A raíz de la revolución digital que se ha producido en todo el mundo, especialmente tras la pandemia, los países han actualizado sus normativas para incorporar la firma digital con el fin de facilitar las transacciones y operaciones online. En la UE, la normativa eIDAS ha clasificado tres tipos principales de firmas electrónicas: firma electrónica simple o SES, firma electrónica avanzada o AES y firma electrónica cualificada o QES. Este post aclara las diferentes firmas digitales y orienta sobre cuál puede adaptarse a las necesidades de tu empresa.
Ventajas de las firmas digitales
La firma digital se ha convertido cada vez más en una práctica comercial habitual en la UE para que personas y empresas den su consentimiento legal. Todo, desde los contratos multimillonarios hasta la gestión básica de registros y el acceso a los servicios gubernamentales, es posible ahora mediante la firma electrónica.
La adopción de la firma digital, en lugar del papel y boli, tiene muchas ventajas. Facilita el acceso de los ciudadanos a la administración, reduce la vulnerabilidad de las empresas al fraude y reduce tiempo y costes.
De hecho, hay muchas razones por las que una empresa u organización debería implementar la firma electrónica, especialmente la QES, como explicaremos ahora exponiendo la diferencia entre firma electrónica reconocida o cualificada y avanzada, y una breve explicación de la firma electrónica simple.
eIDAS y la diferencia entre firma electrónica cualificada y avanzada y simple a nivel de regulación
En la UE, la Regulación de Servicios de Autenticación y Confianza de Identificación Electrónica, comúnmente conocida como eIDAS, establece las normas y leyes para las firmas electrónicas. La normativa eIDAS define tres niveles de garantía de las firmas electrónicas para facilitar una regulación común en todos los países miembros de la UE, que incluyen:
- Firma electrónica simple (SES)
- Firma electrónica avanzada (AES)
- Firma electrónica cualificada (QES)
Las empresas deben tener en cuenta sus necesidades empresariales a la hora de seleccionar el método de firma electrónica adecuado. El principal punto de diferenciación entre los tres formatos de firma electrónica está relacionado con el nivel de seguridad que cada uno proporciona. Mientras la SES está diseñada únicamente para escenarios de bajo riesgo, el AES es para un riesgo moderado con demandas de alto volumen, y la QES es un formato de firma robusto adecuado para grandes transacciones financieras que requieren un alto nivel de seguridad.
La firma electrónica simple (SES)
Una SES es el nivel más básico de firma electrónica y permite a un usuario aceptar algo electrónicamente. eIDAS ofrece una amplia definición de SES y, parafraseando la jerga jurídica, son los datos de un formulario electrónico que utiliza un firmante para firmar. Por ejemplo, el SES acepta las firmas escaneadas y las casillas de la página web utilizadas para aceptar los términos y condiciones.
La ventaja de la firma simple para las empresas que no están altamente reguladas es que, básicamente, para el usuario se trata de un simple clic. Sin embargo, desde el punto de vista de la seguridad de datos y legitimidad legal, la SES no garantiza la integridad o autenticidad del documento firmado y limita el alcance de la actuación y la oferta digital de una empresa. Es por eso que la firma electrónica simple no se acepta como método conforme para la incorporación de clientes, ya que se considera una operación de alto riesgo.
Firma electrónica avanzada y cualificada: ventajas e inconvenientes
Las firmas digitales más avanzadas incluyen la firma electrónica avanzada y cualificada, ambas con diferentes puntos fuertes y débiles.
La firma electrónica avanzada (AES), a diferencia de la simple, garantiza la autenticidad e integridad de un documento firmado. Una AES sí incorpora protocolos de seguridad clave adicionales. De acuerdo con las medidas estipuladas por el eIDAS, una firma avanzada debe estar vinculada de forma exclusiva a la persona y ser capaz de identificar al firmante. Además, el formulario utilizado debe estar vinculado a los datos de la firma para garantizar que cualquier cambio sea detectable.
Estos requisitos se suelen cumplir cuando se utiliza la tecnología de infraestructura de clave pública (PKI). Las firmas digitales que utilizan tecnología PKI cumplen con el estándar AES definido por eIDAS. Entre los documentos que pueden requerir una firma electrónica avanzada se encuentran los contratos de trabajo, los documentos bancarios y las contraseñas de un solo uso enviadas por texto o correo electrónico para la verificación del inicio de sesión.
Como legalmente vinculante, la firma electrónica cualificada (QES) proporciona el máximo nivel de seguridad para las firmas electrónicas. Se basa en los mismos protocolos de seguridad que una AES. Sin embargo, una diferencia clave entre firma electrónica cualificada y avanzada es que una QES requiere un dispositivo de creación de firmas cualificado (QSCD) que genere firmas con un certificado cualificado.
En la UE, sólo los proveedores de servicios de confianza (TSP) y las autoridades de certificación, como Electronic IDentification, están aprobadas por el eIDAS como legalmente autorizadas a proporcionar un certificado QES.
Además, a diferencia del AES, una QES requiere una última verificación del firmante cara a cara o por vídeo como requisito previo antes de que se le conceda la capacidad de firma QES. Las empresas más avanzadas de eKYC, como Electronic IDentification, están equipadas con sistemas de video identificación para ofrecer a sus clientes la libertad de identificarse online y en remoto. Una vez que el usuario ha sido verificado, se le proporciona un código PIN único para crear una autenticación de dos factores.
Con el alto nivel de seguridad que ofrece una firma electrónica cualificada, en caso de litigio, la carga de la prueba recae en la parte que impugna la validez de la firma, en vez ser la empresa la que deba aportar pruebas, tal y como ocurre con la firma avanzada.
Por ello, a menudo se utiliza la firma cualificada para el proceso de onboarding de clientes, así como para la firma de contratos y documentos, como los contratos comerciales, los acuerdos de venta y los documentos hipotecarios.
Descubre la tecnología de onboarding más avanzada de Europa en nuestro webinar on demand.
Firma electrónica avanzada y cualificada con Electronic IDentification: ¿qué nivel de seguridad necesito?
Los principales factores que una empresa debe tener en cuenta a la hora de sopesar su decisión sobre la firma digital son qué requisitos normativos la empresa está obligada a cumplir y hasta dónde quiere llegar para hacerlo.
Si la empresa forma parte de un sector altamente regulado, como el financiero, y conseguir un alto nivel de seguridad es la mayor preocupación comercial para operar en España, entonces la firma electrónica avanzada es el mejor aliado.
Si, además, el objetivo es escalar el alcance de mercado a toda la Unión Europea, la opción sería la firma cualificada, la única que permite registrar clientes de cualquier país de la UE digitalmente con la misma legitimidad legal que presencialmente. La QES el estándar de oro de las firmas electrónicas y tiene el mismo peso que un documento manuscrito y atestiguado en los tribunales.
Además, con QES+ onboarding de Electronic IDentification, la elección de la Firma Electrónica Cualificada como medio para el onboarding de los clientes y todos los demás procesos de acreditación de la identidad, no sólo asegura a la compañía el cumplimiento de las regulaciones europeas más estrictas, sino también, gracias a VideoID, que ofrece la mejor experiencia de usuario a sus clientes con un flujo totalmente digital y automatizado que pueden completar sin problemas en segundos.
Descubre cómo funciona QES+ onboarding en directo y empieza a abrir tu empresa a más de 500M de clientes europeos.