Universidad Panamericana La firma electrónica y las entidades de certificación Alfredo Alejandro Reyes Krafft Tesis de Doctorado Facultad: Derecho Director: Dr. Eduardo Preciado Briseño 2002 UNIVERSIDAD PANAMERICANA FACULTAD DE DERECHO POSGRADO EN DERECHO LA FIRMA ELECTRÓNICA Y LAS ENTIDADES DE CERTIFICACIÓN TESIS QUE PARA OBTENER EL DIPLOMA DE DOCTOR EN DERECHO PRESENTA EL: LIC. ALFREDO ALEJANDRO REYES KRAFFT Director de Tesis: Dr. Eduardo Preciado Briseño México, D.F. 2002 LISTA DE ABREVIATURAS Y SIGLAS ABA: AMERICAN BAR ASSOCIATION ABM: ASOCIACIÓN DE BANQUEROS DE MÉXICO ACE: AGENCIA DE CERTIFICACIÓN ELECTRÓNICA ALCA: AREA DE LIBRE COMERCIO DE LAS AMÉRICAS AMDI: ACADEMIA MEXICANA DE DERECHO INFORMÁTICO APEC: ASIA PACIFIC ECONOMIC COOPERATION. ARPA: ADVANCED RESEARCH PROYECT AGENCY ARPANET: ADVANCED RESEARCH PROJECT AGENCY NETWORK ASN.1: VERSIÓN 1 DE ABSTRACTS SINTAX NOTATION. B2B BUSINESS TO BUSINESS B2C BUSINESS TO CONSUMER BANXICO: BANCO DE MÉXICO BITNET: BECAUSTE IT´S TIME NETWORK BITS: UNIDAD MÍNIMA DE INFORMACIÓN QUE PUEDE SER PROCESADA POR UNA COMPUTADORA. BROWSER: NAVEGADOR BYTES: SECUENCIA DE 8 BITS. CERN: LABORATORIO EUROPEO DE ESTUDIOS SOBRE FÍSICA DE LAS PARTÍCULAS CMT: COMISIÓN DEL MERCADO DE LAS TELECOMUNICACIONES COFETEL: COMISIÓN FEDERAL DE TELECOMUNICACIONES CPS: DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN CRACKERS: LADRÓN DE CÓDIGOS O PROGRAMAS DE CÓMPUTO CRL: LISTA DE REVOCACIÓN DE CERTIFICADOS CSNET: CANAL DE INVESTIGACIÓN CIENTÍFICA EN COMPUTACIÓN CSNET: COMPUTER SCIENCE NETWORK CUNY: UNIVERSIDAD DE LA CIUDAD DE NUEVA YORK CURP: CLAVE ÚNICA DEL REGISTRO NACIONAL DE POBLACIÓN DELPHI: APLICACIÓN COMPUTACIONAL PROGRAMADA EN PASCAL DES: DATA ENCRYPTION STANDARD DIAL UP: SISTEMA COMERCIAL DE CONEXIÓN TELEFÓNICA. DNS: DOMAIN NAMES SYSTEM DOF: DIARIO OFICIAL DE LA FEDERACIÓN DOS: DISK OPERATING SYSTEM DSS: DIGITAL SIGNATURE STANDARD EC-DC: ELECTRONIC COMMERCE FOR DEVELOPING COUNTRIES EDI: INTERCAMBIO ELECTRÓNICO DE DATOS EES: ESCROWED ENCRYPTION STANDARD E-MAIL: CORREO ELECTRÓNICO EMISARI: PRIMER SISTEMA DELPHI UTILIZADO ESPECIFICAMENTE PARA CONFERENCIAR (CHATEAR) FCC: FEDERAL COMMUNICATIONS COMMISION, FECEMD: FEDERACIÓN DE COMERCIO ELECTRÓNICO Y MARKETING DIRECTO FIDONET: RED INTERNACIONAL DE AVISOS ELECTRÓNICOS FTAA: FREE TRADE AREA OF THE AMERICAS. FTC: FEDERAL TRADE COMMISSION FTP: SERVICIO DE TRANSFERENCIA DE ARCHIVOS GBDE: GLOBAL BUSINESS DIALOG ON ELECTRONIC COMMERCE. GILCE: GRUPO IMPULSOR DE LA LEGISLACIÓN DE COMERCIO ELECTRÓNICO GUIDEC: GUÍA DE USO GENERAL EN EL COMERCIO DIGITAL INTERNACIONAL HACKERS: PIRATAS INFORMÁTICOS QUE SE CARACTERIZAN POR ACCESAR A SISTEMAS PROTEGIDOS SIN AUTORIZACIÓN DEL TITULAR HARDWARE: ADITAMENTOS FÍSICOS PARA LA CONTRUCCIÓN DE COMPUTADORAS Y 2 HOME PAGE: PAGINA LOCAL HOST: COMPUTADORA ANFITRIONA HTML: LENGUAJE DE MARCACIÓN DE HIPERTEXTOS IANA: INTERNET ASSIGNED NUMBERS AUTHORITY ICANN: INTERNET CORPORATION FOR ASSIGNED NAMES AND NUMBERS ICC: INTERNATIONAL CHAMBER OF COMMERCE. ICPC: COMITÉ DE INFORMACIÓN, COMPUTO Y POLÍTICAS DE COMUNICACIÓN IETF: INTERNET ENGINEERING TASK FORCE IMPI: INSTITUTO MEXICANO DE LA PROPIEDAD INDUSTRIAL INDA: INSTITUTO NACIONAL DE DERECHOS DE AUTOR INWG: INTERNETWORK WORKING GROUP ISO/IEC: ORGANIZACIÓN DE NORMAS INTERNACIONALES ISOC: INTERNET SOCIETY ISP: INTERNET SERVICE PROVIDERS IWS: PROCESADORES DE INFORMACIÓN DE MENSAJES JAVA: DESARROLLO DE SOFTWARE QUE, INCLUIDO EN LOS NAVEGADORES, PERMITE EJECUTAR APLICACIONES SOBRE CUALQUIER PLATAFORMA COMPUTACIONAL. KES: KEY ESCROW SYSTEM LISTSERV: LISTA DE SERVIDORES LMCE: LEY MODELO SOBRE COMERCIO ELECTRÓNICO MILNET: MILITARY NETWORK MOSAIC: PRIMER NAVEGADOR PARA ACCEDER A LAS PÁGINAS DEL SERVICIO WWW NASA: NATIONAL AEREONAUTICS AND SPACE ADMINISTRATION NCL: NETWORK CONTROL LANGUAGE NCP: PROTOCOLO DE CONTROL DE CANAL NIC: NETWORK INFORMATION CENTER NIST: THE NATIONAL INSTITUTE OF SCIENCE AND TECHNOLOGY NNTP: PROTOCOLO PARA LA TRANSMISIÓN DE NOTICIAS EN RED NOM: NORMA OFICIAL MEXICANA NREN: NATIONAL RESEARCH AND EDUCATIONAL NETWORK NSF: NATIONAL SCIENCE FOUNDATION NSFNET: NATIONAL SCIENCE FOUNDATION NETWORK NU/EDIFACT : INTERCAMBIO ELECTRÓNICO DE DATOS DE LAS NACIONES UNIDAS PARA LA ADMINISTRACIÓN DEL COMERCIO Y DEL TRANSPORTE NU-CEFACT : CENTRO DE LAS NACIONES UNIDAS PARA LA FACILITACIÓN DEL COMERCIO Y NEGOCIOS ELECTRÓNICOS OCDE: ORGANIZACIÓN PARA LA COOPERACIÓN Y EL DESARROLLO ECONÓMICO OMA. ORGANIZACIÓN MUNDIAL DE ADUANAS OMC: ORGANIZACIÓN MUNDIAL DEL COMERCIO. OMPI:- ORGANIZACIÓN MUNDIAL DE LA PROPIEDAD INTELECTUAL. PAG: PKI ASSESMENT GUIDELINESS PGP: PRETTY GOOD PRIVACY PKI: PUBLIC KEY INFRAESTRUCTURE, INFRAESTRUCTURA DE LLAVE PÚBLICA PROFECO: PROCURADURÍA FEDERAL DEL CONSUMIDOR PSC: PRESTADOR DE SERVICIOS DE CERTIFICACIÓN PYMES: PEQUEÑAS Y MEDIANAS EMPRESAS RDC: RED DE SERVICIOS DE CERTIFICACIÓN RSA: ESQUEMA DE ENCRIPCIÓN DESARROLLADO POR RIVEST-SHAMIR-ADLEMAN SAT: SERVICIO DE ADMINISTRACIÓN TRIBUTARIA SCT: SECRETARÍA DE COMUNICACIONES Y TRANSPORTES SEAL: ENLACE SEGURO DE AUTENTICACIÓN ELECTRÓNICA SOFTWARE: CONJUNTO DE PROGRAMAS QUE POSIBILITAN EL USO DE UNA COMPUTADORA SRI: INSTITUTO DE INVESTIGACIONES DE STANFORD TC: TERCEROS DE CONFIANZA 3 TCP/IP: PROTOCOLO DE CONTROL DE TRANSMISIÓN TEL: GRUPO DE TRABAJO DE TELECOMUNICACIONES DE APEC TELMIN: REUNIÓN MINISTERIAL DE LA INDUSTRIA DE INFORMACIÓN Y TELECOMUNICACIONES TIC´S: TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN TLCAN: TRATADO DE LIBRE COMERCIO DE AMÉRICA DEL NORTE TRAMITANET: SITIO EN INTERNET QUE DERIVA DEL ACUERDO POR EL QUE SE ESTABLECEN LAS DISPOSICIONES QUE DEBERÁN OBSERVAR LAS DEPENDENCIAS Y LOS ORGANISMOS DESCENTRALIZADOS DE LA ADMINISTRACIÓN PÚBLICA FEDERAL, PARA LA RECEPCIÓN DE PROMOCIONES QUE FORMULEN LOS PARTICULARES EN LOS PROCEDIMIENTOS ADMINISTRATIVOS A TRAVÉS DE MEDIOS DE COMUNICACIÓN ELECTRÓNICA, ASÍ COMO PARA LAS NOTIFICACIONES, CITATORIOS, EMPLAZAMIENTOS, REQUERIMIENTOS, SOLICITUDES DE INFORMES O DOCUMENTOS Y LAS RESOLUCIONES ADMINISTRATIVAS DEFINITIVAS QUE SE EMITAN POR ESA MISMA VÍA. TTP: TERCERO CONFIABLE UCBS: UNIVERSIDAD DE CALIFORNIA EN SANTA BÁRBARA UCLA: UNIVERSITY OF CALIFORNIA, LOS ANGELES UIACP: PRÁCTICAS INTERNACIONALES UNIFORMES DE AUTENTICACIÓN Y CERTIFICACIÓN UIT: UNIÓN INTERNACIONAL DE TELECOMUNICACIONES UNCITRAL: COMISIÓN DE LAS NACIONES UNIDAS PARA EL DERECHO MERCANTIL INTERNACIONAL UPU: UNIÓN UNIVERSAL DE SETRVICIOS POSTALES USENET: UNIX USER NETWORK UUCP: PROTOCOLO DE COPIA UNIX-TO-UNIX VAN: VALUE ADDED NETWORK WEB SITE: SITIO EN LA RED WITSA: WORLD INFORMATION TECHNOLOGIES AND SERVICES ASSOCIATION. WWW: WORLD WIDE WEB XML: EXTENSIBLE MARKUP LANGUAGE 4 ÍNDICE 1. INTRODUCCIÓN 1.1. POSTULADOS Y LÍNEAS DE INVESTIGACIÓN. 10 10 1.1.1. CÓDIGO CIVIL FEDERAL 10 1.1.2. CÓDIGO FEDERAL DE PROCEDIMIENTOS CIVILES 10 1.1.3. CÓDIGO DE COMERCIO 11 1.1.4. LEY FEDERAL DE PROTECCIÓN AL CONSUMIDOR 12 1.1.5. CARACTERÍSTICAS: 12 1.1.5.1. INTEGRIDAD 13 1.1.5.2. ATRIBUCIÓN 16 1.1.5.3. ACCESIBILIDAD 18 2. ANTECEDENTES HISTÓRICOS DE INTERNET 19 3. ¿QUE ES INTERNET? 49 3.1. CONSENSO INTERNACIONAL 60 3.2. ORGANISMOS Y ASOCIACIONES INTERNACIONALES. 60 3.3. RECOMENDACIONES INTERNACIONALES 94 3.4. COMPROMISOS INTERNACIONALES SUSCRITOS POR 95 MÉXICO: 3.4.1. OMC 95 3.4.2. APEC 96 3.4.3. UE 96 3.4.4. ALCA 96 3.4.5. TRATADOS DE APLICABILIDAD ESPECÍFICA: 97 3.4.5.1. OMPI 97 3.4.5.2. UNCITRAL 97 3.4.5.3. OCDE 97 4. SITUACIÓN LEGAL EN MÉXICO. 98 4.1. ANTECEDENTES LEGISLATIVOS 98 4.2. REFORMAS DE MAYO DEL 2000 98 4.2.1. OBJETIVOS DE LA LEGISLACIÓN 99 5 4.2.2. EL ARCHIVO MERCANTIL 4.3. PROYECTO DE NOM. CONSERVACIÓN DE MENSAJES 99 100 DE DATOS 4.4. FACTURA ELECTRÓNICA 107 4.5. NOVEDADES LEGISLATIVAS: 113 4.5.1. LEY CONTRA EL CRIMEN ELECTRÓNICO 113 4.5.2. LEY DE PROTECCIÓN DE DATOS PERSONALES 119 4.5.3. LEY FEDERAL DE PROTECCIÓN AL CONSUMIDOR 120 4.5.4. PROTECCIÓN Y RECONOCIMIENTO A LA PROPIEDAD INTELECTUAL 121 DEL SOFTWARE 4.5.5. REFORMAS A LA LEY FEDERAL DE RADIO Y TELEVISIÓN 121 4.5.6. REDACCIÓN DE UNA LEGISLACIÓN SOBRE FIRMAS ELECTRÓNICAS 122 Y PRESTADORES DE SERVICIOS DE CERTIFICACIÓN 4.5.7. PROCESO DE APROBACIÓN DEL PROYECTO DE NUEVA LEY 122 FEDERAL DE TELECOMUNICACIONES 4.5.8. LEGISLACIÓN EN MATERIA DE NOMBRES DE DOMINIO 122 4.5.9. ADECUACIONES AL MARCO JURÍDICO DEL SISTEMA E-MÉXICO 123 4.5.10. LEY GENERAL DE INFORMÁTICA 126 5. FIRMA AUTÓGRAFA. 127 5.1. CONCEPTO 130 5.2. LA FIRMA EN DERECHO BANCARIO MEXICANO 137 5.3. LA FIRMA EN TÍTULOS DE CRÉDITO 142 5.3.1. LA FIRMA EN TÍTULOS DE CRÉDITO EMITIDOS EN SERIE 5.4. CONCEPTOS RELACIONADOS CON LA FIRMA 146 148 5.4.1. EL CONOCIMIENTO DE FIRMA 148 5.4.2. EL CATÁLOGO DE FIRMAS 150 5.4.3. LA FIRMA IMPRESA POR MEDIOS MECÁNICOS 152 5.4.4. LA MÁQUINA DE FIRMA 156 5.5. LA FIRMA EN MATERIA DE FIANZAS 157 5.6. LA FIRMA EN MATERIA DE SEGUROS 158 5.7. CARACTERÍSTICAS DE LA FIRMA 159 5.7.1. IDENTIFICATIVA 159 5.7.2. DECLARATIVA 159 5.7.3. PROBATORIA 159 6 5.8. ELEMENTOS DE LA FIRMA 5.8.1. FORMALES 159 159 5.8.1.1. COMO SIGNO PERSONAL 159 5.8.1.2. ANIMUS SIGNANDI 159 5.8.2. FUNCIONALES 160 5.8.2.1. IDENTIFICADORA 160 5.8.2.2. AUTENTICACIÓN 160 6. FIRMA ELECTRÓNICA 164 6.1. EN ESTADOS UNIDOS 165 6.2. EN LATINOAMÉRICA 185 6.2.1. ARGENTINA 185 6.2.2. COLOMBIA 187 6.2.3. CHILE 201 6.2.4. ECUADOR 203 6.2.5. PANAMÁ 203 6.2.6. PERÚ 205 6.2.7. VENEZUELA 205 6.3. EN EUROPA 206 6.3.1. ESPAÑA 206 6.3.2. ALEMANIA 210 6.3.3. FRANCIA 210 6.3.4. ITALIA 210 6.3.5. REINO UNIDO 212 6.3.6. PAISES BAJOS 212 6.3.7. SUECIA 212 6.3.8. COMUNIDAD EUROPEA 213 6.4. A NIVEL INTERNACIONAL 215 6.4.1. ONU 215 6.4.2. OCDE 219 6.4.3. ORGANIZACIÓN INTERNACIONAL DE NORMAS ISO 220 6.5. EN MÉXICO 220 6.6. FIRMA ELECTRÓNICA 221 6.7. FIRMA ELECTRÓNICA AVANZADA 222 6.8. CONCEPTOS RELACIONADOS CON LA FIRMA 223 7 ELECTRÓNICA 6.8.1. MENSAJE DE DATOS 223 6.8.2. INTERCAMBIO ELECTRÓNICO DE DATOS (EDI) 223 6.8.3. INICIADOR DE UN MENSAJE DE DATOS 223 6.8.4. DESTINATARIO DE UN MENSAJE DE DATOS 223 6.8.5. INTERMEDIARIO DE UN MENSAJE DE DATOS 224 6.8.6. EQUIVALENCIA FUNCIONAL 224 6.8.7. NEUTRALIDAD DEL MEDIO 227 6.8.8. SISTEMA DE INFORMACIÓN 230 6.8.9. AUTORIDAD O ENTIDAD DE CERTIFICACIÓN 230 6.8.9.1. PROTOCOLOS 231 6.8.9.1.1. ARBITRADOS 231 6.8.9.1.2. NOTARIALES 231 6.8.9.1.3. AUTOVERIFICABLES 231 6.8.9.2. DOCUMENTO WP.71 ONU 232 6.8.9.3. TIPOS DE CERTIFICADO 233 6.8.9.3.1. IDENTIDAD 233 6.8.9.3.2. AUTORIZACIÓN 233 6.8.9.3.3. TRANSACCIONAL 234 6.8.9.3.4. TEMPORAL 234 6.8.9.4. ESTADOS UNIDOS 234 6.8.9.5. UNIÓN EUROPEA 234 6.8.9.5.1. AUTORIDAD DE CERTIFICACIÓN 234 6.8.9.5.2. TERCEROS DE CONFIANZA 235 6.8.9.6. FUNCIONES DE LAS AUTORIDADES DE CERTIFICACIÓN 235 6.8.9.7. AUTORIDADES PÚBLICAS DE CERTIFICACIÓN 236 6.8.9.7.1. ESPAÑA 236 6.8.9.7.2. ITALIA 237 6.8.9.8. AUTORIDADES PRIVADAS DE CERTIFICACIÓN 238 6.8.9.8.1. ESPAÑA 238 6.8.9.8.2. BÉLGICA 238 6.8.9.8.3. ESTADOS UNIDOS 238 6.8.9.8.4. EN LA COMUNIDAD EUROPEA 239 6.8.9.8.5. EN INTERNET 239 8 6.9. CARACTERÍSTICAS DE UN SISTEMA SEGURO 240 6.9.1. AUTENTICACIÓN 241 6.9.2. ENCRIPTACIÓN O CIFRADO DE DATOS 245 6.9.2.1. CLASES DE CRIPTOGRAFÍA 248 6.9.2.2. CARACTERÍSTICAS DE LAS LLAVES PRIVADAS 250 6.9.2.3. DESVENTAJAS DEL CIFRADO TRADICIONAL O SIMÉTRICO 250 6.9.2.4. CIFRADO DE LLAVE PÚBLICA O ASIMÉTRICO 251 6.9.2.5. CARACTERÍSTICAS PRINCIPALES DE LAS LLAVES PÚBLICAS 257 6.10. FIRMA DIGITAL O FIRMA ELECTRÓNICA AVANZADA 257 6.11. VENTAJAS DE LA CRIPTOGRAFÍA ASIMÉTRICA 258 6.12. CERTIFICADOS DIGITALES 267 6.12.1. ADMINISTRACIÓN DE LOS CERTIFICADOS 270 6.12.2. AUTORIDAD CERTIFICADORA 271 6.12.3. REGISTRO DE CERTIFICADOS 271 6.12.4. DECLARACIÓN DE PRÁCTICAS CON CERTIFICADOS 272 6.12.5. LISTA DE REVOCACIÓN DE CERTIFICADOS 272 6.12.6. FUNCIONAMIENTO DE LOS CERTIFICADOS 272 6.12.7. RECOMENDACIONES PARA SU USO 274 6.12.7.1. COMPROMISO DE CLAVE PRIVADA DE USUARIO 274 6.12.7.2. COMPROMISO DE CLAVE PRIVADA DE AUTORIDAD CERTIFICADORA 275 6.12.7.3. CAMBIO EN LOS DATOS DEL CERTIFICADO 275 6.12.7.4. VIOLACIÓN DE LA POLÍTICA DE LA AUTORIDAD CERTIFICADORA 275 6.12.7.5. EXPIRACIÓN DEL CERTIFICADO 275 6.12.8. DISPOSITIVOS DE ALMACENAMIENTO DE CERTIFICADOS 276 7. PROYECTO CYBERNOTARIO 277 8. PROYECTO BANXICO 285 9. PROPUESTA CONCRETA DE REFORMA LEGISLATIVA 292 10. CONCLUSIONES 305 11. BIBLIOGRAFÍA 309 9 1.- INTRODUCCIÓN POSTULADOS Y LÍNEAS DE INVESTIGACIÓN: El 29 de mayo del año 2000, se publicó en el Diario Oficial de la Federación el Decreto por el que se reforman y adicionan diversas disposiciones del Código Civil para el Distrito Federal en Materia Común y para toda la República en Materia Federal (ahora Código Civil Federal), del Código Federal de Procedimientos Civiles, del Código de Comercio y de la Ley Federal de Protección al Consumidor: 1. Las reformas y adiciones al CÓDIGO CIVIL FEDERAL se centraron en el reconocimiento a la celebración de actos jurídicos a través de medios electrónicos, ópticos o de cualquier otra tecnología, añadiéndose los “medios tecnológicos” como medio idóneo para expresar el consentimiento. Es importante resaltar que se estableció una equivalencia funcional entre el consentimiento expresado por medios tecnológicos y la firma autógrafa “siempre que la información generada o comunicada en forma íntegra, a través de dichos medios sea atribuible a las personas obligadas y accesible para su ulterior consulta”. 2. Se reconoce en el CÓDIGO FEDERAL DE PROCEDIMIENTOS CIVILES como prueba, la información contenida en los medios electrónicos, ópticos o en cualquier otra tecnología, dando una serie de reglas para su valoración por parte del juzgador: La fiabilidad del método para generar, comunicar, recibir o archivar la información (que pueda conservarse sin cambio), su atribución a las personas obligadas y la posibilidad de acceder a ella en ulteriores consultas. Asimismo y para que la 10 información generada, comunicada, recibida o archivada por medios electrónicos se considere como original (para su conservación o presentación) deberá acreditarse que dicha información se ha mantenido íntegra e inalterada a partir del momento en que se generó por primera vez en su forma definitiva y ésta pueda ser accesible para su ulterior consulta 3. En el CODIGO DE COMERCIO se define el concepto “Mensaje de Datos” como la información generada, enviada, recibida, archivada o comunicada a través de medios electrónicos, ópticos o cualquier otra tecnología. Respecto de la obligación a los comerciantes de conservar por un plazo mínimo de 10 años los originales de aquellas cartas, telegramas, mensajes de datos o cualesquiera otros documentos en que se consignen contratos, convenios o compromisos que den nacimiento a derechos y obligaciones1, en el caso de mensajes de datos se requerirá que el contenido de la información se haya mantenido íntegro e inalterado a partir del momento en que se generó por primera vez en su forma definitiva y sea accesible para su ulterior consulta. La Secretaría de Economía deberá emitir una Norma Oficial Mexicana que establezca los requisitos que deberán observarse para la conservación de mensajes de datos. Se establece una presunción en materia mercantil, salvo pacto en contrario, de que el mensaje proviene del emisor (atribución a la persona obligada) si ha sido enviado: i) 1 El primer párrafo del artículo 49 del Código de Comercio se refiere a que los Comerciantes están “obligados a conservar por un plazo mínimo de diez años los originales de aquellas cartas, telegramas, mensajes de datos o cualesquiera otros documentos en que se consignen contratos, convenios o compromisos que den nacimiento a derechos y obligaciones”, lo me anterior parece redundante, toda vez que el Código Civil Federal define al Contrato como el convenio que produce o transfiere obligaciones o derechos. 11 Usando medios de identificación, tales como claves o contraseñas de él (para lo que se requerirá de un previo acuerdo entre las partes), o ii) Por un sistema de información programado por el emisor o en su nombre para que opere automáticamente. En materia mercantil, al igual que en la civil, cuando la ley exija la forma escrita para los contratos y la firma de los documentos relativos, esos supuestos se tendrán por cumplidos tratándose de mensaje de datos siempre que éste sea atribuible a las personas obligadas y accesible para su ulterior consulta. Y se reconoce como prueba a los mensajes de datos. Para valorar la fuerza probatoria de dichos mensajes, se estimará primordialmente la fiabilidad del método en que haya sido generada, archivada, comunicada o conservada 4. Se reformó la LEY FEDERAL DE PROTECCIÓN AL CONSUMIDOR para reconocer la utilización de medios electrónicos, ópticos o cualquier otra tecnología en la instrumentación de las operaciones que celebren los proveedores con los consumidores, dando las bases sobre las cuales habrán de realizarse dichas operaciones (confidencialidad, certeza, seguridad en la información proporcionada al consumidor, etc.), previendo sanciones administrativas para el caso de que los proveedores no cumplan con dichas disposiciones. De lo anterior resulta necesario hacer las siguientes consideraciones: Para que un mensaje de datos en el que se consignen contratos, pueda considerarse legalmente válido, es necesario asegurar que la información en él contenida reúna las siguientes características: 12 I.- INTEGRIDAD: Entendida en dos vertientes, la primera respecto de la fiabilidad del método para generarla, comunicarla, recibirla o archivarla. Y la segunda como la forma de garantizar que la información en él contenida no fue alterada. Al respecto la Secretaría de Economía elaboró un proyecto de Norma Oficial Mexicana que establece los requisitos que deben observarse para la conservación de mensajes de datos, con fundamento en lo dispuesto por el artículo 49 segundo párrafo del Código de Comercio. El Viernes 17 de Agosto, 2001 se dieron por concluidos los trabajos correspondientes al Proyecto de NOM arriba especificada. El viernes 28 de septiembre del 2001, se llevó a cabo la reunión 03/2001 del Comité Consultivo Nacional de Normalización de Seguridad al Usuario, Información Comercial y Prácticas de Comercio. En dicha reunión se aprobó, entre otras cuestiones, la publicación íntegra del PROY-NOM en el Diario Oficial de la Federación. La publicación se efectuó el día 17 de noviembre del 2001 en el Diario Oficial de la Federación. Dicho documento se expidió para consulta pública a efecto de que dentro de los siguientes 60 días naturales, los interesados presentaran sus comentarios ante el Comité Consultivo Nacional de Normalización de Seguridad al Usuario, Información Comercial y Prácticas de Comercio, para que en los términos de la Ley Federal sobre Metrología y Normalización se consideren en el seno del Comité que lo propuso. El Comité a que se refiere el párrafo anterior estuvo integrado por representantes de las siguientes empresas e instituciones: - ACERTIA NETWORKS, S.A. DE C.V. - ALESTRA, S. DE R.L. DE C.V. 13 - ASOCIACION MEXICANA DE ESTANDARES PARA EL COMERCIO ELECTRONICO, A.C. - ASOCIACION MEXICANA DE LA INDUSTRIA DE TECNOLOGIAS DE INFORMACION, A.C. - ASOCIACION NACIONAL DE TIENDAS DE AUTOSERVICIO Y DEPARTAMENTALES, A.C. - BANCO DE MEXICO. - BANCO INTERNACIONAL, S.A. - BANCO NACIONAL DE MEXICO, S.A. - BBVA BANCOMER, S.A. - CAMARA NACIONAL DE COMERCIO DE LA CIUDAD DE MEXICO. - CAMARA NACIONAL DE LA INDUSTRIA ELECTRONICA, DE TELECOMUNICACIONES E INFORMATICA. - CECOBAN, S.A. DE C.V. - CONSEJO MEXICANO DE LA INDUSTRIA DE PRODUCTOS DE CONSUMO, A.C. - COMISION FEDERAL DE TELECOMUNICACIONES. - COMPAÑIA PROCTER & GAMBLE MEXICO, S. DE R.L. DE C.V. - HEWLETT PACKARD DE MEXICO, S.A. DE C.V. - IBM DE MEXICO, S.A. DE C.V. - INSTITUTO NACIONAL DE ESTADISTICA, GEOGRAFIA E INFORMATICA. Dirección General de Políticas y Normas en Informática. - KPMG CARDENAS DOSAL, S.C. - PEGASO COMUNICACIONES Y SISTEMAS, S.A. DE C.V. - PETROLEOS MEXICANOS. Gerencia de Informática y Sistemas Financieros. - PODER JUDICIAL FEDERAL. Instituto Federal de Especialistas de Concursos Mercantiles. - PROMOCION Y OPERACION, S.A. DE C.V. - SECRETARIA DE ECONOMIA. Dirección General de Normas. Dirección General de Fomento al Comercio Interior. Dirección General de Política de Comercio Interior y Abasto. - SEGURIDATA PRIVADA, S.A. DE C.V. - SERVICIO DE ADMINISTRACION TRIBUTARIA. Administración General de Grandes Contribuyentes. Administración General de Tecnología de la Información. - SOFTWARE AG, S.A. DE C.V. - VERA ABOGADOS, S.C. - WAL-MART DE MEXICO, S.A. DE C.V. - XEROX MEXICANA, S.A. DE C.V. - X WEB ADOBE, S.A. DE C.V. Al respecto, se presentaron algunas diferencias respecto del texto consensado en el grupo de trabajo y el publicado en el DOF: 14 Artículo TRANSITORIO – VIGENCIA De acuerdo al procedimiento aceptado por la Secretaría, los textos una vez aceptados por los grupos de trabajo NO podrán sufrir modificación de ninguna especie. El texto de la Vigencia de la NOM consensado por los grupos de trabajo, fue: “9.- Vigencia La presente Norma Oficial Mexicana entrará en vigor el día siguiente de aquel en que entre en vigor la legislación en materia de Firma Electrónica y Prestadoras de Servicios de Certificación” En el documento publicado, el texto anterior fue sustituido por el siguiente: “TRANSITORIO La Secretaría publicará en el Diario Oficial de la Federación, el aviso por el cual se da a conocer la fecha de entrada en vigor del presente Proyecto de Norma Oficial Mexicana, una vez que sea publicada en aquel como Norma definitiva.” Independientemente de que este texto no fue consensado, el mismo resulta violatorio por lo dispuesto en el Artículo 34 del Reglamento de la Ley Federal sobre Metrología y Normalización, el cual dispone en su parte conducente, lo siguiente: “Las dependencias determinarán la entrada en vigor de cada Norma Oficial Mexicana que expidan, la cual no podrá ser inferior a 60 días naturales después de la fecha de su publicación en el Diario Oficial de la Federación.... Las dependencias, respetando el plazo a que hace referencia el párrafo anterior, podrán determinar la entrada en vigor escalonada de determinados capítulos, párrafos, incisos o sub-incisos de las Normas Oficiales Mexicanas.” De la lectura de lo dispuesto por el precepto antes transcrito, aparece que esta NOM debe tener fecha de vigencia que no podrá ser inferior a 60 días después de su publicación en el Diario Oficial de la Federación, e inclusive se puede prever un plazo 15 de inicio de vigencia en cuanto entre en vigor la Ley de Firmas Electrónicas y otro plazo posterior en cuanto entren en operación las Prestadoras de Servicios de Certificación. Respecto del tema de Vigilancia, en el texto consensado con los grupos de trabajo, el punto 6 de la NOM tenía el siguiente texto: “6.- Vigilancia La vigilancia del cumplimiento a lo dispuesto en esta NOM, respecto de la actividad de los Prestadores de Servicios de Certificación en materia comercial que al efecto se autoricen, estará a cargo de la Secretaría, conforme a lo dispuesto en la legislación aplicable.” No obstante el texto que fue consensado arriba descrito, en el documento publicado, se modifica su texto, en los siguientes términos: “6.- Vigilancia La vigilancia del presente Proyecto de NOM, una vez que sea publicada en el Diario Oficial de la Federación como Norma definitiva, estará a cargo de la Secretaría conforme a sus atribuciones.” Por lo anterior se solicitó a la Secretaría de Economía con objeto de mantener el principio de legalidad en el proceso de elaboración, consulta y publicación de la NOM de referencia que se establezca un plazo de vigencia, incluyendo de resultar conveniente en forma escalonada, como lo ordena el Artículo 34 del Reglamento de la ley de la materia y que en el punto 6 correspondiente a la Vigilancia de la NOM se regrese al texto consensado, aplicándose sólo para los Prestadores de Servicios de Certificación. II.- ATRIBUCIÓN: Es la forma en que podemos garantizar que las partes que se obligan en la relación jurídica son quienes dicen ser y expresan su voluntad libre de vicios. 16 Esta atribución a las personas obligadas en la relación jurídica que se pretende formalizar en un mensaje de datos, no es más que una “FIRMA ELECTRÓNICA”, la cual puede ser de dos tipos: SIMPLE definida como los datos en forma electrónica consignados en un mensaje de datos, o adjuntados o lógicamente asociados al mismo, que puedan ser utilizados para identificar al firmante en relación con el mensaje de datos (partiendo de la presunción, en materia mercantil, de que el mensaje ha sido enviado usando medios de identificación como claves o contraseñas por ambas partes conocidas, para lo cual se requerirá de un acuerdo previo y firmado en forma autógrafa por las partes) o AVANZADA que podemos conceptuar como la firma electrónica que permite la identificación del firmante y ha sido generada bajo su exclusivo control que vincula exclusivamente al mismo con el mensaje de datos al que se adjunta o se asocia, lo que permite que sea detectable cualquier modificación ulterior de éste (entendida como proceso electrónico que permite al receptor de un mensaje de datos identificar formalmente a su autor, mismo autor que mantiene bajo su exclusivo control los medios para crear dicha firma, de manera que esté vinculada únicamente a él y a los datos a que se refiere el mensaje, permitiendo detectar cualquier modificación ulterior al contenido del mismo, garantizando así la identidad del titular y que éste no pueda desconocer la autoría del documento. Para esto será necesario que se expida legislación federal relativa a la firma electrónica “avanzada” en la que se regule la actividad de los prestadores de servicios de certificación, a los propios certificados de firmas electrónicas, así como la admisibilidad 17 y forma de presentar como prueba en juicio a los mensajes de datos firmados y se establezcan los requisitos técnicos necesarios en una NOM para tales efectos, procurando preservar la independencia tecnológica. III.- ACCESIBILIDAD: Se refiere a que el contenido de un mensaje de datos en el que se consignen contratos, pueda estar disponible al usuario (emisor, receptor, juez, auditor, autoridades, etc.) para ulterior consulta, siempre y cuando reúna las dos características anteriormente anotadas. Para ello será necesario establecer, en la legislación federal que al efecto deberá emitirse, la forma de presentar a “los usuarios” estos mensajes de datos, la cual podría hacerse previa certificación de atribución e integridad por parte del prestador de servicios de certificación. Es importante recalcar que el medio físico a través del cual el contenido de un mensaje de datos se pone a disposición del usuario puede ser diferente de aquél en que se creó, ya que se debe garantizar la integridad del mensaje de datos, no del medio físico que lo contiene. Esto es, que el mensaje puede estar contenido en el disco duro de una computadora y ponerse a disposición del usuario en un diskette, el copiarse a ese medio físico distinto al en que fue creado no lo hace de ninguna manera perder integridad. De lo anterior podemos concluir que México cuenta con legislación que reconoce la validez jurídica del contrato electrónico, su posibilidad de exigibilidad judicial, medios probatorios y criterios para su valoración en juicio. 18 2.- ANTECEDENTES HISTÓRICOS DE INTERNET. Desde cualquier punto de vista que se pretenda adoptar para el estudio de Internet, hay que partir de la aseveración de que nunca había existido una Red como ésta en toda la historia de la cultura humana, sin embargo siempre ha existido el propósito de establecer comunicación universal entre todos los pueblos, y es ese propósito el que finalmente, llevó a la creación y desarrollo de Internet.2 El inicio de la historia de Internet, lo podemos situar en los años sesenta, con el establecimiento de los llamados "canales de paquetes autónomos de información", los paquetes autónomos, son un método para fragmentar mensajes en subpartes llamadas precisamente "paquetes" y enviando dichos paquetes de información a su destinatario para que los reensamblara, lo cual permitía que varios usuarios al mismo tiempo pudieran compartir la misma conexión en pequeñas unidades que pueden enviarse separadamente. Esta tecnología de los paquetes autónomos de información fue desarrollada en 1968 en los Estados Unidos, pero no fue sino hasta 1969, cuando fue utilizada por el Departamento de Defensa de los Estados Unidos, específicamente por la Advanced Research Project Agency, la cual utilizó este sistema, como ya habíamos mencionado, con la finalidad de establecer un canal experimental diseñado como un medio de apoyo en la investigación militar, concretamente con el objetivo estratégico real, 2 Cfr: Martínez Godínez Alfonso: La contratación Jurídica a través de medios electrónicos; Universidad Panamericana; tesis para optar por el título de licenciado en derecho; 2000 19 todavía sencillo, de asegurar el envío de la orden de abrir fuego desde un centro de control a las bases de misiles, aún después o más bien en el caso de que las Redes de comunicaciones hubieren quedado en parte destruidas por un ataque, con el cual, todas las bases quedarían en posibilidad de comunicarse entre ellas y con el centro de control, para lo cual se aplicaba perfectamente el sistema de paquetes autónomos de información.3 Dicho canal, se denominó ARPAnet, (Advanced Research Project Agency Network) el cual utilizaba un Protocolo de Control de Canal (NCP) como su Protocolo de transmisión desde 1969 y hasta 1982. El Plan inicial para el ARPAnet, fue distribuido en octubre de 1967 durante el Simposium en Principios Operativos de la Asociación de Maquinarias Computarizadas.4. El primer Procesador de Información de Mensajes para el ARPAnet, fue instalado en la UCLA el primero de septiembre de 1969, el cual, únicamente contaba con 12 Kilobytes de memoria, sin embargo, era considerado una de las mejores computadoras de su tiempo. Sin embargo, se instalaron posteriormente otros adicionales en el Instituto de Investigaciones de Stanford (SRI), en al Universidad de California en Santa Bárbara (UCBS), y en la Universidad de Utah respectivamente. 3 “The Law of the Net: Problems and Prospects”, Godwin, M., Internet World, 1993, p. 47. 4 The Internet Business Guide: Riding the Information Superhighway to Profit, R. Resnick y D. Taylor, Editorial Sams Publishing, 1994, p. XXV. 20 Se dice que Internet, que es conocido como el "canal de canales", tuvo su origen exacto en 1972, pues en octubre de ese año, tuvo lugar la Primera Conferencia Internacional sobre Comunicaciones Computarizadas, con sede en la Ciudad de Washington D.C., en ella, se realizó una demostración publica del ARPAnet. Los representantes del proyecto alrededor del mundo, incluyendo Canadá, Francia, Japón, Noruega, Suecia, Gran Bretaña y los Estados Unidos, discutieron la necesidad de comenzar a trabajar en el establecimiento de acuerdos sobre protocolos, el InterNetwork Working Group (INWG) fue creado para comenzar las discusiones para llegar a un protocolo común, siendo nombrado como primer encargado Vinton Cerf, quien estuvo involucrado con el ARPAnet instalado en la UCLA. La visión propuesta de los principios arquitectónicos para lograr una interconexión internacional de canales, lo cual era un asunto de canales independientes y autónomos interconectados por otros canales, tal y como los circuitos independientes de ARPAnet estaban interconectados por procesadores de información de mensajes (IWs). En el ARPANET, una de las ventajas sobre las cartas enviadas por correo, fue que en un mensaje de ARPAnet, una persona podía escribir despreocupada e impersonalmente a cualquier persona aún cuando fuera de mayor rango dentro del ejército, puesto que no se conocía ciertamente quien iba a recibir el mensaje y el receptor no se consideraba ofendido, ya que la despreocupación y la tolerancia de la informalidad eran naturales porque el canal es más rápido, inclusive cuando dos 21 usuarios en distintos lugares se comunicaban conectando sus computadoras y entablando una conversación alfanumérica; otra de las ventajas de ARPAnet que se consideraron, fue que a través de sus mensajes uno podía proceder inmediatamente al punto sin necesidad de entablar conversaciones innecesarias, además de que los servicios de mensaje, dejaban constancia grabada de cada uno de los mensajes y que la persona que enviaba el mensaje y la que lo iba a recibir, no tenían que estar disponibles al mismo tiempo. En el año de 1983, el ARPAnet, fue dividido en dos: ARPANET y MILNET, éste último fue integrado al Canal de Datos de la Defensa, creado en 1982 y ARPANET fue puesto fuera de servicio en el año de 1990. El papel de ARPANET como canal pionero, fue sustituido por el NSFNET el cual con el tiempo sería suplido por el Canal Nacional de Investigación y Educación (NATIONAL RESEARCH AND EDUCATIONAL NETWORK: NREN). ARPANET, fue de suma importancia en el desarrollo de la Red, pues en su tiempo fue la más grande, rápida y más popular parte de la Red. Su estructura inicial fue influida por el hecho de que fue desarrollado para formar parte del control y comando central de la estructura de las fuerzas armadas de los Estados Unidos, durante el desarrollo de la Guerra Fría. Así, fue diseñado para sobrevivir a un ataque nuclear, lo cual influyó en la descentralización que actualmente caracteriza a la Red. Cuando ARPANET estaba en las primeras etapas de su evolución, otra tecnología estaba influyendo en el desarrollo de la Red: Los Canales de Ventas, que usaron la 22 tecnología de los sistemas de correo electrónico y los extendieron a lo que nosotros llamarnos ahora “conferenciar” (chatear). A finales de los setenta y principios de los ochenta, otro tipo de tecnología de canales comenzó a entrar al escenario, estos fueron los primeros canales de ventas y de investigación como BITNET y Usenet.5 Como otros muchos aspectos de la comunicación por medio de computadoras, la conferencia interactiva es un concepto que influyó en la tecnología de las computadoras. Desde 1945 hasta 1970 varios modelos para conferenciar cara a cara o vía correo regular se han desarrollado, un modelo que tuvo gran influencia es el denominado "Método Delphi". El primer sistema Delphi en línea para conferenciar, fue iniciado en 1970 el primer hardware y software dedicado específicamente para conferenciar, fue el EMISARI, el cual fue implementado en 1971, de cualquier forma, los sistemas para conferenciar de computadora y de teletexto de los años setenta, tendieron a ser lentos y poco confiables y fueron primeramente aplicados en ambientes estructurados para tareas particulares. 5 IBIDEM, p. XXVII 23 Esto iba a cambiar a finales de los setenta y principios de los ochentas, con el surgimiento de canales económicos creados por los usuarios tales como USENET, BITNET Y FIDONET. El Protocolo de copia UNIX-TO-UNIX o UUCP, fue creado en 1976 y el cual tuvo gran éxito y fue adoptado por muchos canales por su gran facilidad para enviar y recibir correspondencia, para conferenciar y transferencia de archivos. Otro sistema desarrollado fue THEORYNET, iniciado por Lawrence Landweber en la Universidad de Winsconsin en 1977, THEORYNET proporcionó facilidades de envío y recibo de correspondencia para más de 100 científicos e investigadores en computación. En mayo de 1979, Landweber tuvo un encuentro con representativos de ARPA, de la National Science Foundation y científicos en computación de varias universidades, el propósito de dicho encuentro fue establecer la factibilidad de establecer un canal computarizado del Departamento de Investigación y Ciencia en Computación. Dicho encuentro sirvió para el eventual establecimiento del Canal de Investigación Científica en Computación (CSNET).6 El CSNET fue establecido por dos razones, por una parte, el UUCP, los módems y el sistema de teléfono existente proveían un método disponible para la transferencia de datos, por otra parte, grandes facilidades computacionales fueron aumentando sobretodo a partir de que la Universidad de Wisconsin fue tomando mayor conciencia 6 Op. Cit. Nota 13, p. XXX 24 de las ventajas que la conexión de sistemas de cómputo de ARPANET le daba en investigación y reclutamiento de estudiantes. Una serie de propuestas del NSF fue generada y revisada. Los primeros diseños para el CSNET, fueron previéndolo como un Canal que se mantuviera por sí solo. Durante 1980, el científico de ARPA Vinton Cerf, propuso un plan para una conexión de canales entre CSNET y ARPANET. Este plan fue concebido por CSNET como un canal lógico compuesto de varios canales físicos. Las comunicaciones entre CSNFT y ARPANET serían arregladas para ser transparentes, esto es, los servicios en cada canal serian “accesados” a través de una serie de protocolos. Una serie de protocolos de comunicación desarrollados por ARPA llamados TCP/IP serían usados para enviar la información entre los canales. La conexión entre los canales podría ser a través de una conexión denominada Canal de valor agregado o VAN (Value Added Network). La implementación de esta conexión entre canales y la importante decisión de hacer al TCP/IP disponible sin cargo, marcó la fundación de lo que posteriormente sería conocido como INTERNET.7 25 En agosto de 1980 durante la reunión de planeación de grupo de CSNET se adoptaron muchas metas: todos los investigadores deberían tener acceso a CSNET, y el costo por membresía debería graduarse de acuerdo al volumen y al nivel de servicio, CSNET debería ser eventualmente autosuficiente financieramente, y la implementación del proyecto debería costar menos de cinco millones de dólares y tomar menos de cinco años. La primera fase del plan implementado por CSNET proveyendo acceso telefónico al email fue completada en junio de 1982, la segunda fase completada en 1983, incluía la implementación del primer servidor de nombres de dominio en la Universidad de Wisconsin. Este fue el principal impulsor del Servicio de Nombres de Dominio ahora utilizado ampliamente en los canales TCP/IP.8 Este Servicio de Nombres de Dominio dio facilidad al transporte de correspondencia en el cual la computadora de usuario a usuario no necesitó ya conocer el camino exacto al sitio del receptor. La información sobre envío de correspondencia puede ser generada por consulta a la base central de datos en el Servidor de Nombres de Dominio, para 1990 este sistema sustituyó al viejo método UNIX. En el tiempo mencionado, otro canal haciendo uso de UUCP estaba listo y corriendo: USENET. 7 “A Normative Regulatory Framework for Computer Matching”, Clarke, R.A., The John Marshall Journal of Computer & Information Law, vol. XIII, 1995, pp. 585-633, consultado en: www.findlaw.com 8 “Canadian Internet Handbook”, Carroll, J. y Broadhead, R., Editorial Prentice Hall, 1995, Scarborough, p. 46. 26 Un importante sistema para conferenciar (chatear) primeramente distribuido fué el Canal de Usuarios de Unix (Unix User Network o USENET) el cual implemento el UUCP o Unix to Unix Copy Protocol para transportar noticias. Se estima que actualmente hay más de diez millones de usuarios usándolo en computadoras que son parte de USENET. USENET es un ejemplo de una arquitectura cliente-servidor. Un usuario conecta una máquina la cual se conecta a otra máquina la cual ha adquirido la correspondencia de USENET de los pasados días, semanas u horas. Los usuarios miran los encabezados de la correspondencia en el grupo que les interesa, entonces el usuario envía un comando requiriendo el texto completo de una correspondencia particular o artículo, la máquina del cliente requiere el artículo particular para que le sea enviado por la máquina a la que se encuentra conectada la suya. Si el artículo no se encuentra disponible por cualquier razón, aparece un mensaje que indica: "artículo no disponible" y es transmitido al usuario, de otra forma, el texto completo del artículo requerido deberá aparecer en la terminal del usuario. El usuario entonces leerá el artículo o adquirirá el artículo, o una copia a través del correo electrónico. USENET se considera propiamente iniciado en 1979, como parte de una serie de proyectos escritos por el estudiante graduado de la Universidad de Carolina del Norte Steve Bellovin a fin de automatizar y facilitar la comunicación UUCP entre dicha Universidad y la Universidad de Duke. Estos proyectos fueron reescritos y extendidos 27 en un programa escrito en el lenguaje "C" de computadora por Steve Daniel y Tom Truscott, esta versión es generalmente conocida como la difusión de noticias "A". Nuevos artículos son separados en divisiones llamadas grupos de noticias, cada división se supone limitada a un tema o tópico específico y el nombre del grupo debe dar una idea del contenido general del grupo. Estos grupos son organizados en jerarquías de tópicos relacionados. El Canal de Noticias de USENET comenzó con dos jerarquías: mod y net. La jerarquía mod contenía los grupos en que la persona es el moderador para editar y controlar la información. La jerarquía net contenía todos los demás grupos. Posteriormente, Mark Glickinan y Mark Horton, escribieron la versión "B" de noticias, en 1981. Una serie de lanzamientos numerados del 2.1 al 2.10.2 aparecieron entre 1982 y 1984 los cuales fueron realizados primero por Horton y luego por Rick Adams del Centro de Estudios Sísmicos. Entre 1986 y 1987, USENET sufrió una serie de constantes reajustes y reorganizaciones conocidas como el gran "Renombramiento". Desde su inicio USENET sólo tenía las jerarquías mod y net, esto fue pronto aumentado con la adición de los grupos "fa". Cuando una completa reorganización de USENET fue propuesta comenzó una gran discusión y argumentación en línea. 28 La discusión se suscitó sobre todo con la creación de las siete jerarquías principales (comp, misc, news, rec, sel, soc, talk) y la supresión de los grupos mod, net y fa. El gran renombramiento comenzó en julio de 1986 y terminó en marzo de 1987, y una de las razones de dicho renombramiento, fue el creciente número de grupos hechos como una reorganización de los dominios de mayor nivel. Otra razón, fue el agregar grupos controversiales en el dominio talk los cuales fueron añadidos al final del renombramiento.9 El respaldo original del USENET fue creado por Gene Spafford en 1983, en un intento de racionalizar la retransmisión de las noticias de USENET, sin embargo, fue sustituido debido al creciente número de tráfico de USENET que se estaba moviendo en las conexiones de ARPAnet, esto llevó al reemplazo de LJUCP por NNTP el cual es un método de transmitir las noticias de USENET con conexiones TCP/IP. Y muy pronto creció el número de sitios acompañados por la creciente presión de democratización del proceso de creación de grupos de noticias. Dos años después del inicio de USENET en Carolina del Norte, otro importante canal de ventas y desarrollo fue creado: BITNET (Because lt's Time Network), que inició como un canal cooperativo en la Universidad de la Ciudad de Nueva York (CUNY). 9 En: www.cis.ohio-statc-edu/hypertext/fag/usenet/copyright-FAQ/part2/faq.html 29 El BITNET usa sistemas de correo electrónico y un mecanismo llamado 'listserv" para distribuir la información. Una vez revisados los canales más importantes que se han desarrollado durante los últimos treinta años, cabe establecer que el ARPANET creó una Red en cadena que enlaza a los centros de cómputo más importantes y al usar información dividida en paquetes autónomos, fue posible configurar una estructura flexible, independiente del tipo de computadoras utilizadas. El uso de los protocolos TCP/IP que adoptaron con mucha rapidez el servicio militar en una Red independiente MILNET y las universidades se fortaleció en 1984 cuando la National Science Foundation (NSF) los seleccionó al crear cinco importantes centros de Mando equipados con grandes computadoras, con el fin de permitir a toda la comunidad científica tener acceso a la información almacenada. Entonces, cada centro universitario importante estableció una conexión con la Red constituida por la NSF, la cual fungió como "soporte" o circuito principal para todo el tráfico de sub-Redes. De ahí en adelante fue posible ingresar a cualquier punto en la Red desde cualquier sitio universitario conectado.10 10 “The Internet, a Global Business Opportunity”, Cameron, Deb. Computer Research Corp. Journal, EUA, 1995, p. 136. 30 Hacia 198611, la Fundación Nacional de Ciencias (NSF, por sus siglas en inglés) comenzó el desarrollo de NSFNET, sucesora de la ARPANET. Originalmente el ancho de banda de su canal de transmisión era de 56 kbs. Actualmente, con el apoyo de la NASA, del Departamento de Energía de los Estados Unidos y de las universidades, es el principal canal de comunicación. Para 1987, 10,000 servidores anfitriones estaban conectados a la Red, dos años después el número rebasó los 100,000 servidores y se comercializó la primera versión de Windows, que no fue adoptada de inmediato en el mercado corporativo. La “cara” de la mayoría de las computadoras seguía siendo el sistema operativo DOS (Disk Operating System), también denominado “sistema de interfaz de texto” debido a que el usuario literalmente escribía las instrucciones a ejecutar por la computadora. Con el fin de administrar e incrementar la capacidad de la Red de la NSF, se garantizó un contrato con MERIT NETWORK INC, IBM Y NCL también en 1987. En 1990 dejó de existir ARPANET y fue liberado el siguiente gran servicio de la Red: ARCHIE (primer servicio de búsqueda de información en Internet). Al siguiente año apareció el servicio denominado World Wide Web (conocido más por sus siglas “www” que anteceden a la mayoría de las direcciones de Internet), que fue desarrollado por Tim Berners-Lee, del Laboratorio Europeo de Estudios sobre Física de las Partículas (CERN). Berners buscaba facilitar la comunicación entre los 11 Cfr. Revista Istmo número 250 Septiembre –Octubre del 2000, artículo Creatividad e Innovación en 31 científicos que convivían en su laboratorio y desarrolló las bases del lenguaje de marcación de hipertextos (HTML), que permite relacionar frases o elementos de un documento con otros. Su intención era que al accionar una nota a pie de página o una referencia al texto de otro científico, la computadora los llevara al texto fuente de la cita o a la referencia. Pronto se vio la necesidad de relacionar ya no solo citas bibliográficas, sino partes completas de estudios, gráficas, dibujos, fotografías, archivos de sonido… lo que finalmente llevaría al sistema de “navegación a saltos”. En 1991 salió a la venta la versión 3.1 de Windows, que popularizó la Interfaz Gráfica. Para 1992 se alcanzó un millón de servidores en línea y se conectó el Banco Mundial. Desde 1992, la NSF retiró su inversión, dejando así la posibilidad a otros tipos de financiamiento y, por lo tanto, a otros usos. En 1993 se conectó a la red las Organización de las Naciones Unidas, también apareció “Mosaic”, primer programa para acceder las páginas del servicio “www”, ahora conocidos como “navegadores” o “browsers” A partir de ese momento, el crecimiento en tamaño y tipo de servicios explotó de manera impresionante. Aparecieron los primeros Centros Comerciales Virtuales y el primer banco que ofrecía sus servicios en línea. Internet por Ernesto Bolio y Jorge A. Llaguno. 32 La “www” se convirtió en el servicio más usado, rebasando al servicio de transferencia de archivos (FTP por sus siglas en inglés), anterior monarca en cuanto a la demanda de usuarios. Los sistemas multimedia que permiten ahora manejar textos, datos, audio, imagen y video han convertido a éste servicio “www” y a su principal vehículo, el lenguaje HTML, en la manera de comunicarse mundialmente. En 1995 la compañía Sun Microsystems dio a conocer “JAVA” desarrollo de software que, incluido en los navegadores, permite ejecutar aplicaciones sobre cualquier plataforma computacional, es decir, con cualquier sistema operativo. Ese año se alcanzaron 10,000,000 de servidores y desde entonces el crecimiento ha sido exponencial, alcanzándose en enero de 1999 40,000,000 de servidores conectados y más de 1.6 millones de dominios. También durante la época de los 90´s aparecieron los sistemas comerciales de conexión telefónica “dial up” que brindan al usuario doméstico el acceso a la red mundial, mediante una renta mensual o anual (servicio de ISP, Internet Service Providers). El único límite tecnológico hasta el momento es la capacidad del medio de transmisión (cableado telefónico en principio y actualmente radioespectro y satélite) Finalmente, hay que decir que Internet es una federación de Redes que está en constante desarrollo y que, en la actualidad, es de acceso general. 33 Después de los investigadores universitarios y de los empleados de instituciones públicas, las compañías privadas y los individuos han visto ahora los beneficios que se pueden obtener viajando a través de las Redes. Antes prohibido, el uso comercial se ha ido desarrollando con firmeza en los últimos años, contrariamente al espíritu inicial de Internet. Actualmente, Internet experimenta un crecimiento exponencial y mantiene unidas más de 25,000 Redes por el mundo, que incluyen más de 10,000,000 de servidores y el número de usuarios se estima en más de cuarenta millones.12 Total de nombres de dominio registrados en el mundo: 33,417,559 a junio del 2001. Cálculos conservadores estiman que en Agosto del 2001 existían aproximadamente 513.41 millones de usuarios de Internet, con el siguiente detalle:13 Total Mundial 513.41 millones Africa 4.15 millones Asia/Pacífico 143.99 millones Europa 154.63 millones Este Medio 4.65 millones Canadá & USA 180.68 millones Latinoamérica 25.33 millones De acuerdo con un estudio de Centro de Investigaciones en Comercio Electrónico de la Universidad de Texas14, la Economía de Internet soporta más de 3 millones de 12 Op. Cit. Nota 17, pp. 48-50 (datos proyectados en 1997). 13 http://www.nua.ie/surveys/ 34 trabajadores en la actualidad, incluyendo 600,000 nuevas posiciones, las cuales se generaron durante el primer semestre del 2000. Esto representa aproximadamente 60,000 trabajadores más de los que emplea la industria de los seguros, así como el doble de las personas empleadas por la industria de bienes raíces. Jurídicamente en México se ha clasificado al Internet como Servicio de Valor Agregado, que se le define por la Ley Federal de Telecomunicaciones como el servicio que empleando una red de telecomunicaciones tiene efecto en el formato, contenido, código, protocolo, almacenaje o aspectos similares de la información transmitida por algún usuario y que comercializan a los usuarios información adicional, diferente o reestructurada, o que implican interacción del usuario con la información almacenada, ésta definición ha sido rebasada por la actualidad, pero para prestar el servicio publico de Internet se requiere un certificado de servicio de valor agregado que otorga la Comisión Federal de Telecomunicaciones.15 PRESUPUESTOS CONTRACTUALES: Para obtener acceso a Internet a través de la computadora, es necesario contar con un módem y una línea telefónica. Un módem permite a la computadora del usuario utilizar la línea telefónica normal (radioespectro o satélite) para poder comunicarse con Internet y con otras computadoras, para ello, es 14 El Centro de Investigaciones en Comercio Electrónico de la Universidad de Texas divulgó su cuarto reporte de “Indicadores de la Economía de Internet” en los Estados Unidos. Este reporte mide el crecimiento en puestos de trabajo y en ingresos generados por la Economía de Internet durante el primer semestre del año 2000. Tomado de http://www.vinculodeempresa.com.mx 15 Fragmento de la exposición del Lic. Ricardo Ríos Ferrer el 8 de noviembre de 1999, en el seminario titulado “Régimen Jurídico del Comercio Electrónico” organizado por la Barra Mexicana de Abogados con la colaboración del Instituto Mexicano de la Propiedad Industrial, en el Auditorio de la Bolsa Mexicana de Valores, S.A. de C.V. 35 necesario firmar un contrato de suscripción con un proveedor de servicios de acceso a Internet. El proveedor proporciona acceso a su "Red" y dirige las comunicaciones de los usuarios al servidor apropiado, y además asigna cierta cantidad de espacio en disco para cada usuario con el fin de almacenar temporal o permanentemente sus archivos, mensajes electrónicos o páginas, comúnmente se proporciona al usuario acceso a un servidor de noticias por el cual puede participar en foros de discusión electrónicos.16 En nuestro país, es factible realizar este contrato por escrito o por vía telefónica, con el proveedor de servicios de acceso a Internet; en la mayoría de los casos, se trata de un contrato de adhesión, puesto que las cláusulas y condiciones generales ya están previamente determinadas por el proveedor de servicios. Las obligaciones del proveedor de servicios en nuestro país, se pueden dividir en dos rubros principales: a) Obligación de proporcionar al usuario el acceso a Internet, el cual podrá ser por tiempo limitado o ilimitado. Esta obligación importa además otra serie de obligaciones entre las cuales está fijar en el contrato lo siguiente: 16 Secretaría de Comunicaciones y Transportes, en: www.sct.gob.mx 36 • La descripción del tipo de acceso a Internet, de la velocidad de comunicación, del tipo de canal de comunicación, si se trata de acceso telefónico o por línea arrendada, el acceso a un buzón electrónico y a un servidor de noticias. • Notificarle la existencia de una cláusula que permite al proveedor de servicios, modificar las características del servicio ofrecido. • La fijación del precio o contraprestación que el usuario ha de pagar al proveedor, por el acceso a Internet. • La especificación de cargos adicionales por el uso excesivo de los límites establecidos o por el uso de servicios adicionales. • El establecimiento del método de pago y de facturación (si es por pagos en efectivo a la cuenta del proveedor de servicios, por cargos automáticos a la tarjeta de crédito del cliente o usuario, o por cargo al recibo telefónico del cliente, etc.). • Notificar al cliente de la existencia de una cláusula que permite al proveedor, modificar el precio sin previo aviso al usuario (ya sea por aumentos pactados o por simple indexación a índices inflacionarios, etc.), lo que se conoce comúnmente como cláusula de ajuste (si así se estipula). • Informar al cliente respecto al número de usuarios permitidos por cada cuenta y demás limitantes en el acceso a Internet. • Debe el proveedor establecer e informar al usuario, los limites a su responsabilidad, sobre todo: 1) Establecer la responsabilidad del proveedor de acceso por daños sufridos durante el uso de los servicios proporcionados. 2) Fijar la responsabilidad del proveedor por la interrupción en el acceso a Internet. 37 3) Establecer la responsabilidad del proveedor por la pérdida de datos almacenados en el sistema del proveedor de acceso. Responsabilidad por la divulgación de datos confidenciales almacenados en el sistema del proveedor de acceso para preservar la confidencialidad de los datos.17 El establecimiento de la duración del contrato (fijación del plazo y posibilidad de renovación del contrato). Establecimiento de la posibilidad de denunciar el contrato, por cualquiera de las partes. Establecer que al término del contrato, que el proveedor podrá borrar y disponer del espacio en disco utilizado por el usuario. b) Una obligación de proporcionar servicio y apoyo técnico al usuario, ya sea físicamente o por vía telefónica, para asegurar a éste el acceso a Internet sin ningún contratiempo. En nuestro país, actualmente, la mayoría de los proveedores de acceso a Internet tienen que utilizar los servicios de la compañía de teléfonos, para poder proporcionar este acceso, por lo cual, el precio al cliente o usuario aumentará para que el proveedor pueda asumir los gastos de contratación con la compañía de teléfonos, sin embargo, y esto es un hecho, el usuario tiene que pagar además del costo de suscripción al servicio de acceso a Internet, el costo por el servicio medido a la compañía de 17 Op. Cit. Nota 19, p. 142. 38 teléfonos, por el número de llamadas efectuadas para conectarse a Internet a través del proveedor de servicios de acceso a Internet.18 Otro aspecto importante consiste en saber si la prestación de servicios de acceso a Internet está o no sujeta a licencia gubernamental. En algunos países, ciertos servicios pueden estar prohibidos o sujetos a una estricta regulación que obliga al proveedor a solicitar la autorización de una autoridad pública. Estos sistemas legales nacionales casi siempre se aplican a los servidores ubicados en los países que divulgan la información en Internet. Por lo que respecta a América del Norte, bajo la legislación estadounidense, canadiense y mexicana, de acuerdo con la definición formada en el TLC, la provisión de acceso a Internet se considera un servicio de valor agregado, dado que involucra aquellos servicios de telecomunicaciones que utilizan aplicaciones de procesamiento por computadora que: a) Actúan en el formato, contenido, código, protocolo o aspectos relativos a la propia página o al sitio de internet b) Proporcionan al cliente información adicional reestructurada c) Involucran interacción del cliente con la información almacenada.19 18 “Internet y Derecho en México”, Barrios Garrido, Gabriela y otros, Editorial Mc. Graw Hill, pp. 29-33 19 “Tratado de Libre Comercio de América del Norte”, Secretaría de Comercio y Fomento Industrial, México, 1996, p. 245. 39 En el sistema de los Estados Unidos de Norteamérica, las empresas que ofrecen servicios de valor agregado, como los proveedores de acceso a Internet, no necesitan obtener autorización antes de comenzar sus actividades. La Federal Communications Commision (FCC), el organismo responsable de regular y vigilar las telecomunicaciones y la radiodifusión, ha establecido que los servicios de valor agregado no están sujetos al régimen de licencia aplicable a las empresas de transmisión comunes establecido por la Federal Communications Act de 1934.20 Por lo que respecta a la legislación canadiense, difiere de la de Estados Unidos. la Telecommunications Act estipula que no es necesario solicitar u obtener autorización para prestar un servicio de valor agregado, como lo es la provisión de acceso a Internet. No obstante, y contrariamente a la legislación de Estados Unidos, esta ley hace una excepción para las empresas de telecomunicaciones que son propietarias u operan sus propias infraestructuras. Así, una compañía que tenga sus propios cables o que opere su propia Red de telecomunicaciones, debe solicitar autorización antes de iniciar sus actividades como proveedor de acceso a Internet.21 En el caso de nuestro país, las compañías que quieran ser proveedores de acceso a Internet, como único requisito, tendrán que presentar una solicitud junto con un formulario de datos en un formato previamente establecido, ante la Comisión Federal 20 Federal Communications Act of 1934, cap. 652, 48 stat. 1064 (1934), reformado en 47 USC (UNITED STATES CODE). 21 “The Telecommunications Act of 1996: Rules of the Road for the New Highways”, Meadows, James E., 1996, Revista The Computer Lawyer, p. 9, USA. 40 de Telecomunicaciones, puesto que, en nuestro país, las telecomunicaciones constituyen una de las llamadas áreas estratégicas de la economía en términos del artículo 28 constitucional. En virtud del Tratado de Libre Comercio para América del Norte, un Estado miembro está obligado a garantizar a los proveedores de otro Estado miembro trato nacional (o sea el régimen aplicable a sus propios nacionales en condiciones similares) o trato de nación más favorecida (el régimen más favorable aplicable por el Estado miembro a cualquier otra parte o país), el que sea más favorable.22 Una vez satisfechos estos requisitos previos y estando conectado a la ramificación de la Red, el usuario tiene acceso a los varios servicios y aplicaciones disponibles en Internet. Más aun, los usuarios de Intemet pueden tener acceso a sistemas telemáticos privados, algunos de los cuales implican un costo, otros no. Estos sistemas se conocen como Sistemas de Boletines Electrónicos, los cuales, por lo general, constan de una computadora y de varios módems. Los Sistemas de Boletines Electrónicos los utilizan tanto usuarios individuales que desean difundir información especifica como importantes sistemas comerciales como lo es CompuServe o AOL pero lo más importante, es que el cliente o usuario, ya estará habilitado para poder contratar a través de Internet, ya sea directamente, o 22 Op. Cit. Nota 24, p. 247 41 estableciendo contacto y negociaciones con alguna persona o compañía que ofrezca productos o servicios en Internet, a través del correo electrónico.23 Con relación a las nuevas tecnologías las primeras reacciones normalmente son de escepticismo, un ejemplo claro son las siguientes afirmaciones que transcribo a continuación: “Esta locura va a desaparecer muy pronto…” Thomas Edison en 1922 respecto del Radio “No existe ningún futuro en un negocio basado en cobrar lo que siempre ha sido gratis…” Wall Street Journal al respecto del futuro de la TV por cable “Por que alguien querría tener un computadora en casa…” Ken Olson fundador de Digital Computers 1977 “Internet no es importante para nuestra estrategia de negocios…” Bill Gates en 1995 al salir el IPO de Netscape 23 “The Internet and Business: A Lawyer’s Guide to the Emerging Legal Issues”, 1997, p. 176, Fairfax, The Computer Law Association. 42 Pero los cambios que producen las nuevas tecnologías de la información no afectan solamente a las realidades sobre las cuales el derecho opera, y en las que el derecho se genera: se predicen cambios en el mismo derecho. El profesor norteamericano Ethan Katsh investiga el impacto de la electrónica en el derecho24. En su trabajo The Electronic Era and the Transformation of the Law publicado en 1989, Katsh analiza lo que puede esperarse en la era electrónica revisando la evolución del derecho a través del tiempo y los cambios que la imprenta produjo. En uno de sus trabajos (Law in a Digital World - 1995) Katsh continúa avanzando. Dice que estamos en un mundo donde lo impreso será sustituido por las 'tecnologías electrónicas de la información' y las palabras impresas en un papel, por palabras e imágenes y sonido apareciendo en una pantalla. Estas nuevas tecnologías - se pregunta - son simplemente mas eficientes que las anteriores, son simplemente nuevos contenedores que dan al usuario el mismo producto en un nuevo envase? Es simplemente (obtener) más rápido la información? O, por el contrario, el uso de la información en un nuevo formato - particularmente en una institución donde la información es un valioso commodity, ¿cambiará a la institución, al usuario y a aquellos en contacto con el usuario?; ¿creará esto un nuevo tipo de institución donde sea posible hacer nuevas cosas con la información y vinculada a ella, e interactuar en forma 24 Revista jurídica LA LEY, de Buenos Aires, Argentina, en el Vol. 115 de mayo de 1996. http://www.it-cenit.org.ar/Publicac/DERDIG 43 diferente con la información?; ¿harán estos cambios posibles nuevos tipos de relaciones jurídicas y permitirán a la gente interactuar con el derecho en nuevas formas?; ¿será el derecho mas o menos accesible de lo que ha sido?; ¿será la ley y los derechos tan seguros en el ambiente electrónico?; ¿cambiara la ley mas rápido y mas frecuentemente?; ¿cambiara el rol de los abogados?; ¿nos veremos como insiders o outsiders y nos identificaremos con el derecho o nos sentiremos alejados de él?; ¿tenderán las nuevas tecnologías a afirmar el status quo o producirán el efecto contrario? Afirma Katsh que el derecho se está mudando de las bibliotecas y de los libros, de los juzgados en augustos edificios, del mundo de los contratos escritos y de las carpetas donde son archivados, de las oficinas de los abogados. Y se muda a un mundo donde la información estará mas en las pantallas que en el papel, con mas posibilidades de interactuar con el derecho y que desafiara la forma tradicional de ejercer la profesión y sus conceptos hacia un ambiente donde el valor de la información crece, a un mundo de espacios más flexibles, de nuevas relaciones. Reconoce, empero, que el nuevo ámbito que emerge no es fácil de advertir. Advierte que la pantalla luminosa - en cierta forma parecida a un libro - tiene sin embargo propiedades muy diferentes que nos presenta cambiantes formas e imágenes, con resemblanzas e ilusiones, con información y datos que vienen y se van, como algo dinámico, coloreados y animados. 44 Su tesis principal es que el gran cambio que se avecina y todas sus consecuencias en el derecho, tiene que ver con el nuevo uso de las nuevas tecnologías de la información, que afectan al derecho porque el derecho se vincula con la información y la comunicación. En otros trabajos Katsh explica como la computadora ha cambiado las nociones de tiempo y espacio, y por que tal cambio tendrá incidencia en el derecho. En uno de ellos25, señala que las nuevas tecnologías de la información tienen extraordinarias capacidades para superar problemas de espacio y distancia, porque ha cambiado la forma como interactuamos con información distante y gente distante, intentando demostrar la aparición de una nueva relación con el espacio, en la forma como pensamos sobre la distancia y trabajamos en y con espacios electrónicos, que provocaran cambios en el derecho que ya están apareciendo y que aparecerán en el futuro. Agrega que '...como la forma como la información cambia de algo tangible a algo electrónico, los mismos cambios ocurrirán en la instituciones y procedimientos legales que han sido orientados alrededor de particulares espacios físicos, y en los conceptos y prácticas legales que han dependido de relaciones establecidas en espacios particulares...'.'...La invasión de los espacios legales por el ciberespacio, de todas formas, va mas allá de los espacios y objetos físicos mencionados por la ley. Por ejemplo, el derecho escribe y define muchos temas y conceptos en términos de 45 espacio. Así, la privacidad no solamente implica control sobre cierto tipo de información sino que involucra términos de espacio, como las 'zonas de privacidad', para describir su naturaleza. La jurisdicción es el área de la ley que está mas directamente vinculada al control sobre personas y espacios. ... '...Todas estas partes están afectadas por el ciberespacio porque si hay un mensaje en los nuevos medios, es que los tradicionales basamentos, tanto sean físicamente territoriales o conceptuales, son mas porosos en una era en que la información es digital en esencia ...'. En otro trabajo se refiere al tiempo (cybertime) en el nuevo mundo digital26. El tiempo no será medido en forma diferente en el mundo digital, pero su significado será diferente... el tiempo, como el espacio, será mas maleable en el ciberespacio... el tiempo es un commodity provisto por el computador, un material a ser moldeado, hasta el punto en que ello es posible, a las fines humanos.... La nueva relación con el tiempo tiene el potencial de afectar el derecho en muchos niveles... debe esperarse el mismo valor de los precedentes en la era del cibertiempo y del ciberespacio ? Termina estas reflexiones advirtiendo que '...Quienes se topan con el ciberespacio a menudo experimentan la clase de desorientación que uno siente en un lugar donde las costumbres y expectativas son diferentes a las de uno. Asumimos que esa sensación es el resultado de entrar en un mundo donde nos encontramos, inesperadamente, que el espacio del ciberespacio puede ser cruzado en un instante (flash). Pero quizás 25 KATSH, M. Ethan, Rights, Camera, Action: Cyberspatial Settings and the First Ammendment, 104 Yale L.J. 1681, (1995). 26 KATSH, M. Ethan, Cybertime, Cyberspace and Cyberlaw, 1995, J. Online L. 46 nuestra desorientación viene también del flash en sí mismo - de una especie de jet lag27 electrónico en el pensamiento jurídico que recién ahora esta comenzando a revelar una nueva relación con el tiempo en el cibertiempo...'. En definitiva Katsh aplica el famoso dicho del canadiense Marshall McLuhan, 'el medio es el mensaje', que - según él - había sido mejor descrito una década antes, por el profesor y mentor de ese pensador, el economista Harold Innis: 'el material en el que las palabras mismas están escritas han generalmente contado mas que las mismas palabras', sugiriendo con ello que el instrumento que provee información es valioso objeto de estudio y debemos explorar el efecto del cambio de un medio con ciertas cualidades a la nueva forma de comunicación con otras cualidades. Esto es particularmente cierto para una institución, como el derecho, cuya confianza sobre la palabra impresa ha sido sustancial...'...Lo que está subyacente bajo el pico del iceberg de los nuevos medios son sensibles diferencias en el almacenaje de la información, en el movimiento de la información, y en la presentación de la información para los consumidores. Por ejemplo, algunos medios proveen información más rápido que otros. Otros llegan a audiencias mas vastas. Otros preservan la información mejor. Otros fomentan el copiado mejor que otros. Algunos son más accesibles. Algunos pueden almacenar mejor la información. Algunos son más fáciles de usar. Algunos comunican más eficientemente cierto tipo de información. Algunos usan imágenes y sonidos en vez de textos. Estas cualidades afectan la información que recibimos y como percibimos 27 Termino inglés que alude al especial tipo de malestar que los vuelos a través de los husos horarios diferentes provocan en el pasajero. 47 problemas y soluciones. Ellos influencian nuestros particulares pensamientos y acciones y plasman la organización, operación y percepción de nuestra institución 28...'. Las investigaciones del Profesor Katsh no son por cierto compartidas por todos; se critica su vaguedad, falta de especificidad y el escribir sobre algo que - aunque existe hoy - nadie puede todavía predecir hacia donde va. '... De que esta hablando? Parece insinuar la declinante importancia del lenguaje en el derecho, pero es demasiado fatuo el punto como para argumentar seria, agudamente o de otra manera ...29', alegando que la ley será siempre esencialmente el fino entramado del lenguaje en un texto que recoja nuestra constantemente desarrollada comprensión de nosotros y de uno mismo, y que los abogados no somos solamente administradores de información sino también asesores, amortiguadores, negociadores, componedores. En síntesis, se afirma que la información, cualquiera fuera su accesibilidad y rapidez de provisión, no tendrá mas valor que el que nosotros le damos. A pesar de la agudeza de ésta crítica, se me asemeja que Katsh - aun admitiendo demasiado entusiasmo en sus predicciones - apunta a la dirección correcta de intentar el estudio del medio en sí mismo y del impacto que tendrá sobre el derecho, pero debemos enfatizar que la tecnología no dejará nunca de ser un medio para el fin que el derecho pretende conseguir. 28 KATSH, M. Ethan, The Electronic Media and the Transformation of the Law, Oxford University Press, New York, 1989, Introduction, p. 11/12. 29 REIDINGER, Paul, Lost in Cyberspace, ABA JOURNAL agosto 1995, p. 104, reseña del libro de KATSH, Law in the Digital World. 48 3.- ¿QUE ES INTERNET?. La respuesta a esta pregunta es tan actual como compleja, dado que las respuestas pueden ser muy variadas, dependiendo del tipo de gente que utiliza este medio de comunicación; para algunos, Internet no es más que un medio para comercializar y difundir productos; para otros, es una fuente mundial de información con acceso a bases de datos de todo el mundo; mientras que para otros tantos más, es un medio de expresión de ideas. Las características fundamentales de la operación de Internet consisten en que se trata de una red distributiva (no cuenta con un depósito central de información o de control, sino que está compuesto por una serie de computadoras host o anfitrionas que están interconectadas, cada una de las cuales puede ser accesada desde cualquier punto de la red en que el usuario de Internet se encuentre), interoperable (utiliza protocolos abiertos, de manera que distintos tipos de redes e infraestructura puedan ser enlazados, permitiendo la prestación de múltiples servicios a una diversidad de usuarios a través de la misma red. En este sentido, la interoperatividad con la que cuenta Internet se debe al protocolo TPC/IP, el cual define una estructura común para datos de Internet, así como para el enrutamiento de dichos datos a través de la red) y que funciona a través de transferencias de paquetes de información (mejor conocida como conmutación de paquetes, consistente en dividir la información que se transmite por la red en pequeñas partes o paquetes). 49 En términos generales, podemos decir que Internet, es un canal mundial de telecomunicaciones informáticas, que está integrado por muchos canales que a su vez, están interconectados entre sí, lo cual lo convierte en el medio de comunicación más veloz en toda la historia de la humanidad. Como comentamos en el capítulo anterior, Internet fue creado hace aproximadamente 30 años por el Departamento de Defensa de los Estados Unidos de América como un canal experimental diseñado como un medio de apoyo en la investigación militar. En esa época, se le denominaba ARPANet (ADVANCED RESEARCH PROJECTS ADMINISTRATION NETWORK), sin embargo, con el paso del tiempo, se fueron desarrollando paralelamente otros canales similares como el establecido por la National Science Foundation para permitir a los estudiantes y universidades acceder al ARPANet con fines educacionales.30 Poco a poco, ha ido aumentando el número de los canales que se han conectado al ARPANet, a tal grado que actualmente las grandes empresas mundiales y los individuos considerados como personas físicas, están descubriendo y explorando el mundo de Internet. 30 “Public Acess to the Internet”, Kahin, Brian, Keller, James,p. 136 Institute of Technology Press, 1996. 50 Este proceso de comunicación global, ha sido estimulado por inventos tales como el teléfono, el telégrafo, el fax y las telecomunicaciones, encontrándonos actualmente en la era de la computación y de las comunicaciones por este medio. Desde sus comienzos, esta Red de canales conocida como Internet, ha crecido hasta el punto de englobar a más de seis millones de canales interconectados con Internet y a más de cuarenta millones de usuarios en todo el mundo, entre los que podemos incluir agencias gubernamentales, universidades, investigadores, compañías privadas e individuos personas físicas. Sin embargo, dentro de los múltiples fines citados que los usuarios dan actualmente a la Red, el más importante para fines jurídicos, es el del comercio a través de Internet dado que las compañías tanto privadas como del sector público de diversos países, han visto los beneficios que Internet está aportando al comercio mundial, y los futuros beneficios que aún no se han aprovechado por falta de conocimientos plenos y de una regulación jurídica apropiada para las transacciones realizadas a través de la Red. Un sistema avanzado para el comercio electrónico como el que constituye Internet, puede comprender actividades tales como: a) Transferencias electrónicas de fondos. b) Regulación gubernamental de intercambio de datos. c) Colaboración técnica entre pases o industrias. d) Integración de consorcios. 51 e) Soporte computacional para la colaboración en el trabajo. El comercio electrónico puede combinar las ventajas de las computadoras (velocidad, rentabilidad y gran volumen de datos), con las ventajas de las personas (creatividad, flexibilidad, adaptabilidad), para crear un entorno de trabajo con mayor dinamismo y rapidez en las operaciones comerciales, además de permitir a las personas revisar, analizar, añadir valor y vender una gran gama de productos y de servicios a nivel mundial que están representados electrónicamente a manera de catálogos, materiales de referencia, libros de texto y materiales de entrenamiento, apoyo y software.31 En resumen, el comercio electrónico difiere del comercio tradicional básicamente en la forma en que la información es procesada e intercambiada, ya que, tradicionalmente, la información es intercambiada directamente, a través del contacto directo entre personas o a través del uso de teléfonos o de sistemas postales mientras que el comercio electrónico maneja la información por la vía digital de los canales de comunicaciones y sistemas de cómputo.32 Como resultado del incremento en el uso de Internet, muchas compañías temen que sus respectivos gobiernos impongan extensivas y represivas regulaciones en Internet y por lo tanto en el comercio electrónico sin embargo, es precisamente durante esta 31 “La WWW una telaraña que se teje a plena luz del día”, Fernández Flores, Rafael, en la revista RED, no. 70, año VI, julio de 1996, pp. 38-40. 32 The Whole Internet, Users Guide and Catalog, Ed Krol, Editorial O’Reilly & Associates, Inc. United States of America. 52 época de auge del comercio electrónico, cuando debe de establecerse una regulación adecuada que permita la seguridad jurídica en las transacciones realizadas en la Red, sin embargo, esto requiere de un esfuerzo a nivel mundial por parte de los gobiernos de los distintos países usuarios de Internet, pero este tipo de esfuerzos se encuentra todavía en un nivel incipiente. Son precisamente los gobiernos quienes pueden tener un profundo efecto en el desarrollo del comercio en Internet. Con sus acciones ellos pueden facilitar el comercio en Internet o inhibirlo, pero para ello, deben de tener siempre en cuenta la propia naturaleza de la RED como un medio de comunicación mundial que se ha venido desarrollando en un marco esencial de libertades que no pueden ser cortadas de tajo, porque si esto llegara a ocurrir, se generaría un proceso de virtual abandono de este medio de comunicación. Un buen desarrollo de la RED, estimula las aplicaciones del comercio electrónico y sus beneficios entre los cuales podemos encontrar los siguientes: • Reduce costos para los compradores al incrementar la competencia permitiendo que cada vez más proveedores de bienes y servicios sean capaces de competir electrónicamente en un mercado abierto. • Reduce errores, tiempo y costos mayores en el procesamiento de información. • Reduce costos para los proveedores a través del acceso electrónico a bases de datos donde encuentran una oferta creciente. 53 • Reduce también, el tiempo para completar las operaciones de negocios, particularmente a través de la Reducción del tiempo transcurrido desde el pago hasta la entrega del producto. • Estimula la creación de mercados al facilitar y hacer más barato el acceso a un mayor número de clientes. • Facilita la entrada a nuevos mercados geográficos remotos, a través de la desaparición de distancias entre participantes. • Mayor calidad en los productos, especificaciones y estándares, gracias al aumento en la competencia. • Mayor rapidez en los negocios y en los procesos de mercado a través de la eliminación virtual de demoras entre pasos y en la ingeniería de cada subproceso, logrando la Reducción a una sola transacción. • Reducción de inventarios y la virtual eliminación del riesgo de inventarios obsoletos a través de la creciente demanda de bienes y servicios por vía electrónica, lo cual permite la renovación constante de inventarios por parte de los proveedores. • Disminución de costos a través del ahorro de gastos en comunicación y Reducción de personal, y, • Reduce el uso de materiales que dañen el medio ambiente a través de la coordinación electrónica de actividades y el movimiento de información en vez de objetos físicos33 33 Information Infraestructure Technology and applications (IITA) Task Group, National Coordination Office for High Performance Computing and Communications, February 1994, pp. 13. 54 Muchas compañías en distintas ramas de la industria han experimentado los beneficios y encontrado la necesidad del uso del comercio electrónico para sobrevivir. Como se ha visto anteriormente, muchas compañías y agencias gubernamentales usan las aplicaciones del comercio electrónico para facilitar sus operaciones internas e interactuar con mayor eficiencia con las demás entidades comerciales. Con una extensa gama de transacciones electrónicas, el desarrollo de las aplicaciones del comercio electrónico requieren una gran estructura comercial, el establecimiento previo de arreglos y por otra parte, líneas dedicadas a ello o canales de valor agregado. Lo anterior, permite ver que muchas veces la necesidad de contar con cierta infraestructura para integrarse al comercio electrónico, crea barreras para la inversión y gastos excesivos sobre todo para la pequeña y mediana empresa. Sin embargo, a pesar de estas barreras, el mercado electrónico se consolida a paso rápido. Para finales de 1994, más de 10,000 compañías ofrecían información y servicios a la venta en una combinación de Internet y canales de Valor Agregado.34 Actualmente, podemos percibir la gran influencia que tiene Internet en todos los ámbitos de la vida social, las referencias a la Red son incrementadas frecuentemente 34 “How to Grow your Business on the Net”, Emery, Vince, p.82 Edit. Coriolis Group/IDG, 1996. 55 en los medios tradicionales de publicidad, como carteles y anuncios televisivos en los que aparece la conocida expresión "http://www." la cual parece incrementar su aceptación por los consumidores como una referencia a un sitio en la Red, el cual provee mayor información sobre una compañía particular y sobre sus productos y servicios. Quitando el hecho de que una página local (HOME PAGE) o sitio en la Red (WEB SITE) puede ser accesado simultáneamente y sin restricción por potenciales compradores en cualquier número de jurisdicciones, los problemas que afectan la publicidad en Internet, no difieren substancialmente de los que afectan la publicidad en los medios tradicionales. Nos encontramos además, con problemas de tipo civil y penal. En cuanto a los problemas de tipo civil, nos referirnos especialmente al problema de la contratación jurídica por medios electrónicos, específicamente, por Internet, partiendo de la definición del entorno general de la RED en que se lleva a cabo la contratación, así como de las circunstancias de tiempo y lugar que afectan la vida de dicho contrato y su validez, así como los problemas jurisdiccionales a que puede dar lugar el incumplimiento e interpretación de un contrato celebrado a través de Internet, sin dejar de considerar la falta de seguridad jurídica reinante en el medio a falta de la existencia de un marco jurídico adecuado que permita la regular la celebración de negocios y transacciones. 56 Otro aspecto que podemos mencionar, es el que se refiere al campo del derecho penal, ya que la RED, al igual que todos los medios y ámbitos de la vida social, es un medio que se presta para la comisión de diversos tipos de delitos utilizando esta forma de comunicación y de transferencia de datos, a los que en el propio medio de Internet se les ha dado la denominación de "Cibercrímenes" y la persecución de éstos, ese aspecto se tratará muy someramente en la parte relativa a novedades legislativas en el presente trabajo. Como se mencionó antes, Internet es una fuente de problemas en cuanto a su reglamentación jurídica, ya que diversos aspectos del derecho se encuentran íntimamente vinculados a este medio. Cabe también destacar, que se ha concebido la idea de la creación de una página que permita a todos los usuarios de la RED, el acceso y conocimiento de las leyes y códigos sobre publicidad en Internet, sin embargo esto implica un esfuerzo a nivel mundial que nadie ha estimulado. Lo anterior es de suma importancia si se toma en cuenta que a una transacción realizada a través de Internet, se le da un distinto tratamiento jurídico en cada país, por ejemplo, por lo que respecta a la propiedad intelectual, en Alemania la oferta de 57 "muestras" gratis por sí misma puede, en ciertas circunstancias, constituir una violación al Código Civil que rige la publicidad en dicho país.35 Igualmente el anunciarse como el "líder del mercado", puede causar problemas en Alemania y ciertamente la comparación con el producto del rival, puede ir en contra del Acta Alemana de Competencia desleal. Mientras que en Italia, la jurisprudencia se ha desarrollado en el sentido de que el público no es fácilmente engañado por las exageraciones en la publicidad y generalmente no toma los anuncios muy seriamente. Como otro ejemplo, en Francia toda la literatura de mercadeo y ventas debe, técnicamente, estar en francés, sin embargo, ¿cómo hacer compatible este requerimiento de la ley francesa y cómo interpretarlo en la práctica al conectarse con los sitios locales de la RED en servidores fuera de Francia?, éste es un problema aún no resuelto.36 Además, hay otra serie de problemas que hay que considerar en torno a Internet: Tanto el gobierno como las industrias no pueden aceptar el comercio electrónico sin que las transacciones electrónicas sean seguras. Hay una clara necesidad de 35 Electronic Trade: Contractual Niceties in Hyperspace, Graham Allan, Baker & McKenzie, London, Octiber 1996, p. 4, en: www.bakerinfo.com 36 IBIDEM, P. 5. 58 autenticación de la fuente de la transacción, de verificar la integridad de la transacción, la prevención de la intervención de usuarios no autorizados en la transacción y la verificación de recibo de la transacción para el otro contratante. ¿Es el actual trabajo de los sistemas de seguridad en computación, adecuado para la pronta resolución de estos problemas técnicos o la dirección de este trabajo debe ser modificada o el esfuerzo incrementado? ¿Qué organizaciones y mecanismos se necesitan para asegurar que el gobierno y la industria pueden resolver estos problemas de seguridad mencionados?. La aplicación del comercio electrónico requiere la interoperación de comunicaciones, proceso de datos y servicios de seguridad. Estos servicios serán proveídos por diferentes compañías; pero dada esta diversidad, ¿cómo pueden el gobierno y la industria asegurar que el comercio electrónico será rentable, y que los componentes pueden ser ensamblados, mantenidos y mejorados a un costo razonable? se deben desarrollar tecnologías, herramientas, servicios de prueba, demostraciones de interoperabilidad, etc. para asegurar que un componente satisface los actuales y los futuros requerimientos del gobierno y de la industria. La solución de problemas técnicos será insuficiente para asegurar el uso apropiado del comercio electrónico; las barreras de tipo económico, cultural, regulatorias y legales al comercio electrónico deben ser identificadas y removidas, por ejemplo: ¿cómo puede el gobierno y la industria asegurar que el comercio electrónico será visto positivamente por los trabajadores?, ¿Qué incentivos pueden ser usados para que los 59 trabajadores participen de los beneficios del comercio electrónico?, ¿Cómo puede el gobierno y la industria establecer casos realistas de negocios e historias exitosas para motivar a los potenciales usuarios y proveedores del hardware, software y servicios para el comercio electrónico? Consenso Internacional: 1. ·Libertad - No regulación - Promoción. 2. ·Seguridad Técnica y Jurídica. 3. ·Neutralidad tecnológica. 4. ·Confianza: B2B/B2C Organismos y Asociaciones Internacionales 1. ·UNCITRAL (CNUDMI) 2. ·UNION EUROPEA 3. ·OMC - Organización Mundial del Comercio. 4. ·OMPI - Organización Mundial de la Propiedad Intelectual. 5. ·APEC - Asia Pacific Economic Cooperation. 6. ·FTAA - Free Trade Area of the Americas. 7. ·WITSA - World Information Technologies and Services Association. 8. ·GBDE - Global Business Dialog on Electronic Commerce. 9. ·ICC - International Chamber of Commerce. 60 COMISIÓN DE LAS NACIONES UNIDAS PARA EL DERECHO MERCANTIL INTERNACIONAL (UNCITRAL) Internacionalmente, la UNCITRAL ha completado trabajos sobre modelos de ley que soporta el uso comercial de contratos internacionales en comercio electrónico. Estos modelos de ley establecen reglas y normas que validan y reconocen los contratos celebrados por medios electrónicos, establecen reglas para la formación de los contratos y su desempeño, definen las características para un escrito electrónico válido o un documento original, proporcionan los elementos funcionales para la aceptación de las firmas electrónicas para propósitos legales y comerciales y apoyan la admisión de pruebas técnica en los tribunales y procedimientos de arbitraje. Distintos gobiernos han adoptado los lineamientos de las leyes modelo en diferentes formas y alcances como principios para definir un marco internacional uniforme para el comercio electrónico. De acuerdo con la UNCITRAL, en la medida de lo posible, los siguientes principios deben guiar el diseño de reglas que gobiernen las transacciones electrónicas internacionales: Las partes deben ser libres de elegir la relación contractual entre ellas que mejor les convenga; Las reglas deben ser tecnológicamente neutras (no deben requerir ni asumir una tecnología en particular); 61 Las reglas deben prever futuros desarrollos tecnológicos (no deben limitar o impedir el uso o desarrollo de nuevas tecnologías); Las reglas existentes deben ser modificadas y adoptar leyes nuevas solo en la medida necesaria o substancialmente deseable para soportar el uso de tecnologías electrónicas; y El proceso debe involucrar tanto a los sectores comerciales de alta tecnología como a los negocios que aún no están en línea. A. LEY MODELO DE UNCITRAL SOBRE COMERCIO ELECTRÓNICO Esta Ley Modelo fue adoptada en 1996 y tiene por objeto facilitar el uso de medios modernos de comunicación y de almacenamiento de información, por ejemplo el intercambio electrónico de datos (EDI), el correo electrónico y la telecopia, con o sin soporte como sería el Internet. Se basa en el establecimiento de un equivalente funcional de conceptos conocidos en el tráfico que se opera sobre papel, como serían los conceptos "escrito", "firma" y "original". La Ley Modelo proporciona los criterios para apreciar el valor jurídico de los mensajes electrónicos y resulta muy importante para aumentar el uso de las comunicaciones que se operan sin el uso del papel. Como complemento de las normas generales, la Ley Modelo contiene también normas para el comercio electrónico en áreas especiales, como sería el transporte de mercancías. Adicionalmente y con el propósito de guiar y ayudar a los poderes ejecutivo, legislativo y judicial de los países, la UNCITRAL ha elaborado además una Guía para la Incorporación de la Ley Modelo de la UNCITRAL sobre Comercio Electrónico al derecho interno. 62 B. LEY MODELO DE UNCITRAL PARA LAS FIRMAS ELECTRÓNICAS El creciente empleo de técnicas de autenticación electrónica en sustitución de las firmas manuscritas y de otros procedimientos tradicionales de autenticación ha planteado la necesidad de crear un marco jurídico específico para reducir la incertidumbre con respecto a las consecuencias jurídicas que pueden derivarse del empleo de dichas técnicas modernas (a las que puede denominarse en general “firmas electrónicas”). El riesgo de que distintos países adopten criterios legislativos diferentes en relación con las firmas electrónicas exige disposiciones legislativas uniformes que establezcan las normas básicas de lo que constituye en esencia un fenómeno internacional, en el que es fundamental la interoperabilidad jurídica y técnica. Partiendo de los principios fundamentales que subyacen en el artículo 7 de la Ley Modelo de la UNCITRAL sobre Comercio Electrónico con respecto al cumplimiento de la función de la firma en el ámbito electrónico, la finalidad de la Ley Modelo para las Firmas Electrónicas es ayudar a los Estados a establecer un marco legislativo moderno, armonizado y equitativo para abordar de manera más eficaz las cuestiones relativas a las firmas electrónicas. Como complemento modesto pero importante a la Ley Modelo de la UNCITRAL sobre Comercio Electrónico, la Ley Modelo para las Firmas Electrónicas ofrece normas prácticas para comprobar la fiabilidad técnica de las firmas electrónicas. Además, la Ley Modelo para las Firmas Electrónicas ofrece un vínculo entre dicha fiabilidad técnica y la eficacia jurídica que cabe esperar de una determinada firma electrónica. La Ley Modelo para las Firmas Electrónicas supone una contribución 63 importante a la Ley Modelo de la UNCITRAL sobre Comercio Electrónico al adoptar un criterio conforme al cual puede determinarse previamente (o evaluarse con anterioridad a su empleo) la eficacia jurídica de una determinada técnica de creación de una firma electrónica. Así pues, la Ley Modelo para las Firmas Electrónicas tiene como finalidad mejorar el entendimiento de las firmas electrónicas y la seguridad de que puede confiarse en determinadas técnicas de creación de firma electrónica en operaciones de importancia jurídica. Además, al establecer con la flexibilidad conveniente una serie de normas básicas de conducta para las diversas partes que puedan participar en el empleo de firmas electrónicas (es decir, firmantes, terceros que actúen confiando en el certificado y terceros prestadores de servicios), la Ley Modelo para las Firmas Electrónicas puede ayudar a configurar prácticas comerciales más armoniosas en el ciberespacio. Los objetivos de la Ley Modelo para las Firmas Electrónicas, entre los que figuran el de permitir o facilitar el empleo de firmas electrónicas y el de conceder igualdad de trato a los usuarios de documentación consignada sobre papel y a los de información consignada en soporte informático, son fundamentales para promover la economía y la eficacia del comercio internacional. Al incorporar a su derecho interno los procedimientos que se recogen en la Ley Modelo para las Firmas Electrónicas (y la Ley Modelo de la UNCITRAL sobre Comercio Electrónico) para todo supuesto en que las partes opten por emplear medios electrónicos de comunicación, el Estado promulgante creará un entorno jurídico neutro para todo medio técnicamente viable de comunicación comercial. 64 UNIÓN INTERNACIONAL DE TELECOMUNICACIONES (UIT) A. Iniciativa de Comercio Electrónico para Países en Desarrollo. Desde el lanzamiento de la iniciativa especial de desarrollo de la UIT Electronic Commerce for Developing Countries, EC-DC, (Comercio Electrónico para Países en Desarrollo) en marzo de 1998 para promover proyectos de comercio electrónico, el apoyo y participación de más de 100 países en desarrollo y diversos socios industriales ha transformado esta iniciativa en un despliegue mundial de transacciones electrónicas utilizando las tecnologías de Infraestructura de Llave Pública (PKI por sus siglas en Inglés) como la tecnología principal. La tecnología PKI simplifica problemas administrativos clave asociados con las soluciones criptográficas simétricas (la misma clave encripta y desencripta). Utilizando los algoritmos de claves asimétricas (una clave encripta y otra desencripta) esta tecnología permite soportar la confidencialidad, integridad de los datos y la autentificación de la entidad origen del mensaje. Las aplicaciones que requieren estándares basados en seguridad (correo electrónico, internet, seguridad IP y transacciones comerciales) han sido mejoradas para obtener total ventaja de esta tecnología. Un certificado digital, es un conjunto de datos que confirma la relación de una llave o clave pública al nombre y otros atributos de un individuo u otra entidad. Los formatos 65 mayor aceptados son el estándar X.509 versión 3 de la Unión Internacional de Telecomunicaciones y las claves PGP (Pretty Good Privacy). Las bases de la seguridad dependen de la fuerza criptográfica de la relación de las claves (privada y pública) en el certificado, la implantación adecuada de las aplicaciones de PKI y el control de la llave o clave privada utilizada para firmar el certificado por su usuario o entidad final. Con la posibilidad de conjuntar diversas empresas lideres en tecnologías de información y comunicaciones para trabajar dentro del marco de la estrategia de la UIT, una tecnología PKI operacional junto con aplicaciones (comunicaciones seguras, mercados electrónicos seguros y tecnologías cohesivas basadas en XML) son funcionales y actualmente en uso en más de 100 países en desarrollo. Por primera vez, diversos países en desarrollo están activamente involucrados en el despliegue de servicios dirigidos a construir la infraestructura de seguridad y confianza (firmas y certificación digital) para diferentes sectores como salud, negocios, educación y gobierno. ORGANIZACIÓN PARA LA COOPERACIÓN Y EL DESARROLLO ECONÓMICO (OCDE) El comercio electrónico es un elemento central en la visión de la OCDE en que nuestro mundo sistematizado se apoya para el crecimiento económico sustentable, creando más y mejores trabajos, expandiendo el comercio mundial y mejorando las condiciones sociales. El análisis de la OCDE ha permitido una amplia política de reflexión basada en 66 el establecimiento de diversos elementos que pueden proporcionar un ambiente más favorable para el comercio electrónico. Este comercio es intrínsicamente transfronterizo y el éxito de su desarrollo depende en gran medida en soluciones transfronterizas basadas en políticas de coordinación entre países y entre los habitantes interesados de distritos electorales. Han surgido recomendaciones específicas en áreas como telecomunicaciones, infraestructura y servicios, tributación, protección al consumidor, sistemas de seguridad y privacidad y protección de datos. En el área de tributación, los gobiernos continúan tratando de incrementar ingresos sin distorsionar alternativas económicas y tecnológicas. El Marco sobre Condiciones de Tributación de 1998 proporciona principios que guiarán a los gobiernos en su aproximación al comercio electrónico, señalando que deberán ser considerados en forma similar al comercio tradicional y destacando la necesidad de evitar cualquier trato discriminatorio. Tener un mayor alcance a países no-miembros es ahora una prioridad importante en todas las áreas de la labor en comercio electrónico de la OCDE. Grupos de países nomiembros -- tanto mercados emergentes y economías desarrolladas – participan en las conferencias y seminarios de la OCDE y se están organizando un número significativo 67 de proyectos y eventos con especial énfasis en aspectos de política que ellos enfrentan. 37 A) POLÍTICA CRIPTOGRÁFICA DE LA OCDE Recientemente los países Miembros de la OCDE se han encargado de desarrollar e implementar políticas y regulaciones relacionadas con criptografía que en muchos países se encuentran todavía en proceso de ser desarrolladas. Diferencias en políticas pueden crear obstáculos al desarrollo de cadenas nacionales y globales de comunicación e información e impedir el desarrollo del comercio internacional. Los gobiernos de los países Miembros han reconocido la necesidad de crear una propuesta coordinada internacionalmente para facilitar el continuo desarrollo de una infraestructura de información eficiente y segura. La OCDE esta jugando un papel importante al respecto, mediante el desarrollo de consensos sobre políticas específicas, aspectos regulatorios relacionados con la cadenas de comunicación e información y tecnologías, incluyendo aspectos de criptografía. La OCDE ha estado activa desde hace algún tiempo en las áreas de privacidad y protección de datos y la seguridad de sistemas de información. A principios de 1996, la OCDE inició un proyecto sobre política de criptografía mediante la formación de un Grupo Ad hoc de Expertos sobre Lineamientos de Política Criptográfica bajo los auspicios del Comité de Información, Computo y Políticas de Comunicación (ICPC). El Grupo Ad hoc bajo la presidencia del Sr. Norman Reaburn de la Attorney- General 37 Ver página Web de la OCDE, sección Comercio Electrónico, disponible en la siguiente dirección: http://www.oecd.org/oecd/pages/home/displaygeneral/0,3380,EN-about-29-nodirectorate-no-no-no29,FF.html 68 Department de Australia fue el encargado de redactar los Lineamientos de Política Criptográfica (Lineamientos) para identificar los aspectos que deberán tomarse en cuenta en la formulación de políticas de criptografía a nivel nacional e internacional. El grupo Ad hoc tuvo el mandato de un año para cumplir con esta tarea y finalizó su trabajo en diciembre de 1996. Subsecuentemente, los Lineamientos fueron adoptados el 27 de marzo de 1997 como una Recomendación del Consejo de la OCDE. Los Lineamientos son de amplia índole y reflejan diversos puntos de vista de países Miembros. Actualmente el Secretariado de la OCDE tiene un Reporte sobre los Antecedentes y los Aspectos de Política Criptográfica que explican a mayor detalle el contexto de los Lineamientos y los aspectos básicos comprendidos en el debate de la política criptográfica. Este Reporte explica la necesidad de contar con actividades internacionales y resume el trabajo relacionado llevado hasta ahora por la OCDE y otras organizaciones. El Reporte es un documento informativo que tiene el propósito de auxiliar el debate público sobre los Lineamientos, en lugar de influir en la interpretación de los mismos. En tanto que proporciona mayor detalle en el alcance de los aspectos incluidos en los Lineamientos, el Reporte no varía el significado de los Lineamientos y no debe ser utilizado como una guía interpretativa. El Reporte ha sido redactado por el Secretariado, el cual se ha beneficiado de los debates con un gran número de expertos nacionales. 38 38 Ver página Web de la OCDE, “Sobre Política Criptográfica”, disponible en la siguiente dirección: http://www.oecd.org/oecd/pages/home/displaygeneral/0,3380,EN-document-43-1-no-21-2864-43,FF.html 69 B) LINEAMIENTOS PARA POLITICA CRIPTOGRAFICA Los Lineamientos tienen los siguientes propósitos: • Promover el uso de la criptografía; • Fomentar la seguridad en infraestructuras de comunicación e información, redes y sistemas y la forma en que se utilizan; • Ayudar a proteger la seguridad de datos y proteger la privacidad en infraestructuras de comunicación e información nacional y global, redes y sistemas; • Promover el uso de esta criptografía sin poner en riesgo la seguridad pública, ejecución de la ley y la seguridad nacional; • Promover el conocimiento sobre la necesidad de políticas criptográficas compatibles y leyes, así como la necesidad de métodos criptográficos interoperables, portátiles y móviles en redes de información y comunicación nacionales y globales. • Respetar los derechos de individuos, tales como privacidad, incluyendo comunicación de secretos y protección de datos personales en políticas criptográficas y en la implementación y uso de métodos criptográficos. • Establecer los límites de responsabilidad, tanto de individuos como de entidades que ofrecen servicios criptográficos o que mantienen o que permiten acceso a llaves criptográficas. • Apoyar a tomadores de decisiones dentro de los sectores público y privado en desarrollar e implementar políticas coherentes nacionales e internacionales, 70 métodos, medidas, prácticas y procedimientos para el uso efectivo de criptografía. • Facilitar el comercio internacional mediante la promoción de sistemas criptográficos móviles y portátiles a un costo efectivo; • Promover la cooperación internacional entre gobiernos, empresas y comunidades de investigación y modelos estándar en el logro de la utilización de métodos criptográficos coordinados. C) ALCANCE Los Lineamientos están principalmente dirigidos a gobiernos, en términos de las políticas de recomendación pero con la anticipación de que serán ampliamente leídos y seguidos por los sectores público y privado. Se reconoce que los gobiernos tienen distintas y separadas responsabilidades para la protección de información que requiere seguridad en el interés nacional; los Lineamientos no están dirigidos para su aplicación en este ámbito. 39 D) PRINCIPIOS Los lineamientos contienen ocho principios: 1. CONFIANZA EN MÉTODOS CRIPTOGRÁFICOS 2. ELECCIÓN DE MÉTODOS CRIPTOGRÁFICOS 39 Los Lineamientos para Política Criptográfica se encuentran disponibles en la página Web de la OCDE en la siguiente dirección: http://www.oecd.org/oecd/pages/home/displaygeneral/0,3380,EN-documentnotheme-1-no-no-10239-0,FF.html 71 3. DESARROLLO EN EL MANEJO DEL MERCADO DE MÉTODOS CRIPTOGRÁFICOS 4. ESTÁNDARES DE MÉTODOS CRIPTOGRÁFICOS 5. PROTECCIÓN DE PRIVACIDAD Y DATOS PERSONALES 6. ACCESO LEGÍTIMO 7. RESPONSABILIDAD 8. COOPERACIÓN INTERNACIONAL De conformidad con la sección IV de los Lineamientos, cada uno de estos principios son interdependientes y deberán implementarse en su totalidad para balancear los distintos intereses en riesgo. Ningún principio deberá implementarse aisladamente de los demás. CÁMARA DE COMERCIO INTERNACIONAL (CCI) La CCI publicó en octubre del 2001 la segunda versión de pautas de "Uso General en el Comercio Digital Internacional Asegurado" (GUIDEC II), con el objeto de asegurar la confiabilidad de las transacciones digitales por Internet (en forma similar a las Costumbres y Prácticas Uniformes para Créditos Documentarios, Incoterms). GUIDEC fue originalmente elaborado por el Grupo de Trabajo de Seguridad en la Información de la CCI, bajo los auspicios del Proyecto de Comercio Electrónico de la CCI. 72 GUIDEC fue inicialmente elaborado y revisado en Noviembre de 1997 bajo el nombre de Prácticas Internacionales Uniformes de Autenticación y Certificación (UIACP). Durante el periodo de consultas, el título fue cambiado por el actual GUIDEC para reflejar el uso de la palabra “asegurar” en el título. GUIDEC tiene como objetivo conjuntar elementos clave utilizados en comercio electrónico para servir como un indicador de los términos y una exposición del antecedente general al problema. También contempla uno de los problemas clave respecto a mensajes firmados electrónicamente, en que no sean firmados físicamente pero que requieren de la intervención de un medio electrónico. Esto en cambio, altera la función del firmante e introduce problemas a los que una firma física no se enfrenta, especialmente la posibilidad del uso del medio por una tercera persona. Por lo tanto, el GUIDEC adopta un término específico “asegurar” para describir lo que en otros lugares se conoce como una “firma digital” o “autenticación” en un intento por revocar el elemento de ambigüedad inherente a otros términos utilizados. 40 ORGANIZACIÓN DE NORMAS INTERNACIONALES (ISO/IEC) La ISO ha desarrollado normas para firmas electrónicas, criptografía, autenticación y certificación, y ha participado en el desarrollo de criterios para la aceptación mutua de las autoridades de certificación, terceros confiables (sus siglas en inglés son TTP) y para la infraestructura de su gestión y uso a nivel internacional. 73 CENTRO DE LAS NACIONES UNIDAS PARA LA FACILITACIÓN DEL COMERCIO Y NEGOCIOS ELECTRÓNICOS (NU-CEFACT) Provee la única norma internacional para el intercambio electrónico de datos, el "Intercambio Electrónico de Datos de las NU para la Administración del Comercio y del Transporte (NU/EDIFACT)". CONFERENCIA DE LAS NACIONES UNIDAS SOBRE COMERCIO Y DESARROLLO (CNUCD) Ha desarrollado el Enlace Seguro de Autenticación Electrónica (SEAL) diseñado para facilitar el intercambio electrónico de información comercial. SEAL constituye un marco seguro para la certificación cruzada y el intercambio de datos entre las autoridades nacionales de certificación. UNIÓN UNIVERSAL DE SERVICIOS POSTALES (UPU) Ha desarrollado un marco global para la seguridad de datos (servicios de encripción) y completado una política teórica de encripción que todas las oficinas de correos utilizarán como plantilla. También ha llegado a un acuerdo sobre las especificaciones mínimas de compatibilidad global de servicios de encripción. La UPU también ha participado en el desarrollo de un marco global para la compatibilidad de firmas digitales, al igual que para la autenticación cara a cara, a través de establecimientos de correos a nivel mundial. ORGANIZACIÓN MUNDIAL DE ADUANAS (OMA) Se ha enfocado principalmente en la implantación de las normas EDI, particularmente aquellas relacionadas con el desarrollo de mensajes NU/EDIFACT de Aduanas. También está examinando temas 40 GUIDEC II se encuentra disponible en la página Web de la CII en la siguiente dirección: 74 de seguridad, tales como la autenticación y la encripción relacionada con la transmisión electrónica de información. COOPERACIÓN ECONÓMICA ASIA -PACÍFICO (APEC) En la tercera reunión ministerial de la industria de información y telecomunicaciones (TELMIN) celebrada en junio de 1998 en Singapur se publicó: “En particular, los ministros reconocieron al comercio electrónico como uno de los más importantes desarrollos de la década como promotor de los servicios de información y telecomunicaciones.” En la cuarta reunión ministerial de la industria de información y telecomunicaciones (TELMIN) en mayo del 2000 en Cancún, México se hicieron estas declaraciones: “Se reafirma nuestro compromiso para fortalecer la infraestructura de información AsiaPacífico para tener la capacidad de responder efectivamente al acelerado paso de la convergencia y cambios tecnológicos que traen nuevas oportunidades para la educación, salud, finanzas, investigación, comercio, desarrollo económico y social y entretenimiento. Se reconoce que la convergencia de servicios puede hacer surgir nuevos y complejos temas que requerirán de acercamientos innovadores para responder efectivamente y facilitar los negocios y propiciar grandes desarrollos en infraestructura y acceso a los servicios de información y de telecomunicaciones.” http://www.iccwbo.org/home/guidec/guidec_two/foreword.asp 75 En el programa de acción del Grupo de Trabajo de Telecomunicaciones (TEL) de APEC se reconocen barreras para la adopción del comercio electrónico por las pequeñas y medianas empresas (PYMES), donde los ministros de distintos países urgen al Grupo de Trabajo para que se aseguren ambientes políticos y regulatorios que promuevan el comercio electrónico, se facilite la oferta electrónica de servicios y se mejore la infraestructura del mismo. Respecto a la autentificación electrónica, reconocen la necesidad de promover plataformas técnicas abiertas para el comercio electrónico, donde el Grupo de Trabajo de Autentificación Electrónica propone una serie de principios. Los retos regulatorios y políticos urgen a adoptar un acercamiento de cooperación para discutir temas como convergencia, liberación de mercados y la implantación del Tratado de Libre Comercio.” A. CONSIDERACIONES EN LA PREPARACIÓN DE POLÍTICAS PARA LA AUTENTIFICACIÓN ELECTRÓNICA DE APEC. 1. El desarrollo de las tecnologías de autentificación y sus estándares asociados es primordialmente papel de la industria. 2. Existe una gran variedad de modelos de negocios, tecnologías de autentificación e implantación del comercio electrónico. Debe permitirse una libre selección de ellos y sus implementaciones. 3. Debe reconocerse que en las autentificaciones y transacciones electrónicas, múltiples tecnologías pueden ser utilizadas. 76 4. Cuando se desarrollen marcos legales y regulatorios, se debe considerar el rol de tecnologías múltiples. 5. Marcos legales y regulatorios que se enfoquen en tecnologías específicas pueden impedir el uso de tecnologías múltiples. 6. La cooperación entre economías facilita el reconocimiento transfronterizo de la autentificación electrónica. 7. Proyectos piloto de comercio electrónico entre economías permitirá el entendimiento de los temas involucrados. 8. El análisis del trabajo en otras economías y de organismos internacionales y el intercambio de información pueden facilitar el reconocimiento transfronterizo de la autentificación electrónica. APEC esta involucrada en un programa de talleres para facilitar el intercambio de información. B. ANTEPROYECTO DE ACCIÓN DE APEC SOBRE COMERCIO ELECTRÓNICO (APEC BLUEPRINT FOR ACTION ON ELECTRONIC COMMERCE) Los Ministros de APEC, reconociendo el enorme potencial del comercio electrónico para expandir las oportunidades de negocios, reducir costos, incrementar la eficiencia, mejorar la calidad de vida y facilitar la gran participación de pequeñas empresas en el comercio global, así como tomando en cuenta los diferentes estados de desarrollo de las economías miembros, los diversos marcos regulatorios, sociales, económicos y culturales; y tomando en cuenta que mejorar la capacidad del comercio electrónico 77 entre las economías de APEC es necesaria para alcanzar sus beneficios, se acordó lo siguiente: 1. El sector de negocios juega un papel de liderazgo en el desarrollo de las tecnologías, aplicaciones, prácticas y servicios del comercio electrónico. 2. El papel de los gobiernos es promover y facilitar el desarrollo y despegue del comercio electrónico mediante lo siguiente: • Proporcionar un ambiente favorable, incluyendo los aspectos legales y regulatorios que sean predecibles, transparentes y consistentes; • Propiciar un ambiente que promueva la confianza entre los participantes del comercio electrónico; • Promover el funcionamiento eficiente del comercio electrónico internacionalmente permitiendo, en la medida de lo posible, el desarrollo de marcos domésticos que sean compatibles con las normas y prácticas internacionales cambiantes. • Volverse un usuario líder para catalizar y encauzar el mayor uso de los medios electrónicos. 3. Para que el comercio electrónico florezca, el sector privado y el gobierno deben cooperar en la medida de lo posible para asegurar el desarrollo de una alcanzable, accesible e interoperable infraestructura de información y comunicaciones. 78 4. Cuando se reconozca que algún grado de regulación sea necesaria, soluciones tecnológicamente neutrales, basadas en la libre competencia, que puedan ser protegidas por políticas de competencia y auto-regulación de la industria, deben ser favorecidas. 5. El gobierno y la industria deben cooperar para desarrollar e implantar tecnologías y políticas que brinden confianza, comunicaciones confiables y seguras, sistemas de entrega y de información que contengan temas como privacidad, autentificación y protección al consumidor. 41 ORGANISMOS A NIVEL REGIONAL AREA DE LIBRE COMERCIO DE LAS AMERICAS (ALCA) Los Ministros del ALCA, tomando en cuenta la rápida expansión en el uso de Internet y del comercio electrónico en el Hemisferio y con el propósito de aumentar y ampliar los beneficios que se derivan del mercado electrónico, aceptaron una oferta de Caricom para dirigir un Comité conjunto de expertos del sector público y privado encargado de hacer recomendaciones en las siguientes reuniones Ministeriales. A) EL COMITÉ CONJUNTO DE EXPERTOS DEL GOBIERNO Y DEL SECTOR PRIVADO SOBRE COMERCIO ELECTRÓNICO DEL ALCA El Comité Conjunto de Expertos del Gobierno y del Sector Privado sobre Comercio Electrónico del ALCA (Comité Conjunto) fue instituido por los Ministros de Comercio del Hemisferio Occidental mediante la Declaración Ministerial de San José de Marzo de 41 Mayor información sobre APEC BLUEPRINT FOR ACTION ON ELECTRONIC COMMERCE se encuentra disponible en el siguiente sitio: http://www.apecsec.org.sg/ 79 1998, respaldada posteriormente por los Jefes de Estado en la Declaración de la Cumbre de Santiago de Abril de 1998. El Comité Conjunto ha celebrado once reuniones desde el mes de octubre de 1998. La última reunión se celebró en la Ciudad de Panamá, los días 24 a 26 de octubre de 2001. En estas reuniones asisten delegados de los siguientes 19 países: Argentina, Barbados, Bolivia, Brasil, Canadá, Chile, Colombia, Costa Rica, Ecuador, El Salvador, Estados Unidos, Honduras, México, Panamá, Perú, República Dominicana, Trinidad y Tobago, Uruguay y Venezuela. Dentro de los temas que se han desarrollado a lo largo de esta reuniones, se encuentran privacidad; protección al consumidor; seguridad; autenticación y certificación de firmas digitales; responsabilidad penal y civil; impuestos y sistemas de pagos; acceso e infraestructura; pequeñas y medianas empresas y otros temas de carácter informativo, tales como propiedad intelectual, tributación y distribución de contenidos en línea. El trabajo futuro de el Comité Conjunto se concentrará en temas relacionados con protección al consumidor, gobierno electrónico entre otros. 42 B) INFORMES CON RECOMENDACIÓN A LOS MINISTROS DEL ALCA El Comité Conjunto tiene instrucciones de El Comité de Negociaciones Comerciales de redactar informes y dirigir recomendaciones a los Ministros del ALCA con el objeto de incrementar y ampliar los beneficios del comercio electrónico y, en particular, de la manera de abordar el comercio electrónico en las negociaciones del ALCA. 42 Mayor información sobre El Comité Conjunto de Expertos del Gobierno y del Sector Privado sobre Comercio Electrónico del ALCA se encuentra disponible en el siguiente sitio: http://www.ftaa-alca.org/spcomm/Commec_s.asp 80 En el segundo informe del Comité Conjunto del 22 de Noviembre del 2000 se trataron entre otros temas el de Certificación y Autenticación y basados en las recomendaciones hechas en el primer informe, el Comité Conjunto hizo las siguientes recomendaciones a los Ministros en relación al tema. 1. Adoptar medidas para identificar y eliminar barreras legales que impidan el reconocimiento de transacciones electrónicas, incluido el reconocimiento de la validez legal de la escritura, firma y otras tecnologías de autenticación y certificación otorgadas por procedimientos electrónicos, tomando en consideración las estipulaciones habilitantes del Modelo de Ley sobre Comercio Electrónico (Model Law on Electronic Commerce) CNUDMI de 1996; 2. Esforzarse para que la legislación sobre firmas electrónicas sea neutral en cuanto a la tecnología aplicada; 3. Asegurar la validez legal de los registros y evidencia electrónica para su uso en tribunales y otros procedimientos oficiales, independientemente de la tecnología de autenticación o certificación utilizada; 4. Reconocer a las partes de una transacción B2B la libertad de determinar por medio de un acuerdo de derecho privado los métodos tecnológicos y comerciales de autenticación apropiados y otorgar efecto legal al acuerdo de las partes, incluyendo 81 otros medios de solución de diferencias, sin perjuicio de las normas de orden público aplicables; 5. Reconocer la importancia del papel que toca desempeñar al sector privado en el desarrollo e implementación de tecnologías de autenticación y certificación y promover la participación de todos los sectores sociales involucrados en el proceso de formulación de políticas y regímenes legales en esta materia; 6. Procurar que las leyes o normas no discriminen los métodos o proveedores de servicios de autenticación electrónica, nacionales o extranjeros, y que no creen barreras al suministro de servicios de autenticación por cualquiera de ellas; y 7. Trabajar con el sector privado para alentar la creación y utilización de sistemas de autenticación que ofrezcan una adecuada protección contra el fraude y el robo de identidad, que sean consistentes con el respeto a la privacidad de los individuos y que no creen barreras para su uso.”43 BARRA AMERICANA DE ABOGADOS (ABA) (AMERICAN BAR ASSOCIATION) El Comité de Seguridad de Información (El Comité) de la División de Comercio Electrónico (La División) de la Asociación de la Barra Americana (ABA) ha sido el punto focal de diversas iniciativas de ley sobre comercio electrónico seguro, desde la creación 43 El Segundo Informe de El Comité Conjunto con Recomendaciones a los Ministros de fecha 22 de Noviembre del 2000, se encuentra disponible dentro de la página web del ALCA en la siguiente dirección: http://www.ftaa-alca.org/spcomm/Commec_s.asp 82 de la División en 1992. El Comité investiga información actual sobre aspectos de seguridad, incluyendo aquellos relacionados con infraestructura de llave pública, criptografía, análisis de riesgo, estándares, “racionalidad comercial” y la eficacia jurídica del comercio digital seguro. El Comité ha expedido los Lineamientos para la Evaluación de Infraestructura de Llave Pública (PKI Assesment Guideliness), en los sucesivo PAG. PAG ofrece una guía práctica para la evaluación y contribución, determinando el cumplimiento de políticas establecidas y licencia del PKI. Será también especialmente útil para auditar a la comunidad. Este documento esta dirigido a dos tipos de usuarios: • En primera, servirá de guía para aquellos proveedores que utilicen PKI. PAG comprende los elementos técnicos y de negocios que un proveedor de PKI deberá revisar y la importancia de establecer los elementos observados. • El segundo tipo natural y corolario de usuario son aquellos que proporcionen productos y servicios sobre PKI. PAG comprenderá principios generales de los elementos de operaciones y procedimientos que se revisarán por los proveedores de PKI, ambos técnicos y comerciales mediante los asesores de las prácticas de PKI. 44 A) LINEAMIENTOS DE FIRMAS DIGITALES (DIGITAL SIGNATURE GUIDELINES) 44 La página del Comité de Seguridad de Información de la División de Comercio Electrónico de la Asociación de la Barra Americana (ABA) se encuentra en la siguiente dirección: http://www.abanet.org/scitech/ec/isc/ 83 Los Lineamientos de firmas digitales fueron el resultado de cerca de cuatro años de reuniones con la participación de expertos técnicos, legales y de negocios de más de ocho países. El Comité de Seguridad de Información de la Sección de Ciencia y Tecnología de la ABA ha publicado los Lineamientos de Firmas Digitales (Lineamientos) que son un declaración abstracta de principios cuyo propósito es servir como una fundación de unificación de largo plazo para la ley de firma digital a través de diversos marcos jurídicos, ya sea para uso adjudicatorio o para aprobación legislativa. Los lineamientos incluyen definiciones, principios generales y definen los derechos y obligaciones de las autoridades de certificación, suscriptores, (es decir, aquellas personas a quienes se les han extendido certificados) y partes que confían (es decir, personas que utilicen estos certificados para autenticar mensajes). También, articulan expectativas jurídicas en cuanto al resguardo de firmas digitales en general. Los lineamientos son significativos, en cuanto a que son la primera (y preeminente) declaración de principios legales para certificados basados en el uso de firmas digitales. Resultan particularmente importantes en la ausencia de una ley específica sobre la materia. Los Lineamientos fueron inicialmente incluidos en la página Web de la ABA durante el periodo de comentarios (que terminó el 15 de Enero de 1996) tiempo durante el cual aproximadamente 3, 400 copias fueron descargadas. 84 Los Lineamientos de Firma Digital fueron publicados y dados a conocer en la Conferencia Anual de la ABA en Agosto de 1996. 45 TRATADO DE LIBRE COMERCIO DE AMÉRICA DEL NORTE (TLCAN) CAPÍTULO XIII (TELECOMUNICACIONES) Y CAPÍTULO IX (MEDIDAS RELATIVAS A LA NORMALIZACIÓN) A) PRINCIPIO DE NO DISCRIMINACIÓN El artículo 1302 “Acceso a redes y servicios públicos de telecomunicaciones” contempla que “cada una de las partes garantizará que personas de otra Parte tengan acceso a, y puedan hacer uso de cualquier red o servicio público de telecomunicaciones ofrecidos en su territorio o de manera transfronteriza, inclusive los circuitos privados arrendados, en términos y condiciones razonables y no discriminatorios, para la conducción de sus negocios, incluyendo lo especificado en los párrafos 2 a 8.” Mediante esta disposición, los tres países miembros garantizaran el acceso a redes o servicios públicos de telecomunicaciones ofrecidos de manera transfronteriza entre ellos, así como a terceros países. Este artículo no menciona expresamente al Internet y al comercio electrónico, sin embargo lo incluye puesto que el Internet se puede considerar como una “red o un servicio público de telecomunicaciones” por lo que ninguno de los tres países podrá adoptar medidas legislativas que restrinjan su uso o utilización a nivel transfronterizo. 45 Los lineamientos se encuentran disponibles en la sección de publicaciones de la ABA en la siguiente dirección: http://www.abanet.org/scitech/ec/isc/dsgfree.html 85 B) PRINCIPIO DE COOPERACIÓN INTERNACIONAL El artículo 1308 “Relación con organismos y tratados internacionales” contempla que “las Partes reconocen la importancia de las normas internacionales para la compatibilidad e interoperabilidad global de las redes o servicios de telecomunicación, y se comprometen a promover dichas normas mediante la labor de los organismos internacionales competentes, tales como la Unión Internacional de Telecomunicaciones y la Organización Internacional de Normalización.” Conforme a este articulo, México se comprometió a observar la normativa internacional para regular la interoperabilidad de redes o servicios de telecomunicaciones emanada de organismos internacionales competentes como pudieran ser entre otros, la Unión Internacional de Telecomunicaciones y la Organización Internacional de Normalización. C) CONSULTAS De acuerdo por lo dispuesto en el numeral dos del artículo 1309, los tres países podrán realizar consultas para liberalizar aún más el comercio de todos los servicios de telecomunicaciones, incluyendo las redes y los servicios públicos de telecomunicaciones como pudieran ser el Internet y el comercio electrónico. D) OBSTACULOS INNECESARIOS De conformidad con el numeral cuatro del artículo 904 “Principales derechos y obligaciones” se señala que “ Ninguna de las partes podrá elaborar, adoptar, mantener o aplicar medidas relativas a normalización que tengan por objeto o efecto crear obstáculos innecesarios al comercio entre las Partes. No se considerará que una medida crea obstáculos innecesarios al comercio cuando: 86 a) la finalidad demostrable de la medida sea lograr un objetivo legítimo; y b) la medida no funcione de manera que excluya bienes de otra Parte que cumplan con ese objetivo legítimo.” De acuerdo con este precepto, ninguno de los tres países podrá crear obstáculos innecesarios al comercio, incluyendo la elaboración, adopción o aplicación de normatividad relativa al Internet y al comercio electrónico. E) USO DE NORMAS INTERNACIONALES De acuerdo con el artículo 905 “Uso de Normas Internacionales” el numeral 1 señala que “cada una de las partes utilizará, como base para sus propias medidas relativas a normalización, las normas internacionales pertinentes o de adopción inminente, excepto cuando esas normas no constituyan un medio eficaz o adecuado para lograr sus objetivos legítimos, por ejemplo, debido a factores fundamentales de naturaleza climática, geográfica, tecnológica o de infraestructura o bien por razones científicamente justificadas o por que no se obtenga el nivel de protección que la parte considere adecuado. 2. Se presumirá que la medida relativa a normalización de una Parte que se ajuste a una norma internacional, es compatible con los párrafos 3 y 4 del Artículo 904. 3. Nada de lo dispuesto en el párrafo 1 se interpretará en el sentido de impedir a una Parte, en la prosecución de sus objetivos legítimos, el adoptar, mantener o aplicar cualquier medida relativa a normalización que tenga por resultado un nivel de protección superior al que se hubiera obtenido si la medida se basara en una norma internacional pertinente.” 87 Este artículo contempla que cada país miembro podrá utilizar como base para sus medidas de normalización, normas internacionales debidamente reconocidas y las cuales contendrán los principios de “trato nacional”, “acceso al mercado” y “Comercio Transfronterizo en Servicios” previstos en el numeral tres del artículo 904, salvo que esas normas no constituyan un medio adecuado para el logro de sus objetivos. GLOBAL BUSINESS DIALOG ON ELECTRONIC COMMERCE En la conferencia inaugural del GBDe (1999) ante representantes de Gobiernos, Empresas Privadas y Organizaciones Internacionales de todo el mundo, se propuso el establecimiento de un dialogo al mas alto nivel, emitió una serie de recomendaciones internacionales y estableció una serie de grupos de trabajo para generar y presentar iniciativas de regulación internacional: 1. Autenticación y Seguridad (NEC) cada gobierno debe establecer el mínimo marco legal para asegurar la efectividad de los métodos de autenticación electrónica, previniendo fraudes. 2. Garantía de Confidencialidad (DAIMLER CHRYSLER) Las empresas y el Gobierno tienen la responsabilidad de garantizarla, proveyendo de reglas claras y transparentes. Asimismo para el caso de conflictos establecer reglas claras para la elección de la ley aplicable así como competencia del tribunal, y el establecimiento de un medio simple, barato y conveniente para los consumidores, para resolver en forma alternativa problemas que se pudieren presentar. 88 3. Contenidos (WALT DISNEY) El gobierno debe reconocer la libertad de expresión en internet de la misma manera en que la reconoce para cualquier otra forma de comunicación 4. Infraestructura de la Información y Acceso de Mercados (NORTEL) Independientemente del tipo de empresa que provee el servicio los gobiernos deben de garantizar equidad en el trato a los distintos proveedores sean nacionales o extranjeros y eliminar restricciones a la inversión extranjera. 5. Derechos de Propiedad Intelectual (FUJITSU) Refuerzo y ratificación a lo establecido en los tratados internacionales sobre el copyright (WIPO). 6. Jurisdicción (EDS) Tanto los gobiernos como las agrupaciones internacionales deberán promover la adopción de políticas que promuevan la libertad de contratación entre proveedores y consumidores. En ausencia de definición contractual de la ley aplicable se procurará que sea la legislación y tribunales del domicilio del proveedor. 7. Responsabilidades (TELEFONICA) Se procurará establecer un marco legal basado en el principio ”el culpable debe de pagar de inmediato”. 8. Protección de datos personales (TOSHIBA) Cualquier restricción al flujo de información puede tener efectos negativos. Se deberán establecer mecanismos 89 autoregulatorios de la misma manera y condiciones en que se protege en cualquier otra forma de comunicación. 9. Impuestos y Tarifas (DEUTSCHE BANK): Se recomienda a los gobiernos de hacer permanente el acuerdo temporal que suscribieron ante OMC de no imponer impuestos o derechos a las transmisiones por internet Es necesario asegurar que los gobiernos no adopten una política regulatoria tan severa que inhiba el desarrollo del comercio electrónico, sino que intervengan proporcionando un transparente y armónico medio legal en el cual los negocios y el comercio puedan desarrollarse.46 Por otra parte, este papel sugiere una serie de principios, la articulación de políticas y el establecimiento de bases para las discusiones internacionales y tratados para facilitar el crecimiento del comercio en lnternet, estos principios son: 1. - EL SECTOR PRIVADO DEBE SER LÍDER. Si bien el gobierno ha jugado un papel importante en el desarrollo inicial de Internet, la expansión de la RED ha sido conducida primariamente por el sector privado. Para que florezca el comercio electrónico, el sector privado debe continuar a la cabeza. 46 Este punto es muy importante y en él insistiremos en reiteradas ocasiones a lo largo del presente trabajo, puesto que es necesario para lograr una adecuada legislación de los medios electrónicos. 90 2.- LOS GOBIERNOS DEBEN EVITAR RESTRICCIONES AMPLIAS AL COMERCIO ELECTRÓNICO. Cuando dos partes desean entablar un acuerdo para la compra y venta de productos y servicios a través de Internet, deben ser capaces de realizarlo con la mínima intervención gubernamental. Los gobiernos deben frenar la imposición de nuevas e innecesarias regulaciones, procedimientos burocráticos o nuevos impuestos o tarifas a las actividades comerciales que tienen lugar vía Internet ya que, limitando en esta forma las actividades comerciales limitarán innecesariamente la disponibilidad de los productos y servicios y provocará un considerable aumento en los precios de los mismos y distorsionarán el desarrollo del mercado electrónico. 3.- DONDE LA INTERVENCIÓN GUBERNAMENTAL ES REQUERIDA DEBE SER PARA APOYAR Y REFORZAR UN PREDECIBLE, CONSISTENTE Y SIMPLE AMBIENTE LEGAL PARA EL COMERCIO. En algunas áreas, los tratados entre gobiernos serán necesarios para facilitar el comercio electrónico. En estos casos el gobierno debe establecer un estable y simple ambiente legal basado en descentralización y un esquema contractualista de la ley. Este armónico marco legal debe enfocarse en la protección a los consumidores de vendedores fraudulentos, proteger la propiedad intelectual de la piratería, proteger la privacidad, asegurar la competitividad, eliminar la intromisión y crear procedimientos simples para la resolución de controversias. 91 4.- LOS GOBIERNOS DEBEN RECONOCER LAS CUALIDADES ÚNICAS DE INTERNET. Todos los gobiernos deben reconocer que el genial y explosivo éxito de Internet debe ser atribuido en parte, a su naturaleza descentralizada. Los gobiernos deben también reconocer que la estructura única de Internet posee cambios significativos en los retos logísticos y tecnológicos respecto de los medios regulatorios comunes y deben ajustar sus políticas adecuadamente. Los gobiernos deben además, fortalecer la evolución de la regulación propia de la industria y apoyar los esfuerzos de las organizaciones del sector privado para el desarrollo de mecanismos que faciliten la exitosa operación de Internet. 5.- EL COMERCIO ELECTRÓNICO EN INTERNET, SERIA FACILITADO EN UNA BASE INTERNACIONAL. Además del reconocimiento de las diferencias en los sistemas locales y nacionales, el marco legal que apoye las transacciones en Internet, debe ser gobernado por principios consistentes independientes de los países en los cuales el comprador o el vendedor reside47. Existe, por otra parte, la creencia generalizada que debe ser el propio mercado en vez de los gobiernos, el que debe determinar los estándares tecnológicos y otros mecanismos para la interoperabilidad, la tecnología se mueve muy rápido para los 92 gobiernos para tratar de establecer estándares tecnológicos para el gobierno de Internet y cualquier intento de hacerlo, sólo crearía el riesgo de la inhibición de la innovación tecnológica. Los estándares son críticos para el éxito comercial de Internet a largo plazo para conjuntar productos y servicios de múltiples vendedores para que trabajen juntos o interoperen, esto además, refuerza la competencia y Reduce la incertidumbre en el mercado global.48 Para asegurar el crecimiento del comercio global electrónico en Internet, los estándares serán requeridos en diversas áreas, tales como: 1.-Sistemas de pago electrónico. 2.-Seguridad (confidencialidad, autenticación, integridad control del acceso, etc.) 3.- Infraestructura de servicios de seguridad. 4.- Sistemas de protección electrónicos del copyright. 5.- Catálogos electrónicos. 6.- Conferencias en video y en datos. 7.-Tecnología de alta velocidad en los canales de los datos.49 47 “Manual de Informática Jurídica”, Guibourg, Ricardo y otros, Editorial Astrea, p. 57, Buenos Aires, 1996. 48 Op. Cit. Nota 4, p. 16. 49 A Framework for Global Electronic Commerce, P. 16, Smith & Lyons Information Technology page, en: www.smithlyons.ca/if/welcome.htm 93 Corno se ha podido apreciar, de la anterior exposición, el actual y el ulterior desarrollo de Internet, requiere una participación conjunta de todos los sectores que intervienen en su funcionamiento y desarrollo, no sólo se requiere que los gobiernos realicen esfuerzos conjuntos para la elaboración de disposiciones uniformes aplicables al comercio electrónico, sino que, además se requiere de la participación significativa del sector privado, en especial de la industria en general que viene a ser el principal interesado en el desarrollo de dicho tipo de comercio, ayudando en la elaboración de estándares y tecnologías de punta que permitan el logro de un entorno legal armónico que permita el correcto desarrollo del comercio a través de Internet. RECOMENDACIONES INTERNACIONALES: 1. Reconocimiento jurídico internacional de los contratos y transacciones electrónicas en Internet, basado en normas uniformes a nivel local. 2. Estándares internacionales para la firma digital y entidades certificadoras. 3. Orden internacional para evitar abusos en el registro de nombres de dominio. 4. Confianza y protección a los Consumidores. 5. Políticas sobre los contenidos en Internet: Protección al patrimonio e identidad cultural; Evitar y/o sancionar contenidos ilícitos. 6. Políticas de libre acceso a las telecomunicaciones. 7. Protección de la Propiedad Intelectual. 8. Reglas nacionales e internacionales de jurisdicción y competencia para la solución de controversias. 9. Normas de responsabilidad legal y delitos informáticos. 94 10. Protección de los datos personales del individuo y flujo de datos transfronterizos. 11. Reglas sobre impuestos y tarifas arancelarias. COMPROMISOS INTERNACIONALES SUSCRITOS POR MÉXICO: OCDE OMC ALCA APEC Incorporación de Ley Modelo UNCITRAL en Reformas Mayo 2000 Participación en diversos foros Coordinación de organismos internos de política pública (Ej: COMPRANET, SIEM, SIGER: Sistema de Modernización Registral, etc.) Aplicabilidad de reglas comerciales que rigen intercambios de bienes y servicios a través de redes; Jurisdicción; Privacidad; Protección al consumidor; Estándares; Firma digital y autoridades certificadoras; Aspectos Fiscales (Factura Electrónica). OMC o WTO Declaración Ministerial y Programa de Trabajo. Aplicabilidad de los acuerdos GATT, ACGS, telecomunicaciones, tecnología de información, propiedad intelectual (coordinación con OMPI para evitar choque de acuerdos). Clasificación de bienes y productos en Internet. Comercio y desarrollo. Mayo 1998: II Sesión de la Conferencia Ministerial - Ginebra "El potencial del comercio electrónico tiene el mismo nivel del comercio en general" . Reunión de Seattle: Programa de Trabajo (Comités: 95 Consejo para el Comercio de Servicios; Consejo para el Comercio de Mercancías; Comité sobre el Comercio y Desarrollo. Acuerdo de no imposición de aranceles en transacciones efectuadas por medios electrónicos. APEC (Asia) Declaraciones Ministeriales. Documento: "A Blueprint for Electronic Commerce". Grupos de Trabajo. Avances/Acuerdos (Telecomunicaciones, etc...). Usuarios: PYMES UE (Europa). Modelo de Integración distinto. Instituciones. El comercio electrónico dentro del proceso de integración europea. Trabajo sobre comercio electrónico hasta la fecha con logros específicos. Estrategia para el futuro desarrollo del Comercio Electrónico en Europa ALCA (Área de Libre Comercio de las Américas) Cumbre de las Américas: Miami 1994, San José 1998. Comité Conjunto de expertos del Sector Público y del Sector Privado. Contexto de Negociaciones Comerciales. Mandatos del Comité. Informe a los Ministros (noviembre 1999). En proceso: 9 grupos de negociación; 3 comités no negociadores (sociedad civil, paises pequeños y comercio electrónico); comité tripartito (BID/OEA/CEPAL) de expertos sobre comercio electrónico. Logros del Comité de Expertos: Recomendaciones a la Unión Ministerial (primera ronda): fortalecimiento de infraestructura de información y aumento de la participación. Plan de Trabajo (segunda ronda) acceso e infraestructura, pequeña y mediana empresa, sistemas de pago en línea, autenticación y certificación. 96 TRATADOS DE APLICABILIDAD ESPECÍFICA: OMPI . 1996 Tratado sobre Derecho de Autor. 1996 Tratado sobre interpretación o ejecución de fonogramas. Solución de controversias: WIPO Arbitration and Mediation Center. Trabajo conjunto con otros organismos internacionales: ICANN y OMC UNCITRAL o CNUDMI Ley Modelo de Comercio Electrónico (dic. 1996) Conceptos Generales: firmas digitales, certificados digitales y entidades de certificación. Ley Modelo sobre Firmas Electrónicas (2001). Trabajo en curso: Desarrollo de reglas uniformes. Lineamientos Voluntarios: OCDE 1980 Protección de la Privacidad. Seguridad de los sistemas de información. 1997 Políticas en la criptografía. 1999 Protección al consumidor en el Comercio Electrónico. ESTUDIOS: Estadísticas, Impacto de la tecnología sobre el desarrollo social y económico, Políticas: Estructura global de la información, telecomunicaciones, etc. Grupos de Trabajo Actualmente en UNCITRAL se trabaja en un proyecto de Convención Internacional sobre Contratación Electrónica que pretende conjuntar las dos Leyes Modelo (Comercio Electrónico y Firma Electrónica) en la que se pretende incluir algunos conceptos de privacidad de datos personales, protección al consumidor y nombres de dominio. 97 4.- SITUACIÓN LEGAL EN MÉXICO Brevemente presento un resumen de las disposiciones legales vigentes en la materia y en segundo término aquellas que se encuentran en proceso. ANTECEDENTES LEGISLATIVOS Código de Comercio 1884 - Telégrafo Código Civil 1928 - Teléfono Leyes Bancarias 1990 - Medios Telemáticos. Ley PROFECO 1992 - Ventas a distancia. Telemarketing. Leyes Fiscales 1998 - Declaraciones y pagos en formato electrónico. Otros esfuerzos Gubernamentales. La legislación existente hasta 1999, requería para la validez del acto o contrato, del soporte de la forma escrita y la firma autógrafa, para vincular a las partes en forma obligatoria. REFORMAS DE MAYO DEL 2000 Como comentamos anteriormente50, el Decreto del 29 de Mayo de 2000, incluye reformas y adiciones a: - Código Civil - Código de Comercio - Código Federal de Procedimientos Civiles 98 - Ley Federal de Protección al Consumidor. OBJETIVOS DE LA LEGISLACION: Reconocimiento de la validez jurídica del Contrato Electrónico. Posibilidad de la exigibilidad judicial de los contratos realizados a través de medios electrónicos. Medios probatorios del Contrato Electrónico y valoración de la prueba en juicio. Protección razonable a los consumidores. El Archivo Mercantil – Artículo 49 del Código de Comercio.51 - Independencia de la Contabilidad Fiscal. Archivo Mercantil: Comprende la obligación de todos los comerciantes de conservar por un plazo mínimo de diez (10) años, los originales de cartas, telegramas, convenios o contratos que den nacimiento a derechos y obligaciones. Archivo Mercantil Electrónico: Permitir el envío y Conservación de la documentación anterior, pero realizada a través de medios electrónicos. Migración de Archivos Muertos en papel a Medios Electrónicos. Los mensajes electrónicos deben reunir los siguientes requisitos: Mantenerse íntegros e inalterados. Accesibles para su ulterior consulta. 50 vide infra 51 Datos tomados de la presentación que el Lic. Luis Vera Vallejo hizo en la Asociación Mexicana de la Industria Publicitaria y Comercial en Internet (AMIPCI) en Diciembre del 2001 99 Para asegurar los requisitos anteriores: La SE deberá expedir una NOM técnica de carácter obligatorio. PROYECTO DE NOM – CONSERVACION DE MENSAJES DE DATOS: Objetivo Establecer los requisitos que deben observarse para la conservación del contenido de mensajes de datos que consignen contratos, convenios o compromisos, que en consecuencia originen el surgimiento de derechos y obligaciones. Campo de aplicación Es de observancia general para los comerciantes que deban conservar los mensajes en que se consignen los citados documentos. Definiciones : Se incluyen definiciones a los conceptos utilizados en la NOM52 52 Aceptación de autoría: A la propiedad de un algoritmo de firma digital que permite atribuir a una persona física o moral comerciante la autoría de un mensaje de datos inequivocamente. Acto de comercio: A todo acto que la legislación vigente considera como tal. Autenticación: Al proceso en virtud del cual se constata que una entidad es la que dice ser y que tal situación es demostrable ante terceros. Archivo parcial: Al mensaje de datos representado en formato ASN.1, conforme al apéndice de la presente Norma Oficial Mexicana. ASN.1: A la versión 1 de Abstracts Sintax Notation (Notación Abstracta de Sintaxis). 100 Bits: A la unidad mínima de información que puede ser procesada por una computadora. Bytes: A la secuencia de 8 bits. Clave pública: A la cadena de bits perteneciente a una entidad particular y susceptible de ser conocida públicamente, que se usa para verificar las firmas electrónicas de la entidad, la cual está matemáticamente asociada a su clave privada. Clave privada: A la cadena de bits conocida únicamente por una entidad, que se usa en conjunto con un mensaje de datos para la creación de la firma digital relacionada con ambos elementos. Certificado digital: Al mensaje de datos firmado electrónicamente que vincula una entidad con una clave pública. Código: Al Código de Comercio. Código de error: A la clave indicativa de un suceso incorrecto. Comerciantes: A las personas o instituciones jurídicas a las que la legislación les otorga tal carácter. Confidencialidad: Al estado que existe cuando la información permanece controlada y es protegida de su acceso y distribución no autorizada. Contrato: Al acuerdo de voluntades que produce o transfiere derechos y obligaciones. Convenio: Al acuerdo voluntades que crea, transfiere, modifica o extingue derechos y obligaciones. Constancia del prestador de servicios de certificación: Al mensaje de datos representado en formato ASN.1, conforme al apéndice de la presente Norma Oficial Mexicana. Criptografía: Al conjunto de técnicas matemáticas para cifrar información. 101 Destinatario: A aquella entidad a quien va dirigido un mensaje de datos. Emisor: A aquella entidad que genera y transmite un mensaje de datos. Entidad: A las personas físicas o morales. Expediente electrónico: Al mensaje de datos representado en formato ASN.1, conforme al apéndice de la presente Norma Oficial Mexicana. Firma Digital: A la firma electrónica que esta vinculada al firmante de manera única, permitiendo así su identificación, creada utilizando medios que aquel pueda mantener bajo su exclusivo control, estando vinculada a los datos a que se refiere de modo que cualquier cambio ulterior de los mismos sea detectable. Firma Electrónica: A los datos en forma electrónica consignados en un mensaje de datos, o adjuntados o lógicamente asociados al mismo, que puedan ser utilizados para identificar al firmante en relación con el mensaje de datos e indicar que aquel aprueba la información recogida en el mensaje de datos. Formato: A la secuencia claramente definida de caracteres, usada en el intercambio o generación de información. Legislación: A las normas jurídicas generales y abstractas emanadas del Congreso de la Unión. Mensaje de datos: A la información generada, enviada, recibida, archivada o comunicada a través de medios electrónicos, ópticos o cualquier otra tecnología. Objetos: A las definiciones del lenguaje ASN.1 Original: A la información contenida en un mensaje de datos que se ha mantenido íntegra e inalterada desde el momento en que se generó por primera vez en su forma definitiva. Prestador de servicios de certificación: A la entidad que presta los servicios de certificación a que se refiere la presente Norma Oficial Mexicana. Red: 102 Método a seguir para la conservación de los mensajes de datos: Los comerciantes deberán seguir el método que se describe en el apéndice del proyecto. La información que se desee conservar se podrá almacenar en uno o varios archivos diferentes y/o en una o varias computadoras. Método para digitalizar archivos soportados en medio físico. Sin perjuicio de lo que dispongan otros ordenamientos jurídicos aplicables, cuando se pretenda conservar en un medio electrónico, óptico o de cualquier otra tecnología, información derivada de un acto de comercio, que se encuentre soportada en un medio físico similar o distinto a aquellos, los comerciantes podrán optar por migrar dicha información a una forma digital y observar, para su conservación en forma digital, las disposiciones a que se refiere este proyecto. Al sistema de telecomunicaciones entre computadoras. Resumen o compendio: Al resultado de aplicarle a un mensaje de datos una función de criptografía del tipo hash. Sello del prestador de servicios de certificación: Al mensaje de datos representado en formato ASN.1, conforme al apéndice de la presente Norma Oficial Mexicana. Secretaría: A la Secretaría de Economía. 103 La migración de la información deberá ser cotejada por un tercero legalmente autorizado, quien constatará que dicha migración se realice íntegra e inalterablemente tal y como se generó por primera vez en su forma definitiva. Los programas de software para la conservación de los mensajes de datos deberán dar cumplimiento a lo establecido por este proyecto. Elementos que intervienen en la conservación de mensajes de datos Para la emisión de la firma electrónica y/o digital, así como el prestador de servicios de certificación, deberán observar los requisitos que la normatividad aplicable señale para su operación. La constancia emitida por el prestador de servicios de certificación deberá observar los términos establecidos en el Apéndice Normativo. La operación de los equipos y programas informáticos en y con los que se almacenen los mensajes de datos, se hará a través de un sistema de almacenamiento para mensajes de datos en los términos establecidos en el apéndice del mismo. Vigilancia La vigilancia del presente proyecto, una vez que sea publicada en el Diario Oficial de la Federación como norma definitiva, estará a cargo de la Secretaría de Economía conforme a sus atribuciones. APÉNDICE NORMATIVO Introducción 104 En éste se presentan los elementos necesarios para la implantación del presente proyecto de Norma Oficial Mexicana, la descripción del algoritmo de conservación de información y la definición ASN.1 de los objetos usados. Formación de archivos parciales Para formar un archivo parcial se crea un mensaje en formato ASN.1 que contiene: • nombre del archivo del sistema de información en el que está o estuvo almacenado el contenido del archivo, • tipo del archivo, y • contenido del mismo, con el objetivo de guardar la relación lógica que existe entre estos tres elementos. Integración del expediente electrónico Para conformar un expediente electrónico se creará un mensaje ASN.1 que contiene: • el nombre del expediente, que debe de coincidir con el nombre con el que se identifica en el sistema de información en donde está o estuvo almacenado, • un índice, que contiene el nombre y el compendio de cada archivo parcial que integra el expediente, • la identificación del operador del sistema de conservación, y • su firma digital. Método de verificación de autenticidad: La verificación de la autenticidad de una constancia se realizará por medio del uso de un sistema de verificación que lleve a cabo los pasos siguientes: 105 i) verificar la firma digital del Prestador de servicios de certificación en la constancia; ii) verificar la firma digital del operador del sistema de conservación en el expediente contenido en la constancia, y iii) recalcular el compendio de él o los archivos parciales y verificar que coincidan con los compendios asentados en el expediente. Protocolo de comunicación entre el software de almacenamiento y el prestador de servicios de certificación. Se define el protocolo para solicitar una constancia como el procedimiento siguiente: 1. El usuario genera, a partir de sus mensajes de datos los archivos parciales necesarios para hacer con ellos un expediente el cual enviará al prestador de servicios de certificación. Solicitud de conexión por parte del usuario ante el prestador de servicios de certificación e identificación entre ellos usando un esquema seguro de identificación con certificados digitales (este proceso puede darse mediante un esquema de clave de usuario y contraseña en una primera etapa). 2. El prestador de servicios de certificación genera una Constancia a partir del Expediente recibido, dicha constancia se registra en las bases de datos del prestador de servicios de certificación y se envía una copia de ese mensaje ASN.1 al usuario. 3. El usuario almacena su Constancia como considere conveniente. 106 En resumen, para la aplicación de ésta norma se: Requiere de la utilización de la tecnología PKI. Requiere de un software para generar el juego de llaves públicas y privadas del Usuario = Certificado o Firma Digital. Requiere forzosamente confiable – de Prestador de la existencia y Servicios de participación de un tercero Certificación - expida Constancias Electrónicas de validez de los Mensajes de Datos. FACTURA ELECTRONICA. Como comentaremos más adelante, se pretende: • Reconocimiento del Comprobante Fiscal Electrónico para efectos fiscales. • Estados de Cuenta Bancarios – Comprobantes Fiscales. • Reglas Generales del SAT. • Aprobación Reformas al Código Fiscal. No podemos dejar de considerar los esfuerzos que entidades gubernamentales han hecho a éste respecto53, en particular la Ley Federal de Procedimiento Administrativo que regula exclusivamente las actuaciones y procedimientos del Poder Ejecutivo Federal, fue reformada el 30 de mayo del 2000, habilitando el empleo de medios electrónicos para llevar a cabo algunos procedimientos administrativos de gestión. De esa forma, se modificaron las fracciones II y penúltimo párrafo del artículo 35 y el artículo 83, y se adicionaron 5 párrafos al artículo 69 C, de la siguiente manera: 53 Cfr. Artículo: El empleo de medios electrónicos en los procedimientos de la Administración Pública Federal, elaborado por la Lic. Flor Ma. del Consuelo Cuéllar Meléndrez. Egresada de la licenciatura en 107 El artículo 35 establece la forma en que las notificaciones, citatorios, emplazamientos, requerimientos, solicitud de informes, documentos y resoluciones administrativas podrán realizarse, y la reformada fracción II establece que podrán hacerse “mediante oficio entregado por mensajero o correo certificado, con acuse de recibo. También podrá realizarse mediante telefax, medios de comunicación electrónica o cualquier otro medio, cuando así lo haya aceptado expresamente el promovente y siempre que pueda comprobarse fehacientemente la recepción de los mismos.” Y en su último párrafo, establece que en los casos de actos distintos a los expresamente señalados, podrán emplearse también tales medios así como el correo ordinario. El artículo 69-C, se establece que los titulares de las dependencia u órganos administrativos desconcentrados y directores generales de los organismos descentralizados de la Administración Pública Federal podrán mediante acuerdos generales publicados en el Diario Oficial de la Federación, establecer plazos de respuesta menores dentro de los máximos previstos en leyes o reglamentos y a no exigir la presentación de datos y documentos previstos en las disposiciones mencionadas cuando puedan obtener por otra vía la información correspondiente. “En los procedimientos administrativos, las dependencias y los organismos descentralizados de la Administración Pública Federal recibirán las promociones o solicitudes que, en términos de esta Ley, los particulares presenten por escrito, sin Derecho por la Universidad del Valle de Atemajac. México. Miembro del Grupo GILCE. Asesor Legal del 108 perjuicio de que dichos documentos puedan presentarse a través de medios de comunicación electrónica en las etapas que las propias dependencias y organismos así lo determinen mediante reglas de carácter general publicadas en el Diario Oficial de la Federación. En estos últimos casos, se emplearán, en sustitución de la firma autógrafa, medios de identificación electrónica.” “El uso de dichos medios de comunicación electrónica será optativo para cualquier interesado, incluídos los particulares que se encuentren inscritos en el Registro de Personas Acreditadas a que alude el artículo 69-B .” “Los documentos presentados por medios de comunicación electrónica producirán los mismos efectos que las leyes otorgan a los documentos firmados autógrafamente y, en consecuencia, tendrán el mismo valor probatorio que las disposiciones aplicables les otorguen a estos.” “La certificación de los medios de identificación electrónica del promovente, así como la verificación de la fecha y hora de recepción de las promociones o solicitudes y de la autenticidad de las manifestaciones vertidas en las mismas, deberán hacerse por las dependencias u organismos descentralizados, bao su responsabilidad y de conformidad con las disposiciones generales que al efecto emita la Secretaría de Contraloría y Desarrollo Administrativo.” Proyecto E-Commerce de la Coordinadora de Fomento al Comercio Exterior del Estado de Guanajuato 109 “Las dependencias y organismos descentralizados podrán hacer uso de los medios de comunicación electrónica para realizar notificaciones, citatorios o requerimientos de documentación e información a los particulares en los términos del Artículo 35”. La reforma del 30 de mayo de 2000, a la Ley Federal de Procedimiento Administrativo ha dado legalidad al empleo de los medios electrónicos, sin embargo, algunos aspectos requerían ser reglamentados de forma particular, tal es el caso de la firma digital (ACUERDO por el que se establecen las disposiciones que deberán observar las dependencias y los organismos descentralizados de la Administración Pública Federal, para la recepción de promociones que formulen los particulares en los procedimientos administrativos a través de medios de comunicación electrónica, así como para las notificaciones, citatorios, emplazamientos, requerimientos, solicitudes de informes o documentos y las resoluciones administrativas definitivas que se emitan por esa misma vía) o los mecanismos de conservación de datos (NOM conservación de mensajes de datos). En algunos cuerpos normativos se establece la facultad de las partes para establecer mecanismos de identificación por medios electrónicos mediante contrato preparatorio previo; pero la realidad práctica obliga a la reglamentación de esa nueva figura con la finalidad de dar eficacia jurídica al fondo y a la forma. La problemática resulta superior si visionamos que, según lo establecido en la Ley y sus reformas, se requiere la incorporación al Padrón de personas Acreditadas para cada dependencia, lo que 110 significaría que cada ciudadano requeriría de un mecanismo específico de identificación para cada trámite si éste se realizara en diferentes dependencias. La tendencia de unificar estos criterios ha sido una constante en el gobierno mexicano; sin embargo existen actualmente iniciativas y proyectos que pretenden solucionar el problema a través de la misma clave única de registro de población, o “CURP” que, en todo caso, relacionaría a una misma persona siempre y a través de mecanismos digitales, y le habilitaría para realizar gestiones primero ante las dependencias del Poder Ejecutivo y posteriormente ante cualquier dependencia del Estado, a través de medios electrónicos. En el mismo sentido, el pasado 17 de enero del 2002, se publicó en el Diario Oficial de la Federación, por parte de la Secretaría de Contraloría y Desarrollo Administrativo, el ACUERDO por el que se establecen las disposiciones que deberán observar las dependencias y los organismos descentralizados de la Administración Pública Federal, para la recepción de promociones que formulen los particulares en los procedimientos administrativos a través de medios de comunicación electrónica, así como para las notificaciones, citatorios, emplazamientos, requerimientos, solicitudes de informes o documentos y las resoluciones administrativas definitivas que se emitan por esa misma vía, que fundamenta el concepto del sitio web: TRAMITANET54. El cual tiene por objeto: La certificación del medio de identificación electrónica que utilicen los particulares en los trámites electrónicos que realicen; La verificación de la fecha y hora de recepción de las 54 http://www.tramitanet.gob.mx/ 111 promociones y solicitudes formuladas a través de medios de comunicación electrónica (marca de tiempo o sello digital); La comprobación de la autenticidad de las manifestaciones vertidas en dichas promociones o solicitudes, y las notificaciones, citatorios, emplazamientos, requerimientos, solicitudes de informes o documentos y las resoluciones administrativas que emitan por medios electrónicos, relacionados con el trámite electrónico promovido por el particular. En el acuerdo se establece también que se utilizará un sistema de encripción de clave pública (PKI) para generar el certificado digital y dos tipos de certificación; básica y de alta seguridad, dependiendo de la necesidad o no de la presencia física del particular o su representante para acreditar identidad, existencia legal y facultades de su representante, en su caso, los cuales podrán ser emitidos por las dependencias u organismos descentralizados de la Administración Pública Federal (Entidad Certificadora), que estuvieren autorizadas para ello por la Secretaria de la Contraloría y Desarrollo Administrativo (Autoridad Certificadora Central), previa solicitud de los interesados. Cada dependencia interesada en fungir como Entidad Certificadora, deberá declarar en un documento a disposición de los interesados las prácticas de certificación adoptadas (Tipos de certificación que emitan, trámites en los que podrán ser utilizados los certificados expedidos, métodos para identificar al titular del certificado, mecanismos que permitan al titular verificar su propio certificado, procedimientos para emitir y consultar la lista de certificados revocados, procedimientos de auditoría establecidos, mecanismos de custodia de identificación electrónica e impresa). 112 NOVEDADES LEGISLATIVAS En las Cámaras se está trabajando en los siguientes proyectos legislativos, relativos al Comercio Electrónico: LEY CONTRA EL CRIMEN ELECTRÓNICO. Pretende adecuar la legislación penal mexicana a normas internacionales, procurando combatir la piratería, hackers y crackers, así como la prohibición de transmitir material pornográfico a través de Internet.55 Julio Téllez Valdés clasifica a los delitos informáticos basándose en dos criterios: como instrumento o medio, o como fin u objetivo.56 I) Como instrumento o medio: se tienen a las conductas criminógenas que se valen de las computadoras como método, medio, o símbolo en la comisión del ilícito. II) Como medio y objetivo: en esta categoría se enmarcan las conductas criminógenas que van dirigidas en contra de la computadora, accesorios o programas como entidad física. María de la Luz Lima, presenta una clasificación, de lo que ella llama "delitos electrónicos", diciendo que existen tres categorías, a saber:57 55 Cfr: Esteban María Teresa; Delitos Cibernéticos; trabajo presentado en la Universidad Panamericana; 2001 56 TELLEZ Valdes, Julio. Derecho Informático. 2a. ed. México. Ed. Mc Graw Hill 1996. Pp. 103-104. 57 LIMA DE LA LUZ, María. "Delitos Electrónicos" en Criminalia. México. Academia Mexicana de Ciencias Penales. Ed. Porrúa. No. 1-6. Año L. Enero-Junio 1984. Pp.100. 113 I) Los que utilizan la tecnología electrónica como método: conductas criminales en donde los individuos utilizan métodos electrónicos para llegar a un resultado ilícito. II) Los que utilizan la tecnología electrónica como medio: son conductas criminógenas en donde para realizar un delito utilizan una computadora como medio o símbolo. III) Los que utilizan la tecnología electrónica como fin: conductas criminógenas dirigidas contra la entidad física del objeto o máquina electrónica o su material con objeto de dañarla. Tipos de delitos informáticos reconocidos por Naciones Unidas: Fraudes cometidos mediante manipulación de computadoras. Manipulación de los datos de entrada: Este tipo de fraude informático conocido también como sustracción de datos, representa el delito informático más común ya que es fácil de cometer y difícil de descubrir. Este delito no requiere de conocimientos técnicos de informática y puede realizarlo cualquier persona que tenga acceso a las funciones normales de procesamiento de datos en la fase de adquisición de los mismos. La manipulación de programas: Es muy difícil de descubrir y a menudo pasa inadvertida debido a que el delincuente debe tener conocimientos técnicos concretos de informática. Este delito consiste en modificar los programas existentes en el sistema de computadoras o en insertar nuevos programas o nuevas rutinas. Un método común utilizado por las personas que tiene conocimientos especializados en programación informática es el denominado Caballo de Troya, que consiste en insertar instrucciones 114 de computadora de forma encubierta en un programa informático para que pueda realizar una función no autorizada al mismo tiempo que su función normal. Manipulación de los datos de salida: Se efectúa fijando un objetivo al funcionamiento del sistema informático. El ejemplo más común es el fraude de que se hace objeto a los cajeros automáticos mediante la falsificación de instrucciones para la computadora en la fase de adquisición de datos. Tradicionalmente esos fraudes se hacían a base de tarjetas bancarias robadas, sin embargo, en la actualidad se usan ampliamente el equipo y programas de computadora especializados para codificar información electrónica falsificada en las bandas magnéticas de las tarjetas bancarias y de las tarjetas de crédito. Fraude efectuado por manipulación informática que aprovecha las repeticiones automáticas de los procesos de cómputo: Es una técnica especializada que se denomina "técnica de salchichón" en la que "rodajas muy finas" apenas perceptibles, de transacciones financieras, se van sacando repetidamente de una cuenta y se transfieren a otra. Falsificaciones informáticas. Como objeto: Cuando se alteran datos de los documentos almacenados en forma computarizada. Como instrumentos: Las computadoras pueden utilizarse también para efectuar falsificaciones de documentos de uso comercial. Cuando empezó a disponerse de fotocopiadoras computarizadas en color a base de rayos láser, surgió una nueva generación de falsificaciones o alteraciones fraudulentas. Estas fotocopiadoras pueden 115 hacer copias de alta resolución, pueden modificar documentos e incluso pueden crear documentos falsos sin tener que recurrir a un original, y los documentos que producen son de tal calidad que sólo un experto puede diferenciarlos de los documentos auténticos. Daños o modificaciones de programas o datos computarizados. Sabotaje informático: Es el acto de borrar, suprimir o modificar sin autorización funciones o datos de computadora con intención de obstaculizar el funcionamiento normal del sistema. las técnicas que permiten cometer sabotajes informáticos son: Virus: Es una serie de claves programáticas que pueden adherirse a los programas legítimos y propagarse a otros programas informáticos. Un virus puede ingresar en un sistema por conducto de una pieza legítima de soporte lógico que ha quedado infectada, así como utilizando el método del Caballo de Troya. Gusanos: Se fabrica en forma análoga al virus con miras a infiltrarlo en programas legítimos de procesamiento de datos o para modificar o destruir los datos, pero es diferente del virus porque no puede regenerarse. En términos médicos podría decirse que un gusano es un tumor benigno, mientras que el virus es un tumor maligno. Ahora bien, las consecuencias del ataque de un gusano pueden ser tan graves como las del ataque de un virus; por ejemplo, un programa gusano que subsiguientemente se destruirá puede dar instrucciones a un sistema informático de un banco para que transfiera continuamente dinero a una cuenta ilícita. Bomba lógica o cronológica: Exige conocimientos especializados ya que requiere la programación de la destrucción o modificación de datos en un momento dado del futuro. Ahora bien, al revés de los virus o los gusanos, las bombas lógicas son difíciles 116 de detectar antes de que exploten; por eso, de todos los dispositivos informáticos criminales, las bombas lógicas son las que poseen el máximo potencial de daño. Su detonación puede programarse para que cause el máximo de daño y para que tenga lugar mucho tiempo después de que se haya marchado el delincuente. La bomba lógica puede utilizarse también como instrumento de extorsión y se puede pedir un rescate a cambio de dar a conocer el lugar donde se halla la bomba. Acceso no autorizado a servicios y sistemas informáticos. Es el acceso no autorizado a sistemas informáticos por motivos diversos: desde la simple curiosidad, como en el caso de muchos piratas informáticos (hackers) hasta el sabotaje o espionaje informático. Piratas informáticos o hackers: El acceso se efectúa a menudo desde un lugar exterior, situado en la red de telecomunicaciones, recurriendo a uno de los diversos medios que se mencionan a continuación. El delincuente puede aprovechar la falta de rigor de las medidas de seguridad para obtener acceso o puede descubrir deficiencias en las medidas vigentes de seguridad o en los procedimientos del sistema. A menudo, los piratas informáticos se hacen pasar por usuarios legítimos del sistema; esto suele suceder con frecuencia en los sistemas en los que los usuarios pueden emplear contraseñas comunes o contraseñas de mantenimiento que están en el propio sistema. Reproducción no autorizada de programas informáticos de protección legal. La reproducción no autorizada de programas informáticos puede entrañar una pérdida económica sustancial para los propietarios legítimos. Algunas jurisdicciones han tipificado como delito esta clase de actividad y la han sometido a sanciones penales. El 117 problema ha alcanzado dimensiones transnacionales con el tráfico de esas reproducciones no autorizadas a través de las redes de telecomunicaciones moderna. También se habla de una clasificación más específica: 1.- Delitos tradicionalmente denominados informáticos: Son aquellos que están íntimamente ligados a la informática o a los bienes jurídicos que históricamente se han relacionado con las tecnologías de la información (datos, programas, documentos electrónicos, dinero electrónico, información, etc.). Entre estos delitos o infracciones se pueden destacar: Acceso no autorizado. Destrucción de datos. Infracción de los derechos de autor. Infracción del copyright de bases de datos. Interceptación de e-mail. Estafas electrónicas. Transferencia de fondos. 2.- Delitos convencionales: Todos aquellos que tradicionalmente se han venido dando sin el empleo de medios informáticos y que con la irrupción de las autopistas de la información se han reproducido también en el ciberespacio. Como por ejemplo: Espionaje. Espionaje industrial. Terrorismo. Narcotráfico. 118 Otros delitos tales como tráfico de armas, proselitismo de sectas, propaganda de grupos extremistas y cualquier otro delito que pueda ser trasladado de la vida real al ciberespacio o viceversa. 3. Mal uso: Estas conductas aunque no constituyen una infracción son mal recibidas por los usuarios de Internet por cuanto lesionan normas implícitas de convivencia en la red. El mal uso se refiere a conductas tales como: Usos comerciales no éticos. Actos parasitarios: aluden a la acción de obstaculizar las comunicaciones ajenas, interrumpiendo conversaciones en forma repetida, al envío de mensajes con insultos personales, etc. Obscenidades. 4. Efectos transfronterizos: Enmarca la competencia jurisdiccional de actos realizados en un país pero que, debido a la extensión de la red, tienen sus efectos en otros países. LEY DE PROTECCIÓN DE DATOS PERSONALES (Iniciativa del Dip. Miguel Barbosa Huerta, basada en la Legislación Española al respecto). Pareciera ser que la materia de la protección de los datos personales del ciudadano y la privacidad de la información correspondiente y en su caso, el flujo transfronterizo de dicha información es un tema al cual los gobiernos le están dando gran importancia. En efecto, la Unión Europea ha puesto en vigor una Directiva sobre este tema, conforme a la cual los países miembros de la comunidad deberán legislar en cada país sobre el tema que nos ocupa. En los Estados Unidos, la entidad encargada de l a legislación de 119 la materia es la Comisión Federal de Comercio (FTC - por sus siglas en inglés FEDERAL TRADE COMMISSION). A partir de 1995, la FTC había venido sosteniendo que no era necesaria una legislación federal para la protección de los datos de los ciudadanos, puesto que era suficiente la protección de los consumidores a través de la autoregulación de la industria y a través de códigos de ética. En Mayo de 2000, la FTC reveló un estudio sobre la privacidad de los datos que se transmiten en línea y todo es indicativo de que ahora la FTC ha cambiado su criterio y está recomendando al Congreso de los Estados Unidos que se legisle sobre esta materia. Por lo anterior, es muy posible que por las iniciativas de la Unión Europea y de legislarse en los Estados Unidos, existan presiones para que México igualmente promulgue una legislación como la iniciativa de LEY DE PROTECCIÓN DE DATOS PERSONALES, a que hacemos referencia, por parte del Diputado Miguel Barbosa Huerta, basada en la Legislación Española. LEY FEDERAL DE PROTECCIÓN AL CONSUMIDOR (En lo relativo específicamente a operaciones por Internet). 120 PROTECCIÓN Y RECONOCIMIENTO DE LA PROPIEDAD INTELECTUAL DEL SOFTWARE (El Instituto Nacional del Derecho de Autor está convocando para realizar una nueva revisión a la Ley Federal del Derecho de Autor. ) Entre las propuestas presentadas destaca la que pretende autorizar a las Sociedades Autorales de Gestión Colectiva a “cobrar tarifas” a toda empresa fabricante, importadora o comercializadora de equipos que permitan la transmisión, almacenamiento y uso de obras protegidas por el derecho de autor (software, música, video, etc.). El importe de las tarifas son por convenio con cada empresa o las autoriza el INDA. Al respecto, el INDA ya autorizó la constitución de la “Sociedad Mexicana de Productores de Fonogramas, Videogramas y Multimedia, Sociedad de Gestión Colectiva. De aprobarse esta legislación, se encarecerán los costos de los fabricantes de equipo de cómputo y telecomunicaciones, lo cual podría afectar al mundo del Internet. REFORMAS A LA LEY FEDERAL DE RADIO Y TELEVISIÓN: Pretende asimilar al Internet con la Televisión y el Radio. Lo anterior puede ser un precedente que afecte a la Industria y pudiere tener como efecto en inhibir la inversión en esa materia, hoy en día tan necesaria (ya que presupone el requerimiento de una concesión o autorización gubernamental). Asimismo se busca establecer una prohibición de transmitir material pornográfico a través de Internet, con la dificultad de supervisión y control que ello implica. 121 REDACCIÓN DE UNA LEGISLACIÓN SOBRE FIRMAS ELECTRONICAS Y PRESTADORES DE SERVICIOS DE CERTIFICACION. Basada en la Ley Modelo de la UNCITRAL sobre Firmas Electrónicas, aprobada en Viena en Julio, 2001, tomando en cuenta la experiencia de otras Legislaciones (Derecho Internacional) y adecuándolas con las necesidades de México. En ella está trabajando el Grupo GILCE por encargo de la Comisión de Comercio de la Cámara de Diputados y en coordinación con la Secretaría de Economía y diversas agrupaciones gremiales del sector. PROCESO DE APROBACIÓN DEL PROYECTO DE NUEVA LEY FEDERAL DE TELECOMUNICACIONES. En el cual se incluye la debida protección para los usuarios así como garantiza la autonomía de COFETEL, considerando que la meta sexenal, señalada por el actual gobierno, es pasar del 12 por ciento de teledensidad al 25 por ciento de conectividad, y de 36 por ciento de los hogares con línea telefónica a 52 por ciento de las viviendas con acceso a teléfonos, computadoras e Internet, con servicios de voz y datos. LEGISLACIÓN EN MATERIA DE NOMBRES DE DOMINIO. Al respecto se está actualmente explorando la tendencia de regular la conexidad que existe entre el nombre de dominio y el nombre comercial o marca, sobretodo en México habría que establecer una relación entre NIC-México e IMPI. Si bien el consenso internacional es que se trata de dos cosas distintas y su regulación no puede ni debe mezclarse, hay que entender que existen, o pueden existir entre ambas 122 relaciones, que deben ser contempladas por ambas partes. Otra cuestión es resolver el grave problema relativo a la Personalidad Jurídica de NIC-México, toda vez que si bien es cierto que el ITESM cobija su funcionamiento, también lo es que es el propio NIC-México es quien celebra los contratos, esto es un ente que jurídicamente en México no existe. Asimismo el cobijo que brinda el ITESM, es muy relativo, ya que se constituyó como escuela libre universitaria con personalidad jurídica propia por decreto presidencial publicado en el Diario Oficial el 12 de septiembre de 1952, resultaría cuestionable que la actividad del NIC-México fuera la de “escuela libre universitaria” y en éste orden de ideas estaríamos frente a un acto ultravires (que va mas allá del objeto social). ADECUACIONES AL MARCO JURÍDICO DEL SISTEMA E-MÉXICO. Comisión Presidencial coordinada por SCT, para conjuntar los esfuerzos en forma horizontal del gobierno para el Sistema e-México. El Sistema Nacional e-México58 es un proyecto integrador, que articula los intereses de los distintos niveles de gobierno, de diversas entidades y dependencias públicas, de los operadores de redes de telecomunicaciones, de las cámaras y asociaciones vinculadas a las TICs, así como de diversas instituciones, a fin de ampliar la cobertura de servicios básicos como educación, salud, economía, gobierno y ciencia, tecnología e industria, así como de otros servicios a la comunidad. 58 http://www.e-mexico.gob.mx/ 123 Para lograr sus objetivos, este Sistema ha concebido integrar una megared a través de la interconexión de todas las redes de telecomunicaciones en operación. Visión: Ser un agente de cambio en el país, al integrar los esfuerzos que realizan diversos actores públicos y privados en la eliminación de la brecha digital y las diferencias socioeconómicas entre los mexicanos, a través de un sistema con componentes tecnológicos y sociales que ofrezca servicios básicos como aprendizaje, salud, intercambio comercial, y trámites de gobierno, siendo al mismo tiempo punta de lanza del desarrollo tecnológico de México. El Sistema Nacional e-México se propone: a) Acelerar las tendencias históricas en la penetración de servicios de telecomunicaciones e informática, a fin de garantizar que la cobertura de los servicios y contenidos del Sistema Nacional e-México estén presentes en todo el territorio nacional y al alcance de toda la población. b) Impulsar a la industria de desarrollo de software nacional, contemplando la renovación tecnológica y la demanda de servicios. c) Brindar a través del Sistema Nacional e-México nuevas opciones de acceso a la educación y capacitación, que estimulen el aprendizaje como un medio para el desarrollo integral de los mexicanos, promoviendo que la educación sea accesible para cualquier persona, respetando su identidad y su entorno cultural. d) Facilitar a la población en general y a los profesionales de la salud del país, el acceso a servicios y contenidos de salud a distancia, que permitan mejorar el 124 nivel del bienestar de la población, integrando a los diversos actores que intervienen en la atención de la salud. e) Promover el desarrollo y competitividad de las pequeñas y medianas empresas, en sus actividades dentro y fuera del país, a través de los medios electrónicos y las oportunidades de negocios que existen en la nueva economía digital f) Integrar a través del sistema e-México, a los diversos grupos lingüísticos y étnicos de México, así como a sectores específicos de la población como los mexicanos en el extranjero y personas con discapacidad, entre otros. g) Garantizar los mecanismos jurídicos, la regulación y aspectos tarifarios, adecuados para el desempeño del Sistema e-México, en condiciones de certidumbre, transparencia y seguridad para asegurar el Derecho a la intimidad y la informática de los usuarios, así como de los valores sociales y éticos de los mexicanos. h) Coordinar a los diferentes grupos participantes –públicos y privados- en el desarrollo, administración, operación, mantenimiento, control y financiamiento del Sistema Nacional e-México, para que éste sea eficaz y eficiente i) Promover la canalización de recursos de fuentes de financiamiento internacionales y nacionales para el despliegue del Sistema Nacional e-México, garantizando que los recursos públicos y privados asignados para este proyecto sean socialmente rentables. 125 LEY GENERAL DE INFORMÁTICA.59 En cuyo proyecto está participando activamente la Academia Mexicana de Derecho Informático (AMDI) en la Comisión de Comunicaciones y Transportes del Senado de la República, en su carácter de órgano de consulta en materia de derecho informático para dicho cuerpo legislativo. Adicionalmente a lo anterior, también se está proponiendo en la Cámara de Senadores una reforma constitucional al Artículo 16 para elevar al rango de garantía individual el derecho a la protección de los datos personales del individuo, que además daría sostén al proyecto legislativo que sobre éste mismo tema señalamos anteriormente. 59 http://www.amdi.org.mx/amdi_agenda.htm 126 5.- FIRMA AUTÓGRAFA60 El vocablo firma proviene latín firmare que significa afirmar, dar fuerza y el vocablo autógrafa significa grabar o escribir por sí mismo y se aplica al escrito de mano de su propio autor en el entendido que los signos o trazos han de ser hechos por la mano del autor sin que la impresión se realice por medios mecánicos.61 La Real Academia de la Lengua define la firma como: “nombre y apellido o título de una persona que ésta pone con rúbrica al pie de un documento escrito de mano propia o ajena, para darle autenticidad, para expresar que se aprueba su contenido o para obligarse a lo que en él se dice”. En el Vocabulario Jurídico de Couture se define como: “Trazado gráfico, conteniendo habitualmente el nombre, los apellidos y la rúbrica de una persona, con el cual se suscriben los documentos para darles autoría y virtualidad y obligarse en lo que en ellos se dice” Existen rasgos de primeras escrituras como sabemos desde la prehistoria y en culturas muy antiguas, en las que destacan Sumerios, Cretenses, y los alfabetos egipcio, fenicio y griego son pruebas destacadas del adelanto de dichas civilizaciones. 60 cfr: Bravo Machado, Antonio: Seguridad en transacciones por internet; Universidad Panamericana; Tesis para obtener el título de licenciado en derecho; 2001 61 “ Firma” Enciclopedia Jurídica Omeba, Tomo XII, Editorial Bibliográfica Argentina, pp. 290-293 127 En Roma, los documentos no eran firmados, ni era costumbre ni era necesario. Existía una ceremonia llamada manufirmatio, por la cual, luego de la lectura del documento por su autor o el notarius, era desplegado sobre una mesa y se le pasaba la mano por el pergamino en signo de su aceptación. Solamente después de cumplir esta ceremonia se estampaba el nombre del autor, signo o tres cruces una por cada persona de la Santísima Trinidad, haciéndolo seguidamente los testigos. Más que un requisito la manufirmatio era en sí misma una parte del espectáculo solemne en que se realizaba el acto.62 En el Sistema Jurídico Visigótico existía la confirmación del documento por los testigos que lo tocaban (chartam tangere), signaban o suscribían (firmatio, roboratio, stipulatio). La firma del que da el documento o librador es corriente, pero no imprescindible. Los documentos privados son, en ocasiones, confirmados por documentos reales. Desde la época euriciana las leyes visigodas prestaron atención a las formalidades documentales, regulando detalladamente las suscripciones, signos y comprobación de escrituras. La “subscriptio”, representaba la indicación del nombre del signante y la fecha, y el “signum”, un rasgo que la sustituye si no sabe o no puede escribir. La “subscriptio” daba pleno valor probatorio al documento y el “signun” debía ser completado con el juramento de la veracidad por parte de uno de los testigos. Si falta la firma y el signo del autor del documento, éste es inoperante y debe completarse con el juramento de los testigos sobre la veracidad del contenido.63 62 FLORIS MARGADANT G. “Derecho Privado Romano” 4ª ed. Editorial Porrúa. pp. 116-119 63 TOMAS Y VALIENTE FRANCISCO “El orden Jurídico Medieval” Madrid, Marcial Pons, Ediciones Jurídicas y Sociales, S.A. pp. 53-54 128 En la Edad Media se utilizaron sellos, marcas y signos. Estos últimos se formaban con una cruz con la que se entrelazaban, en forma arbitraria, letras o rasgos y fueron utilizados por nuestros fedatarios hasta hace no mucho tiempo. Carlo Magno que apenas sabía escribir hacia firmar sus actos por un sellero oficial, sus sucesores que no mejoraron la cultura del conquistador, utilizaron sellos, hasta que algún tiempo después comenzaron a autenticarse los documentos con sello y firma aunque por esto se entendían todavía los signos dibujados para individualizarse.64 Recién en octubre de 1358 Carlos V obligó en Francia a los escribanos a suscribir los actos que pasaban ante ellos con sus firmas, además de sus signos. Era en esta época aún tan poco común la escritura que ese mismo año en el Consejo Real eran escasos los que sabían hacerlo, y fue por entonces que el mismo rey dispuso que los actos de ese organismo debían de ser autorizados por lo menos por tres de los presentes, los que si no supiesen firmar estamparían sus marcas o signos. La diferenciación entre “firmas” y “signos” hizo que se empezase a entender que aquéllas eran, más que simples “signos”, la inscripción manuscrita del nombre o de los apellidos. En ese tiempo, pocas eran las personas que sabían leer y escribir, por lo que generalmente los particulares estampaban en los documentos que suscribían diversos signos o sellos, la extensión de la instrucción y el desenvolvimiento de las transacciones comerciales, hicieron que la firma fuera adquiriendo la importancia y uso 64 Idem. 129 que con el transcurso del tiempo se fue consagrando como un símbolo de identificación y de enlace entre el autor de lo escrito o estampado y su persona.65 Es así como la firma se utilizó con mucha frecuencia por los artistas, son célebres las firmas por ejemplo de Alberto Durero, que más bien es un signo, o la de Miguel Ángel que especialmente firmó algunas de sus obras que consideró más significativas.66 Los artistas chinos usan su firma para distinguir sus obras, ya sean de pintura, escultura, bordado, porcelana, etc., y es famosa en el mundo entero la firma de estos grandes artistas que se significa por su perfección en el trazo y que se estampa en color rojo.67 CONCEPTO No se ha escrito hasta la fecha una teoría propia de la firma, su concepto, elementos, consecuencias y efectos en Derecho Mercantil, son pocas las referencias que hay sobre la materia68 y más bien son obras de Derecho Notarial las que se ocupan de este tema.69 Como una primera aproximación, podemos decir que Firma es el conjunto de letras y signos entrelazados, que identifican a la persona que la estampa, con un documento o texto. Existen diversas clases de firmas: 65 ACOSTA ROMERO, Miguel; “Nuevo Derecho Mercantil”; capítulo XVIII: La firma en el derecho mercantil mexicano; página 537 a 562; Editorial Porrúa; Primera Edición; 15 de agosto del 2000. 66 ACOSTA ROMERO, Miguel; OP. CIT. 67 Bradley Smith y Wan-go Wen, China a History in Art. Windfall & Co., 1972, Carden City, N. Y., U.S.A., pp. 110-101, 138-139. 68 Véase la interesante monografía La firma en el Derecho Bancario Mexicano, de Alfredo Baltierra, tesis. Facultad de Derecho de la UNAM, 1973. 69 ACOSTA ROMERO, Miguel; OP. CIT. 130 a) Autógrafa. b) En facsímil. c) Mecánica. d) De la persona física. e) De la persona jurídica colectiva (a través de sus órganos de administración o representación). f) Con lápiz o con tinta. g) Con otros instrumentos de escritura. La firma autógrafa es la que suscribe la persona física con su propia mano y consiste en un conjunto de letras o bien algún componente de su nombre y a veces el nombre y apellido, aunado a una serie de trazos que pueden abarcar toda gama de evoluciones del instrumento de escritura, que señalan e identifican al sujeto y lo separan de otros, en los documentos que suscribe y es un elemento que refleja permanentemente su voluntad de expresar lo que firma, o de obligarse al tenor del texto que suscribe.70 La firma es una inscripción manuscrita que indica el nombre de una persona que entiende hacer suyas las declaraciones del acto. Mustapich71 define a la firma: “El nombre escrito por propia mano en caracteres alfabéticos y de una manera particular, al pie del documento al efecto de autenticar su contenido”. Planiol y Ripert72 consideran: “La firma es una inscripción manuscrita que indica el nombre de una persona que entiende hacer suyas las declaraciones del acto”. 70 ACOSTA ROMERO, Miguel; OP. CIT. 71 Mustapich, J. M., Tratado de Derecho Notarial, tomo I. 72 Planiol y Ripert, Traité Pratique de Droit Civil Français, tomo VI, núm. 1458. 131 La definición de Mustapich no concuerda con la realidad actual, al afirmar que la firma es el nombre escrito por propia mano en caracteres alfabéticos, pues quedarían fuera de esa definición las firmas que se componen exclusivamente de rasgos que no sólo no expresan el nombre del firmante, sino que no tienen semejanza con los caracteres alfabéticos. Planiol y Ripert, incurren en la misma falta de comprensión al decir que la firma indica el nombre de una persona, lo que no es del todo exacto, por las razones antes expuestas. Jurídicamente, la firma autógrafa implica el hecho de tratarse de una inscripción manuscrita, realizada de una manera particular, hecha con el ánimo de obligarse al reconocimiento del contenido del escrito en que se estampe. La firma de la persona jurídica colectiva (persona moral), será estampada por la persona o las personas físicas a las cuales los órganos de administración y representación hayan otorgado los poderes o facultades de obligarla con su firma, ya sea individual o colectivamente, en forma simple o mancomunada, y en los términos y con las limitaciones que dichos órganos acuerden a cada persona en particular. Sin embargo, no todas las personas pueden firmar, algunas por analfabetismo, otras por impedimentos físicos transitorios o permanentes, y es cuando aparecen en el ámbito del Derecho la “Firma a ruego” y la “Huella Digital”, figuras a las que se les atribuye en ocasiones mayores alcances de los que tienen, ya sea por desconocimiento de su naturaleza jurídica o por aplicaciones analógicas mal fundadas. Nuestra legislación no da las características que deba tener la firma en los documentos y sólo por referencia, el Código de Comercio habla de la firma en el reconocimiento de documentos mercantiles para preparar la acción ejecutiva. 132 Sobre esto, la Suprema Corte de Justicia de la Nación ha dictado ejecutorias73 y “El artículo 1165 del Código de Comercio74 cuando habla del reconocimiento de la firma de 73 Amparo Directo 435/57. Jorge Suárez D’Alessio. Resuelto 11 de marzo de 1959, por unanimidad de 4 votos. Ausente el señor maestro García Rojas. Ponente: el señor ministro López Lira, 3ª. Sala. Informe 1959, p. 100. 74 Articulo 1165 .- El documento privado que contenga deuda líquida y sea de plazo cumplido, permitirá al acreedor, promover medios preparatorios a juicio, exhibiendo el documento al juez a quien se le hará saber el origen del adeudo, solicitándole que ordene el reconocimiento de la firma, monto del adeudo y causa del mismo. Para tal fin, el juez ordenará al actuario o ejecutor que se apersone en el domicilio del deudor para que se le requiera que bajo protesta de decir verdad, haga reconocimiento de su firma, así como del origen y monto del adeudo, y en el mismo acto se entregue cedula de notificación en que se encuentre transcrita la orden del juez, así como copia simple cotejada y sellada de la solicitud. De no entenderse la diligencia personalmente con el deudor cuando se trate de persona física o del mandatario para pleitos y cobranzas o actos de dominio tratándose de personas morales o del representante legal, en otros casos, el actuario o ejecutor se abstendrá de hacer requerimiento alguno, y dejara citatorio para que ese deudor, mandatario o representante legal, lo espere para la practica de diligencia judicial en aquellas horas que se señale en el citatorio, la que se practicara después de las seis y hasta las setenta y dos horas siguientes. También el actuario o ejecutor podrá, sin necesidad de providencia judicial, trasladarse a otro u otros domicilios en el que se pueda encontrar el deudor, con la obligación de dejar constancia de estas circunstancias. Si después de realizadas hasta un máximo de cinco búsquedas del deudor este no fuere localizado, se darán por concluidos los medios preparatorios a juicio, devolviéndose al interesado los documentos exhibidos y dejando a salvo sus derechos para que los haga valer en la vía y forma que corresponda. Cuando fuere localizado el deudor, su mandatario o representante, e intimado dos veces rehúse contestar si es o no es suya la firma, se tendrá por reconocida, y así lo declarara el juez. Cuando reconozca la firma, mas no el origen o el monto del adeudo, el actuario o ejecutor lo prevendrá para que en el acto de la diligencia o dentro de los cinco días siguientes exhiba las pruebas documentales que acredite su contestación. De no exhibirse, el juez lo tendrá por cierto en la certeza de la deuda señalada, o por la cantidad que deje de acreditarse que no se adeuda, al igual que cuando reconozca la firma origen o monto del adeudo. Cuando el deudor desconozca su firma se dejaran a salvo los derechos del promovente para que los haga valer en la vía y forma correspondiente pero de acreditarse la falsedad en que incurrió el deudor, se dará vista al ministerio publico. Lo mismo se hará con el mandatario o representante legal del deudor que actúe en la misma forma que lo señalado en el párrafo anterior. Cuando se tenga por reconocida la firma o por cierta la certeza de la deuda, se ordenara la expedición de copias certificadas de todo lo actuado a favor del promovente y a su costa. El actor formulara su demanda en vía ejecutiva, ante el mismo juez que conoció de los medios preparatorios acompañando la copia certificada como documento fundatorio de su acción, copias simples de estas y demás que se requieran para traslado al demandado, y se acumularan los dos expedientes y en su caso se despachara auto de ejecución. 133 los documentos mercantiles para preparar la acción ejecutiva no lleva la idea ni se refiere precisamente a que se reconozca determinado nombre o caracteres de la persona deudora u obligada en un documento, en una operación, sino que se trata del reconocimiento de los caracteres, signos o nombres que use o estampe determinada persona en un documento para obligarse a responder del contenido de ese documento o para hacer constar que ha recibido alguna cosa, por ser ese nombre, signo o caracteres, los que ha aceptado y han convenido al deudor para quedar obligado con el dueño del documento firmado o acreedor que hayan entregado la cosa. Sabido es que muchas personas ponen al calce de los documentos rayas o líneas rectas o curvas, y que resultan de ello nombres ilegibles, pero que esas personas han aceptado como su firma para hacer constar su nombre y obligación...” Algunas veces la firma la constituyen el nombre y los dos apellidos o alguno de éstos, manuscritos de una manera particular, o bien, de una o dos iniciales más un apellido, así como rasgos diversos; sin embargo, según el criterio de la Suprema Corte de Justicia antes citado, la firma puede estar constituida por los caracteres, signos o nombre que use o estampe determinada persona, en un documento para obligarse a responder del contenido de ese documento, o para hacer constar que ha recibido alguna cosa. En opinión de Planiol, no es necesariamente la reproducción de los nombres que la persona lleva según su estado civil; que sea la forma habitual de la cual la persona se sirva para firmar.75 En gran parte de los países americanos y europeos se entiende como firma completa la que se integra con el nombre y apellido; en México, el uso mercantil entiende por media firma la sola inscripción de la rúbrica o inicial, y por firma Cuando se despache auto de ejecución, se seguirá el juicio en la vía ejecutiva como marca la ley para los de su clase. La resolución que niegue el auto de ejecución será apelable en ambos efectos, y en caso contrario se admitirá en el efecto devolutivo 75 Planiol, M., Traité Elémentaire de Droit Civil, tomo II, núm. 62. 134 completa la que comprende el nombre y apellidos o bien la totalidad de los rasgos que se utilizan como firma en los documentos. En su aspecto jurídico la firma autógrafa implica el hecho de tratarse de una inscripción manuscrita, realizada de una manera particular, hecha con el ánimo de obligarse al reconocimiento del escrito en que se estampe. La firma de la persona jurídica o moral, será estampada por la persona o las persona físicas a las cuales los órganos de administración y representación hayan otorgado los poderes o facultades de obligarla con su firma, ya sea individual o colectivamente, en forma simple o mancomunada y en los términos y con las limitaciones que dichos órganos acuerden a cada persona en particular. En algunas ocasiones la firma la constituyen el nombre y los dos apellidos o alguno de éstos, manuscritos de una manera particular, o bien, de una o dos iniciales mas un apellido, así como rasgos diversos; sin embargo, según el criterio de la Suprema Corte de Justicia de la Nación antes citado, la firma puede estar constituida por los caracteres, signos o nombre que use o estampe determinada persona, en un documento para obligarse a responder del contenido de ese documento o para hacer constar que ha recibido algo. No toda firma tiene efectos jurídicos, sin embargo, para el Derecho en general, se entiende que la colocación en un documento, en una obra de arte en un escrito de la palabra o palabras, o signos que utiliza su autor para identificarse, tienen el efecto 135 jurídico respecto de las obras de arte, de identificarlas como hechas por el autor y respecto de los escritos, de identificar a la persona que los suscribe aun cuando el texto no haya sido escrito, en todo, ni en parte por esta.76 El Derecho establece diversos efectos respecto de las categorías que como prueba puede establecer la firma en un documento. Carnelutti señala que en la suscripción actual se han fundado la manifestación del autor y la declaración de patronato, que originalmente eran distintos, sin embargo, en la actualidad se conjugan con el solo efecto de identificar a aquel que está suscribiendo un documento y es así que la firma establece la presunción de que el documento vale en cuanto está firmado y si no está firmado, no tiene alguna validez; criterio que ha sido tomado por la Suprema Corte de Justicia de la Nación. En el mismo sentido se ha pronunciado la Ley de Notariado para el Distrito Federal, al establecer que la escritura o el acta será nula si no está firmada por todos los que deben firmarla según la Ley, o no contiene la mención exigida a falta de firma. Cabe hacer mención a la firma impresa por medios mecánicos ya que hay quienes sostienen que la firma debe ser siempre autógrafa y por el contrario el uso mercantil ha establecido algunas excepciones a este criterio pues muchas veces las leyes únicamente exigen que en el documento en que conste la obligación se otorgue la firma de quienes conforme a la ley deben hacerlo sin que en materia mercantil, en muchos 76 Artículos 204 y 206 del Código Federal de Procedimientos Civiles. 136 casos, se precise que ésta sea autógrafa o con tinta, como ya lo mencionamos. Lo anterior ha dado lugar a que se interprete que cuando la ley exija que la firma sea autógrafa o con tinta, deberá reunir esos requisitos, pero que cuando la ley no distingue, el intérprete tampoco debe hacerlo. La escritura a máquina o con linotipia no es autógrafa, aun cuando los respectivos teclados sean pulsados por el autor, ni lo es tampoco la que componga el autor utilizando tipos de imprenta. Esta distinción tiene importancia jurídica porque la escritura a mano contrariamente a lo que sucede con las mecanizadas, presenta particularidades y características propias de la persona que escribe, hasta el punto de que pericialmente se puede llegar a la identificación de una escritura o mejor dicho del autor de la misma aun cuando haya pretendido desfigurarla ya que los caracteres escritos ofrecen una fuerte personalidad con la que se pretende deducir de ellos las cualidades psíquicas de quien los ha trazado, a esto se encamina el arte que algunos consideran ciencia de la grafología. LA FIRMA EN EL DERECHO BANCARIO MEXICANO77 La firma en el Derecho Bancario tiene características especiales que la distinguen de la firma en general, a la que ya se ha hecho referencia con anterioridad, sin embargo, en nuestro concepto son aplicables los comentarios expuestos acerca de la firma autógrafa y sus características y sus efectos jurídicos. 77 ACOSTA ROMERO, Miguel; OP. CIT. 137 Hasta el 15 de enero de 1985 la entonces Ley General de Instituciones de Crédito y Organizaciones Auxiliares (derogada) en su artículo 102, establecía como requisitos de validez, tratándose de depósitos y operaciones bancarias los siguientes:78 1. Deberían contener escritos, o impresos con tinta, los requisitos necesarios para su validez, y 2. La firma, o firmas, de quien o quienes los suscriban. El texto del precepto en comentario, se prestaba a diversas interpretaciones: Primera: Si estos requisitos sólo eran aplicables a los títulos de crédito, o documentos necesarios para disponer de depósitos bancarios de dinero. Si se interpreta literalmente su texto se restringiría exclusivamente a ese aspecto, pero estimamos que su aplicación en el uso bancario es general, respecto de otros títulos de crédito y documentos relativos a todo tipo de operaciones bancarios y de crédito, puesto que es evidente que por razones de seguridad jurídica y de prueba, se justifique que los documentos estén impresos o escritos con tinta y la firma, consecuentemente, también reúna esa característica. 78 Artículo 102 de la Ley General de Instituciones de Crédito y Organizaciones Auxiliares (abrogada). “Salvo convenio en contrario, las condiciones generales establecidas por la institución de crédito, respecto a los depósitos en cuenta de cheques, se entenderán aplicables a todos los depósitos de esta clase, y podrán ser cambiadas libremente por la institución, previo aviso con cinco días de anticipación dado a los depositantes por escrito, o mediante publicación de avisos o su fijación en los lugares abiertos al público en las oficinas de la institución. Todo documento o título de crédito expedido para disponer de depósito bancario de dinero, y los endosos, avales y demás actos que en ellos se consiguen, deberán contener escritos o impresos con tinta, los requisitos necesarios para su validez y la firma o firmas de quien o quienes lo suscriban.” 138 Segunda: Que los requisitos necesarios para su validez estén escritos o impresos con tinta y aquí se supone generalmente que los requisitos de validez de los títulos y documentos en materia de crédito, generalmente estén impresos con tinta, se entiende que, por medios mecánicos, y sólo en casos excepcionales en forma manuscrita. Ahora bien, los requisitos de validez serán en cada caso aquellos que la Ley General, Código de Comercio, o las Leyes especiales mercantiles, señalen como necesarios para que el documento en materia de crédito tenga validez, para ello habrá que estar a lo que determine las disposiciones legales aplicables. Tercera: La firma o firmas, se entiende que deberán ser autógrafas y estampadas con tinta. Estimamos que la ausencia de estos requisitos sólo pudiera ser calificada como motivo para una nulidad relativa y de ninguna manera que sean causa de inexistencia, porque los requisitos esenciales de consentimiento y objeto se dan, y únicamente quedaría por llenar una formalidad que de ninguna manera puede ser invocada; ni como causa de inexistencia, ni como causa de nulidad absoluta, en nuestro concepto. Ello de acuerdo con lo que dispone el artículo 78 del Código de Comercio.79 En la Ley Reglamentaria del Servicio Público de Banca y Crédito de 1985 y en la Ley de Instituciones de Crédito de 1990, inexplicablemente se suprimieron estos requisitos, pero estimo que el comentario teórico y el precedente legal son válidos. 79 Código de Comercio, artículo 78: “En las convenciones mercantiles cada uno se obliga en la manera y términos que aparezca que quiso obligarse, sin que la validez del acto comercial dependa de la observancia de formalidades o requisitos determinados.” 139 Esta disposición evitó muchos problemas de interpretación y dio seguridad jurídica, pues estableció principios básicos para el trámite y cobro de documentos, con el hecho de que la firma sea estampada con tinta. Al suprimirse esta disposición, que además no se encuentra explicación alguna en la exposición de motivos de la Ley, se elimina un principio de derecho que fue muy útil en la práctica bancaria. No podemos dejar de considerar lo establecido en los artículos 52, 57 y 68 de la Ley de Instituciones de Crédito: El artículo 5280 se refiere a la celebración de operaciones y prestación de servicios por parte de las Instituciones de Crédito mediante el uso de equipos, medios electrónicos, 80 El artículo 52, de la Ley de Instituciones de Crédito, reformado por Decreto publicado en el Diario Oficial de la Federación del 4 de Junio de 2001, establece “Las instituciones de crédito podrán pactar la celebración de sus operaciones y la prestación de servicios con el público, mediante el uso de equipos, medios electrónicos, ópticos o de cualquier otra tecnología, sistemas automatizados de procesamiento de datos y redes de telecomunicaciones, ya sean privados o públicos, estableciendo en los contratos respectivos las bases para determinar lo siguiente: I. Las operaciones y servicios cuya prestación se pacte; II. Los medios de identificación del usuario y las responsabilidades correspondientes a su uso, y III. Los medios por los que se hagan constar la creación transmisión modificación o extinción de derechos y obligaciones inherentes a las operaciones y servicios de que se trate. El uso de los medios de identificación que se establezcan conforme a lo previsto por este artículo en sustitución de la firma autógrafa producirá los mismos efectos que las leyes otorgan a los documentos correspondientes y en consecuencia tendrán el mismo valor probatorio. La instalación y el uso de los equipos y medios señalados en el primer párrafo de este artículo, se sujetarán a las Reglas de carácter general que en su caso, emita la Comisión Nacional Bancaria y de Valores. 140 ópticos o de cualquier otra tecnología, sistemas automatizados de procesamiento de datos y redes de telecomunicaciones privadas o públicas. Este precepto se sustenta en la presunción legal a que se refiere el artículo 90 del Código de Comercio, reformado en mayo del 2000 en el que se establece la presunción en materia mercantil, salvo pacto en contrario, de que el mensaje proviene del emisor (atribución a la persona obligada) si ha sido enviado: i) Usando medios de identificación, tales como claves o contraseñas de él (para lo que se requerirá de un previo acuerdo entre las partes), o ii) Por un sistema de información programado por el emisor o en su nombre para que opere automáticamente. En el artículo en comento el uso de los medios de identificación que se establezcan contractualmente en sustitución de la firma autógrafa producirá los mismos efectos que las leyes otorgan a los documentos correspondientes y en consecuencia tendrán el mismo valor probatorio. Es importante destacar también que el texto de éste artículo se refleja también en la Ley del Mercado de Valores y en la reforma propuesta por el ejecutivo a la Legislación en materia de Seguros y Fianzas, que ya fue aprobada por el Congreso. En cuanto a lo establecido por el artículo 57 de la Ley de Instituciones de Crédito, que se refiere a la autorización, por parte de depositantes o inversionistas, a terceros para hacer disposiciones de dinero con cargo a la cuenta de quien los autoriza, previa autorización firmada en los registros de la Institución de Crédito. Dichas autorizaciones, Lo anterior, sin perjuicio de las facultades con que cuenta el Banco de México para regular las operaciones que efectúen las instituciones de crédito relacionadas con los sistemas de pagos y las de transferencias de fondos en términos de su ley.” 141 instrucciones o comunicaciones podrán llevarse a cabo por escrito con firma autógrafa o a través de medios electrónicos, previo convenio entre las partes. Por último, el artículo 68 de la Ley de Instituciones de Crédito que se refiere a la certificación de estados de cuenta por contador facultado de la institución de crédito que en conjunto con los contratos en los que se hagan constar los créditos otorgados por ésta, harán fe en los juicios respectivos, salvo prueba en contrario. Al respecto quisiera destacar el concepto certificación entendido como acción de certificar, dejar cierto y libre de duda, en un certificado o documento en el cual se estampa la firma de quien lo hace. LA FIRMA EN TÍTULOS DE CRÉDITO81 Además de los requisitos anteriores, tratándose de operaciones y documentos bancarios, habrá que tomar en cuenta algunas disposiciones de la Ley General de Títulos y Operaciones de Crédito respecto a la firma, especialmente lo que disponen los artículos 8°, fracción II82 y 1183 de este Ordenamiento, en relación a los artículos 29, fracción II (endoso), y 76, fracción VII (letra de cambio), 85, párrafo segundo, 111 (respecto del aval), 170, fracción VI (pagaré), 176, fracción Vi (cheque), 203 (cheque de 81 ACOSTA ROMERO, Miguel; OP. CIT. 82 Contra las acciones derivadas de un título de crédito, solo pueden oponerse las siguientes excepciones y defensas: … II.- Las que se funden en el hecho de no haber sido el demandado quien firmó el documento… 83 Artículo 11 .- Quien haya dado lugar, con actos positivos o con omisiones graves, a que se crea, conforme a los usos del comercio, que un tercero esta facultado para suscribir en su nombre títulos de crédito, no podrá invocar la excepción a que se refiere la fracción III del articulo 8o. contra el tenedor de buena fe. La buena fe se presume, salvo prueba en contrario, siempre que concurran las demás circunstancias que en este articulo se expresan. 142 viajero), 210, fracciones X y XI (obligaciones), 228, fracciones III y XI (certificados de participación), 231, fracción II, 232, fracción V (certificado de depósito y bono de prenda), de la Ley General de Títulos y Operaciones de Crédito, que hacen referencia todos ellos, a la firma en los títulos de crédito y en los diversos actos relacionados con los mismos, va sea como obligados directos, en vía de regreso, por aval, por endoso, o por alguna otra situación en que se exija la firma en esos documentos. La Ley de Instituciones de Crédito de 1990, contempla lo referente a la firma en los artículos 62, en que uno de los requisitos de los certificados de depósito bancario de dinero a plazo, es la firma del emisor, el artículo 63, en el acta de emisión de los bonos bancarios deberá contener el nombre y firma de la emisora, artículo 63, fracción III, y el artículo 64, que remite al numeral 63 de la propia Ley, respecto de los requisitos que deben tener las obligaciones subordinadas. Son fundamentales para la clasificación de la firma en los títulos de crédito, todas aquellas disposiciones que hablan de que los mismos deben estar firmados o suscritos por: el emisor, librador, aceptante, girador, endosante, avalista, etc,, de donde se concluye que la firma es un requisito indispensable para que el título de crédito tenga validez, puesto que sin ella no se podrá ejercitar acción alguna derivada del título. La ley actual no prevé el reconocimiento de firma por parte de autoridades o fedatarios en los títulos de crédito, para darles el carácter de ejecutivos, lo cual es un adelanto y 143 facilita su circulación. Salvo en los casos de los bonos bancarios, situación que a mi juicio ya no se justifica en nuestros días. En todo caso, aquella persona que no haya firmado un documento, o cuya firma haya sido falsificada, puede oponer excepciones derivadas en esas circunstancias, la Suprema Corte de Justicia de la Nación, lo ha establecido así. 84 Ahora bien, por definición, cuando se habla de firma, el uso bancario ha entendido que ésta debe ser autógrafa y en este sentido casi se orienta la doctrina en general, a considerar autógrafa a la firma que, como dicen los usos mercantiles, es de puño y letra de quien la estampa. Puede afirmarse que el origen y principio de toda obligación en materia de títulos de crédito, es la firma autógrafa, misma que no puede ser sustituida por la impresión digital 84 “La excepción opuesta por el demandado de que él no firmó el título de crédito base de la acción deducida, corresponde demostrarla al propio demandado, porque de igual manera que al actor toca probar los hechos constitutivos de su acción, al demandado corresponde la prueba de los que integran sus excepciones (artículo 8°,fracción II de la Ley General de Títulos y Operaciones de Crédito); tanto más que, si bien la excepción consiste en la negativa de haber firmado la demandada la letra base de la acción cambiaria ejercida, se advierte sin dificultad que se trata de una negación que envuelve la afirmación, que dicha parte sí estuvo en posibilidad de acreditar, de que la firma que, como suya, aparece en el documento, es falsa; aparte de que la misma Ley, atendiendo a las necesidades de la rápida circulación de los títulos de crédito, al suprimir la exigencia legal anterior de la ratificación de las firmas de los suscriptores de tales documentos, entonces establecida como condición para que se consideren ejecutivos, lo hizo partiendo de la base de presumir, salvo prueba en contrario cuya carga recae en el demandado que la objete, la autenticidad de las susodichas firmas. Directo 4019/1956. Dolores Guadarrama Vda. de Reza. Resuelto el 17 de julio de 1957, por unanimidad de 5 votos. Ponente: ministro García Rojas. Secretario: Lic. Alfonso Arbitia A. 144 o por la firma a ruego, que sólo podrá ser estampada por los medios mecánicos, en los términos que habremos de comentar más adelante. Resulta cuestionable asimismo la aplicación de lo establecido en las reformas de mayo del 2000 (artículo 93 del Código de Comercio) en lo relativo a títulos de crédito, toda vez que si bien es cierto que en el Código de Comercio se establece que “cuando la ley exija la forma escrita para los contratos y la firma de los documentos relativos, esos supuestos se tendrán por cumplidos tratándose de mensaje de datos siempre que éste sea atribuible a las personas obligadas y accesible para su ulterior consulta”, la Ley Especial, es decir la de Títulos y Operaciones de Crédito, no menciona nada al respecto y siguiendo el principio de especialidad de la Ley, la firma en títulos de crédito debe ser autógrafa. Asimismo, tratándose de títulos de crédito,85 para que un tercero pueda firmarlos a nombre y por cuenta de otro, estará en los supuestos siguientes: 1. Si se trata de una persona jurídica colectiva, o una persona física que sepa leer y escribir, tendrán que llenarse los requisitos establecidos en los artículos 9°y 85, 85 Véase Acosta Romero, Miguel, Legislación Bancaria, op. cit., artículo 47. “El artículo 167 de la Ley General de Títulos y Operaciones de Crédito, previene que es ejecutiva la acción cambiaria contra cualquiera de los signatarios de la letra, incluyendo intereses y gastos accesorios, sin necesidad de que reconozca previamente la firma el demandado,y este precepto en lo conducente se aplica al pagaré de acuerdo con lo que establece el artículo 174 de dicha Ley; por consiguiente. es inexacto para la eficacia probatoria de los documentos mercantiles señalan los artículos 1241 y 1296 del Código de Comercio.” 145 párrafo segundo de la Ley General de Títulos y Operaciones de Crédito, este último aplicable a letras de cambio. 2. En el supuesto de una persona física que no sepa, o no pueda leer, o escribir, tendrá que recurrirse a un fedatario ante el cual se otorgará el poder correspondiente a un tercero, para que éste firme los títulos de crédito. LA FIRMA EN LOS TÍTULOS DE CRÉDITO EMITIDOS EN SERIE86 Consideramos que los títulos emitidos en serie, de acuerdo con nuestra legislación son los siguientes: 1. Las acciones de Sociedades Mercantiles. 2. Las Obligaciones de Sociedades Mercantiles. 3. Bonos Bancarios. 4. Obligaciones Subordinadas. 5. Los Certificados de Depósito y los Bonos de Prenda. 6. Los Certificados de Participación. 7. Los Certificados de Depósitos Diversos, expedidos por Nacional Financiera. 8. El conocimiento de embarque. 9. Certificados de Aportación Patrimonial de las SNC. 10. Certificados de la Tesorería de la Federación (CETES). No es propósito de éste trabajo el entrar al análisis de las características de este tipo de títulos y únicamente nos restringimos a señalar que la firma en tales títulos, es un requisito que exigen las leyes para el emisor, para el representante común de los Amparo directo 9106/1961. Agustín Vigueras Téllez Such, enero 7 de 1963. Unanimidad de 4 votos. Ponente: ministro José Castro Estrada. 38 Sala. Sexta época. Volumen LXVII, Cuarta parte (38 Sala. Boletín 1957, p. 492). 86 ACOSTA ROMERO, Miguel; OP. CIT. 146 tenedores, y en su caso, para aquellos que garanticen los títulos en los supuestos en que la ley permite esta situación. Algunas disposiciones de las que hemos citado, exigen que tanto en el acta de emisión, como en los títulos seriales, firmarán él, o los administradores de la sociedad autorizados para ese efecto, conforme al acta constitutiva y sus reformas, o en mandato especial para ello; puede darse la posibilidad de que en uno o varios administradores recaiga la responsabilidad de llevar, lo que en el uso mercantil se denomina como la firma social, y en otros, la facultad de firmar títulos de crédito emitidos en serie. Interpretando los diversos preceptos, creemos que tratándose de bonos bancarios y obligaciones subordinadas, la firma de la emisora deberá ser autógrafa respecto del, o de los administradores que lleven la firma social, por así exigirlo la Ley; en los demás casos, pudieran ser otras personas que se señalen para ese efecto, en los estatutos de la emisora y en realidad, el Uso Bancario se ha orientado en este sentido, ya que es evidente, y ya lo comentamos en otra parte de este estudio, es difícil que los administradores tengan el tiempo necesario y suficiente, para firmar miles de títulos en serie, por lo que para ello nombran a alguna persona que se encargue de ello y que, en la jerga mercantil, se les denomina como: “firmones”, ya que esa es su principal actividad. A título de comentario estimo que los títulos emitidos en serie están desapareciendo de la vida práctica y se están sustituyendo por asientos de cargo y abono en contratos de 147 administración de valores manejados por computadora, como es el caso de los macrotítulos a que se refiere la Ley del Mercado de Valores. Por lo que hace a los certificados de participación, la ley es más clara y específica, ya que en el artículo 228, fracción III, de la Ley General de Títulos y Operaciones de Crédito, exige, como uno de los requisitos que deben tener los certificados, la firma autógrafa del funcionario de la emisora, autorizado para suscribir la emisión correspondiente. Este artículo es bastante claro en cuanto que no habla de administradores, sino de funcionario autorizado por la emisora para suscribir la emisión y exige textualmente, que su firma deba ser autógrafa, es decir de su puño y letra. CONCEPTOS RELACIONADOS CON LA FIRMA:87 El Conocimiento de firma. El conocimiento de firma es muy utilizado en los usos bancarios y mercantiles, sin embargo, no está regulado por ningún precepto legal, ni del Código de Comercio, ni de las leyes especiales mercantiles, y consiste en que una persona estampa su firma en un título de crédito y hace constar que conoce como igual o legítima, la firma de otra persona, que regularmente aparece en el título, antes de la de conocimiento. Se utiliza sobre todo en materia de cheques, por el hecho de que los cuenta-habientes de las instituciones de crédito tienen registrada su firma y ello es un principio de prueba 87 ACOSTA ROMERO, Miguel; OP. CIT. 148 de identificación, entonces, al identificar la otra firma del tenedor de un título de crédito, están propiamente identificando a éste. Asimismo, las instituciones generalmente utilizan el sistema de dar conocimiento de firma en títulos de crédito, respecto de aquellas que tienen registradas en sus tarjetas de identificación, y así hacen constar que son iguales a las del documento en que está estampada la firma, por lo cual señalan que es de aquella persona cuyo registro de firmas tienen con anterioridad. Este uso bancario tiende a facilitar la identificación de las personas por medio de su firma, sobre todo de aquellos que carecen de otros medios más eficaces de identificación, de tal manera que el uso ha hecho que esta práctica se conozca con el nombre de conocimiento de firma y se utilice para identificar ya sea al librador de un cheque, al beneficiario, o al tenedor de otros títulos de crédito que aceptan este procedimiento como medio de identificación también, en nuestro concepto, puede llegar esta identificación de la firma a otros documentos como los giros telegráficos. En la práctica bancaria las instituciones sólo aceptan dar conocimiento de firma en títulos que son suscritos por aquellas personas que tienen la calidad de sus cuentahabientes, o bien, por instituciones de crédito del país, de las que tengan catálogos de firmas y de sus funcionarias que identifican al tenedor. 149 La laguna de la legislación en este aspecto es grave, sin embargo, estimamos que aquí el uso bancario ha sido generador de derecho. La Ley Reglamentaria del Servicio de Banca y Crédito de 1982 como la de 1985 así como la Ley de Instituciones de Crédito de 1990, no colmaron la laguna antes citada. El catálogo de firmas. El catálogo de firmas es otra institución relacionada con estos conceptos, que tampoco está regulada en ningún ordenamiento legal, pues no hacen referencia a él directamente, ni el Código de Comercio, ni las leyes mercantiles especiales. Se fundamenta en la fracción segunda del artículo noveno de la Ley General de Títulos y Operaciones de Crédito88, en el que se establece que la representación para otorgar o suscribir títulos de crédito se puede conferir por simple declaración escrita dirigida al tercero con quien habrá de contratar el representante. En estos acuerdos, se deberán fijar la extensión y límites de aquellas personas que, como se indica en el uso mercantil, puedan obligar a la institución, y determinar en qué casos y para qué efectos los funcionarios y empleados designados pueden usar la firma, ya sea unitaria o mancomunadamente. Generalmente en el poder que se otorga, 88 ARTICULO 9.- La representación para otorgar o suscribir títulos de crédito se confiere: I.- Mediante poder inscrito debidamente en el Registro de Comercio; y II.- Por simple declaración escrita dirigida al tercero con quien habrá de contratar el representante. En el caso de la fracción I, la representación se entenderá conferida respecto de cualquier persona y en el de la fracción II sólo respecto de aquella a quien la declaración escrita haya sido dirigida. En ambos casos, la representación no tendrá más límites que los que expresamente le haya fijado el representado en el instrumento o declaración respectivos. 150 se hace constar el acuerdo y se da a conocer la representación por medio de circulares, en las que también se estampa la firma de los funcionarios y empleados nombrados. Aquí también el uso bancario ha sido creador de normas jurídicas. EI catálogo de firmas es un documento generalmente de hojas sustituibles, que contiene autógrafas, o impresas, las firmas de los funcionarios y empleados autorizados, en los términos a que nos referimos en el párrafo anterior, para obligar a la institución. En primer lugar, se señala a aquellos que pueden suscribir títulos de crédito u otra clase de documentos en los que se obliga a la institución, por ejemplo, giros, órdenes de pago, traspaso de fondos, certificaciones de cheques, certificación de pago parcial de cheques, certificación de insuficiencia de fondos en cuentas de cheques, etcétera. El catálogo como se dijo, mantiene en hojas sustituibles para el efecto de tenerlo al día, con las modificaciones y cambios por renuncias, o por cualquier otra causa. Se clasifican las firmas en dos grandes ramas: las firmas “A” y las firmas “B”, generalmente también se expresan en el mismo catálogo qué personas de la firma “A”, pueden obligar con su sola firma a la institución, y también qué firmas de la “A” o la “B” concurren a establecer la obligación de la empresa. Además, el uso bancario ha establecido que abajo de la firma, se estampe un número de identificación del funcionario. 151 Este catálogo generalmente es impreso o fotocopiado y se envía, en primer lugar, a todas las dependencias de la institución tanto metropolitanas como foráneas, a sus corresponsales en la República y en el extranjero, así como a las oficinas de otras instituciones de crédito con las cuales tengan relaciones comerciales e igualmente se mantiene al día el servicio de modificaciones. En la práctica bancaria, el que una institución tenga en su poder un catálogo de firmas, no la obliga al pago indiscriminado de los cheques o giros de otra institución, a menos que exista un convenio expreso entre ellas, para ese efecto. El catálogo de firmas, consideramos que sirve para efectos de identificación y para establecer qué personas pueden firmar qué tipo de documentos, obligaciones, o en último caso qué títulos de crédito y hasta qué cantidad. Es importante mantener el catálogo de firmas al día, ya que de no ser así, ello puede originar la falta de pago de giros bancarios, órdenes de pago, etcétera, por desconocer la firma recientemente autorizada. Estimamos que la Legislación Bancaria en el futuro, debe hacer referencia al catálogo de firmas y sus efectos jurídicos. La firma impresa por medios mecánicos. Hay quien sostiene que la firma debe ser siempre autógrafa y por el contrario, el uso mercantil ha establecido algunas 152 excepciones a este criterio, pues muchas veces las leyes únicamente exigen que en el documento en que conste la obligación, se otorgue la firma de quienes conforme a la ley deben hacerlo sin que en materia mercantil, en muchos casos, se precise que ésta sea autógrafa o con tinta como ya lo mencionamos. Lo anterior ha dado lugar a que se interprete que, cuando la ley exija que la firma sea autógrafa o con tinta, deberá reunir esos requisitos, pero que cuando la ley no distingue, el intérprete tampoco debe hacerlo.89 El uso mercantil y bancario se han ido orientando a que la ley no establece que la firma sea autógrafa o con tinta, y sobre todo, en los títulos de crédito seriales que implican la firma de miles y miles de documentos, ésta puede estamparse por medios mecánicos según veremos más adelante. Desde luego, no es aplicable a la firma que se imprime por medios mecánicos, la posibilidad de que pueda suplir la huella digital o firma a ruego. 89 La escritura a máquina o con linotipia no es autógrafa, aun cuando los respectivos teclados sean pulsados por el autor; ni lo es tampoco la que componga el autor utilizando tipos de imprenta. Esta distinción tiene importancia jurídica, porque la escritura a mano, contrariamente a lo que sucede con las mecanizadas, presenta particularidades y características propias de la persona que la escribe, hasta el punto de que pericialmente se puede llegar a la identificación de una escritura o, mejor dicho, del autor de la misma, aun cuando haya pretendido desfigurarla. Más todavía: los caracteres manuscritos ofrecen tan fuerte personalidad que se pretende deducir de ellos las cualidades psíquicas de quien los ha trazado. A este fin se encamina el arte, que algunos consideran ciencia, de la grafología. Enciclopedia Jurídica Omeba. Tomo primero, p. 958. Editorial Bibliográfica Argentina. Julio, 1968. 153 La necesidad de acelerar las operaciones mercantiles y el gran volumen que a veces adquieren éstas ha hecho que cada día, las empresas y las instituciones de crédito, utilicen con más frecuencia medios mecánicos que redundan en la economía de tiempo, y evitan que las personas exclusivamente se dediquen a firmar documentos, pues resultaría ilógico que por ejemplo, el director general de un banco, dedicara la mayor parte de su tiempo a firmar títulos en serie, en lugar de atender las cuestiones trascendentales del banco. Los medios mecánicos más utilizados, son los siguientes: 1. Facsímil. 2. Las máquinas de firma. El facsímil es la reproducción de la firma en sellos que pueden ser de goma o metálicos, y qué mediante su impregnación de tinta en cojines, receptores de éste, el sello puede ser estampado en cualquier escrito o documento. La etimología, conforme al diccionario de la palabra facsímil, quiere decir lo siguiente:90 imitación, semejanza, etcétera. El sello de goma o metálico o de plástico, que contiene lo que podríamos calificar “de la copia en relieve de la firma autógrafa”, se puede utilizar en forma manual o bien, por 90 Facsímile. (Del latín Fac. Irnperat de facere, hacer, y simple, semejante.) M. Exacta imitación de un escrito, dibujo, firma, etc. Ad.” “Facsímil. M. Facsímile. Abad.” Nueva Enciclopedia Sopena. Diccionario 154 otros medios mecánicos para estamparla más rápidamente. El uso comercial y administrativo hace por ejemplo, que se utilice en los términos siguientes: a) Para estampar el facsímil en las copias de la correspondencia, cuyo original va firmado, para evitar pérdidas de tiempo a los funcionarios que firman. b) Para estamparla en la correspondencia de las empresas que por su volumen implique un gran número de cartas dirigidas a clientes, proveedores, etcétera, y que contenga generalmente datos informativos de diversa índole, en fin, qué por su volumen como ya se dijo, resulte muy difícil o laborioso la firma autógrafa. c) En ciertos casos se usa el facsímil en sello metálico para estamparlo en el sitio adecuado del librador de cheques, sobre todo, tratándose de instituciones o empresas que expidan una cantidad enorme de éstos, por ejemplo el Gobierno Federal, algunas organizaciones descentralizadas como la Universidad Nacional Autónoma de México, para el pago de sueldos a sus trabajadores, etcétera, en estos casos generalmente se acepta que previo convenio entre el librador y librado, se establezcan las responsabilidades que pueden resultar a aquél por el mal uso que sus funcionarios o empleados pudieran hacer de él. El uso bancario cada día más frecuente en este aspecto, ha estimado que, como ya se dijo, al hablar la ley de firma, las partes pueden convenir en entender por firma el uso de facsímil, siempre y cuando exista convención entre librador y librado, pues de otra manera aquél rechazaría el pago de los cheques que no llevaran la firma autógrafa y ilustrado de la Lengua Española. Tomo II, p. 1044. Editorial Ramón Sopena, S. A. Provenza 95, Barcelona, 1955. 155 esa convención, creemos que puede ser válida atento a los términos del artículo 78 del Código de Comercio. El único caso, de acuerdo con nuestra legislación, en que la ley prevé el uso del facsímil, es en la de las acciones de las sociedades anónimas,91 es decir, se permite que estén firmadas con facsímil, pero con la condición de que sea depositado un ejemplar del original de la firma en el Registro Público de Comercio y dicha firma se supone que sea la autógrafa y no del facsímil, porque resulta muy difícil hablar de original de facsímil, a menos que se entendiera por éste el molde en el que se haga, el cual puede reproducirse tantas veces como quieran los interesados. A partir de agosto de 1985, los Reglamentos Orgánicos de las Sociedades Nacionales de Crédito de Banca Múltiple, publicados en el Diario Oficial de 29 de julio de 1985, se introduce la posibilidad, de que la firma que estampen los consejeros en los Certificados de Aportación Patrimonial, sean impresas en facsímil, debiendo depositar el original en el Registro Público de Comercio (art. 8). La máquina de firma. En cierta época y en el uso comercial de Estados Unidos hacia 1912, se inventó una máquina destinada a la múltiple reproducción de la firma autógrafa que, tal como la describe la Enciclopedia Espasa Calpe, resulta ser en realidad un pantógrafo, es decir, una máquina que con engranaje y palancas acciona una serie de 91 Artículo 125 de la Ley General de Sociedades Mercantiles. 156 plumas que siguen el trazo original y estampan en varios documentos a la vez la firma autógrafa, tal como la escribe la persona que la acciona. Esta máquina parece ser poco práctica, porque el número de documentos que podría firmar es bastante limitado y el espacio que ocuparía sería muy grande. En México no se conoce ni se utiliza este tipo de máquinas. LA FIRMA EN MATERIA DE FIANZAS92 Las pólizas de las fianzas son suscritas normalmente por personas que tienen autorización, ya sea de la Asamblea General o del Consejo de Administración para suscribirlas. También la suscripción en este aspecto sigue las reglas que hemos comentado en los catálogos de firmas, firmas A y firmas B, y se establece un límite en cuanto al monto, de acuerdo con las facultades que en cada caso señalen los órganos administradores. Los artículos 13, 82, 84 y 96 de la Ley Federal de Instituciones de Fianzas hacen referencia a las firmas en las pólizas de fianzas, y que el facsímil de las mismas, se publica en el Diario Oficial de la Federación.93 92 ACOSTA ROMERO, Miguel; OP. CIT. 93 Decreto por el que se reforma y adiciona la Ley Federal de Instituciones de Fianzas, Diario Oficial, 29 de diciembre de 1981. 157 Para ese efecto, la Comisión Nacional de Seguros y Fianzas anualmente solícita de cada institución los datos relativos a la denominación de la sociedad, nombres y apellidos de las personas que firmarán, su nombramiento y si son firmas A o B, y las variaciones que en las firmas se aprueben. Anualmente y mediante oficio circular que se publica en el Diario Oficial de la Federación, la Comisión Nacional de Seguros y Fianzas hace del conocimiento de las autoridades Federales, Estatales, Municipales y del público, las firmas autorizadas; el facsímil aparece respecto de cada compañía, también publicado en el Diario Oficial de la Federación. LA FIRMA EN PÓLIZAS DE SEGUROS94 En materia de seguros no se utilizan los facsímiles de los funcionarios autorizados para suscribir las pólizas de seguros, sino que la firma empleada es por lo general autógrafa. No existe un procedimiento similar al de las fianzas, toda vez que hasta ahora ha sido un uso mercantil el aceptar las pólizas y parece ser que no ha habido problemas en cuanto a falsificación, por lo menos de tal envergadura, que obligara a tomar a las autoridades la decisión de establecer un procedimiento similar al de las afianzadoras. También en el uso comercial, en alguna ocasión, las pólizas de seguros son refrendadas por los agentes autorizados al efecto. 94 ACOSTA ROMERO, Miguel; OP. CIT. 158 CARACTERÍSTICAS DE LA FIRMA De las anteriores definiciones se desprenden las siguientes características: IDENTIFICATIVA: Sirve para identificar quién es el autor del documento. DECLARATIVA: Significa la asunción del contenido del documento por el autor de la firma. Sobre todo cuando se trata de la conclusión de un contrato, la firma es el signo principal que representa la voluntad de obligarse. PROBATORIA: Permite identificar si el autor de la firma es efectivamente aquél que ha sido identificado como tal en el acto de la propia firma. ELEMENTOS DE LA FIRMA .- Al respecto es necesario distinguir entre: I.- ELEMENTOS FORMALES.- Son aquellos elementos materiales de la firma que están en relación con los procedimientos utilizados para firmar y el grafismo mismo de la misma: La firma como signo personal. La firma se presenta como un signo distintivo y personal, ya que debe ser puesta de puño y letra del firmante. Esta característica de la firma manuscrita puede ser eliminada y sustituida por otros medios en la firma electrónica. El animus signandi. Es el elemento intencional o intelectual de la firma. Consiste en la voluntad de asumir el contenido de un documento, que no debe confundirse con la voluntad de contratar, como señala Larrieu. 159 II.- ELEMENTOS FUNCIONALES. Tomando la noción de firma como el signo o conjunto de signos, podemos distinguir una doble función: Identificadora. La firma asegura la relación jurídica entre el acto firmado y la persona que lo ha firmado. La identidad de la persona nos determina su personalidad a efectos de atribución de los derechos y obligaciones. La firma manuscrita expresa la identidad, aceptación y autoría del firmante. No es un método de autenticación totalmente fiable. En el caso de que se reconozca la firma, el documento podría haber sido modificado en cuanto a su contenido falsificado- y en el caso de que no exista la firma autógrafa puede ser que ya no exista otro modo de autenticación. En caso de duda o negación puede establecerse la correspondiente pericial caligráfica para su esclarecimiento. Autenticación. El autor del acto expresa su consentimiento y hace propio el mensaje: o Operación pasiva que no requiere del consentimiento, ni del conocimiento siquiera del sujeto identificado. o Proceso activo por el cual alguien se identifica conscientemente en cuanto al contenido suscrito y se adhiere al mismo. La firma es el lazo que une al firmante con el documento en que se pone 95 , el nexo entre la persona y el documento. Para establecer ese lazo, la firma no necesita ni ser nominal ni ser legible; esto es, no requiere expresar de manera legible el nombre del 95 La Firma Elerctrónica: Comunicación discutida en sesión del pleno de académicos de número el día 5 de junio del 2000. Real Academia de Jurisprudencia y Legislación; publicada en sus Anales 2000. Antonio Rodríguez Adrados. 160 firmante; en una palabra no requiere aptitud para desempeñar aquella función identificativa de la firma a la que nos referíamos en párrafos anteriores, que señalaba Carnelutti y de la que los “informáticos” han hecho propia, pero que ni antes ni mucho menos ahora los documentos escritos acostumbran a cumplir; los documentos, en efecto, no suelen indicar mediante la firma quien es su autor (ni quienes son las demás personas que en ellos intervienen), sino que lo hacen en su encabezamiento (inscriptio, praescriptio), o en el cuerpo del documento; a lo que quiero llegar y polarizando hacia la firma electrónica, es que la función identificativa de la firma es una exigencia de la contratación a distancia y no de los conceptos tradicionales de documento y firma. La firma, al constituir el lazo o nexo de la persona con el documento, debe ser documental y personal y ha de haber sido puesta en el documento por el firmante “en persona”96. La idea anterior suele expresarse como “manuscritura” (escritura con la propia mano, del puño y letra del suscribiente), pero se debe ampliar a cualquier otra “grafía” puesta en el documento por el firmante mismo, es decir a toda “autografía”, de ahí el término de “firma autógrafa”. Es decir, lo que resulta destacar es la actuación del firmante mismo en el documento y en éste orden de ideas la “manuscritura” puede ser sustituida por cualquier otra “grafía” del firmante que necesariamente haya de ser personal, como hasta ahora viene ocurriendo con la huella digital pero no por otra grafía que pueda ser impuesta por un tercero o por procedimientos que permitan a terceros imponerla. 96 Op cit. 161 El uso mercantil y bancario han ido orientándose a que la “firma” pueda estamparse por medios mecánicos como pueden ser el facsímil y las máquinas de firma, para poder considerarla se requiere de un acuerdo previo entre las partes en el que se haga constar que el “supuesto firmante” asume la responsabilidad. Por lo anterior, en lo particular, cuestiono el denominativo de firma al símbolo estampado por un tercero por medio de facsímil o “máquinas de firma”. Resumiendo, la función primordial de la firma no es entonces la identificación del firmante, sino la de ser el instrumento de su declaración de voluntad, que exige esa actuación personal del firmante en la que declara que aquello es un documento y no un proyecto o un borrador, que el documento está terminado y declara que el firmante asume como propias las manifestaciones, declaraciones o acuerdos que contiene. Algunos autores97 consideran que la firma como exteriorización de la declaración de voluntad de una persona es imprescindible en los documentos comerciales, no es un mero requisito, la cual precisa de una actuación personal del firmante, una actuación física, corporal del firmante mismo, porque solo así puede ser instrumento de su declaración de voluntad. En éste sentido no estoy de acuerdo, ya que considero que si la firma es la exteriorización de la declaración de voluntad de una persona, ésta exteriorización puede hacerse por otro medio, como pudiera ser el electrónico siempre que la haga el firmante o legalmente se atribuya a él. Y aquí retomo lo comentado en párrafos anteriores sobre la función identificativa de la firma, pero ahora con el 97 Op cit 162 calificativo de electrónica, pues ésta sí requiere de identificación del autor para dar certeza de que es él y no un tercero quien declara su voluntad, de ahí el concepto de UNICITRAL de “equivalente funcional de la firma”. En cuanto al concepto de equivalencia funcional de la firma y a manera de resumen, considero que resulta de utilidad el siguiente cuadro que refleja la distinción entre la firma autógrafa y la firma electrónica: FIRMA FIRMA AUTÓGRAFA ELECTRÓNICA La firma como signo personal. X X El animus signandi, voluntad de asumir el contenido de un documento. ELEMENTOS FUNCIONALES X X Función Identificadora, relación jurídica entre el acto firmado y la persona que lo ha firmado. Función de Autenticación. El autor del acto expresa su consentimiento y hace propio el mensaje INTEGRIDAD X X X X ELEMENTOS FORMALES.- ACCESIBILIDAD X X 163 6.- FIRMA ELECTRÓNICA La firma electrónica tiene muy poco tiempo de haber surgido debido a la necesidad de un mundo globalizado en donde las transacciones y la interacción entre individuos son impersonales y sin vínculos físicos, haciendo de la identificación un problema y requerimiento de primera necesidad. Los medios tradicionales de identificación pierden validez en el mundo electrónico, surgiendo así medios digitales de identificación. En mayo de 1995 en los Estados Unidos de América fue emitida la primera ley sobre firmas digitales por el Estado de Utah y es conocida como “Utah Digital Signature Act”; el Comité de Seguridad de la Información de la División de Comercio Electrónico, de la American Bar Association, emitió en agosto de 1996 la “Guía de Firmas Digitales”. El 15 de Agosto de 1997 en la Conferencia Nacional de Comisionados sobre Derecho Estatal Uniforme, elaboró el borrador de lo que será la “Uniform Electronic Transactions Act” que fue aprobada el 30 de julio de 1999. Además el 30 de junio de 2000, se emitió la “Electronic Signatures in Global and National Commerce Act”. En otros países como es el caso de Italia, el 15 de marzo de 1997 fue publicado el “Reglamento sobre: Acto, Documento y Contrato en forma electrónica”. En Argentina el 17 de marzo de 1997 el Sub-Comité de Criptografía y Firma Digital, dependiente de la Secretaría de la Función Pública emitió la resolución 45/97. En Alemania el 13 de junio de 1997 fue promulgada la Ley sobre Firmas Digitales y el 7 de junio del mismo año, fue publicado su Reglamento. En la Comunidad Económica Europea se emitió el Real Decreto Español sobre Firmas Electrónicas en el mes de septiembre de 1999 y 164 Directivas en materia de Firmas Electrónicas en noviembre de 1999. El 16 de diciembre de 1996 se emitió la Ley Modelo de la Comisión de las Naciones Unidas para el Derecho Mercantil Internacional (CNUDIM), la cual es una sugerencia a cada país para eliminar diferencias en la legislación interna y se contribuya a garantizar la seguridad jurídica internacional en el comercio electrónico; y el 5 de julio de 2001 es adoptado por la misma Comisión la Ley Modelo sobre Firmas Electrónicas. En Estados Unidos A finales de la década de los setenta, el gobierno de los Estados Unidos publicó el Data Encryption Standard (DES) para sus comunicaciones de datos sensibles pero no clasificados. El 16 de abril de 1993, el gobierno de los EE.UU. anunció una nueva iniciativa criptográfica encaminada a proporcionar a los civiles un alto nivel de seguridad en las comunicaciones: proyecto Clipper. Esta iniciativa está basada en dos elementos fundamentales: Un chip cifrador a prueba de cualquier tipo de análisis o manipulación (el Clipper chip o EES (Escrowed Encryption Standard) y Un sistema para compartir las claves secretas (KES -Key Escrow System) que, en determinadas circunstancias, otorgaría el acceso a la clave maestra de cada chip y que permite conocer las comunicaciones cifradas por él. En EE.UU. es donde más avanzada está la legislación sobre firma electrónica, aunque el proyecto de estandarización del NIST (The National Institute of Science and Technology) no lo consiga. El NIST ha introducido dentro del proyecto Capstone, el 165 DSS (Digital Signature Standard) como estándar de firma, si bien todavía el gobierno americano no ha asumido como estándar su utilización. El NIST se ha pronunciado a favor de la equiparación de la firma manuscrita y la digital. La ley de referencia de la firma digital, para los legisladores de los Estados Unidos, es la ABA (American Bar Association), Digital Signature Guidelines, de 1 de agosto de 1996. El valor probatorio de la firma ha sido ya admitido en Utah, primer estado en legislar sobre firma digital. La firma digital de Utah (Digital Signature Act Utah de 27 de febrero de 1995, modificado en 1996) se basa en un "Criptosistema Asimétrico" definido como un algoritmo que proporciona una pareja de claves segura. Sus objetivos son, facilitar el comercio por medio de mensajes electrónicos fiables, minimizar la incidencias de la falsificación de firmas digitales y el fraude en el comercio electrónico. La firma digital es una transformación de un mensaje utilizando un criptosistema asimétrico, de tal forma que una persona que tenga el mensaje cifrado y la clave pública de quien lo firmó, puede determinar con precisión el mensaje en claro y si se cifró usando la clave privada que corresponde a la pública del firmante. 166 Esta ley establece la presunción de que una firma digital tiene el mismo efecto legal que una firma manuscrita si se cumplen ciertas existencias; una de las exigencias es que la firma digital sea verificada por referencia a una clave pública incluida en un certificado válido emitido por una autoridad de certificación con licencia. El Estado de Utah ha redactado un proyecto de ley (The Act on Electronic Notarization) en 1997. California define la firma digital como la creación por ordenador de un identificador electrónico que incluye todas las características de una firma válida, aceptable, como : Única Capaz de comprobarse Bajo un solo control Enlazándose con los datos de tal manera que si se cambian los datos se invalide la firma Adoptada al menos como un estandar por dos de las organizaciones siguientes: - The International Telecommunication Unión. - The American National Standards Institute. - The Internet Activities Board. - The National Institute of Science and Technology. - The International Standards Organization. Podemos hacer referencia también a: 167 ABA, Resolution concerning the CyberNotary: an International computertransaction specialist, de 2 de agosto de 1994. The Electronic Signature Act Florida ,de mayo de 1996 que reconoce la equivalencia probatoria de la firma digital con la firma manual. En esta ley se usa el término de "international notary" en vez del "cybernotary" utilizado en otras leyes de EE.UU. The Electronic Commerce Act, de 30 de mayo de 1997, que hace referencia al cybernotary. The Massachusetts Electronic Records and Signatures Act, de 1996, que acoge todo mecanismo capaz de proporcionar las funciones de la firma manuscrita sin ceñirse a un tipo concreto de tecnología. NCCSL –El 15 de agosto de 1997, la Conferencia Nacional de Comisionados sobre Derecho Estatal Uniforme, elaboró la “Uniform Electronic Transactions Act” (UETA), la cual se aprobó el 30 de julio de 1999. –El 4 de agosto del 2000 se aprobó la “Uniform Computer Information Transactions Act” (UCITA), la cual se encuentra en proceso de adopción por los diversos Estados de la Unión Americana. PRESIDENCIA –El 30 de junio el 2000 se emite la “Electronic Signatures in Global and National Commerce Act” (E-Sign Act.) vigente a partir del 1 de octubre del 2000 (otorgando a la firma y documento electrónico un estatus legal equivalente a la firma autógrafa y al documento en papel). 168 Como ya se anotó, en algunos estados de la Unión Americana se distingue entre firma electrónica y firma digital, a continuación presento un cuadro que muestra por Estado la definición adoptada: Definiciones de firma electrónica en la legislación estatal americana: 98 State Bill/Statute AL Alabama Uniform Transaction Act AK An electronic or a digital method that is (1) executed or adopted by a person, including a state agency, with the 1997 Alaska Senate Bill 232 intent to be bound by or to authenticate a record; (2) unique Act relating to electronic to the person using it; (3) capable of verification; (4) under signatures, electronic records the sole contract of the person using it; and (5) linked to and public records data in a manner that, if the data is changed, the electronic signature is invalidated. AZ "Electronically signed communication" means an electronic Arizona Administrative Code, message that has been processed in such a manner that Title 2, Ch. 12, Art. 5. the message is tied to the individual who signed the "Electronic Signatures" message. AZ An "Electronic Signature" is "an electronic or digital method of identification that is executed or adopted by a person with Arizona Revised Statutes §41- the intent to be bound by or to authenticate a record." "An 121, §41-132; (1998 Arizona electronic signature shall be unique to the person using it, House Bill 2518) shall be capable of reliable verification and shall be linked to a record in a manner so that if the record is changed the electronic signature is invalidated." AZ "Electronic Signature" means an electronic sound, symbol Arizona Revised Statutes, or process that is attached to or logically associated with a amending § 41-121 (1999 AZ record and that is executed or adopted by an individual with HB 2234) the intent to sign the record. AZ Sec. 44-7002(8). "Electronic Signature" means an electronic Arizona Uniform Electronic sound, symbol or process that is attached to or logically Transactions Act (2000 Arizona associated with a record and that is executed or adopted by House Bill 2069) an individual with the intent to sign the record. AR Authorizes Electronic Signatures with specified authentication attributes only. "'Electronic Signature' means Arkansas Electronic Records an electronic or digital method executed or adopted by a and Signatures Act (1999 party with the intent to be bound or to be authenticate a Arkansas Senate Bill 418) record, which is unique to the person using it, is capable of verification is under the sole control of the person using it 98 Definitions of 'Electronic Signature' Electronic An electronic sound, symbol, or process attached to or logically associated with a record and executed or adopted by a person with the intent to sign the record. http://www.mbc.com/ecommerce/legislative.asp 169 and is linked to data in such a manner that if the data are changed the electronic signature is invalidated." AR "'Electronic Signature' means any signature in electronic Arkansas Uniform Electronic form, attached to or logically associated with an electronic Transactions Act (1999 record, executed or adopted by person or its electronic Arkansas House Bill 1021) agent with intent to sign the electronic record." CA "Electronic signature" means an electronic sound, symbol, California Civil Code (1999 or process attached to or logically associated with an California Senate Bill 1124) electronic record and executed or adopted by a person with the intent to sign the electronic record. CA An electronic sound, symbol, or process attached to or California Financial Code (1999 logically associated with an electronic record and executed California A.B No. 2503) or adopted by a person with the intent to sign the electronic record. CA § 1633.2(h) "Electronic Signature." An electronic sound, California Uniform Electronic symbol, or process attached to or logically associated with Transactions Act (1999 an electronic record and executed or adopted by a person California Senate Bill 820) with the intent to sign the electronic record. CO Any identifier or authentication technique attached to or Colorado Government logically associated with an electronic record that is Electronic Transactions Act intended by the person using it to have the same force and (1999 Colorado House Bill effect as a manual signature. 'Electronic Signature' includes 1337) Digital Signatures. CO §24-71-101(1) As used in this article, 'Digital Signature' or Colorado Revised Statutes 'Electronic Signature' means an electronic identifier, created (1999 Colorado House Bill by computer, intended by the party using it to have the 1079) same force and effect as the use of a manual signature. CO Colorado Revised Statutes § 4- An electronic signature may consist of an access code or 9-413 (1997 Colorado Senate any other identifying word or number assigned by a filing Bill 155) officer that is unique to a particular filer. CT Connecticut Electronic Records "Any signature in electronic form, attached to or logically and Signatures Act (1999 associated with an electronic record." Connecticut House Bill 6592) DE Delaware Uniform Electronic An electronic sound, symbol, or process attached to or Transactions Act (1999 logically associated with a record and executed or adopted Delaware House Bill 492) by a person with the intent to sign the record. DC No enacted record FL Any letters, characters, or symbols, manifested by electronic Florida Electronic Signature Act or similar means, executed or adopted by a party with an of 1996, (1996 Florida Senate intent to authenticate a writing. A writing is electronically Bill 942) signed if an electronic signature is logically associated with such writing. FL Florida Statutes amending ss legislation on Any symbol manual facsimile conformed or "Sign" or 170 15.16 and 607.01401 (1999 "signature" means any symbol, manual, facsimile, Florida Senate Bill 1830) conformed, or electronic signature adopted by a person with the intent to authenticate a document." FL Florida Uniform Electronic An electronic sound, symbol, or process attached to or Transactions Act (2000 Florida logically associated with a record and executed or adopted Senate Bill 1334) by a person with the intent to sign the record. GA Authorizes Electronic Signatures with specified authentication attributes only. 'Electronic signature' means an electronic or digital method executed or adopted by a Georgia Annotated Official party with the intent to be bound by or to authenticate a Code (1999 Georgia House Bill record, which is unique to the person using it, is capable of 312) verification, is under the sole control of the person using it, and is linked to data in such a manner that if the data are changed the electronic signature is invalidated. GA Georgia Annotated Official 'Electronic signature' means a signature created, Code (1999 Georgia Senate Bill transmitted, received, or stored by electronic means and 62) includes but is not limited to a secure electronic signature. GA Authorizes Electronic Signatures with specified authentication attributes only. 'Electronic signature' means an electronic or digital method executed or adopted by a Georgia Electronic Records and party with the intent to be bound by or to authenticate a Signatures Act (1997 Georgia record, which is unique to the person using it, is capable of Senate Bill 103) verification, is under the sole control of the person using it, and is linked to data in such a manner that if the data are changed the electronic signature is invalidated. HI Hawaii Uniform Electronic An electronic sound, symbol, or process attached to or Transactions Act (1999 Hawaii logically associated with a record and executed or adopted House Bill 2585) by a person with the intent to sign the record. ID Idaho Electronic Signature and Any computer or electronically generated identifier that is Filing Act (1998 Idaho Senate intended by the person using it to have the same force and Bill 1496) effect as a manual signature. ID Idaho Uniform Electronic An electronic sound, symbol or process attached to or Transaction Act (2000 Idaho logically associated with a record and executed or adopted Senate Bill 1334) by a person with the intent to sign the record. IL Illinois Vehicle Amendment (1999 3420) IL A signature in electronic form attached to or logically associated with an electronic record; "If, through the use of a qualified security procedure, it can be verified that an electronic signature is the signature of a specific person, Illinois Electronic Commerce then such electronic signature shall be considered to be a Security Act (1997 Illinois secure electronic signature at the time of verification, if the House Bill 3180) relying party establishes that the qualified security procedure was: (1) commercially reasonable under the circumstances; (2) applied by the relying party in a trustworthy manner; and (3) reasonably and in good faith IL Code A signature in electronic form attached to or logically HB associated with an electronic record. 171 relied upon by the relying party." IL The term "digital signature" is defined as "an encrypted Illinois Financial Institutions electronic identifier, created by computer, intended by the Digital Signature Act; (1997 party using it to have the same force and effect as the use Illinois House Bill 597) of a manual signature. IL Illinois State Comptroller Act Uses term "digital signature" to refer to an electronic (1997 Illinois Senate Bill 516) signature IN Indiana Code Annotated An electronic identifier, created by computer, executed or Electronic Digital Signature Act adopted by the party using it with the intent to authenticate a writing. IN An electronic sound, symbol, or process attached to or Indiana Uniform Electronic logically associated with an electronic record and executed Transactions Act 2000 Indiana or adopted by a person with the intent to sign the electronic House Bill 1395 record. IA Iowa Electronic Commerce a signature in electronic form attached to or logically Security Act; (1999 Iowa House associated with an electronic record. Bill 624) IA Iowa Uniform Electronic An electronic sound, symbol, or process attached to or Transactions Act (1999 Iowa logically associated with a record and executed or adopted House File No. 2205) by a person with the intent to sign the record KS An electronic sound, symbol or process attached to or Kansas Uniform Electronic logically associated with an electronic record and executed Transactions Act (2000 Kansas or adopted by a person with the intent to sign the electronic House Bill 2879) record. KY Kentucky Revised Statutes An electronic sound, symbol or process attached to or (2000 Kentucky House Bill logically associated with a record and executed or adopted 939) by a person with the intent to sign the record. KY Authorizes electronic signatures with specified authentication attributes only. 'Electronic signature' means an electronic identifier whose use is intended by the person Kentucky Revised Statutes using it to have the same force and effect as the use of a (1998 Kentucky House Bill manual signature and containing the following 708) characteristics: (a) It is unique to the person using it; (b) It is capable of verification; and (c) It is under the sole control of the person using it. KY Kentucky Uniform Electronic An electronic sound, symbol or process attached to or Transactions Act (2000 logically associated with a record and executed or adopted Kentucky House Bill 571) by a person with the intent to sign the record. LA An electronic sound, symbol, or process attached to or Louisiana - Senate Bill 973 logically associated with a record and executed or adopted amending 9:34021 by a person with the intent to sign the record. LA Louisiana Revised Statutes Not specifically defined. However, the Act defines (1997 Louisiana Senate Bill "signature" and "sign(ed)" to include written and electronic 609) signatures. 172 ME Maine Act to Clarify Signature requirements on Certain Legal Documents (1999 Maine HB 1451) Any identifier or authentication technique attached to or logically associated with an electronic record that is intended by the person using it to have the same force and effect as a manual signature. ME Maine Digital Signature Act An electronic sound, symbol or process attached to or logically associated with a record and executed or adopted by a person with the intent to sign the record. ME Maine Uniform Electronic An electronic sound, symbol or process attached to or Transactions Act (1999 Maine logically associated with a record and executed or adopted Senate Bill 995) by a person with the intent to sign the record. MD Uses the term "Digital Signature" to refer to electronic signatures. Authorizes Electronic Signatures with specified authentication attributes only. The term "Digital Signature" means an electronic identifier, created by a computer, that: Maryland Digital Signature Pilot (i) is intended by the authorized signer to have the same Program(1998 Maryland House force and effect as the use of a manual signature; (ii) is Bill 523) unique to the authorized signer; (iii) is capable of verification; (iv) is under the sole control of the authorized signer; (v) is linked to data in such a manner that if the data are changed, the signature is invalidated; and (vi) conforms to regulations adopted by the Secretary of State. MA No enacted record MI Michigan Uniform Electronic An electronic sound, symbol, or process attached to or Transactions Act (2000 House logically associated with a record and executed or adopted Bill 5537) by a person with the intent to sign the record. MN Minnesota Uniform Electronic An electronic sound, symbol, or process attached to or Transactions Act (CHAPTER logically associated with a record and executed or adopted 371-H.F.No. 3109) by a person with the intent to sign the record. MS Mississippi Business Does not specifically address however does state that Corporation Act (1997 "Sign" or "signature" includes any manual, facsimile, Mississippi House Bill 1313) conformed or electronic signature. MS "Any word, group of letters, name, including a trader Mississippi Digital Signature Act assumed name, mark, characters or symbols made of 1997 (1997 Mississippi manually, by device, by machine, or manifested by House Bill 752) electronic or similar means, executed or adopted by a party with the intent to the authenticate a writing." MS An electronic sound, symbol, or process attached to or logically associated with a record and executed or adopted by a person with the intent to sign the record. Defines "Security procedure" as a procedure employed for the Mississippi Uniform Electronic purpose of verifying that an electronic signature, record, or Transactions Act performance is that of a specific person or for detecting changes or errors in the information in an electronic record. The term includes a procedure that requires the use of algorithms or other codes, identifying words or numbers, encryption or callback or other acknowledgment legislation on 173 procedures. MO Missouri Digital Signatures Act The Bill uses the term "electronically transmitted signature" (1998 Missouri Senate Bill rather than electronic signature. The term "electronically 680) transmitted signature" is not defined. MT Montana Electronic Transactions with State and Local Government Units Act (1999 Montana House Bill 188) Authorizes Electronic Signatures with specified authentication attributes only. "Electronic Signature "means an electronic signal attached to or logically associated with an electronic record and that is: (a) unique to the person using it; (b) capable of verification; (c) under the sole control of the person using it; and (d) linked to the electronic record in such a way that if the electronic record is changed, the signature is invalidated" MT Montana Uniform Electronic An electronic sound, symbol, or process attached to or Transactions Act (2001 logically associated with a record and executed or adopted Montana House Bill 234) by a person with the intent to sign the record. NE Uses the term "Digital Signature" to refer to electronic Nebraska Digital Signatures signatures. Digital Signature "means an electronic identifier, Act, Nebraska Revised Statutes created by computer, intended by the person using it to § 86-1701 have the same force and effect as a manual signature." NE Nebraska Electronic An electronic sound, symbol, or process attached to or Transactions Act (1999 logically associated with a record and executed or adopted Nebraska Legislative Bill 929) by a person with the intent to sign the record. NV No enacted record NH Uses the term "Digital Signature" to refer to electronic New Hampshire Digital signatures. The term "Digital Signature" is defined as "an Signature Act (1997 New electronic identifier, created by computer, intended by the Hampshire Senate Bill 207) party using it to have the same force and effect as the use of a manual signature." NH a digital signature, executed or adopted by a party with an New Hampshire Laws 22-1998 intent to authenticate a writing. A writing is electronically (1997 New Hampshire House signed if a digital signature is logically associated with such Bill 290) writing. NH As provided by New Hampshire Revised Statutes Annotated 294-D:3, enacted as 1997 New Hampshire Senate Bill 207; New Hampshire Laws 382- Uses the term "Digital Signature" to refer to electronic 1998 (1997 New Hampshire signatures. The term "Digital Signature" is defined as "an Senate Bill 472) electronic identifier, created by computer, intended by the party using it to have the same force and effect as the use of a manual signature." NH New Hampshire Uniform An electronic sound, symbol, or process attached to or Electronic Transactions Act logically associated with a record and executed or adopted 2001 New Hampshire Senate by a person with the intent to sign the record. Bill 139 NJ New Jersey Uniform Electronic An electronic sound symbol or process attached to or legislation on 174 Transactions Act logically associated with an electronic record and executed or adopted by a person with the intent to sign the electronic record. NM New Mexico Electronic Authentication of Documents Act (1996 New Mexico House Bill 516) Defines "electronic authentication" as the electronic signing of a document that establishes a verifiable link between the originator of a document and the document by means of a public key and private key system. NM New Mexico Electronic Authentication of Documents Act (1999 New Mexico Senate Bill 146) Defines "electronic authentication" as the electronic signing of a document that establishes a verifiable link between the originator of a document and the document by means of a public key and private key system; An electronic sound, symbol or process attached to or logically associated with a record and executed or adopted by a person with the intent to sign the record. NM Defines "security procedure" to mean a procedure employed New Mexico Uniform Electronic for the purpose of verifying that an electronic signature, Transaction Act : 2001 New record or performance is that of a specific person or for Mexico House Bill 232 detecting changes or errors in the information in an electronic record. The term includes a procedure that requires the use of algorithms or other codes, identifying words or numbers, encryption, callback or other acknowledgment procedures. An electronic identifier, including without limitation a digital signature, which is unique to the person using it, capable of verification, under the sole control of the person using it, attached to or associated with data in such a manner that authenticates the attachment of the signature to particular data and the integrity of the data transmitted, and intended by the party using it to have the same force and effect as the use of a signature affixed by a hand. NY New York Consolidated Laws Chapter 57A The State Technology Law (includes Article I: New York Electronic Signatures and Records Act (1999 NY SB 6113) NC Any identifier or authentication technique attached to or North Carolina Electronic logically assoicated with an electronic record which is Commerce Act; (1998 NC H.B. intended by the party using it to have the same force and 1356) effect as the party's manual signature NC Any identifier or authentication technique attached to or North Carolina Uniform logically associated with an electronic record which is Electronic Transactions Act intended by the party using it to have the same force and (2000 Senate Bill 1266 ) effect as the party's manual signature. ND North Dakota Uniform An electronic sound, symbol, or process attached to or Electronic Transactions Act logically associated with a record and executed or adopted (2001 North Dakota House Bill by a person with the intent to sign the record. 1106) OH Ohio Uniform Electronic A signature in electronic form attached to or logically Transactions Act (1999 Ohio associated with an electronic record. House Bill 488) OK Oklahoma Uniform Electronic An electronic sound symbol or process attached to or 175 Transactions Act (1999 OK S.B. logically associated with a record executed or adopted by a 1598) person with the intent to sign the record. OR Oregon Electronic Signature Any letters, characters or symbols, manifested by electronic Act, Oregon Revised Statutes or similar means, executed or adopted by a party with an §192.825 et seq. (1997 Oregon intent to authenticate a writing. House Bill 3046) An electronic sound, symbol or process attached to or logically associated with a record and executed or adopted by a person with the intent to sign the record. OR Oregon Uniform Transactions Act Electronic PA Pennsylvania Uniform An electronic sound, symbol or process attached to or Electronic Transactions Act logically associated with a record and executed or adopted (1999 Pennsylvania Senate Bill by a person with the intent to sign the record. 555) PR No enacted record RI Rhode Island Uniform An electronic sound, symbol, or process attached to or Electronic Transactions Act logically associated with a record and executed or adopted (2000 H.B. 7694) by a person with the intent to sign the record. legislation Defines "Security procedure" to mean a procedure employed for the purpose of verifying that an electronic signature, record or performance is that of a specific person or for detecting changes or errors in the information in an electronic record. on Any identifier or authentication technique attached to or logically associated with an electronic record that is intended by the party using it to have the same force and effect as a manual signature. Also defines a secure electronic signature and authorizes electronic signatures with specified authentication attributes only. SC SD "An electronic signature is deemed to be secure if: (1) it is created by application of a security procedure that is South Carolina Electronic commercially reasonable and agreed to by the parties; Commerce Act (1997 South (2) the electronic signature can be verified by use of a Carolina Senate Bill 1167) procedure that is recognized and approved [pursuant to statute]; or (3) when not previously agreed to by the parties, the electronic signature is: (a) unique to the party using it; (b) capable of identifying such party; (c) created in a manner or using a means under the sole control of the party using it; and (d) linked to the electronic record to which it relates, in a manner such that, if the record is changed, the electronic signature is invalidated." South Dakota Uniform An electronic sound, symbol, or process attached to or Electronic Transactions Act logically associated with a record and executed or adopted 176 (2000 Senate Bill 193) TN by a person with the intent to sign the record Tennessee Electronic Commerce Act of 2000 (2000 An electronic sound, symbol or process attached to or Tennessee House Bill 3250 / logically associated with a record and executed or adopted 2000 Tennessee Senate Bill by a person with the intent to sign the record. 2430) An electronic sound, symbol, or process attached to or logically associated with a record and executed or adopted by a person with the intent to sign the record. TN Also defines "Security procedure" means a procedure Tennessee Uniform Electronic employed for the purpose of verifying that an electronic Transactions Act : 2001 signature, record, or performance is that of a specific person Tennessee Senate Bill 376 or for detecting changes or errors in the information in an electronic record. The term includes a procedure that requires the use of algorithms or other codes, identifying words or numbers, encryption, or callback or other acknowledgment procedures. TX Texas Business & Commerce An electronic identifier, created by a computer, intended by Code § 2.108 (1997 Texas the party using it to have the same force and effect as the House Bill 984) use of a manual signature. TX Texas Business & Commerce Code, amending Ch. 9 (U.C.C., Uses the term "Digital Signature" to refer to electronic Art. 9) (1999 Texas Senate Bill signatures. 1058) An electronic sound, symbol, or process attached to or logically associated with a record and executed or adopted by a person with the intent to sign the record. TX Also defines "Security procedure" to mean a procedure Texas Uniform Electronic employed for the purpose of verifying that an electronic Transactions Act (UETA) signature, record,or performance is that of a specific person or for detecting changes or errors in the information in an electronic record. The term includes a procedure that requires the use of algorithms or other codes, identifying words or numbers, encryption, or callback or other acknowledgment procedures. UT Utah Uniform Electronic An electronic sound, symbol, or process attached to or Transactions Act (Senate Bill logically associated with a record and executed or adopted 125) by a person with the intent to sign the record. VT No enacted record VA Virginia Uniform Electronic An electronic sound, symbol, or process attached to or Transactions Act (2000 Virginia logically associated with a record and executed or adopted House Bill 499) by a person with the intent to sign the record. WA Washington Amendments to A signature in electronic form attached to or logically the Electronic Authentication associated with an electronic record including but not legislation on 177 Act (1999 WA SB 5962) limited to a digital signature. WV An electronic sound, symbol, or process attached to or logically associated with a record and executed or adopted West Virginia Uniform by a person with the intent to sign the record which may not Electronic Transactions Act be denied legal effect or enforceability solely because it is in electronic form. WI Any combination of words, letters, symbols or characters Wisconsin Statutes s. 137.01 et that is attached to or logically associated with an electronic seq. (1997 Wisconsin Assembly record and used by a person for the purpose of Bill 811) authenticating a document that has been created in or transformed into an electronic format. WI Uses the term "digital signatures" to refer to electronic signatures: "This Act uses the term "digital signature" to Wisconsin Statutes s. refer to an electronic signature. The term "digital signature" 16.855(23) (1997 Wisconsin is defined as "an electronic identifier that is used in a Assembly Bill 100) computer communication and that is intended by the party using it to have the same force and effect as a manual signature." WY Wyoming Uniform Transactions Act Electronic An electronic sound, symbol or process attached to or logically associated with a record and executed or adopted by a person with the intent to sign the record. Definiciones de Firma Digital en la legislación estatal americana:99 State Bill/Statute AL No enacted record legislation on AK No enacted record legislation on AZ A "Digital Signature" is "a type of electronic signature that transforms a message through the use of an asymmetric cryptosystem." The Bill sets forth specific requirements for Arizona Revised Statutes §41documents containing a digital signature, including a 121, §41-132; (1998 Arizona requirement that the document contain a computer-based House Bill 2518) certificate that identifies the issuing entity and the subscriber, contain the subscriber's public key and be digitally signed by the issuing entity. AZ "Electronic Signature" means an electronic sound, symbol Arizona Revised Statutes, or process that is attached to or logically associated with a amending § 41-121 (1999 AZ record and that is executed or adopted by an individual with HB 2234) the intent to sign the record. AR Arkansas Code: Financial Term used but not defined. Identity Fraud - 1999 Arkansas 99 Definitions of 'Digital Signature' ibidem 178 House Bill 1167 CA An electronic identifier, created by a computer, that is intended by the party using it to have the same force and effect as the use of a manual signature. The use of a digital signature shall have the same force or effect as a manual California Civil Code (1999 signature if it embodies all of the following attributes: (1) It is California Senate Bill 1124) unique to the person using it. (2) It is capable of verification. (3) It is under the sole control of the person using it. (4) It is linked to data in a manner that if the data is changed, the digital signature is invalidated. CA California Code of Regulations "Digitally-signed communication" is a message that has Title 2. Division 7. Chapter 10. been processed by a computer in such a manner that ties Digital Signatures the message to the individual that signed the message. CA An electronic identifier, created by a computer, that is California Financial Code (1999 intended by the party using it to have the same force and California A.B No. 2503) effect as the use of a manual signature. CA California Government Code s. an electronic identifier, created by computer, intended by 16.5 (1995) (1995 California the party using it to have the same force and effect as the Assembly Bill 1577) use of a manual signature. CO Uses the term "Digital Signature" to refer to electronic signatures. §24-71-101(1) As used in this article, 'Digital Colorado Revised Statutes Signature' or 'Electronic Signature' means an electronic (1999 Colorado House Bill identifier, created by computer, intended by the party using 1079) it to have the same force and effect as the use of a manual signature. CT No enacted record legislation on DE No enacted record legislation on DC No enacted record legislation on FL A type of electronic signature that transforms a message using an asymmetric cryptosystem such that a person Florida Electronic Signature Act having the initial message and the signer's public key can of 1996, (1996 Florida Senate accurately determine: (a) Whether the transformation was Bill 942) created using the private key that corresponds to the signer's public key. (b) Whether the initial message has been altered since the transformation was made. GA Sec. 48-5-19(d). (1) As used in this section, the term 'digital signature' means a digital or electronic method executed or adopted by a party with the intent to be bound by or to Georgia Annotated Official authenticate a record, which is unique to the person using it, Code (2000 Georgia House Bill is capable of verification, is under the sole control of the 1265) person using it, and is linked to data in such a manner that if the data are changed the digital or electronic signature is invalidated. 179 HI No enacted record legislation on ID No enacted record legislation on IL a type of electronic signature created by transforming an electronic record using a message digest function and encrypting the resulting transformation with an asymmetric cryptosystem using the signer's private key such that any Illinois Electronic Commerce person having the initial untransformed electronic record, Security Act (1997 Illinois the encrypted transformation, and the signer's House Bill 3180) corresponding public key can accurately determine whether the transformation was created using the private key that corresponds to the signer's public key and whether the initial electronic record has been altered since the transformation was made. A digital signature is a security procedure. IL This Act uses the term "digital signature" to refer to an Illinois Financial Institutions electronic signature. Although the term is used, the Act does Digital Signature Act; (1997 not restrict "digital signatures" to those signatures employing Illinois House Bill 597) PKI technology. IL An electronic identifier, created by computer, intended by Illinois State Comptroller Act the party using it to have the same force and effect as the (1997 Illinois Senate Bill 516) use of a manual signature (uses term "digital signature") IN An electronic signature that transforms a message using an asymmetric cryptosystem such that a person having the Indiana Code Annotated initial message and the signer's public key can accurately Electronic Digital Signature Act determine whether: (1) the transformation was created using the private key that corresponds to the signer's public key; and (2) the initial message has been altered since the transformation was made. IA A type of an electronic signature consisting of a transformation of an electronic record using a message digest function that is encrypted with an asymmetric cryptosystem using the signer's private key in a manner providing that any person having the initial untransformed Iowa Electronic Commerce electronic record, the encrypted transformation, and the Security Act; (1999 Iowa House signer's public key may accurately determine all of the Bill 624) following: a. Whether the transformation was created using the private key that corresponds to the signer's public key. b. Whether the initial electronic record has been altered since the transformation was made. A digital signature is a security procedure. KS A type of electronic signature consisting of a transformation of an electronic message using an asymmetric cryptosystem Kansas Uniform Electronic such that a person having the initial message and the Transactions Act (2000 Kansas signer's public key can accurately determine whether: (1) House Bill 2879) The transformation was created using the private key that corresponds to the signer's public key; and (2) the initial message has not been altered since the transformation was 180 made. KY No enacted record legislation on LA A type of electronic signature that transforms a message using an asymmetric crypt system such that a person having the initial message and the signer's public key can Louisiana - Senate Bill 973 accurately determine: (a) Whether the transformation was amending 9:34021 created using the private key that corresponds to the signer’s public key. (b) Whether the initial message has been altered since the transformation was made. A computer-created electronic signature that: A. Is intended by the person using it to have the same force and effect as the use of a manual signature; B. Is unique to the person using it; C. Is capable of verification; D. Is under the sole control of the person using it;and E. Is linked to data in such a manner that it is invalidated if the data are changed. ME Maine Digital Signature Act ME Speifically computer-created electronic signature that: A. Is intended by the person using it to have the same force and effect as the use of a manual signature; Maine Uniform Electronic B. Is unique to the person using it; Transactions Act (1999 Maine C. Is capable of verification; Senate Bill 995) D. Is under the sole control of the person using it; and E. Is linked to data in such a manner that it is invalidated if the data are changed. MD Maryland Digital Signature Pilot Although the term is used, the Act does not restrict "digital Program(1998 Maryland House signatures" to those signatures employing PKI technology. Bill 523) MD Maryland Uniform Electronic an electronic sound, symbol, or process attached to or Transactions Act (2000 logically associated with a record and executed or adopted Maryland Senate Bill 3) by a person with the intent to sign the record MA No enacted record legislation on MI No enacted record legislation on MN A transformation of a message using an asymmetric cryptosystem such that a person having the initial message Minnesota Electronic and the signer's public key can accurately determine: (1) Authentication Act (Minnesota whether the transformation was created using the private Statutes Annotated § 325K ) key that corresponds to the signer's public key; and (2) whether the initial message has been altered since the transformation was made. MS Mississippi Business Does not specifically address however does state that Corporation Act (1997 "Sign" or "signature" includes any manual, facsimile, Mississippi House Bill 1313) conformed or electronic signature. 181 MO A transformation of a message using an asymmetric cryptosystem such that a person having the initial message Missouri Digital Signatures Act and the signer's public key can accurately determine (1998 Missouri Senate Bill whether: (a) The transformation was created using the 680) private key that corresponds to the signer's public key; and (b) The message has been altered since the transformation was made. MT Montana Electronic Transactions with State and Local Government Units Act (1999 Montana House Bill 188) Digital Signature "means a type of electronic signature that encrypts a record by using a cryptosystem in a manner that a person who has the unencrypted record, and the signer's key can accurately determine: (a) whether the encryption of the record to an electronic record was created using the private key that corresponds to the signer's public key; and (b) whether the record has been altered since the record was encrypted in an electronic record." MT Does not use this term however refers to "security procedure" as a procedure employed for the purpose of verifying that an electronic signature, record, or performance Montana Uniform Electronic is that of a specific person or for detecting changes or errors Transactions Act (2001 in the information in an electronic record. The term includes Montana House Bill 234) a procedure that requires the use of algorithms or other codes, identifying words or numbers, encryption, or callback or other acknowledgment procedures. NE Nebraska Digital Signatures An electronic identifier, created by computer, intended by Act, Nebraska Revised Statutes the person using it to have the same force and effect as a § 86-1701 manual signature. NV Nevada Committee on Specifically restricts the allowed technology of a digital Commerce and Labor (1999 signature; defining it as a transformation of a message using Nevada Assembly Bill 674) an asymmetric cryptosystem. NV a transformation of a message using an asymmetric Nevada Revised Statutes: cryptosystem where an "asymmetric cryptosystem" means Chapter 720 Title 59 an algorithm or series of algorithms that provide a secure Electronic Transfers key pair. NH a type of electronic manipulation that transforms a message using an asymmetric cryptosystem such that a person New Hampshire Laws 22-1998 having the transformed message and the signer's public key (1997 New Hampshire House can accurately determine: (a) Whether the transformation Bill 290) was created using the private key that corresponds to the signer's public key and; (b)whether the initial message has been altered since the transformation was made. NJ No enacted record NM New Mexico Electronic Authentication of Documents Act (1996 New Mexico House Bill 516) legislation on A type of electronic signature created by transforming an electronic record using a message digest function and encrypting the resulting transformation with an asymmetric cryptosystem using the signer's private key so that any person having the initial untransformed electronic record, the encrypted transformation and the signer's corresponding 182 public key can accurately determine whether the transformation was created using the private key that corresponds to the signer's public key and whether the initial electronic record has been altered since the transformation was made. NM A type of electronic signature created by transforming an electronic record using a message digest function and encrypting the resulting transformation with an asymmetric cryptosystem using the signer's private key so that any New Mexico Electronic person having the initial untransformed electronic record, Authentication of Documents the encrypted transformation and the signer's corresponding Act (1999 New Mexico Senate public key can accurately determine whether the Bill 146) transformation was created using the private key that corresponds to the signer's public key and whether the initial electronic record has been altered since the transformation was made. NY New York Consolidated Laws Chapter 57A The State Technology Law (includes Included in definition of Electronic Signature. Article I: New York Electronic Signatures and Records Act (1999 NY SB 6113) NC No enacted record ND Does not use the term Digital Signature however does define "Security procedure" to mean a procedure employed for the purpose of verifying that an electronic signature, North Dakota Uniform record, or performance is that of a specific person or for Electronic Transactions Act detecting changes or errors in the information in an (2001 North Dakota House Bill electronic record. The term includes a procedure that 1106) requires the use of algorithms or other codes, identifying words or numbers, encryption, or callback or other acknowledgment procedures. OH No enacted record legislation on OK No enacted record legislation on OR A type of electronic signature that transforms a message using an asymmetric cryptosystem such that a person Oregon Electronic Signature having the initial message and the signer's public key can Act, Oregon Revised Statutes accurately determine:(a) Whether the transformation was §192.825 et seq. (1997 Oregon created using the private key that corresponds to the House Bill 3046) signer's public key;(b) Whether the initial message has been altered since the transformation was made. PA No enacted record PR Puerto Rico Digital Signatures The conversion of a message using an asymmetrical legislation legislation on on 183 Act S.B. 423, Law 188 cryptosystem so that a person who holds the initial message or communication and the public code of the signer may determine exactly whether: (a) the conversion was made using the private code corresponding to the public code of the signer; and (b) the message or communication has been altered since the conversion was made. Defines "Asymmetrical Cryptosystem" as an algorithm or series of algorithms which provide a pair of secure codes. RI No enacted record legislation on SC No enacted record legislation on SD No enacted record legislation on TN No enacted record legislation on TX Texas Business & Commerce Uses the term "Digital Signature" to refer to electronic Code § 2.108 (1997 Texas signatures. House Bill 984) TX Texas Business & Commerce An electronic identifier intended by the person using it to Code, amending Ch. 9 (U.C.C., have the same force and effect as the use of a manual Art. 9) (1999 Texas Senate Bill signature. 1058) UT A transformation of a message using an asymmetric cryptosystem such that a person having the initial message and the signer's public key can accurately determine Utah Digital Signature Act, Utah whether: Code Annotated §§ 46-3-101 to (a) the transformation was created using the private key -504 that corresponds to the signer's public key; and (b) the message has been altered since the transformation was made. VT No enacted record legislation on VA No enacted record legislation on WA An electronic signature that is a transformation of a message using an asymmetric cryptosystem such that a person having the initial message and the signer's public Washington Amendments to key can accurately determine: (a) Whether the the Electronic Authentication transformation was created using the private key that Act (1999 WA SB 5962) corresponds to the signer's public key; and (b) Whether the initial message has been altered since the transformation was made. WA Washington Electronic A transformation of a message using an asymmetric 184 Authentication Act; Washington cryptosystem such that a person having the initial message Code ch. 19.34 and the signer's public key can accurately determine: (a) Whether the transformation was created using the private key that corresponds to the signer's public key; and (b) Whether the initial message has been altered since the transformation was made. WV No enacted record legislation WI Wisconsin Statutes s. Although the term is used, the Act does not restrict "digital 16.855(23) (1997 Wisconsin signatures" to those employing PKI technology. Assembly Bill 100) WY No enacted record legislation on on Conseguir una ley que impere en la totalidad del país de los 114 millones de internautas está resultando una tarea más que ardua. El 9 de noviembre del 2001 el Congreso de los EEUU aprobó una legislación para sustituir la firma convencional por la digital en determinados documentos. Aunque la votación pública resultó llamativamente positiva para la firma electrónica (356/66), todavía queda mucho camino por delante. De entrada la oposición ha solicitado que se repita la votación, pero que esta vez sea secreta. Aún repitiéndose el resultado, es muy probable que la Casa Blanca vete la propuesta alegando que agrede los derechos de los ciudadanos. Y su paso por el Senado puede transformar completamente la propuesta de ley. En Latinoamérica 185 Argentina:100 En marzo de 1999 se encargó a un grupo de juristas (Comisión creada por Decreto 685/95) la redacción de un Proyecto de Código Civil que también abarcase las materias electrónico comerciales. En el cual se prevén importantes modificaciones en el tratamiento de los instrumentos. Se mantiene la regla de libertad de formas y se prevé la forma convenida que es obligatoria para las partes bajo pena de invalidez del negocio jurídico. Se reconocen los instrumentos públicos, los instrumentos privados y los instrumentos particulares que son los no firmados. Lo relevante es: I. Se amplía la noción de escrito, de modo que puede considerarse expresión escrita la que se produce, consta o lee a través de medios electrónicos. II. Se define la firma y se considera satisfecho el requisito de la firma cuando en los documentos electrónicos se sigue un método que asegure razonablemente la autoría e inalterabilidad del documento. III. Se prevé expresamente la posibilidad de que existan instrumentos públicos digitales. En este sentido el Código se abre a la realidad abrumadora de los documentos electrónicos, aunque con fórmulas abiertas y flexibles y sin vinculación a la tecnología actual, de modo de evitar su rápido envejecimiento que se produciría por la previsible permanente superación de esas tecnologías. En las escrituras públicas se incorporan dos reglas novedosas. La primera relativa a la justificación de la identidad, que sustituye a la fe de conocimiento; se prevé incluso la posibilidad de insertar la impresión digital del compareciente no conocido por el notario. 100 http://snts1.jus.gov.ar/minis/Nuevo/ProyectoCodigoCivil.htm 186 La segunda es la reglamentación de las actas, a las que sólo se asigna valor probatorio cuando son protocolares. En materia de instrumentos privados se regula expresamente el valor probatorio del documento electrónico, que se vincula a los usos, a las relaciones preexistentes de las partes y a la confiabilidad de los métodos usados para asegurar la inalterabilidad del texto. Cabe apuntar que en cuanto a la noción de firma y de valor probatorio, se han tenido especialmente en consideración la ley modelo de comercio electrónico elaborada por UNCITRAL, el Código de Quebec y las tentativas de reforma del Código Civil francés en materia de prueba. La contabilidad y estados contables tienen un tratamiento con numerosas novedades. En esta materia se siguen los Proyectos de Código Único de 1987 y los de 1993 (el de la Comisión Federal y el de la Comisión designada por decreto 468/92). El sistema propuesto permite al interesado llevar el sistema de registración mediante métodos mecánicos, electrónicos o libros. Colombia:101 Ley 527 de 1999 (Agosto 18). Por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación. Se establecen las siguientes definiciones: a) Mensaje de datos. La información generada, enviada, recibida, almacenada o comunicada por medios electrónicos, ópticos o similares, como pudieran ser, entre otros, el Intercambio Electrónico de Datos (EDI), Internet, el correo electrónico, el telegrama, el télex o el telefax; 101 Sitio en internet de la Corte Constitucional de Colombia 187 b) Comercio electrónico. Abarca las cuestiones suscitadas por toda relación de índole comercial, sea o no contractual, estructurada a partir de la utilización de uno o más mensajes de datos o de cualquier otro medio similar. Las relaciones de índole comercial comprenden, sin limitarse a ellas, las siguientes operaciones: toda operación comercial de suministro o intercambio de bienes o servicios; todo acuerdo de distribución; toda operación de representación o mandato comercial; todo tipo de operaciones financieras, bursátiles y de seguros; de construcción de obras; de consultoría; de ingeniería; de concesión de licencias; todo acuerdo de concesión o explotación de un servicio público; de empresa conjunta y otras formas de cooperación industrial o comercial; de transporte de mercancías o de pasajeros por vía aérea, marítima y férrea, o por carretera; c) Firma digital. Se entenderá como un valor numérico que se adhiere a un mensaje de datos y que, utilizando un procedimiento matemático conocido, vinculado a la clave del iniciador y al texto del mensaje permite determinar que este valor se ha obtenido exclusivamente con la clave del iniciador y que el mensaje inicial no ha sido modificado después de efectuada la transformación; d) Entidad de Certificación. Es aquella persona que, autorizada conforme a la presente ley, está facultada para emitir certificados en relación con las firmas digitales de las personas, ofrecer o facilitar los servicios de registro y estampado cronológico de la transmisión y recepción de mensajes de datos, así como cumplir otras funciones relativas a las comunicaciones basadas en las firmas digitales; e) Intercambio Electrónico de Datos (EDI). La transmisión electrónica de datos de una computadora a otra, que está estructurada bajo normas técnicas convenidas al efecto; f) Sistema de Información. Se entenderá todo sistema utilizado para generar, enviar, recibir, archivar o procesar de alguna otra forma mensajes de datos. La Corte Constitucional de Colombia el 8 de junio del 2000 resolvió una acción pública de inconstitucionalidad respecto de ésta ley, por su importancia y trascendencia transcribo a continuación en su parte relevante: “La demandante dice cuestionar el texto íntegro de la Ley 527 de 1999 y, en especial, sus artículos 10, 11, 12, 13, 14, 15, 27, 28, 29, 30, 32, 33, 34, 35, 36, 37, 38, 39, 40, 41, 42, 43, 44 y 45 de la Ley 527 de 1999, por estimar que violan el artículo 131 de la Carta Política, así como los artículos 152 y 153. La transgresión del artículo 131 Constitucional en su criterio, se produce, en cuanto las normas acusadas crean unas entidades de certificación las que, de conformidad con la misma Ley 527 de 1999, están facultadas para emitir certificados en relación con las firmas digitales de las personas y para ofrecer los servicios de registro y estampado cronológico, la de certificación de la 188 transmisión y recepción de mensajes de datos, así como cualquier otra de autenticación de firmas relativas a las comunicaciones basadas en firmas digitales, a emitir certificados en relación con la veracidad de firmas digitales de personas naturales o jurídicas y, en fín, a realizar actos que son propios de la función fedal, la que, según el entendimiento que da a la norma constitucional antes citada, es del resorte exclusivo de los Notarios, únicos depositarios de la fé pública. En su criterio, "lo que no permite la Constitución Política es que la autenticidad del documento privado sea función que pueda ejercer cualquier persona, por cuanto esta es una función propia del servicio público notarial y solo le puede corresponder al Notario, el cual siempre tiene que ser una persona natural, que llegue a serlo en propiedad o por concurso." ".. si la ley le asigna la función fedante a personas diferentes de los Notarios, infringiría en forma directa lo establecido en el artículo 131 de la Carta y esto es, precisamente lo que ha hecho la ley acusada, en especial en los artículos antes citados 2, 10, 11, 12, 13, 14, 15, 26, 27, 28, 29, 30 32, 34, 35, 36, 37, 38, 39, 40 41, 42, 43 y 45 de la Ley 527 en comento. De otra parte, argumenta que se incurrió en violación de los artículos 152 y 153 de la Carta Política, en cuanto sin respetar la reserva de Ley Estatutaria ni el trámite especial, en especial, los artículos 9, 10, 11, 12, 13, 14, 15 y 28 de la Ley 527 de 1999 modificaron y adicionaron el Código de Procedimiento Civil, que en su entendimiento es equivalente a la administración de justicia, al conferir a los mensajes de datos la fuerza probatoria de que tratan las disposiciones del Capítulo VIII del Título XIII, Sección Tercera del Libro Segundo del Código de Procedimiento Civil (i); ordenar que en toda actuación jurídica se dé eficacia, validez y fuerza obligatoria y probatoria a todo tipo de información emitida en forma de mensaje de datos (ii); y, finalmente, al disponer que los jueces deben aplicar a los mensajes de datos las reglas de la sana crítica al apreciarlos como prueba (iii). INTERVENCIONES CIUDADANAS Y DE AUTORIDADES PUBLICAS En defensa de la constitucionalidad de la Ley 527 de 1999 durante el término legal intervinieron, de manera conjunta, los ciudadanos Carolina Deyanira Urrego Moreno, Edgar Iván León Robayo, Jair Fernando Imbachí Cerón; los ciudadanos Carolina Pardo Cuéllar y Santiago Jaramillo Caro; el doctor Ramón Francisco Cárdenas, en representación de la Superintendencia de Industria y Comercio; los doctores María Clara Gutiérrez Gómez en representación del Ministerio de Comercio Exterior y José Camilo Guzmán Santos, como apoderado del Ministerio de Justicia; el doctor Carlos Blas Buraglia Gómez, en su condición de Presidente Ejecutivo (e) de la Cámara de Comercio de Bogotá; el doctor Carlos César Rolón Bermúdez, en representación del Ministerio de Comunicaciones; los ciudadanos Eleonora Cuéllar Pineda y Sergio Pablo Michelsen Jaramillo, en representación de la Fundación Foro Alta Tecnología; y, el doctor Carlos Eduardo Serna Barbosa en representación del Ministerio de Desarrollo Económico. Puesto que en su gran mayoría, los argumentos en que los intervinientes apoyan su defensa son coincidentes, su resumen se hará en forma unificada, en aras de la brevedad y para evitar repeticiones innecesarias. Son ellos, en síntesis, los que siguen: - El examen de constitucionalidad de la Ley debe tener en cuenta la trascendencia que el comercio electrónico tiene en la globalización de las relaciones económicas, el impacto de su evolución, las consecuencias que genera en el desarrollo de los actos y negocios jurídicos celebrados, no solamente por los particulares, sino también por el mismo Estado, así como la importancia de regular y reglamentar jurídicamente su utilización - La Ley 527 de 1999 sigue los lineamientos del proyecto tipo de Ley modelo sobre comercio electrónico de la Comisión de las Naciones Unidas para el Desarrollo del Derecho Mercantil Internacional -CNUDMI. - En el caso Colombiano fué el producto de un proceso en el que participaron los sectores público y privado que tuvieron asiento en la Comisión Redactora de la que formaron también parte los Ministros de Justicia y del Derecho, Transporte, Desarrollo Económico y Comercio Exterior. - El Comercio Electrónico encierra dentro de su filosofía los postulados de la buena fe comercial y de la libertad contractual entre los negociantes, principios éstos que rigen todas y cada una de las transacciones realizadas mediante su utilización. La regulación del Comercio Electrónico busca permitir el acceso de todas las personas a esta forma tecnológica de realizar transacciones de índole comercial y contractual. 189 - Ni el comercio electrónico ni la actividad de las entidades de certificación son un servicio público, pues las partes no se encuentran en la obligación ni en la necesidad de solicitar los servicios de una entidad de certificación para la celebración de un negocio jurídico. Por el tipo de relaciones que regula, se trata de un asunto de la órbita del Derecho Privado que, por supuesto, precisa de un control estatal, que estará a cargo de la Superintendencia de Industria y Comercio, que vigila a las entidades de certificación desde el punto de vista técnico y operativo. - La Ley cuestionada apunta a proveer tanto a los mensajes de datos como al comercio electrónico de la integridad, confiabilidad y la seguridad que en este tipo de intercambios electrónicos son cruciales, comoquiera que se trata de operaciones y de transacciones en que las partes interactúan electrónicamente, a través de redes telemáticas, sin haber contacto directo o físico. - Las firmas digitales, el certificado electrónico, y el servicio de certificación que prestan las entidades de certificación son herramientas de índole eminentemente técnica que apuntan a dotar de seguridad los mensajes de datos y el comercio electrónico. - Los cargos de la demanda resultan infundados porque las entidades de certificación no prestan un servicio público y menos dan fé pública. Las entidades de certificación no son notarías electrónicas, pues no sustituyen ni prestan los mismos servicios, según se deduce de la sola lectura del artículo 30 de la Ley 527 de 1999 que relaciona las actividades que las primeras pueden realizar. - La actividad de certificación es un servicio de índole eminentemente técnico que tiene que ver con la confianza y la credibilidad, y que propende por la seguridad en los mensajes de datos empleados para realizar un cierto acto o negocio y en el comercio electrónico, la cual básicamente comprende: la inobjetabilidad de origen; la integridad de contenido, la integridad de secuencia, la inobjetabilidad de recepción, la confidencialidad, la unicidad de fin y la temporalidad. Ello se logra a través de una entidad reconocida por un grupo de usuarios, quien certifica sobre el iniciador en quien se originó la información, que su contenido no ha sufrido alteraciones ni modificaciones y que fue recibida por su destinatario. - Ni la Constitución ni las leyes han establecido que las funciones públicas o los servicios públicos sólo puedan ser prestados por entidades o servidores públicos. Todo lo contrario: de acuerdo con los artículos 2º., 210 y 365 de la Carta Política, el Estado, para el debido cumplimiento de sus fines, tiene la facultad de asignar, delegar o conferir transitoriamente ciertas y precisas responsabilidades públicas a los particulares. - De ahí que, si las funciones de las entidades certificadoras de que trata la Ley 527/99 fueran eventualmente calificadas como relacionadas con la fe pública, ello en momento alguno significa que el legislador dentro de su competencia no pueda atribuírselas a dichas entidades en su condición de entes privados, tal como lo ha hecho la ley con los notarios respecto de las funciones a ellos asignadas. - Si en gracia de discusión, la actividad de las entidades de certificación se catalogase como servicio público, se trataría de uno diferente del que prestan las Notarías, y en todo caso su constitucionalidad estaría amparada por el artículo 365 de la Carta Política. Por lo tanto, si ahora, debido a los desarrollos tecnológicos, el legislador consideró necesario para garantizar la protección del derecho fundamental de los particulares a obtener información veraz, consagrado en el artículo 20 de la Carta, otorgar facultades relacionadas con la guarda de la fe pública a entidades certificadoras, desde una perspectiva diferente a la de los notarios, no quiere decir que el legislador esté contraviniendo el artículo 131 de la Carta Política. - Si bien puede ser cierto que la referida ley efectivamente modificó algunas disposiciones contenidas en códigos, dichas modificaciones en momento alguno pueden siquiera llegar a considerarse que afectan la estructura general de la administración de justicia o los principios sustanciales y procesales sobre la materia, por lo cual, mal podría sostenerse que han debido ser objeto de una ley estatutaria, cuando su materia es propia de la ley ordinaria, la que, como tal, cuenta con la facultad suficiente para modificar normas anteriores de igual o inferior jerarquía, incluyendo naturalmente las contenidas en los códigos. - La Ley 527 de 1999 no modifica ni deroga una ley estatutaria y su tema no forma parte de la reserva atribuida a estas leyes, razón por la cual su trámite y aprobación no debía sujetarse a la 190 mayoría absoluta de los miembros del Congreso, siendo procedente que su contenido fuera regulado a través de una ley ordinaria. Por lo tanto, es igualmente infundado el cargo de violación de los artículos 152 y 153 aunque la Ley 527 de 1999 haya modificado el Código de Procedimiento Civil, de ello no se sigue que su contenido sea el propio de la Ley Estatutaria sobre la Administración de Justicia. En abundante jurisprudencia, esta Corte ha sostenido que no toda reforma procedimental puede entenderse como un cambio a la estructura misma de la Administración de Justicia. Sólo un cambio en su estructura o en sus principios sustanciales y procesales, deben ser regulados a través de legislación estatutaria. Por el contrario, las modificaciones procesales que no toquen estos principios, son del resorte de la ley ordinaria. CONCEPTO DEL PROCURADOR GENERAL DE LA NACION El señor Procurador General de la Nación, rindió en tiempo el concepto de su competencia, en el cual solicita declarar constitucional la Ley acusada. Acerca de la presunta vulneración del artículo 131 constitucional por parte de los artículos 28, 29, 30 y 32 de la ley 527 de 1999, el Jefe del Ministerio Público considera que esta alegación se funda en una particular interpretación según la cual el artículo 131 de la Constitución Política, habría encargado de manera exclusiva a los notarios el servicio público de otorgar la fe pública. El señor Procurador General señala que no comparte esa interpretación pues, en su parecer, el artículo 131 de la Carta no consagra ni explícita ni implícitamente la pretendida exclusividad, ya que se limita a señalar que compete a la ley la reglamentación del servicio público que prestan los notarios y registradores, además de la definición del régimen laboral de sus empleados y lo relativo a los aportes como tributación especial de las notarias, con destino a la administración de justicia. Observa que el resto del contenido del artículo 131 Constitucional se refiere a la constitucionalización de la carrera notarial y la facultad gubernamental de crear los Círculos de notariado y registro y de determinar el número de notarios y oficinas de registro, sin que, en parte alguna de dicho artículo se prevea que la función de otorgar la fe pública sea de competencia exclusiva de los notarios. Es probable que la confusión de la demandante provenga de identificar la prestación del servicio público de notariado con la actividad de dar fe de determinados actos o contratos o de certificar la autenticidad de las firmas con la que tales actos se suscriben, pero aun siendo esto cierto, no podría deducirse que el Constituyente haya establecido que la actividad fedante sea privativa de los notarios. Es más, no existe referencia alguna, ni siquiera indirecta, en el artículo 131, a qué personas son las competentes para otorgar la fe pública. Acerca de la presunta violación de los artículos 151 y 152 de la Carta Política, ese Despacho considera infundado el argumento de inconstitucionalidad según el cual la Ley 527 de 1999, debió haberse sometido a los trámites propios de una ley estatutaria, habida cuenta de que algunas de sus normas están relacionadas con la administración de justicia, al preverse en ellas asuntos relacionados con el procedimiento civil. Recuerda que esta Corte ha sentado el criterio de acuerdo con el cual la exigencia constitucional de la reserva de la ley estatutaria, en el caso de las normas legales que se refieran a la administración de justicia, procede cuando la norma legal trate asuntos concernientes a derechos fundamentales de las personas o a la estructura misma de dicha administración, que no son precisamente los tratados por las normas aquí cuestionadas. Corrobora que, de acuerdo a la jurisprudencia constitucional, no es exigible esa modalidad de legislación, por la sola circunstancia de que una determinada ley haga referencia a algunos de los temas respecto de los cuales el Constituyente previó el trámite especial contenido en el artículo 152 de la Carta. CONSIDERACIONES Y FUNDAMENTOS 1. La Competencia. En virtud de lo dispuesto por el artículo 241-4 de la Carta Política, la Corte Constitucional es competente para decidir definitivamente sobre la demanda de inconstitucionalidad que dio lugar al presente proceso, dado que versa sobre presuntos vicios atribuidos a una Ley de la República. 191 2. El contexto de la Ley 527 de 1999 1. La revolución en los medios de comunicación de las dos últimas décadas a causa de los progresos tecnológicos en el campo de los computadores, las telecomunicaciones y la informática Es bien sabido que los progresos e innovaciones tecnológicas logrados principalmente durante las dos últimas décadas del siglo XX, en el campo de la tecnología de los ordenadores, telecomunicaciones y de los programas informáticos, revolucionaron las comunicaciones gracias al surgimiento de redes de comunicaciones informáticas, las cuales han puesto a disposición de la humanidad, nuevos medios de intercambio y de comunicación de información como el correo electrónico, y de realización de operaciones comerciales a través del comercio electrónico. El Vicepresidente Ejecutivo (e) de la Cámara de Comercio de Bogotá, se refirió a los avances tecnológicos que ambientaron la regulación sobre mensajes de datos y comercio electrónico así como a su incalculable valor agregado en la expansión del comercio, en los siguientes términos: "... La posibilidad de transmitir digitalmente la información de manera descentralizada, el desarrollo de Internet a finales de los años sesenta y el perfeccionamiento de sus servicios desde la aparición de la Red de Redes en los años ochenta, se constituyeron en los pilares básicos para el despegue del comercio electrónico. En la actualidad el desarrollo del comercio electrónico a nivel mundial es un hecho innegable e irreversible. No sólo es así, sino que según se prevé, seguirá en crecimiento en los próximos años generando grandes ingresos a través de la red, el cual innegablemente causa un impacto sobre las actividades económicas, sociales y jurídicas en donde estas tienen lugar. A pesar de no haber madurado aún, el comercio electrónico crece a gran velocidad e incorpora nuevos logros dentro del ciclo de producción. A nivel general, todo parece indicar que este nuevo medio de intercambio de información, al eliminar barreras y permitir un contacto en tiempo real entre consumidores y vendedores, producirá mayor eficiencia en el ciclo de producción aparejado a un sin número de beneficios como la reducción de costos, eliminación de intermediarios en la cadena de comercialización, etc. Trayendo importantes e invaluables beneficios a los empresarios que estén dotados de estas herramientas. En Colombia, las ventas por Internet son una realidad. Los centros comerciales virtuales y las transferencias electrónicas, entre otros, ya pueden encontrarse en la red. En 1995 existían en nuestro país 50.000 usuarios de Internet, hoy, según estudios especializados, llegar a los 600.000 y en el año 2.000 sobrepasarán el millón de suscriptores. Así las cosas Colombia se perfila como uno de los países de mayor crecimiento en América Latina en utilización de recursos informáticos y tecnológicos para tener acceso a Internet y podría utilizar estos recursos para competir activa y efectivamente en el comercio internacional. ..." 2. La necesidad de actualizar los regímenes jurídicos, para otorgar fundamento jurídico al intercambio electrónico de datos Desde luego, este cambio tecnológico ha planteado retos de actualización a los regímenes jurídicos nacionales e internacionales, de modo que puedan eficazmente responder a las exigencias planteadas por la creciente globalización de los asuntos pues, es indudable que los avances tecnológicos en materia de intercambio electrónico de datos ha propiciado el desarrollo de esta tendencia en todos los órdenes, lo cual, desde luego, implica hacer las adecuaciones en los regímenes que sean necesarias para que estén acordes con las 192 transformaciones que han tenido lugar en la organización social, económica y empresarial, a nivel mundial, regional, local, nacional, social y aún personal. La exposición de motivos del proyecto presentado al Congreso de la República por los Ministros de Justicia y del Derecho, de Desarrollo, de Comercio Exterior y de Transporte, que culminó en la expedición de la Ley 527 de 1999, ilustró las exigencias que el cambio tecnológico planteaba en términos de la actualización de la legislación nacional para ponerla a tono con las nuevas realidades de comunicación e interacción imperantes y para darle fundamento jurídico a las transacciones comerciales efectuadas por medios electrónicos y fuerza probatoria a los mensajes de datos, en los siguientes términos : "... El desarrollo tecnológico que se viene logrando en los países industrializados, permite agilizar y hacer mucho más operante la prestación de los servicios y el intercambio de bienes tangibles o intangibles, lo cual hace importante que nuestro país incorpore dentro de su estructura legal, normas que faciliten las condiciones para acceder a canales eficientes de derecho mercantil internacional, en virtud a los obstáculos que para éste encarna una deficiente y obsoleta regulación al respecto ..." 3. La Ley Modelo sobre Comercio Electrónico de la Comisión de las Naciones Unidas para el desarrollo del Derecho Mercantil Internacional -CNUDMI Como quedó expuesto, las regulaciones jurídicas tanto nacionales como internacionales resultaron insuficientes e inadecuadas frente a los modernos tipos de negociación y de comunicación. Ante esa realidad, la Comisión de las Naciones Unidas para el Desarrollo del Derecho Mercantil promovió la gestación de un proyecto de ley tipo en materia de comercio electrónico, inspirada en la convicción de que al dotársele de fundamentación y respaldo jurídicos, se estimularía el uso de los mensajes de datos y del correo electrónico para el comercio, al hacerlos confiables y seguros, lo cual, de contera, redundaría en la expansión del comercio internacional, dadas las enormes ventajas comparativas que gracias a su rapidez, estos medios ofrecen en las relaciones de índole comercial entre comerciantes y usuarios de bienes y servicios. La Asamblea General de la ONU, mediante Resolución 51/162 de 1996 aprobó la Ley Modelo sobre Comercio Electrónico elaborada por la CNUDMI y recomendó su incorporación a los ordenamientos internos como un instrumento útil para agilizar las relaciones jurídicas entre particulares. El régimen legal modelo formulado por la Comisión de Naciones Unidas para el Desarrollo del Derecho Mercantil Internacional -CNUDMI- busca ofrecer: "... al legislador nacional un conjunto de reglas aceptables en el ámbito internacional que le permitieran eliminar algunos de esos obstáculos jurídicos con miras a crear un marco jurídico que permitiera un desarrollo más seguro de las vías electrónicas de negociación designadas por el nombre de comercio electrónico.". "... La ley modelo tiene la finalidad de servir de referencia a los países en la evaluación y modernización de ciertos aspectos de sus leyes y prácticas en las comunicaciones con medios computarizados y otras técnicas modernas y en la promulgación de la legislación pertinente cuando no exista legislación de este tipo. ..." Según se hizo constar en la propia exposición de motivos, el proyecto colombiano se basó en la Ley modelo de la Comisión de las Naciones Unidas para el desarrollo del Derecho Mercantil Internacional -CNUDMI- sobre Comercio Electrónico. 193 4. Los antecedentes de la Ley 527 de 1999 La Ley 527 de 1999 es, pues, el resultado de una ardua labor de estudio de temas de derecho mercantil internacional en el seno de una Comisión Redactora de la que formaron parte tanto el sector privado como el público bajo cuyo liderazgo se gestó, a iniciativa del Ministerio de Justicia y con la participación de los Ministerios de Comercio Exterior, Transporte y Desarrollo. Como ya quedó expuesto, obedeció a la necesidad de que existiese en la legislación colombiana un régimen jurídico consonante con las nuevas realidades en que se desarrollan las comunicaciones y el comercio, de modo que las herramientas jurídicas y técnicas dieran un fundamento sólido y seguro a las relaciones y transacciones que se llevan a cabo por vía electrónica y telemática, al hacer confiable, seguro y válido el intercambio electrónico de informaciones. Así, pues, gracias a la Ley 527 de 1999 Colombia se pone a tono con las modernas tendencias del derecho internacional privado, una de cuyas principales manifestaciones ha sido la adopción de legislaciones que llenen los vacíos normativos que dificultan el uso de los medios de comunicación modernos, pues, ciertamente la falta de un régimen específico que avale y regule el intercambio electrónico de informaciones y otros medios conexos de comunicación de datos, origina incertidumbre y dudas sobre la validez jurídica de la información cuyo soporte es informático, a diferencia del soporte documental que es el tradicional. De ahí que la Ley facilite el uso del EDI y de medios conexos de comunicación de datos y concede igual trato a los usuarios de documentación con soporte de papel y a los usuarios de información con soporte informático. 2. Estructura de la Ley 527 de 1999 La Ley 527 de 1999 contiene 47 artículos, distribuidos en cuatro Partes, a saber: Mensajes de datos y comercio electrónico (i); Transporte de mercancías (ii); firmas digitales, certificados y entidades de certificación (iii) reglamentación y vigencia. Del texto de la Ley y para los efectos de este fallo, resulta pertinente destacar cuatro temas: Mensajes electrónicos de datos y Comercio electrónico; - Las firmas digitales; - Las entidades de certificación y, - La admisibilidad y fuerza probatoria de los mensajes de datos. Dado su carácter eminentemente técnico, con apartes de la exposición de motivos, se ilustra cada uno de estos temas: 3. 1. Mensajes electrónicos de datos El mensaje electrónico de datos, se considera la piedra angular de las transacciones comerciales telemáticas. Por ello la ley lo describe en la siguiente forma: "Mensaje de datos: la información generada, enviada, recibida, archivada o comunicada por medios electrónicos, ópticos o similares, como pudieran ser, entre otros, el intercambio electrónico de datos (EDI), el correo electrónico, el telegrama, el telex o el telefax". (Artículo 2º literal b). La noción de "mensaje" comprende la información obtenida por medios análogos en el ámbito de las técnicas de comunicación modernas, bajo la configuración de los progresos técnicos que tengan contenido jurídico. Cuando en la definición de mensaje de datos, se menciona los "medios similares", se busca establecer el hecho de que la norma no está exclusivamente destinada a conducir las prácticas modernas de comunicación, sino que pretenden ser útil para involucrar todos los adelantos tecnológicos que se generen en un futuro. El mensaje de datos como tal debe recibir el mismo tratamiento de los documentos consignados en papel, es decir, debe dársele la misma eficacia jurídica, por cuanto el mensaje de datos comporta los mismos criterios de un documento. Dentro de las características esenciales del mensaje de datos encontramos que es una prueba de la existencia y naturaleza de la voluntad de las partes de comprometerse; es un documento legible que puede ser presentado ante las Entidades públicas y los Tribunales; admite su almacenamiento e inalterabilidad en el tiempo; facilita la revisión y posterior auditoría para los fines contables, impositivos y reglamentarios; afirma derechos y obligaciones jurídicas entre los intervinientes y es accesible para su ulterior consulta, es decir, que la información en forma de datos computarizados es susceptible de leerse e interpretarse. 194 Por otra parte, en el proyecto de ley se hace hincapié como condición de singular trascendencia, en la integridad de la información para su originalidad y establece reglas que deberán tenerse en cuenta al apreciar esa integridad, en otras palabras que los mensajes no sean alterados y esta condición la satisfacen los sistemas de protección de la información, como la Criptografía y las firmas digitales, al igual que la actividad de las Entidades de Certificación, encargadas de proteger la información en diversas etapas de la transacción, dentro del marco de la autonomía de la voluntad. Así mismo, cuando el contenido de un mensaje de datos sea completo y esté alterado, pero exista algún anexo inserto, éste no afectará su condición de "original". Esas condiciones se considerarían escritos complementarios o serían asimiladas al sobre utilizado para enviar ese documento "original". - Equivalentes funcionales El proyecto de ley, al igual de la Ley Modelo, sigue el criterio de los "equivalentes funcionales" que se fundamenta en un análisis de los propósitos y funciones de la exigencia tradicional del documento sobre papel, para determinar como podrían cumplirse esos propósitos y funciones con técnicas electrónicas. Se adoptó el criterio flexible de "equivalente funcional", que tuviera en cuenta los requisitos de forma fiabilidad, inalterabilidad y rastreabilidad, que son aplicables a la documentación consignada sobre papel, ya que los mensajes de datos por su naturaleza, no equivalen en estricto sentido a un documento consignado en papel. En conclusión, los documentos electrónicos están en capacidad de brindar similares niveles de seguridad que el papel y, en la mayoría de los casos, un mayor grado de confiabilidad y rapidez, especialmente con respecto a la identificación del origen y el contenido de los datos, siempre que se cumplan los requisitos técnicos y jurídicos plasmados en la ley. 2. Firmas digitales En el capítulo I de la parte III, respecto de la aplicación específica de los requisitos jurídicos de los mensajes de datos, se encuentra la firma, y para efectos de su aplicación se entiende por firma digital: ".... un valor numérico que se adhiere a un mensaje de datos y que, utilizando un procedimiento matemático conocido vinculado a la clave criptográfica privada del iniciado, permite determinar que este valor numérico se ha obtenido exclusivamente con la clave criptográfica privada del iniciador y que el mensaje inicial no ha sido modificado después de efectuada la transformación". (Artículo 2º. Literal h). A través de la firma digital se pretende garantizar que un mensaje de datos determinado proceda de una persona determinada; que ese mensaje no hubiera sido modificado desde su creación y transmisión y que el receptor no pudiera modificar el mensaje recibido. Una de las formas para dar seguridad a la validez en la creación y verificación de una firma digital es la Criptografía, la cual es una rama de las matemáticas aplicadas que se ocupa de transformar, mediante un procedimiento sencillo, mensajes en formas aparentemente ininteligibles y devolverlas a su forma original. Mediante el uso de un equipo físico especial, los operadores crean un par de códigos matemáticos, a saber: una clave secreta o privada, conocida únicamente por su autor, y una clave pública, conocida como del público. La firma digital es el resultado de la combinación de un código matemático creado por el iniciador para garantizar la singularidad de un mensaje en particular, que separa el mensaje de la firma digital y la integridad del mismo con la identidad de su autor. La firma digital debe cumplir idénticas funciones que una firma en las comunicaciones consignadas en papel. En tal virtud, se toman en consideración las siguientes funciones de esta: • Identificar a una persona como el autor; - Dar certeza de la participación exclusiva de esa persona en el acto de firmar; - Asociar a esa persona con el contenido del documento. Concluyendo, es evidente que la transposición mecánica de una firma autógrafa realizada sobre papel y replicada por el ordenador a un documento informático no es suficiente para garantizar los resultados tradicionalmente asegurados por la firma autógrafa, por lo que se crea la necesidad de que existan establecimientos que certifiquen la validez de esas firmas. 195 Por lo tanto, quien realiza la verificación debe tener acceso a la clave pública y adquirir la seguridad que el mensaje de datos que viene encriptado corresponde a la clave principal del firmante; son las llamadas entidades de certificación que trataremos más adelante. 3.3. Entidades de certificación. Uno de los aspectos importantes de este proyecto, es la posibilidad de que un ente público o privado con poderes de certificar, proporcione la seguridad jurídica a las relaciones comerciales por vía informática. Estos entes son las entidades de certificación, que una vez autorizadas, están facultados para: emitir certificados en relación con claves criptográficas de todas las personas, ofrecer o facilitar los servicios de registro y estampado cronológico de la transmisión y recepción de mensajes de datos, así como cumplir otras funciones relativas a las comunicaciones basadas en las firmas digitales. La entidad de certificación, expide actos denominados Certificados, los cuales son manifestaciones hechas como resultado de la verificación que efectúa sobre la autenticidad, veracidad y legitimidad de las claves criptográficas y la integridad de un mensaje de datos. La naturaleza de la función de las entidades de certificación se considera como la prestación de un servicio público, para lo cual vale la pena detenerse un momento. El artículo 365 de la Constitución Política hace referencia al tema de los servicios públicos, los cuales pueden ser prestados tanto por las entidades públicas como las privadas o conjuntamente. Esta norma permite que este servicio lo presten los particulares, si reúnen los requisitos exigidos por la ley y cuenta con la aprobación de la Superintendencia, organismo rector para todos los efectos. El proyecto de ley señala que podrán ser entidades de certificación, las Cámaras de Comercio y en general las personas jurídicas, tanto públicas como privadas, autorizadas por la Superintendencia respectiva, que cumplan con los requerimientos y condiciones establecidos por el Gobierno Nacional, con fundamento en el artículo 31 del proyecto. Una vez las entidades de certificación sean autorizadas, podrán realizar actividades tales como, emitir certificados en relación con las firmas digitales; ofrecer o facilitar los servicios de creación de firmas digitales certificadas; servicios de registro y estampado cronológico en la transmisión y recepción de mensajes de datos; servicios de archivo y conservación de mensajes de datos, entre otras. A la par con las actividades definidas anteriormente, estas entidades tendrán deberes que cumplir frente a los involucrados dentro del proceso mercantil, deberes atinentes a cada una de las actividades que pretendan ejercer. En consecuencia, las entidades de certificación, son las encargadas entre otras cosas, de facilitar y garantizar las transacciones comerciales por medios electrónicos o medios diferentes a los estipulados en papel e implican un alto grado de confiabilidad, lo que las hace importantes y merecedoras de un control ejercido por un ente público, control que redunda en beneficio de la seguridad jurídica del comercio electrónico. La comisión redactora del proyecto de ley, consideró que la Superintendencia de Industria y Comercio debe ser la entidad encargada del control y vigilancia de las entidades de certificación, por cuanto su competencia es afín con estas labores. La función que actualmente ejercen las Superintendencias y que les fue delegada, le corresponde constitucionalmente al Presidente de la República como Suprema Autoridad Administrativa, cuando señala que una de sus funciones es la de ejercer la inspección y vigilancia de la prestación de los servicios públicos. En razón a que la naturaleza de las funciones de las entidades de certificación se consideran como la prestación de un servicio público, la inspección y vigilancia de los servicios públicos que tienen que ver con la certificación, actividades que ejercerán las entidades de certificación, debe radicarse en cabeza de una Superintendencia como la de Industria y Comercio. 3. 4. Alcance probatorio de los mensajes de datos El proyecto de ley establece que los mensajes de datos se deben considerar como medios de prueba, equiparando los mensajes de datos a los otros medios de prueba originalmente escritos en papel. Veamos 196 "Admisibilidad y fuerza probatoria de los mensajes de datos. Los mensajes de datos serán admisibles como medios de prueba y tendrán la misma fuerza probatoria otorgada a los documentos en el capítulo VIII de título XIII del Código de Procedimiento Civil. En toda actuación administrativa o judicial, vinculada con el ámbito de aplicación de la presente ley, no se negará eficacia, validez o fuerza obligatoria y probatoria a todo tipo de información en forma de un mensaje de datos, por el solo hecho de que se trate de un mensaje de datos o en razón de no haber sido presentado en su forma original" (artículo 10). Al hacer referencia a la definición de documentos del Código de Procedimiento Civil, le otorga al mensaje de datos la calidad de prueba, permitiendo coordinar el sistema telemático con el sistema manual o documentario, encontrándose en igualdad de condiciones en un litigio o discusión jurídica, teniendo en cuenta para su valoración algunos criterios como: confiabilidad, integridad de la información e identificación del autor. Criterio para valorar probatoriamente un mensaje de datos. Al valorar la fuerza probatoria de un mensaje de datos se habrá de tener presente la confiabilidad de la forma en la que se haya generado, archivado o comunicado el mensaje, la confiabilidad de la forma en que se haya conservado la integridad de la información, la forma en la que se identifique a su iniciador y cualquier otro factor pertinente (artículo 11). 3. Los cargos globales Son dos los reparos que generan el cuestionamiento de constitucionalidad que plantea la demandante a saber: que las entidades certificadoras, estarían dando fe pública en Colombia, cuando esta función está reservada constitucionalmente de manera exclusiva a los notarios, según es su entendimiento del artículo 131 de la Carta Política (i) y que se habrían desconocido los artículos 152 y 153 Superiores al haberse modificado el Código de Procedimiento Civil por la vía de una ley ordinaria cuando, según su afirmación, ha debido hacerse por Ley Estatutaria. Así las cosas, le corresponde en esta oportunidad a esta Corporación determinar si constitucionalmente la fé pública es una función privativa de los Notarios. Y si las modificaciones a los medios de prueba previstos en el Código de Procedimiento Civil son materia reservada a la Ley Estatutaria. A ello, seguidamente se procederá. La supuesta invasión de la función notarial y la libertad del Legislador para regular el servicio notarial No considera la Corte que para el esclarecimiento de los cargos lo relevante sea definir la naturaleza de la actividad que realizan las entidades de certificación, pues aunque su carácter eminentemente técnico no se discute, comoquiera que se desprende inequívocamente del componente tecnológico que es característico de los datos electrónicos, es lo cierto que participa de un importante componente de la tradicional función fedante, pues al igual que ella, involucra la protección a la confianza que la comunidad deposita en el empleo de los medios electrónicos de comunicación así como en su valor probatorio, que es lo realmente relevante para el derecho, pues, ciertamente es el marco jurídico el que crea el elemento de confianza. Y, a su turno, la confianza es la variable crítica para incentivar el desarrollo progresivo de las vías electrónicas de comunicación conocidas como correo electrónico y comercio electrónico, pues es el elemento que permite acreditarlos como un medio seguro, confiable y, de consiguiente, apto para facilitar las relaciones entre los coasociados. E, indudablemente, es esta zona de frontera la que produce la inquietud que lleva a la ciudadana demandante a cuestionar su constitucionalidad. En efecto, ya quedó expuesto, el servicio de certificación a cargo de las entidades certificadoras propende por proporcionar seguridad jurídica a las transacciones comerciales por vía informática, actuando la entidad de certificación como tercero de absoluta confianza, para lo cual la ley le atribuye importantes prerrogativas de certificación técnica, entendiendo por tal, la que versa, no sobre el contenido mismo del mensaje de datos, sino sobre las características técnicas en las que este fue emitido y sobre la comprobación de la identidad, tanto de la persona que lo ha generado, como la de quien lo ha recibido. Es, pues claro que la certificación técnica busca dar certeza a las partes que utilizan medios tecnológicos para el intercambio de información, en cuanto a la identidad y origen de los mensajes intercambiados. No busca dar mayor jerarquía ni validez a los mensajes de datos de los que pretende un documento tradicional. 197 A diferencia de los documentos en papel, los mensajes de datos deben ser certificados técnicamente para que satisfagan los equivalentes funcionales de un documento tradicional o en papel y, es allí en donde las entidades de certificación juegan un papel importante. Las entidades de certificación certifican técnicamente que un mensaje de datos cumple con los elementos esenciales para considerarlo como tal, a saber la confidencialidad, la autenticidad, la integridad y la no repudiación de la información, lo que, en últimas permite inequívocamente tenerlo como auténtico. La confidencialidad connota aquellos requisitos técnicos mínimos necesarios para garantizar la privacidad de la información. La autenticidad es la certificación técnica que identifica a la persona iniciadora o receptora de un mensaje de datos. La integridad es el cumplimiento de los procedimientos técnicos necesarios que garanticen que la información enviada por el iniciador de un mensaje es la misma del que lo recibió. Y, la no repudiación es el procedimiento técnico que garantiza que el iniciador de un mensaje no puede desconocer el envío de determinada información. En abundante jurisprudencia, esta Corte ya ha tenido oportunidad de precisar que el legislador goza de una amplia libertad para regular el servicio notarial, lo cual es de por sí un argumento suficiente para desechar los cargos de la demandante quien, en sentir de esta Corte, ciertamente confunde la competencia que el legislador tiene para reglamentar el servicio público que prestan los notarios y registradores, al tenor de lo preceptuado por el artículo 131 Constitucional, con la asignación a estos de la función fedante como una atribución constitucional privativa y excluyente, por lo cual, encuentra que asiste razón tanto al Ministerio Público como a los intervinientes, al señalar que este cargo parte de un supuesto equivocado. De otra parte, resulta también pertinente señalar que conforme a lo preceptuado por los artículos 2º., 210 y 365 de la Carta Política, el legislador está constitucionalmente habilitado para conferir transitoriamente el ejercicio de funciones públicas a los particulares, lo cual, permite concluir que, también por este aspecto, la Ley acusada, en cuanto faculta a las personas jurídicas privadas a prestar el servicio de certificación, tiene pleno sustento constitucional. Así las cosas, aún cuando las funciones de las entidades certificadoras de que trata la Ley 527 de 1999 se asociaran con la fe pública, no por ello serían inconstitucionales, pues, como ya se dijo, el legislador bien puede atribuírselas a dichas entidades en su condición de entes privados, sin que ello comporte violación del artículo 131 de la Carta. Entrar a calificar como función pública o servicio público las atribuciones que la Ley 527 de 1999 otorgó a las entidades certificadoras, no es en modo alguno asunto relevante para este examen comoquiera que su sustento constitucional es ajeno a esa categorización. Como lo tiene establecido esta Corte en su jurisprudencia: "... En efecto, independientemente del debate doctrinal y jurisprudencial sobre la naturaleza jurídica de los notarios en el ordenamiento legal colombiano, es claro que constitucionalmente estas personas ejercen una función pública. Además, no es cierto que la Constitución ordene, como equivocadamente lo indica el actor, que este servicio debe ser prestado por particulares, por cuanto la ley puede radicar la función fedante en determinadas instituciones estatales y conferir por ende a los notarios la calidad de servidores públicos. Nada en la Carta se opone a esa posible regulación, puesto que la Constitución en manera alguna ordena que los notarios deban ser particulares y que este servicio deba ser prestado obligatoriamente mediante una forma de descentralización por colaboración, puesto que es también posible que la ley regule de manera diversa el servicio notarial y establezca que los notarios y sus subalternos adquieren la calidad de servidores públicos. La Constitución confiere entonces una amplia libertad al Legislador para regular de diversas maneras el servicio notarial, puesto que el texto superior se limita a señalar que compete a la ley la reglamentación del servicio que prestan los notarios y registradores, así como la definición del régimen laboral para sus empleados (CP art. 131). Por consiguiente, bien puede la ley atribuir la prestación de esa función a particulares, siempre y cuando establezca los correspondientes controles disciplinarios y administrativos para garantizar el cumplimiento idóneo de la función; sin embargo, 198 también puede el Legislador optar por otro régimen y atribuir la prestación de ese servicio a funcionarios públicos vinculados formalmente a determinadas entidades estatales. ..." 5. Los acusados artículos 9º. a 15 y 28 y la supuesta violación de los artículos 151 y 152 de la Constitución Política Argumenta la interviniente que la Ley 527 de 1999 y, particularmente los artículos 9 al 15, así como el 28, modifican y adicionan el Código de Procedimiento Civil en cuanto a los medios de prueba y a su valor probatorio, lo que en su sentir, ha debido hacerse mediante el trámite y las mayorías propias de una Ley Estatutaria, en cuanto implica una reforma a la Ley Estatutaria de la Administración de Justicia. Así, pues, en el entendimiento de la demandante, todo aspecto sustantivo o procesal relacionado con la Administración de Justicia estaría reservado al ámbito de la Ley Estatutaria, según su lectura del artículo 152 de la Carta Política. A juicio de la Corte este cargo también se basa en una premisa equivocada, comoquiera que la accionante parte de un erróneo entendimiento acerca del ámbito material que constituye la reserva de la Ley Estatutaria sobre la Administración de Justicia. No es necesario un análisis detallado acerca de la naturaleza jurídica de las leyes estatutarias y de las materias a ellas asignadas por el artículo 152 constitucional, pues ya la Corte se ha ocupado con suficiencia del tema y ha establecido en múltiple y reiterada jurisprudencia que únicamente aquellas disposiciones que de una forma y otra se ocupen de afectar la estructura de la administración de justicia, o de sentar principios sustanciales o generales sobre la materia, deben observar los requerimientos especiales para este tipo de leyes. Las demás y en particular los códigos, deben seguir el trámite ordinario previsto en la Carta Política, pues se tratan de leyes ordinarias dictadas por el Congreso de la República en virtud de lo dispuesto en el numeral 2 del artículo 150 Superior. En otros términos, la reserva de Ley estatutaria no significa que toda regulación que se relacione con los temas previstos en el artículo 152 de la Carta Constitucional deba someterse a dicho trámite especial. Tal conclusión conduciría al absurdo extremo de que toda norma relacionada con cualquier aspecto de la administración de justicia, tendría que aprobarse bajo los estrictos requisitos de las leyes estatutarias, lo cual entrabaría gravemente la función legislativa y haría inane la función de expedir códigos en todos los ramos de la legislación y la de reformar las leyes preexistentes que el Constituyente también atribuye al Congreso, y que este desarrolla por medio de la ley ordinaria. De ahí que esta Corte, en su jurisprudencia, haya sostenido que la interpretación de los asuntos sometidos a reserva de ley estatutaria debe ser restrictiva a fin de garantizar, entre otras cosas, la integridad de la competencia del legislador ordinario. Es suficiente, para los efectos de este fallo, recordar las precisiones que, acerca del contenido propio de la Ley Estatutaria de la Administración de Justicia, la Corporación consignó en la sentencia C-037 de febrero 5 de 1996 al referirse al campo propio de la Ley ordinaria. Dijo entonces la Corporación: "... Para la Corte, una ley estatutaria encargada de regular la administración de justicia, como lo dispone el literal b) del artículo 152 superior, debe ocuparse esencialmente sobre la estructura general de la administración de justicia y sobre los principios sustanciales y procesales que deben guiar a los jueces en su función de dirimir los diferentes conflictos o asuntos que se someten a su conocimiento. De conformidad con lo anterior, esta Corporación entiende que el legislador goza, en principio, de la autonomía suficiente para definir cuáles aspectos del derecho deben hacer parte de este tipo de leyes. Sin embargo, debe señalarse que esa habilitación no incluye la facultad de consagrar asuntos o materias propias de los códigos de procedimiento, responsabilidad esta que se debe asumir con base en lo dispuesto en el numeral 2o del artículo 150 superior, es decir, a través de las leyes ordinarias. Con todo, debe reconocerse que no es asunto sencillo establecer una diferenciación clara y contundente respecto de las materias que deben ocuparse 199 uno y otro tipo de leyes. Así, pues, resulta claro que, al igual que ocurre para el caso de las leyes estatutarias que regulan los derechos fundamentales (literal A del artículo 152), no todo aspecto que de una forma u otra se relacione con la administración de justicia debe necesariamente hacer parte de una ley estatutaria. De ser ello así, entonces resultaría nugatoria la atribución del numeral 2o del artículo 150 y, en consecuencia, cualquier código que en la actualidad regule el ordenamiento jurídico, o cualquier modificación que en la materia se realice, deberá someterse al trámite previsto en el artículo 153 de la Carta. ... Y, más adelante se lee: "... Las consideraciones precedentes sirven, además, de fundamento para advertir la inconveniencia de permitir al legislador regular aspectos propios de ley procesal en una ley estatutaria, pues es sabido que el trámite de este tipo de normatividad reviste características especiales -aprobación en una sola legislatura, votación mayoritaria de los miembros del Congreso, revisión previa de la Corte Constitucional-, las cuales naturalmente no se compatibilizan con la facultad que le asiste al legislador para expedir o modificar códigos a través de mecanismos eficaces –es decir, mediante el trámite ordinario-, en los eventos en que las necesidades del país así lo ameriten. Permitir lo contrario sería tanto como admitir la petrificación de las normas procesales y la consecuente imposibilidad de contar con una administración de justicia seria, responsable, eficaz y diligente. (Subrayas fuera de texto) ..." no todo aspecto que de una forma u otra se relacione con la administración de justicia debe necesariamente hacer parte de una ley estatutaria. De ser ello así, entonces resultaría nugatoria la atribución del numeral 2o del artículo 150 y, en consecuencia, cualquier código que en la actualidad regule el ordenamiento jurídico, o cualquier modificación que en la materia se realice, deberá someterse al trámite previsto en el artículo 153 de la Carta. ... Recuérdese que la misma Carta autoriza al Congreso a expedir, por la vía ordinaria, Códigos en todos los ramos de la legislación, por lo cual, mal puede sostenerse que toda regulación de los temas que han sido objeto de ley estatutaria, haga forzoso el procedimiento restrictivo y más exigente previsto por el Constituyente para su formación. Se reitera: el propósito de las Leyes Estatutarias no es el de regular en forma exhaustiva la materia que constituye su objeto. 6. La unidad Normativa De otra parte, la Corte encuentra que el artículo 4º. del Decreto 266 del 2000, expedido por el Presidente de la República en ejercicio de las facultades extraordinarias conferidas por el numeral 5º. del artículo 1º. de la Ley 573 del 7 de febrero del 2000, conforma unidad normativa con el artículo 10 de la acusada Ley 527 de 1999, dada su identidad de contenido. Ciertamente, el artículo 4º. de la Ley 573 del 7 de febrero del 2000 dispone: Artículo 4º. Medios tecnológicos. Modifícase el artículo 26 del decreto 2150 de 1995, el cual quedará así: "Artículo 26. Medios tecnológicos Se autoriza a la Administración Pública el empleo de cualquier medio tecnológico o documento electrónico, que permita la realización de los principios de igualdad, economía, celeridad, imparcialidad, publicidad, moralidad y eficacia en la función administrativa, así como el establecimiento de condiciones y requisitos de seguridad que cada caso sean procedentes, sin perjuicio de las competencias que en la materia tengan algunas entidades especializadas. Toda persona podrá en su relación con la administración hacer uso de cualquier medio técnico o electrónico, para presentar peticiones, quejas o reclamaciones ante las autoridades. Las entidades harán públicos los medios de que dispongan para permitir esta utilización. 200 Los mensajes electrónicos de datos serán admisibles como medios de prueba y su fuerza probatoria será la otorgada en las disposiciones del Capítulo VIII del Título XIII, Sección III Libro Segundo del Código de procedimiento Civil, siempre que sea posible verificar la identidad del remitente, así como la fecha de recibo del documento. Por su parte el artículo 10 de la Ley 527 de 1999, preceptúa: "Artículo 10. Admisibilidad y fuerza probatoria de los mensajes de datos. Los mensajes de datos serán admisibles como medios de prueba y su fuerza probatoria es la otorgada en las disposiciones del Capítulo VIII del Título XIII, Sección Tercera, Libro Segundo del Código de Procedimiento Civil. En toda actuación administrativa o judicial, no se negará eficacia, validez o fuerza obligatoria y, probatoria a todo tipo de información en forma de un mensaje de datos, por el sólo hecho que se trate de un mensaje de datos o en razón de no haber sido presentado en su forma original." Por consiguiente y en vista de que se presenta el fenómeno jurídico de unidad de materia entre el artículo 10 de la Ley 527 de 1999 acusado y el artículo 4 del Decreto 266 del 2000 dictado con base en las facultades extraordinarias establecidas en la Ley 573 del 2000, pues regulan un mismo aspecto, esto es, el valor probatorio de los mensajes electrónicos, la Corte estima que la declaratoria de constitucionalidad comprenderá también al artículo 4º. del Decreto 266 del 2000 por las razones atrás referidas. Es pues, del caso, extender el pronunciamiento de exequibilidad, en cuanto hace al cargo examinado, también a la norma últimamente mencionada. Así se decidirá. DECISIÓN En mérito de lo expuesto, la Corte Constitucional, en nombre del pueblo y por mandato de la Constitución, R E S U E L V E: Primero.- En cuanto a los cargos examinados, DECLÁRANSE EXEQUIBLES los artículos 10, 11, 12, 13, 14, 15, 27, 28, 29, 30, 32, 33, 34, 35, 36, 37, 38, 39, 40, 41, 42, 43, 44 y 45 de la Ley 527 de 1999. Segundo.- Declarar EXEQUIBLE el artículo 4º. del Decreto 266 del 2000 dictado en ejercicio de las facultades extraordinarias establecidas en la Ley 573 del 2000, conforme a la parte motiva de esta providencia. Cópiese, notifíquese, comuníquese a quien corresponda, publíquese, insértese en la Gaceta de la Corte Constitucional, archívese el expediente y cúmplase.” Chile:102 El 10 de junio de 1999 el presidente Eduardo Frei presentó el decreto 81 que regula el uso de la firma digital y los documentos electrónicos en la Administración del Estado (ha sido aprobado por la Cámara de Diputados del Congreso chileno, y debe ser 102 Renato Jijena Leiva. Universidad de Chile; Federación Iberoamericana de Asociaciones de Informática y Derecho (FIADI) Firma Digital y Entidades Certificadoras. Regulación Legal en la Administración Pública Chilena. 201 enviado para su segundo trámite constitucional al Senado de la República) que nada tiene que ver con el comercio electrónico sino que se relaciona sólo con el uso de firmas y documentos digitales o electrónicos al interior de la Administración del Estado, obedece a uno de los compromisos adoptados por una Comisión Presidencial de Nuevas Tecnologías que sesionó durante 1998, en orden a dotar a los órganos estatales del marco legal que permita el uso de la informática y de las telecomunicaciones en reemplazo de sus procedimientos manuales, específicamente en lo relacionado con el uso de firmas y de documentos digitales al interior de la Administración del Estado y no en las eventuales relaciones con los administrados. El 9 de agosto del 2000 inició, como complemento, un proyecto de ley que regula la firma electrónica, la prestación de servicios de certificación de estas firmas y el procedimiento voluntario de acreditación de prestadores de servicio de certificación, para su uso en actos o contratos celebrados por medio de documentos electrónicos a través de medios electrónicos de comunicación (retomando algunos conceptos del decreto anotado anteriormente) En el cual se define: a) Certificado de firma electrónica: certificación electrónica que da fe sobre los datos referidos a una firma electrónica simple o avanzada; b) Certificador: entidad prestadora de servicios de certificación de firmas electrónicas; c) Documento electrónico: toda representación electrónica que dé testimonio de un hecho, una imagen o una idea; d) Entidad Acreditadora: la Subsecretaría de Economía, Fomento y Reconstrucción. e) Firma electrónica avanzada: es aquélla creada usando medios que el titular mantiene bajo su exclusivo control, de manera que está vinculada únicamente al mismo 202 y a los datos a los que se refiere, y permita que sea detectable cualquier modificación ulterior de éstos, garantizando así la identidad del titular y que éste no pueda desconocer la autoría del documento y la integridad del mismo; f) Firma electrónica simple: es aquélla que no reúne alguno de los elementos que definen a la firma electrónica avanzada; g) Firma electrónica: cualquier sonido, símbolo o proceso electrónico, que permite al receptor de un documento electrónico identificar solo formalmente a su autor; h) Usuario o titular: persona que utiliza bajo su exclusivo control un certificado de firma electrónica. Ecuador:103 2001. En marzo del 2001 se presentó un Proyecto de Ley de Comercio Electrónico y firmas digitales, en términos muy similares a la Chilena, utilizando el modelo mexicano. Panamá:104 Ley número 43 del 31 de julio del 2001 se expidió la ley que define y regula los documentos y firmas electrónicas y las entidades de certificación en el comercio electrónico y el intercambio de documentos electrónicos, definiendo: Certificado. Manifestación que hace la entidad de certificación, como resultado de la verificación que efectúa sobre la autenticidad, veracidad y legitimidad de las firmas electrónicas o la integridad de un mensaje. 103 Dr. José Luis Barzallo. Quito – Ecuador. sbarzal@uio.satnet.net 104 Publicada en la Gaceta Oficial No. 24.359 de 3 de agosto de 2001. 203 Destinatario. Persona designada por el iniciador para recibir el mensaje, pero que no esté actuando a título de intermediario con respecto a ese mensaje. Documento electrónico. Toda representación electrónica que da testimonio de un hecho, una imagen o una idea. Entidad de certificación. Persona que emite certificados electrónicos en relación con las firmas electrónicas de las personas, ofrece o facilita los servicios de registro y estampado cronológico de la transmisión y recepción de mensajes de datos y realiza otras funciones relativas a las firmas electrónicas. Firma electrónica. Todo sonido, símbolo o proceso electrónico vinculado a o lógicamente asociado con un mensaje, y otorgado o adoptado por una persona con la intención de firmar el mensaje que permite al receptor identificar a su autor. Iniciador. Toda persona que, a tenor del mensaje, haya actuado por su cuenta o en cuyo nombre se haya actuado, para enviar o generar ese mensaje antes de ser archivado, si éste es el caso, pero que no haya actuado a título de intermediario con respecto a ese mensaje. Intermediario. Toda persona que, actuando por cuenta de otra, envíe, reciba o archive un mensaje o preste algún otro servicio con respecto a él. Mensaje de datos. Información generada, enviada, recibida o archivada o comunicada por medios electrónicos, ópticos o similares, como pudieran ser, entre otros, el intercambio electrónico de datos (EDI), Internet, el correo electrónico, el telegrama, el télex o el telefax. Repositorio. Sistema de información utilizado para guardar y recuperar certificados u otro tipo de información relevante para la expedición de éstos. 204 Revocar un certificado. Finalizar definitivamente el periodo de validez de un certificado, desde una fecha específica en adelante. Sistema de información. Todo sistema utilizado para generar, enviar, recibir, archivar o procesar de alguna otra forma mensajes de datos. Suscriptor. Persona que contrata con una entidad de certificación la expedición de un certificado, para que sea nombrada o identificada en él. Esta persona mantiene bajo su estricto y exclusivo control el procedimiento para generar su firma electrónica. Suspender un certificado. Interrumpir temporalmente el periodo operacional de un certificado, desde una fecha en adelante. Perú105: El 9 de agosto de 1999 se presentó el proyecto de ley que regula la contratación electrónica106, el cual fue dado a conocer en Washington DC seminario denominado "RESPONDING TO THE LEGAL OBSTACLES en el TO ELECTRONIC COMMERCE IN LATIN AMERICA, organizado por National Law Center Ínter American Free Trade. The organization of American States Business Software Alliance (Septiembre 29- Octubre 1 , 1999), tiene por objeto regular la utilización de la firma electrónica, otorgándole plena validez y eficacia jurídica equiparada al uso de una firma manuscrita u otra análoga que conlleve manifestación de voluntad. El cual se fundamenta en la legislación colombiana, argentina, chilena y mexicana y fue aprobado por unanimidad por la Comisión de Reforma de Códigos 105 Dictamen de la Comisión de Reforma de Códigos recaído sobre el proyecto de ley 5070-99 CR que regula las firmas electrónicas, suscrito por el congresista Jorge Muñiz Ziches 106 proyecto de ley 5070-99 CR 205 Venezuela107: El 26 de abril del 2000 se presentó un proyecto de LEY ORGÁNICA DE TECNOLOGIAS DE INFORMACIÓN, tiene por objeto promover y desarrollar el uso intensivo de las tecnologías de información en la sociedad, y regular el régimen jurídico de la función y el servicio público del sector de tecnologías de información estableciendo los principios orientadores y regulando los procesos de formación de políticas, normas, estrategias, planes y acciones tecnológicas del Estado a objeto de establecer la Infraestructura Nacional de Tecnologías de Información, entendiendo por ésta el conjunto de servicios y productos del sector de tecnologías de información, incluyendo aquellos que soportan el intercambio y difusión de información en la Nación a través de redes de transmisión de datos de carácter público o privado, pero de uso público, que se encuentren conectadas entre si y a su vez puedan conectarse con entidades similares en el exterior. No considera el Comercio Electrónico, pero como en el caso de Chile establece lineamientos e instituciones para regular el uso de la firma digital y los documentos electrónicos en la Administración del Estado. En Europa La Comisión Europea está abocada a armonizar los reglamentos sobre Criptografía de todos sus estados miembros. Hasta el momento, sólo algunos países disponen de leyes sobre firma digital y/o cifrado: En España La legislación actual y la jurisprudencia, son suficientemente amplias para acoger bajo el concepto de firma y de escrito a la firma digital y a cualquier otro tipo de firma. Cierto 107 Sitio en internet del gobierno de Venezuela. Texto en discusión elaborado con la participación de los sectores académico, gubernamental y economía privada 206 es que por razones de seguridad y para ofrecer mayor confianza en los usuarios y jueces que a la postre deben juzgar sobre la firma digital, una reforma de ley cuyo objetivo fuera equiparar la firma manuscrita a cualquier otro medio de firma que cumpliera las mismas finalidades, sería una medida positiva El artículo 3 del RD. 2402/1985, de 18 de diciembre, al regular los requisitos mínimos de las facturas, no exige que se firmen. Bien es verdad que nuestro Código de Comercio no exige, por regla general, para una eficacia del contrato o de la factura, la firma ni ningún otro signo de validez, si bien muchos ordenamientos jurídicos requieren que los documentos estén firmados en forma manuscrita -de puño y letra- en orden a solemnizar la transacción o a efectos de su consideración como un documento privado. Creemos no existe inconveniente alguno en admitir la posibilidad de una firma electrónica. La Circular del Banco de España 8/88 de 14 de Junio creando el reglamento del Sistema Nacional de compensación electrónica, se convirtió en pionera y marcó un hito para la protección y seguridad necesaria en la identificación para el acceso a la información, al indicar que la información se cifrará, para que las entidades introduzcan un dato de autentificación con la información de cada comunicación, a lo que se le reconoce a este método el mismo valor que el que posee un escrito firmado por personas con poder bastante. 207 El artículo 45 de la Ley 30/1992 de régimen jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común incorporó el empleo y aplicación de los medios electrónicos en la actuación administrativa, de cara a los ciudadanos. Para su regulación, el Real Decreto 263/1996 de 16 de febrero, indica que deberán adoptarse las medidas técnicas que garanticen la identificación y la autenticidad de la voluntad declarada, pero no hace ninguna regulación legal de la "firma electrónica". Es de hacer notar que la circular 3/2001 del Banco de España que modifica a la circular 8/90 regula, por primera vez, algunos aspectos jurídico contractuales de contratos bancarios realizados por Internet (incluyendo el concepto soporte electrónico duradero e informaciones electrónicas) Tras un Real Decreto del 17 de septiembre de 1998, en el que se reconoció el uso de la firma electrónica, su eficacia jurídica y la prestación al público de servicios de certificación. El 21 de octubre se convalidó La Ley sobre Firma Digital con los votos a favor de PP (impulsor del proyecto) CIU, PNV y Coalición Canaria, y la oposición de PSOE y Grupo Mixto que no veían la urgencia de esta norma ni la necesidad de aprobarla como Real Decreto Ley. El 17 de noviembre, durante las jornadas de Comercio electrónico de FECEMD Federación de Comercio electrónico y Marketing Directo), el Secretario General de Comunicaciones anunció que casi toda la Ley sobre Firma Electrónica es aplicable directamente, pero que aún resta un pequeño porcentaje (en el que se incluye la acreditación de las entidades certificadoras) que exige un breve reglamento que se está ultimando. 208 Aquellos que se oponen a la regulación de la firma electrónica alegan que es precipitado e imprudente tomar medidas tan pronto, porque si la iniciativa comunitaria va por otro camino puede quedar desfasada. Y realmente sería muy peligroso crear barreras internas para el comercio electrónico (deberíamos haber aprendido de la experiencia con los ferrocarriles de vía ancha y vía estrecha). No parece que vayan a producirse demasiados conflictos. El 26 de octubre, tras una serie de difíciles negociaciones sobre los niveles de seguridad, el Parlamento Europeo aprobó una ley comunitaria que establece un marco común para la firma electrónica, y los ministros de la CMT108 (Comisión del Mercado de las Telecomunicaciones) son los encargados de velar por ello. Actualmente en España se está trabajando en el ANTEPROYECTO DE LEY DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN Y DE COMERCIO ELECTRÓNICO (18 de enero del 2002) que regula ciertos aspectos jurídicos de los servicios de la sociedad de la información y de la contratación por vía electrónica, como las obligaciones de los prestadores de servicios que actúan como intermediarios en la transmisión de contenidos por la Red, las comunicaciones comerciales, la información previa y posterior a la celebración de contratos electrónicos, las condiciones relativas a su validez y eficacia y el régimen sancionador aplicable a los prestadores de servicios de la sociedad de la información. Incorporando novedades importantes como la necesidad de constancia registral del Nombre de Dominio, ciertas obligaciones en relación con los contenidos en Internet, régimen de responsabilidad de los prestadores 108 http://www.cmt.es 209 de servicios de información y certificación, impulso a la elaboración y aplicación de Códigos de Conducta, regulación de comunicaciones comerciales y contratación por vía electrónica, solución judicial y extrajudicial de conflictos (procurando fomentar la solución extrajudicial de litigios vía arbitraje), supervisión y control, infracciones y sanciones, así como reformas que pemitan la informatización de los Registros Públicos Parece garantizado que dentro de la UE la firma será compatible, pero es deseable que también lo sea con otros países con los que también se llevan a cabo transacciones comerciales EEUU, Latinoamérica... y eso todavía no está tan claro. Queda mucho camino por andar, la firma electrónica, tras su implantación, evolucionará constantemente, es de desear que no sólo lo haga buscando mayor seguridad, sino también cierta convergencia. En Alemania La ley de firma digital regula los certificados de las claves y la autoridad certificadora. Permite el seudónimo, pero prevé su identificación real por orden judicial. A la firma electrónica se la define como sello digital, con una clave privada asociada a la clave pública certificada por un certificador. La Ley de 19 de septiembre de 1.996 es el primer proyecto de ley de firma digital en Europa. (Entra en vigor el 1 de noviembre de 1997). 210 En Francia La nueva Ley de Telecomunicaciones y disposiciones sobre uso interior de cifrado En Italia La Ley de 15 de marzo de 1997 número 59, es la primera norma del ordenamiento jurídico italiano que recoge el principio de la plena validez de los documentos informáticos. El reglamento aprobado por el Consejo de Ministros el 31 de octubre de 1997, si bien para el efectivo reconocimiento del valor jurídico de la documentación informática y de las firmas digitales será necesario esperar a que sea operativo en virtud de la emanación de los posteriores e indispensables reglamentos técnicos de actuación. Se define la firma digital como el resultado del proceso informático (validación) basado en un sistema de claves asimétricas o dobles, una pública y una privada, que permite al suscriptor transmitir la clave privada y al destinatario transmitir la clave pública, respectivamente, para verificar la procedencia y la integridad de un documento informático o de un conjunto de documentos informáticos (artículo 1º apartado b). En el reglamento la firma digital está basada exclusivamente en el empleo de sistemas de cifrado llamados asimétricos. El art. 2 del Reglamento italiano establece que los documentos informáticos serán válidos y eficaces a todos los efectos legales si son acordes a las exigencias del 211 Reglamento; en concreto, el art. 10.2 equipara la firma digital sobre un documento informático a la firma escrita en soporte papel; y el art. 11.1 establece que los contratos realizados por medios telemáticos o informáticos mediante el uso de la firma digital según las disposiciones del reglamento serán válidos y eficaces a todos los efectos legales; pero téngase en cuenta que el art. 8 establece que cualquiera que pretenda utilizar la criptografía asimétrica con los efectos del art. 2 debe conseguir un par de claves adecuado y hacer pública una de ellas a través del procedimiento de certificación efectuada por un certificador. Regulan la Ley y el Reglamento entre otras cosas: La validez del documento informático; el documento informático sin firma digital; el documento informático con firma digital; los certificadores; los certificados; autentificación de la firma digital; el "cybernotary"; los actos públicos notariales; la validación temporal; la caducidad, revocación y suspensión de las claves; la firma digital falsa; la duplicidad, copia y extractos del documento; y la transmisión del documento. Esta basada esta normativa en soluciones extranjeras y supranacionales. En Reino Unido Hay un vivo debate sobre la posible reglamentación de los Terceros de Confianza -TC . Existe un proyecto de ley sobre firma digital y Terceros de Confianza 212 En los Países Bajos Se ha creado un organismo interministerial encargado del estudio de la firma digital. En Dinamarca , Suiza y Bélgica Preparan proyectos de ley sobre firma digital. En Suecia Organizó una audiencia pública sobre la firma digital en 1997. En la Comunidad Europea El artículo 6 del Acuerdo EDI de la Comisión de la Comunidades Europeas, que determina la necesidad de garantía de origen del documento electrónico, no regula la firma electrónica. No obstante Perales Viscasillas cree que no existe inconveniente alguno en admitir la posibilidad de una firma electrónica apoyada en las siguientes circunstancias: La fiabilidad de la firma electrónica es superior a la de la firma manuscrita. La equiparación en el ámbito comercial internacional de la firma electrónica y la firma manuscrita En el contexto de las transacciones EDI es habitual la utilización de la conocida como "firma digital" que se basa en "algoritmos simétricos" en los que ambas partes conocen la misma clave o en "algoritmos asimétricos" en los que, por el contrario, cada contratante tiene una clave diferente. 213 En el mismo sentido Isabel Hernando refiriéndose a los contratos-tipo en EDI indica que si los mensajes EDI se transmiten mediante procedimientos de autentificación como una firma digital, estos mensajes tendrán entre las partes contratantes el mismo valor probatorio que el acordado a un documento escrito firmado. La Comisión Europea ha financiado numerosos proyectos (INFOSEC, SPRI, etc.) cuyo objetivo es la investigación de los aspectos técnicos, legales y económicos de la firma digital. La Comisión Europea hizo pública en octubre de 1997 una Comunicación al Consejo, al Parlamento Europeo, al Comité Económico y Social y al Comité de las Regiones titulada "Iniciativa Europea de Comercio Electrónico", con un subtítulo de "Hacia un Marco Europeo para la Firma Digital y el Cifrado". En el segundo trimestre del 1998 empezaron a encauzar las propuestas para nuevas medidas, una de las cuales podría ser la elaboración de una Directiva de firma digital. Lo que pretende la Comisión Europea es encontrar un reconocimiento legal común en Europa de la firma digital, con el objeto de armonizar las diferentes legislaciones, para que ésta tenga carta de naturaleza legal ante tribunales en materia penal, civil y mercantil, a efectos de prueba, apercibimiento y autenticidad. A efectos de dar cumplimiento a esta previsión, se expidió a finales de 1998 un borrador de propuesta de 214 directiva sobre firma electrónica y servicios relacionados. Pese a la seguridad ofrecida por la firma digital, el borrador de propuesta de directiva regula la firma electrónica en general, y no sólo la firma digital en particular, en un intento de abarcar otras firmas electrónicas, basadas en técnicas distintas de la criptografía asimétrica. Esta tendencia a la neutralidad tecnológica se ha acentuado a medida que se han ido sucediendo las distintas versiones del borrador de directiva, como pone de manifiesto el hecho de que la versión actual defina única y exclusivamente la firma electrónica (art. 2.1), mientras que en el primer borrador existía también una definición de firma digital, en el art. 2.2.; y del par de claves, pública y privada, en los art. 2.4 y 2.5. únicamente al establecer el concepto de elemento de creación de firma (definido, en el art. 2.3, como aquel dato único, como códigos o claves critpográficas privadas, o un elemento físico configurado de forma única, el cual es usado por el firmante para crear una firma electrónica) y elemento de verificación de firma (definido, en el art. 2.4, como aquel dato único, como códigos o claves criptográficas públicas, o un elemento físico configurado de forma única, el cual es usado para verificar una firma electrónica) existe una referencia a la criptografía asimétrica. Esta neutralidad es seguramente conveniente, para dejar abiertas las puertas a desarrollos tecnológicos futuros. Pero, por otra parte, llevada a ese extremo, deja sin resolver, porque no son siquiera abordados, muchos de los problemas planteados actualmente por las firmas digitales, únicas firmas electrónicas seguras hoy día. 215 Para conseguir una coherencia europea se deberá, sin duda, pasar por el establecimiento de una política europea de control armónica con otras potencias económicas como EE.UU., Canadá y Japón. A nivel internacional. En Naciones Unidas La Comisión de las Naciones Unidas para el Derecho Mercantil Internacional (CNUDMI-UNCITRAL) en su 24º periodo de sesiones celebrado en el año 1991 encargó al Grupo de Trabajo denominado sobre Pagos internacionales el estudio de los problemas jurídicos del intercambio electrónico de datos (EDI: Electronic Data Interchange). El Grupo de Trabajo dedicó su 24º periodo de sesiones, celebrado en Viena del 27 de enero al 7 de febrero de 1992, a éste tema y elaboró un informe que fue elevado a la Comisión. Se examinó la definición de "firma" y otros medios de autenticación que se han dado en algunos convenios internacionales. Se tuvo presente la definición amplia de "firma" que se contiene en la Convención de las Naciones Unidas sobre Letra de Cambio Internacionales y Pagarés Internacionales, que dice: "El término firma designa la firma manuscrita, su facsímil o una autenticación equivalente efectuada por otros medios". Por el contrario, la Ley Modelo sobre Transferencias Internacionales de Crédito utiliza el concepto de "autenticación" o de "autenticación comercialmente razonable", 216 prescindiendo de la noción de "firma", a fin de evitar las dificultades que ésta pueda ocasionar, tanto en la acepción tradicional de este término como en su acepción ampliada. En su 25º período de sesiones celebrado en 1992, la Comisión examinó el informe del Grupo de Trabajo y encomendó la preparación de la reglamentación jurídica del EDI al Grupo de Trabajo, ahora denominado sobre Intercambio Electrónico de Datos. El Grupo de Trabajo sobre Intercambio Electrónico de Datos , celebró su 25º periodo de sesiones en Nueva York del 4 al 15 de enero de 1993 en el que se trató de la autenticación de los mensajes EDI, con miras a establecer un equivalente funcional con la "firma". El Plenario de la Comisión de las Naciones Unidas para el Derecho Mercantil Internacional (CNUDMI-UNCITRAL), el 14 de Junio de 1996 en su 29º periodo de sesiones celebrado en Nueva York, examinó y aprobó el proyecto de Ley Modelo sobre aspectos jurídicos de EDI bajo la denominación de Ley Modelo sobre el comercio electrónico. (Resolución General de la Asamblea 51/162 de 16 de diciembre de 1996). El artículo 7 de la Ley Modelo recoge el concepto de firma. La Comisión encomendó al Grupo de Trabajo, ahora denominado "sobre Comercio Electrónico" que se ocupara de examinar las cuestiones jurídicas relativas a las firmas digitales y a las autoridades de certificación. 217 La Comisión pidió a la Secretaría que preparara un estudio de antecedentes sobre cuestiones relativas a las firmas digitales. El estudio de la Secretaría quedó recogido en el documento A/CN.9/WG.IV/WP.71 de 31 de diciembre de 1996. El Grupo de Trabajo sobre Comercio Electrónico celebró su 31º periodo de sesiones en Nueva York del 18 al 28 de febrero de 1997 que trató de fijar las directrices sobre firmas digitales publicadas por la American Bar Association. El Plenario de la Comisión de las Naciones Unidas para el Derecho Mercantil Internacional , que celebró su 30º periodo de sesiones en Viena del 12 al 30 de mayo de 1997, examinó el informe del Grupo de Trabajo, hizo suyas las conclusiones y le encomendó la preparación de un régimen uniforme sobre las cuestiones jurídicas de la firma numérica y de las entidades certificadoras. El artículo 7 de la Ley Modelo sobre Comercio Electrónico (LMCE) regula el equivalente funcional de firma, estableciendo los requisitos de admisibilidad de una firma producida por medios electrónicos, que nos da un concepto amplio de firma electrónica, indicando "cuando la ley requiera la firma de una persona, ese requisito quedará satisfecho en relación con un mensaje de datos: a) si se utiliza un método para identificar a esa persona y para indicar que esa persona aprueba la información que figura en el mensaje de datos; y b) si ese método es tan fiable como sea apropiado para los fines 218 para los que se creó o comunicó el mensaje de datos, a la luz de todas las circunstancias del caso, incluido cualquier acto pertinente". La Ley Modelo de Uncitral sobre firma electrónica de 2001 define firma electrónica como: “los datos en forma electrónica consignados en un mensaje de datos, o adjuntados o lógicamente asociados al mismo que puedan ser utilizados para identificar al firmante en relación con el mensaje de datos e indicar que el firmante aprueba la información contenida en el mensaje de datos”. Y distingue la firma electrónica “fiable”, como aquella en la que: a) los datos de creación de la firma, en el contexto en que son utilizados, corresponden exclusivamente al firmante; b) los datos de creación de la firma estaban, en el momento de la firma, bajo el control exclusivo del firmante; c) es posible detectar cualquier alteración de la firma electrónica hecha después del momento de la firma; y d) es posible detectar cualquier alteración de esa información hecha después del momento de la firma. El apartado 3 del proyecto de articulo A del WP.71 indica que "una firma digital adherida a un mensaje de datos se considera autorizada si se puede verificar de conformidad con los procedimientos establecidos por una autoridad certificadora". En la O.C.D.E. 219 La Recomendación de la OCDE (Organización para la Cooperación y Desarrollo Económico) sobre la utilización de criptografía (Guidelines for Cryptography Policy) fue aprobada el 27 de marzo de 1997. Esta recomendación no tiene fuerza vinculante y señala una serie de reglas que los gobiernos debieran tener en cuenta al adoptar legislación sobre firma digital y terceros de confianza, con el fin de impedir la adopción de diferentes reglas nacionales que podrían dificultar el comercio electrónico y la sociedad de la información en general. En la Organización Internacional de Normas ISO La norma ISO/IEC 7498-2 (Arquitectura de Seguridad de OSI) sobre la que descansan todos los desarrollos normativos posteriores, regula los servicios de seguridad sobre confidencialidad, integridad, autenticidad, control de accesos y no repudio. A través de su subcomité 27, SC 27, trabaja en una norma de firma digital. En México Respecto de México los principales antecedentes legislativos se dan en el Código de Comercio de 1884 en el que existen disposiciones relativas al telégrafo como medio de comunicación; en el Código Civil de 1928 hace referencia en diversa disposiciones al teléfono; en las Leyes Bancarias de 1990 incorpora los medios telemáticos; la Ley de Protección Federal al Consumidor de 1992 protege a los consumidores de las ventas a distancia y telemarketing, es decir ventas por medio de medios de comunicación masiva como son el radio y televisión; dentro de las diversas Leyes Fiscales de 1998 220 igualmente se prevén las declaraciones y pagos en formato electrónico, además de diversos esfuerzos gubernamentales. La legislación existente hasta el año de 1999 requería para la validez del acto o contrato del soporte de la forma escrita y la firma autógrafa para vincular a la partes en forma obligatoria y la necesidad de modernizar la legislación mexicana para el reconocimiento jurídico de transacciones por Internet. En abril de 1999 el Partido Acción Nacional presentó la iniciativa del texto de la Ley Modelo de UNCITRAL y en marzo de 2000 el Partido Revolucionario Institucional presenta la iniciativa de texto simplificado y aumentado con Protección al Consumidor. Después de varios meses de análisis de proyectos y ante la consideración generalizada sobre la conveniencia de adecuar la legislación mexicana para dar seguridad jurídica en el uso de medios electrónicos se aprobó en México el Decreto de fecha 29 de abril de 2000 mediante el cual se reformó y se adicionaron disposiciones al Código Civil Federal, Código Federal de Procedimientos Civiles, Código de Comercio y a la Ley Federal de Protección al Consumidor para establecer el esquema jurídico para brindar mayor certeza a las operaciones vía electrónica o digital. Ante estos antecedentes la doctrina ha definido a la firma como el signo personal distintivo que, permite informar acerca de la identidad del autor de un documento, y manifestar su acuerdo sobre el contenido del acto. También la podemos definir como el conjunto de letras y signos entrelazados, que identifican a la persona que la estampa 221 con un documento o texto. Respecto de la firma electrónica no existe todavía un acuerdo al respecto, algunos la consideran un sello y otros hacemos un distingo entre firma electrónica y firma electrónica avanzada, partiendo de la base de la garantía de integridad, atribución y accesibilidad que pudiere darse: a) FIRMA ELECTRÓNICA A los datos en forma electrónica consignados en un mensaje de datos, o adjuntados o lógicamente asociados al mismo, que puedan ser utilizados para identificar y/o vincular al firmante en relación con el mensaje de datos, en forma equivalente a la firma manuscrita. b) FIRMA ELECTRONICA AVANZADA A la firma electrónica que permite la identificación del firmante y ha sido generada bajo su exclusivo control, conocida también como firma digital, que vincula exclusivamente al mismo con el mensaje de datos al que se adjunta o se asocia, lo que permite que sea detectable cualquier modificación ulterior de éste. 222 CONCEPTOS RELACIONADOS CON LA FIRMA ELECTRÓNICA MENSAJE DE DATOS Debemos entender primeramente el concepto de mensaje de datos que es la información generada, enviada, recibida o archivada o comunicada por medios electrónicos, ópticos o similares como son el intercambio electrónico de datos, el correo electrónico, telegrama, telex o telefax. El mensaje de datos no se limita a sólo comunicación sino que pretende abarcar cualquier tipo de información respaldada en un soporte de tipo informático que no necesariamente este destinada a ser comunicada, así el concepto de mensaje incluye el de información meramente consignada. INTERCAMBIO ELECTRÓNICO DE DATOS (EDI) Es la transmisión electrónica de información de una computadora a otra, estando estructurada la información conforme a alguna norma técnica convenida al efecto. INICIADOR DE UN MENSAJE DATOS Aquella persona que, al tenor del mensaje, haya actuado por su cuenta o en cuyo nombre se haya actuado para enviar o generar ese mensaje antes de ser archivado, si éste es el caso, pero que no haya actuado a título de intermediario con respecto a él DESTINATARIO DE UN MENSAJE DE DATOS Aquella persona designada por el iniciador para recibir el mensaje, pero que no esté actuando a título de intermediario con respecto a él. 223 INTERMEDIARIO DE UN MENSAJE DE DATOS La persona que, actuando por cuenta de otra, envíe, reciba o archive dicho mensaje o preste algún otro servicio con respecto a él. EQUIVALENCIA FUNCIONAL La Ley Modelo de las Naciones Unidas se basa en el reconocimiento de que los requisitos legales que prescriben el empleo de la documentación tradicional con soporte de papel constituyen el principal obstáculo para el desarrollo de los medios modernos de comunicación. De modo que la Ley Modelo sigue el principio conocido como “criterio de equivalente funcional”, basado en un análisis de los objetivos y funciones del requisito tradicional de la presentación de un escrito tradicional de la presentación de un escrito consignado sobre papel con miras a determinar la manera de satisfacer sus objetivos y funciones a través de medios electrónicos. Es decir, ese documento de papel cumple funciones como las siguientes: Proporcionar un texto legible para todos, Asegurar la inalterabilidad de un mensaje a lo largo del tiempo, Permitir su reproducción a fin de que cada una de las partes disponga de un ejemplar del mismo, Permitir la autenticación de los datos consignados suscribiéndolos con una firma y Proporcionar una forma aceptable para la presentación de un escrito ante las autoridades públicas y los tribunales 224 Cabe señalar que respecto de todas esas funciones, la documentación consignada por medios electrónicos puede ofrecer un grado de seguridad equivalente al del papel y, en la mayoría de los casos, mucha mayor confiabilidad y rapidez, especialmente respecto de la determinación del origen y del contenido de los datos, siempre y cuando se observen ciertos requisitos técnicos y jurídicos. Las razones por las cuales se requiere en el tráfico convencional la presentación de un escrito: dejar una prueba tangible de la existencia y la naturaleza de la intención de las partes de comprometerse; alertar a las partes ante la gravedad de las consecuencias de concluir un contrato; proporcionar un documento que sea legible para todos; proporcionar un documento inalterable que permita dejar constancia permanente de la operación; facilitar la reproducción de un documento de manera que cada una de las partes pueda disponer de un ejemplar de un mismo texto; permitir la autenticación mediante la firma del documento de los datos en él consignados; proporcionar un documento presentable ante las autoridades públicas y los tribunales; dar expresión definitiva a la intención del autor del "escrito" y dejar constancia de dicha intención; proporcionar un soporte material que facilite la conservación de los datos en forma visible; facilitar las tareas de control o de verificación ulterior para fines contables, fiscales o reglamentarios; y determinar el nacimiento de todo derecho o de toda obligación jurídica cuya validez dependa de un escrito. 225 En los requisitos actuales por los que se requiere la presentación de ciertos datos por escrito, se combina a menudo esa noción de escrito con las nociones complementarias, pero distintas, de firma y original. Por ello, al adoptar un criterio funcional, debe prestarse atención al hecho de que el requisito de un escrito ha de ser considerado como el nivel inferior en la jerarquía de los requisitos de forma, que proporcionan a los documentos de papel diversos grados de fiabilidad, rastreabilidad e inalterabilidad. El requisito de que los datos se presenten por escrito (lo que constituye un "requisito de forma mínimo") no debe confundirse con requisitos más estrictos como el de "escrito firmado", "original firmado" o "acto jurídico autenticado". Por ejemplo, en algunos ordenamientos jurídicos un documento escrito que no lleve ni fecha ni firma y cuyo autor no se identifique en el escrito o se identifique mediante un simple membrete, sería considerado como escrito pese a su escaso valor probatorio, en ausencia de otra prueba en lo tocante a la autoría del documento. Además, no debe considerarse que la noción de inalterabilidad sea un requisito absoluto inherente a la noción de escrito, ya que un documento escrito a lápiz podría ser considerado un escrito a tenor de algunas definiciones legales. Habida cuenta de cómo se resuelven las cuestiones relativas a la integridad de los datos y a la protección contra el fraude en la documentación consignada sobre un soporte de papel, cabe decir que un documento fraudulento sería no obstante considerado como un escrito. En general, conviene que las nociones de valor probatorio y de intención (de las partes) de obligarse sean tratadas en relación a las cuestiones más generales de la fiabilidad y autenticación de los datos, por lo que no deben incluirse en la definición de escrito. 226 NEUTRALIDAD DEL MEDIO En forma consistente con la legislación mercantil internacional, se trata en general de adoptar el principio de “neutralidad del medio”, es decir, no hace referencia ni se compromete con ninguna tecnología en particular, esto se debe a la rapidez en el avance del desarrollo de nuevas tecnologías, lo que siempre supera a la creación de nuevas normas que la regulen de manera inmediata y eficazmente y seria imposible legislar al ritmo de este avance. Se trata de dar igualdad de trato a los contratos que tengan soporte informático con relación a aquellos que se consignen en papel, evitando así la ausencia de un régimen general del comercio electrónico resulte en la incertidumbre para el sano y seguro desarrollo del mismo.109 De esta manera conforme a las nuevas normas las operaciones comerciales efectuadas por medios electrónicos resultan igualmente válidas que las contratadas por medio de papel. Si analizamos la noción tradicional de documento referida al instrumento en el que queda plasmado un hecho que se exterioriza mediante signos materiales y permanentes del lenguaje, vemos como el documento electrónico cumple con los requisitos del documento en soporte de papel en el sentido de que contiene un mensaje (texto alfanumérico o diseño gráfico) en lenguaje convencional (el de los bits) sobre soporte (cinta o disco), destinado a durar en el tiempo. Debemos tomar en consideración las siguientes funciones de la firma: identificar a una persona; dar certeza a la participación personal de esa persona en el acto de firmar; y 109 O.HANCE, “Leyes y Negocios en Internet” Editorial Comares, España, pp. 102-105. 227 asociar a esa persona con el contenido de un documento. Una firma puede desempeñar además diversas otras funciones, según la naturaleza del documento firmado. Por ejemplo, puede demostrar la intención de una parte contractual de obligarse por el contenido del contrato firmado; la intención de una persona de reivindicar la autoría de un texto; la intención de una persona de asociarse con el contenido de un documento escrito por otra; y el hecho de que esa persona había estado en un lugar determinado, en un momento dado. En la firma manuscrita tradicional, existen varios tipos de procedimientos (por ejemplo, estampillado, perforado), a veces denominados también firmas, que brindan distintos grados de certeza. Por ejemplo, en algunos países existe el requisito general de que los contratos de compraventa por encima de cierto monto estén firmados para ser exigibles. Sin embargo, el concepto de la firma adoptado en ese contexto es tal que un sello, un perforado o incluso una firma mecanografiada o un membrete puede considerarse suficiente para satisfacer el requisito de la firma. En el otro extremo del espectro, existen requisitos que combinan la firma manuscrita tradicional con procedimientos de seguridad adicionales como la confirmación de la firma por testigos. Es por esto recomendable desarrollar equivalentes funcionales para los distintos tipos y niveles de firmas requeridas existentes. Ese enfoque aumentaría el nivel de certidumbre en cuanto al grado de reconocimiento legal que podría esperarse del uso de los distintos tipos de autenticación utilizados en la práctica del comercio electrónico como sustitutos de la firma. Sin embargo, la noción de firma está íntimamente vinculada con 228 el empleo del papel. Asimismo, para evitar que se niegue validez jurídica a un mensaje que deba autenticarse por el mero hecho de que no está autenticado en la forma característica de los documentos consignados sobre papel, se deben definir las condiciones generales que, de cumplirse, autenticarían un mensaje de datos con suficiente credibilidad para satisfacer los requisitos de firma que actualmente obstaculizan el comercio electrónico. Nos debemos enfocar en las dos funciones básicas de la firma: la identificación del autor y la confirmación de que el autor aprueba el contenido del documento. Esas dos funciones jurídicas básicas de la firma se cumplen al utilizarse un método que identifique al iniciador de un mensaje de datos y confirme que el iniciador aprueba la información en él consignada. Para determinar si el método es apropiado, pueden tenerse en cuenta, entre otros, los siguientes factores jurídicos, técnicos y comerciales: la perfección técnica del equipo utilizado por cada una de las partes; la naturaleza de su actividad comercial; la frecuencia de sus relaciones comerciales; el tipo y la magnitud de la operación; la función de los requisitos de firma con arreglo a la norma legal o reglamentaria aplicable; la capacidad de los sistemas de comunicación; la observancia de los procedimientos de autenticación establecidos por intermediarios; la gama de procedimientos de autenticación que ofrecen los intermediarios; la observancia de los usos y prácticas comerciales; la existencia de mecanismos de aseguramiento contra el riesgo de mensajes no autorizados; la importancia y el valor de la información contenida en el mensaje de datos; la disponibilidad de otros métodos de identificación y el costo de su aplicación; el grado de aceptación o no aceptación del método de identificación en la 229 industria o esfera pertinente, tanto en el momento cuando se acordó el método como cuando se comunicó el mensaje de datos; y cualquier otro factor pertinente. Los medios electrónicos deben sumarse al acervo jurídico procesal en tanto que son una expresión de la realidad que el derecho no puede desconocer, agregando que "dichos medios técnicos pueden subsumirse en el concepto, amplio desde luego, de documento".110 SISTEMA DE INFORMACIÓN Relacionado con los conceptos enunciados este término pretende abarcar toda la gama de medios técnicos empleados para transmitir, recibir y archivar información. AUTORIDAD O ENTIDAD DE CERTIFICACIÓN DE LAS CLAVES La creciente interconexión de los sistemas de información, posibilitada por la general aceptación de los sistemas abiertos, y las cada vez mayores prestaciones de las actuales redes de telecomunicación, obtenidas principalmente de la digitalización, están potenciando formas de intercambio de información impensables hace pocos años. A su vez, ello está conduciendo a una avalancha de nuevos servicios y aplicaciones telemáticas, con un enorme poder de penetración en las emergentes sociedades de la información. Así, el teletrabajo, la teleadministración, el comercio electrónico, etc., están modificando revolucionariamente las relaciones económicas, administrativas, laborales de tal forma que en pocos años serán radicalmente distintas de como son ahora. 110 Idem 230 Todos estos nuevos servicios y aplicaciones no podrán desarrollarse en plenitud a no ser que se les dote de unos servicios y mecanismos de seguridad fiables. Dentro del sistema de seguridad que indicamos, para que cualquier usuario pueda confiar en otro usuario se deben establecer ciertos protocolos. Los protocolos sólo especifican las reglas de comportamiento a seguir. Existen diferentes tipos de protocolos en los que intervienen terceras partes confiables (Trusted Third Party, TTP, en la terminología inglesa): 1. Los protocolos arbitrados. En ellos una TPC o Autoridad de Certificación participa en las transacción para asegurar que ambos lados actúan según las pautas marcadas por el protocolo. 2. Los protocolos notariales. En este caso la TPC , además de garantizar la correcta operación, también permite juzgar si ambas partes actuarán por derecho según la evidencia presentada a través de los documentos aportados por los participantes e incluidos dentro del protocolo notarial. En estos casos, se añade la firma (digital) del notario a la transacción, pudiendo éste testificar, posteriormente, en caso de disputa. 3. Los protocolos autoverificables. En estos protocolos cada una de las partes puede darse cuenta si la otra actúa deshonestamente, durante el transcurso de la operación. La firma digital en sí, es un elemento básico de los protocolos 231 autoverificables, ya que no precisa de la intervención de una Autoridad de Certificación para determinar la validez de una firma. La Autoridad o Entidad de Certificación debe reunir los requisitos que determine la ley, conocimientos técnicos y experiencia necesaria, de forma que ofrezca confianza, fiabilidad y seguridad. Se debería prever el caso de desaparición del organismo certificador y crear algún registro general de certificación tanto nacional como internacional, que a su vez auditase a las entidades encargadas, y fuese garante en su funcionamiento. Pues aun se carece de normas que regulen la autoridad o entidad de certificación. Para una certificación de naturaleza pública, el Notario o quien ejerza funciones de fedatario, en el momento de suscribir los acuerdos de intercambio y de validación de prueba, puede generar y entregar con absoluta confidencialidad la clave privada. El documento WP.71 de 31 de diciembre de 1996 de la Secretaría de las Naciones Unidas indica en su párrafo 44 que las entidades certificadoras deben seguir unos criterios : Independencia Recursos y capacidad financieros para asumir la responsabilidad por el riesgo de pérdida Experiencia en tecnologías de clave pública y familiaridad con procedimientos de seguridad apropiados Longevidad 232 Aprobación del equipo y los programas Mantenimiento de un registro de auditoría y realización de auditorías por una entidad independiente Existencia de un plan para casos de emergencia (programas de recuperación en casos de desastres o depósitos de claves). Selección y administración del personal Disposiciones para proteger su propia clave privada Seguridad interna Disposiciones para suspender las operaciones, incluida la notificación a los usuarios Garantías y representaciones (otorgadas o excluidas) Limitación de la responsabilidad Seguros Capacidad para intercambiar datos con otras autoridades certificadoras Procedimientos de revocación (en caso de que la clave criptográfica se haya perdido o haya quedado expuesta). El documento WP.71 establece también que las autoridades de Certificación pueden emitir diferentes tipos de certificados: Los certificados de Identidad, que son los más utilizados actualmente dentro de los criptosistemas de clave pública y ligan una identidad personal (usuario) o digital (equipo, software, etc.) a una clave pública. 233 Los certificados de Autorización o potestad que son aquellos que certifican otro tipo de atributos del usuario distintos a la identidad. Los Certificados Transaccionales son aquellos que atestiguan que algún hecho o formalidad acaeció o fue presenciada por un tercero. Los Certificados de Tiempo o estampillado digital de tiempo permiten dar fe de que un documento existía en un instante determinado de tiempo. El Sector de autoridades de certificación, hasta la fecha, está dominado por entidades privadas americanas, aunque ya existen iniciativas propias de la Unión Europea que se circunscriben a las fronteras de sus países de origen, es decir, sin salir a otros Estados miembros. El término TTP (Tercera Parte Confiable) al que antes se refería el documento WP.71 , nos indican aquellas asociaciones que suministran un amplio margen de servicios, frecuentemente asociados con el acceso legal a claves criptográficas. Aunque no se descarta que las TTP actúen como Autoridades de Certificación (AC), las funciones de ambas se van considerando progresivamente diferentes; decantándose la expresión AC para las organizaciones que garantizan la asociación de una clave pública a una cierta entidad, lo que por motivos obvios debería excluir el conocimiento por parte de dicha Autoridad de la clave privada; que es justamente el ámbito de acción de una TTP (asociar una clave pública y una privada a un ente particular y validar lo anterior) La Comisión Europea distingue entre: Autoridades de certificación (AC) 234 El cometido esencial es "autenticar la propiedad y las características de una clave pública, de manera que resulte digna de confianza, y expedir certificados". Terceros de confianza (TC) Ofrecen diversos servicios, pudiendo gozar de acceso legitimo a claves de cifrado, siempre que así lo autorice el usuario. Una TC podría actuar como una AC. En la actualidad y debido al riesgo que implica, se da ésta denominación a los agentes certificadores Lo que la Comisión pretende es que las legislaciones sobre firma digital y AC/TC de los distintos países miembros: se basen en criterios comunitarios delimiten las tareas -certificación o administración de claves- y servicios puedan establecerse prescripciones técnicas comunes para los productos de firma digital, en caso de que las disposiciones nacionales no se reconozcan mutuamente y ello merme el buen funcionamiento del Mercado Interior normas claras en materia de responsabilidades (usuarios frente a AC) y errores, etc. FUNCIONES DE LAS AUTORIDADES DE CERTIFICACIÓN Las funciones de una Autoridad de Certificación deben ser, entre otras, las siguientes : Generación y Registro de claves. Identificación de Peticionarios de Certificados. 235 Emisión de certificado. Almacenamiento en la AC de su clave privada (si así lo autoriza el usuario). Mantenimiento de las claves vigentes y revocadas. Servicios de directorio. AUTORIDADES PÚBLICAS DE CERTIFICACIÓN La estructura y el cuadro de funcionamiento de las autoridades de certificación “public key infrastructure" prevén generalmente una estructura jerarquizada a dos niveles: El nivel superior suele estar ocupado por la autoridades públicas , que es la que certifica a la autoridad subordinada, normalmente privada. En España Está el Proyecto CERES, en el que participan el MAP, el Consejo Superior de Informática, el Ministerio de Economía y Hacienda y Correos y Telégrafos y contempla el papel de la Fábrica Nacional de Moneda y Timbre como entidad encargada de prestar servicios que garanticen la seguridad y validez de la emisión y recepción de comunicaciones y documentos por medios electrónicos, informáticos y telemáticos. Se pretende garantizar la seguridad y la validez en la emisión y recepción de comunicaciones y documentos por medios electrónicos, informáticos y telemáticos en las relaciones entre órganos de la Administración General del Estado y otras Administraciones, y entre éstos y los ciudadanos, siguiendo directrices de legislación 236 previa (Ley de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo común, de 1.992, y Real Decreto 263/1996. El objetivo de esta autoridad de certificación, con la que otras entidades comerciales de certificación deberán interoperar, requiere el reconocimiento a todos los efectos legales del certificado digital, algo que aún no se contempla en nuestra legislación. Los servicios que está previsto ofrecer son: Primarios.- Emisión de certificados, archivo de certificados, generación de claves, archivo de claves, registro de hechos auditables. Interactivos.- Registro de usuarios y entidades, revocación de certificados, publicación de políticas y estándares, publicación de certificados, publicación de listas de revocación y directorio seguro de certificados. De certificación de mensajes y transacciones.- Certificación temporal, certificación de contenido, mecanismos de no-repudio: confirmación de envío y confirmación de recepción). De confidencialidad.- Soporte de mecanismos de confidencialidad, agente de recuperación de claves y recuperación de datos protegidos. Los Notarios y Corredores de comercio, a través de sus colegios respectivos, en un intento de acomodar estatus a los nuevos tiempos virtuales han tomado parte activa en lo relativo a su condición de fedatarios públicos. 237 Este proyecto no ha tenido el éxito que se esperaba, en el ámbito privado quien lleva la delantera es la Agencia Certificadora ACE (de carácter privado, que agrupa a varias empresas del sector) En Italia Parece ser que la autoridad nacional de certificación será la AIPA (Autorità per l´Informatica nella Pubblica Amministrazione). AUTORIDADES PRIVADAS DE CERTIFICACIÓN En España Existen focos privados de actividad, vinculados con la confiabilidad. El más significativo es el denominado ACE (Agencia de Certificación Electrónica) que está formado por CECA, SERMEPA, Sistemas 4B y Telefónica, y es una Autoridad de Certificación corporativa del sistema financiero español. También existe como Terceros de confianza el Banesto y recientemente BBVA. En Bélgica Existe el Tercero Certificador llamado Systèeme Isabel, que ofrece servicios certificadores a socios financieros y comerciales. La Cámara de Comercio unida a la empresa VERISIGN ha formado un Trusted Third Party en el cual la Cámara de Comercio hace las funciones de Registro y VERISIGN hace las funciones de emisión de certificados y técnicas. 238 En Estados Unidos 1. NETSCAPE: Los servicios de seguridad de redes (NSS) en alianza con la empresa SUN, producto “I-planet” (PKI) 2. VERISIGN: Servicios de autenticación con tecnología PKI. Ofrece el servicio de apoyo a empresas e instituciones que presten sevicios de certificación, bajo la administración y software de Verisign. Asimismo ofrece la posibilidad de autenticar en Internet un sitio web o una Intranet, bajo identificación de los servidores SSL (estándar actual de credenciales). 3. RSA: Proveedor de tecnologías de seguridad en cuanto a Autentificación (Secur ID); Autorización (Clear Trust) para la administración de privilegios de acceso; Infraestructura de clave pública PKI (RSA Keon) para la administración de certificados y Encriptamiento (B Safe) para la protección de la información. 4. BALTIMORE : Proveedor de tenología de seguridad con el producto UNICERT formado por tres niveles de tecnología: Central (Autoridad Certificadora, Registro de Usuarios, PKI, Emisión y Administración de Certificados); Avanzada (Dotar de tecnología a autoridades certificadoras comerciales) y Extendida (Servicios de valor agregado adicionales como sellos cronológicos (time stamping) En Internet Existen ciertos servidores en Internet conocidos como "servidores de claves" que recopilan las claves de miles de usuarios. Todos los servidores de claves existentes en el mundo comparten esta información, por lo que basta publicar la clave en uno de ellos para que en pocas horas esté disponible en todos ellos. 239 En México 1. Seguridata y Acertia (entidades privadas) 2. Banxico (entidad pública) En la Comunidad Europea La directiva encomienda la función de tercera parte de confianza encargada de dar seguridad a las firmas electrónicas, estableciendo un vínculo entre el elemento de verificación y una persona determinada a unas entidades que denomina proveedores de servicios de certificación (opción terminológica comunitaria, que pone de manifiesto una voluntad de evitar siquiera la apariencia de atribución de naturaleza pública que sí podrían sugerir otras denominaciones como, por ejemplo, autoridad de certificación). El art. 2.6 define al proveedor de servicios de certificación como la persona o entidad que emite certificados o proporciona al público otros servicios relativos a la firmas electrónicas; tales servicios pueden ser inherentes al propio certificado y necesarios (revocación y suspensión en caso de pérdida de la clave privada u otro elemento de firma), otros más bien discutibles (generación de las claves, que el anexo II permite al proveedor, el cual puede también almacenarlas, con la autorización del usuario), así como otros complementarios pero igualmente necesarios para la seguridad del sistema de certificados en particular o del comercio electrónico en general. PELIGROS DE ESTA NUEVA ECONOMÍA Falta de conocimiento y verificación fidedigna sobre la identidad de los clientes, para lo cual habrá que someter a los prestadores de servicios de certificación a auditoría periódica y el establecimiento en la legislación de responsabilidades. 240 Gran facilidad y capacidad de realizar transferencias internacionales, por lo que abrá que incluir en el certificado la posibilidad del establecimiento de límites de operación. Sistemas deficientes de apertura de cuentas y altas de servicios de banca en línea, en caso de que se pretenda utilizar las bases de datos bancarias para la emisión masiva de certificados.. La velocidad, volumen y naturaleza anónima de las transacciones electrónicas hace difícil rastrearlos, en éste sentido se certifica a la persona que realiza la transacción, no a la transacción misma. Falta de una capacidad de auditoria y registro de transacciones por parte de las Instituciones Financieras, las cuales están trabajando y dedicando importantes recursos, en particular en los programas de Conocimiento del Cliente ( KYC). PUNTOS CRÍTICOS A RESOLVER: Fraudes realizados por personal interno de las instituciones al realizar pagos con cuentas de clientes. Lavado de dinero. Suplantación de la identidad Ataques maliciosos externos como son los Hackers, Denial of Service, fraudes. Acceso y venta de información confidencial. Ante esta situación las personas que realizan operaciones de tipo electrónico presentan inseguridad en la fiabilidad de las transacciones; esto es el garantizar que es 241 esa persona quien hace la transacción y viceversa; seguridad en las transacciones; garantizar el envío de información segura e inalterada. CARACTERÍSTICAS DE UN SISTEMA SEGURO SERVICIOS DE DEFINICIÓN SEGURIDAD Autenticación Control de Acceso MECANISMOS DISPONIBLES Prueba o garantía de la User-Password identidad de quien envía la Tarjeta Inteligente información Huella Digital Permisos diferenciados de Perfiles de Usuario acceso a Segmentos y necesidades específicas por cliente Confidencialidad Garantía de que el Algoritmos de encripción contenido de la información con llaves públicas y se mantiene oculta salvo privadas para el destinatario Integridad No repudiación Garantía de que el Algoritmos de encripción contenido del mensaje no con llaves públicas y sufrió ninguna modificación privadas Inhabilidad de un individuo Algoritmos de encripción para desconocer una con llaves públicas y transacción una vez privadas realizada 242 AUTENTICACION Prueba o garantía de la identidad de quien envía la información, es decir que es el proceso en virtud del cual se constata que una entidad es la que dice ser y que tal situación es demostrable ante terceros, lo cual desarrollo en párrafos subsecuentes. Hace referencia a la utilización de la firma digital con el fin de verificar la identidad del remitente del mensaje de datos. Aquí se puede plantear el supuesto de que un determinado sujeto A publique una clave pública con un nombre falso; el destinatario de un mensaje enviado por A, pensará que la identidad del emisor es A, sin embargo esto no es cierto, puesto que su verdadera identidad es P : el emisor del mensaje de datos no es quien dice ser, sino que se trata de otra persona. Ante la posibilidad de que se den casos como el expuesto, es probable que el receptor de un mensaje desee una información más fidedigna sobre la identidad del titular de la clave, del emisor del mensaje; esta información la puede facilitar el emisor mediante cualquier tipo de prueba que el receptor considere contundente, o se puede verificar la identidad del emisor mediante la confirmación de la misma por una tercera persona (autoridades de certificación, por lo general). Un procedimiento algo más complejo para autenticar la identidad del emisor del mensaje de datos es la llamada "función de hash" (resumen digital). El proceso de autenticación se realiza de la siguiente manera: "el verificador realizará dos operaciones: descifrará el hash firmado con la clave privada del emisor aplicando la clave pública del mismo ; y aplicará la función de hash sobre el mensaje completo que 243 ha obtenido. Si el hash recibido y descifrado y el segundo hash obtenido coinciden, el destinatario tiene la seguridad de que el mensaje recibido ha sido firmado por el emisor con ese contenido. Por contra, si uno u otro de los dos elementos ha sido alterado en algún momento, no habrá coincidencia de los dos" hash, lo que querrá decir que el mensaje de datos recibido no se corresponde con el firmado por el emisor. FIRMA ELECTRÓNICA El documento electrónico o informático, se concibe como un medio de expresión de la voluntad con efectos de creación, modificación o extinción de derechos y obligaciones por medio de la electrónica. La seguridad en el comercio electrónico es fundamental para su desarrollo. En un flujo de transacciones en donde las partes ya no tienen contacto ‘físico’, ¿cómo pueden asegurarse de la identidad de aquel con quien están realizando una operación? e, incluso, ¿cómo pueden tener la certeza de que la información intercambiada no ha sido robada, alterada o conocida por personas ajenas? La firma electrónica, técnicamente, es un conjunto o bloque de caracteres que viaja junto a un documento, fichero o mensaje y que puede acreditar cuál es el autor o emisor del mismo (lo que se denomina autenticación) y que nadie ha manipulado o modificado el mensaje en el transcurso de la comunicación (o integridad). Es aquél conjunto de datos, como códigos o claves criptográficas privadas, en forma electrónica, que se asocian inequívocamente a un documento electrónico (es decir, 244 contenido en un soporte magnético ya sea en un disquete, algún dispositivo externo o disco duro de una computadora y no de papel), que permite identificar a su autor, es decir que es el conjunto de datos, en forma electrónica, anexos a otros datos electrónicos o asociados funcionalmente con ellos, utilizados como medio para identificar formalmente al autor o a los autores del documento que la recoge.111 La Firma Electrónica permite identificar a la persona que realiza la transacción, es decir, proporciona el servicio de autentificación (verificación de la autoridad del firmante para estar seguro de que fue él y no otro el autor del documento) y no de repudio (seguridad de que el autor del documento no puede retractarse en el futuro de las opiniones o acciones asignadas en él). Quizás la parte que más nos interesa a los usuarios es la garantía de detección de cualquier modificación de los datos firmados, proporcionando una integridad total ante alteraciones fortuitas o deliberadas durante la transmisión telemática del documento firmado. El hecho de la firma sea creada por el usuario mediante medios que mantiene bajo su propio control (clave privada protegida, contraseña, datos biométricos, tarjeta chip, etc.) asegura la imposibilidad de efectuar de lo que se conoce como “suplantación de personalidad”. En otras palabras podríamos definir a la Firma electrónica como el conjunto de datos, en forma electrónica, anexos a otros datos electrónicos o asociados funcionalmente con 111 STROKE PAUL, “La Firma Electrónica” Editorial Cono Sur, España, pp. 17-18. 245 ellos, utilizados como medio para identificar formalmente al autor o a los autores del documento que la recoge. La debilidad en cuanto al emisor y al receptor radica en la posible suplantación de la identidad de alguno de ellos por parte de elementos ajenos al sistema. Para evitar estos problemas, existen dos tipos de soluciones tecnológicas: el cifrado de los datos y la firma electrónica. Con el primero se puede transformar un texto claro en otro completamente ininteligible, que aun capturado sea prácticamente imposible de adivinar. Con la segunda, se consigue garantizar que quien envía los datos es realmente quien dice ser y no otro, y que dichos datos no han sido manipulados por el camino. ENCRIPTACION O CIFRADO DE DATOS En la Grecia antigua los militares utilizaban la criptografía, que aunque de manera rudimentaria, sus efectos eran los mismos: esconder un mensaje importante. Ellos utilizaron un sistema llamado SCYTALE, el cual se basaba en un báculo pequeño. En este instrumento enredaban un listón delgado, de tal manera que quedara forrado. Finalmente, sobre el báculo forrado por el listón, escribían el mensaje a ser enviado al ejército aliado.112 Posteriormente, este listón era desenrollado y en él quedaba escrito un mensaje indescifrable a simple vista. Ahora podía enviarse este mensaje de manera “segura”. 112 Ibid., 23-24 246 Cuando el listón era enrollado en un báculo con las mismas dimensiones, se podía entender el mensaje. De esta forma sólo los ejércitos amigos tenían una réplica exacta del instrumento para “encriptar” y “desencriptar” los mensajes importantes. ETIMOLOGÍA Criptografía I. Del griego kryptos = oculto + graphe = escritura. 1. (sustantivo femenino). Escritura en clave. Criptolalia I. Del griego krypto = yo oculto + laleo = yo hablo. 1. (sustantivo femenino). Alteración de la lengua hablada con el fin de que no pueda ser comprendida si no se conoce la clave. Escritura utilizada para proteger los mensajes de alteraciones y modificaciones. Aunque el término se ha utilizado desde el siglo XVII, el concepto se ha utilizado desde tiempos inmemoriales. Los primeros intentos de criptografía fueron basados en el habla, mas que en la escritura: criptolalia. Aquellos que hablaban más de una lengua aprovechaban esto delante de gente que no los entendía para intercambiar información que buscaban mantener en secreto.113 113 Idem 247 El primer uso que tuvo la criptografía fue militar, aunque la necesidad de proteger un secreto se incrementó a medida que aumentaba el valor de cierta información. Durante el último siglo, hubo desarrollos en técnicas criptográficas que evolucionaron de manuales a electrónicas, pasando por las mecánicas. Criptografía es la ciencia de mantener en secreto los mensajes. El texto original, o texto puro es convertido en un equivalente en código, llamado criptotexto (ciphertext) via un algoritmo de encripción. El criptotexto es decodificado (decriptado) al momento de su recepción y vuelve a su forma de texto original. La criptología se define como aquella ciencia que estudia la ocultación, disimulación o cifrado de la información, así como el diseño de sistemas que realicen dichas funciones. Abarca por tanto a la Criptografía (datos, texto, e imágenes), Criptofonía (voz) y al Criptoanálisis (ciencia que estudia los pasos y operaciones orientados a transformar un criptograma en el texto claro original pero sin conocer inicialmente el sistema de cifrado utilizado y/o la clave). Cifrar por tanto consiste en transformar una información (texto claro) en otra ininteligible (texto cifrado o cripto) según un procedimiento y usando una clave determinada, pretendiendo que sólo quién conozca dicho procedimiento y clave pueda acceder a la información original. La operación inversa se llamara lógicamente descifrar. La seguridad de un fuerte sistema criptográfico reside en el secreto de la llave más que en el secreto del algoritmo. En teoría, cualquier método criptográfico puede “romperse” 248 (descifrarse) intentando todas las posibles llaves (claves o combinaciones) en secuencia. En algunos casos en los que la autenticación de la persona resulta crítica, como en el pago con tarjeta de crédito, se puede exigir incluso que estampe una firma, que será comparada con la que aparece en la tarjeta y sobre su documento de identificación. En el mundo físico se produce la verificación de la identidad de la persona comparando la fotografía del documento con su propia fisionomía y en casos especialmente delicados incluso comparando su firma manuscrita con la estampada en el documento acreditativo que porta. En otras situaciones, no se requiere la credencial de elector o pasaporte, pero sí la firma, para que el documento goce de la validez legal (cheques, cartas, etc.), ya que ésta vincula al signatario con el documento por él firmado. El fundamento de las firmas electrónicas es la criptografía, disciplina matemática que no sólo se encarga del cifrado de textos para lograr su confidencialidad, protegiéndolos de ojos indiscretos, sino que también proporciona mecanismos para asegurar la integridad de los datos y la identidad de los participantes en una transacción. El cifrado consiste en transformar un texto en claro (inteligible por todos) mediante un algoritmo en un texto cifrado, gracias a una información secreta o clave de cifrado, que resulta ininteligible para todos excepto el legítimo destinatario del mismo. Se distinguen dos métodos generales de cifrado: 249 Es así que el objetivo de la criptografía es el de proporcionar comunicaciones seguras (y secretas) sobre canales inseguros. Ahora bien, la criptografía no es sinónimo de seguridad. No es más que una herramienta que es utilizada de forma integrada por mecanismos de complejidad variable para proporcionar no solamente servicios de seguridad, sino también de confidencialidad. CLASES DE CRIPTOGRAFÍA TRADICIONAL O SIMÉTRICA Aquella en la que la llave de encripción es la misma de desencripción. Por tanto estamos ante un criptosistema Simétrico o de Clave Secreta cuando las claves para cifrar y descifrar son idénticas, o fácilmente calculables una a partir de la otra. Por el contrario si las claves para cifrar y descifrar son diferentes y una de ellas es imposible de calcular por derivación de la otra entonces estamos ante un criptosistema Asimétrico o de Clave Pública. Esto quiere decir que si utilizamos un criptosistema de clave secreta o simétrico necesariamente las dos partes que se transmiten información tienen que compartir el secreto de la clave, puesto que tanto para encriptar como para desencriptar se necesita una misma clave u otra diferente pero deducible fácilmente de la otra. Entre estos sistemas se encuentran: “DES, RC2, RC4, IDEA, SkipJack etc...”. La peculiaridad de estos sistemas de encriptación es que son rápidos en aplicarse sobre la información. 114 114 Ibid 46-49 250 Cuando se emplea la misma clave en las operaciones de cifrado y descifrado, se dice que el criptosistema es simétrico o de clave secreta. Estos sistemas son mucho más rápidos que los de clave pública, y resultan apropiados para el cifrado de grandes volúmenes de datos. Ésta es la opción utilizada para cifrar el cuerpo de los mensajes en el correo electrónico o los datos intercambiados en las comunicaciones digitales. Es decir que se trata del mecanismo clásico por el cual se utilizan técnicas que usan una clave K que es conocida por el remitente de los mensajes y por el receptor, y con la que cifran y descifran respectivamente el mensaje. Para mantener la seguridad del cifrado, deben mantener esta clave en secreto. Las ventaja del uso de estas claves es la existencia algoritmos muy rápidos y eficientes para su cálculo. El principal inconveniente estriba en la necesidad de que todas las partes conozcan K, lo que lleva a problemas en la distribución de las claves. Esta debilidad ha hecho que sea poco utilizada en los mecanismos desarrollados hasta el momento para permitir el pago, a no ser que vaya combinada con otro tipo de técnicas. El sistema de cifrado más extendido es Data Encryption Standard (DES), desarrollado por IBM y adoptado por las oficinas gubernamentales estadounidenses para protección de datos desde 1977. Una mejora de este sistema de cifrado de clave simétrica es IDEA. 251 CARACTERÍSTICAS PRINCIPALES DE LAS LLAVES PRIVADAS • Solo existe una llave privada por individuo • Para uso único del propietario • Es secreta • Se usa para desencriptar información y generar firmas digitales DESVENTAJAS DE LA CIFRADO TRADICIONAL Quien envía y quien recibe un mensaje necesitan compartir la misma llave, lo que significa que cada uno debe confiar en el otro para que no comprometa la información que exclusivamente la conocen ellos dos. Quien envía y quien recibe tienen un problema de distribución. No es posible comunicar de manera segura la “llave secreta” ambas partes que la necesitan, sin irse “fuera de línea” (usar un canal de comunicación distinto, como el correo tradicional). CIFRADO DE LLAVE PÚBLICA O ASIMÉTRICA: Cada persona tiene un par de llaves, una pública que todos conocen, y la otra privada que sólo su propietario conoce. En cambio, si A y B usan la criptografía asimétrica, ambos tienen un juego de llaves, una pública que cualquier persona puede conocer, y otra privada que sólo su dueño conoce. En este caso, A envía un mensaje a B. Llave Pública de B y Llave Privada de B. A usa la llave pública de B para encriptar el mensaje que le envía. B usa su llave privada para desencriptar el mensaje que le envió A, y verifica la identidad de A con su llave publica. 252 La Firma Electrónica Avanzada, para cumplir con los requisitos de autenticación, fiabilidad e inalterabilidad requiere de métodos de encriptación, como el llamado asimétrico o de clave pública. Éste método consiste en establecer un par de claves asociadas a un sujeto, una pública, conocida por todos los sujetos intervinientes en el sector, y otra privada, sólo conocida por el sujeto en cuestión, aunque la norma de análisis no habla del sistema de encriptación, si menciona el uso de medios electrónicos de identificación y contraseñas, en mensajes de datos, esto no es otra cosa que una clave privada que nos va permitir la perfecta identificación de su emisor objeto de la autenticidad de la Firma Electrónica a través de mensajes de datos. 115 De esta forma cuando quiera establecer una comunicación segura con otra parte basta con encriptar el mensaje con la clave pública del sujeto para que a su recepción sólo el sujeto que posee la clave privada pueda leerlo , en el precepto no era necesario establecer la forma técnica de hacerlo, solo era necesario dar a conocer el hecho de un sistema de identificación a través de claves o contraseñas para poder emplearla al momento de la generación de la información. Si A y B desean autenticar un documento, el proceso es al revés. A quiere enviar un documento a B, para que éste lo autentifique, es decir, para que B pueda comprobar que dicho documento sólo puede provenir de A. Este proceso se conoce como firma digital. Cualquier persona que conozca la llave pública de A (todos la conocen), puede desencriptar el documento con esa llave. Así es como existe una Llave Privada de A y 115 PEÑALOZA EMILIO “La protección de datos personales” Editorial Díaz de Santos, España, pp. 114. 253 una Llave Pública de A. Es así que A encripta el documento con su llave privada y lo envía a B. Por lo que B desencripta el documento con la llave pública de A. Es decir que estas claves públicas existen cuando se utiliza una pareja de claves para separar los procesos de cifrado y descifrado, se dice que el criptosistema es asimétrico o de clave pública. Una clave, la privada, se mantiene secreta, mientras que la segunda clave, la pública, es conocida por todos. De forma general, las claves públicas se utilizan para cifrar y las privadas, para descifrar. El sistema posee la propiedad de que a partir del conocimiento de la clave pública no es posible determinar la clave privada ni descifrar el texto con ella cifrado. Los criptosistemas de clave pública, aunque más lentos que los simétricos, resultan adecuados para los servicios de autenticación, distribución de claves de sesión y firmas digitales En general, el cifrado asimétrico se emplea para cifrar las claves de sesión utilizadas para cifrar el documento, de modo que puedan ser transmitidas sin peligro a través de la Red junto con el documento cifrado, para que en recepción éste pueda ser descifrado. La clave de sesión se cifra con la clave pública del destinatario del mensaje, que aparecerá normalmente en una libreta de claves públicas. En principio, bastaría con cifrar un documento con la clave privada para obtener una firma digital segura, puesto que nadie excepto el poseedor de la clave privada puede hacerlo. Posteriormente, cualquier persona podría descifrarlo con su clave pública, demostrándose así la identidad del firmante.116 116 Idem 254 En la práctica, debido a que los algoritmos de clave pública requieren mucho tiempo para cifrar documentos largos, los protocolos de firma digital se implementan junto con funciones unidireccionales de resumen (funciones hash), de manera que en vez de firmar un documento, se firma un resumen del mismo. Es decir que los sistemas asimétricos de cifrado, siendo los más populares los de clave pública. Estas técnicas se basan en la existencia de parejas de claves, una secreta o privada (Ks), conocida únicamente por su propietario, y una pública (Kp), libremente distribuida por su propietario en toda la red. El conocimiento de una de las claves no permite averiguar la otra. Un mensaje es cifrado con una de las claves y descifrado con la otra. Uno de los primeros esquemas de clave pública fue desarrollado por R. Rivest, A. Shamir y L. Adleman. El esquema Rivest-Shamir-Adleman (RSA) ha sido desde la fecha de su publicación el único sistema ampliamente aceptado para la implementación de encriptación mediante clave pública. El principal inconveniente de este sistema era la existencia de una patente sobre este algoritmo, lo cual dificulta su uso fuera de los Estados Unidos si no se ha obtenido la correspondiente licencia de exportación, la gran ventaja es que ha pasado el tiempo y actualmente éste sistema es del dominio público. Gracias a las firmas electrónicas, los ciudadanos pueden realizar transacciones de comercio electrónico verdaderamente seguras y relacionarse con la máxima eficacia jurídica. En la vida cotidiana se presentan muchas situaciones en las que los ciudadanos deben acreditar fehacientemente su identidad, por ejemplo, a la hora de 255 pagar las compras con una tarjeta de crédito en un establecimiento comercial, para votar en los colegios electorales, con el fin de identificarse en el mostrador de una empresa, al firmar documentos notariales o una sencilla carta enviada a un amigo, etc. En estos casos, la identificación se realiza fundamentalmente mediante la presentación de documentos acreditativos como la credencial de elector, el pasaporte o el carnet de conducir, que contienen una serie de datos significativos vinculados al individuo que los presenta, como: Nombre del titular del documento. Número de serie que identifica el documento. Período de validez: fecha de expedición y de caducidad del documento, más allá de cuyos límites éste pierde validez. Fotografía del titular. Firma manuscrita del titular. Otros datos demográficos, como sexo, dirección, etc. Los primeros sistemas criptográficos utilizaban combinaciones más o menos complejas de la técnica de rotación de los caracteres de un mensaje. La seguridad de este tipo de sistemas se basaba en mantener secreto el algoritmo usado, y son fácilmente descifrables usando medios estadísticos. En la actualidad sólo son utilizados por aficionados. 256 En medios profesionales, se usan criptosistemas. Se trata de funciones matemáticas parametrizadas en las que los datos de entrada no se pueden obtener a partir de los de salida salvo en plazos tan largos que cualquier información obtenida ya no tiene valor. La seguridad se basa ahora, no en mantener secreto el algoritmo, que generalmente es público, sino los parámetros (claves) del mismo. Así, firmar electrónica o digitalmente un documento consiste en pasar un determinado algoritmo sobre el texto que se desea cifrar, basándose en la clave privada del signatario electrónico. Cuando el texto debe transmitirse firmado, el algoritmo recorre todos sus datos electrónicos y, junto a la clave privada, obtiene un valor ("hash"), que es la llamada firma digital. En la transmisión, se envía por una parte el documento cifrado, y por otra el hash. Cuando el receptor recibe ambos documentos, debe actuar bajo las siguientes pautas: 1. Descifra el texto del destinatario con la clave pública. 2. Con este texto calcula el hash. 3. Si el hash calculado y el enviado coinciden, eso significa que el documento que ha llegado lo envía quien dice ser (ha sido descifrado con su clave "contraria") y que además no ha sido alterado por el camino, pues de lo contrario los dos hash no coincidirían. LA IMPORTANCIA DE LA FIRMA ELECTRÓNICA. 257 El tráfico mercantil precisa, para su existencia, de seguridad jurídica; éste ha venido instrumentalizada a través de diversas técnicas, como por ejemplo: La plasmación del contrato (privado) en documento escrito y debidamente firmado por las partes, constituye prueba de la prestación de la voluntad en el momento de la celebración del mismo. La formalización en documento público de ciertos negocios jurídicos de especial importancia, como el testamento, es elemento imprescindible para su validez. El propio dinero es un documento avalado por el Estado que nos permite cumplir obligaciones jurídicas. En el mundo de las transacciones económicas electrónicas, las cosas no son diferentes. Si bien es cierto que cambian las formas para adaptarse a la peculiar naturaleza de las tecnologías de la información y las comunicaciones, el sentido de los actos jurídicos no varía. Es por ello imprescindible decidir, tras realizar el debido análisis de riesgo, qué mecanismos de seguridad jurídica precisa emplear la empresa. Lo anterior, además de constituir una admonición para el legislador, supone una necesidad de los destinatarios de las normas: el legislador no debe imponer el empleo de determinados mecanismos de seguridad jurídica al mercado, por el mero hecho de tener lugar por medios electrónicos, porque con esa actuación podría llegar a impedir que se alcance la máxima eficiencia en los intercambios de productos y servicios que se realizan en el mercado. 258 CARACTERÍSTICAS PRINCIPALES DE LAS LLAVES PÚBLICAS El usuario solo puede tener una llave pública. Es puesta a disposición de todos los usuarios. Se usa para encriptar información y generar firmas digitales. FIRMA DIGITAL O FIRMA ELECTRÓNICA AVANZADA Explicado lo anterior es importante aclarar la diferencia de la firma electrónica de la firma digital, ya que esta última se diferencia de la primera en que la información generada o comunicada debe ser en forma INTEGRA, ATRIBUIBLE a las personas obligadas y ACCESIBLE para su ulterior consulta.117 Al ser transmitida cualquier comunicación por medios electrónicos con las características antes apuntadas, estaremos hablando de una firma electrónica avanzada y si ésta se hace por medio de tecnología de PKI estaremos hablando de firma digital.. VENTAJAS DE LA CRIPTOGRAFÍA ASIMÉTRICA Imposibilidad de suplantación: el hecho de que la firma haya sido creada por el signatario mediante medios que mantiene bajo su propio control (su clave privada protegida, por ejemplo, por una contraseña, control biométrico, una tarjeta inteligente, etc.) Asegura, además, la imposibilidad de su suplantación por otro individuo. 117 Ibid., 187-191 259 Integridad: permite que sea detectada cualquier modificación por pequeña que sea de los datos firmados, proporcionando así una garantía ante alteraciones fortuitas o deliberadas durante el transporte, almacenamiento o manipulación telemática del documento o datos firmados. Consiste en conocer que un mensaje de datos no ha sido alterado ni manipulado durante el envío. Las firmas digitales tienen un sistema que garantiza la integridad del mensaje, puesto que si el mensaje enviado hubiese sido modificado después de haber sido cifrado, esta transformación del mensaje constará al destinatario, puesto que el resumen no resultará coincidente con el original enviado si el mensaje de descifra con la clave pública correspondiente. Si no ha sido modificado, coincidirá plenamente con el original firmado por el emisor. Esta es una diferencia que contrapone a la firma digital frente a la firma electrónica en general, puesto que en esta segunda, no existen tantas garantías de integridad del mensaje de datos como en la firma electrónica segura. En la Ley Modelo de la UNCITRAL sobre las Firmas Electrónicas elaborado, en el apartado primero del artículo 5 se establece una presunción de integridad: "Si el presunto firmante ha utilizado un procedimiento de seguridad que puede brindar la prueba fiable de que un mensaje de datos o una firma electrónica segura refrendada consignada en él no ha sido modificado desde el momento en que el procedimiento de seguridad se aplicó al mensaje de datos o a la firma, entonces se presumirá en ausencia de toda prueba de lo contrario, que el mensaje de datos o la firma no han sido modificados." 260 No repudio: ofrece seguridad inquebrantable de que el autor del documento no puede retractarse en el futuro de las opiniones o acciones consignadas en él ni de haberlo enviado. La firma electrónica adjunta a los datos, debido a la imposibilidad de ser falsificada, testimonia que él, y solamente él, pudo haberlo firmado. Auditabilidad: permite identificar y rastrear las operaciones llevadas a cabo por el usuario dentro de un sistema informático cuyo acceso se realiza mediante la presentación de certificados, especialmente cuando se incorpora el estampillado de tiempo, que añade de forma totalmente fiable la fecha y hora a las acciones realizadas por el usuario. Privacidad: asegurar que la comunicación solo se da entre aquellos autorizados. No rehusabilidad: Prevenir que la información no pueda duplicarse. Es por estas características que la firma electrónica avanzada es la firma electrónica que permite la identificación del signatario y ha sido creada por medios que éste mantiene bajo su exclusivo control, de manera que está vinculada únicamente al mismo y a los datos a los que se refiere, lo que permite que sea detectable cualquier modificación ulterior de éstos. Una persona, llamada signatario, firma documentos mediante un dispositivo de creación de firma y unos datos de creación de firma; el destinatario del documento firmado debe 261 verificar, mediante un dispositivo de verificación de firma y un certificado digital, la firma del signatario. De este modo, el signatario es la persona física que cuenta con un dispositivo de creación de firma y que actúa en nombre propio o en el de una persona física o jurídica a la que representación. Se entiende que su actuación se refiere al acto de firmar un documento, dentro del marco, como veremos, de una política de firma electrónica. Los datos de creación de firma son los datos únicos, como códigos o claves criptográficas privadas, que el signatario utiliza para crear la firma electrónica y los datos de verificación de firma son los datos, como códigos o claves criptográficas públicas, que se utilizan para verificar la firma electrónica. En resumen, el sistema de encriptación asimétrica y la firma digital constituyen el primer gran paso hacia la seguridad en las transacciones comerciales por vía electrónica. Dado que el par de claves (pública y privada) de cada usuario de la red electrónica ha de ser diferente (es lo que se denomina carácter único de la clave), el procedimiento de emisión o generación de claves debe estar sujeta a auditorías de calidad, con el fin de mantener la unicidad. Los anteriores datos de creación de firma electrónica deben ser empleados por un dispositivo de creación de firma, que posee el signatario: para que la firma electrónica tenga un valor superior, veremos que el dispositivo de creación de firma debe cumplir determinados requisitos (en ese caso se denomina dispositivo seguro de creación de firma); igualmente, el destinatario de un mensaje firmado debe disponer de un dispositivo de verificación de firma. 262 ¿FIRMA ELECTRÓNICA O FIRMA DIGITAL? Después de lo explicado, seguramente surge la duda de si es lo mismo la firma electrónica y la firma digital, la confusión generalizada es evidente. Consumidores finales en la Web, E-business e incluso profesionales de los distintos sectores jurídicos intentamos encontrar la aplicación práctica de la llamada “firma digital”, que no es otra cosa que la utilización de un sistema de encriptación asimétrico en el cual existen dos “llaves”, que consisten en una clave privada y una clave pública. La primera sólo es conocida por el particular, y la segunda es la clave que identifica públicamente a ese particular, de manera que sólo utilizando su clave pública el mensaje enviado por el interesado podrá ser desencriptado y por tanto legible. El sistema es sencillo: el particular (persona física o jurídica) después de redactar el documento lo encriptará con su clave privada, podrá enviarlo a través de Internet (e-mail, chat, página Web) a su destinatario final conociendo la dirección del mismo, y este último para poder descifrar el mensaje recibido utilizará la clave pública del remitente. Este sistema nos permitirá verificar que el mensaje original no ha sido modificado en su trayecto a través de la Web, la autenticidad del mensaje recibido, y por último, la integridad del mensaje en cuanto a la certeza y conclusión del mismo. La firma digital no es por tanto algo “añadido” a un documento, sino la versión encriptada del mismo. No existe si la disociamos de su mensaje, y del mismo modo, cambia con cada documento encriptado.118 118 LOPEZ DE OÑATE “La certeza del Derecho Digital” Editorial Milano, España, pp. 54-64 263 Podemos también definir a la firma digital como el conjunto de datos que en forma electrónica consignados en un mensaje de datos, o adjuntados o lógicamente asociados al mismo y pueden ser utilizados para identificar al firmante en relación con el mensaje de datos e indicar que aquel aprueba la información recogida en el mensaje de datos, utilizando tecnología digital. Por su parte, la “firma electrónica” es cualquier símbolo que utilicemos como identificador de una persona en un determinado documento que para su transmisión utilice medios electrónicos, lo cual se asimila a la firma tradicional. El nombre de una persona escrito al final de un documento o un símbolo que le identifique sería una firma electrónica. La firma digital es por tanto un tipo de firma electrónica. El nivel de inseguridad de esta última resulta evidente, ya que su falsificación es tremendamente sencilla. Su invalidez como método de autenticación de documentos es por tanto obvia. Pero si es cierto que la firma digital es un vehículo seguro para facilitar el comercio electrónico por medio de la autenticación de todo tipo de documentos a los que necesitemos dotarles con la aprobación y demás propiedades de la firma tradicional de una persona, ¿por qué su uso no se ha generalizado? Para entender las respuestas a esta pregunta, no olvidemos que el comercio electrónico, esto es, el comercio a través de Internet, es por definición un comercio internacional, en el que no existen fronteras. La firma digital necesitará por tanto un respaldo legal armonizado a escala internacional, de modo que su uso no haga surgir barreras en la Web. 264 Los factores causantes del escaso uso de firmas electrónicas, se pueden resumir en los siguientes: Primero, caos terminológico. Como ya hemos destacado, la firma digital y electrónica no son dos términos que designen el mismo sistema, sino que conllevan diferencias esenciales. La falta de homogeneidad a este respecto desde el punto de vista legislativo en el ámbito internacional provoca la confusión no sólo de ambos términos sino también de las características que los definen. Mientras la Directiva Comunitaria se refiere a “firmas electrónicas”, Italia, Alemania y Dinamarca adoptan una ley que regula la “firma digital”, al igual que países como España, Argentina, Malasia, y Colombia y algunos estados de Norteamérica como Utah, Arkansas, Florida, Illinois, Kansas, Minnesota, Mississippi, New Hampshire y Washington, entre otros. Por otra parte la “firma electrónica” se contempla en las leyes que rigen esta materia en California, Connecticut, Delaware, Idaho, Indiana, New York, Carolina del Sur y Virginia, entre otros ejemplos. Otros países como Australia, Bélgica, Colombia, Hong Kong y el Reino Unido han presentado varias propuestas legales en las cuales firma digital y electrónica no son claramente definidas, desconcierto que se repite en prácticamente todos los países anteriormente señalados. En segundo lugar, el tipo de transacciones a las que se da cobertura legal varía en cada una de las leyes vigentes en esta materia. Algunos países autorizan el uso de firmas electrónicas para aquellas transacciones en las que participen sólo determinadas 265 partes, mientras que otras limitan su ámbito de aplicación a ciertas categorías de transacciones, de manera que el uso de firmas electrónicas es en muchas ocasiones desautorizado en estos países o simplemente su aplicación no tendrá fuerza jurídica para ciertos tipos de documentos. Estas restricciones funcionales son a menudo acompañadas de restricciones geográficas, en las cuales, como ocurre en la Ley Alemana de firma Digital, se reconocen aquellos certificados de firmas electrónicas provenientes sólo de determinados países, reconociendo en este caso Alemania como válidos aquellos que procedan de un país de la Unión Europea. Tercero, no existe un acuerdo global en cuanto a qué constituye una firma con validez legal en el marco del comercio electrónico. Mientras algunos países dan legitimidad de forma ambigua y sin especificaciones a cualquier tipo de “firma electrónica”, otros apuestan sólo por aquellas firmas electrónicas que reúnan ciertos requisitos de seguridad (los cuales a su vez también varían en las distintas legislaciones), mientras que por último, otros muchos países sólo otorgan validez legal a aquellas firmas que reúnan los requisitos de las “firmas electrónicas avanzadas o fiables” (atribución, integridad del documento y accesabilidad). Cuarto, la creación de firmas digitales requiere no sólo medios tecnológicos (determinado software para llevar a cabo métodos de encriptación) sino también cierta infraestructura, mediante la cual las denominadas Autoridades de Certificación (CAs) aseveren que efectivamente la “llave pública” de un titular corresponde a una determinada persona, y que por tanto un mensaje recibido de esa persona encriptado 266 con su llave privada sólo podrá ser desencriptado para hacerlo legible mediante la utilización de su llave pública, de modo que el receptor se asegura que el mensaje proviene de un determinado titular, y que no ha sufrido cambios en el transcurso de su transmisión. El problema surge en relación a las infraestructuras llamadas “Open Public Key Infrastructures” (PKIs”), sistemas en los cuales los subscriptores obtienen certificados de las CAs válidos para cualesquiera tipo de documentos y transacciones comerciales, mientras que algunas leyes de firma digital contemplan sólo un sistema cerrado de certificación -“Close PKI model”-, en el cual los certificados sólo tendrán validez jurídica para determinados contextos contractuales definidos con anterioridad por las partes, modelo que será completado en párrafos subsecuentes. Por otra parte, la regulación de las Autoridades de Certificación varía en las distintas legislaciones. Mientras que en algunos países han sido creados organismos públicos para cumplir con sus funciones, en otros (Malasia, Alemania e Italia) se impone una regulación estricta, pero será la iniciativa particular la que opte por pedir una licencia para ejercer como entidad certificadora. En la mayor parte de los casos las leyes en vigor de los distintos países son lo suficientemente generales y ambiguas como para llegar a ser incompatibles entre sí. En otros, ni siquiera queda claro si se requiere la existencia de una licencia previa para llevar a cabo estas funciones de certificación que se explicaran en párrafos subsecuentes. Por último, las consecuencias legales de las firmas electrónicas son también distintas. Algunos estatutos (Illinois) otorgan presunción de validez a cualquier documento que 267 haya sido firmado digitalmente, mientras que otras leyes sólo presumirán válida la identidad del mandatario e integridad del documento si la firma cumple con determinados atributos de seguridad, como ocurre con la Ley de firma digital alemana. En países como Bélgica, Francia o Grecia los documentos electrónicos no son aceptados ante los tribunales de justicia, aun estando validados por una firma digital, dado que cierto tipo de contratos requieren su formulación escrita y autenticación según los métodos de firma manuscrita tradicional. Si conseguimos resolver este caos legislativo internacional, la firma electrónica avanzada o fiable dará la seguridad y eficacia que el nuevo comercio electrónico está requiriendo, siempre y cuando no estemos creando infraestructuras de un coste desmesurado que reduzcan la utilización de firmas digitales. Olvidemos también requerir en este nuevo marco tecnologías que mañana estarán obsoletas, pero sobre todo, no creemos las barreras que el mundo electrónico no tiene. CERTIFICADOS DIGITALES Pero ¿cómo sabemos que B y A tienen asignadas las llaves públicas que dicen tener? Pues mediante un mecanismo llamado Certificado Digital, el cual contiene el nombre de la persona y su llave pública, y está firmado con la llave privada de una Autoridad Certificadora. 268 Un certificado atestigua la validez de la identidad de un individuo o entidad. Generalmente es emitido por una Autoridad Certificadora quien al firmar digitalmente une una llave pública con el nombre de un individuo o entidad. Su propósito es el permitir la verificación de la premisa que una llave pertenece de hecho a un individuo. El principal inconveniente del uso de claves pública es el modo de asociación de los pares llave pública y llave privada con personas físicas. La solución la aportan las autoridades de certificación que son entes fiables y ampliamente reconocidos que firman (con conocimiento de causa y asunción de responsabilidad) las claves públicas de las personas, rubricando con su firma su identidad.119 A la vista de este esquema de funcionamiento, se plantea un problema evidente de confianza que puede originar varios interrogantes: ¿cómo tener certeza de que la clave pública de un usuario corresponde realmente a ese individuo y no ha sido falsificada por otro?, ¿Por qué fiarse de esa clave pública antes de confiarle algún secreto?, ¿Quién verifica la identidad del poseedor de la clave pública? Todas estas preguntas encuentran su respuesta en la figura de los certificados digitales, especie de documentos electrónicos que garantizan la identidad de una persona. Así los certificados digitales contienen de forma estructurada información relevante acerca de usted y de la entidad que lo emitió: 119 Ibid, 81-84 269 El código identificativo único del certificado. La identificación del prestador de servicios de certificación que expide el certificado, es decir, de la autoridad de certificación. La firma electrónica del prestador de servicios de certificación que expide el certificado y que da fe de que el certificado expedido es válido y ha sido emitido de acuerdo con sus prácticas de certificación. La identificación del signatario, por su nombre y apellidos o a través de un seudónimo que conste como tal de manera inequívoca (información relevante para el uso de que será objeto el certificado). Los datos de verificación de la firma (es decir, la clave pública) que correspondan a los datos de creación de firma que se encuentren bajo el control del signatario (o lo que es lo mismo, su clave privada), de manera que se produce una vinculación exclusiva del interesado con las claves. Esta clave pública es la que permite a su vez verificar la autenticidad de la firma electrónica. El comienzo y el fin del período de validez del certificado, fuera de los cuales no podrá utilizarse. Los límites de uso del certificado, si se prevén, como por ejemplo compra a través de Internet, acceso a bancos, exclusión de ciertos contratos como préstamos y fianzas, identificación ante servidores en una red local, etc. Los límites del valor de las transacciones para las que puede utilizarse el certificado, si se establecen. De esta forma se controla que con un certificado no puedan efectuarse compras por importe superior a un valor especificado en el mismo. 270 En síntesis, la misión fundamental de los certificados es permitir la comprobación de que la clave pública de un usuario, cuyo conocimiento es imprescindible para autenticar su firma electrónica, pertenece realmente a ese usuario, ya que así lo hace constar en el certificado una autoridad que da fe de ello. Representan además una forma conveniente de hacer llegar la clave pública a otros usuarios que deseen verificar sus firmas. Normalmente, cuando se envía un documento firmado digitalmente, éste siempre se acompaña del certificado del signatario, con el fin de que el destinatario pueda verificar la firma electrónica adjunta. Estos certificados permitirán a sus titulares realizar una gran cantidad de acciones a través de Internet: acceder por medio de su navegador a sitios web restringidos, a los cuales les deberá presentar previamente el certificado, cuyos datos serán verificados y en función de los mismos se le permitirá o denegará el acceso; enviar y recibir correo electrónico cifrado y firmado; entrar en intranets corporativas, e incluso a los edificios o instalaciones de la empresa, donde se le pedirá que presente su certificado, posiblemente almacenado en una tarjeta inteligente; firmar software para su uso en Internet, firmar cualquier tipo de documento digital, para uso privado o público; obtener confidencialidad en procesos administrativos o consultas de información sensible en servidores de la Administración; realizar transacciones comerciales seguras con identificación de las partes120 120 Idem 271 AUTORIDADES DE CERTIFICACIÓN ADMINISTRACION DE CERTIFICADOS Implica la generación, producción, distribución, control, seguimiento y destrucción de las llaves públicas o privadas asociadas con los certificados de llave pública. La administración de certificados tiene dos elementos básicos: 1. Autoridad Certificadora (CA) 2. Directorio de Servicios AUTORIDAD CERTIFICADORA (CA) Es la entidad que genera y revoca los certificados para un conjunto de usuarios y es responsable de su autenticidad. Sus funciones se pueden resumir en: 1. Generación de certificados al garantizar su identidad por medio de una firma digital. 2. Agendar fechas de expiración de certificados y revocar de los certificados. 3. Revocar los certificados. Una característica fundamental de la Autoridad Certificadora es que sea un ente de alta confianza para la comunidad. REGISTRO DE CERTIFICADOS La Agencia Certificadora se define como aquel agente encargado de la autenticación de la identidad de los usuarios de la Autoridad Certificadora (CA). Posteriormente manda la 272 petición del usuario a la Autoridad Certificadora y la clave pública a la Autoridad Registradora. La Agencia Certificadora es el intermediario entre los usuarios y la Autoridad Certificadora. La calidad del proceso de autenticación de la Agencia Certificadora determina el nivel de confianza que se tendrá en los certificados. Una Agencia Certificadora puede ser conceptualizada como un punto de presencia local para la Autoridad Certificadora donde los usuarios pueden aplicar para la obtención de un certificado. DECLARACIÓN DE PRÁCTICAS DE CERTIFICADOS (CPS) Las Autoridades certificadoras tienen un conjunto de políticas operativas que describen la implantación y apoyo a las políticas de seguridad condensadas a un detallado documento conocido cono Declaración de Prácticas de Certificación (CPS). Estas políticas incluyen procedimientos de Verificación de Identidad, rango de usurarios a certificar, ciclo de vida de los certificados. LISTA DE REVOCACION DE CERTIFICADOS (CRL) Determina la validez de un certificado condensándolo en una lista. 273 FUNCIONAMIENTO DE LOS CERTIFICADOS El certificado digital incorpora información sobre el usuario (entre otros datos su clave pública), información que debe ser contrastada por algún tipo de autoridad competente, que dota así de validez al documento acreditativo. En el contexto electrónico, la función básica de una Autoridad de Certificación (AC) o prestador de servicios de certificación (CPS) reside en verificar fehacientemente la identidad de los solicitantes de certificados, crear y emitir a los solicitantes dichos certificados y publicar listas de revocación cuando éstos son inutilizados. Se contempla que cualquier entidad u organización pública o privada se constituya en PSC, fomentando así la libre competencia también en este mercado. Ahora bien, para que una persona física o jurídica se erija en la figura de autoridad de certificación es necesario que cumpla una serie de obligaciones exigibles a todos los prestadores de servicios de certificación que expidan certificados reconocidos, entre las que destacan: La comprobación de la identidad de los solicitantes de los certificados, ya que si esta verificación no se realiza rigurosamente, toda la estructura de certificados y firmas digitales pierde por entero su validez. No almacenar las claves privadas de los usuarios, para preservar su privacidad y evitar la posibilidad de que sean suplantados, ya que hasta cierto punto puede decirse que la identidad digital de un usuario reside en su clave privada. 274 Informar debidamente a los solicitantes acerca de precios y condiciones de utilización de los certificados, precios que estarán regidos por el mercado en régimen de libre competencia. Mantener un registro de todos los certificados emitidos y de su estado de validez. Indicar la fecha y la hora en las que se expidió o se dejó sin efecto un certificado. Poseer una serie de garantías técnicas que demuestren la fiabilidad necesaria de sus servicios, la rapidez y la seguridad en la prestación de los mismos, el empleo de personal cualificado y con la experiencia necesaria para dicha prestación, la utilización de sistemas y productos fiables protegidos contra toda alteración, la toma de medidas contra la falsificación de certificados y el uso de sistemas fiables para almacenarlos. Conservar registrada toda la información y documentación relativa a un certificado reconocido durante un tiempo determinado, con el fin de garantizar que los certificados puedan ser aportados como prueba en los procesos judiciales que pudieran surgir en relación con el uso de la firma. Con el tiempo, durante el ejercicio de sus funciones, una autoridad de certificación puede verse fácilmente desbordada si cubre un área geográfica muy extensa o muy poblada, por lo que a menudo delega la labor de verificar la identidad de los solicitantes 275 en las llamadas Agencias Certificadoras. Las Agencias Certificadoras pueden abrir multitud de oficinas regionales dispersas por un gran territorio, llegando hasta los usuarios en los sitios más remotos, mientras que la Autoridades Certificadoras se limitaría así a certificar a todos los usuarios aceptados por las Agencias Certificadoras dependientes de ella. Gracias a esta descentralización se agiliza el proceso de certificación y se aumenta la eficacia en la gestión de solicitudes ALGUNAS RECOMENDACIONES PARA EL USO DE LOS CERTIFICADOS DIGITALES: Compromiso de la clave privada del usuario: si la clave privada cae en manos de un desconocido, éste podría suplantar al usuario y realizar en su nombre todas las acciones a que su certificado le autorice. Suceso más frecuente es que el usuario olvide la contraseña que protege su clave privada, privándose así de su uso. En ambos casos, se debe dar aviso a la Autoridad Certificadora con la mayor brevedad posible para que el certificado sea revocado. Compromiso de la clave privada de la Autoridad Certificadora: un suceso más grave es que se vea comprometida la clave privada de la Autoridad Certificadora, en cuyo caso el desconocido podría suplantar a la propia autoridad de certificación, con consecuencias desastrosas. En cuanto la Autoridad Certificadora lo advirtiera, debería cambiar su clave, quedando invalidados absolutamente todos los certificados reconocidos emitidos hasta ese momento. Las medidas de seguridad de la empresa de certificación son (deben ser) lo suficientemente estrictas como para que la probabilidad de este suceso sea prácticamente nula. 276 Cambio en los datos del certificado: los usuarios cambian de trabajo, de lugar de residencia, de dirección de correo, etc., motivos que pueden justificar la emisión de un nuevo certificado que refleje verazmente la nueva información personal del titular y la invalidación del certificado antiguo. Violación de la política de la Autoridad Certificadora: si un usuario viola las normas de certificación de la Autoridad Certificadora, ésta puede decidir revocar su certificado. Expiración del certificado: los certificados tienen un tiempo de vida limitado y claramente especificado en sus datos, al final del cual dejan de ser válidos. Esta situación no ocasiona mayores dificultades, y el usuario simplemente deberá solicitar su renovación a la Autoridad Certificadora que se lo emitió. DISPOSITIVOS DE ALMACENAMIENTO DE CERTIFICADOS DIGITALES: Dispositivo de Ventajas Desventajas Almacenamiento Chip Card Se almacena en Se pueden utilizar Es de alto costo ya una tarjeta en cualquier lado. que se requieren inteligente Dispositivo de lectoras especiales. almacenamiento La tecnología aún no mas seguro es accesible para todos los usuarios Browser Se almacena en la Es el certificado Únicamente se computadora del digital mas barato puede utilizar desde cliente modificando la computadora a localmente la donde se almacenó configuración del el certificado Browser del cliente digitalmente 277 Diskette o Se almacena en la Disco Duro propia PC y se envía acceso en la PC o máquina o el una copia como con el diskette diskette Se almacena en un El cliente puede Dependencia total servidor tener acceso a de un solo servidor. través de una clave Cliente se autentica desde cualquier sin certificado Solo puede tener Riesgo de robo de la anexo a los mensajes firmados Servidor computadora PUBLIC KEY INFRASTRUCTURE (PKI) Toda esta serie de conceptos mencionados en los párrafos precedentes constituyen la tecnología Public Key Infrastructure o PKI la cual constituye el marco de trabajo y servicios para la generación, producción, distribución, control y seguimiento de certificados, la cual es desarrollada, ampliando y visualizando el futuro de esta tecnología en el presente trabajo. 278 7.- PROYECTO CYBERNOTARIO: Desde que la American Bar Association dio a conocer en 1996 los trabajos alrededor del proyecto Cybernotary, muchos y muy variados han sido los caminos seguidos por los distintos países en los que existe la figura del Fedatario Público de tipo latino, pero en todos ellos el valor de su participación ha sido reconocida y hasta impulsada por propios y extraños. Las funciones que los Fedatarios Públicos pueden ejercer en el mundo virtual no son diversas de las que hoy ejercen en el mundo real, sólo se trata de herramientas distintas para hacerlo. El reto está en su incorporación y capacitación para que puedan ser ejercidas en beneficio de la legalidad del comercio electrónico en cualquiera de sus facetas.121 A medida que el desarrollo de Internet evoluciona y madura, su éxito como plataforma para la realización de negocios depende cada vez más de la generación y mantenimiento de la confianza entre los participantes. Dicha confianza será particularmente importante para aquellos sitios Web que se ubican en el contexto del comercio electrónico en cualquiera de sus modalidades (B2B, B2C, B2G, G2C, M2C, etc.). 121 http://www.acertia.com/ 279 Ese concepto de confianza es crucial porque afecta un número de factores esenciales para las transacciones en línea, específicamente con respecto a la seguridad y la privacidad. Para hacer comercio electrónico seguro no basta con que las partes (comprador y vendedor) acuerden los mecanismos de envío de información y se la intercambien de una manera "tecnológicamente" segura, es necesario además establecer las bases que permitan vincular legalmente la identidad de una persona con la manifestación de voluntad que realiza a través de medios electrónicos; dar peso legal a la aceptación de esta práctica; y sobre todo, otorgar valor probatorio al proceso y a las "constancias electrónicas" que del mismo derivan. El mecanismo más aceptado para dotar al comercio electrónico de estos elementos es la llamada Infraestructura de Clave Pública (Public Key Infraestructure). Aunque los roles identificados en la PKI, teóricamente pueden ser desempeñados por entidades públicas o privadas, se presenta un esquema por el cual se pretende la aplicación de la Fe Pública al proceso, lo que involucra tanto a Notarios como a Corredores Públicos. Al respecto la empresa ACERTIA122, por medio de alianzas y distintos trabajos, ha implementado una propuesta con las distintas Asociaciones y Colegios de Notarios y 122 http://www.acertia.com/ y confrontar CONVENIOS de Colaboración para establecer los mecanismos de emisión y administración de los certificados digitales, que se utilizarán para acceder al Registro Público de Comercio y para realizar transacciones comerciales, que celebra la Secretaría de Comercio y Fomento Industrial con la Asociación Nacional del Notariado Mexicano, A.C. y con el Colegio Nacional de Correduría Pública Mexicana, A.C. (6 de septiembre del 2000). 280 Corredores Públicos alrededor de América Latina y España, y a la fecha dispone ya de los elementos tecnológicos y la infraestructura necesaria para iniciar operaciones en México y en muy corto plazo en países que cuentan con un sistema jurídico similar y que hasta el momento ya han promulgado o están por promulgar una ley sobre comercio electrónico y/o firmas digitales (España, Argentina, Chile, Brasil, Colombia, Perú, Ecuador y Venezuela).” La infraestructura necesaria para la práctica del comercio electrónico seguro tiene componentes tecnológicos y componentes jurídicos; los primeros, relacionados con la aplicación de la tecnología de encriptación y con el uso de su estructura administrativa conocida como PKI (Public Key Infrastructure); los segundos, relacionados con el nivel de legalidad que aportan quienes participan en los procesos de certificación. Las funciones desarrolladas por los participantes de la PKI y la estructura de legalidad requerida para ciertos entornos, considera ACERTIA que hacen evidente que la entidad más indicada para tener el carácter de certificador digital es la del Fedatario Público. Para ellos ACERTIA creó su infraestructura. 281 En ese sentido, la infraestructura implementada por ACERTIA y puesta a disposición de los Fedatarios Públicos está definida y orientada claramente para cumplir con tres objetivos: • Infraestructura Tecnológica: Software y Hardware para cada Autoridad Certificadora y para sus correspondientes Agentes Certificadores. • Infraestructura de Servicios: Capacitación e Investigación y Desarrollo para la permanente actualización e inversión en nuevas tecnologías y aplicaciones para los Fedatarios Públicos. • Infraestructura Comercial: Operación, Administración y desarrollo de Alianzas en beneficio de la infraestructura de las Autoridades Certificadoras de los Fedatarios Públicos y los Fedatarios mismos. En esa infraestructura participan: la autoridad reguladora; la autoridad certificadora, los agentes certificadores (Notarios y Corredores) y los usuarios mismos de los servicios de certificación digital. En medio de todo ello, ACERTIA como Autoridad Certificadora en sí misma y como operadora de las Autoridades Certificadoras de Notarios y Corredores Públicos. En esa infraestructura jerárquica el rol que los Fedatarios Públicos desempeñan es de primordial importancia, ya que son en si mismos el sustento de legalidad de los procesos de certificación digital y tienen la posibilidad de trasladar al mundo virtual el valor de la fe pública que ejercen en el mundo real. 282 Es claro que la evolución del marco legal alrededor de la participación de los Fedatarios Públicos en los procesos comerciales realizados por medios electrónicos ha evolucionado de manera paulatina, pero también es claro que los derechos y obligaciones de los contratantes por la vía electrónica seguirán siendo exigibles en la vía tradicional y los Fedatarios no pueden mantenerse al margen porque su naturaleza misma la otorgar certeza de legalidad a las partes. La RDC ha sido concebida para operar y evolucionar en dos fases, partiendo de la certificación de la identidad de los contratantes por la vía electrónica, hasta llegar a la certificación de cada transacción. En la primera fase, los Fedatarios Públicos prestarán diversos servicios de certificación digital sustentados la fe pública ejercida sobre la certificación de la identidad de personas y su reconocimiento expreso sobre el uso de un certificado para firmar digitalmente, o sobre el reconocimiento de la titularidad de un sitio web y las consecuencias legales de operarlo. En la segunda fase, ACERTIA pondrá a disposición de los Fedatarios Públicos las aplicaciones necesarias para la implementación del Protocolo Electrónico (Certificación Transaccional con fe pública), en la medida que las disposiciones legales vayan reconociendo la necesidad de su intervención en determinados actos que puedan ser realizados por la vía electrónica. Pero para ello será necesaria su habilitación. DIRECTORIO DE AGENTES CERTIFICADORES DE ACERTIA, AL MES DE NOVIEMBRE DEL 2001 1 2 Lic. José de Jesús Niño de la Selva Lic. Alfonso Zermeño Infante México, D.F. México, D.F. 283 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 Lic. Ignacio Soto Borja Lic. David Figueroa Márquez Lic. Carlos A Sotelo Regil Hernández Lic. Francisco Xavier Arredondo Galván Lic. Jesús Lozano de la Garza Lic. José Emmanuel Cardoso Pérez Grovas Lic. Víctor Rafael Aguilar Molina Lic. Leonardo A. Beltrán Balderas Lic. Sonia Carlota Pérez Malpica Dr. José Antonio Márquez González Lic. Arturo López Corella Lic. Carlos Montaño Pedraza Lic. José de Jesús Castro Figueroa Lic. Juan Jose Thomas Moreno Lic. Luis Felipe Morales Viesca Lic. Luis Robles Brambila Lic. Ricardo del Monte Núñez C.P. Elio Chávez Martínez Lic. Esther García Alvarez Lic. Gustavo Escamilla Flores Lic. Jaime Romero Anaya Lic. José Enrique Guzmán Quiroga Lic. Juan Martín Alvarez Moreno Lic. Pedro Eduardo Silva Durán Lic. Antonio Maluf Gallardo Lic. Aracelí Hernández de Coss Lic. David F. Dávila Gómez Lic. Felipe A. González Rodríguez Lic. Jorge Antonio Sánchez Cordero Dávila Lic. José Antonio Reyes Duarte Lic. Laura Patricia García Sánchez Lic. J. Eugenio Castañeda Escobedo México, D.F. México, D.F. México, D.F. México, D.F. Monterrey, N.L. México, D.F. México, D.F. México, D.F. Salamanca, Gto. Orizaba, Ver. Mexicali, B.C. Monterrey, N.L. México, D.F. Tijuana, B.C. México, D.F. Guadalajara, Jal. Tijuana, B.C. Mexico, D.F Mexico, D.F Garza García, N. L. México, D.F Monterrey, N. L. México, D.F. México, D.F. Estado de México Estado de México México, D.F. Monclova, Coah. México, D.F. Estado de México Estado de México México, D.F ESQUEMA DE OPERACIÓN QUE PROPONE ACERTIA: Para disponer de una Firma Digital sólo basta seguir los siguientes pasos123: • Generación de Claves: Obtener el software Generador de Requerimientos de Certificación Digital en la sección Documentos de la página web de ACERTIA, ejecutar en la computadora el programa y capturar los datos que la forma solicita, grabar en un diskette el Requerimiento de Certificación e imprimir la Solicitud de Certificación Digital. Con los documentos correspondientes acudir ante un Agente Certificador (Notario o Corredor Público). 284 • Certificación y registro de la Clave Pública: El Agente Certificador (Notario o Corredor Público) verificará la documentación y el Requerimiento de Certificación, dará fe de la identidad del solicitante y de sus manifestaciones, generará su Certificado Digital y lo registrará ante la autoridad que corresponda. • Uso de tu Firma Digital: El agente Certificador (Notario o Corredor Público) entrega el Certificado Digital en un medio magnético, asimismo conserva el testimonio del Acta o Póliza en donde constan los hechos y declaraciones pasados ante su fe. Por lo que solo restaría Instalar en la computadora el certificado digital lo que permitirá usarlo para firmar digitalmente transacciones comerciales. COMENTARIOS AL ESQUEMA DE CYBERNOTARIOS PROPUESTO POR ACERTIA El primer problema que se plantea es el de las funciones del fedatario como intermediario de la empresa ACERTIA para ofrecer al público Certificados Digitales, ya que en la práctica se convierte en un agente comisionista de dicha empresa, actividad que va más allá de las funciones del notario o corredor, en su caso. En segundo lugar una consideración de tipo práctico, que pienso es la que fundamenta el fracaso comercial de dicha empresa, la infraestructura requerida para operar este tipo de cuestiones es muy costosa, lo cual incide directamente en el precio del servicio al cliente, esto es, un certificado digital se comercializa en aproximadamente 600 dólares, poca gente está dispuesta en invertir tal cantidad a la que hay que sumar los honorarios 123 Tomado del esquema de operación que se muestra en: http://www.acertia.com/ 285 del notario o corredor. Razón por la cual ACERITIA de septiembre del 2000 a noviembre del 2001 ha vendido muy pocos certificados digitales. Otra cuestión a considerar es el reconocimiento tanto nacional o internacional a dichos certificados. A continuación presento el esquema que al respecto propone Banco de México, en coordinación con el SAT y la Banca, el cual considero que tiene una mayor aplicación práctica y muchas posibilidades de éxito, ya que los Bancos actualmente cuentan con la infraestructura suficiente para dar el servicio, el número de clientes que lo soportaría sin ser el precio gravoso para ellos y no tienen impedimento legal para ofrecerlos a su clientela. 286 8.- PROYECTO BANXICO: Desde 1998 algunas personas morales (grandes contribuyentes) pueden presentar sus declaraciones anuales al SAT por medios electrónicos firmando electrónicamente con un certificado digital que el propio SAT les proporciona. Para ello el SAT contrató con una empresa proveedora el software y las licencias para fungir como Autoridad Registradora y Certificadora. Lo anterior supone un problema en el ámbito procesal, toda vez que el SAT se convierte en juez y parte (por un lado emite el certificado digital y por otro es la entidad que recibe el documento firmado electrónicamente). Para evitar el problema señalado anteriormente han mantenido contacto con Banxico, pretendiendo que el propio Banxico, alguna nueva sociedad mercantil o una sociedad mercantil existente, previa adecuación de su objeto realice las actividades de Agencia Registradora Central. La finalidad del SAT es que para la presentación de la declaración anual del 2001, todas las personas morales estén en posibilidad de hacerla por medios electrónicos. Como se recordará, el artículo 31 del Código Fiscal de la Federación sufrió en el año 2000 una modificación para precisar que los contribuyentes con pagos provisionales mensuales, obligados a presentar sus declaraciones a través de medios electrónicos, también utilizarán este medio para la presentación de avisos, debiendo cumplir con los requisitos que establezcan las reglas de la Resolución Miscelánea Fiscal. 287 Asimismo, se incluyó la posibilidad de que los demás contribuyentes también pudieran hacer uso de los medios electrónicos para la presentación de declaraciones y avisos, siempre que se cumplieran con los requisitos de las reglas de carácter general expedidas por la Secretaría de Hacienda y Crédito Público. Por otro lado una de las grandes modificaciones al Código Fiscal de la Federación para el año 2000 (como una medida para simplificar el cumplimiento de las obligaciones fiscales), consistió en otorgar a los contribuyentes una nueva forma para comprobar sus adquisiciones, uso o goce temporal de los mismos, o la prestación de servicios recibidos, la cual básicamente residía en obtener la devolución del cheque nominativo o la emisión de estados de cuenta, de las instituciones de crédito o casas de bolsa, aunado a una serie de requisitos. Esta opción entró en vigor en marzo del 2001, no obstante, poco después de dicha entrada en vigor, se publicó la regla 2.4.20. de la Resolución Miscelánea Fiscal 2000, para prorrogar su aplicación hasta el 30 de junio de 2001. En la Décima Sexta Modificación a la Resolución Miscelánea Fiscal de 2000 (Diario Oficial de la Federación del 27 de julio del 2001), se permite a las instituciones de crédito y las casas de bolsa no devolver los cheques nominativos o no emitir los 288 estados de cuenta a que estaban obligados, sin considerarse cometida una infracción por lo que resta de dicho ejercicio. En la ABM se han llegado a acuerdos en el sentido de únicamente considerar como comprobante fiscal al estado de cuenta electrónico expedido por los Bancos y Casas de Bolsa, para lo cual habrá que hacer las reformas y adecuaciones legales necesarias. En el ámbito financiero, el Banco de México cuenta con las atribuciones legales suficientes para implementar y regular el uso de medios electrónicos y sistemas de seguridad en los sistemas de pagos, en las transferencias de fondos, y en la celebración de operaciones activas, pasivas y de servicios de los intermediarios financieros. El sistema de pagos es el conjunto de instrumentos, procedimientos e instituciones que permiten las transferencias de dinero entre los agentes económicos. Un sistema de pagos seguro y eficiente contribuye a la efectividad de la política monetaria, a la estabilidad del sistema financiero y al buen funcionamiento del conjunto de la economía. Un sistema de pagos comprende los pagos efectuados mediante efectivo y los 289 realizados sin efectivo, estos últimos se llevan a cabo a través de los sistemas interbancarios de transferencias de fondos. Con el objeto de que puedan celebrarse operaciones confiables a través de medios electrónicos entre los intermediarios financieros, el Banco de México está promoviendo una infraestructura de seguridad para el uso de medios de identificación en mensajes electrónicos. Dicho esquema se basa en sistemas de criptografía asimétrica a partir de los cuales se crean pares de claves matemáticamente relacionadas entre sí, una de las claves es dada a conocer ampliamente mientras la otra es guardada en secreto. La primera, conocida como clave pública, sirve para verificar que se ha utilizado la clave privada correspondiente. La otra, conocida como clave privada, es la que se utiliza para expresar la voluntad de reconocer el mensaje como propio. Al efecto, se deja huella de la asociación que existe entre la clave pública y la privada en un documento denominado certificado digital, el cual se hace público. Debido al gran número posible de claves públicas, resulta necesario establecer una infraestructura para administrar y distribuir las claves públicas de los usuarios, y garantizar, a través de la expedición de certificados digitales, que la asociación que existe entre una clave pública determinada y su propietario, sea confiable y asociada a un solo individuo. 290 La manera cómo funcionará la Infraestructura Extendida de Seguridad se presenta a continuación: La Agencia Registradora Central será la encargada de supervisar el funcionamiento de la infraestructura, registrar las claves públicas así como autorizar la operación de las demás entidades que forman parte del esquema. De ella dependerán de manera directa la Agencia Certificadora y la Agencia Registradora (ambas funciones las puede desarrollar una sola empresa). La Agencia Certificadora tendrá a su cargo identificar al agente certificador, corroborar la unicidad de las claves, expedir y registrar el certificado, con base en el precertificado que le presenten los agentes certificadores. Los Agentes Certificadores, dependerán de la agencia certificadora y tendrán la función de identificar al usuario, verificar la relación entre claves y expedir el precertificado antes mencionado. Por lo que respecta a la Agencia Registradora, ésta tiene como responsabilidad el registro, publicación y, en su caso, revocación de los certificados. 291 El Banco de México participará, en principio, como Agencia Registradora Central en las operaciones que se celebren con las instituciones de crédito en el SIAC, en específico en el SPEUA y en el SUBAN. Para tal efecto se modificarán los contratos, los manuales de operación y las disposiciones relativas a fin de incorporar la Infraestructura Extendida de Seguridad, para prever la generación de la clave pública y privada de los bancos; las características del software para la generación de las claves; el procedimiento para la obtención del certificado, la manera de registrar la clave pública en el Banco de México, las personas que fungirán como agentes certificadores y los requerimientos técnicos para establecer comunicación con el Banco de México. Con el objeto de evitar premuras en la implementación de la Infraestructura Extendida de Seguridad se prevé un plazo amplio para la entrada en vigor de las nuevas disposiciones. En su primera etapa se tiene contemplado que este sistema comience a operar con pocas instituciones, incorporándose paulatinamente el resto hasta incorporar al cien por ciento de ellas. En la primera etapa quedarían fuera el SICAM, el TIIE-BAN y el OPCIBAN. 292 En cuanto a las operaciones de las instituciones de crédito con su clientela, por el momento el Banco de México no ha emitido disposición alguna para regular el uso de medios de identificación electrónica de las operaciones de la banca con su clientela, lo cual no impide que se desarrollen estos sistemas en virtud de que, como se mencionó, la Ley de Instituciones de Crédito permite a los bancos celebrar operaciones con el público mediante el uso de equipos y sistemas automatizados. Por último, como ya comentamos, Banxico está evaluando la conveniencia de crear una sociedad mercantil o adecuar alguna ya existente para que realice las actividades de Agencia Registradora Central. Esta empresa haría aplicable la Infraestructura Extendida de Seguridad, no sólo al sector financiero, sino también al sector público y privado, hasta en tanto o en lugar de llevar a cabo las reformas legales en materia de firma electrónica y prestadoras de servicios de certificación. 293 9.- PROPUESTA CONCRETA DE REFORMA LEGISLATIVA124 LEY MODELO UNCITRAL Artículo 1. Ámbito de aplicación La presente Ley será aplicable en todos los casos en que se utilicen firmas electrónicas en el contexto* de actividades comerciales**. No derogará ninguna norma jurídica destinada a la protección del consumidor. * La Comisión propone el texto siguiente para los Estados que deseen ampliar el ámbito de aplicación de la presente Ley: “La presente Ley será aplicable en todos los casos en que se utilicen firmas electrónicas, excepto en las situaciones siguientes: [Y].” ** El término “comercial” deberá ser interpretado en forma lata de manera que abarque las cuestiones que dimanen de toda relación de índole comercial, sea o no contractual. Las relaciones de índole comercial comprenden, sin que esta lista sea taxativa, las operaciones siguientes: toda operación comercial de suministro o intercambio de bienes o servicios; acuerdos de distribución; representación o mandato comercial; factoraje (Afactoring@); arrendamiento con opción de compra (Aleasing@); construcción de obras; consultoría; ingeniería; concesión de licencias; inversiones; financiación; banca; seguros; acuerdos o concesiones de explotación; empresas conjuntas y otras formas de cooperación industrial o comercial; transporte de mercancías o de pasajeros por vía aérea, marítima y férrea o por carretera. CÓDIGO DE COMERCIO LIBRO SEGUNDO DEL COMERCIO ELECTRÓNICO TÍTULO II BIS DE LOS ELEMENTOS DE SEGURIDAD PARA EL COMERCIO ELECTRONICO CAPITULO PRIMERO DE LAS FIRMAS ELECTRONICAS Artículo 2. Definiciones Artículo 95. Elementos de seguridad.- Para efectos de este título, los elementos de Para los fines de la presente Ley: seguridad comprenden la firma electrónica, a) Por “firma electrónica” se entenderán los firma electrónica avanzada y la prestación de datos en forma electrónica consignados en un servicios de certificación. mensaje de datos, o adjuntados o lógicamente asociados al mismo que puedan ser utilizados para identificar al firmante en relación con el Artículo 96. Definiciones.- Para los efectos mensaje de datos e indicar que el firmante aprueba la información contenida en el mensaje de las disposiciones del presente título se entenderá por: de datos; I. FIRMA ELECTRÓNICA: A los datos en b) Por “certificado” se entenderá todo mensaje forma electrónica consignados en un de datos u otro registro que confirme el vínculo 124 La propuesta legislativa que se presenta en éste trabajo es la presentada por Grupo GILCE, del cual el autor forma parte, ante la Comisión de Comercio de la Cámara de Diputados de la actual legislatura. 294 de datos u otro registro que confirme el vínculo entre un firmante y los datos de creación de la firma; c) Por “mensaje de datos” se entenderá la información generada, enviada, recibida o archivada por medios electrónicos, ópticos o similares, como pudieran ser, entre otros, el intercambio electrónico de datos (EDI), el correo electrónico, el telegrama, el télex o el telefax; II. d) Por “firmante” se entenderá la persona que posee los datos de creación de la firma y que actúa en nombre propio o de la persona a la que representa; e) Por “prestador de servicios de certificación” se entenderá la persona que expide certificados y puede prestar otros servicios relacionados con las firmas electrónicas; III. f) Por “parte que confía” se entenderá la persona que pueda actuar sobre la base de un certificado o de una firma electrónica. IV. V. VI. VII. VIII. mensaje de datos, o adjuntados o lógicamente asociados al mismo, que puedan ser utilizados para identificar al firmante en relación con el mensaje de datos, en forma equivalente a la firma manuscrita. FIRMA ELECTRONICA AVANZADA: A la firma electrónica que permite la identificación del firmante y ha sido generada bajo su exclusivo control que vincula exclusivamente al mismo con el mensaje de datos al que se adjunta o se asocia, lo que permite que sea detectable cualquier modificación ulterior de éste. La firma digital es una especie de firma electrónica avanzada. CERTIFICADO: Al mensaje de datos u otro registro expedido por un Prestador de Servicios de Certificación, que confirma el vínculo entre la identidad de un firmante y los datos de creación de la firma. DATOS DE CREACIÓN DE FIRMA: son los datos únicos, como códigos o claves criptográficas privadas, que el firmante utiliza para crear la firma electrónica. DESTINATARIO: A quien va dirigido un mensaje de datos, reconoce al firmante y procede en consecuencia sobre la base de un certificado o firma electrónica. Es la parte que confía en el certificado. DISPOSITIVO DE CREACIÓN DE FIRMA: es un programa o sistema informático que sirve para aplicar los datos de creación de firma. FIRMANTE: A la persona que posee los datos de creación de la firma y que actúa en nombre propio o de la persona a la que representa; PRESTADOR DE SERVICIOS DE CERTIFICACIÓN: A quien expide certificados y puede prestar otros servicios relacionados con las firmas electrónicas avanzadas. . Artículo 3. Igualdad de tratamiento de las Artículo 97. Las disposiciones del presente 295 tecnologías para la firma Ninguna de las disposiciones de la presente Ley, con la excepción del artículo 5, será aplicada de modo que excluya, restrinja o prive de efecto jurídico cualquier método para crear una firma electrónica que cumpla los requisitos enunciados en el párrafo 1) del artículo 6 o que cumpla de otro modo los requisitos del derecho aplicable. Artículo 4. Interpretación Código serán aplicadas de modo que no excluyan, restrinjan o priven de efecto jurídico cualquier método para crear una firma electrónica siempre y cuando cumpla con los requisitos enunciados en el Artículo 98 o que cumpla de otro modo los requisitos de la legislación aplicable. 125 1) En la interpretación de la presente Ley habrán de tenerse en cuenta su origen internacional y la necesidad de promover la uniformidad en su aplicación y la observancia de la buena fe. 2) Las cuestiones relativas a materias que se rijan por la presente Ley y que no estén expresamente resueltas en ella serán dirimidas de conformidad con los principios generales en que se inspira. Artículo 5. Modificación mediante acuerdo 126 Las partes podrán hacer excepciones a la presente Ley o modificar sus efectos mediante acuerdo, salvo que ese acuerdo no sea válido o eficaz conforme al derecho aplicable. Artículo 6. Cumplimiento del requisito de firma 1) Cuando la ley exija la firma de una persona, ese requisito quedará cumplido en relación con un mensaje de datos si se utiliza una firma electrónica que, a la luz de todas las circunstancias del caso, incluido cualquier acuerdo aplicable, sea tan fiable como resulte apropiado a los fines para los cuales se generó o comunicó ese mensaje. 2) El párrafo 1) será aplicable tanto si el requisito a que se refiere está expresado en la forma de una obligación como si la ley simplemente prevé consecuencias para el caso de que no haya firma. 3) La firma electrónica se considerará fiable a 125 Artículo 98. Cumplimiento del requisito de firma. Cuando la ley requiera o las partes acuerden la existencia de una firma en relación con un mensaje de datos, se entenderá satisfecho dicho requerimiento si éste ha sido firmado electrónicamente. La firma electrónica se considerará fiable si existe acuerdo previo entre las partes para tal efecto. En ausencia de acuerdo entre las partes y salvo prueba en contrario, la firma electrónica se considerará avanzada y asimismo fiable, si: I. los datos de creación de la firma, en el contexto en que son utilizados, No consideramos prudente incluirlo ya que se encuentra en la legislación adjetiva 126 No consideramos prudente incluirlo ya que se encuentra en la legislación sustantiva (C. De Com. Voluntad de las partes) 296 los efectos del cumplimiento del requisito a que se refiere el párrafo 1) si: e) los datos de creación de la firma, en el contexto en que son utilizados, corresponden exclusivamente al firmante; f) los datos de creación de la firma estaban, en el momento de la firma, bajo el control exclusivo del firmante; g) es posible detectar cualquier alteración de la firma electrónica hecha después del momento de la firma; y h) cuando uno de los objetivos del requisit o legal de firma consista en dar seguridades en cuanto a la integridad de la información a que corresponde, es posible detectar cualquier alteración de esa información hecha después del momento de la firma. 4) Lo dispuesto en el párrafo 3) se entenderá sin perjuicio de la posibilidad de que cualquier persona: a) demuestre de cualquier otra manera, a los efectos de cumplir el requisito a que se refiere el párrafo 1), la fiabilidad de una firma electrónica; o b) aduzca pruebas de que una firma electrónica n o es fiable. 5) Lo dispuesto en el presente artículo no será aplicable a: [Y]. Artículo 7. Cumplimiento de lo dispuesto en el artículo 6 1) [La persona, el órgano o la entidad, del sector público o privado, a que el Estado promulgante haya expresamente atribuido competencia] podrá determinar qué firmas electrónicas cumplen lo dispuesto en el artículo 6. 2) La determinación que se haga con arreglo al párrafo 1) deberá ser compatible con las normas o criterios internacionales reconocidos. 3) Lo dispuesto en el presente artículo se entenderá sin perjuicio de la aplicación de las normas del derecho internacional privado. II. III. IV. V. corresponden exclusivamente al firmante; los datos de creación de la firma estaban, en el momento de la firma, bajo el control exclusivo del firmante; es posible detectar cualquier alteración de la firma electrónica hecha después del momento de la firma; y es posible detectar cualquier alteración de esa información contenida en un mensaje de datos hecha después del momento de la firma. cuenta con un certificado expedido por un Prestador de Servicios de Certificación o con un medio que confirme el vínculo entre la identidad de un firmante y los datos de creación de su firma. Artículo 99. Cumplimiento de lo dispuesto en el Artículo anterior. La [Autoridad Gubernamental correspondiente] podrá determinar qué firmas electrónicas cumplen los requerimientos técnicos de lo dispuesto en el Artículo 98. La determinación que se haga, con arreglo al párrafo anterior, deberá ser compatible con las normas o criterios internacionales reconocidos. Lo dispuesto en el presente Artículo se entenderá sin perjuicio de la aplicación de las normas del derecho internacional privado 127 Artículo 8. Proceder del firmante Artículo 100. Responsabilidades del 1) Cuando puedan utilizarse datos de creación uso de la firma electrónica y de la firma de firmas para crear una firma con efectos 127 Consideramos que sería sobreregulatorio quien cree confía. La forma de actuar depende del firmante y si actúa sin diligencia de todas maneras es responsable. Adverbios de difícil aplicabilidad en nuestro 297 de firmas para crear una firma con efectos electrónica avanzada. Será responsabilidad jurídicos, cada firmante deberá: del firmante, usuario de firmas electrónicas: a) actuar con diligencia razonable para evitar la I. Conservar sus datos y dispositivos de utilización no autorizada de sus datos de creación de firma (Clave Privada) y creación de la firma; establecer los medios razonables para b) dar aviso sin dilación indebida a cualquier persona que, según pueda razonablemente evitar la utilización no autorizada de sus prever, pueda considerar fiable la firma datos y dispositivos de creación de la electrónica o prestar servicios que la apoyen si: firma; i) sabe que los datos de creación de la firma han II. Difundir, en su caso, su Clave pública, quedado en entredicho; o que permita al Destinatario reconocer al ii) las circunstancias de que tiene conocimiento dan lugar a un riesgo considerable de que los firmante y proceder en consecuencia datos de creación de la firma hayan quedado en sobre la base de un certificado o firma entredicho; electrónica. c) cuando se emplee un certificado para refrendar la firma electrónica, actuar con III. Reportar al prestador de servicios de certificación cualquier anomalía que diligencia razonable para cerciorarse de que todas las declaraciones que haya hecho en descubra o cualquier intento de violación relación con su ciclo vital o que hayan de o falsificación, así como su revocación, consignarse en él sean exactas y cabales. en su caso. 2) El firmante incurrirá en responsabilidad por el incumplimiento de los requisitos enunciados en el párrafo 1). Artículo 9. Proceder del prestador de servicios de certificación 1) Cuando un prestador de servicios de certificación preste servicios para apoyar una firma electrónica que pueda utilizarse como firma con efectos jurídicos, ese prestador de servicios de certificación deberá: a) actuar de conformidad con las declaraciones que haga respecto de sus normas y prácticas; b) actuar con diligencia razonable para cerciorarse de que todas las declaraciones importantes que haya hecho en relación con el ciclo vital del certificado o que estén consignadas en él sean exactas y cabales; c) proporcionar medios de acceso razonablemente fácil que permitan a la parte que confía en el certificado determinar mediante éste: i) la identidad del prestador de servicios de certificación; ii) que el firmante nombrado en el certificado tenía bajo su control los datos de creación de la CAPITULO SEGUNDO DE LOS PRESTADORES DE SERVICIOS DE CERTIFICACIÓN Artículo 101. Podrán ser Prestadores de Servicios de Certificación los Notarios Públicos, Corredores Públicos, Personas Morales o Instituciones Públicas, constituidas y existentes conforme a la ley, que incluyan en su objeto o estén autorizadas para ejercer la función de prestación de servicios de certificación. Los Prestadores de Servicios de Certificación, podrán realizar cualesquiera o todas de las siguientes actividades: a) Verificación de la identidad de los usuarios y vinculación de los medios de identificación con su clave pública b) Identificación del prestador de servicios de certificación a que se refiere el párrafo anterior y los datos de creación de la firma d l i sistema jurídico. Podría proceder al respecto una mención Consumidor. en la Ley Federal de Protección al 298 firma en el momento en que se expidió el certificado; iii) que los datos de creación de la firma eran válidos en la fecha en que se expidió el certificado o antes de ella; d) proporcionar medios de acceso razonablemente fácil que, según proceda, permitan a la parte que confía en el certificado determinar mediante éste o de otra manera: i) el método utilizado para identificar al firmante; ii) cualquier limitación en los fines o el valor respecto de los cuales puedan utilizarse los datos de creación de la firma o el certificado; iii) si los datos de creación de la firma son válidos y no están en entredicho; iv) cualquier limitación en cuanto al ámbito o el alcance de la responsabilidad indicada por el prestador de servicios de certificación; v) si existe un medio para que el firmante dé aviso de que los datos de creación de la firma están en entredicho, conforme a lo dispuesto en el apartado b) del párrafo 1) del artículo 8; vi) si se ofrece un servicio de revocación oportuna del cert ificado; e) cuando se ofrezcan servicios conforme al inciso v) del apartado d), proporcionar un medio para que el firmante dé aviso conforme al apartado b) del párrafo 1) del artículo 8 y, cuando se ofrezcan servicios en virtud del inciso vi) del apartado d), cerciorarse de que exista un servicio de revocación oportuna del certificado; f) utilizar, al prestar sus servicios, sistemas, procedimientos y recursos humanos fiables. 2) El prestador de servicios de certificación incurrirá en responsabilidad por el incumplimiento de los requisitos enunciados en el párrafo 1). del usuario. c) Identificación del prestador de servicios de certificación a que se refiere el párrafo anterior, registro de la clave pública del usuario y expedición del certificado correspondiente Para ser prestador de servicios de certificación se requiere acreditación en el registro de [Autoridad Gubernamental correspondiente] la cual no podrá ser negada si el solicitante cumple con los siguientes requisitos: I. Contar con los elementos humanos, materiales, económicos y tecnológicos requeridos para prestar el servicio, garantizando la seguridad de la información y su confidencialidad, los cuales serán determinados en forma específica en un Reglamento que al efecto se expida por la [Autoridad Gubernamental correspondiente]. II. Contar con procedimientos definidos y específicos para la tramitación del certificado, las solicitudes de certificados, y la conservación de registros. III. Establecer declaraciones sobre sus normas y prácticas, las cuales hace del conocimiento del usuario y el destinatario. IV. Los representantes legales y personal administrativo deberán acreditar no haber sido condenados por delito contra la propiedad de las personas o que merezca pena corporal o que por cualquier motivo hubieren sido inhabilitados para desempeñar un puesto en el servicio público, en el sistema financiero o para ejercer el comercio. V. Contar con Seguro y/o Fianza vigente por el monto y condiciones que se determine en forma general en un Reglamento que al efecto se expida [Autoridad Gubernamental 299 correspondiente]. medios de acceso que permitan al destinatario en el certificado determinar: a) la identidad del prestador de servicios de certificación; b) que el firmante nombrado en el certificado tenía bajo su control el dispositivo y los datos de creación de la firma en el momento en que se expidió el certificado; c) que los datos de creación de la firma eran válidos en la fecha en que se expidió el certificado; d) el método utilizado para identificar al firmante; e) cualquier limitación en los fines o el valor respecto de los cuales puedan utilizarse los datos de creación de la firma o el certificado; f) si los datos de creación de la firma son válidos y no han sido de alguna manera impugnados ante la [Autoridad Gubernamental correspondiente]); g) cualquier limitación en cuanto al ámbito o el alcance de la responsabilidad indicada por el prestador de servicios de certificación; h) si existe un medio para que el firmante de aviso de que los datos de creación de la firma han sido de alguna manera impugnados ante la [Autoridad Gubernamental correspondiente); i) si se ofrece un servicio de revocación oportuna del certificado; VII. Disponibilidad de información para los firmantes nombrados en el certificado y para los destinatarios o las partes que confíen en éste. VIII. Establecer por escrito su conformidad para ser sujeto a Auditoría periódica por parte de la [Autoridad Gubernamental correspondiente] VI. Proporcionar 300 IX. Registrar su clave pública ante el registro de la [Autoridad Gubernamental correspondiente] Artículo 102. Los prestadores de servicios de certificación deben cumplir las siguientes obligaciones: I. Comprobar por sí o por medio de una persona física o moral que actúe en nombre y por cuenta suyos, la identidad y cualesquiera circunstancias personales de los solicitantes de los certificados relevantes para el fin propio de éstos, utilizando cualquiera de los medios admitidos en derecho. II. Poner a disposición del firmante los dispositivos de creación y de verificación de firma electrónica. III. No almacenar ni copiar los datos de creación de firma de la persona a la que hayan prestado sus servicios, salvo que ésta lo solicite. IV. Informar, antes de la emisión de un certificado, a la persona que solicite sus servicios, de su precio, de las condiciones precisas para la utilización del certificado, de sus limitaciones de uso y de la forma en que garantiza su posible responsabilidad patrimonial. V. Mantener un registro de certificados, en el que quedará constancia de los emitidos y figurarán las circunstancias que afecten a la suspensión, perdida o revocación de vigencia de sus efectos. A dicho registro podrá accederse por medios telemáticos y su contenido estará a disposición de las personas que lo soliciten, cuando así lo autorice el firmante. VI. Guardar confidencialidad respecto de sus operaciones. En el caso de cesar en su actividad, los prestadores de servicios de certificación deberán comunicarlo a [Autoridad Gubernamental correspondiente] con cuando menos 301 _____ de anticipación, en los términos del Reglamento correspondiente. En el caso de cesar en su actividad, los prestadores de servicios de certificación deberán comunicarlo a [Autoridad Gubernamental correspondiente] con cuando menos _____ de anticipación, en los términos del Reglamento correspondiente. Artículo 103. Los Prestadores de Servicios de Certificación Responderán por los daños y perjuicios que causen a cualquier persona, en el ejercicio de su actividad, cuando incumplan las obligaciones que les impone la ley, el Reglamento; o actúen con dolo, negligencia o impericia. La responsabilidad de los fedatarios públicos se regirá por las leyes que norman su actuación. Lo dispuesto en este Artículo, se entiende sin perjuicio de lo establecido en la legislación sobre protección de los consumidores y usuarios. . Igualmente podrán ser responsables de los ilícitos en que incurran en los términos de la legislación penal. Artículo 10. Fiabilidad Artículo 104. Los certificados deberán A los efectos del apartado f) del párrafo 1) del contener: artículo 9, para determinar si los sistemas, I. La indicación de que se expiden como procedimientos o recursos humanos utilizados tales. por un prestador de servicios de certificación II. El código de identificación único del son fiables, y en qué medida lo son, podrán tenerse en cuenta los factores siguientes: certificado. a) los recursos humanos y financieros, incluida III. La identificación del prestador de la existencia de un activo; servicios de certificación que expide el b) la calidad de los sistemas de equipo y certificado, indicando su nombre o razón programas informáticos; social, su domicilio, su dirección de c) los procedimientos para la tramitación del certificado y las solicitudes de certificados, y la correo electrónico, su Registro Federal conservación de registros; de Contribuyentes y, en su caso, sus d) la disponibilidad de información para los datos de acreditación. firmantes nombrados en el certificado y para las IV. La firma electrónica avanzada del partes que confíen en éste; prestador de servicios de certificación e) la periodicidad y el alcance de la auditoría por un órgano independiente; que expide el certificado. f) la existencia de una declaración del Estado, V. La identificación del firmante, por su de un órgano de acreditación o del prestador de nombre y apellidos o a través de un servicios de certificación respecto del seudónimo que permita la identificación cumplimiento o la existencia de los factores que 302 anteceden; y g) cualesquiera otros factores pertinentes. inequívoca de quien lo utiliza. VI. En los supuestos de representación, la VII. VIII. IX. X. indicación del documento que acredite las facultades del firmante para actuar en nombre de la persona física o jurídica a la que represente. Los datos de verificación de firma que correspondan a los datos de creación de firma que se encuentren bajo el control del firmante. El comienzo y el fin del período de validez del certificado. Los límites de uso del certificado o límites del valor de las transacciones para las que puede utilizarse, si se prevén. En caso de firma mancomunada, la forma y términos en que la misma debe quedar completa. Artículo 105. Representación de personas morales en el uso de certificados. Los certificados emitidos a favor de personas morales, deberán cubrir además los siguientes requisitos:. I. Solo podrán solicitar certificados a favor de personas morales sus administradores, representantes legales y apoderados con poder bastante a estos efectos. II. En el caso de certificados, la identidad y el poder de representación de las personas que soliciten certificados a nombre de personas morales será verificado conforme a la legislación aplicable. III. El uso de los datos de creación de firma y de los certificados expedidos a nombre de personas morales corresponderá a una sola persona, cuyo nombre y apellidos figurarán en el certificado emitido a nombre de la persona moral. IV. El certificado de la persona moral deberá ser revocado cuando la persona física identificada en el certificado perdiera su 303 capacidad para utlilizar los datos de creación de firma de la persona moral. V. Las personas autorizadas para utilizar los datos de creación de firma de una persona moral se responsabilizarán del correcto uso de la firma y del certificado de la misma y de cualquier daño o perjuicio que se ocasione a ésta por el incumplimiento de las obligaciones que le sean exigibles con arreglo a lo dispuesto en éste Código y en el Reglamento correspondiente. Los administradores sociales y demás representantes a que se refiere éste Artículo serán responsables del cumplimiento de las obligaciones que le sean exigibles con arreglo a lo dispuesto en éste Código y en el Reglamento correspondiente. Artículo 106. Los certificados quedarán sin efecto, si concurre alguna de las siguientes circunstancias I. Expiración del período de validez del certificado, el cual no podrá ser superior a ___ años, contados a partir de la fecha en que se hubieren expedido. Antes de que concluya el periodo de validez del certificado podrá el firmante refrendarlo ante el Prestador de Servicios de Certificación. II. Revocación por el firmante, por la persona física o moral representada por éste o por un tercero autorizado. III. Pérdida o inutilización por daños del dispositivo en el que se contenga dicho certificado. IV. Resolución judicial o administrativa que lo ordene. Artículo 11. Proceder de la parte que confía en el certificado Serán de cargo de la parte que confía en el certificado las consecuencias jurídicas que entrañe el hecho de que no haya tomado 304 medidas razonables para: a) verificar la fiabilidad de la firma electrónica; o b) cuando la firma electrónica esté refrendada por un certificado: i) verificar la validez, suspensión o revocación del certificado; y ii) tener en cuenta cualquier limitación en relación con el certificado. CAPITULO TERCERO RECONOCIMIENTO DE CERTIFICADOS Y FIRMAS ELECTRÓNICAS EXTRANJERAS Artículo 12. Reconocimiento de certificados y firmas electrónicas extranjeros 1) Al determinar si un certificado o una firma electrónica produce efectos jurídicos, o en qué medida los produce, no se tomará en consideración: a) el lugar en que se haya expedido el certificado o en que se haya creado o utilizado la firma electrónica; ni b) el lugar en que se encuentre el establecimiento del expedidor o firmante. 2) Todo certificado expedido fuera [del Estado promulgante] producirá los mismos efectos jurídicos en [el Estado promulgante] que todo certificado expedido en [el Estado promulgante] si presenta un grado de fiabilidad sustancialmente equivalente. 3) Toda firma electrónica creada o utilizada fuera [del Estado promulgante] producirá los mismos efectos jurídicos en [el Estado promulgante] que toda firma electrónica creada o utilizada en [el Estado promulgante] si presenta un grado de fiabilidad sustancialmente equivalente. 4) A efectos de determinar si un certificado o una firma electrónica presentan un grado de fiabilidad sustancialmente equivalente para los fines de párrafo 2), o del párrafo 3), se tomarán en consideración las normas internacionales reconocidas y cualquier otro factor pertinente. 5) Cuando, sin perjuicio de lo dispuesto en los párrafos 2), 3) y 4), las partes acuerden entre sí la utilización de determinados tipos de firmas electrónicas y certificados, se reconocerá que ese acuerdo es suficiente a efectos del reconocimiento transfronterizo, salvo que ese acuerdo no sea válido o eficaz conforme al derecho aplicable. Artículo 107. Los certificados que los prestadores de servicios de certificación establecidos en otros Países se considerarán equivalentes a los expedidos por los establecidos en México, siempre que se cumplan alguna de las siguientes condiciones: I. que el prestador de servicios reúna los requisitos establecidos por el Artículo 101 y haya sido acreditado por la Autoridad Gubernamental correspondiente de su país de origen; y II. que el certificado expedido por el prestador de servicios de certificación extranjero cumpla los requisitos establecidos por el Artículo 98; o bien, se acredite, que el certificado o el prestador de servicios estén reconocidos en virtud de tratado o un acuerdo bilateral o multilateral entre México y otros países u organizaciones internacionales.. Lo dispuesto anteriormente estará sujeto al reconocimiento de la reciprocidad internacional respecto de los certificados que se expidan en México cumpliendo con las disposiciones del presente Código CAPÍTULO CUARTO 305 DE LAS SANCIONES E INFRACCIONES Artículo 108. El Prestador de Servicios de Certificación que incumpla con las obligaciones que se le imponen en el presente Código, previa garantía de audiencia, tomando en cuenta la gravedad de la situación o su reincidencia, podrá ser sancionado por la [Autoridad Gubernamental correspondiente] con suspensión temporal o definitiva de sus funciones, con la consecuente cancelación de su registro, independientemente de las acciones civiles o penales que pudieren corresponder. 306 10.- CONCLUSIONES I.- Internet es un medio, no un fin en sí mismo. El comercio no deja de ser comercio aún cuando tenga el calificativo de electrónico. II.- México cuenta con legislación que reconoce la validez jurídica del contrato electrónico, su posibilidad de exigibilidad judicial, medios probatorios y criterios para su valoración en juicio. III.- Para que un mensaje de datos en el que se consignen contratos, convenios o compromisos que den nacimiento a derechos y obligaciones, pueda considerarse legalmente válido, es necesario asegurar que la información en él contenida reúna las siguientes características: INTEGRIDAD: Entendida en dos vertientes, la primera respecto de la fiabilidad del método para generarla, comunicarla, recibirla o archivarla. Y la segunda como la forma de garantizar que la información en él contenida no fue alterada. Al respecto la Secretaría de Economía elaboró un proyecto de Norma Oficial Mexicana que establecerá los requisitos que deban observarse para la conservación de mensajes de datos, con fundamento en lo dispuesto por el artículo 49 segundo párrafo del Código de Comercio. ATRIBUCIÓN: 307 La forma en que podemos garantizar que las partes que se obligan en la relación jurídica son quienes dicen ser y expresan su voluntad libre de vicios. Esta atribución a las personas obligadas en la relación jurídica que se pretende formalizar en un mensaje de datos, no es más que una “FIRMA ELECTRÓNICA”. ACCESIBILIDAD: Se refiere a que el contenido de un mensaje de datos en el que se consignen contratos, convenios o compromisos que den nacimiento a derechos y obligaciones, pueda estar disponible al usuario (emisor, receptor, juez, auditor, autoridades, etc.) para su ulterior consulta, siempre y cuando reúna las dos características anteriormente anotadas. Para lo cual deberá establecerse en la legislación federal que al efecto deberá emitirse la forma de presentar a “los usuarios” estos mensajes de datos, la cual podría hacerse previa certificación de atribución e integridad por parte del prestador de servicios de certificación. IV.- Es de hacer notar la falta de técnica legislativa que se hace patente en la redacción del primer párrafo del artículo 49 del Código de Comercio, que señala: “Los comerciantes están obligados a conservar por un plazo mínimo de diez años los originales de aquellas cartas, telegramas, mensajes de datos o cualesquiera otros documentos en que se consignen contratos, convenios o compromisos que den nacimiento a derechos y obligaciones. “ , toda vez que el Código Civil Federal en su artículo 1793 establece que “los convenios que producen o transfieren las obligaciones y derechos, toman el nombre de contratos”. 308 V.- Actualmente se está trabajando en algunos proyectos legislativos como son las reformas al Código de Comercio en materia de firmas electrónicas y prestadores de servicios de certificación, Reformas en materia penal en lo relativo al “crimen electrónico”, Protección de datos personales, etc. VI.- En cuanto a la firma es importante destacar que su función más importante es la de ser el instrumento por medio del cual el firmante expresa su voluntad, es la exteriorización de la declaración de voluntad de una persona. Esta exteriorización de la declaración de voluntad puede hacerse por medios electrónicos, siempre que legalmente se atribuya a el firmante, es aquí donde cobra fuerza la función identificativa de la misma, para dar certeza de que es él y no un tercero quien asume la obligación. VII.- La firma electrónica, como comentamos, podemos clasificarla de la siguiente manera: SIMPLE definida como los datos en forma electrónica consignados en un mensaje de datos, o adjuntados o lógicamente asociados al mismo, que puedan ser utilizados para identificar al firmante en relación con el mensaje de datos (partiendo de la presunción, en materia mercantil, de que el mensaje ha sido enviado usando medios de identificación como claves o contraseñas por ambas partes conocidas, para lo cual se requerirá de un acuerdo previo y firmado en forma autógrafa por las partes) o AVANZADA que podemos conceptuar como la firma electrónica que permite la identificación del firmante y ha sido generada bajo su exclusivo control que vincula exclusivamente al mismo con el mensaje de datos al que se adjunta o se asocia, lo que 309 permite que sea detectable cualquier modificación ulterior de éste (entendida como proceso electrónico que permite al receptor de un mensaje de datos identificar formalmente a su autor, el cual mantiene bajo su exclusivo control los medios para crear dicha firma, de manera que esté vinculada únicamente a él y a los datos a que se refiere el mensaje, permitiendo detectar cualquier modificación ulterior al contenido del mismo, garantizando así la identidad del titular y que éste no pueda desconocer la autoría del documento. VIII.- Para lo anterior será necesario que se expida legislación federal relativa a la firma electrónica “avanzada” en la que se regule la actividad de los prestadores de servicios de certificación, a los propios certificados de firmas electrónicas, así como la admisibilidad y forma de presentar como prueba en juicio a los mensajes de datos firmados y se establezcan los requisitos técnicos necesarios. IX.- Debemos distinguir entre lo que comúnmente se denomina “firma digital” y la “firma electrónica avanzada”, ya que la primera es una especie de la segunda, esto es, la firma digital es una firma electrónica avanzada elaborada bajo los estándares de la tecnología PKI. Esto quiere decir que denominarla firma digital nos limitaría a una tecnología de encriptación y violaríamos el principio internacional de Neutralidad Tecnológica. X.- Por último presentamos un proyecto concreto de reformas al Código de Comercio en materia de firma electrónica y prestadores de servicios de certificación. 310 BIBLIOGRAFÍA Y LEGISLACIÓN I. A Framework for Global Electronic Commerce, Smith & Lyons Information Technology page, 1999 II. Acosta Romero, Miguel; “Nuevo Derecho Mercantil”; capítulo XVIII: La firma en el derecho mercantil mexicano; Editorial Porrúa; Primera Edición; 15 de agosto del 2000. III. Amparo directo 4019/1956. Dolores Guadarrama Vda. de Reza. Resuelto el 17 de julio de 1957, por unanimidad de 5 votos. Ponente: ministro García Rojas. Secretario: Lic. Alfonso Arbitia A. IV. Amparo Directo 435/57. Jorge Suárez D’Alessio. Resuelto 11 de marzo de 1959, por unanimidad de 4 votos. Ausente el señor maestro García Rojas. Ponente: el señor ministro López Lira, 3ª. Sala. Informe 1959, p. 100. V. Amparo directo 9106/1961. Agustín Vigueras Téllez Such, enero 7 de 1963. Unanimidad de 4 votos. Ponente: ministro José Castro Estrada. 38 Sala. Sexta época. Volumen LXVII, Cuarta parte (38 Sala. Boletín 1957, p. 492). VI. Baltierra Alfredo, tesis para obtener el título de licenciado en derecho, La firma en el Derecho Bancario Mexicano Facultad de Derecho de la UNAM, 1973. VII. Barrios Garrido, Gabriela y otros, “Internet y Derecho en México”, Editorial Mc. Graw Hill, 1999 VIII. Barzallo, José Luis. “La firma digital”, Quito – Ecuador. sbarzal@uio.satnet.net IX. Benjamín Conway, Outrage in Cyberspace: CompuServe and the GIF Patent Harvard Business School Publishing; Boston, 2000. 311 X. Bolio A. Ernesto y Llaguno. Jorge A. Revista Istmo número 250 Septiembre – Octubre del 2000, artículo Creatividad e Innovación en Internet. XI. Bradley Smith y Wan-go Wen, China a History in Art. Windfall & Co., 1972, Carden City, N. Y., U.S.A., XII. Bravo Machado, Antonio: Seguridad en transacciones por internet; Universidad Panamericana; Tesis para obtener el título de licenciado en derecho; 2001 XIII. Cameron, Deb. “The Internet, a Global Business Opportunity”, Computer Research Corp. Journal, EUA, 1995, p. 136. XIV. Carroll, J. y Broadhead, R., “Canadian Internet Handbook”, Editorial Prentice Hall, 1995, Scarborough, XV. Centre for Asian Business Cases, Multi-jurisdictional Compliance in Cyberspace.School of Business, The University of Hong Kong; Hong Kong, 2000. XVI. Circular BANXICO 2019/95 y 1098/98 XVII. Clarke, R.A., “A Normative Regulatory Framework for Computer Matching”, The John Marshall Journal of Computer & Information Law, vol. XIII, 1995. XVIII. Código Civil para el Distrito Federal, en Materia Común y para toda la República en Materia Federal (Ahora Código Civil Federal) XIX. Código de Comercio XX. Código Federal de Procedimientos Civiles XXI. Código Fiscal de la Federación XXII. Constitución Política de los Estados Unidos Mexicanos XXIII. Decreto por el que se reforma y adiciona la Ley Federal de Instituciones de Fianzas, Diario Oficial, 29 de diciembre de 1981. 312 XXIV. Diario Oficial de la Federación 6/10/2000: CONVENIO de Colaboración para establecer los mecanismos de emisión y administración de los certificados digitales, que se utilizarán para acceder al Registro Público de Comercio y para realizar transacciones comerciales, que celebran la Secretaría de Comercio y Fomento Industrial y la Asociación Nacional del NotariadoMexicano, A.C. XXV. Diario Oficial de la Federación 6/10/2000: CONVENIO de Colaboración para establecer los mecanismos de emisión y administración de los certificados digitales, que se utilizarán para acceder al Registro Público de Comercio y para realizar transacciones comerciales, que celebran la Secretaría de Comercio y Fomento Industrial y el Colegio Nacional de Correduría Pública Mexicana, A.C. XXVI. Diario Oficial de la Federación 29/05/2000: Decreto por el que se reforman y adicionan diversas disposiciones del Código Civil para el Distrito Federal en Materia Común y para toda la República en Materia Federal (ahora Código Civil Federal), del Código Federal de Procedimientos Civiles, del Código de Comercio y de la Ley Federal de Protección al Consumidor: XXVII. Diario Oficial de la Federación 31/05/2001: CONVENIO de Colaboración para participar en los programas de modernización registral y de economía digital, que celebran la Secretaría de Economía y la Asociación Nacional del Notariado Mexicano, A.C. XXVIII. Dictamen de la Comisión de Reforma de Códigos recaído sobre el proyecto de ley 5070-99 CR que regula las firmas electrónicas, suscrito por el congresista Jorge Muñiz Ziches 313 XXIX. Dictamen del Decreto de reformas en materia de comercio electrónico publicado en el Diario Oficial de la Federación el 29 de Mayo de 2000. XXX. Edgardo A. Villalobos A., En Panamá: ¿está protegida la intimidad por violaciones a través de la informática?; Universidad Pontificia Comillas, Encuentros sobre Informática y Derecho; Madrid, 1997-1998. XXXI. Emery, Vince, “How to Grow your Business on the Net”, Edit. Coriolis Group/IDG, 1996. XXXII. Enciclopedia Jurídica Omeba, Tomo XII, Editorial Bibliográfica Argentina, pp. 290293 XXXIII. Enciclopedia Jurídica Omeba. Tomo primero, p. 958. Editorial Bibliográfica Argentina. Julio, 1968. XXXIV. Esteban María Teresa; Delitos Cibernéticos; trabajo presentado en la Universidad Panamericana; 2001 XXXV. Federal Communications Act of 1934, cap. 652, 48 stat. 1064 (1934), reformado en 47 USC (UNITED STATES CODE). XXXVI. Fernández Flores, Rafael, “La WWW una telaraña que se teje a plena luz del día”, en la revista RED, no. 70, año VI, julio de 1996, XXXVII. Floris Margadant G.. “Derecho Privado Romano” 4ª ed. Editorial Porrúa. 1993 XXXVIII. García Varela Antonio. Stop Gates. Now,. Editorial Foca ;Investigación. España. 1999. XXXIX. Godwin, M., “The Law of the Net: Problems and Prospects”, Internet World, 1993, XL. Graham Allan, Baker & McKenzie, Electronic Trade: Contractual Niceties in Hyperspace,, London, October 1996, en: www.bakerinfo.com 314 XLI. Guibourg, Ricardo y otros, “Manual de Informática Jurídica”, Editorial Astrea, p. 57, Buenos Aires, 1996. XLII. Information Infraestructure Technology and applications (IITA) Task Group, National Coordination Office for High Performance Computing and Communications, February 1994, XLIII. Iniciativa de la Ley de Protección de Datos Personales, XLIV. Kahin, Brian, Keller, James “Public Acess to the Internet”, Institute of Technology Press, 1996. XLV. Katsh, M. Ethan, Cybertime, Cyberspace and Cyberlaw, 1995, J. Online L. XLVI. Katsh, M. Ethan, Rights, Camera, Action: Cyberspatial Settings and the First Ammendment, 104 Yale L.J. 1681, (1995). XLVII. Katsh, M. Ethan, The Electronic Media and the Transformation of the Law, Oxford University Press, New York, 1989, Introduction, p. 11/12. XLVIII. Legislación Bancaria, serie Leyes y Códigos de México, Colección Porrúa, México, 1997 XLIX. Ley de Instituciones de Crédito L. Ley del Banco de México LI. Ley del Procedimiento Administrativo del Distrito Federal LII. Ley Federal de Instituciones de Fianzas LIII. Ley Federal sobre Metrología y Normalización LIV. Ley General de Instituciones de Crédito y Organizaciones Auxiliares (abrogada) LV. Ley General de Instituciones y Sociedades Mutualistas de Seguros LVI. Ley General de Organizaciones y Actividades Auxiliares de Crédito 315 LVII. Ley General de Sociedades Mercantiles LVIII. Ley General de Títulos y Operaciones de Crédito LIX. Ley sobre el Contrato de Seguro LX. Lima de la Luz, María. "Delitos Electrónicos" en Criminalia. México. Academia Mexicana de Ciencias Penales. Ed. Porrúa. No. 1-6. Año L. Enero-Junio 1984 LXI. López Ayllón, Sergio. EL DERECHO A LA INFORMACIÓN. Porrúa. México, 1984. LXII. López de Oñate “La certeza del Derecho Digital” Editorial Milano, España, 1999 LXIII. Martínez Godínez Alfonso: La contratación Jurídica a través de medios electrónicos; Universidad Panamericana; tesis para optar por el título de licenciado en derecho; 2000 LXIV. Meadows, James E., “The Telecommunications Act of 1996: Rules of the Road for the New Highways”, 1996, Revista The Computer Lawyer, USA. LXV. Montesinos Antonio. La Sociedad de la Información e Internet. Editorial San Pablo. España. 1999. LXVI. Mustapich, J. M., Tratado de Derecho Notarial, tomo I. LXVII. Nueva Enciclopedia Sopena. Diccionario ilustrado de la Lengua Española. Tomo II, p. 1044. Editorial Ramón Sopena, S. A. Provenza 95, Barcelona, 1955. LXVIII. O.Hance, “Leyes y Negocios en Internet” Editorial Comares, España, 1998 LXIX. Peñalosa Emilio “La protección de datos personales” Editorial Díaz de Santos, España, 1999 LXX. Planiol y Ripert, Traité Pratique de Droit Civil Français, tomo VI, núm. 1458. LXXI. Planiol, M., Traité Elémentaire de Droit Civil, tomo II, núm. 62. 316 LXXII. Ralph H. Folsom, et al, International Business Transactions; West Goup, Cuarta edición; St. Paul Minn, 1999. LXXIII. Reidinger, Paul, Lost in Cyberspace, ABA JOURNAL agosto 1995, p. 104, reseña del libro de KATSH, Law in the Digital World. LXXIV. Remer, Daniel y Dunaway, Robert. LEGAL CARE FOR YOUR SOFTWARE. Nolo Press, Berkeley, Ca., 1984. LXXV. Renato Jijena Leiva. Universidad de Chile; Federación Iberoamericana de Asociaciones de Informática y Derecho (FIADI) Firma Digital y Entidades Certificadoras. Regulación Legal en la Administración Pública Chilena. LXXVI. Revista jurídica LA LEY, de Buenos Aires, Argentina, en el Vol. 115 de mayo de 1996. LXXVII. Ríos Estavillo, Juan José, Derecho e Informática;UNAM, Primera edición; México, D.F., 1997. LXXVIII. Rodríguez Adrados Antonio. La Firma Electrónica: Comunicación discutida en sesión del pleno de académicos de número el día 5 de junio del 2000. Real Academia de Jurisprudencia y Legislación; publicada en sus Anales 2000. LXXIX. Sanders, Donald. Informática. Presente y Futuro. McGraw-Hill. México, 1985. LXXX. Secretaría de Comercio y Fomento Industrial, “Tratado de Libre Comercio de América del Norte”, México, 1996, LXXXI. Stanton, Fundamentos de Marketing; Editorial Mc Graw Hill, Décimo primera edición. México, D.F., 2000. LXXXII. Stroke Paul, “La Firma Electrónica” Editorial Cono Sur, España, 2000 LXXXIII. Téllez Valdés, Julio. Derecho Informático. McGraw-Hill. México, 1995. 317 LXXXIV. Téllez Valdez, Julio. Derecho Informático. 2a. ed. México. Ed. Mc Graw Hill 1996. LXXXV. The Computer Law Association, “The Internet and Business: A Lawyer’s Guide to the Emerging Legal Issues”, 1997, Fairfax. LXXXVI. The Internet Business Guide: Riding the Information Superhighway to Profit, R. Resnick y D. Taylor, Editorial Sams Publishing, 1994, LXXXVII. The Whole Internet, Users Guide and Catalog, Ed Krol, Editorial O’Reilly & Associates, Inc. United States of America. LXXXVIII. Thomas J. Smedinghoff, Online Law The SPA's legal guide to doing business on the Internet; Addison-Wesley Developers Press, Primera edición; Estados Unidos de America, 1996. LXXXIX. Tomas y Valente Francisco “El orden Jurídico Medieval” Madrid, Marcial Pons, Ediciones Jurídicas y Sociales, S.A. 1967 XC. V. Carrascosa López, M. A. del Pozo Arranz y E.P. Rodríguez de Castro. La contratación informática: el nuevo horizonte contractual. Los contratos electrónicos e informáticos. Editorial Comares. España. 1997. XCI. Varios. Legislación básica de informática, Editorial Tecnos. España. 1999. XCII. Wiener, Norbert. Cibermética y Sociedad. Fondo de Cultura Económica. México, 1984. 318 SITIOS EN INTERNET CONSULTADOS i. http://info.juridicas.unam.mx/legislac/indicley.htm ii. http://legal.terra.com.mx/legal/ iii. http://lexmercatoria.org/ iv. http://snts1.jus.gov.ar/minis/Nuevo/ProyectoCodigoCivil.htm v. http://thomas.loc.gov/ vi. http://www.acertia.com/ vii. http://www.amdi.org.mx/ viii. http://www.amdi.org.mx/amdi_agenda.htm ix. http://www.amece.com.mx/ x. http://www.banxico.org.mx/ xi. http://www.camaradediputados.gob.mx/ xii. http://www.cddhcu.gob.mx/leyinfo/ xiii. http://www.cde.ua.es/cde/lex.htm xiv. http://www.cis.ohio-statc-edu/hypertext/fag/usenet/copyrightFAQ/part2/faq.html xv. http://www.cmt.es xvi. http://www.cnbv.gob.mx/ xvii. http://www.cnsf.gob.mx/ xviii. http://www.derechosobreinternet.com/index2.html xix. http://www.economia.gob.mx/ 319 xx. http://www.e-mexico.gob.mx/ xxi. http://www.findlaw.com xxii. http://www.gobernacion.gob.mx/ xxiii. http://www.ibarrolaza.com.ar/zakon/hit.html xxiv. http://www.it-cenit.org.ar/Publicac/DERDIG xxv. http://www.legatek.com.mx/ xxvi. http://www.lexis-nexis.com/lncc/ xxvii. http://www.mbc.com/ecommerce/legislative.asp xxviii. http://www.mbc.com/ecommerce/legislative.asp xxix. http://www.notariadomexicano.org.mx/ xxx. http://www.nua.ie/surveys/ xxxi. http://www.ocde.org/subject/e_commerce/ xxxii. http://www.presidencia.gob.mx/pages/f_gob_internet.html xxxiii. http://www.rechten.vu.nl/~lodder/enlist/ xxxiv. http://www.scjn.gob.mx/default.asp xxxv. http://www.sct.gob.mx xxxvi. http://www.seguridata.com/ xxxvii. http://www.senado.gob.mx/ xxxviii. http://www.shcp.gob.mx/servs/normativ/index.html xxxix. http://www.smithlyons.ca/if/welcome.htm xl. http://www.vinculodeempresa.com.mx xli. Sitio en internet de la Corte Constitucional de Colombia xlii. Sitio en internet del gobierno de Venezuela 320 Organisation for Economic Cooperation and Development BUILDING PARTNERSHIPS FOR PROGRESS Français Home STI > Documentation > Guidelines for Cryptography Policy Guidelines for Cryptography Policy I. AIMS II. SCOPE III. DEFINITIONS IV. INTEGRATION V. PRINCIPLES GUIDELINES FOR CRYPTOGRAPHY POLICY I. AIMS The Guidelines are intended: ● ● ● ● ● ● ● ● ● to promote the use of cryptography; to foster confidence in information and communications infrastructures, networks and systems and the manner in which they are used; to help ensure the security of data, and to protect privacy, in national and global information and communications infrastructures, networks and systems; to promote this use of cryptography without unduly jeopardising public safety, law enforcement, and national security; to raise awareness of the need for compatible cryptography policies and laws, as well as the need for interoperable, portable and mobile cryptographic methods in national and global information and communications networks; to assist decision-makers in the public and private sectors in developing and implementing coherent national and international policies, methods, measures, practices and procedures for the effective use of cryptography; to promote co-operation between the public and private sectors in the development and implementation of national and international cryptography policies, methods, measures, practices and procedures; to facilitate international trade by promoting cost-effective, interoperable, portable and mobile cryptographic systems; to promote international co-operation among governments, business and research communities, and standards-making bodies in achieving co-ordinated use of cryptographic methods. II. SCOPE The Guidelines are primarily aimed at governments, in terms of the policy recommendations herein, but with anticipation that they will be widely read and followed by both the private and public sectors. It is recognised that governments have separable and distinct responsibilities for the protection of information which requires security in the national interest; the Guidelines are not intended for application in these matters. III. DEFINITIONS http://www.oecd.org/oecd/pages/home/displaygene...380,EN-document-notheme-1-no-no-10239-0,FF.html (1 de 6) [1/10/2002 12:00:33] Organisation for Economic Cooperation and Development For the purposes of the Guidelines: ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● "Authentication" means a function for establishing the validity of a claimed identity of a user, device or another entity in an information or communications system. "Availability" means the property that data, information, and information and communications systems are accessible and usable on a timely basis in the required manner. "Confidentiality" means the property that data or information is not made available or disclosed to unauthorised individuals, entities, or processes. "Cryptography" means the discipline which embodies principles, means, and methods for the transformation of data in order to hide its information content, establish its authenticity, prevent its undetected modification, prevent its repudiation, and/or prevent its unauthorised use. "Cryptographic key" means a parameter used with a cryptographic algorithm to transform, validate, authenticate, encrypt or decrypt data. "Cryptographic methods" means cryptographic techniques, services, systems, products and key management systems. "Data" means the representation of information in a manner suitable for communication, interpretation, storage, or processing. "Decryption" means the inverse function of encryption. "Encryption" means the transformation of data by the use of cryptography to produce unintelligible data (encrypted data) to ensure its confidentiality. "Integrity" means the property that data or information has not been modified or altered in an unauthorised manner. "Interoperability" of cryptographic methods means the technical ability of multiple cryptographic methods to function together. "Key management system" means a system for generation, storage, distribution, revocation, deletion, archiving, certification or application of cryptographic keys. "Keyholder" means an individual or entity in possession or control of cryptographic keys. A keyholder is not necessarily a user of the key. "Law enforcement" or "enforcement of laws" refers to the enforcement of all laws, without regard to subject matter. "Lawful access" means access by third party individuals or entities, including governments, to plaintext, or cryptographic keys, of encrypted data, in accordance with law. "Mobility" of cryptographic methods only means the technical ability to function in multiple countries or information and communications infrastructures. "Non-repudiation" means a property achieved through cryptographic methods, which prevents an individual or entity from denying having performed a particular action related to data (such as mechanisms for non-rejection of authority (origin); for proof of obligation, intent, or commitment; or for proof of ownership). "Personal data" means any information relating to an identified or identifiable individual. "Plaintext" means intelligible data. "Portability" of cryptographic methods means the technical ability to be adapted and function in multiple systems. IV. INTEGRATION The principles in Section V of this Annex, each of which addresses an important policy concern, are interdependent and should be implemented as a whole so as to balance the various interests at stake. No principle should be implemented in isolation from the rest. V. PRINCIPLES 1. TRUST IN CRYPTOGRAPHIC METHODS Cryptographic methods should be trustworthy in order to generate confidence in the use of information and communications systems. Market forces should serve to build trust in reliable systems, and government regulation, licensing, and use of cryptographic methods may also encourage user trust. Evaluation of cryptographic methods, especially against market-accepted criteria, could also generate user trust. In the interests of user trust, a contract dealing with the use of a key management system should indicate the jurisdiction whose laws apply to that system. 2. CHOICE OF CRYPTOGRAPHIC METHODS Users should have a right to choose any cryptographic method, subject to applicable law. Users should have access to cryptography that meets their needs, so that they can trust in the security of information and communications systems, and the confidentiality and integrity of data on those systems. Individuals or entities who own, control, access, use or store data may have a responsibility to protect the confidentiality and integrity of such data, and may therefore be responsible for using appropriate cryptographic methods. It is expected that a variety of cryptographic methods may be needed to fulfil different data security requirements. Users of cryptography should be free, subject to applicable law, to determine the type and level of data security needed, and to select and implement appropriate cryptographic methods, including a key management system that suits their needs. http://www.oecd.org/oecd/pages/home/displaygene...380,EN-document-notheme-1-no-no-10239-0,FF.html (2 de 6) [1/10/2002 12:00:33] Organisation for Economic Cooperation and Development In order to protect an identified public interest, such as the protection of personal data or electronic commerce, governments may implement policies requiring cryptographic methods to achieve a sufficient level of protection. Government controls on cryptographic methods should be no more than are essential to the discharge of government responsibilities and should respect user choice to the greatest extent possible. This principle should not be interpreted as implying that governments should initiate legislation which limits user choice. 3. MARKET DRIVEN DEVELOPMENT OF CRYPTOGRAPHIC METHODS Cryptographic methods should be developed in response to the needs, demands and responsibilities of individuals, businesses and governments. The development and provision of cryptographic methods should be determined by the market in an open and competitive environment. Such an approach would best ensure that solutions keep pace with changing technology, the demands of users and evolving threats to information and communications systems security. The development of international technical standards, criteria and protocols related to cryptographic methods should also be market driven. Governments should encourage and co-operate with business and the research community in the development of cryptographic methods. 4. STANDARDS FOR CRYPTOGRAPHIC METHODS Technical standards, criteria and protocols for cryptographic methods should be developed and promulgated at the national and international level. In response to the needs of the market, internationally-recognised standards-making bodies, governments, business and other relevant experts should share information and collaborate to develop and promulgate interoperable technical standards, criteria and protocols for cryptographic methods. National standards for cryptographic methods, if any, should be consistent with international standards to facilitate global interoperability, portability and mobility. Mechanisms to evaluate conformity to such technical standards, criteria and protocols for interoperability, portability and mobility of cryptographic methods should be developed. To the extent that testing of conformity to, or evaluation of, standards may occur, the broad acceptance of such results should be encouraged. 5. PROTECTION OF PRIVACY AND PERSONAL DATA The fundamental rights of individuals to privacy, including secrecy of communications and protection of personal data, should be respected in national cryptography policies and in the implementation and use of cryptographic methods. Cryptographic methods can be a valuable tool for the protection of privacy, including both the confidentiality of data and communications and the protection of the identity of individuals. Cryptographic methods also offer new opportunities to minimise the collection of personal data, by enabling secure but anonymous payments, transactions and interactions. At the same time, cryptographic methods to ensure the integrity of data in electronic transactions raise privacy implications. These implications, which include the collection of personal data and the creation of systems for personal identification, should be considered and explained, and, where appropriate, privacy safeguards should be established. The OECD Guidelines for the Protection of Privacy and Transborder Flows of Personal Data provide general guidance concerning the collection and management of personal information, and should be applied in concert with relevant national law when implementing cryptographic methods. 6. LAWFUL ACCESS National cryptography policies may allow lawful access to plaintext, or cryptographic keys, of encrypted data. These policies must respect the other principles contained in the guidelines to the greatest extent possible. If considering policies on cryptographic methods that provide for lawful access, governments should carefully weigh the benefits, including the benefits for public safety, law enforcement and national security, as well as the risks of misuse, the additional expense of any supporting infrastructure, the prospects of technical failure, and other costs. This principle should not be interpreted as implying that governments should, or should not, initiate legislation that would allow lawful access. Where access to the plaintext, or cryptographic keys, of encrypted data is requested under lawful process, the individual or entity requesting access must have a legal right to possession of the plaintext, and once obtained the data must only be used for lawful purposes. The process through which lawful access is obtained should be recorded, so that the disclosure of the cryptographic keys or the data can be audited or reviewed in accordance with national law. Where lawful access is requested and obtained, such access should be granted within designated time limits appropriate to the circumstances. The conditions of lawful access should be stated clearly and published in a way that they are easily available http://www.oecd.org/oecd/pages/home/displaygene...380,EN-document-notheme-1-no-no-10239-0,FF.html (3 de 6) [1/10/2002 12:00:33] Organisation for Economic Cooperation and Development to users, keyholders and providers of cryptographic methods. Key management systems could provide a basis for a possible solution which could balance the interest of users and law enforcement authorities; these techniques could also be used to recover data, when keys are lost. Processes for lawful access to cryptographic keys must recognise the distinction between keys which are used to protect confidentiality and keys which are used for other purposes only. A cryptographic key that provides for identity or integrity only (as distinct from a cryptographic key that verifies identity or integrity only) should not be made available without the consent of the individual or entity in lawful possession of that key. 7. LIABILITY Whether established by contract or legislation, the liability of individuals and entities that offer cryptographic services or hold or access cryptographic keys should be clearly stated. The liability of any individual or entity, including a government entity, that offers cryptographic services or holds or has access to cryptographic keys, should be made clear by contract or where appropriate by national legislation or international agreement. The liability of users for misuse of their own keys should also be made clear. A keyholder should not be held liable for providing cryptographic keys or plaintext of encrypted data in accordance with lawful access. The party that obtains lawful access should be liable for misuse of cryptographic keys or plaintext that it has obtained. 8. INTERNATIONAL CO-OPERATION Governments should co-operate to co-ordinate cryptography policies. As part of this effort, governments should remove, or avoid creating in the name of cryptography policy, unjustified obstacles to trade. In order to promote the broad international acceptance of cryptography and enable the full potential of the national and global information and communications networks, cryptography policies adopted by a country should be co-ordinated as much as possible with similar policies of other countries. To that end, the Guidelines should be used for national policy formulation. If developed, national key management systems must, where appropriate, allow for international use of cryptography. Lawful access across national borders may be achieved through bilateral and multilateral co-operation and agreement. No government should impede the free flow of encrypted data passing through its jurisdiction merely on the basis of cryptography policy. In order to promote international trade, governments should avoid developing cryptography policies and practices which create unjustified obstacles to global electronic commerce. Governments should avoid creating unjustified obstacles to international availability of cryptographic methods. ● ● Also available: RECOMMENDATION OF THE COUNCIL CONCERNING GUIDELINES FOR CRYPTOGRAPHY POLICY REPORT ON BACKGROUND AND ISSUES OF CRYPTOGRAPHY POLICY Preface, pdf (French) Lignes Directrices régissant la politique de cryptographie (1977) : Recommandation du Conseil, pdf (French) Top © OECD. All rights reserved. Terms & Conditions Privacy Policy OECD DIRECTORATES http://www.oecd.org/oecd/pages/home/displaygene...380,EN-document-notheme-1-no-no-10239-0,FF.html (4 de 6) [1/10/2002 12:00:33] Organisation for Economic Cooperation and Development Centre for Co-operation with Non-Members Development Centre Development Co-operation (DAC) Economics Education, Employment, Labour and Social Affairs Environment Financial, Fiscal and Enterprise Affairs Food, Agriculture and Fisheries International Futures Programme Public Management Sahel and West Africa Club Science, Technology and Industry SIGMA Statistics Territorial Development Trade More... Industry Issues Information and Communications Policy S&T Policy Scientific, Industrial and Health Applications of Biotechnology Statistical Analysis of Science, Technology and Industry Transport Business and Industry Policy Forums Industrial Globalisation Micro Policies for Growth Service Sector Shipbuilding Small and Medium-sized Enterprises (SMEs) Steel Tourism Consumer Policy Information Economy Information Security and Privacy Telecommunications and Internet Policy Innovation and Technology Policy Intellectual Property Rights International Scientific Cooperation (Global Science Forum) Management of Public Research Social Sciences Technology and Sustainable Development http://www.oecd.org/oecd/pages/home/displaygene...380,EN-document-notheme-1-no-no-10239-0,FF.html (5 de 6) [1/10/2002 12:00:33] Organisation for Economic Cooperation and Development Measuring Globalisation Measuring Industrial Performance Measuring Science and Technology Measuring the Information Economy Aviation Maritime Transport Road Transport Research Related themes Biotechnology Electronic Commerce Enterprise, Industry and Services Growth Health Information and Communication Technologies Science and Innovation Statistics Portal Sustainable Development Transport http://www.oecd.org/oecd/pages/home/displaygene...380,EN-document-notheme-1-no-no-10239-0,FF.html (6 de 6) [1/10/2002 12:00:33]