FIRMA DIGITAL: ANALISIS SOBRE SU MARCO REGULATORIO, OPERATIVIDAD, INCIDENCIA Y CORROBORACION PROBATORIA EN LA LITIS
POR: Gastón Andrés Navarro[1]
y Baltazar Avendaño[2]
I.-) PREFACIO
En la República Argentina rige la ley de firma digital, incorporada por la ley 25.506 (sancionada el 14 de Noviembre de 2001, promulgada de hecho el 11 de Diciembre de 2001).
Habíamos analizado previamente[3], de qué manera se diferenciaba la firma electrónica de la firma digital[4], y en aquella oportunidad sostuvimos que el Correo Electrónico debía ser considerado como un documento más que merece ser considerado en los análisis jurídicos y, sobre tal premisa, entender como la firma digital vino a robustecer sus características particularísimas como vía de acreditación. En particular, el sentido final de la norma que regula la firma digital, es la dar certeza jurídica a los “telecontratos”, es decir, contrataciones realizadas sin la necesidad de presencia física de las partes para celebrar el acto. Conforme al estado de la normativa, lo que resulta central para ello, es la existencia del certificante, que opera como un depositario de la fé pública en esta área específica. Su existencia es “conditio sine qua non” para la existencia de la firma digital. Todo otro acto de identificación electrónica que carezca de los elementos exigidos por la ley 25.506 para la firma digital, queda relegado a la categoría de “firma electrónica”. Allí es donde quedan circunscriptos los casos de envíos de correos electrónicos y otros sistemas de mensajería.
Nos hemos propuesto analizar en este trabajo cuales son las condiciones exigidas por la normativa al efecto, y en su caso, encontrar el fundamento de la normativa de mención, para culminar evaluando al “modus” y “qualitatis” probatoria en un pleito judicial.
II.-) EL CERTIFICADOR DIGITAL EN LA LEY Nº 25.506 DE FIRMA DIGITAL
La ley 25.506 trata específicamente las condiciones que deben reunirse para ser certificador licenciado, en el Capítulo III de dicha norma.
La norma establece en su art 17 que el certificador licenciado es “toda persona de existencia ideal, registro público de contratos u organismo público que expide certificados, presta otros servicios en relación con la firma digital y cuenta con una licencia para ello, otorgada por el ente licenciante.” Y luego realiza la distinción referida a los certificadores licenciados que no fueran pertenecientes al sector público, estableciendo para ello el régimen de competencia, dejando que la determinación del arancel sea establecido libremente por ellos.
En su art 18 se establece la normativa de certificación respecto a las entidades profesionales que controlan la matrícula y se establece que: “Las entidades que controlan la matrícula, en relación a la prestación de servicios profesionales, podrán emitir certificados digitales en lo referido a esta función, con igual validez y alcance jurídico que las firmas efectuadas en forma manuscrita. A ese efecto deberán cumplir los requisitos para ser certificador licenciado.”
En lo atinente a los requisitos y condiciones exigidos para obtener la licencia de certificador, el art 20 establece que: “Para obtener una licencia el certificador debe cumplir con los requisitos establecidos por la ley y tramitar la solicitud respectiva ante el ente licenciante, el que otorgará la licencia previo dictamen legal y técnico que acredite la aptitud para cumplir con sus funciones y obligaciones. Estas licencias son intransferibles.”
Esta normativa, se encuentra reglamentada por el Decreto PEN 2628/2002 de fecha 19/12/2002. Mediante dicho Decreto , se crea el Ente Administrador de Firma Digital (capítulo IV art 11) previendo que el mismo dependerá de la Jefatura de Gabinete de Ministros siendo dicho Ente el “órgano técnico, administrativo encargado de otorgar las licencias a los certificadores y de supervisar su actividad, según las exigencias instituidas por el presente decreto y las normas reglamentarias, modificatorias o de aplicación que se dicten en el futuro y de dictar las normas tendientes a asegurar el régimen de libre competencia, equilibrio de participación en el mercado de los prestadores y protección de los usuarios.”
Se establece en el art 13 del Decreto que el Ente Administrador será el encargado de: “a) Otorgar las licencias habilitantes para acreditar a los certificadores en las condiciones que fijen el presente decreto y las normas reglamentarias, modificatorias o de aplicación que se dicten en el futuro. b) Fiscalizar el cumplimiento de las normas legales y reglamentarias en lo referente a la actividad de los certificadores licenciados. c) Denegar las solicitudes de licencia a los prestadores de servicios de certificación que no cumplan con los requisitos establecidos, para su licenciamiento. d) Revocar las licencias otorgadas a los Certificadores licenciados que dejen de cumplir con los requisitos establecidos para su licenciamiento. e) Aprobar las políticas de certificación, el manual de procedimiento, el plan de seguridad, de cese de actividades y el plan de contingencia, presentado por los certificadores solicitantes de la licencia o licenciados. f) Solicitar los informes de auditoría en los casos que correspondiere. g) Realizar inspecciones a los certificadores licenciados por sí o por terceros. h) Homologar los dispositivos de creación y verificación de firmas digitales, con ajuste a las normas y procedimientos establecidos por la presente reglamentación. i) Disponer la instrucción sumarial, la aplicación de sanciones e inhabilitar en forma temporal o permanente a todo certificador o licenciado que no respetare o incumpliere los requerimientos y disposiciones de la Ley N° 25.506, el presente decreto y las normas complementarias. j) Publicar en Internet o en la red de acceso público de transmisión o difusión de datos que la sustituya en el futuro, en forma permanente e ininterrumpida, los domicilios, números telefónicos, direcciones de internet y certificados digitales de los certificadores licenciados. k) Publicar en internet o en la red de acceso público de transmisión o difusión de datos que la sustituya en el futuro, en forma permanente e ininterrumpida, los domicilios, los números telefónicos, direcciones de internet y certificados digitales de los certificadores cuyas licencias han sido revocadas. I) Publicar en Internet o en la red de acceso público de transmisión o difusión de datos que la sustituya en el futuro, en forma permanente e ininterrumpida, el domicilio, números telefónicos, direcciones de internet y certificados digitales del Ente Administrador. m) Administrar los recursos generados de acuerdo con lo dispuesto por el artículo 16 de la presente reglamentación, provenientes de las distintas fuentes de financiamiento. n) Fijar el concepto y los importes de todo tipo de aranceles y multas previstos en la Ley N° 25.506 y en el artículo 16 de la presente reglamentación. o) Solicitar la ampliación o aclaración sobre la documentación presentada por el certificador. p) Dictar las normas tendientes a asegurar el régimen de libre competencia, equilibrio de participación en el mercado de los prestadores y protección de los usuarios.
Por otra parte, la normativa analizada permite que el Certificador Licenciado pueda delegar las funciones de validación de identidad y otros datos de los suscriptores de certificados, en la entidad denominada “Autoridades de Registro”, en su art 35, a saber: “Los Certificadores Licenciados podrán delegar en Autoridades de Registro las funciones de validación de identidad y otros datos de los suscriptores de certificados y de registro de las presentaciones y trámites que les sean formuladas, bajo la responsabilidad del Certificador Licenciado, cumpliendo las normas y procedimientos establecidos por la presente reglamentación.”
Se establece normativamente la responsabilidad del Certificador Licenciado respecto de la autoridad de Registro en el art 36: “El Certificador, Licenciado es responsable con los alcances establecidos en la Ley N° 25.506, aún en el caso de que delegue parte de su operatoria en Autoridades de Registro, sin perjuicio del derecho del certificador de reclamar a la Autoridad de Registro las indemnizaciones por los daños y perjuicios que aquél sufriera como consecuencia de los actos y/u omisiones de ésta.”
Es importante reseñar que mediante Decreto 1.028/2003 se disolvió el Ente Administrador de Firma Digital creado por el artículo 11 del Decreto N° 2628 del 19 de diciembre de 2002. Esencialmente dicho Acto modifico el esquema de misiones y funciones del Anexo II atinente a la Estructura Orgánica de la Jefatura de Gabinetes y terminó por asignar a la OFICINA NACIONAL DE TECNOLOGÍAS DE INFORMACIÓN (O.N.T.I.) las funciones de: 1) Asistir al Subsecretario de la Gestión Pública en la formulación de políticas e implementación del proceso de desarrollo e innovación tecnológica para la transformación y modernización del Estado, promoviendo la integración de nuevas tecnologías, su compatibilidad e interoperabilidad de acuerdo con los objetivos y estrategias definidas en el Plan Nacional de Modernización del Estado. 2) Promover la estandarización tecnológica en materia informática, teleinformática o telemática, telecomunicaciones, ofimática o burótica. 3) Asistir al Subsecretario de la Gestión Pública en la definición, implementación y control del uso de la Firma Digital, interviniendo en la definición de las normas reglamentarias y tecnológicas tendientes a asegurar el buen ejercicio del régimen, en el otorgamiento y revocación de las licencias a certificadores y actuando como autoridad certificante en los organismos del Sector Público Nacional. Asimismo Decreto 1.028/2003 dispuso que la Comisión Asesora para la Infraestructura de Firma Digital actuará en el ámbito de la Subsecretaria de la Gestión Publica de la Jefatura de Gabinete de Ministros y se procedió a la transferir a la Oficina Nacional de Tecnologías de Información (O.N.T.I.), los bienes patrimoniales y los créditos presupuestarios correspondientes al Ente Administrador de Firma Digital. Por último, se determinaba que los recursos generados por los aranceles que se abonen por la provisión de los servicios que brinde la Oficina Nacional de Tecnologías de Información en cumplimiento de la normativa vigente en la materia, así como también el producido de las multas impuestas, serán administrados por el servicio administrativo de la jurisdicción.
En virtud de la Disposición de la SUBSECRETARÍA DE TECNOLOGÍAS DE GESTIÓN de la SECRETARÍA DE GABINETE de la JEFATURA DE GABINETE DE MINISTROS Nº 11, de fecha 30 de diciembre de 2014, que aprueba la POLÍTICA ÚNICA DE CERTIFICACIÓN de la AUTORIDAD CERTIFICANTE de la OFICINA NACIONAL DE TECNOLOGÍAS DE INFORMACIÓN, en el apartado 1.3.3 se indica que podrán ser suscriptores de los certificados emitidos por la AC-ONTI: A) Las personas físicas que desempeñen funciones en entes públicos estatales. B) Las personas físicas o jurídicas que realicen trámites con el Estado, cuando existe una aplicación que requiera una firma digital, siempre que se cumplan las siguientes condiciones: 1) Deberá existir una AUTORIDAD DE REGISTRO autorizada por el Certificador en el organismo responsable de la aplicación, quien debe informar de la misma al Certificador; 2) Los solicitantes de certificados deberán efectuar el trámite de solicitud exclusivamente ante la AUTORIDAD DE REGISTRO autorizada. C) Los organismos y las empresas públicas.
III.-) EL CERTIFICADOR DIGITAL EN LA NORMATIVA ADMINISTRATIVA
El Ministerio de Modernización emitió Resolución 399 – E/2016 de fecha 05/10/2016 que establece en su art 1 aprobar los “Requisitos para el licenciamiento de certificadores”, además de aprobar la “Política Única de Certificación”, “Perfiles de los Certificados y de las Listas de Certificados Revocados”, “Contenidos Mínimos de los Acuerdos con Suscriptores” y “Contenidos Mínimos de los Términos y Condiciones con Terceros Usuarios” .
Mención aparte merece el anexo antes referido (“Requisitos para el licenciamiento de certificadores”) donde se reúnen en forma estricta las condiciones para la obtención de la licencia.
En su capítulo IV la normativa se refiere al Certificador Licenciado, regulando, en su art 18, que: “El certificador licenciado deberá tener su domicilio constituido en la República Argentina, considerándose que cumple con este requisito, cuando el establecimiento en el cual desempeña su actividad en forma permanente, habitual o continuada, y su infraestructura se encuentren situados en el territorio argentino.
Se prohíbe el uso del término “licenciado” a todos aquellos prestadores del servicio de certificación u otros servicios relacionados con la firma digital, que no hayan cumplido con el correspondiente proceso de licenciamiento establecido por la presente Resolución. (art 19)
Se establece en el art 20 la obligación de los certificadores licenciados de realizar las publicaciones en sus sitios web de Internet en forma permanente e ininterrumpida de: “copia de todos los actos administrativos por los cuales les fueron otorgadas y eventualmente revocadas sus licencias, las Políticas de Certificación anteriores y vigentes, los acuerdos con suscriptores y términos y condiciones con terceros usuarios para cada una de las políticas de certificación aprobadas, la Política de Privacidad, el Manual de Procedimientos (parte pública), la Lista de Certificados Revocados (Certificate Revocation List – CRL), el listado de Autoridades de Registro (indicando si operan bajo modalidad móvil) y la información relevante de los informes de la última auditoría de que hubieran sido objeto. Asimismo deberán garantizar el acceso a los certificados del certificador licenciado y de la Autoridad Certificante Raíz de la República Argentina, utilizando el protocolo de sitio seguro (https) y permitir la consulta de certificados emitidos, indicando su estado.”
Un dato que no es menor, es que el Ministerio de Modernización, por Decreto 892/2017 de fecha 1/11/2017, crea la “Plataforma de Firma Digital Remota”. Esta normativa, aspira reglamentar las condiciones establecidas en la ley de creación de firma digital y su decreto reglamentario, disponiendo en su art 1” Créase la Plataforma de Firma Digital Remota, administrada exclusivamente por el Ministerio de Modernización, a través de la Dirección Nacional de Sistemas de Administración y firma digital, dependiente de la Secretaría de Modernización Administrativa en la que se centralizará el uso de firma digital, en el marco de la normativa vigente sobre Infraestructura de Firma Digital.”
Esta normativa establece una pauta de centralización y unificación de estándares para todo el territorio nacional.
Por último es importante destacar que la Secretaria de Modernización Administrativa dictó la Resolución N° 13/2018 cuyo Anexo 2 -de forma específica- establece un Manual de Procedimientos en el marco de la Infraestructura de Firma Digital, donde describe el conjunto de procedimientos utilizados por el Certificador cuyas funciones son ejercidas por la DIRECCIÓN NACIONAL DE GESTIÓN DE LA INFORMACIÓN Y SOPORTE de la SECRETARÍA DE MODERNIZACIÓN ADMINISTRATIVA del MINISTERIO DE MODERNIZACIÓN en el cumplimiento de sus responsabilidades para la emisión y administración de los certificados digitales emitidos a favor de sus suscriptores de acuerdo con los términos establecidos por la Política Única de Certificación asociada a este documento, en el marco de la Ley N° 25.506 de Firma Digital, el Decreto N° 2628 del 19 de diciembre de 2002, la Resolución N° 399 E/2016 del MINISTERIO DE MODERNIZACIÓN del 5 de octubre de 2016 y demás normas reglamentarias. Este conjunto de procedimientos también regula el accionar del Certificador y sus Autoridades de Registro.
IV.) VALOR PROBATORIO, OPERATIVIDAD Y MEDIOS DE ACREDITACION DE LA FIRMA DIGITAL
IV.- A.-) A esta altura conviene refrescar y reiterar un poco más ampliamente algunas sencillas disquisiciones: A-) Una Firma Electrónica es un concepto amplio e indefinido desde el punto de vista tecnológico. Es por tanto una expresión más genérica.[5] B) Una Firma Digital es aquella firma electrónica que está basada en los sistemas de criptografía de clave pública (PKI – Public Key Infrastructure) que satisface los requerimientos de definición de firma electrónica avanzada.[6] C) Una Firma Digitalizada, no tiene nada que ver con las anteriores. Se trata de una simple representación gráfica de la firma manuscrita obtenida a través de un escáner, que puede ser “pegada” en cualquier documento.[7] Esta técnica la empezaron a utilizar masivamente los expertos en Márketing cuando la publicidad circulaba por correo postal ordinario (Snail mail).[8]
En la práctica, la firma que utilizamos mayoritariamente para la realización de muchos trámites tanto ante los Organismos Tributarios y otras Administraciones Públicas, e incluso, para uso interno de las propias empresas o el correo electrónico seguro, es la Digital. Ejemplos de este tipo de firmas son los que ofrece la FNMT, Camerfirma, Ancert, el DNI electrónico, etc
Las reglas de valoración judicial de la firma digital y de la firma electrónica, vienen, en gran medida condicionadas por las pautas de validez y sistemas presuncionales establecidos en la ley de firma digital 25.506 y, en segundo orden, por la restante normativa jerárquicamente inferior conforme al principio de la norma especial. Tal premisa es lo que nos indican los arts. 7º (Presunción de autoría. Se presume, salvo prueba en contrario, que toda firma digital pertenece al titular del certificado digital que permite la verificación de dicha firma.), 8º (Presunción de integridad. Si el resultado de un procedimiento de verificación de una firma digital aplicado a un documento digital es verdadero, se presume, salvo prueba en contrario, que este documento digital no ha sido modificado desde el momento de su firma.) 10° (Remitente. Presunción. Cuando un documento electrónico sea firmado por un certificado de aplicación, se presumirá, salvo prueba en contrario, que el documento firmado proviene de la persona titular del certificado.) 11° (Original. Los documentos electrónicos firmados digitalmente y los reproducidos en formato digital firmados digitalmente a partir de originales de primera generación en cualquier otro soporte, también serán considerados originales y poseen, como consecuencia de ello, valor probatorio como tales, según los procedimientos que determine la reglamentación.) de la Ley 25506.
De acuerdo a la remisión reglamentaria tenemos que el Artículo 1° Decreto N° 2628/02 (según modificaciones introducidas por Decreto N° 724/06) sostiene que regula el empleo de la firma electrónica y de la firma digital como asi también su eficacia jurídica. Por ello, en los casos contemplados por los artículos 3°, 4° y 5° de la Ley N° 25.506 podrán utilizarse los siguientes sistemas de comprobación de autoría e integridad:
- a) Firma electrónica,
- b) Firma electrónica basada en certificados digitales emitidos por certificadores no licenciados en el marco de la presente reglamentación, (Inciso sustituido por art. 5° del Decreto N° 724/2006, B.O. 13/6/2006)
- c) Firma digital basada en certificados digitales emitidos por certificadores licenciados en el marco de la presente reglamentación,
- d) Firma digital basada en certificados digitales emitidos por certificadores extranjeros que hayan sido reconocidos en los siguientes casos:
- En virtud de la existencia de acuerdos de reciprocidad entre la República Argentina y el país de origen del certificador extranjero.
- Por un certificador licenciado en el país en el marco de la presente reglamentación y validado por la Autoridad de Aplicación.
Vemos aquí que adquiere un papel central la calidad de entidad certificante, la cual, en similitud necesaria con los instrumentos dotados de “fideidatio”, requiriendo de condiciones muy precisas y específicas para poder tener tal entidad. En otras palabras, sin aprobación gubernamental expresa y habilitación respectiva, no hay entidad certificante de firma digital.
Tenemos aquí un sistema de disposiciones que marca como se debe comprobar la integridad y autenticidad de cada tipo de firma pero a su vez regulan una valoración de tipo “iuris tantum” (puesto que admite prueba en contrario) con lo cual debe analizarse de qué manera se logra su efectiva acreditación en una Litis. Desde ya es conveniente adelantar que ello no se logra con la adopción de un solo medio de prueba puesto que debe estarse a las particularidades de la prueba informática que se ofrece la cual no necesariamente se zanjara con solamente una pericia.
IV.- B.-) Ahora bien, previo a sumergirnos en el mundo de la acreditación judicial de la firma digital resulta menester entender de manera práctica y sencilla como opera esta.
Siguiendo la claridad de las ilustraciones e instrucciones que nos concede la Inspección General de Justicia[9], reseñaremos que el sistema de firma digital consta de DOS partes: un método que hace imposible la alteración de la firma y otro que permite verificar que la firma pertenece efectivamente al firmante.
- Empecemos por tratar la Clave Asimétrica. La inalterabilidad de la firma está garantizada por las propiedades de la Clave Asimétrica. Este es un método de codificación, en el que se generan dos claves mediante una fórmula matemática compleja. Estas claves son distintas, pero están relacionadas, de modo tal que lo que se cifra o encripta con una clave sólo puede descifrarse con la otra. A este par de claves se los conoce como Clave Pública y Clave Privada. La clave pública se distribuye y la clave privada la conserva el propietario, protegida por una contraseña que sólo él conoce.
A continuación explicaremos que es el “Hash”. Para poder firmar digitalmente un documento, primero debe obtenerse un resumen del mismo. Para esto, se aplica un cálculo matemático llamado “función unidireccional de resumen”, o función hash. El hash es el resultado. Es un resumen, porque sin importar el tamaño del documento, la función hash devuelve un valor de la misma longitud o tamaño. Es unidireccional, porque no es posible convertir el hash nuevamente en el documento original, o conocer el contenido del documento a partir del hash. Sus principales características son: El resumen de un documento o mensaje siempre devuelve el mismo hash. Las copias de ese documento o mensaje también. Cualquier alteración del documento, por mínima que sea, hará que el hash de ese documento varíe de forma notoria. Es estadísticamente imposible encontrar dos documentos que posean el mismo hash. Veremos a continuación a través de algunas muestras como se compone y diversifica el Hash según las características y variaciones del contenido que posee:
– Hash de “Esto es un ejemplo” 38E1CAD08CD88EFD203280451C0A415454A5D2C14C1A0D79BC5C77D295726CC5
– Hash de “esto es un ejemplo” 3F129DF29C5D855D8553E0B7F1C416CA7E18F76D468BC02671AAE20F42516667
– Hash de “ésto es un ejemplo” 5A4F4A107992D58E37D461B7DA143197BA02146973D3CFF2A33F6EF315FD11D3
– Hash de “esto es otro ejemplo, sólamente un poco más largo” DCCFFFB069574AD94AF8996A37018D999520E245F81A34D63074110671C21508
Los hash varían aunque sólo se modifique una letra mayúscula o acento, y siempre poseen la misma longitud. Al momento de firmar, se calcula el hash del documento. Luego, se utiliza la clave privada para cifrar ese hash, y finalmente se incorpora, junto con otros datos de certificación, como anexo del documento, obteniendo así un documento firmado digitalmente. Cualquiera que posea la clave pública puede Autenticar el documento, es decir, puede descifrar el hash encriptado y compararlo con el hash del documento. Sí los hash coinciden, el receptor puede confirmar dos cosas: que el contenido del documento no fue alterado luego de la firma, y que la clave privada con que se firmó coincide con la clave pública.
2) El segundo factor que sostiene el sistema de firma digital es la “Infraestructura de Clave Pública” (PKI, en inglés), que regula los Certificados Digitales. El Certificado Digital es en sí un documento firmado digitalmente, mediante el cual se atestigua que una clave pública pertenece a un determinado individuo o entidad. En general, contiene la identidad de la persona, su clave pública y el nombre de la autoridad que emitió el certificado. Todos los datos de identidad son previamente validados por la autoridad que emite el certificado, y este se puede autenticar de la misma forma que cualquier otro documento con firma digital. La Infraestructura de Clave Pública es el conjunto de procedimientos, políticas y roles normados que definen cómo se generan y organizan esos certificados. Si el certificado es auténtico y confiamos en la autoridad emisora, podemos asegurar la identidad del firmante. En nuestro país, esta regulación se conoce como Infraestructura de Firma Digital de la República Argentina (IFDRA).
En el Capítulo Segundo de este trabajo ya explicamos cómo está organizada la Autoridad de Aplicación, razón por la cual solamente diremos que la Autoridad Certificante Raíz (AC-RAÍZ), operada por el Ente Licenciante, es el primer nivel de jerarquía en la IFDRA. Emite certificados digitales a las Autoridades Certificantes de segundo nivel, una vez aprobados los requisitos de licenciamiento. Los Certificadores Licenciados son entidades públicas o privadas que se encuentran habilitados por el Ente Licenciante para emitir certificados digitales. Estos operan cada Autoridad Certificante de segundo nivel. Cada Certificador Licenciado delega en Autoridades de Registro las funciones de validación de identidad y otros datos de los suscriptores de certificados. ¿Cómo se obtiene la firma digital?
– Firma Digital Token: Requiere un dispositivo físico donde se almacena el certificado. Puede verificar los requisitos para obtener un Certificado de Firma Digital Token, y dirigirse ante cualquier Autoridad de Registro de la Administración Pública, o consultar con alguno de los Certificadores Licenciados.
– Firma Digital Cloud: Permite firmar a través de una plataforma online. Puede consultarse características, requisitos y forma de obtenerla en la Plataforma de Firma Digital Remota (PDFR).
IV.- C.-) Queda abordar el tema de la prueba de la firma digital dentro de un proceso judicial. Desde ya podemos sostener que el nivel de complejidad dependerá de que y como se pretende acreditar o viceversa. Pero nunca perdamos de vista que lo que se discute en torno a la Firma Digital es la imputación de autenticidad, integridad y veracidad respecto a quien es el autor que esta detrás del documento electrónico que se arrima al proceso como prueba; con ello referimos que el desafío a probar no es el contenido en sí, sino la autoría e integridad del documento.
Repasando un poco lo reglado bajo Decreto N° N° 2628/02 para empezar debemos estar conscientes y tener en claro que tipo de firma se arguye en el proceso y sobre esta premisa avanzar pues en consecuencia respecto de la prueba a ofrecer. Según qué tipo de firma digital o electrónica corresponderá la carga probatoria sino también el requerimiento de acreditación de los certificados otorgados por la entidad correspondiente.
Vimos ya que el firmante genera, mediante una función matemática, una huella digital del mensaje, la cual se cifra con la clave privada de éste. El resultado es lo que se denomina firma digital, que se enviará adjunta al mensaje original. De esta manera el firmante adjuntará al documento una marca que es única para dicho documento y que sólo él es capaz de producir. Enseña por ejemplo la AFIP[10] que para realizar la verificación del mensaje, en primer término el receptor generará la huella digital del mensaje recibido, luego descifrará la firma digital del mensaje utilizando la clave pública del firmante y obtendrá de esa forma la huella digital del mensaje original; si ambas huellas digitales coinciden, significa que no hubo alteración y que el firmante es quien dice serlo. El sistema opera de tal modo que la información cifrada con una de las claves sólo puede ser descifrada con la otra. De este modo si un usuario cifra determinada información con su clave privada, cualquier persona que conozca su clave pública podrá descifrar la misma. En consecuencia, si es posible descifrar un mensaje utilizando la clave pública de una persona, entonces puede afirmarse que el mensaje lo generó esa persona utilizando su clave privada (probando su autoría). Si un documento firmado digitalmente es verificado correctamente, se presume, salvo prueba en contrario, que proviene del suscriptor del certificado asociado y que no fue modificado. Por otra parte, para reconocer que un documento ha sido firmado digitalmente se requiere que el certificado digital del firmante haya sido emitido por un Certificador Licenciado (o sea que cuente con la aprobación del Ente Licenciante).
Si bien es cierto que en Internet abundan instructivos y programas que ilustran cómo corroborar la existencia y validez de la firma digital de un documento[11], siendo a nuestro modesto entender como guia de consulta los Videotutoriales del Instituto Argentino de Derecho Informático[12], lo cierto y concreto es que tal operación no deja de ser mas de una mera constatación particular que cualquier persona puede realizar desde su propia computadora. Para ello, de manera resumida, podemos aleccionar que se debe proceder a descargar el Certificado Raiz de la Autoridad Certificante[13] y una vez instalado este en la computadora, debemos dirigirnos a la Website del Ministerio de Modernización del Poder Ejecutivo Nacional[14], donde llenando los campos con la información requerida en los campos[15], podremos acceder a la constatación solicitada.
Ahora bien, con dicho proceder no hacemos otra cosa más que verificar algo pero en modo alguno deviene tal accionar traspolable de forma valida a un proceso judicial por cuanto en rigor de verdad estamos careciendo del medio probatorio en sí mismo.
Entonces lo realmente recomendable -y por una razón evidente de que lo argüido debe ser demostrado ante los estrados judiciales y por ende lo que se haga en la computadora debe ser demostrable- es que dicha tarea deba ser realizada por un Perito Informático. Bajo el análisis forense de la evidencia informática se nos permite lograr resultados de distinta naturaleza, que escapan a la observación de un usuario común. Asi un experto informático puede recolectar y analizar una variable de datos que pueden resultar fácilmente visibles como aquellos otros que, para el neófito de la materia, resultan ocultos, pero contienen información relevante. Asi la evidencia puede encontrarse tanto en los “medios de almacenamiento” (como lo son el disco rígido, CD/DVD, pen drive, Compact Flash/Memory stick, cinta magnética, cinta DAT, PC Card, minidisk, smart Card, disquetes, etc.), así como en los “dispositivos de almacenamiento” (valen de ejemplos las computadoras personales, los servidores, las computadoras portátiles, las manuales (PDA/Palm), los teléfonos celulares, los contestadores electrónicos, los identificadores de llamadas, faxes con memoria, impresoras, scanners con memoria, cámaras y filmadoras digitales, consolas de videojuegos, rastreadores digitales (GPS), dispositivos de acceso biométricos, etc.).
Con el objetivo de proceder a la producción de la pericia informática, con mucho criterio se sostiene que: “La informática forense reconoce cuatro etapas: a) adquisición, en la que se persigue la obtención del objeto; b) la preservación, durante la que se apunta a la conservación del objeto; c) la obtención, en la que se realiza el análisis y búsqueda de evidencia, y finalmente d) la presentación en la que se rinde el informe de resultados. En la informática forense pueden distinguirse dos clases de investigación: a) el análisis forense, consistente en la búsqueda de información específica, a la vista, oculta o eliminada (residual), así como el análisis de tiempos y actividades, y b) el descubrimiento electrónico (e-discovery), que se dedica a la obtención de grandes volúmenes de información general para su posterior procesamiento y análisis o su procesamiento y selección en tiempo real. Un investigador forense informático necesita ciertos conocimientos técnicos, así como ciertos conocimientos jurídicos referidos a temas de fondo y de forma, y una especial capacidad de comunicación para lograr la confianza del tribunal y de las partes sobre la eficacia de sus informes. Es frecuente que se recurra a un escribano para constatar datos, pantallas, u otros objetos encontrados en un equipo informático, con la idea de que posteriormente esa evidencia sirva como prueba, o lo que hemos denominado etapa de adquisición de la evidencia. Para el caso de instrumentar la inspección en un acta notarial, los expertos aconsejan que esto contenga, o agregue como complemento, el informe de un perito en informática forense, que puede incluir un acta técnica o informe del experto presente en el acto de constatación. En estos supuestos es aconsejable que el informe contenga los datos filiatorios del investigador, la identificación de los medios magnéticos examinados, de la plataforma empleada para la obtención de la evidencia (hardware y software), una explicación sucinta del procedimiento técnico realizado, nombre del archivo de destino, algoritmo de autenticación y resultado (hash). Si se tratara de un disco rígido extraído de una computadora, es necesario que quede constancia de los valores RTC y la comparación con el tiempo real. En la etapa siguiente, de conservación de la evidencia, una adecuada cadena de custodia debe incluir el nombre de la persona y la fecha de contacto con la evidencia, el registro del pasaje de una persona a otra, así como el registro del pasaje de una ubicación física a otra, las tareas realizadas durante la posesión del o de los objetos y el sellado de la evidencia al finalizar la posesión. También deben registrarse testigos de este procedimiento, fotografías de la evidencia en las tareas realizadas, así como el log de actividades durante la posesión.”[16]
Una vez que mediante el proceso pericial se logró determinar la existencia de la firma digital, a quien corresponde según el respectivo certificado, la adulteración o no de esta y cualquier otro dato de relevancia que permita conocer el estado de la misma[17] (proceso de adquisición de la evidencia), corresponderá a continuación proceder, como bien lo indica la cita transcripta precedentemente, a establecer el método y forma de constatación de aquello. De esta manera y mediante la intervención apropiada se habrá logrado generar un medio de prueba idóneo que permite llevar al proceso la información constatada.
Otra vía también puede ser a través de la prueba documental (concebida en sentido amplio por cierto), iniciándose con la impresión del documento electrónico con su respectivo contenido a los fines de exhibirlo en el expte, y correlativamente generar una copia digital del mismo en algún soporte que lo contenga (como ser un Cd, Pendrive, etc…) para ser presentado por ante el tribunal, a los fines de requerir al magistrado que por Secretaria actuante del Juzgado se proceda -mediante respectivo labrado de Acta- a efectuar el cotejo ya descripto ut supra.
Por último, a modo complementario, también podemos contar con la Prueba Informativa mediante la cual podemos dirigirnos a la Autoridad Certificante a los fines de que brinde detalle respecto a los postulados ya enunciados ut supra, o sea, si tal o cual persona se encuentra autorizada a tener firma digital, bajo que certificado se otorgó, licencia habilitante, características de la misma, ámbito de uso para el cual fue requerido, etc…
No queremos obviar traer a colación un magnífico trabajo publicado por Gastón Bielli[18] donde, abordando la cuestión del “Wassapp”, desarrolla las variadas facetas de la prueba electrónica y la multiplicidad de medios de acreditación, a cuyo texto instamos su lectura y nos remitimos en aras de la brevedad.
Así, a modo conclusivo y como dijimos en un comienzo, el campo de acción de la demostrabilidad en sede judicial de la prueba electrónica dependerá no solo del marco regulatorio al cual específicamente este inserto (como lo es aquí especialmente la Firma Digital) sino también del tipo de prueba que se tiene al alcance como que se pretende demostrar de ella, para así determinar cómo buscamos su inserción adecuada al pleito.
[1] Abogado Litigante (Univ. Nac. de Córdoba), Diplomado en Magistratura y Análisis del Caso Judicial (Escuela de Capacitación Judicial de Catamarca y Fundación para el Desarrollo de las Cs Juridicas), Magíster en Derecho Procesal (Univ. Nac. de Rosario), Aspirante a Doctor en Derecho y Cs. Sociales (Univ. Nac. de Rosario), Ex Asesor Legal de la Dirección de Inspección Laboral y de la Subsecretaria de Trabajo de la Pcia. de Catamarca, Asesor Legal de la Subsecretaria de Asuntos Institucionales de la Pcia. de Catamarca, Ex Director de Asesoramiento y Colegislación de la Asesoría Gral de Gobierno de Catamarca, Ex Vocal de la Junta de Disciplina del Poder Ejecutivo de Catamarca, Miembro del Instituto de Derecho Procesal de la Academia Nac. de Derecho y Cs Sociales de Córdoba, Miembro de la Asociación Argentina de Derecho Procesal, Miembro de la Academia Virtual Iberoamericana de Derecho y Altos Estudios Judiciales, Miembro de la Catedra de Derecho Procesal II de la Fac. de Derecho de la Univ. Nac. de Catamarca., Delegado en Catamarca del Instituto Argentino de Derecho Procesal Informático, Ex Presidente de la Comisión de Jóvenes Abogados y actual Director del Instituto de Investigación y Formación Jurídica del Colegio de Abogados de Catamarca, Disertante y Autor de múltiples Publicaciones Científicas relacionadas con el Derecho Procesal.
[2] Baltazar Avendaño: Abogado (1994); Mediador Nacional (1998) Postgrado de Especialista en Derecho Procesal (2000). Doctorando en Ciencias Humanas (Universidad Nacional de Catamarca , desde 2011); Ex empleado judicial Civil y Comercial (La Banda, Santiago del Estero 1991 a 1994); Ex Presidente de la Comisión de Jóvenes Abogados de la provincia de Santiago del Estero; Ex Jefe de Abogados de la Dirección Provincial del Trabajo de la provincia de Catamarca; Ex Director Interino de la Dirección Provincial del Trabajo; Ex miembro de la Comisión Directiva del Colegio de Abogados de la Provincia de Catamarca; Ex Asesor de la Vicegobernación de la Provincia de Catamarca (2012 a 2015); Disertante en diversos Talleres de Derecho Laboral del Colegio de Abogados (años 2008 a 2018). Miembro co fundador del Instituto de Derecho Procesal de la Provincia de Catamarca; Miembro directivo del Instituto de Derecho Laboral del Colegio de Abogados de la provincia de Catamarca. Secretario Regional del Foro Federal del Trabajo (FOFETRA) desde Octubre de 2017; Miembro co-fundador del Instituto de Investigación y Formación Jurídica del Colegio de Abogados de Catamarca, Publicó trabajos de carácter jurídico, en digestos de doctrina y jurisprudencia. Coautor de libros de Derecho Procesal y de Derecho Procesal Laboral.
[3] En un trabajo de nuestra autoría titulado “Correo electrónico e incidencia de la firma digital. Implicancias y desafíos probatorios”, Publicado el 31/10/2018, elDial DC263F.
[4] A modo breve e introductorio, y sin perjuicio de los apuntes que haremos más adelante, la firma electrónica es aquella realizada con un certificado que no cumple todos los requisitos que exige la Infraestructura de Firma Digital de la República Argentina (IFDRA). Como ejemplos de esto, pueden ser las firmas realizadas con certificados que no fueran emitidos por un Certificador Licenciado, incluidos aquellos certificados que fueran generados por el propio firmante por medio de alguna aplicación informática. La firma realizada sobre la plataforma de Trámites a Distancia (TAD), y que no haya sido validada mediante un Token, Firma Cloud también se considera firma electrónica. Conforme la ley, la firma electrónica no tiene el mismo valor de prueba que la firma digital. Si alguien niega o desconoce una firma digital, esa persona tiene que probar que la firma es falsa. En cambio, si alguien niega o desconoce una firma electrónica, es la otra parte quién debe que probar que la firma es auténtica. Sí la Firma Digital es comparable a la Firma Certificada en papel, la Firma Electrónica es comparable con la Firma Simple.
[5] ARTICULO 5º L. 25.506— Firma electrónica. Se entiende por firma electrónica al conjunto de datos electrónicos integrados, ligados o asociados de manera lógica a otros datos electrónicos, utilizado por el signatario como su medio de identificación, que carezca de alguno de los requisitos legales para ser considerada firma digital. En caso de ser desconocida la firma electrónica corresponde a quien la invoca acreditar su validez.
[6] ARTICULO 2º l. 25.506- Firma Digital. Se entiende por firma digital al resultado de aplicar a un documento digital un procedimiento matemático que requiere información de exclusivo conocimiento del firmante, encontrándose ésta bajo su absoluto control. La firma digital debe ser susceptible de verificación por terceras partes, tal que dicha verificación simultáneamente permita identificar al firmante y detectar cualquier alteración del documento digital posterior a su firma. Los procedimientos de firma y verificación a ser utilizados para tales fines serán los determinados por la Autoridad de Aplicación en consonancia con estándares tecnológicos internacionales vigentes.
[7] ARTICULO 6º L. 25.506— Documento digital. Se entiende por documento digital a la representación digital de actos o hechos, con independencia del soporte utilizado para su fijación, almacenamiento o archivo. Un documento digital también satisface el requerimiento de escritura.
[8] Ver https://bartolomeborrego.wordpress.com/2007/09/20/diferencias-entre-firma-electronica-firma-digital-y-firma-digitalizada/
[9] Ver http://www.jus.gob.ar/media/3175414/certificados_de_firma_digital_actualizado_01-11-2018.pdf
[10] http://www.afip.gob.ar/firmaDigital/
[11] Basta repasar por ejemplo los siguientes links:
2) https://www.redeszone.net/2018/04/21/comprobar-firmas-digitales-programas-windows/;
4)https://www.nuance.com/products/help/NuancePDF/1_2/es_ES/Verifying_Digital_Signature.htm;
6)http://www.justiciasantafe.gov.ar/NOTIFICACIONES%20ELECTRON./Instructivo%20para%20el%20profesional-parte%201.pdf
[12] https://bielli.ar/index.php/videotutoriales/
[13] Por ej: https://pki.jgm.gov.ar/app/CertificateAuthority/RootCertificateDownload.aspx
[14] Por ej: https://pki.jgm.gov.ar/app/CertificateAuthority/CertificatePublicKeyRequest.aspx
[15] Cuyos datos deben estar visibles y extraerse del mismo documento que buscamos verificar: nombre, apellido, numero serial,…
[16] Véase el excelente trabajo de MOLINA QUIROGA, Eduardo, “LA PRUEBA PERICIAL EN MATERIA INFORMÁTICA”, Revista de Derecho Procesal, Cita: RC D 195/2015.
[17] Ya que tranquilamente se puede atacar el carácter fidedigno de la firma. De hecho una firma de confianza es válida, para la cuenta de usuario, en el equipo en que se indica como válida. Si la firma se abre en otro equipo o en otra cuenta, la firma puede aparecer como no válida porque esa cuenta no puede confiar en el emisor del certificado. Además, para que una firma sea válida, la integridad del cifrado de la firma debe estar intacta. Esto significa que el contenido firmado no se ha manipulado y el certificado de firma no expiró o se revocó. Las razones por las que una firma digital se convierta en no válida son los siguientes: 1) La firma digital está dañada, ya que su contenido se ha manipulado. 2) El certificado no fue emitido por una entidad de certificación (CA) de confianza, por ejemplo puede ser un certificado autofirmado. Si este es el caso, debe elegir confiar en un emisor que no es de confianza para que la firma sea válida de nuevo. 3) Se revocó el certificado que se usa para crear la firma y no está disponible ninguna marca de tiempo. (Vease https://support.office.com/es-es/article/c%C3%B3mo-se-sabe-si-una-firma-digital-es-fidedigna-61a46050-9a9f-40ab-a894-3ccd60c44415#bm2)
[18] BIELLI, Gastón E., “Los mensajes de WhatsApp y su acreditación en el proceso civil”, Revista La Ley, Tomo La Ley 2018-E, AÑO LXXXII N° 203, Bs As, Lunes 29 de octubre de 2018.