En esta FAQ planteamos las respuestas a diversas cuestiones que pueden plantearse, de forma recurrente, a la hora de definir criterios a seguir para decidir qué mecanismos de identificación y firma electrónica puede utilizar la ciudadanía para relacionarse con una Administración pública (AP).
Los mecanismos de identificación y firma electrónica que, resumidamente, pueden utilizar los interesados son:
- Certificados electrónicos calificados de firma electrónica expedidos por prestamistas incluidos en la Lista de confianza de prestamistas de servicios de certificación.
- Certificados electrónicos calificados de sello electrónico expedidos por prestamistas incluidos en la Lista de confianza de prestamistas de servicios de certificación.
- Cualquier otro sistema que las AP consideren válido, siempre que tengan un registro previo del usuario que permita garantizar su identidad.
Respecto a este listado, se indica que la aceptación -por parte de la AP- de los mecanismos basados en certificados calificados (puntos 1 y 2 anteriores) es preceptiva en cumplimiento del Reglamento UE núm. 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio, relativo a la identificación electrónica y los servicios de confianza (REIDAS); por el contrario, la aceptación de los mecanismos basados en el registro previo del usuario (punto 3 anterior) es potestativa.
El Esquema Nacional de Seguridad contempla tres niveles de seguridad (bajo, medio y alto) para los mecanismos de identificación y firma electrónica; a su vez, también define los principios básicos y requisitos mínimos para asignar un nivel de seguridad a cada mecanismo.
En resumen, la relación entre los mecanismos de identificación y cada nivel de seguridad es la siguiente:
- Nivel bajo: cualquier mecanismo de identificación admitido por la normativa, como por ejemplo, los sistemas de clave concertada basados en el registro previo de usuarios; el usuario y contraseña es también un mecanismo de identificación de nivel bajo, si bien sólo está admitido en casos puntuales.
- Nivel medio : aquel mecanismo de identificación que requiere, como mínimo, el uso de un segundo factor de autenticación, que consiste en una contraseña de un solo uso.
- Nivel alto : aquel mecanismo que reúne los mismos requisitos que para el nivel medio (el ENS no establezca medidas adicionales).
Respecto a los mecanismos de firma electrónica, la relación con los niveles de seguridad es la siguiente:
- Nivel bajo : cualquier mecanismo de firma electrónica aceptado por la legislación vigente.
- Nivel medio : aquel mecanismo de firma electrónica avanzada basado en un certificado electrónico que, además, debe ser calificado; en este sentido, es necesario que se utilicen algoritmos y parámetros autorizados por el Centro Criptológico Nacional (o lo que resulte de aplicación).
- Nivel alto: aquel mecanismo de firma electrónica avanzada basado en un certificado electrónico calificado que, además, utilice un segundo factor de autenticación por la activación de su clave privada.
Cada AP debe seleccionar los mecanismos de identificación y firma admitidos para cada actuación concreta.
A pesar de lo anterior, la normativa no delimita qué firma electrónica es necesario utilizar para cada caso; hubiera sido de utilidad que una ley en la que, parte de su ámbito subjetivo de aplicación son las AP, hubiera hecho un esfuerzo de concreción de criterios para la selección de estos mecanismos (sobre todo para el ámbito municipal).
Para tomar esta decisión, la AP ha valorado aspectos como:
- El nivel de seguridad que requieren sus sistemas de información.
- El tipo de credencial admisible para la identificación y firma electrónica de la actuación de que se trate.
- El nivel de riesgo asumible para cada actuación.
- Los requisitos del ENS antes descritos.
- Otros aspectos establecidos en la normativa concreta, si existen.
Entonces, ¿qué mecanismo selecciono por mi procedimiento?
Una buena práctica es la que permite encontrar el equilibrio entre la seguridad y la usabilidad y que, en último término, permita a la ciudadanía relacionarse electrónicamente con las AP.
En este sentido, optar por el nivel bajo de identificación y firma como mecanismo “universalmente” admitido por todos los procedimientos de una AP (o la mayoría), supone:
- Flexibilizar los requisitos para la tramitación electrónica con garantías y,
- Facilitar el acceso de los interesados a los servicios públicos digitales.
Sea como fuere, los servicios AOC permiten a las AP usuarias la selección de estos mecanismos de una manera ágil y sencilla (se amplía al siguiente apartado).
Por último, hacemos mención al proceso de selección de los mecanismos de identificación y firma electrónica que ha realizado la Generalidad de Cataluña, mediante la Orden VPD/93/2022, de 28 de abril, por la que se aprueba el Catálogo de sistemas de identificación y firma electrónica, y en especial por la Orden PRE/158/2022, de 30 de junio, por la que se aprueba la Guía de uso de los sistemas de identificación y firma electrónica en el ámbito de la Administración de la Generalidad.
Así, estas dos disposiciones establecen, a todos los efectos, la admisión de todos los mecanismos del Catálogo para realizar todos los trámites y servicios en el ámbito de la Administración de la Generalidad; mientras que las restricciones en el uso de determinados mecanismos tienen carácter excepcional.
La propia Guía establece el procedimiento para exceptuar la aplicación del criterio general y limitar el uso de alguno de los mecanismos para trámites concretos. De esta forma, se prevé la posibilidad de limitar el uso de algunos mecanismos de identificación y firma, cuando se aprecia la existencia de los siguientes riesgos (siempre, en relación con un procedimiento concreto):
- Jurídico: cuando se aprecia la posible existencia de un riesgo que impide garantizar la viabilidad y seguridad jurídica del procedimiento, que tenga como origen la carencia de robustez de los sistemas de identificación o de firma electrónica; por ejemplo, posibles fraudes en la firma del documento o suplantaciones de identidad de las personas interesadas.
- Ciberseguridad o protección de datos: cuando son necesarias medidas específicas más restrictivas por el nivel de riesgo o clasificación de la información, del servicio (o trámite) o bien, por el posible tratamiento de datos personales del servicio (o trámite) respecto al que se prevea utilizar el sistema de identificación o de firma electrónica.
Como se comentaba, la normativa establece los niveles de seguridad a tener en cuenta a la hora de configurar el acceso al procedimiento o trámite. Pero ante la ausencia de criterios de selección de los mecanismos que ayuden a concretarlo, sobre todo en el ámbito municipal, puede ser de utilidad lo siguiente:
- Ser usuario del servicio VALid de AOC, porque permite validar las credenciales de identidad e informa el nivel de seguridad empleado.
- Adoptar un Protocolo o Guía de identificación y firma electrónica propios donde se establezcan criterios a elegir. Si te interesa, dispones de un modelo de Protocolo de identificación y firma electrónica.
Para más información, te dirigimos a la entrada del blog Selección de mecanismos de identificación y firma electrónica .
El Servicio VALID permite la comprobación de las credenciales de identidad de la persona (conocido como autenticación), en virtud de los criterios y niveles de seguridad previstos en el ENS.
De esta forma, la AP usuaria de VALID puede seleccionar los mecanismos de identificación y firma admitidos para cada procedimiento, de acuerdo con lo previsto en la normativa: admite la identificación con el idCAT Móvil, Cl@ve y certificados calificados en procesos y ofrece un mecanismo de firma electrónica vinculado al mecanismo empleado.
Es decir, puede decidir si acepta todos o sólo algunos de estos mecanismos, y disponer de diferentes configuraciones para ello de acuerdo con cada necesidad concreta de identificación electrónica.
Para más información, puede consultar estas entradas:
REIDAS: art. 25
Ley 39/2015: art. 9 a 11
ENTE: Anexo I (punto 3), Anexo II (punto 4 4.2.5 Mecanismo de autenticación (usuarios externos [op.acc.5]) y Anexo II Punto 5. Medidas de protección [mp] 5.7.3 Firma electrónica [ mp.info.3].