver con la firma escaneada. Aunque parezca superfluo, conviene también explicar que la firma digital nada tiene que ver con la utilización de la impresión dactilar. Establecido ya que la información a la cual se le desea otorgar valor jurídico es digital, o sea numérica (binaria), conviene explicar la naturaleza de los posibles

Dr. Julio E. Blajean

Página 5 de 57

mecanismos disponibles para otorgarle efectos jurídicos a esa información numérica. En este sentido cabe aseverar en forma axiomática que el mecanismo de firma digital debe ser criptográfico, pues si lo que se desea es proteger la información, o sea los dígitos, se incursiona necesariamente en el campo de la criptografía, la que se define como el arte de proteger la información (tanto como para proteger su privacidad como para proteger su integridad). El término criptografía proviene del griego (cripto: oculto) y es definido por el diccionario de la Real Academia Española como el ―arte de escribir con clave secreta o de un modo enigmático‖.

4. Tecnologías a utilizar Se ha prestado eventual atención a que las tecnologías a utilizar en el eventual desarrollo del sistema reúnan las más completas garantías en los aspectos de seguridad, de acuerdo con el estado del arte actual en el campo de la criptografía civil. Los métodos y algoritmos usados más importantes son los siguientes: -Algoritmo de firma digital: se adopta el algoritmo RSA, por su compatibilidad con los estándares internacionales y porque ha resistido exitosamente los intentos de criptoanálisis desde su invención. Se desconoce una forma de ataque mas sencilla que la factorización del módulo. -Algoritmo de hashing: se adopta el algoritmo MD5, para el que se desconocen modos de ataque más simple que el de ―fuerza bruta‖. Hallar un mensaje que arroje un valor dado requiere 2128 intentos (3.428 x 1038 ), en tanto que hallar dos mensajes al azar que arrojen un mismo valor de hash requiere 264 intentos (1.8447 x 1019). -Generación de números al azar: se utiliza el generador de residuos cuadráticos o BBS, que tiene la especial fortaleza de ser impredecible ―a derecha e izquierda‖. -Algoritmo de encriptación simétrica: se adopta el algoritmo IDEA. Aunque de reciente invención este algoritmo ha demostrado ser resistente a diferentes formas de ataque por fuerza bruta. Un ataque de fuerza bruta requiere 2128 intentos, este algoritmo esta registrado en el ISO Register of Cryptographic Algoritmhs‖, ISO 9979/0002. -Algoritmo de determinación de números primos: se adopta un algoritmo probabilístico de alta convergencia, procurando asegurar que la probabilidad de generar un falso número primo sea inferior a 1 en 232 ( 1 en 4 000 000 000). -Protección de claves: las claves para encriptación (simétricas) se utilizan en una sola sesión de comunicación, por consiguiente, no quedan almacenadas en modo accesible en ningún archivo, su uso es transitorio y luego de utilizadas se descartan, las claves públicas, como es evidente no necesitan protección, los datos que necesitan un fuerte esquema de protección son las claves privadas y las ―semillas‖ generadoras de números primos y números al azar, para ello, se preveen diversos esquemas de protección: en la aplicación ―cliente‖, los datos sensitivos se alojan en archivos encriptados; en lugar de Dr. Julio E. Blajean

Página 6 de 57

utilizar contraseñas convencionales, el usuario accede a través de una ―frasecontraseña‖; ésta no es almacenada en ningún lugar del sistema, sino que en función de ella, en cada acceso, un algoritmo de hashing calcula un valor que sirve de índice. 4.1. Firmas digitales y estándares Los algoritmos han sido escogidos tomando en cuenta no sólo su seguridad sino también su compatibilidad con normas internacionales, en particular con las normas ISO y las del CCITT: -Las firmas digitales que utilizan algoritmos de clase pública están reguladas por la norma ISO 9796 y el estándar de seguridad de la norma CCITT X.509. -Los modos de operación de los algoritmos de encriptación están regulados por las normas ISO 8372 e ISO 10116. -Los procedimientos de hashing están regulados por la norma ISO 10118-2. Adicionalmente, el algoritmo RSA es parte de las normas de seguridad estándar de la ―Society for Worldwide Interbank Financial Telecomunications s.c.‖, de la norma francesa ETEBAC 5 para el sector financiero, de la propuesta de norma estadounidense ANSI X9.31 y de la norma australiana AS2805.6.5.3. Este algoritmo esta también incorporado a diversas funciones de sistemas operativos de Microsoft, Apple, Sun y Novell.

5. La infraestructura de clave pública La persona que recibe un documento digital firmado digitalmente no sólo necesita verificar la integridad de dicho documento, sino también la identidad del suscriptor. Esta identificación del suscriptor requiere de ciertos componentes adicionales que conforman la denominada Infraestructura de Clave Pública (PKI – ―Public Key Infrastucture‖). Los componentes esenciales de dicha infraestructura son: 5.1 Los Certificados de Clave Pública La firma digital permite identificar la clave pública correspondiente a la clave privada utilizada para firmar un documento, pero aún resta identificar quién es el titular de esa clave pública. Para ello se requiere de un tercero confiable que identifique a ese titular, identificación que se lleva a cabo mediante el denominado certificado de clave pública (―public key certificate‖). Los certificados de clave pública son documentos digitales firmados digitalmente por un tercero confiable que contienen una clave pública con los datos identificatorios de su titular. 5.2 Los Certificadores de Clave Pública Los certificadores de clave pública (―certification authorities‖) son los terceros confiables que emiten certificados de clave pública que asocian una determinada clave pública con los datos identificatorios de su suscriptor, y como tales se constituyen quizás en el elemento más importante de esta infraestructura. Por ello, el marco legal que le otorgue efectos jurídicos a la Dr. Julio E. Blajean

Página 7 de 57

firma digital debe complementar por medio del licenciamiento los estándares y requisitos mínimos aceptables de operación de los certificadores. 5.3 Ente Licenciante o Certificador Raíz El ente licenciante, también denominado certificador raíz (―root certification authority‖) otorga las licencias operativas a los certificadores de clave pública y monitorea el funcionamiento de los mismos. Como parte del proceso de licenciamiento, el ente licenciante emite certificados de clave pública a favor de cada certificador licenciado, formando así un esquema jerárquico de certificación.

II –ANTECEDENTES 1. Antecedentes Nacionales. En nuestro país la iniciativa nace en el seno del Estado Nacional, aproximadamente en 1996. A partir de entonces se ha sucedido un trabajo admirable en la Secretaría de la Función Pública, que se refleja en las numerosas disposiciones y estructuras que se han creado. Gracias a ello es que en el ámbito de la administración pública nacional desde hace tiempo se utiliza la firma digital. Y debe destacarse el esfuerzo realizado por el Ministerio de Justicia, la Jefatura de Gabinete y, en el ámbito privado, la colaboración del Consejo Federal de Notariado Argentino y del Colegio de Escribanos de la Capital Federal. La Comisión Nacional de Valores (CNV), desde hace tiempo está aplicando tanto las disposiciones de la firma digital como la presentación de documentación en forma digital. Ha habido por un lado experiencias prácticas en el Estado en el seno de la Secretaría de la Función Pública, y por el otro, numerosas iniciativas, entre ellas, el proyecto elaborado por el PEN, proyecto que puede considerarse como la base de las iniciativas legislativas mencionadas en la ley mencionada. Finalmente el proyecto del nuevo Código Civil prevé tanto el documento digital como la firma digital. El artículo 264°, trata de los instrumentos particulares, donde los describe e incluye el escrito si no está firmado pues si lo está, lo denomina instrumento privado (art. 265°). En cuanto a la firma expresa en su artículo 266° lo siguiente: la firma prueba la declaración de voluntad expresada en el texto al cual corresponde. Debe ser manuscrita y consistir en el nombre del firmante o en un signo. Escritos del modo en que habitualmente lo hace a tal efecto. En los instrumentos generados por medios electrónicos, el requisito de la firma de una persona queda satisfecho si se utiliza un método para identificarla y ese método asegura razonablemente la autoría e inalterabilidad del instrumento.

2. Antecedentes internacionales.

Dr. Julio E. Blajean

Página 8 de 57

Con mayor o menor grado de avance. la mayoría de los países del primer mundo tienen una normativa, y también algunos países en desarrollo que intentan progresar. En el ámbito mundial, las tendencias de las legislaciones que se han ido dictando presentan las siguientes características: · Se produce una evolución desde las primeras legislaciones eminentemente reglamentarias y completas como la ley del Estado de Utah en Estados Unidos, pasando por legislaciones técnicas como la Ley de Alemania, hacia legislaciones más flexibles como el Real Decreto Español, la Ley de Portugal, la Ley de Colombia y las minimalista Ley de Perú. · La tendencia mundial es el dictado de leyes de articulado breve, delegando en el Reglamento de la Ley, la tarea de establecer en firma exhaustiva los derechos, deberes y obligaciones de los sujetos que participan de la actividad. · La tendencia indica también, que las leyes se estructuran sobre cuatro conceptos fundamentales: firma electrónica o digital, documento electrónico, certificados digitales y prestadores de servicio de certificación. · Sobre esta materia, la Comunidad Europea promueve el libre acceso para quien quiera prestar servicios de Certificación, estableciendo cada país en particular las normas mínimas que regirán la actividad. Además, en algunos países como España por ejemplo, se establece un sistema libre de Acreditación frente al Estado, premiando esa adhesión voluntaria con el otorgamiento de mayor valor legal a los certificados emitidos por organismos acreditados. · La legislación sudamericana en cambio, se inclina por el sistema de autorización previa por el organismos estatal competente. · Las legislaciones más modernas, establecen requisitos de forma y fondo, llámase técnicos, financieros y de personal, relativamente importantes para el desarrollo de la actividad de certificación, ya sea estableciéndolos directamente en la ley o encomendado esa tarea al Reglamento. · En cuanto a responsabilidades, la situación no es del todo clara. Legislaciones como la española y la doctrina en general, obligan al Prestador de Servicios de Certificación a probar la diligencia con que actuó, y lo hacen responsable de los errores y consecuencialmente de los daños que su negligencia produzcan. Las legislaciones de Colombia, Perú y la Ley Modelo de la CNUDMI nada dicen al respecto. En el dictado de la Ley Alemana, el parlamento discutió largamente sobre la inclusión o no de normas sobre responsabilidad, optando por la última de las alternativas. Es interesante analizar el caso de Francia por la similitud de la estructura legal. Este país, que había quedado retrasado en relación con las primeras economías del mundo, a partir de 1997 y luego de un período de estudio por una Comisión, el 29 de febrero de 2000 la Cámara de Diputados transformó en Ley el ―Proyecto de adaptación del derecho de la prueba con las nuevas tecnologías de la información en relación con la firma electrónica‖, introduciendo una trascendente reforma a los principios sobre prueba escrita y firma en el Código Civil Francés, incorporando en estricto pie de igualdad con sus pares analógicos al documento electrónico y a la firma digital.

Dr. Julio E. Blajean

Página 9 de 57

Posteriormente el Gobierno dictó el Decreto Nro. 2001-272 del 30 de marzo de 2001, de aplicación del nuevo artículo 1316-4 generando el sistema de firma digital en Francia.

III - LEGISLACIÓN ARGENTINA La ley 25.506 crea una nueva forma de interactuar entre las personas privadas, y entre éstas y la Administración Pública, al reconocer validez y valor probatorio al documento digital y autorizar el uso de la firma digital –diseñando una infraestructura que la hace posible- al tiempo que, bajo ciertas condiciones, reconoce la firma digital y certificado digital extranjeros. Regula también el uso de la firma electrónica, una acepción más amplia que la digital. Esta norma no sustituye las formas tradicionales, por el contrario, se proclama un respeto a las formas documentales existentes, agregando, al documento escrito, el documento digital, y a la firma, la firma electrónica y la firma digital. Esto ya estaba incorporado en el ámbito de la Administración Pública y ahora se extiende a todos los actos jurídicos. A partir de ésta se podrán firmar contratos, en un documento de word, o en un e-mail, con plena validez. La firma digital requiere una infraestructura compleja para funcionar, razón por la cual un alto porcentaje de la ley está dedicado a su organización. Es fundamental para el desarrollo del comercio electrónico, el reconocimiento legal del documento electrónico, su equivalencia con el documento impreso en papel y su admisibilidad como prueba en juicio. No parece ser razonable actualmente la existencia de diferencias entre el valor jurídico de un documento impreso en papel a un documento otorgado electrónicamente, salvo por supuesto por aquellos documentos que requieren ser otorgados cumpliendo ciertas solemnidades, como la concurrencia de un notario público, mientras éstos no tengan facultades en el mundo electrónico. La firma digital tiene algunas ventajas sobre la firma manuscrita como la inalterabilidad del mensaje, la fecha y hora de la firma. La finalidad de la ley al admitir el documento digital y difundir el uso de la firma digital en la Argentina, es colocar al país en sintonía con el resto de los países más avanzados en el mundo, facilitando el comercio exterior, la contratación a distancia, y bajando el costo argentino, haciendo más eficiente el país. La trascendencia de la norma, por lo expuesto, es notable.

1. La Ley. 1.1. La firma digital: Recordemos qué es la firma en su acepción clásica. Una definición dice: ―Nombre y apellido, o título de una persona, que ésta pone con rúbrica al pie de un documento escrito de mano propia o ajena, para darle autenticidad, para expresar que se aprueba su contenido, o para obligarse a lo que en él se dice.‖. Otra, comentando la nueva ley de Francia, habla de un grafismo, por el cual una persona se identifica en un acto y asiente sobre el contenido del Dr. Julio E. Blajean

Página 10 de 57

documento, acordándole fuerza probatoria. Estas definiciones incorporan dos cuestiones, la intención y la fuerza probatoria. ¿Y qué es la firma digital?. En su artículo 1° referido al Objeto, nuestra ley dice que: Se reconoce el empleo de la firma electrónica y de la firma digital y su eficacia jurídica en las condiciones que establece la presente ley. Se advierte que comienza hablando de firma electrónica, antes que de la firma digital. Aunque la firma electrónica es el género, y la firma digital es la especie, tratándose de una ―Ley de Firma Digital‖ no parece razonable comenzar con una referencia a aquélla (firma electrónica), máxime, cuando más adelante lo habrá de considerar en especial. La firma digital específicamente está definida en el artículo 2°: Se entiende por firma digital al resultado de aplicar a un documento digital un procedimiento matemático que requiere información de exclusivo conocimiento del firmante, encontrándose ésta bajo su absoluto control. La firma digital debe ser susceptible de verificación por terceras partes, tal que dicha verificación simultáneamente permita identificar cualquier alteración del documento digital posterior a su firma. Vemos así que la firma digital requiere determinadas condiciones, que luego complementa con otras disposiciones. Aplicar a un documento digital: de acuerdo con esta definición la firma digital no existe, no tiene vida ni virtualidad, sin un documento digital. Esto es equivalente a la firma manuscrita, ésta no puede existir sin un soporte material (generalmente papel o equivalente). Un procedimiento matemático: la firma digital es un procedimiento matemático realizado automáticamente por un computador, generando un par de claves. Información de exclusivo conocimiento del firmante: aquí la ley incorpora conceptos equívocos para lo que debe ser una clara definición conceptual, más propios de recomendaciones que de la naturaleza de un instituto. Requiere información que en la generalidad de los casos supone que sólo pertenece a la esfera del exclusivo conocimiento de quien quiere firmar. ¿Significa esto acaso que si la información no es del exclusivo conocimiento del firmante no hay firma digital?. Se entiende que no es así y sólo debe ser susceptible de conocimiento exclusivo, pero el que lo comparta no le quita ese carácter. Encontrándose ésta bajo su absoluto control: aquí cabe la misma observación del anterior, esto es una recomendación, pero no integra la definición. Debe ser de conocimiento exclusivo y estar bajo su absoluto control. Esto supone tener en todo momento la posibilidad de su utilización, sin depender de terceras personas, pero el que el firmante resuelva compartirlo, nuevamente, no quita el carácter de firma digital. Susceptible de verificación: ésta es una de las más importantes características, de una importancia tal que –en el esquema de la ley- si ello no se verifica no estamos ante una firma digital (aunque podría ser una firma electrónica). Posibilidad de identificar al firmante: la firma digital debe permitir la identificación del firmante en forma indubitable. En verdad, estamos aquí ante

Dr. Julio E. Blajean

Página 11 de 57

una ventaja sobre la simple firma la cual, prima facie, no identifica necesariamente al firmante, y donde podríamos decir que ―parece ser la firma de Juan Pérez‖, pero nada más. No alteración del documento digital: Finalmente la firma digital debe proteger la inalterabilidad del documento digital con lo cual –asegurada la identidad de quien la firma y la autenticidad del documento digital- sería imposible que el firmante niegue o repudie el documento digital. En otras palabras, está introduciendo el concepto del ‗no repudio‘ que requieren otras legislaciones. En esto es superior a la simple firma, que no garantiza la inalterabilidad del documento, es una ventaja sobre la firma común. El artículo 7° de la ley trata sobre la Presunción de autoría: se presume, salvo prueba en contrario, que toda firma digital pertenece al titular del certificado digital que permite la verificación de dicha firma. Este artículo introduce el concepto del certificado digital de donde resulta que no hay firma digital sin un certificado digital. El artículo 8° introduce otra presunción esencial, es decir, que el documento digital no ha sido modificado. Presunción de integridad - Si el resultado de un procedimiento de verificación de una firma digital aplicado a un documento digital es verdadero, se presume, salvo prueba en contrario, que este documento digital no ha sido modificado desde el momento de su firma. Entonces de acuerdo a los artículos 7° y 8° la firma digital goza de presunción de autoría y de integridad, es decir que la carga de la prueba (onus probandi) recaerá sobre la persona que alega la falsedad de un documento firmado digitalmente, o que el mismo ha sido firmado por interpósita persona. Por el contrario, cuando se desconoce la firma electrónica la carga de la prueba sobre su validez, recaerá sobre quien la alega. Y el artículo 10° suma otra presunción importante: Remitente. Presunción – Cuando un documento digital sea enviado en forma automática por un procedimiento programado y lleve la firma digital del remitente, se presumirá, salvo prueba en contrario, que el documento firmado proviene del remitente. En este caso la presunción se refiere a determinar de quién proviene y parecería una repetición del artículo 7° que establece la presunción de autoría. En este caso queda la sensación de que se reafirma un concepto desde un diferente ángulo. Si, como se ha visto, no existe firma digital sin un certificado digital, todos los recaudos referidos a éste cumplimentan aquél concepto. Tales son los artículos 9° y 10°. El primero dice: Validez – Una firma digital es válida si cumple con los siguientes requisitos: a) Haber sido creada durante el período de vigencia del certificado digital válido del firmante;

Dr. Julio E. Blajean

Página 12 de 57

b) Ser debidamente verificada por la referencia a los datos de verificación de firma digital indicados en dicho certificado, según el procedimiento de verificación correspondiente; c) Que dicho certificado haya sido emitido o reconocido, según artículo 16° de la presente, por un certificador licenciado. No sólo tiene que haber un certificado digital, sino que la firma digital que haya sido estampada durante su período de vigencia pues en caso contrario no vale como tal. El inciso c) requiere, además, que dicho certificado digital haya sido emitido o reconocido por un certificador licenciado. Al terminar esta disposición se consigna que una autoridad de aplicación regulará todo lo referido a cuestiones tecnológicas. Esto nos está introduciendo en el tema de la infraestructura, no puede haber firma digital sin un certificado digital y éste sólo puede ser válido si ha intervenido un certificador licenciado y los procedimientos sólo podrán ser los determinados por la autoridad de aplicación. Todo aquello es lo que se conoce como infraestructura de firma digital. Y culminando con esta definición de firma digital cuya validez depende de un certificado digital, es conveniente considerar el art. 23° sobre cuándo este certificado no es válido: Desconocimiento de la validez de un certificado digital – Un certificado digital no es válido si es utilizado: a) para alguna finalidad diferente a los fines para los cuales fue extendido; b) para operaciones que superen el valor máximo autorizado cuando corresponda; c) una vez revocado. 1.2 Ambito de validez de la ley: Completando este panorama tenemos las excepciones que delimitan el campo de la validez de la firma digital (y de la firma electrónica y del documento digital). El artículo 4° que las establece, indirectamente, viene a reforzar el principio general pues sólo no son válidas en las situaciones taxativamente enumeradas. Exclusiones: las disposiciones de esta ley no son aplicables: a) a las disposiciones por causa de muerte; b) a los actos jurídicos del derecho de familia; c) a los actos personalísimos en general; d) a los actos que deban ser instrumentados bajo exigencias o formalidades incompatibles con la utilización de la firma digital, ya sea como consecuencia de disposiciones legales o acuerdos de partes. Aunque estas excepciones debieran haberse limitado, a la firma digital, en verdad, abarcan a todo lo reglado en la ley, de donde no podrían existir documento digital en relación con tales excepciones.

Dr. Julio E. Blajean

Página 13 de 57

1.3 Incorporación de la firma digital al derecho de fondo: Estas normas, se incorporan a nuestro derecho de fondo, en el artículo 3° establece: Del requerimiento de firma. Cuando la ley requiera una firma manuscrita, esa exigencia también queda satisfecha por una firma digital. Este principio es aplicable a los casos en que la ley establece la obligación de firmar o prescribe consecuencia para su ausencia. A partir de esta ley, cada vez que en los códigos y leyes de fondo se lea la palabra firma y documento o instrumento puede ser reemplazado por firma digital o documento digital. Indirectamente como hemos visto queda reforzada por las únicas excepciones previstas por el artículo 4°. 1.4. La firma electrónica: Se mencionó ya que la firma electrónica sería el nombre genérico de una forma de expresar en el mundo digital todo lo que implica la firma en el mundo real. La firma digital sería una variedad –la más conocida, segura y recomendablede la firma electrónica. Además de mencionarla en el primer artículo, en el artículo 5° se define a la firma electrónica: Se entiende por firma electrónica el conjunto de datos electrónicos integrados, ligados o asociados de manera lógica a otros datos electrónicos, utilizado por el signatario como su medio de identificación, que carezca de alguno de los requisitos legales para ser considerada firma digital. En caso de ser desconocida la firma electrónica corresponde a quién la invoca acreditar su validez. Hay diferencias notables entre la firma electrónica y la firma digital, lo sustancial son las presunciones, pues en tanto en el caso de firma digital se presume que, cumplidas ciertas condiciones, el firmante no puede desconocerlo y se invierte la carga de la prueba (iuris et de iure), en el caso de la firma electrónica, corresponde a quién la invoca acreditar su validez. El legislador utiliza una técnica diferente en la definición de firma electrónica: ―se entiende por firma electrónica al conjunto de datos electrónicos integrados, ligados o asociados de manera lógica a otros datos electrónicos, utilizado por el signatario como su medio de identificación‖. Deja de lado aquí los conceptos de reserva y exclusivo control, para ir hacia algo más simple. Hacia el final marca el elemento diferenciante más importante ―que carezca de alguno de los requisitos legales para ser considerada firma digital‖. Todos los sistemas de identificación digital que expresen asentimiento e identificación y que carezcan de alguna de las características de la firma digital serán firma electrónica. 1.5. Documento digital y firma digital: Una definición de documento escrito dice que es una ―expresión en soporte escrito de un acto o hecho con repercusión jurídica, a la cual el Derecho confiere valor probatorio. Así, la prueba documental o prueba de documentos es la constituida por material documental, bien de naturaleza pública o bien de Dr. Julio E. Blajean

Página 14 de 57

carácter privado‖. En este caso vemos que cuando habla de soporte escrito se está refiriendo a papel. La ley define al documento digital en su artículo 6°: Se entiende por documento digital a la representación digital de actos o hechos, con independencia del soporte utilizado para su fijación, almacenamiento o archivo. Un documento digital también satisface el requerimiento de escritura. Vemos también aquí, aunque sin el énfasis y claridad como en el caso de la firma digital, se está modificando la legislación de fondo. ¿El documento digital reemplaza al instrumento, al documento escrito?. El artículo 3° lo dice respecto de la firma, y la frase final de que el documento digital también satisface el requerimiento de escritura, deja en claro que cuando el derecho común requiere actos por escrito pueden suplirse con el documento digital. Pero ¿reemplaza al documento escrito, a la prueba documental a los efectos probatorios?. La normativa del documento digital es muy concisa en la ley. Otra disposición tiende a determinar cuál sería el documento original en el caso de un documento digital. Debe recordarse que en el mundo digital un documento es exactamente igual a otro, no se trata de algo muy parecido, sino lo mismo, a tal punto que no se podrían establecerse técnicamente las diferencias entre uno y otro. La ley lo resuelve de esta forma en el artículo 11°: Original. Los documentos electrónicos firmados digitalmente y los reproducidos en formato digital firmados digitalmente a partir de originales de primera generación en cualquier otro soporte, también serán considerados originales y poseen, como consecuencia de ello, valor probatorio como tales, según los procedimientos que determine la reglamentación. Por su parte, en lo referido a la obligación de conservar los documentos existente en algunos regímenes dice el artículo 12°: Conservación. La exigencia legal de conservar documentos, registros o datos, también queda satisfecha con la conservación de los correspondientes documentos digitales firmados digitalmente, según los procedimientos que determine la reglamentación, siempre que sean accesibles para su posterior consulta y permitan determinar fehacientemente el origen, destino, fecha y hora de su generación, envío y/o recepción. Este artículo posibilita cumplir con las exigencias legales de conservación de documentos, registros o datos, como por ejemplo: notificaciones, balances de empresas, libros de actas de asambleas societarias, libros de accionistas, etc., en soporte digital y firmados digitalmente de forma tal que puedan ser accedidos para su posterior consulta y permitan determinar fehacientemente el origen, destino, fecha y hora de su generación, envío y/o recepción. Un reciente informe se pregunta si la firma digital establece la confidencialidad del contenido de un documento firmado digitalmente, contestando negativamente: la confidencialidad del contenido no es una prescripción legal ni una finalidad de la firma digital (como sí lo son la identidad del autor y la integridad del contenido). Al igual que un documento con firma hológrafa, el documento con firma digital puede ser leído por cualquier persona. En caso

Dr. Julio E. Blajean

Página 15 de 57

que se desee la confidencialidad del contenido se deberá encriptar el documento, pero esto no es algo regulado por la ley. 1.6. Aplicación del concepto a las normas de nuestro Código Civil: Los artículos 3° y 6° sobre el documento digital y la firma digital, dejan claro que se han incorporado en el derecho argentino estas modalidades de contratación. Se puede concluir que en general las disposiciones del código son compatibles con la utilización de la firma digital. Aparecen algunas dificultades, por ejemplo, en relación con firma en blanco (1016 CC) que es dada antes de la redacción por escrito y hace fe después de llenado el acto por la parte a la cual se ha confiado, siempre que el firmante haya reconocido la firma. Implica una autorización por parte del firmante a otra persona para llenar el documento firmado en blanco. Aquí entran en juego algunos conceptos técnicos, en tanto la firma digital se integra inescindiblemente, se forma en una combinación con el texto del documento digital que firma, en consecuencia sería prácticamente imposible pensar en una firma digital absolutamente en blanco, exigiría que se dijera algo, por ejemplo, ‗Firma digital en blanco‘. Y habría que pensar en el concepto de la firma en blanco y correlacionarla con la definición de firma digital que analizamos al comienzo (información de exclusivo conocimiento del firmante, encontrándose ésta bajo su absoluto control). La firma en blanco es una autorización dada en blanco para llenarla ¿podría cederse a un tercero los elementos como para que este firme digitalmente en nombre de quien lo cede?, y ¿sería esto equivalente a la firma en blanco?, y también ¿qué tan imperativa es la exigencia de la definición como para decir que en este caso no hay firma digital, porque no ha quedado absolutamente reservada? 1.7. Implicancias legales: firma manuscrita sobre un papel vs. firma digital: La firma manuscrita tiene validez jurídica en nuestra sociedad y cultura pues en la tradición de su uso se la considera segura para identificar aceptablemente (aunque no inequívocamente) el autor de un documento. Además se dice que asegura la integridad del contenido de ese documento. Esto es cierto parcialmente. Algunas normas del Código Civil atribuyen el reconocimiento de la firma, el del documento en el que está inserta, pero en verdad, se podría reconocer la firma desconociendo el texto, esto ocurre a menudo cuando han existido alteraciones. El informe de la Comisión Redactora del anteproyecto de Ley de firma digital, dice que ello es así sólo cuando se cumplen las siguientes condiciones: v el documento está escrito con tinta indeleble y en soporte papel absorbente, tal que una enmienda o raspadura que altere la información escrita sea visible y evidente. v el documento posee márgenes razonables que contienen los renglones escritos, tal que cualquier escritura adicional sea visible y evidente. Dr. Julio E. Blajean

Página 16 de 57

v la firma manuscrita se coloque delimitando la información escrita, tal que no sea posible agregar texto escrito a continuación de la firma manuscrita. v el firmante utiliza siempre la misma o similar firma manuscrita para firmar los documentos de su autoría. v la firma manuscrita es suficientemente compleja tal que su falsificación deviene no trivial. v existen peritos calígrafos que pueden detectarlas falsificaciones con un razonable grado de certeza. Es importante destacar –agrega– que la falla de cualquiera de los seis puntos especificados tornaría inseguro el mecanismo de firma manuscrita para documentos en soporte papel permitiendo así a su autor repudiar la autoría de los documentos que le son atribuidos. Continúa el informe comentando que en el mecanismo de firma digital propuesto, estos puntos se implementan generando un digesto o resumen criptográfico del mensaje, creado por una función de digesto de mensaje, el cual a su vez es encriptado con la clave privada del firmante (que solo el firmante conoce), y un certificador de clave pública que certifica cuál es la clave pública utilizada por el firmante. También el informe compara la seguridad entre la firma ológrafa y de la firma digital. La tecnología propuesta de firma digital no es perfecta ni infalible. Los dispositivos de hardware y software de creación y verificación de firmas digitales deben ser homologados previa auditoría de su funcionamiento para poder ser utilizados para crear firmas y verificar firmas digitales con plena eficacia jurídica. Por otro lado, es importante destacar que la firma manuscrita tampoco es perfecta e infalible, puesto que es decididamente posible en ciertos casos alterar de forma indetectable el contenido de un documento en soporte papel o falsificar una firma manuscrita. Adicionalmente, debe considerarse que siempre existe un margen de error en la labor de los peritos calígrafos, con lo cual una firma apócrifa puede darse por auténtica y viceversa. Es usual, por ejemplo, que importantes contratos de compraventa entre empresas en soporte papel sean firmados por las partes sólo en su última página, contando solamente con iniciales en las restantes, lo que a simple vista resulta riesgoso considerando que generalmente el precio establecido en el contrato tiende a no figurar en la última página, sino en alguna página anterior. Sin embargo, las aludidas imperfecciones de los mecanismos de firma manuscrita en documentos soporte papel no impiden los actos jurídicos, ni gubernamentales ni comerciales que se basan en ella, ni que la firma manuscrita figure como requisito en las leyes y reglamentos de este país o otros, por lo que es de inferir que la alternativa propuesta de firma digital de documentos digitales tampoco precisa ser perfecta e infalible para ser de gran utilidad. La preocupación por seguridad es loable, pero, en el mundo real la seguridad tampoco depende tanto de los instrumentos como de la confianza, del conocimiento entre las partes, del prestigio e imagen de los contratantes, del saber con quién se trata, y otras cuestiones.

Dr. Julio E. Blajean

Página 17 de 57

1.8. Otras acepciones: la firma digital certificada por escribano público, las escrituras públicas. Debe pensarse asimismo en la posibilidad de firmar digitalmente frente a un escribano, quien también firmaría de la misma forma con lo cual el instrumento así compuesto tendría todas las ventajas con que hoy cuenta la firma certificada por escribano en lo que hace a las posibilidades de ejecución. En nuestra ley se pueden firmar digitalmente instrumentos públicos. En la administración pública su uso es admitido y difundido. Distinto es el caso de las escrituras públicas, respecto de las cuales no hay modificaciones. 1.9. Protección penal La preocupación por la seguridad se extiende al ámbito de protección penal, por lo que la ley en su artículo 51° ha equiparado los términos de firma con firma digital y de documento o instrumento con el de documento digital. Equiparación a los efectos del derecho penal. Incorpórase el siguiente texto como art. 78° (bis) del Código Penal. Los términos firma y suscripción comprenden la firma digital, la creación de una firma digital o firmar digitalmente. Los términos documento, instrumento privado y certificado comprenden el documento digital firmado digitalmente. Pero debe señalarse que se omite el instrumento público cuando, como se ha visto, la firma digital se aplica hoy a instrumentos públicos en el ámbito de la administración nacional. 1.10. La despapelización en el Estado La ley hace un esfuerzo por instar a la necesaria despapelización del Estado. Dice, por ejemplo, que ―el Estado Nacional utilizará las tecnologías y previsiones de la presente ley en el ámbito interno y en relación con los administrados. (art. 47°) y también que ―... promoverá el uso masivo de la firma digital que posibilite el trámite de los expedientes por vías simultáneas, búsquedas automáticas de la información y seguimiento y control por parte del interesado, propendiendo a la progresiva despapelización. En un plazo máximo de 5 (cinco) años contados a partir de la entrada en vigencia de la presente ley, se aplicará la tecnología de firma digital a la totalidad de las leyes, decretos, decisiones administrativas, resoluciones, sentencias. (art. 48°). En este sentido no puede menos que compartirse los propósitos que inspiran vastas disposiciones, pero una vez más, habrá de concluirse que estas cuestiones no se logran por puro voluntarismo, sino que dependen de un cambio estructural en nuestra burocracia. 1.11. La situación en la Justicia Tanto el documento digital como la firma digital tendrán un gran impacto en la actividad judicial, o los propósitos de despapelización, encontraría aquí un campo fértil de aplicación. Esta ley servirá para concretar la informatización de la Justicia. Se destaca la importancia que reviste el convenio de Comunicación Electrónica Interjurisdiccional suscripto entre las Cortes y Superiores Tribunales Dr. Julio E. Blajean

Página 18 de 57

del país, mediante el cual, con la asistencia técnica del grupo de trabajo de las Jefatura de Gabinete están implementando un sistema de enlace entre los diferentes poderes judiciales que permitirá la comunicación electrónica entre los mismos.

2. La Infraestructura. La firma digital requiere de una infraestructura que sirva para la emisión de los certificados digitales, establezca estándares tecnológicos y los actualice, supervise la emisión de certificado digital y que hasta aplique sanciones. Básicamente la estructura está constituída por un certificador licenciado, de una Autoridad de Aplicación (Jefatura de Gabinete), y sometido a un régimen de auditoría y sanciones. Una Comisión Asesora asistirá a la Autoridad de Aplicación en todo lo relativo a la aplicación de la ley. 2.1. El certificado digital. El certificado digital es el recaudo ineludible de la firma digital. No es esta una cuestión menor, desde que no puede existir una firma digital sin el certificado digital. Dice el Informe de Comisión Redactora de Anteproyecto de ley del PEN: los certificados digitales: son documentos digitales que dan fe de la vinculación entre una clave pública y un individuo o entidad. Permiten verificar que una clave pública específica pertenece, efectivamente, a un individuo determinado (también se puede utilizar un certificado ajeno para extraer la clave pública de alguien y poder utilizarla para enviarle un mensaje encriptado a esa persona). Cómo son: en su forma más simple, los certificados digitales contienen una clave pública y un nombre, una fecha de expiración, el nombre de la Autoridad Certificante que emite ese certificado digital, un número de serie y alguna otra información. Cómo se hacen: lo más importante es que el certificado digital propiamente dicho está firmado digitalmente por el emisor del certificado. Para hacer un certificado digital se debe generar un par de claves, porque es propio, personal y no se puede repetir para ninguna otra persona. La persona resguarda uno de esos números (que llaman clave privada) y revela el otro al público en general (la clave que se revela es la que llamamos la clave pública). La generación del par de claves se hace de una sola vez. Con un par de claves se puede firmar y verificar tantos documentos como se desee. La vida útil se extiende en general por varios meses o años, según sus características particulares. Conociendo esa clave pública, la Autoridad Certificante, luego de identificar a la persona o entidad, emite un certificado de clave pública a su favor. Los pasos a realizar para obtener un certificado digital: típicamente, los certificados se usan para generar confianza en la legitimidad de una clave pública. Esencialmente, son documentos digitales que protegen a las claves públicas del fraude, de la falsa representación o de la alteración. En consecuencia, la verificación de una firma incluye el chequeo de la validez del certificado de la clave pública en cuestión. Un uso seguro de la autenticación implica adjuntar uno o más certificados con cada mensaje firmado. El receptor del mensaje verificará el certificado usando la clave pública de la Autoridad Dr. Julio E. Blajean

Página 19 de 57

Certificante, y a continuación teniendo confianza en la clave pública del remitente, verificará la firma del mensaje. Puede haber más de certificado con el mensaje formando una cadena jerárquica de certificados, donde cada uno da fe de la autenticidad del certificado previo. Al final de una jerarquía de certificados, se tiene a una Autoridad Certificante de más alto nivel, en la que se confía sin un certificado de ninguna otra Autoridad Certificante. La clave pública de una Autoridad Certificante raíz debe ser conocida independientemente, por ejemplo, publicitándola ampliamente. Cuanto mayor sea la confianza que el receptor tenga de que la clave pública es realmente del emisor, menor es la necesidad de adjuntar y verificar certificados. Revocación: Si en algún momento se desea que el certificado no siga vigente, el interesado debe revocarlo, esto es, anular su validez antes de la fecha de caducidad que consta en el mismo, solicitada a la Autoridad Certificante que emitió el certificado en cualquier momento y en especial, cuando el titular considere que su clave privada ha sido conocida por otro. Tiene efectos a partir de la fecha de revocación que consta junto al número de serie del certificado revocado, en un documento firmado y publicado por la Autoridad Certificante que se denomina Lista de Certificados Revocados (CRL). Cualquier firma digital realizada con la clave privada asociada a ese certificado con posterioridad a la fecha efectiva de revocación no tendrá validez. Hasta aquí la explicación técnica de lo que es un certificado digital. Y en este sentido, la ley en su artículo 13° dispone que: Se entiende por certificado digital al documento digital firmado digitalmente por un certificador, que vincula los datos de verificación de firma a su titular. 2.2. El certificador licenciado. El certificador licenciado es la persona física o jurídica que expide los certificados digitales. Se menciona que lo autoriza el Ente Licenciante pero la ley ha omitido organizar esta figura por lo que deberá ser suplido por la reglamentación. Se autoriza a las autoridades profesionales a emitir los certificados digitales de sus matriculados (art. 18°) En el artículo 19° se establecen detalladamente las funciones: a) Recibir una solicitud de emisión de certificado digital, firmada digitalmente con los correspondientes datos de verificación de firma digital del solicitante; b) Emitir certificados digitales de acuerdo a lo establecido en sus políticas de certificación, y a las condiciones que la autoridad de aplicación indique en la reglamentación de la presente ley; c) Identificar inequívocamente los certificados digitales emitidos; d) Mantener copia de todos los certificados digitales emitidos, consignando su fecha de emisión y de vencimiento si correspondiere, y de sus correspondientes solicitudes de emisión; e) Revocar los certificados digitales por él emitidos en los siguientes casos, entre otros que serán determinados por la reglamentación: Dr. Julio E. Blajean

Página 20 de 57

1) A solicitud del titular del certificado digital. 2) Si determinara que un certificado digital fue emitido en base a una información falsa, que en el momento de la emisión hubiera sido objeto de verificación. 3) Si determinara que los procedimientos de emisión y/o verificación han dejado de ser seguros. 4) Por condiciones especiales definidas en su política de certificación. 5) Por resolución judicial o de la autoridad de aplicación. f) Informar públicamente el estado de los certificados digitales por él emitidos. Los certificados digitales revocados deben ser incluidos en una lista de certificados revocados indicando fecha y hora de la revocación. La validez y autoría de dicha lista de certificados revocados deben ser garantizadas. El artículo 20° regula cómo se obtiene la licencia, con nuevas referencias al Ente Licenciante, y continúan las obligaciones del certificador licenciante (art. 21°) en forma muy minuciosa. Con respecto a la seguridad y privacidad de los ciudadanos, el inciso b) del artículo 21° y el artículo 31°, establecen la obligatoriedad para la Autoridad de Aplicación (Jefatura de Gabinete de Ministros de la Nación) y para los Certificadores Licenciados, abstenerse de generar, exigir, o por cualquier otro medio tomar conocimiento o acceder bajo ninguna circunstancia, a los datos de creación de la firma digital de los certificadores licenciados y de los titulares de certificados digitales emitidos por estos últimos, respectivamente. En consecuencia toda actividad tendiente a crear un depósito de claves privadas de los usuarios (Private Key Escrow), y/o todo mecanismo mediante el cual pueden obtenerse las claves privadas de los usuarios sin orden judicial previa, o subclaves que permitan reconstruir las mismas, será contrario a derecho. Una cuestión muy importante no resuelta por la ley para el cumplimiento efectivo de los derechos a la privacidad e intimidad de los usuarios mediante la prohibición del depósito de claves mencionada, es quién será el Organismo Auditor de la infraestructura de Firma Digital. 2.3. Del titular de un certificado digital. El artículo 24° y 25° establecen los derechos y obligaciones del titular de un certificado digital. Aquí también debe observarse la minuciosidad de la regulación, más propia de un reglamento o de las normas de una ley de Defensa al Consumidor. Entre los derechos figuran el de recibir información amplia en forma clara (art. 24°) y entre las obligaciones, cómo mantener los datos en resguardo, informar cambios o revocar cuando sospeche que se ha violado la privacidad (art. 25°). 2.4. De la organización institucional. Aunque pareciera que en este caso la ley aborda un tema importante, el artículo 26° no hace más que repetir normas anteriores. Establece un sistema de auditoría (art. 27°) y anticipa la creación de una Comisión Asesora (art. 28°). Dr. Julio E. Blajean

Página 21 de 57

La Autoridad de Aplicación y un nuevo organismo denominado Comisión Asesora para la Infraestructura de la Firma Digital, serán quienes diseñarán un Sistema de Auditoría para evaluar la confiabilidad y calidad de los sistemas utilizados, la integridad, confidencialidad y disponibilidad de los datos, así como también el cumplimiento de las especificaciones del manual de procedimientos y los planes de seguridad y de contingencia aprobados por el ente licenciante. Debería haberse precisado por ley quién será el Órgano Auditor, debiéndose tener en cuenta que el ámbito de aplicación comprende tanto a la actividad pública como privada. 2.5. Autoridad de Aplicación. La autoridad de aplicación es la Jefatura de Gabinete de Ministros (art. 29°). Sus funciones son las de supervisar o fiscalizar el sistema, establecer estándares, promover el uso, y en general el régimen sancionatorio. Tiene previsto la posibilidad de arancelar el servicio de mantener el funcionamiento del sistema (art. 32°). 2.6. Régimen de auditoría. Se establece que tanto el Ente Licenciante como los Certificadores licenciados deben ser auditados periódicamente. 2.7. Responsabilidad. En este capítulo se trata de la responsabilidad que le cabe al certificador licenciante. Nuevamente con el afán reglamentarista, la ley incurre en redundancias como las del artículo 37°. Convenio de partes. La relación entre el certificador licenciado que emita un certificado digital y el titular de ese certificado se rige por el contrato que celebren entre ellos, sin perjuicio de las previsiones de la presente ley y demás legislación vigente. Lo mismo puede decirse del artículo 38° donde hace responsable al certificador ante terceros por los errores u omisiones que cometiera en el ejercicio de sus funciones. Se incluye al término de este capítulo una limitación de responsabilidad que debe ser revisada a la luz de las normas de la Ley de Defensa al Consumidor pero que dependen básicamente de lo que consignen en sus condiciones de emisión y aún por inexactitudes de la información suministrada por el titular, siempre que haya adoptado los recaudos razonables. 2.8. Régimen sancionatorio y jurisdicción. El capítulo X, en su artículos 40 al 46 establece un régimen de sanciones vinculado a las infracciones a la ley. La instrucción sumarial y la aplicación de sanciones por violación a disposiciones de la presente ley será realizada por el Ente Licenciante. Es aplicable la Ley de Procedimientos Administrativos Nro. 19.549 y sus normas reglamentarias. Finalmente, en lo referido a la recurribilidad de las sanciones y la jurisdicción competentes se dispone que Dr. Julio E. Blajean

Página 22 de 57

―...podrán ser recurridas ante los tribunales federales con competencia en lo Contencioso Administrativo correspondiente al domicilio de la entidad, una vez agotada la vía administrativa pertinente. La interposición de los recursos previstos en este capítulo tendrá efecto devolutivo (art. 45°) en tanto que ―En los conflictos entre particulares y certificadores licenciados es competente la Justicia en lo Civil y Comercial Federal. En los conflictos en que sea parte un organismo público certificador licenciado, es competente la Justicia en lo Contencioso Administrativo Federal (art. 46°). 2.9. Disposiciones finales. Las disposiciones finales contienen normas que, en verdad, son expresiones de deseos referidas al uso de la firma digital en el ámbito del Estado y propender a una progresiva despapelización, estableciendo un máximo de cinco años para concretarlo (artículos 47° y 48°). El artículo 48° establece que ―... el Estado Nacional ... promoverá el uso masivo de la firma digital de tal forma que posibilite el trámite de los expedientes por vías simultáneas, búsquedas automáticas de la información y seguimiento y control por parte del interesado, propendiendo a la progresiva despapelización. En un plazo máximo de 5 (cinco) años contados a partir de la entrada en vigencia de la presente ley, se aplicará la tecnología de firma digital a la totalidad de las leyes, decretos, decisiones administrativas, resoluciones, sentencias .....‖. Las tecnologías, algoritmos y productos de aplicación para dichas tareas son producidos por empresas que pertenecen a países desarrollados y que no forman parte de la región. Por lo tanto, lo que está en juego ante el desarrollo de las infraestructuras de Clave Pública (PKI), no sólo es la intimidad y privacidad de los usuarios individuales, sino también la vulnerabilidad de la seguridad nacional y regional frente a los países no productores de hardware, algoritmos, y software de encriptación y cifrado.

IV. MARCO NORMATIVO SOBRE FIRMA DIGITAL 1. Enfoque General del Marco Normativo El marco normativo de la República Argentina en materia de Firma Digital está constituido por la Ley Nº 25.506 (B.O. 14/12/2001), el Decreto Nº 2628/02 (B.O. 20/12/2002) y un conjunto de normas complementarias que fijan o modifican competencias y establecen procedimientos. Para la Legislación Argentina los términos "Firma Digital" y "Firma Electrónica" no poseen el mismo significado. La diferencia radica en el valor probatorio atribuido a cada uno de ellos, dado que en el caso de la "Firma Digital" existe una presunción "iuris tantum" en su favor; esto significa que si un documento firmado digitalmente es verificado correctamente, se presume salvo prueba en contrario que proviene del suscriptor del certificado asociado y que no fue modificado. Por el contrario, en el caso de la firma electrónica, en caso de ser

Dr. Julio E. Blajean

Página 23 de 57

desconocida la firma por su titular corresponde a quien la invoca acreditar su validez. La legislación argentina emplea el término "Firma Digital" en equivalencia al término "Firma Electrónica Avanzada" o "Firma Electrónica Reconocida" utilizado por la Comunidad Europea o "Firma Electrónica" utilizado en otros países como Brasil o Chile. Este conjunto normativo conforma una Infraestructura de Firma Digital de alcance federal integrada por: 1.1. Autoridad de Aplicación: Es la Jefatura de Gabinete de Ministros, quien está facultada a establecer las normas y procedimientos técnicos necesarios para la efectiva implementación de la ley. Por medio del Decreto Nº 1028/03 la Oficina Nacional de Tecnologías de Información (ONTI) también está facultada para definir las normas y procedimientos reglamentarios del régimen de Firma Digital. 1.2. Comisión Asesora para la Infraestructura de Firma Digital: Funciona en el ámbito de la Subsecretaría de la Gestión Pública, emitiendo recomendaciones sobre los aspectos técnicos referidos al funcionamiento de la Infraestructura de Firma Digital. A través del Decreto N° 160/2004, el Poder Ejecutivo Nacional ha designado a los integrantes de la Comisión Asesora para la Infraestructura Nacional de Firma Digital, en cumplimiento de lo dispuesto en la Ley N° 25.506. 1.3. Ente Licenciante: Es el órgano técnico-administrativo encargado de otorgar las licencias a los certificadores y de supervisar su actividad. Funciona en el ámbito de la Oficina Nacional de Tecnologías de Información (ONTI). 1.4. Certificadores licenciados: Son aquellas personas de existencia ideal, registro público de contratos u organismo público que obtengan una licencia emitida por el ente administrador para actuar como proveedores de servicios de certificación en los términos de la Ley Nº 25.506 y su Normativa Complementaria (detallada a párrafos posteriores). 1.5. Autoridades de Registro: Son entidades que tienen a su cargo las funciones de validación de la identidad y otros datos de los suscriptores de certificados. Dichas funciones son delegadas por el certificador licenciado. 1.6. Sistema de Auditoría: Dr. Julio E. Blajean

Página 24 de 57

Será establecido por la autoridad de aplicación, a fin de evaluar la confiabilidad y calidad de los sistemas utilizados por los certificadores licenciados. Este marco normativo deroga el Decreto Nº 427/98, cuya aplicación era específica para el Sector Público, por cuanto cubre sus objetivos y alcance. Consideramos apropiado mencionar aquí que las siguientes provincias poseen iniciativas de adhesión y puesta en operatividad del régimen establecido por la Ley N° 25.506 de firma digital: La Pampa - Ley N° 2073 – B.O. 31/10/2003 Tucumán - Ley N° 7291 – B.O. 07/11/2003 Mendoza - Ley Nº 7234 Tierra del Fuego - Ley de adhesión a la Ley 25.506, aún no publicada

2. Enfoque Particular del Marco Normativo Ahora que se ha explicado y comprendido la normativa general más importante, presentamos en forma de lista, para lograr una visión global más ordenada y una compresión más sencilla, el conjunto de normas que abordaremos con mayor detalle: Listado completo de la normativa vigente Normativa específica para el Sector Público Normativa sobre aplicaciones en el Sector Público Normativa relacionada con tecnología 2.1. Listado Completo de la Normativa Vigente A continuación se detallan las normas que constituyen el régimen normativo vigente en materia de Firma Digital en la República Argentina. Resolución JGM Nº 435/2004 Aprueba el Reglamento de funcionamiento de la Comisión Asesora para la Infraestructura de Firma Digital, que fuera creada por la Ley N° 25.506 y cuyos miembros fueran designados por Decreto N° 160/04 del Poder Ejecutivo Nacional. Decreto Nº 160/2004 Designa a los integrantes de la Comisión Asesora para la Infraestructura Nacional de Firma Digital, en cumplimiento de lo dispuesto en la Ley N° 25.506. Decreto Nº 1028/2003 Disuelve el Ente Administrador de Firma Digital, creado por el artículo 11° del Decreto N° 2628/02, cuyo accionar será llevado a cabo por la Oficina Nacional de Tecnologías de Información de la Subsecretaría de la Gestión Pública. Decreto Nº 152/2003 Otorga competencia a la Subsecretaría de la Gestión Pública para licenciar a los certificadores, supervisar su actividad y dictar normas tendientes a asegurar

Dr. Julio E. Blajean

Página 25 de 57

el régimen de libre competencia en el mercado de los prestadores y protección de los usuarios de firma digital. Decreto Nº 283/2003 Autoriza con carácter transitorio a la Oficina Nacional de Tecnologías de Información a proveer certificados digitales para su utilización en aquellos circuitos de la Administración Pública Nacional que requieran firma digital, de acuerdo a la Política de Certificación vigente. Establece además un puente entre el marco normativo creado por el Decreto Nº 427/98 (derogado por el Decreto Nº 2628/02) y el marco normativo establecido por la Ley Nº 25.506. Decreto Nº 2628/2002 Reglamenta la Ley N° 25.506 de firma digital y crea el Ente Administrador de Firmas Digitales. También deroga el Decreto N° 427/98 del 16 de abril de 1998 que ha sido una de las normas pioneras a nivel nacional e internacional en reconocer la validez jurídica de la firma digital. Se detallan cuestiones sobre: Autoridad de Aplicación, Comisión Asesora para la Infraestructura de Firma Digital, Ente Administrador de Firma Digital, Sistema de Auditoría, Estándares Tecnológicos, Revocación de Certificados Digitales, Certificadores Licenciados, Autoridades de Registro y Disposiciones para la Administración Pública Nacional. Ley Nº 25.506 Ley de Firma Digital - Boletín Oficial del 14/12/2001. Ya explicada en el Capítulo III. Decreto Nº 1023/2001 Régimen de contrataciones de la Administración Nacional. Régimen General, Contrataciones Públicas Electrónicas, Contrataciones de Bienes y Servicios y Obras Públicas. En su Objeto (artículo 1º), se detalla que el Régimen de Contrataciones de la Administración Nacional, tendrá por objeto que las obras, bienes y servicios sean obtenidos con la mejor tecnología proporcionada a las necesidades, en el momento oportuno y al menor costo posible, como así también la venta de bienes al mejor postor, coadyuvando al desempeño eficiente de la Administración y al logro de los resultados requeridos por la sociedad. Toda contratación de la Administración Nacional se presumirá de índole administrativa, salvo que de ella o de sus antecedentes surja que está sometida a un régimen jurídico de derecho privado. En su artículo 21º permite la realización de las contrataciones comprendidas en el Régimen en formato digital firmado digitalmente. Resolución SFP Nº 194/98 Establece los estándares sobre tecnología, aplicables a la "Infraestructura de Firma Digital para el Sector Público Nacional" a que alude el Artículo 6° del Decreto N° 427/98 y Anexo I.

Dr. Julio E. Blajean

Página 26 de 57

3. Normativa Específica para el Sector Público A continuación se detallan las normas que constituyen el régimen normativo vigente para el Sector Público. En este caso, además de las Leyes, Decretos y Resoluciones citados y explicados previamente, se añade el siguiente decreto: Decreto Nº 624/2003 Aprueba la estructura organizativa de primer nivel operativo de la Jefatura de Gabinete de Ministros. Estable en su artículo 8°, que la Comisión Asesora para la Infraestructura de Firma Digital creada por el artículo 28° de la Ley N° 25.506 actuará en la órbita de la Subsecretaria de la Gestión Publica de la Jefatura del Gabinete de Ministros. También define los Objetivos de la Subsecretaria de la Gestión Publica, y entre ellos menciona en décimo punto: ―Actuar como autoridad de aplicación del Régimen Normativo que establece la Infraestructura de Firma Digital para el Sector Público Nacional, como así también en las funciones de organismo licenciante en la materia, supervisando su accionar‖. Finalmente, define los Objetivos de la Oficina Nacional de Tecnologías de Información promoviendo la estandarización tecnológica en materia informática, teleinformática o telemática, telecomunicaciones, ofimática o burótica. Entre otras Acciones se mencionan: 1. Entender en la elaboración del marco regulatorio del régimen relativo a la validez legal del documento y firma digital, así como intervenir en aquellos aspectos vinculados con la incorporación de estos últimos a los circuitos de información del sector público y con su archivo en medios alternativos al papel. 2. Ejercer las funciones de Autoridad Certificante de Firma Digital para el Sector Público Nacional. 4. Normativa sobre Aplicaciones en el Sector Público Independientemente del marco normativo general existente para el Sector Público, distintos organismos han establecidos procedimientos o aplicaciones específicas para sus operaciones internas, o para las comunicaciones que establecen con sus administrados que habilitan el uso de documentos electrónicos y firmas digitales. A continuación se detallan algunas normas relacionadas con la utilización de Documentos Electrónicos y Firma Digital en el Sector Público:Disposición ONTI Nº 5/02 Documentación técnica de la Autoridad Certificante de la Oficina Nacional de Tecnologías de Información. Resolución JGM Nº 176/2002 Habilita en Mesa de Entradas de la Subsecretaría de la Gestión Pública el Sistema de Tramitación Electrónica para la recepción, emisión y archivo de documentación digital firmada digitalmente. Resolución SGP Nº 17/2002

Dr. Julio E. Blajean

Página 27 de 57

Establece el procedimiento para solicitar la certificación exigida al Registro del Personal acogido al Sistema de Retiro Voluntario, habilitando la modalidad de tramitación mediante el empleo de documentación digital firmada digitalmente. Decreto Nº 1023/2001 En su artículo 21 permite la realización de las contrataciones comprendidas en el Régimen de Contrataciones del Estado en formato digital firmado digitalmente. Decreto Nº 677/2001 Otorga a los documentos digitales firmados digitalmente remitidos a la Comisión Nacional de Valores, de acuerdo a las reglamentaciones dictadas por ese organismo, similar validez y eficacia que los firmados en soporte papel. Decreto Nº 103/2001 Aprueba el Plan Nacional de Modernización de la Administración Pública Nacional. Resolución general N°345/99 Incorpora al Libro VIII Otras Disposiciones de las Normas (T.O. 1997) el Capítulo XXIII Autopista de la Información Financiera. Resolución SAFJP N°293/97 Implementa, en el ámbito de la Superintendencia de Administradoras de Fondos de Jubilaciones y Pensiones, el sistema de Telecomunicaciones de la SAFJP con el fin de establecer un correo electrónico entre las Administradoras de Fondos de Jubilaciones y Pensiones y este organismo.

5. Normativa Generales relacionada con Tecnología Archivos Digitales Dec. Administrativa Nº 43/96 - JGM Reglamenta los archivos digitales. Establece como órgano rector a la Contaduría Gral. de la Nación. Ley Nº 24.624 (Art.30) Autoriza el archivo y conservación en soporte electrónico u óptico indeleble de la documentación financiera, de personal y de control de la Administración Pública Nacional.

6. Propiedad Intelectual Ley N° 11.723 Propiedad Intelectual. Régimen legal. Decreto N° 165/94 Precisase un marco legal de protección para las diferentes expresiones de las obras de software y base de datos, así como sus diversos medios de reproducción. Dr. Julio E. Blajean

Página 28 de 57

Ley N° 25.036 Modifica la ley 11.723, incluye la protección de la propiedad intelectual sobre programas de computación fuente y objeto, las compilaciones de datos o de otros materiales. Penaliza la defraudación de derechos de propiedad intelectual. Ley N° 25.326 Protección de Datos Personales. Regula sobre principios generales relativos a la protección de datos, derechos de los titulares de dato de usuarios y responsables de archivos, registros y bancos de datos.

7. Confidencialidad Ley Nº 24.766 Establece la obligación de abstenerse de usar y revelar la información sobre cuya confidencialidad se hubiera prevenido.

8. Competencia de la Subsecretaria de la Gestión Pública Decreto Nº 889/01 Aprueba la estructura organizativa de la Secretaría para la Modernización del Estado en el ámbito de la Subsecretaría de la Gestión Pública, creando la Oficina Nacional de Tecnologías de la Información y otorgándole competencias en materia de firma digital. Decreto Nº 673/01 Crea la Secretaría para la Modernización del Estado en el ámbito de la Jefatura de Gabinete de Ministros, asignándole competencia para actuar como Autoridad de Aplicación del régimen normativo que establece la Infraestructura de Firma Digital para el Sector Público Nacional y para la aplicación de nuevas tecnologías informáticas en la Administración Pública Nacional.

V – BALANCE FINAL La ley adolece de defectos de técnica legislativa que se hubieran evitado de haber encargado la redacción a un especialista. También de excesivo reglamentarismo y detallismo, repeticiones, poca claridad, en fin, una ley desbalanceada. Y en cuanto al título, esta ley debería llamarse ley de firma y documento digital, y no sólo de firma digital. El esfuerzo en la preparación y sanción de la ley ha puesto un fuerte acento en la seguridad. Esto es muy destacable, pero hay que recordar que tampoco en el mundo real la seguridad es óptima, más en nuestro país. En un momento en que los documentos de identidad falsificados se compran por muy poca plata, dónde se falsifican y hasta se inscriben escrituras públicas y sentencias judiciales, donde el drama no está en la seguridad del ‗pin‘ del cajero automático, sino en no ser asaltado al cobrar, tampoco podría pretenderse mucho más. Dr. Julio E. Blajean

Página 29 de 57

El tipo de delitos que se pueden cometer en Argentina no están en relación con los algoritmos ‗fuertes‘ en los sistemas informáticos, sino con otro tipo de problemas. Debería existir una correlación entre el mundo real y el mundo digital. El documento papel y la firma manuscrita que lo avala están enraizados en las más entrañables tradiciones de nuestra herencia hispánica, con un sesgo más fuerte aún que el que exhiben en el mundo anglosajón. Pero tanto en una cultura como en la otra, el universo del derecho estuvo conectado, durante varios siglos, a la letra escrita sobre papel. Ahora, hay que enfrentarse con una realidad distinta, el valor jurídico de un documento se sustenta en los destellos parpadeantes de una computadora, lo que implica cambios y consecuencias de incuestionable magnitud. Se requiere de una plataforma legal necesaria para cualquier país que aspire a ingresar de lleno en las nuevas tecnologías de la información y de las comunicaciones, infraestructura de la cual la firma electrónica, o más propiamente dicho, la firma digital, es una de sus consecuencias. Se trata de un avance tecnológico esencial, que permitirá –se supone- consolidar la actividad comercial en la red mundial de Internet, a la vez que facilitará la interacción de personas, instituciones, la administración pública o la Justicia. El tráfico comercial e institucional y las relaciones personales adquieren una nueva dimensión. No se trata de un simple ahorro de papeles, aún con la importancia que eso podría tener, constituye un cambio en los conceptos. Finalmente, si se pretende no abdicar la soberanía, y al mismo tiempo, se considere esencial los derechos a la privacidad e intimidad de los habitantes del país, en los próximos años se deberá destinar esfuerzos a desarrollar empresas productoras de aplicaciones de encriptación y cifrado, y deberán adaptarse las legislaciones para permitir que los servicios de inteligencia, fuerzas armadas y habitantes en general, estén facultados para realizar actividades de ingeniería inversa con fines de protección de la seguridad de la información, como por ejemplo se ha establecido en los Estados Unidos de Norteamérica en su Digital Millenium Act (octubre de 1998).

VI – LEGISLACIÓN EN OTROS PAISES República Oriental del Uruguay Uruguay fue el primer país del Mercosur que ha creado un sistema completo de firma digital y autenticación, habiendo autorizado al efecto al organismo de Correos (Administración Nacional de Correos), que se halla en pleno funcionamiento y que ofrece los siguientes servicios, entre otros: generación de claves, generación de certificados, firma de certificados, emisión de certificados, revocación de certificados, archivo de los certificados emitidos. El Decreto del Poder Ejecutivo del Uruguay sobre Firma Digital y Expediente Electrónico, de marzo de 1998, autoriza en su artículo 1º del Capítulo I, a realizar por medios informáticos la sustanciación de actuaciones en la Administración Pública y los actos administrativos que se dicten en ellas, en cuyo caso las firmas autógrafas podrán ser sustituidas por contraseñas o signos informáticas adecuados. Asimismo, señala que constituirán Dr. Julio E. Blajean

Página 30 de 57

instrumentos públicos aquellos creados por medios informáticos que aseguren su inalterabilidad. El artículo 3 ordena que el expediente electrónico gozará de la misma validez jurídica y probatoria que el expediente tradicional. En el Capítulo III se establece que la firma digital debe utilizar sistemas criptográficos de clave pública o asimétricos, otorgando la responsabilidad de determinar y documentar la forma de administración de las claves a cada organismo que utilice dicha tecnología. Por otra parte basándose en la Directiva 1999/93/CE del Parlamento Europeo y del Consejo del 13 de diciembre de 1999, en la que crea un marco jurídico para la firma electrónica y para determinados servicios de certificación y en su definición de firma electrónica avanzada (firma digital), establece como requisitos que la misma esté vinculada al firmante de manera única, que permita la identificación del mismo, que los medios de creación estén bajo exclusivo control del firmante y que sea posible detectar cualquier alteración de los datos, en el artículo 5º, señala que la firma electrónica avanzada deberá satisfacer los requisitos jurídicos con respecto a datos electrónicos de igual modo en que lo hace la firma manuscrita en relación a datos en papel, y establece que podrá ser admisible como prueba en procedimientos judiciales.

España La situación legislativa en torno a la firma electrónica (firma digital, en Argentina) ha estado marcada inevitablemente por el Real Decreto Ley 14/99 de 17 de septiembre, sobre Firma Electrónica. Con la promulgación de esta norma, España se convirtió en uno de los primeros países en regular la materia, adelantándose incluso a la entonces inminente Directiva sobre firma electrónica, materializada finalmente en la Directiva 1999/93 CE de 13 de diciembre de 1999. Esta regulación, tal vez, apresurada no fue sin duda la mejor manera de acabar con la posible incertidumbre que pudiera generar la utilización de la firma electrónica y los certificados digitales, ni por la técnica legislativa empleada (el real Decreto), ni por el contenido del texto en sí mismo, plagado de imprecisiones. Además, la ausencia del desarrollo reglamentario que la norma requiere para su efectiva aplicación tampoco contribuyó a potenciar el crecimiento del sector. El 19 de diciembre de 2003 fue aprobada la tan esperada Ley de Firma Electrónica, cuya entrada en vigor fue el 20 de marzo de 2004. (B.O.E. número 304, de 20 de diciembre de 2003). Es éste un aclamado proyecto, loado por haber ―seguido, con buen criterio, una línea continuista‖ en relación con la legislación anterior, pero que sin embargo trae pareja grandes dosis de innovación y buenas ideas. Cabe destacar la acertada revisión terminológica y sistemática que sobre el texto legal se ha realizado. A lo largo de sus 36 artículos, la nueva Ley posibilita una mejor comprensión del texto legal, proporcionando a su vez una estructura ―más acorde con nuestra técnica legislativa‖.

Dr. Julio E. Blajean

Página 31 de 57

El artículo 3 de la nueva Ley diferencia entre tres clases de firma electrónica, avanzada y reconocida, como ya venían haciendo el Proyecto de Ley de firma de 20 de junio de 2003 y los anteriores Borradores de Anteproyectos y a diferencia de lo que dispone el real Decreto 14/1999, de 17 de septiembre, que distinguía únicamente entre firma electrónica simple y firma electrónica avanzada. Para la Ley Firma Electrónica, la firma electrónica simple es el conjunto de datos en forma electrónica, consignados junto a otros asociados con ellos, que pueden ser utilizados como medio de identificación del firmante. Por su parte, entiende por firma electrónica avanzada la firma que permite identificar al firmante y comprobar la integridad de los datos firmados, por estar vinculada al firmante de manera exclusiva y a los datos a que se refiere y por haber sido creada por medios que éste puede mantener bajo su exclusivo control. En tercer lugar se considera firma electrónica reconocida la firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma que es a la que se reconoce igual valor jurídico que a la firma manuscrita. El artículo 2 de la Ley, siguiendo el criterio establecido por la Ley 34/2002 de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, se incluye dentro de la modalidad de prueba documental el soporte en el que figuran los datos firmados electrónicamente, por tanto se concede mayor seguridad jurídica al empleo de la firma electrónica al someterla a las reglas de eficacia en juicio de la prueba documental. Otra novedad importante es la regulación relativa a la emisión de certificados electrónicos a nombre de personas jurídicas, recogida en el artículo 7 de la Ley. La llamada ―rúbrica digital‖ dota a las empresas de una mayor flexibilidad en su trato con las Administraciones Públicas, así como en la contratación de bienes o servicios propios de su tráfico ordinario. Estos certificados podrán ser solicitados por los administradores de las sociedades, sus representantes legales y, en definitiva, por cualquiera con poder suficiente para vincular a la misma a dichos efectos, siendo además la persona física solicitante la encargada de custodiar los datos de creación de firma electrónica asociados a dichos certificados. Si bien la regulación anterior permitía a las personas jurídicas el uso de herramientas de firma electrónica, esto era única y exclusivamente en el ámbito relativo a la gestión de tributos. Fue precisamente la gran acogida de dicha iniciativa lo que propició la inclusión del mencionado artículo 7 en el nuevo texto legal, esto permitirá, entre otros, usarse en procesos automatizados como la realización de pedidos o la emisión de facturas. Crea, además, un nuevo servicio de difusión de información sobre los prestadores de servicios de certificación que operan en el mercado. Este servicio incluye la identificación y datos que permitan establecer comunicación con el prestador, incluidos el nombre del dominio de Internet, los datos para atención al público y las características de los servicios que vayan a prestar. Promueve la autorregulación de la industria, modificando el concepto de ―certificación‖ de prestadores de servicios de certificación para otorgar mayor Dr. Julio E. Blajean

Página 32 de 57

libertad y protagonismo al sector privado. Con esta reforma, se facilita la obtención de sellos de calidad que fortalezcan la confianza de los consumidores y usuarios en los sistemas de firma digital. Dado que la prestación de servicios de certificación es ejercida en régimen de libre competencia, sin necesidad de autorización previa alguna, se ha procedido a reforzar las diferentes potestades ―inspectoras‖ y ―sancionadoras‖, a fin de ejercer un mayor control sobre dichos servicios y garantizar así unos mínimos de calidad y seguridad. El encargado de llevar a cabo dichas actuaciones será el propio Ministerio de Ciencia y Tecnología, quien podrá ser asistido en el ejercicio de sus funciones supervisoras por entidades técnicamente cualificadas. Establece una garantía económica (aval bancario o seguro de caución), por parte de los prestadores se servicios de certificación, de 3 millones de euros, de manera que dichas empresas puedan responder ante los usuarios con garantías suficientes, en caso de daños y perjuicios. Pero sin duda alguna, la gran (y polémica) novedad de este texto legal radica en al aparición del ―Documento Nacional de Identidad Electrónico‖, proyecto liderado por el Ministerio del Interior. Este ―D.N.I. virtual‖ hará más fácil la identificación personal del ciudadano en el medio Internet, permitiéndole además la realización de diversos trámites (principalmente administrativos) y la firma digital de documentos en transacciones telemáticas. La polémica surge precisamente en torno a esta última aplicación, por ―la incidencia que ello tendría en la competencia del mercado que forman las distintas entidades de firma electrónica, ya que, si el ciudadano se fija en el D.N.I. ya no necesitará ninguna entidad de firma electrónica‖ (según manifestaciones del denominado ―Foro de Firma Electrónica‖). Se argumenta que ello crearía un ―monopolio de facto‖ en el mercado que sin duda favorecería a la Fábrica Nacional de Moneda y Timbre, quién tendría asegurada la virtud del ―no repudio‖ de sus certificados. La inclusión de regulación sobre el D.N.I. electrónico en un texto relativo a la firma electrónica se ha llegado a calificar de ―incongruencia‖ por parte de algunos sectores. La Ley se limita, no obstante, a fijar un marco normativo básico, previniendo en su Disposición Final Segunda un posterior desarrollo reglamentario para regular aspectos tales como su renovación ―on-line‖, o la posible incorporación en el mismo de una huella digitalizada.

Alemania: Ha legislado sobre la materia de la firma digital y permite la validación documental mediante instituciones de servicios de certificación. También ha elaborado un catálogo de medidas de seguridad adecuados y se prevé la consulta pública sobre los aspectos de la firma digital y los documentos firmados digitalmente.

Australia: Prevé la creación de una infraestructura de firma digital que asegure la integridad y autenticidad de las transacciones efectuadas en el ámbito gubernamental y en su relación con el sector privado. Contempla también la

Dr. Julio E. Blajean

Página 33 de 57

creación de una autoridad pública que administre dicha infraestructura y acredite a los certificadores de clave pública (Proyecto ―Gatekeeper‖).

Bélgica: En su Ley de telecomunicaciones, regula el régimen voluntario de declaración previa para los certificadores de clave pública. Existen proyectos de ley sobre los certificadores de clave pública relacionados con la firma digital, modificación del Código Civil en materia de prueba digital y utilización de la firma digital en los ámbitos de la seguridad social y la salud pública.

Brasil: Ha elaborado un proyecto de ley sobre creación, archivo y utilización de documentos electrónicos.

Chile: El 25 de marzo de 2002 se promulgó la ley de Firma Digital y Documento Electrónico, en esa oportunidad el Presidente Lagos dijo: ―esta Ley crea las bases para que toda contratación se haga por medios informáticos, permitiendo reducir los costos de transacción con mayor eficiencia y productividad, con los resguardos necesarios para evitar acciones que puedan alterar la confianza pública‖. Esta Ley incentiva el comercio electrónico al otorgar seguridad jurídica y técnica en la celebración de transacciones telemáticas, al resolver el principal obstáculo que presentan, cual es la falta de certeza de la identidad de la contraparte y de la posibilidad de repudio y de falta de integridad del documento. De esta manera, en cuanto a la seguridad técnica, se establece requisitos para que se pueda otorgar firma electrónica avanzada, se regula a los prestadores de servicios de certificación acreditados de dichos prestadores por parte de la Subsecretaría de Economía. En cuanto a la seguridad jurídica, junto con reconocer la validez de los actos y contratos celebrados por medio electrónicos así como su valor probatorio, se establece normas especiales de responsabilidad de los certificadores por el manejo de información que tienen. La ley de firma digital nació como un proyecto del Ministerio de economía, que contó con el apoyo de todos los sectores políticos para su perfeccionamiento, fue aprobada el 15 de enero de 2002 por unanimidad en el Senado.

Colombia: Proyecto de ley que define y reglamenta el acceso y uso del comercio electrónico, firmas digitales y autoriza los certificadores de clave pública.

Dr. Julio E. Blajean

Página 34 de 57

Dinamarca: Elaboró un proyecto de ley de utilización segura y eficaz de la comunicación digital.

Finlandia: Tiene elaborados dos proyectos de ley: uno de intercambio electrónico de datos en la administración y los procedimientos judiciales administrativos y otro que establece a la Oficina del Censo como certificador de clave pública.

Francia: Ley de Telecomunicaciones (decretos de autorizaciones y exenciones): suministro de productos de firma digital sujeto a procedimiento de información; - libertad de uso, importación y exportación de productos y servicios de firma digital. Existe una normativa sobre utilización de la firma digital en los ámbitos de la seguridad social y la sanidad pública. Respecto de la encriptación y firma digital en Francia, al igual que en China, se prohibe el uso de mensajes cifrados.

Estados Unidos: En el ámbito del Gobierno Federal: *Iniciativa sobre la creación de una infraestructura de clave pública para el comercio electrónico. *Ley Gubernamental de Reducción de la Utilización de Papel, que autoriza la utilización de documentación electrónica en la comunicación entre las agencias gubernamentales y los ciudadanos, otorgando a la firma digital igual validez que la firma manuscrita. *Ley que promueve la utilización de documentación electrónica para la remisión de declaraciones de impuesto a las ganancias. *Proyecto piloto del IRS (Dirección de Rentas) para promover la utilización de la firma digital en las declaraciones impositivas. *Proyecto de ley Firma Digital y Autenticación Electrónica para instituciones financieras. *Proyecto de ley que promueve el reconocimiento de técnicas de autenticación electrónica como alternativa válida en toda comunicación electrónica en el ámbito público o privado. *Resolución de la Reserva Federal regulando las transferencias electrónicas de fondos. *Resolución de la FDA (Administración de Alimentos y Medicamentos) reconociendo la firma electrónica como equivalente a la firma manuscrita.

Dr. Julio E. Blajean

Página 35 de 57

*Iniciativa del Departamento de Salud proponiendo la utilización de la firma digital en la transmisión electrónica de datos de su jurisdicción. *Iniciativa del Departamento del Tesoro aceptando la recepción de solicitudes de compra de bonos del gobierno firmadas digitalmente. En cuanto a la encriptación, está fuertemente controlado y se impide la exportación de programas cifradores, pues se los considera parte de la lista contemplada en el Acta de Control de Exportación de Armas (Arms Export Control Act). En el ámbito de los Gobiernos Estatales: *Casi todos los estados tienen legislación, aprobada o en proyecto, referida a la firma digital. En algunos casos, las regulaciones se extienden a cualquier comunicación electrónica pública o privada. En otros, se limitan a algunos actos internos de la administración estatal o a algunas comunicaciones con los ciudadanos. *Se destaca la Ley de Firma Digital del Estado de Utah, que fue el primer estado en legislar el uso comercial de la firma digital. Regula la utilización de criptografía asimétrica y fue diseñada para ser compatible con varios estándares internacionales. Prevé la creación de Certificadores de clave pública licenciados por el Departamento de Comercio del Estado. Además, protege la propiedad exclusiva de la clave privada del suscriptor del certificado, por lo que su uso no autorizado queda sujeto a responsabilidades civiles y criminales.

Italia: Su ley general de reforma de los servicios públicos y simplificación administrativa contempla al principio del reconocimiento legal de los documentos digitales. Elaboró un decreto de creación, archivo y transmisión de documentos y contratos digitales e están en preparación un decreto regulador de productos y servicios y otro sobre las obligaciones fiscales derivadas de los documentos digitales.

Malasia: Ha aprobado una ley de firma digital, que otorga efecto legal a su utilización y regula el licenciamiento de los certificadores de clave pública, y ha desarrollado un proyecto piloto de desarrollo de infraestructura de firma digital.

Países Bajos: Se encuentra en preparación un régimen voluntario de acreditación para los certificadores de clave pública y un Proyecto de ley de modificación del Código Civil.

Dr. Julio E. Blajean

Página 36 de 57

También cuenta con una normativa fiscal que prevé la presentación digital de la declaración de ingresos.

Reino Unido: Contempla la concesión de licencias voluntarias a los certificadores de clave pública y reconocimiento legal de la firma digital, en diversos proyectos legislativos.

ANEXO I SISTEMAS CRIPTOGRÁFICOS 1. El Sistema de Criptografía RSA En el año 1977 tres investigadores del Instituto Tecnológico de Massachusetts, Ron Rives, Adi Shamir y Len Adleman publicaron un sistema de clave pública conocido generalmente como RSA. Supongamos dos números enteros cualesquiera A y B. Supongamos un algoritmo muy sencillo para multiplicarlos y obtener su producto. Recordará que el número de operaciones elementales que requiere dicho algoritmo no depende directamente del valor de A y B, sino del número de dígitos que éstos posean (o sea, de su logaritmo). Esta propiedad permite que podamos multiplicar números muy, muy grandes en un número de pasos razonablemente pequeño. Por ejemplo, dos números de siete cifras (del orden del millón) requieren menos de sesenta operaciones elementales para ser multiplicados. Pero analicemos ahora la operación inversa: supongamos que tenemos un número N y queremos conocer sus dos factores A y B. En la actualidad existen algoritmos relativamente eficientes para llevar a cabo esta operación, pero siguen requiriendo un número de operaciones que se vuelve astronómico cuando A y B son lo suficientemente grandes. Normalmente el caso más desfavorable se da cuando A y B son números primos, puesto que entonces son los únicos factores de N. Ahora que ya conocemos la importancia de los números primos, habrá que buscar un método para identificarlos. Y aquí es donde surge la primera paradoja aparente: un número es primo si no se puede factorizar, pero intentar factorizarlo es una tarea impracticable si el número es lo suficientemente grande. Por suerte, existen técnicas probabilísticas para tener un grado de certeza aceptable acerca de la primalidad de un número concreto. Las técnicas mencionadas se basan en escoger un número aleatorio X y efectuar una serie de operaciones entre X y N. Si se cumplen ciertas propiedades, sabremos con un grado de certeza determinado que N puede ser primo. Repitiendo este test

Dr. Julio E. Blajean

Página 37 de 57

muchas veces con diferentes valores de X, podemos aumentar nuestra confianza en la primalidad de N tanto como queramos. En este sistema cada una de las claves se componen de alrededor de 200 dígitos. Estas claves han sido calculadas partiendo de dos números primos secretos de 100 dígitos, aproximadamente, cada uno. Observando la tabla siguiente se podrá tener una idea del tiempo necesario para poder desencriptar, sin conocer las claves, un mensaje, lo que implica un proceso de factoreo. Los tiempos están calculados suponiendo que se trabaje con una computadora que realice 100 millones de operaciones de computadora por segundo. (Fuente original de estos datos: Mr. John Smith, publicado originalmente en la revista BYTE, © BYTE Publications Inc.)

Clave: cantidad de dígitos

Tiempo de Factoreo (estimado)

50

2 min. 20 seg.

100

8 meses 26 días

150

10,000 años

200

3.8 x 10^7 años

250

5.9 x 10^10 años

Como se ve en la tabla, eligiendo una clave con una cantidad suficiente de dígitos, el tiempo de factoreo es tan grande que en la práctica se puede considerar que el mensaje no puede ser desencriptado sin conocer la clave. Quizá el problema consiste en obtener números primos con una cantidad grande de dígitos. Pero esto se puede solucionar usando el test probabilístico anteriormente mencionado, que permite determinar qué números son primos con una gran probabilidad de que realmente lo sean. De todas formas un mensaje encriptado por el sistema RSA suele ser más largo que el mismo mensaje encriptado con un sistema simétrico. Por eso uno de los usos del sistema RSA es encriptar la clave de un sistema simétrico, o bien el digesto (hash) del mensaje, haciendo así mucho más seguro su envío por un canal público. Vamos a dar un ejemplo completo de cómo funciona el sistema. Lo vamos a hacer con una clave de solamente ocho cifras, para que sea posible efectuarlo con una computadora cualquiera, sin necesidad de programas que puedan manejar números de 200 cifras. Por supuesto que una clave de ocho cifras no tiene ninguna utilidad práctica, dado que los números primos que se usaron como base para el cálculo de las dos claves serían hallados, con una

Dr. Julio E. Blajean

Página 38 de 57

computadora, en menos de un segundo. Pero usando una clave de alrededor de 200 cifras el problema se vuelve enormemente largo. Para calcular las claves de encriptado y desencriptado hacen falta 2 números primos. Las fórmulas usadas para calcular esas claves son: Llamando E a la clave de encriptado, D a la clave de desencriptado, A a uno de los números primos y B al otro E=AxB D = (2 x (A – 1) x (B – 1) + 1) / 3 Los números primos usados como base deben cumplir algunas condiciones: 1. A – 1 y B – 1 no deben ser divisible por 3, porque si así fuera la operación de desencriptado no funcionaría correctamente. 2. A – 1 y B – 1 deben contener un factor primo grande por lo menos. 3. A / B no debe dar como resultado una aproximación a una fracción simple como 2/3, ¾ etc. ni que A sea igual a B. Estas restricciones hacen complicada la obtención de los dos números primos usados como base, pero, como ya dijimos, esto se puede solucionar usando un test probabilístico, como el que describe Donald Knuth en su libro Seminumerical Algorithms, 2ª edición, Editorial Addison-Wesley (USA). Encriptar: Tomemos una frase como ejemplo de texto a encriptar: EL QUE NADA SABE DE NADA DUDA. Y elijamos como números primos base: 5879 y 11069 lo cual nos da una clave de encriptado: E = 5879 x 11069 = 65074651 y una clave de desencriptado: D = (2 x (5879 – 1) x (11069 – 1) + 1) / 3 = 43371803 Transformemos el texto a encriptar en sus valores de Código ASCII: 69 76 32 81 85 69 32 78 65 68 65 32 83 65 66 69 32 68 69 32 78 65 68 65 32 68 85 68 65 46 y formemos grupos de 3 caracteres, o sea 6 cifras: 697632 818569 327865 686532 836566 693268 693278 656865 326885 686546 (aclaramos que si hubieran faltado caracteres para completar el último grupo de 6 cifras el programa tendría que haber agregado caracteres ASCII 0 hasta completar el grupo). Puede ser útil en este momento recordar la Aritmética de Módulo, ya que suele ser poco usada. Si efectuamos la siguiente operación: 7 / 2 = 3 con un resto de 1 Ese resto es el Módulo, como respuesta a esa operación. O sea: 7 Mod 2 = 1

Dr. Julio E. Blajean

Página 39 de 57

Usando aritmética de Módulo: (697632 ^ 3) MOD 65074651 = 13032059 El número obtenido corresponde al encriptado del primer bloque. Si hacemos la misma operación con todos los bloques obtenemos: 13032059 12431644 45619473 34540224 63519119 54168485 27023931 39763245 58742946 38796686 Estos números corresponden al encriptado de todo el mensaje. En este cálculo puede presentarse un nuevo problema aritmético: que el bloque de Códigos ASCII elevado al cubo sea un número muy grande. Podemos usar un algoritmo, también basado el la Aritmética de Módulo, que resuelve el problema: Para calcular (M ^ 3) Mod E hacemos M = bloque ASCII ^ 2 M = M – PARTE ENTERA(M / E) x E M = M x bloque ASCII M = M – PARTE ENTERA(M / E) x E Siendo M el bloque encriptado buscado. Desencriptar: Comenzaremos a desencriptar el primer bloque encriptado. El algoritmo a usar es: (bloque encriptado) ^ D) MOD E = bloque desencriptado Tomando valores, para el primer bloque es: (13032059 ^ 43371803) MOD 65074651 = bloque desencriptado Convengamos que elevar un número de 8 cifras a una potencia de 8 cifras y después dividirlo por un número de 8 cifras no es nada práctico. Y si estuviéramos trabajando con una clave real, por ejemplo de unas 200 cifras, ni hablar del tema. Pero lo que nosotros necesitamos, como resultado final, es el Resto, no el resultado de una operación aritmética tan larga. Usemos el siguiente algoritmo: D1 = D (D1 es una variable auxiliar) M = 1 1) Si D1 es Par ir a 2 M = M x bloque encriptado M = M – PARTE ENTERA (M / E) x E 2) bloque encriptado = bloque encriptado ^ 2 bloque encriptado = bloque encriptado – PARTE ENTERA(bloque encriptado / E) x ED1 = PARTE ENTERA (D1 / 2) Si D1 > 0 ir a 1 Imprimir M, siendo M el bloque desencriptado buscado.

Dr. Julio E. Blajean

Página 40 de 57

El valor del primer bloque desencriptado nos habrá dado, en el presente ejemplo, 697632. Entonces, sabiendo que cada dos cifras del bloque de 6 cifras corresponden a un carácter ASCII, la traducción al mismo es muy sencilla: 69 --- E 76 --- L 32 --- espacio con lo que hemos logrado el desencriptado del primer bloque. Luego, realizando el mismo procedimiento con cada uno de los bloques encriptados, habremos desencriptado todo el mensaje.

2. Estructura de una Función Hash En general, las funciones resumen se basan en la idea de funciones de compresión, que dan como resultado bloques de longitud n a partir de bloques de longitud m. Estas funciones se encadenan de forma iterativa, haciendo que la entrada en el paso i sea función del i-esimo bloque del mensaje y de la salida del paso i - 1. En general, se suele incluir en alguno de los bloques del mensaje m —al principio o al final—, información sobre la longitud total del mensaje. De esta forma se reducen las probabilidades de que dos mensajes con diferentes longitudes den el mismo valor en su resumen.

2.1. Algoritmo MD5 Se trata de uno de los más populares algoritmos de generación de signaturas, debido en gran parte a su inclusión en las primeras versiones de PGP. Resultado de una serie de mejoras sobre el algoritmo MD4, diseñado por Ron Rivest, procesa los mensajes de entrada en bloques de 512 bits, y produce una salida de 128 bits.

2.2. Algoritmo básico MD5 a) Un mensaje M se convierte en un bloque múltiplo de 512 bits, añadiendo bits si es necesario al final del mismo. b) Con los 128 bits de cuatro vectores iniciales ABCD de 32 bits cada uno y el primer bloque del mensaje de 512 bits, se realizan diversas operaciones lógicas entre ambos bloques. c) La salida de esta operación (128 bits) se convierte en el nuevo conjunto de 4 vectores ABCD y se realiza la misma función con el segundo bloque de 512 bits del mensaje y así hasta el último bloque del mensaje. d) Al terminar, el algoritmo entrega un resumen que corresponde a los últimos 128 bits de estas operaciones

2.2.1. Algoritmo MD5 en detalle Siendo m un mensaje de b bits de longitud, en primer lugar se alarga m hasta que su longitud sea exactamente 64 bits inferior a un múltiplo de 512. El alargamiento se lleva a cabo añadiendo un 1 seguido de tantos ceros como sea necesario. En segundo lugar, se añaden 64 bits con el valor de b, empezando por el byte menos significativo. De esta forma tenemos el mensaje como un

Dr. Julio E. Blajean

Página 41 de 57

número entero de bloques de 512 bits, y además le hemos añadido información sobre su longitud. Antes de procesar el primer bloque del mensaje, se inicializan cuatro registros de 32 bits con los siguientes valores hexadecimales, según el criterio ―little endian‖ el byte menos significativo queda en la dirección de memoria más baja A = 67452301 B = EFCDAB89 C = 98BADCFE D = 10325476 Posteriormente comienza el lazo principal del algoritmo, que se repetirá para cada bloque de 512 bits del mensaje. En primer lugar copiaremos los valores de A,B,C y D en otras cuatro variables, a,b,c y d. Luego definiremos las siguientes cuatro funciones: F(X, Y,Z) = (X ^ Y ) _ ((¬X) ^ Z) G(X, Y,Z) = (X ^ Z) _ ((Y ^ (¬Z)) H(X, Y,Z) = X _ Y_Z I(X, Y,Z) = Y _ (X _ (¬Z)) Ahora representaremos por mj el j-ésimo bloque de 32 bits del mensaje m (de 0 a 15), y definiremos otras cuatro funciones: FF(a, b, c, d,mj , s, ti) representa a = b + ((a + F(b, c, d) + mj + ti) / s) GG(a, b, c, d,mj , s, ti) representa a = b + ((a + G(b, c, d) + mj + ti) / s) HH(a, b, c, d,mj , s, ti) representa a = b + ((a + H(b, c, d) + mj + ti) / s) II(a, b, c, d,mj , s, ti) representa a = b + ((a + I(b, c, d) + mj + ti) / s) donde la función a / s representa desplazar circularmente la representación binaria del valor a s bits a la izquierda, con reentrada. Las 64 operaciones que se realizan en total quedan agrupadas en cuatro rondas, es decir 16 funciones FF(), 16 funciones GG(), 16 funciones HH() y 16 funciones II(). Finalmente, los valores resultantes de a,b,c y d son sumados con A,B,C y D, quedando listos para procesar el siguiente bloque de datos. El resultado final del algoritmo es la concatenación de A,B,C y D.

ANEXO II Ley 25.506 Consideraciones generales. Certificados digitales. Certificador licenciado. Titular de un certificado digital. Organización institucional. Autoridad de aplicación. Sistema de auditoría. Comisión Asesora para la Infraestructura de Firma Digital. Responsabilidad. Sanciones. Disposiciones Complementarias. Sancionada: Noviembre 14 de 2001. Promulgada de Hecho: Diciembre 11 de 2001. El Senado y Cámara de Diputados de la Nación Argentina reunidos en Congreso, etc. sancionan con fuerza de Ley:

Dr. Julio E. Blajean

Página 42 de 57

LEY DE FIRMA DIGITAL CAPITULO I Consideraciones generales

ARTICULO 1º - Objeto. Se reconoce el empleo de la firma electrónica y de la firma digital y su eficacia jurídica en las condiciones que establece la presente ley.

ARTICULO 2º - Firma Digital. Se entiende por firma digital al resultado de aplicar a un documento digital un procedimiento matemático que requiere información de exclusivo conocimiento del firmante, encontrándose ésta bajo su absoluto control. La firma digital debe ser susceptible de verificación por terceras partes, tal que dicha verificación simultáneamente permita identificar al firmante y detectar cualquier alteración del documento digital posterior a su firma. Los procedimientos de firma y verificación a ser utilizados para tales fines serán los determinados por la Autoridad de Aplicación en consonancia con estándares tecnológicos internacionales vigentes.

ARTICULO 3º - Del requerimiento de firma. Cuando la ley requiera una firma manuscrita, esa exigencia también queda satisfecha por una firma digital. Este principio es aplicable a los casos en que la ley establece la obligación de firmar o prescribe consecuencias para su ausencia.

ARTICULO 4º - Exclusiones. Las disposiciones de esta ley no son aplicables: a) A las disposiciones por causa de muerte; b) A los actos jurídicos del derecho de familia; c) A los actos personalísimos en general; d) A los actos que deban ser instrumentados bajo exigencias o formalidades incompatibles con la utilización de la firma digital, ya sea como consecuencia de disposiciones legales o acuerdo de partes.

ARTICULO 5º - Firma electrónica. Se entiende por firma electrónica al conjunto de datos electrónicos integrados, ligados o asociados de manera lógica a otros datos electrónicos, utilizado por el signatario como su medio de identificación, que carezca de alguno de los requisitos legales para ser considerada firma digital. En caso de ser desconocida la firma electrónica corresponde a quien la invoca acreditar su validez.

ARTICULO 6º - Documento digital. Se entiende por documento digital a la representación digital de actos o hechos, con independencia del soporte utilizado para su fijación, almacenamiento o archivo. Un documento digital también satisface el requerimiento de escritura.

ARTICULO 7º - Presunción de autoría. Se presume, salvo prueba en contrario, que toda firma digital pertenece al titular del certificado digital que permite la verificación de dicha firma.

Dr. Julio E. Blajean

Página 43 de 57

ARTICULO 8º - Presunción de integridad. Si el resultado de un procedimiento de verificación de una firma digital aplicado a un documento digital es verdadero, se presume, salvo prueba en contrario, que este documento digital no ha sido modificado desde el momento de su firma.

ARTICULO 9º - Validez. Una firma digital es válida si cumple con los siguientes requisitos: a) Haber sido creada durante el período de vigencia del certificado digital válido del firmante; b) Ser debidamente verificada por la referencia a los datos de verificación de firma digital indicados en dicho certificado según el procedimiento de verificación correspondiente; c) Que dicho certificado haya sido emitido o reconocido, según el artículo 16 de la presente, por un certificador licenciado.

ARTICULO 10º. - Remitente. Presunción. Cuando un documento digital sea enviado en forma automática por un dispositivo programado y lleve la firma digital del remitente se presumirá, salvo prueba en contrario, que el documento firmado proviene del remitente.

ARTICULO 11º. - Original. Los documentos electrónicos firmados digitalmente y los reproducidos en formato digital firmados digitalmente a partir de originales de primera generación en cualquier otro soporte, también serán considerados originales y poseen, como consecuencia de ello, valor probatorio como tales, según los procedimientos que determine la reglamentación.

ARTICULO 12º. - Conservación. La exigencia legal de conservar documentos, registros o datos, también queda satisfecha con la conservación de los correspondientes documentos digitales firmados digitalmente, según los procedimientos que determine la reglamentación, siempre que sean accesibles para su posterior consulta y permitan determinar fehacientemente el origen, destino, fecha y hora de su generación, envío y/o recepción. CAPITULO II De los certificados digitales

ARTICULO 13º. - Certificado digital. Se entiende por certificado digital al documento digital firmado digitalmente por un certificador, que vincula los datos de verificación de firma a su titular.

ARTICULO 14º. - Requisitos de validez de los certificados digitales. Los certificados digitales para ser válidos deben: a) Ser emitidos por un certificador licenciado por el ente licenciante; b) Responder a formatos estándares reconocidos internacionalmente, fijados por la autoridad de aplicación, y contener, como mínimo, los datos que permitan: 1. Identificar indubitablemente a su titular y al certificador licenciado que lo emitió, indicando su período de vigencia y los datos que permitan su identificación única; 2. Ser susceptible de verificación respecto de su estado de revocación; Dr. Julio E. Blajean

Página 44 de 57

3. Diferenciar claramente la información verificada de la no verificada incluidas en el certificado; 4. Contemplar la información necesaria para la verificación de la firma; 5. Identificar la política de certificación bajo la cual fue emitido.

ARTICULO 15º. - Período de vigencia del certificado digital. A los efectos de esta ley, el certificado digital es válido únicamente dentro del período de vigencia, que comienza en la fecha de inicio y finaliza en su fecha de vencimiento, debiendo ambas ser indicadas en el certificado digital, o su revocación si fuere revocado. La fecha de vencimiento del certificado digital referido en el párrafo anterior en ningún caso puede ser posterior a la del vencimiento del certificado digital del certificador licenciado que lo emitió. La Autoridad de Aplicación podrá establecer mayores exigencias respecto de la determinación exacta del momento de emisión, revocación y vencimiento de los certificados digitales.

ARTICULO 16º. - Reconocimiento de certificados extranjeros. Los certificados digitales emitidos por certificadores extranjeros podrán ser reconocidos en los mismos términos y condiciones exigidos en la ley y sus normas reglamentarias cuando: a) Reúnan las condiciones que establece la presente ley y la reglamentación correspondiente para los certificados emitidos por certificadores nacionales y se encuentre vigente un acuerdo de reciprocidad firmado por la República Argentina y el país de origen del certificador extranjero, o b) Tales certificados sean reconocidos por un certificador licenciado en el país, que garantice su validez y vigencia conforme a la presente ley. A fin de tener efectos, este reconocimiento deberá ser validado por la autoridad de aplicación. CAPITULO III Del certificador licenciado

ARTICULO 17º. - Del certificador licenciado. Se entiende por certificador licenciado a toda persona de existencia ideal, registro público de contratos u organismo público que expide certificados, presta otros servicios en relación con la firma digital y cuenta con una licencia para ello, otorgada por el ente licenciante. La actividad de los certificadores licenciados no pertenecientes al sector público se prestará en régimen de competencia. El arancel de los servicios prestados por los certificadores licenciados será establecido libremente por éstos.

ARTICULO 18º. - Certificados por profesión. Las entidades que controlan la matrícula, en relación a la prestación de servicios profesionales, podrán emitir certificados digitales en lo referido a esta función, con igual validez y alcance jurídico que las firmas efectuadas en forma manuscrita. A ese efecto deberán cumplir los requisitos para ser certificador licenciado.

Dr. Julio E. Blajean

Página 45 de 57

ARTICULO 19º. - Funciones. El certificador licenciado tiene las siguientes funciones: a) Recibir una solicitud de emisión de certificado digital, firmada digitalmente con los correspondientes datos de verificación de firma digital del solicitante; b) Emitir certificados digitales de acuerdo a lo establecido en sus políticas de certificación, y a las condiciones que la autoridad de aplicación indique en la reglamentación de la presente ley; c) Identificar inequívocamente los certificados digitales emitidos; d) Mantener copia de todos los certificados digitales emitidos, consignando su fecha de emisión y de vencimiento si correspondiere, y de sus correspondientes solicitudes de emisión; e) Revocar los certificados digitales por él emitidos en los siguientes casos, entre otros que serán determinados por la reglamentación: 1) A solicitud del titular del certificado digital. 2) Si determinara que un certificado digital fue emitido en base a una información falsa, que en el momento de la emisión hubiera sido objeto de verificación. 3) Si determinara que los procedimientos de emisión y/o verificación han dejado de ser seguros. 4) Por condiciones especiales definidas en su política de certificación. 5) Por resolución judicial o de la autoridad de aplicación. f) Informar públicamente el estado de los certificados digitales por él emitidos. Los certificados digitales revocados deben ser incluidos en una lista de certificados revocados indicando fecha y hora de la revocación. La validez y autoría de dicha lista de certificados revocados deben ser garantizadas.

ARTICULO 20º. - Licencia. Para obtener una licencia el certificador debe cumplir con los requisitos establecidos por la ley y tramitar la solicitud respectiva ante el ente licenciante, el que otorgará la licencia previo dictamen legal y técnico que acredite la aptitud para cumplir con sus funciones y obligaciones. Estas licencias son intransferibles.

ARTICULO 21º. - Obligaciones. Son obligaciones del certificador licenciado: a) Informar a quien solicita un certificado con carácter previo a su emisión y utilizando un medio de comunicación las condiciones precisas de utilización del certificado digital, sus características y efectos, la existencia de un sistema de licenciamiento y los procedimientos, forma que garantiza su posible responsabilidad patrimonial y los efectos de la revocación de su propio certificado digital y de la licencia que le otorga el ente licenciante. Esa información deberá estar libremente accesible en lenguaje fácilmente comprensible. La parte pertinente de dicha información estará también disponible para terceros; b) Abstenerse de generar, exigir, o por cualquier otro medio tomar conocimiento o acceder bajo ninguna circunstancia, a los datos de creación de firma digital de los titulares de certificados digitales por él emitidos; Dr. Julio E. Blajean

Página 46 de 57

c) Mantener el control exclusivo de sus propios datos de creación de firma digital e impedir su divulgación; d) Operar utilizando un sistema técnicamente confiable de acuerdo con lo que determine la autoridad de aplicación; e) Notificar al solicitante las medidas que está obligado a adoptar para crear firmas digitales seguras y para su verificación confiable, y las obligaciones que asume por el solo hecho de ser titular de un certificado digital; f) Recabar únicamente aquellos datos personales del titular del certificado digital que sean necesarios para su emisión, quedando el solicitante en libertad de proveer información adicional; g) Mantener la confidencialidad de toda información que no figure en el certificado digital; h) Poner a disposición del solicitante de un certificado digital toda la información relativa a su tramitación; i) Mantener la documentación respaldatoria de los certificados digitales emitidos, por diez (10) años a partir de su fecha de vencimiento o revocación; j) Incorporar en su política de certificación los efectos de la revocación de su propio certificado digital y/o de la licencia que le otorgara la autoridad de aplicación; k) Publicar en Internet o en la red de acceso público de transmisión o difusión de datos que la sustituya en el futuro, en forma permanente e ininterrumpida, la lista de certificados digitales revocados, las políticas de certificación, la información relevante de los informes de la última auditoría de que hubiera sido objeto, su manual de procedimientos y toda información que determine la autoridad de aplicación; l) Publicar en el Boletín Oficial aquellos datos que la autoridad de aplicación determine; m) Registrar las presentaciones que le sean formuladas, así como el trámite conferido a cada una de ellas; n) Informar en las políticas de certificación si los certificados digitales por él emitidos requieren la verificación de la identidad del titular; o) Verificar, de acuerdo con lo dispuesto en su manual de procedimientos, toda otra información que deba ser objeto de verificación, la que debe figurar en las políticas de certificación y en los certificados digitales; p) Solicitar inmediatamente al ente licenciante la revocación de su certificado, o informarle la revocación del mismo, cuando existieren indicios de que los datos de creación de firma digital que utiliza hubiesen sido comprometidos o cuando el uso de los procedimientos de aplicación de los datos de verificación de firma digital en él contenidos hayan dejado de ser seguros; q) Informar inmediatamente al ente licenciante sobre cualquier cambio en los datos relativos a su licencia; r) Permitir el ingreso de los funcionarios autorizados de la autoridad de aplicación, del ente licenciante o de los auditores a su local operativo, poner a su disposición toda la información necesaria y proveer la asistencia del caso; Dr. Julio E. Blajean

Página 47 de 57

s) Emplear personal idóneo que tenga los conocimientos específicos, la experiencia necesaria para proveer los servicios ofrecidos y en particular, competencia en materia de gestión, conocimientos técnicos en el ámbito de la firma digital y experiencia adecuada en los procedimientos de seguridad pertinentes; t) Someter a aprobación del ente licenciante el manual de procedimientos, el plan de seguridad y el de cese de actividades, así como el detalle de los componentes técnicos a utilizar; u) Constituir domicilio legal en la República Argentina; v) Disponer de recursos humanos y tecnológicos suficientes para operar de acuerdo a las exigencias establecidas en la presente ley y su reglamentación; w) Cumplir con toda otra obligación emergente de su calidad de titular de la licencia adjudicada por el ente licenciante.

ARTICULO 22º. - Cese del certificador. El certificador licenciado cesa en tal calidad: a) Por decisión unilateral comunicada al ente licenciante; b) Por cancelación de su personería jurídica; c) Por cancelación de su licencia dispuesta por el ente licenciante. La autoridad de aplicación determinará los procedimientos de revocación aplicables en estos casos.

ARTICULO 23º. - Desconocimiento de la validez de un certificado digital. Un certificado digital no es válido si es utilizado: a) Para alguna finalidad diferente a los fines para los cuales fue extendido; b) Para operaciones que superen el valor máximo autorizado cuando corresponda; c) Una vez revocado. CAPITULO IV Del titular de un certificado digital

ARTICULO 24º. - Derechos del titular de un certificado digital. El titular de un certificado digital tiene los siguientes derechos: a) A ser informado por el certificador licenciado, con carácter previo a la emisión del certificado digital, y utilizando un medio de comunicación sobre las condiciones precisas de utilización del certificado digital, sus características y efectos, la existencia de este sistema de licenciamiento y los procedimientos asociados. Esa información deberá darse por escrito en un lenguaje fácilmente comprensible. La parte pertinente de dicha información estará también disponible para terceros; b) A que el certificador licenciado emplee los elementos técnicos disponibles para brindar seguridad y confidencialidad a la información proporcionada por él, y a ser informado sobre ello;

Dr. Julio E. Blajean

Página 48 de 57

c) A ser informado, previamente a la emisión del certificado, del precio de los servicios de certificación, incluyendo cargos adicionales y formas de pago; d) A que el certificador licenciado le informe sobre su domicilio en la República Argentina, y sobre los medios a los que puede acudir para solicitar aclaraciones, dar cuenta del mal funcionamiento del sistema, o presentar sus reclamos; e) A que el certificador licenciado proporcione los servicios pactados, y a no recibir publicidad comercial de ningún tipo por intermedio del certificador licenciado.

ARTICULO 25º. - Obligaciones del titular del certificado digital. Son obligaciones del titular de un certificado digital: a) Mantener el control exclusivo de sus datos de creación de firma digital, no compartirlos, e impedir su divulgación; b) Utilizar un dispositivo de creación de firma digital técnicamente confiable; c) Solicitar la revocación de su certificado al certificador licenciado ante cualquier circunstancia que pueda haber comprometido la privacidad de sus datos de creación de firma; d) Informar sin demora al certificador licenciado el cambio de alguno de los datos contenidos en el certificado digital que hubiera sido objeto de verificación. CAPITULO V De la organización institucional

ARTICULO 26º. - Infraestructura de Firma Digital. Los certificados digitales regulados por esta ley deben ser emitidos o reconocidos, según lo establecido por el artículo 16, por un certificador licenciado.

ARTICULO 27º. - Sistema de Auditoría. La autoridad de aplicación, con el concurso de la Comisión Asesora para la Infraestructura de Firma Digital, diseñará un sistema de auditoría para evaluar la confiabilidad y calidad de los sistemas utilizados, la integridad, confidencialidad y disponibilidad de los datos, así como también el cumplimiento de las especificaciones del manual de procedimientos y los planes de seguridad y de contingencia aprobados por el ente licenciante.

ARTICULO 28º. - Comisión Asesora para la Infraestructura de Firma Digital. Créase en el ámbito jurisdiccional de la Autoridad de Aplicación, la Comisión Asesora para la Infraestructura de Firma Digital. CAPITULO VI De la autoridad de aplicación

ARTICULO 29º. - Autoridad de Aplicación. La autoridad de aplicación de la presente ley será la Jefatura de Gabinete de Ministros.

ARTICULO 30º. - Funciones. La autoridad de aplicación tiene las siguientes funciones: a) Dictar las normas reglamentarias y de aplicación de la presente;

Dr. Julio E. Blajean

Página 49 de 57

b) Establecer, previa recomendación de la Comisión Asesora para la Infraestructura de la Firma Digital, los estándares tecnológicos y operativos de la Infraestructura de Firma Digital; c) Determinar los efectos de la revocación de los certificados de los certificadores licenciados o del ente licenciante; d) Instrumentar acuerdos nacionales e internacionales a fin de otorgar validez jurídica a las firmas digitales creadas sobre la base de certificados emitidos por certificadores de otros países; e) Determinar las pautas de auditoría, incluyendo los dictámenes tipo que deban emitirse como conclusión de las revisiones; f) Actualizar los valores monetarios previstos en el régimen de sanciones de la presente ley; g) Determinar los niveles de licenciamiento; h) Otorgar o revocar las licencias a los certificadores licenciados y supervisar su actividad, según las exigencias instituidas por la reglamentación; i) Fiscalizar el cumplimiento de las normas legales y reglamentarias en lo referente a la actividad de los certificadores licenciados; j) Homologar los dispositivos de creación y verificación de firmas digitales, con ajuste a las normas y procedimientos establecidos por la reglamentación; k) Aplicar las sanciones previstas en la presente ley.

ARTICULO 31º. - Obligaciones. En su calidad de titular de certificado digital, la autoridad de aplicación tiene las mismas obligaciones que los titulares de certificados y que los certificadores licenciados. En especial y en particular debe: a) Abstenerse de generar, exigir, o por cualquier otro medio tomar conocimiento o acceder, bajo ninguna circunstancia, a los datos utilizados para generar la firma digital de los certificadores licenciados; b) Mantener el control exclusivo de los datos utilizados para generar su propia firma digital e impedir su divulgación; c) Revocar su propio certificado frente al compromiso de la privacidad de los datos de creación de firma digital; d) Publicar en Internet o en la red de acceso público de transmisión o difusión de datos que la sustituya en el futuro, en forma permanente e ininterrumpida, los domicilios, números telefónicos y direcciones de Internet tanto de los certificadores licenciados como los propios y su certificado digital; e) Supervisar la ejecución del plan de cese de actividades de los certificadores licenciados que discontinúan sus funciones.

ARTICULO 32º. - Arancelamiento. La autoridad de aplicación podrá cobrar un arancel de licenciamiento para cubrir su costo operativo y el de las auditorías realizadas por sí o por terceros contratados a tal efecto. CAPITULO VII Del sistema de auditoría Dr. Julio E. Blajean

Página 50 de 57

ARTICULO 33º. - Sujetos a auditar. El ente licenciante y los certificadores licenciados, deben ser auditados periódicamente, de acuerdo al sistema de auditoría que diseñe y apruebe la autoridad de aplicación. La autoridad de aplicación podrá implementar el sistema de auditoría por sí o por terceros habilitados a tal efecto. Las auditorías deben como mínimo evaluar la confiabilidad y calidad de los sistemas utilizados, la integridad, confidencialidad y, disponibilidad de los datos, así como también el cumplimiento de las especificaciones del manual de procedimientos y los planes de seguridad y, de contingencia aprobados por el ente licenciante.

ARTICULO 34º. - Requisitos de habilitación. Podrán ser terceros habilitados para efectuar las auditorías las Universidades y organismos científicos y/o tecnológicos nacionales o provinciales, los Colegios y Consejos profesionales que acrediten experiencia profesional acorde en la materia. CAPITULO VIII De la Comisión Asesora para la Infraestructura de Firma Digital

ARTICULO 35º.- Integración y funcionamiento. La Comisión Asesora para la Infraestructura de Firma Digital estará integrada multidisciplinariamente por un máximo de 7 (siete) profesionales de carreras afines a la actividad de reconocida trayectoria y experiencia, provenientes de Organismos del Estado nacional, Universidades Nacionales y Provinciales, Cámaras, Colegios u otros entes representativos de profesionales. Los integrantes serán designados por el Poder Ejecutivo por un período de cinco (5) años renovables por única vez. Se reunirá como mínimo trimestralmente. Deberá expedirse prontamente a solicitud de la autoridad de aplicación y sus recomendaciones y disidencias se incluirán en las actas de la Comisión. Consultará periódicamente mediante audiencias públicas con las cámaras empresarias, los usuarios y las asociaciones de consumidores y mantendrá a la autoridad de aplicación regularmente informada de los resultados de dichas consultas.

ARTICULO 36º. - Funciones. La Comisión debe emitir recomendaciones por iniciativa propia o a solicitud de la autoridad de aplicación, sobre los siguientes aspectos: a) Estándares tecnológicos; b) Sistema de registro de toda la información relativa a la emisión de certificados digitales; c) Requisitos mínimos de información que se debe suministrar a los potenciales titulares de certificados digitales de los términos de las políticas de certificación; d) Metodología y requerimiento del resguardo físico de la información; e) Otros que le sean requeridos por la autoridad de aplicación. CAPITULO IX Responsabilidad

Dr. Julio E. Blajean

Página 51 de 57

ARTICULO 37º. - Convenio de partes. La relación entre el certificador licenciado que emita un certificado digital y el titular de ese certificado se rige por el contrato que celebren entre ellos, sin perjuicio de las previsiones de la presente ley, y demás legislación vigente.

ARTICULO 38º. - Responsabilidad de los certificadores licenciados ante terceros. El certificador que emita un certificado digital o lo reconozca en los términos del artículo 16 de la presente ley, es responsable por los daños y perjuicios que provoque, por los incumplimientos a las previsiones de ésta, por los errores u omisiones que presenten los certificados digitales que expida, por no revocarlos, en legal tiempo y forma cuando así correspondiere y por las consecuencias imputables a la inobservancia de procedimientos de certificación exigibles. Corresponderá al prestador del servicio demostrar que actuó con la debida diligencia.

ARTICULO 39º. - Limitaciones de responsabilidad. Los certificadores licenciados no son responsables en los siguientes casos: a) Por los casos que se excluyan taxativamente en las condiciones de emisión y utilización de sus certificados y que no estén expresamente previstos en la ley; b) Por los daños y perjuicios que resulten del uso no autorizado de un certificado digital, si en las correspondientes condiciones de emisión y utilización de sus certificados constan las restricciones de su utilización; c) Por eventuales inexactitudes en el certificado que resulten de la información facilitada por el titular que, según lo dispuesto en las normas y en los manuales de procedimientos respectivos, deba ser objeto de verificación, siempre que el certificador pueda demostrar que ha tomado todas las medidas razonables. CAPITULO X Sanciones

ARTICULO 40º. - Procedimiento. La instrucción sumarial y la aplicación de sanciones por violación a disposiciones de la presente ley serán realizadas por el ente licenciante. Es aplicable la Ley de Procedimientos Administrativos 19.549 y sus normas reglamentarias.

ARTICULO 41º. - Sanciones. El incumplimiento de las obligaciones establecidas en la presente ley para los certificadores licenciados dará lugar a la aplicación de las siguientes sanciones: a) Apercibimiento; b) Multa de pesos diez mil ($ 10.000) a pesos quinientos mil ($ 500.000); c) Caducidad de la licencia. Su gradación según reincidencia y/u oportunidad serán establecidas por la reglamentación. El pago de la sanción que aplique el ente licenciante no relevará al certificador licenciado de eventuales reclamos por daños y perjuicios causados a terceros y/o bienes de propiedad de éstos, como consecuencia de la ejecución del Dr. Julio E. Blajean

Página 52 de 57

contrato que celebren y/o por el incumplimiento de las obligaciones asumidas conforme al mismo y/o la prestación del servicio.

ARTICULO 42º. - Apercibimiento. Podrá aplicarse sanción de apercibimiento en los siguientes casos: a) Emisión de certificados sin contar con la totalidad de los datos requeridos, cuando su omisión no invalidare el certificado; b) No facilitar los datos requeridos por el ente licenciante en ejercicio de sus funciones; c) Cualquier otra infracción a la presente ley que no tenga una sanción mayor.

ARTICULO 43º. - Multa. Podrá aplicarse sanción de multa en los siguientes casos: a) Incumplimiento de las obligaciones previstas en el artículo 21; b) Si la emisión de certificados se realizare sin cumplimentar las políticas de certificación comprometida y causare perjuicios a los usuarios, signatarios o terceros, o se afectare gravemente la seguridad de los servicios de certificación; c) Omisión de llevar el registro de los certificados expedidos; d) Omisión de revocar en forma o tiempo oportuno un certificado cuando así correspondiere; e) Cualquier impedimento u obstrucción a la realización de inspecciones o auditorías por parte de la autoridad de aplicación y del ente licenciante; f) Incumplimiento de las normas dictadas por la autoridad de aplicación; g) Reincidencia en la comisión de infracciones que dieran lugar a la sanción de apercibimiento.

ARTICULO 44º. - Caducidad. Podrá aplicarse la sanción de caducidad de la licencia en caso de: a) No tomar los debidos recaudos de seguridad en los servicios de certificación; b) Expedición de certificados falsos; c) Transferencia no autorizada o fraude en la titularidad de la licencia; d) Reincidencia en la comisión de infracciones que dieran lugar a la sanción de multa; e) Quiebra del titular. La sanción de caducidad inhabilita a la titular sancionada y a los integrantes de órganos directivos por el término de 10 años para ser titular de licencias.

ARTICULO 45º. - Recurribilidad. Las sanciones aplicadas podrán ser recurridas ante los Tribunales Federales con competencia en lo Contencioso Administrativo correspondientes al domicilio de la entidad, una vez agotada la vía administrativa pertinente. La interposición de los recursos previstos en este capítulo tendrá efecto devolutivo.

Dr. Julio E. Blajean

Página 53 de 57

ARTICULO 46º. - Jurisdicción. En los conflictos entre particulares y certificadores licenciados es competente la Justicia en lo Civil y Comercial Federal. En los conflictos en que sea parte un organismo público certificador licenciado, es competente la Justicia en lo Contencioso-administrativo Federal. CAPITULO XI Disposiciones Complementarias

ARTICULO 47º. - Utilización por el Estado Nacional. El Estado nacional utilizará las tecnologías y previsiones de la presente ley en su ámbito interno y en relación con los administrados de acuerdo con las condiciones que se fijen reglamentariamente en cada uno de sus poderes.

ARTICULO 48º. - Implementación. El Estado nacional, dentro de las jurisdicciones y entidades comprendidas en el artículo 8º de la Ley 24.156, promoverá el uso masivo de la firma digital de tal forma que posibilite el trámite de los expedientes por vías simultáneas, búsquedas automáticas de la información y seguimiento y control por parte del interesado, propendiendo a la progresiva despapelización. En un plazo máximo de 5 (cinco) años contados a partir de la entrada en vigencia de la presente ley, se aplicará la tecnología de firma digital a la totalidad de las leyes, decretos, decisiones administrativas, resoluciones y sentencias emanados de las jurisdicciones y entidades comprendidas en el artículo 8º de la Ley 24.156.

ARTICULO 49º. - Reglamentación. El Poder Ejecutivo deberá reglamentar esta ley en un plazo no mayor a los 180 (ciento ochenta) días de su publicación en el Boletín Oficial de la Nación.

ARTICULO 50º. - Invitación. Invítase a las jurisdicciones provinciales a dictar los instrumentos legales pertinentes para adherir a la presente ley.

ARTICULO 51º. - Equiparación a los efectos del derecho penal. Incorpórase el siguiente texto como artículo 78 (bis) del Código Penal: Los términos firma y suscripción comprenden la firma digital, la creación de una firma digital o firmar digitalmente. Los términos documento, instrumento privado y certificado comprenden el documento digital firmado digitalmente.

ARTICULO 52º. - Autorización al Poder Ejecutivo. Autorízase al Poder Ejecutivo para que por la vía del artículo 99, inciso 2, de la Constitución Nacional actualice los contenidos del Anexo de la presente ley a fin de evitar su obsolescencia.

ARTICULO 53º. - Comuníquese al Poder Ejecutivo. DADA EN LA SALA DE SESIONES DEL CONGRESO ARGENTINO, EN BUENOS AIRES, A LOS CATORCE DIAS DEL MES DE NOVIEMBRE DEL AÑO DOS MIL UNO. - REGISTRADA BAJO EL Nº 25.506 RAFAEL PASCUAL. - EDUARDO MENEM. - Guillermo Aramburu. - Juan C. Oyarzún. Dr. Julio E. Blajean

Página 54 de 57

ANEXO Información: conocimiento adquirido acerca de algo o alguien. Procedimiento de verificación: proceso utilizado para determinar la validez de una firma digital. Dicho proceso debe considerar al menos: a) que dicha firma digital ha sido creada durante el período de validez del certificado digital del firmante; b) que dicha firma digital ha sido creada utilizando los datos de creación de firma digital correspondientes a los datos de verificación de firma digital indicados en el certificado del firmante; c) la verificación de la autenticidad y la validez de los certificados involucrados. Datos de creación de firma digital: datos únicos, tales como códigos o claves criptográficas privadas, que el firmante utiliza para crear su firma digital. Datos de verificación de firma digital: datos únicos, tales como códigos o claves criptográficas públicas, que se utilizan para verificar la firma digital, la integridad del documento digital y la identidad del firmante. Dispositivo de creación de firma digital: dispositivo de hardware o software técnicamente confiable que permite firmar digitalmente. Dispositivo de verificación de firma digital: dispositivo de hardware o software técnicamente confiable que permite verificar la integridad del documento digital y la identidad del firmante. Políticas de certificación: reglas en las que se establecen los criterios de emisión y utilización de los certificados digitales. Técnicamente confiable: cualidad del conjunto de equipos de computación, software, protocolos de comunicación y de seguridad y procedimientos administrativos relacionados que cumplan los siguientes requisitos: 1. Resguardar contra la posibilidad de intrusión y/o uso no autorizado; 2. Asegurar la disponibilidad, confiabilidad, confidencialidad y correcto funcionamiento; 3. Ser apto para el desempeño de sus funciones específicas; 4. Cumplir las normas de seguridad apropiadas, acordes a estándares internacionales en la materia; 5. Cumplir con los estándares técnicos y de auditoría que establezca la Autoridad de Aplicación. Clave criptográfica privada: En un criptosistema asimétrico es aquella que se utiliza para firmar digitalmente. Clave criptográfica pública: En un criptosistema asimétrico es aquella que se utiliza para verificar una firma digital. Integridad: Condición que permite verificar que una información no ha sido alterada por medios desconocidos o no autorizados. Criptosistema asimétrico: Algoritmo que utiliza un par de claves, una clave privada para firmar digitalmente y su correspondiente clave pública para verificar dicha firma digital. Dr. Julio E. Blajean

Página 55 de 57

BIBLIOGRAFIA Ø ―La Sociedad Digital‖, de Arnaldo Kleidermacher, publicación de junio de 2003. Ø Artículo sobre la ―nueva ley 59/2003, de 19 de diciembre, de Firma Electrónica‖ de Susana Linder, publicado por ―Noticias.Jurídicas.com‖. Ø Comentarios a la Ley 25.506 de firma y documento digital, por Horacio M. Lynch. Ø Claves para el éxito de una infraestructura de firma digital, por Mauricio Devoto. Ø Web del Ministerio de Economía y Energía, Gobierno de la República de Chile. Ø Web ―preguntas más frecuentes sobre la firma electrónica‖, publicado por Davara & Davara Asesores Jurídicos. Ø Web ―ley 59/2003, de 19 de diciembre, de firma electrónica‖ publicado por Camerfirma, Certificado Digital. Ø Web ―ley 59/2003 de firma electrónica‖ publicado por ―lasasesorias.com‖. Ø Artículo sobre la ―nueva ley 59/2003, de 19 de diciembre, de Firma Electrónica‖ de Susana Linder, publicado por ―Noticias.Jurídicas.com‖. Ø ¿Qué es la Firma Digital? Alberto Zimerman Ø Consejo Profesional de Ciencias Económicas de la Ciudad Autónoma de Buenos Aires Ø Criptografía con Clave Pública Ernesto Alejandro Galeano Centro de Capacitación en Alta Tecnología Ø Criptografía y Seguridad en Computadores (Tercera Edición) Manuel Lucena Ø Seguridad Informática y Criptografía (Cuarta Edición) Jorge Ramió Aguirre Ø Seguridad informática Gustavo Aldegani MP ediciones Ø Se investigaron los contenidos de las siguientes páginas: http://infoleg.mecon.gov.ar/txtnorma/96477.htm http://infoleg.mecon.gov.ar/txtnorma/92513.htm http://infoleg.mecon.gov.ar/txtnorma/90082.htm http://infoleg.mecon.gov.ar/txtnorma/86003.htm http://infoleg.mecon.gov.ar/txtnorma/82362.htm Dr. Julio E. Blajean

Página 56 de 57

http://infoleg.mecon.gov.ar/txtnorma/80733.htm http://infoleg.mecon.gov.ar/txtnorma/70749.htm http://infoleg.mecon.gov.ar/txtnorma/68396.htm http://infoleg.mecon.gov.ar/txtnorma/54714.htm http://infoleg.mecon.gov.ar/txtnorma/87826.htm http://infoleg.mecon.gov.ar/txtnorma/74056.htm http://infoleg.mecon.gov.ar/normas/73524.htm http://infoleg.mecon.gov.ar/normas/73525.htm http://infoleg.mecon.gov.ar/txtnorma/67128.htm http://infoleg.mecon.gov.ar/txtnorma/65950.htm http://infoleg.mecon.gov.ar/txtnorma/61562.htm http://infoleg.mecon.gov.ar/txtnorma/43569.htm http://infoleg.mecon.gov.ar/basehome/areas_informaticas.htm http://www.pki.gov.ar http://www.pki.gov.ar/images/stories/documents/2073lapampa.pdf http://www.pki.gov.ar/images/stories/documents/7291tucuman.pdf http://www.firmadigital.mendoza.gov.ar/

Dr. Julio E. Blajean

Página 57 de 57