Mecanismos de identificación y firma electrónica

A la hora de poner en funcionamiento un trámite electrónico, se plantea de forma recurrente cuál es el criterio a seguir para decidir qué mecanismos de identificación y firma electrónica puede utilizar la ciudadanía para relacionarse con una Administración pública, sobre todo teniendo en cuenta los cambios normativos que se producen de forma constante al respecto.

Los mecanismos de identificación y firma electrónica que, resumidamente, pueden utilizar los interesados son (para más información, consulte los artículos 9 y 10 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las administraciones públicas):

  • Certificados electrónicos calificados de firma electrónica expedidos por prestamistas incluidos en la “Lista de confianza de prestamistas de servicios de certificación”.
  • Certificados electrónicos calificados de sello electrónico expedidos por prestamistas incluidos en la “Lista de confianza de prestamistas de servicios de certificación”.
  • Cualquier otro sistema que las administraciones públicas consideren válido, siempre que tengan un registro previo como usuario que permita garantizar su identidad.

Los mecanismos basados en certificados calificados (puntos ayb anteriores) “ deben ser aceptados” , en cumplimiento del Reglamento núm. 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio, relativo a la identificación electrónica y los servicios de confianza (ReIdAS) y la propia Ley 39/2015, de 1 de octubre, mientras que el resto de sistemas ( apartado c) “ pueden ser aceptados ”, siempre teniendo en cuenta el nivel de seguridad que ofrecen.

Criterios de aplicación

El Esquema Nacional de Seguridad (Real Decreto 311/2022, de 3 de mayo, en adelante, ENS) prevé que los mecanismos de identificación y firma electrónica pueden tener tres niveles de seguridad, junto con los criterios a seguir para establecerlos en cada caso. También establece los criterios para determinar qué nivel requiere un sistema o actuación concreta.

Por tanto, para definir cuál es el nivel de seguridad que requieren los sistemas de cada Administración pública y, en particular, el tipo de credencial que resulta admisible por la identificación y la firma electrónica para una actuación concreta, debe tenerse en cuenta lo que expone el ENS y buscar el equilibrio entre la seguridad y la usabilidad (se amplía en el apartado siguiente).

En este sentido, los servicios que ofrece el Consorci AOC permiten a la ciudadanía identificarse y firmar documentos tanto con certificados electrónicos cualificados como empleando los sistemas basados en el envío de contraseñas desechables Cl@ve y idCAT Móvil, de forma que cada administración usuaria puede decidir en qué casos pueden ser aceptados.

En el ámbito de la Generalidad de Cataluña, por ejemplo, esta decisión queda definida por la Orden VPD/93/2022 , de 28 de abril, por la que se aprueba el Catálogo de sistemas de identificación y firma electrónica, y en especial por la Orden PRE/158/2022 , de 30 de junio, por la que se aprueba la Guía de uso de los sistemas de identificación y firma electrónica en el ámbito de la Administración de la Generalidad. Esta última Orden establece en su punto segundo y, a todos los efectos, que se admiten todos los mecanismos del catálogo para todos los trámites y servicios. La propia guía establece un procedimiento para exceptuar este criterio y limitar la aceptación de alguno de los mecanismos ya sea por la existencia de:

  • Riesgo jurídico: en cuanto a un procedimiento concreto, valoración de la existencia de un riesgo que impide garantizar la viabilidad y seguridad jurídica del procedimiento con motivo de un posible fraude en la firma del documento o de la suplantación de identidad de las personas interesadas, que tenga como origen la carencia de robustez de los sistemas de identificación o de firma electrónica.
  • Riesgo de Ciberseguridad o protección de datos: valoración de la necesidad de medidas específicas más restrictivas que se determinen en función del nivel de riesgo o clasificación de la información, del servicio o trámite o del posible tratamiento de datos personales derivados del trámite o servicio respecto al que se prevea utilizar el sistema de identificación o de firma electrónica.

Niveles de seguridad de los mecanismos de identificación y firma

Como se comentaba, el ENS prevé tres niveles de seguridad (bajo, medio y alto) y los criterios a seguir para establecerlos en cada caso, en concreto en el Anexo I, punto tercero.

El propio ENS, en su Anexo II, define los criterios para asignar un nivel de seguridad a un mecanismo de identificación y firma electrónica.

Así, el punto relativo al marco operacional (punto 4.2.5 sobre Mecanismo de autenticación [control op.acc.5]) define los requisitos que deben cumplir los mecanismos de identificación electrónica que deberá emplear la ciudadanía, entendida como a usuaria externa de la organización, para cada nivel de seguridad. En resumen, para cada nivel se aceptan:

  • NIVEL BAJO: Cualquier mecanismo de identificación aceptado por la legislación vigente, como por ejemplo contraseñas, contraseña de usuario más contraseña de un solo uso, certificado calificado o certificados en dispositivo físico (pe tarjeta).
  • NIVEL MEDIO: Requiere el uso, como mínimo, de contraseñas desechables como segundo factor de autenticación.
  • NIVEL ALTO: Los requisitos son los mismos que para el nivel medio.

Por otra parte, los niveles a aplicar en cuanto a los mecanismos de firma electrónica (definidos en el punto 5 Medidas de protección [mp], en concreto el punto 5.7.3 Firma electrónica [control mp.info.3]), que en resumen aceptan:

  • NIVEL BAJO: Cualquier mecanismo de firma electrónica aceptado por la legislación vigente
  • NIVEL MEDIO: Si se utiliza firma electrónica avanzada basada en certificados electrónicos, éstos tendrán que ser calificados. Habrá que utilizar algoritmos y parámetros autorizados por el Centro Criptológico Nacional o por un esquema nacional o europeo que resulte de aplicación.
  • NIVEL ALTO: Se requiere firma avanzada basada en certificados calificados que utilice un segundo factor de autenticación para la activación de su clave privada.

Qué ofrece el Consorci AOC

El Servicio VALID del Consorci AOC permite a las administraciones públicas catalanas aceptar tanto idCAT Móvil como Cl@ve y certificados calificados en procesos de identificación electrónica y ofrece un mecanismo de firma electrónica ordinaria vinculado a la credencial presentada. Las administraciones pueden decidir si aceptan todos o sólo algunos de estos mecanismos, y disponer de diferentes configuraciones para hacerlo de acuerdo con cada necesidad concreta.

En el caso del servicio e-NOTUM, que dispone de un portal para la ciudadanía a fin de practicar notificaciones electrónicas, el tipo de credencial a aceptar puede ser fijado por cada notificación concreta.

Enlaces relacionados

¿Cuándo utilizar un sistema de identificación o un sistema de firma? Casos de uso.

La firma electrónica de las facturas

Contexto legal

Ley 39/2015, del Procedimiento Administrativo Común de las Administraciones Públicas

Artículo 9 Sistemas de identificación de los interesados en el procedimiento

Artículo 10 Sistemas de firma admitidos por las administraciones públicas


Reglamento 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio, relativo a la identificación electrónica y los servicios de confianza

Artículo 25 Efectos jurídicos de las firmas electrónicas

Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad

Anexo I, Punto tercero

Anexo II, Punto 4 4.2.5 Mecanismo de autenticación (usuarios externos) [op.acc.5].

Anexo II Punto 5 . Medidas de protección [mp] 5.7.3 Firma electrónica [mp.info.3].

Soluciones relacionadas

VALID

idCAT

e-NOTUM