Mecanismes d’identificació i signatura electrònica

A l’hora de posar en funcionament un tràmit electrònic, es planteja de forma recurrent quin és el criteri a seguir per decidir quins mecanismes d’identificació i signatura electrònica pot emprar la ciutadania per relacionar-se amb una Administració pública, sobretot tenint en compte els canvis normatius que es produeixen de forma constant al respecte.

Els mecanismes d’identificació i signatura electrònica que, resumidament, poden utilitzar els interessats són (per a més informació, consulteu els articles 9 i 10 de la Llei 39/2015, d'1 d'octubre, del Procediment Administratiu Comú de les administracions públiques):

  • Certificats electrònics qualificats de signatura electrònica expedits per prestadors inclosos a la “Llista de confiança de prestadors de serveis de certificació”.
  • Certificats electrònics qualificats de segell electrònic expedits per prestadors inclosos a la “Llista de confiança de prestadors de serveis de certificació”.
  • Qualsevol altre sistema que les administracions públiques considerin vàlid, sempre que tinguin un registre previ com a usuari que permeti garantir la seva identitat.

Els mecanismes basats en certificats qualificats (punts a i b anteriors) “han de ser acceptats”, en compliment del Reglament núm. 910/2014 del Parlament Europeu i del Consell, de 23 de juliol, relatiu a la identificació electrònica i els serveis de confiança (ReIdAS) i la pròpia Llei 39/2015, d’1 d’octubre, mentre que la resta de sistemes (apartat c) “poden ser acceptats”, sempre tenint en compte el nivell de seguretat que ofereixen.

 

Criteris d’aplicació

L’Esquema Nacional de Seguretat (Reial Decret 311/2022, de 3 de maig, en endavant, ENS) preveu que els mecanismes d’identificació i signatura electrònica poden tenir tres nivells de seguretat, junt amb els criteris a seguir per establir-los en cada cas. També estableix els criteris per determinar quin nivell requereix un sistema o una actuació concreta.

Per tant, per definir quin és el nivell de seguretat que requereixen el sistemes de cada Administració pública i, en particular, el tipus de credencial que resulta admissible per la identificació i la signatura electrònica per a una actuació concreta, s’ha de tenir en compte el que exposa l’ENS i buscar l’equilibri entre la seguretat i la usabilitat (s’amplia en l’apartat següent).

En aquest sentit, els serveis que ofereix el Consorci AOC permeten a la ciutadania identificar-se i signar documents tant amb certificats electrònics qualificats com emprant els sistemes basats en l’enviament de contrasenyes d’un sol ús Cl@ve i idCAT Mòbil, de manera que cada administració usuària pot decidir en quins casos poden ser acceptats.

En l’àmbit de la Generalitat de Catalunya, per exemple, aquesta decisió queda definida per l’Ordre VPD/93/2022, de 28 d'abril, per la qual s'aprova el Catàleg de sistemes d'identificació i signatura electrònica, i en especial per l’Ordre PRE/158/2022, de 30 de juny, per la qual s'aprova la Guia d'ús dels sistemes d'identificació i signatura electrònica en l'àmbit de l'Administració de la Generalitat. Aquesta darrera Ordre estableix en el seu punt segon i, amb caràcter general, que s’admeten tots els mecanismes del catàleg per a tots els tràmits i serveis. La mateixa guia estableix un procediment per exceptuar aquest criteri i limitar l’acceptació d’algun dels mecanismes ja sigui per l’existència de:

  • Risc jurídic: pel que fa a un procediment concret, valoració de l'existència d'un risc que impedeix garantir la viabilitat i seguretat jurídica del procediment amb motiu d'un possible frau en la signatura del document o de la suplantació d'identitat de les persones interessades, que tingui com a origen la manca de robustesa dels sistemes d'identificació o de signatura electrònica.
  • Risc de Ciberseguretat o protecció de dades: valoració de la necessitat de mesures específiques més restrictives que es determinin en funció del nivell de risc o classificació de la informació, del servei o tràmit o del possible tractament de dades personals derivats del tràmit o servei respecte al qual es prevegi utilitzar el sistema d'identificació o de signatura electrònica.

 

Nivells de seguretat dels mecanismes d’identificació i signatura

Com es comentava, l’ENS preveu tres nivells de seguretat (baix, mitjà i alt) i els criteris que cal seguir per establir-los en cada cas, en concret a l’Annex I, punt tercer.

El mateix ENS, al seu Annex II, defineix els criteris per assignar un nivell de seguretat a un mecanisme d’identificació i signatura electrònica.

Així, el punt relatiu al marc operacional (punt 4.2.5 sobre Mecanisme d’autenticació [control op.acc.5]) defineix els requisits que han de complir els mecanismes d’identificació electrònica que haurà d’emprar la ciutadania, entesa com a usuària externa de l’organització, per a cada nivell de seguretat. En resum, per a cada nivell s’accepten:

  • NIVELL BAIX: Qualsevol mecanisme d’identificació acceptat per la legislació vigent, com per exemple contrasenyes, contrasenya d’usuari més contrasenya d’un sol us, certificat qualificat o certificats en dispositiu físic (p.e. targeta). 
  • NIVELL MIG: Requereix l’ús, com a mínim, de contrasenyes d’un sol ús com a segon factor d’autenticació. 
  • NIVELL ALT: Els requisits són els mateixos que per al nivell mig.

 

Per altra banda, els nivells a aplicar pel que fa als mecanismes de signatura electrònica (definits al punt 5 Mesures de protecció  [mp], en concret el punt 5.7.3 Firma electrònica [control mp.info.3]), que en resum accepten:

  • NIVELL BAIX: Qualsevol mecanisme de signatura electrònica acceptat per la legislació vigent
  • NIVELL MIG: Si s’utilitza signatura electrònica avançada basada en certificats electrònics, aquests hauran de ser qualificats. Caldrà utilitzar algoritmes i paràmetres autoritzats pel Centre Criptològic Nacional o per un esquema nacional o europeu que resulti d’aplicació.
  • NIVELL ALT: Es requereix signatura avançada basada en certificats qualificats que empri un segon factor d’autenticació per l’activació de la seva clau privada.

 

Què ofereix el  Consorci AOC

El Servei VALID del Consorci AOC permet a les administracions públiques catalanes acceptar tant idCAT Mòbil com Cl@ve i certificats qualificats en processos d’identificació electrònica i ofereix un mecanisme de signatura electrònica ordinària vinculat a la credencial presentada. Les administracions poden, doncs, decidir si accepten tots o només alguns d’aquests mecanismes, i disposar de diferents configuracions per fer-ho d’acord amb cada necessitat concreta.

En el cas del servei e-NOTUM, que disposa d’un portal per a la ciutadania per tal de practicar notificacions electròniques, el tipus de credencial a acceptar pot ser fixat per cada notificació concreta.

 

Enllaços relacionats

Quan cal utilitzar un sistema d’identificació o un sistema de signatura? Casos d’ús.

La signatura electrònica de les factures

 

Context legal 

Llei 39/2015, del Procediment Administratiu Comú de les Administracions Públiques

Article 9 Sistemes d'identificació dels interessats en el procediment

Article 10 Sistemes de signatura admesos per les administracions públiques


Reglament 910/2014 del Parlament Europeu i del Consell, de 23 de juliol, relatiu a la identificació electrònica i els serveis de confiança

Article 25 Efectes jurídics de les firmes electròniques 

 

Reial Decret 311/2022, de 3 de maig, pel que es regula l’Esquema Nacional de Seguretat

Annex I, Punt tercer

Annex II, Punt 4 4.2.5 Mecanisme d’autenticació (usuaris externs) [op.acc.5].

Annex II Punt 5. Mesures de protecció [mp] 5.7.3 Firma electrònica [mp.info.3].

 

Solucions relacionades

VALID

idCAT

e-NOTUM