Aspectos teórico-prácticos de la firma digital en Colombia y su referente en Latinoamérica. Erick Rincón Cárdenas
documentos, consideró que podía cumplir otras funciones adicionales, como demostrar la intención de obligarse por el contenido de un contrato, la intención de manifestar la autoría de un texto, y manifestar el estar en un lugar determinado en un momento específico.
De las anteriores, son dos las que aparecen en forma explícita en el literal a) del artículo 7º de la ley: (i) identificar al iniciador de un mensaje de datos: la identificación de quién suscribe un documento siempre ha sido la función básica de la firma, que es lo que se suele denominar como el problema de “autenticidad” de la información; (ii) vincular al iniciador con el contenido del documento firmado: existe cierta discusión sobre el significado de este requisito.
Cualquiera de los sistemas de firma disponibles en el mercado puede ser utilizado para firmar electrónicamente los mensajes de datos. No existe una restricción para usar solo ciertos dispositivos para determinadas operaciones. Este, sin duda, es un desarrollo del principio de neutralidad tecnológica. Pero esto no significa que el tratamiento de todos los sistemas de firma sea el mismo. A diferencia de lo que ocurre en los medios físicos tradicionales, en donde el mecanismo por excelencia para firmar es la firma manuscrita, sin que haya una verdadera preocupación por ahondar en las posibles clasificaciones de este concepto, la ley consideró importante diferenciar los efectos jurídicos del uso de los distintos sistemas o dispositivos de firma.
El literal b) del artículo 7º establece una importante restricción al uso de los dispositivos electrónicos de creación de firmas: el método que se utiliza para firmar debe ser tanto confiable como apropiado para el propósito por el cual el mensaje fue generado o comunicado, no obstante, no todos los dispositivos de firma tienen los mismos efectos jurídicos.
Este punto es de la mayor importancia. La firma electrónica, a diferencia de lo que ocurre con la firma manuscrita, es un concepto relativo. Cuando se firma manuscritamente un documento, no importa ni la cuantía de la transacción ni la importancia que la misma tiene para las partes, para efectos de considerar que el documento escrito se encuentra firmado, sin embargo, no sucede lo mismo en el medio electrónico. En este no todos los dispositivos de firma sirven para firmar el mismo tipo de transacciones. Si un documento electrónico está o no firmado depende de dos grandes factores: el método de firma utilizado y el tipo de mensaje de datos que se está firmando. El solo hecho de usar un dispositivo de firma, como los mencionados anteriormente, no es suficiente para considerar que el documento se encuentra firmado, sino que el método debe cumplir con dos requisitos valorativos: debe ser confiable y debe ser apropiado. Estos dos conceptos no se analizan abstractamente, sino en relación con el contenido del mensaje de datos que está siendo firmado y con la transacción que se está realizando. Contrario a lo que ocurre con los medios físicos, el contenido del mensaje de datos y el formato o soporte lógico en el que se encuentra es relevante para determinar si el mismo está firmado.
A primera vista esto puede resultar paradójico, pero cuando se analiza con detenimiento puede verse cómo esta solución del legislador responde a una de las más importantes características de los medios electrónicos, y es su facilidad de manipulación. Sin la presencia de dispositivos de seguridad especiales, la información que reposa en un medio electrónico es manipulable, sin evidencia fácilmente detectable de ello. El nivel de confiabilidad de un mensaje de datos que no tiene ningún tipo de seguridad técnica es mínimo y su valor probatorio prácticamente nulo. Un mensaje de datos debe revestirse de cierta seguridad para que se le pueda conceder valor probatorio. Y si se quiere que el mismo se considere firmado, esas seguridades deben referirse tanto a quién creo el mensaje de datos o quiere vincularse por él, como al contenido del mensaje.
Sin esos niveles mínimos de seguridad no puede considerarse que la firma “existe”; lo que está en juego aquí es nada menos que la existencia de la firma como tal. Sin los requisitos de confiabilidad, seguridad, sumado al uso adecuado, la firma no puede existir. Eso no significa, por supuesto, que el mensaje de datos que no cumpla con esos niveles mínimos de seguridad no se considere un mensaje de datos. Lo es de acuerdo con la definición del artículo 2º de la Ley 527 de 1999, pero el mismo tendrá a lo sumo la consideración de escrito que permite el artículo 6º, que es una consideración probatoria bastante limitada o incluso no como una prueba documental sino indiciaria.
De lo anterior se colige una importante consecuencia en materia de carga probatoria. Quien afirme que un mensaje de datos está firmado, no solamente debe probar la existencia del mensaje de datos, sino que debe probar, igualmente, que el documento se encuentra firmado; debe probarse la “existencia” de la firma. Esta es una verdadera carga probatoria adicional para quien pretende darle fuerza probatoria a un mensaje de datos firmado; quien afirme que un mensaje de datos se encuentra firmado, debe allegar las pruebas: (i) del método de firma utilizado, (ii) que permitan probar que ese método es confiable para el tipo de transacción, (iii) que el método es apropiado para el tipo de transacción.
Quien solamente allega a un proceso judicial un mensaje de datos, por ejemplo, un archivo electrónico en formato de procesador de textos, y afirma que el mismo está firmado, pero no allega ninguna prueba para corroborar los hechos relacionados con la firma del documento, no podrá esperar que el juez considere que el documento se encuentra verdaderamente firmado. En otras palabras, la firma es un hecho que debe ser probado dentro de un proceso. Determinar si un documento está firmado es relativo al tipo de transacción realizada, a su contexto y a la información contenida en el mensaje de datos que se está firmando. Esta es sin duda una de las principales diferencias que encontramos entre el medio físico y el medio electrónico.
Esto se puede apreciar mejor cuando se repara en las diferencias que el Código General del Proceso establece respecto de los documentos sin firma y a los documentos firmados. Para que un documento sin firma tenga efectos probatorios en un proceso judicial, se requiere de la aceptación expresa de a quién se opone; pero si el documento se encuentra firmado, bastará con el silencio de quien se supone es el firmante para que el mismo se entienda reconocido. En el contexto del mensaje de datos, si no se allegan las pruebas relacionadas con el método de firma, se tomará como un documento no firmado y su tratamiento será el de ese tipo de documentos. Si se allegan las pruebas de la firma y el juez o la autoridad que evalúa la prueba considera que las mismas prueban que el método fue confiable y apropiado, el tratamiento será el de los documentos firmados y la parte a quien se opone deberá afirmar la falsedad del documento.
La ley colombiana que regula el comercio electrónico (Ley 527 de 1999), en la parte técnica sobre firma digital y entidades prestadoras de servicios de certificación, establece condiciones adicionales de seguridad técnica jurídica a las transacciones electrónicas, que garantizan confidencialidad, integridad, identificación o autenticación y no rechazo. Estos cuatro pilares son los garantes de que las transacciones electrónicas cuenten con la seguridad necesaria para su ejecución, los cuales son estudiados y resueltos por la criptografía asimétrica.18
Con la confidencialidad se garantiza que los mensajes de datos lleguen, exclusivamente, a las personas autorizadas para ello; con la integridad, que el mensaje de datos no sea interceptado y modificado durante el envío; con la autenticación y mediante el uso de una firma digital (sistema de clave pública), que se reconozca al titular de la firma y del mensaje, y, con el no rechazo y a través del uso de los servicios de certificación digital, se podrá tener claridad de que el destinatario de un mensaje no desconocerá su recepción y que el autor no negará su autoría.
En el modelo de las normas colombianas se pueden ver tres tipos de equivalencia, a saber: a) firma, b) firma electrónica y c) firma digital con certificado de entidad de certificación.
Estas equivalencias se pueden resumir en la tabla 1.1.
Tabla 1.1. Presupuestos técnico-jurídicos de las firmas o su equivalente
| Firma | Firma electrónica | Firma digital | |
| Método | Cualquiera | Claves, contraseñas, datos biométricos, claves criptográficas privadas | Criptografía asimética (RSA) + SHA256 (Secure Hash Algoritm) |
| Requisitos | Identificación del firmante + capacidad | Identidad digital |