Comercio Electrónico

Unidad 8 8.- Derechos y Delitos Informáticos.

8.1.- Protección en la compra-venta electrónica.

La compraventa electrónica, definida como todo contrato por el que se estipula la entrega de una cosa determinada a cambio del pago de un precio cierto, y caracterizada por el uso de medios electrónicos, ha conocido un importante desarrollo, presentando, asimismo, excelentes perspectivas de crecimiento. La existencia de un marco normativo se configura como un factor esencial para consolidar y estimular el crecimiento del comercio electrónico y, en particular, de la compraventa electrónica. A tal efecto, han surgido distintas iniciativas legislativas, a nivel nacional, comunitario e internacional, con la finalidad de crear un entorno jurídico claro y preciso, que garantice la seguridad jurídica y la confianza de los sujetos intervinientes. El empresario que ofrezca la posibilidad de efectuar una compraventa electrónica debe adecuar la misma a la normativa aplicable. Dicha normativa será tanto la surgida de forma expresa para regular este fenómeno (normativa sobre comercio electrónico; condiciones generales en contratación electrónica…) como la normativa concordante con la compraventa electrónica, el sector del comerciante y/o el tipo de producto (normativa sobre venta a distancia; condiciones generales; firma electrónica; protección de datos personales; publicidad; crédito al consumo; venta a plazos de bienes muebles; responsabilidad por productos defectuosos; protección de los consumidores…). La reciente Directiva 2000/31/CE, del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico), de inminente transposición en nuestro Derecho nacional, contiene importantes estipulaciones que afectan a la compraventa electrónica. En concreto, el artículo 5 de la citada Directiva establece cuáles deben ser los datos mínimos a facilitar a los usuarios del servicio y a las autoridades competentes, a los efectos de que tengan un acceso fácil, directo y permanente a los mismos; asimismo, el artículo 10 fija la información mínima que se debe facilitar al destinatario del servicio antes de que efectúe el pedido, excepto cuando las partes que no son consumidores así lo acuerden. También, y salvo en el caso de que las partes que no sean consumidores así lo acuerden, en la realización de un pedido por vía electrónica se aplicarán los siguientes principios: a) el prestador de servicios debe acusar recibo del pedido del destinatario sin demora indebida y por vía electrónica y b) se considerará que se han recibido el pedido y el acuse de recibo cuando las partes a que se dirigen puedan tener acceso a los mismos. Por otra parte, la normativa aplicable en materia de compraventa electrónica vendrá determinada, salvo excepciones, por la aplicación de la ley de origen del prestador de servicios. De esta forma, extremos tales como la identificación de la oferta, plazo de Isain, Israel, Ásael 1

Comercio Electrónico

Unidad 8

ejecución, el derecho de desistimiento (plazo, modo y productos excluidos del derecho de desistimiento), las condiciones generales, el uso de la firma electrónica o la protección de datos personales en los formularios on-line de petición de compra de productos son, a título de ejemplo, alguno de los aspectos de la compraventa electrónica que deben ajustarse a la normativa aplicable. Por otro lado, el estudio y correcta implantación de los sistemas de venta (entrega offline, pay-per-view, pay-per-use, pay-per-download…) y los protocolos de sistemas de pago utilizados (SSL, SET…) adquieren una importancia básica en la compraventa electrónica. En conclusión, resulta esencial, para un óptimo aprovechamiento de las posibilidades de la compraventa electrónica, una adecuación de la misma a la normativa vigente; circunstancia que redundará en un conocimiento preciso del entorno en el que se actúa, pudiendo ofrecer y actuar con seguridad jurídica y beneficiarse de los instrumentos jurídicos disponibles. Vicenç Clavell Socio de Deloitte &Touche Estudio Jurídico y Fiscal Jaume Muntané Abogado de Deloitte &Touche Estudio Jurídico y Fiscal

8.2.- Condiciones de contratación.

8.3.- Delitos informáticos y tratamiento penal. Legislación y Delitos Informáticos

" (...) ladrón, trabajaba para otros: ladrones más adinerados, patrones que proveían el exótico software requerido para atravesar los muros brillantes de los sistemas empresariales, abriendo ventanas hacia los ricos campos de la información. Cometió el clásico error, el que había jurado no cometer nunca. Robo a sus jefes." Neuromante El desarrollo de la tecnología informática ha abierto las puertas a nuevas posibilidades de delincuencia antes impensables. La cuantía de los perjuicios así ocasionados es a menudo muy superior a la usual en la delincuencia tradicional y también son mucho más elevadas las posibilidades de que no lleguen a descubrirse o castigarse. Es propósito de los capítulos siguientes disertar sobre los riesgos "no naturales"; es decir los que se encuadran en el marco del delito. Para ello deberemos dejar en claro, nuevamente, algunos aspectos.

Isain, Israel, Ásael

2

Comercio Electrónico La Información y el Delito.

Unidad 8

El delito informático implica actividades criminales que los países han tratado de encuadrar en figuras típicas de carácter tradicional, tales como robos, hurtos, fraudes, falsificaciones, perjuicios, estafas, sabotajes. Sin embargo, debe destacarse que el uso de las técnicas informáticas han creado nuevas posibilidades del uso indebido de las computadoras lo que ha creado la necesidad de regulación por parte del derecho. Se considera que no existe una definición formal y universal de delito informático pero se han formulado conceptos respondiendo a realidades nacionales concretas: "no es labor fácil dar un concepto sobre delitos informáticos, en razón de que su misma denominación alude a una situación muy especial, ya que para hablar de "delitos" en el sentido de acciones típicas, es decir tipificadas o contempladas en textos jurídicos penales, se requiere que la expresión "delitos informáticos" esté consignada en los códigos penales, lo cual en nuestro país, al igual que en otros muchos no han sido objeto de tipificación aún."(1)

Tipos de Delitos Informáticos

La Organización de Naciones Unidas (ONU) reconocen los siguientes tipos de delitos informáticos: 1. Fraudes cometidos mediante manipulación de computadoras 2. Manipulación de los datos de entrada 3. Daños o modificaciones de programas o datos computarizados

Delincuente y Victima 1. Sujeto Activo 2. Sujeto Pasivo

Legislación Nacional En los últimos años se ha perfilado en el ámbito internacional un cierto consenso en las valoraciones político-jurídicas de los problemas derivados del mal uso que se hace de las computadoras, lo cual ha dado lugar a que, en algunos casos, se modifiquen los derechos penales nacionales e internacionales. La ONU señala que cuando el problema se eleva a la escena internacional, se magnifican los inconvenientes y los delitos informáticos se constituyen en una forma de crimen transnacional.

Isain, Israel, Ásael

3

Comercio Electrónico

Unidad 8

En este sentido habrá que recurrir a aquellos tratados internacionales de los que nuestro país es parte y que, en virtud del Artículo 75 inc. 22 de la Constitución Nacional reformada en 1994, tienen rango constitucional. Argentina también es parte del acuerdo que se celebró en el marco de la Ronda Uruguay del Acuerdo General de Aranceles Aduaneros y Comercio, que en su artículo 10, relativo a los programas de ordenador y compilaciones de datos, establece que:

• •

este tipo de programas, ya sean fuente u objeto, serán protegidos como obras literarias de conformidad con el Convenio de Berna, de julio 1971, para la Protección de Obras Literarias y Artísticas; las compilaciones de datos posibles de ser legibles serán protegidos como creaciones de carácter intelectual y que; para los casos de falsificación dolosa de marcas de fábrica o de comercio o de piratería lesiva del derecho de autor a escala comercial se establecerán procedimientos y sanciones penales además de que, " los recursos disponibles comprenderán la pena de prisión y/o la imposición de sanciones pecuniarias suficientemente disuasorias" (2)

Conclusión Legislar la instigación al delito cometido a través de la computadora. Adherirnos, por nuestra parte, a los postulados de la ONU sobre los delitos informáticos, con el fin de unificar la legislación internacional que regule la problemática de la cibernética y su utilización tan generalizada en el mundo. Desde la Criminología debemos señalar que el anonimato, sumado a la inexistencia de una norma que tipifique los delitos señalados, son un factor criminógeno que favorece la multiplicación de autores que utilicen los medios electrónicos para cometer delitos a sabiendas que no serán alcanzados por la ley. No solo debe pensarse en la forma de castigo, sino algo mucho más importante como lograr probar el delito. Este sigue siendo el principal inconveniente a la hora de legislar por el carácter intangible de la información. "Al final, la gente se dará cuenta de que no tiene ningún sentido escribir leyes específicas para la tecnología. El fraude es el fraude, se realice mediante el correo postal, el teléfono o Internet. Un delito no es más o menos delito si se utilizó criptografía (...). Y el chantaje no es mejor o peor si se utilizaron virus informáticos o fotos comprometedoras, a la antigua usanza. Las buenas leyes son escritas para ser independientes de la tecnología. En un mundo donde la tecnología avanza mucho más deprisa que las sesiones del Congreso, eso es lo único que puede funcionar hoy en día. Mejores y más rápidos mecanismos de legislación, juicios y sentencias...quizás algún día." (3). (1) TÉLLES VALDEZ, Julio. Derecho Informático. 2° Edición. Mc Graw Hill. México. 1996 Pág. 103-104 (2) Artículo 61, Convenio de Berna de 1971 para la Protección de Obras Literarias y Artísticas. Isain, Israel, Ásael 4

Comercio Electrónico 8.4.- Características comunes del delito informático.

Unidad 8

- Son conductas criminales de cuello blanco (white collar crime), en tanto que sólo un determinado número de personas con ciertos conocimientos (en este caso técnicos) puede llegar a cometerlas. - Son acciones ocupacionales, en cuanto a que muchas veces se realizan cuando el sujeto se halla trabajando. - Son acciones de oportunidad, ya que se aprovecha una ocasión creada o altamente intensificada en el mundo de funciones y organizaciones del sistema tecnológico y económico. - Provocan serias pérdidas económicas, ya que casi siempre producen «beneficios» de más de cinco cifras a aquellos que las realizan. - Ofrecen posibilidades de tiempo y espacio, ya que en milésimas de segundo y sin una necesaria presencia física pueden llegar a consumarse. - Son muchos los casos y pocas las denuncias, y todo ello debido a la misma falta de regulación por parte del Derecho. - Son muy sofisticados y relativamente frecuentes en el ámbito militar. - Presentan grandes dificultades para su comprobación, esto por su mismo carácter técnico. - Tienden a proliferar cada vez más, por lo que requieren una urgente regulación. Por el momento siguen siendo ilícitos impunes de manera manifiesta ante la ley.

8.5.- Tipificación.

Clasificación Según la Actividad Informática Sabotaje informático El término sabotaje informático comprende todas aquellas conductas dirigidas a causar daños en el hardware o en el software de un sistema. Los métodos utilizados para causar destrozos en los sistemas informáticos son de índole muy variada y han ido evolucionando hacia técnicas cada vez más sofisticadas y de difícil detección. Básicamente, se puede diferenciar dos grupos de casos: por un lado, las conductas dirigidas a causar destrozos físicos y, por el otro, los métodos dirigidos a causar daños lógicos.

Isain, Israel, Ásael

5

Comercio Electrónico Conductas dirigidas a causar daños físicos

Unidad 8

El primer grupo comprende todo tipo de conductas destinadas a la destrucción «física» del hardware y el software de un sistema (por ejemplo: causar incendios o explosiones, introducir piezas de aluminio dentro de la computadora para producir cortocircuitos, echar café o agentes cáusticos en los equipos, etc. En general, estas conductas pueden ser analizadas, desde el punto de vista jurídico, en forma similar a los comportamientos análogos de destrucción física de otra clase de objetos previstos típicamente en el delito de daño. 8.6.- Pago electrónico y tributación: sistemas de pago-e.

El comercio electrónico por Internet se ofrece como un nuevo canal de distribución sencillo, económico y con alcance mundial las 24 horas del día todos los días del año, y esto sin los gastos y limitaciones de una tienda clásica: personal, local, horario, infraestructura, etc. Los principales retos que presentan los EPS (sistemas de pago electrónicos) en Internet son los siguientes: Dentro de los posibles mercados de pago se distinguen tres modalidades de compras: Encontrar clientes y negocios que se arriesguen en un producto que está todavía en las primeras fases de introducción. Se trata del mayor reto y ha provocado un efecto de "la gallina y el huevo": los Bancos/Compañías de Software no pueden obtener clientes sin vendedores, y a la inversa. Garantizar la seguridad. Este es quizás el mayor problema para la gente interesada en realizar compras electrónicas. La mayor parte de la gente teme dar su número de tarjeta de crédito, número de teléfono o dirección porque no sabe si alguien será capaz de utilizar esa información sin su consentimiento. Es interesante comprobar que la mayoría de la gente no se lo piensa dos veces antes de comprar cosas por teléfono, pero les incomoda hacerlo a través de su PC. El estándar SET está alejando este miedo mediante una encriptación de los datos de la tarjeta, de forma que sólo el banco y el cliente puedan leerlos. Garantizar el anonimato. Este es también un factor importante en algunos tipos de pago, en concreto en el pago mediante dinero electrónico. Sin embargo, gran parte de la gente se ha acomodado a las tarjetas de crédito y débito. El dinero electrónico anónimo tiene un mercado potencial, pero puede no ser tan grande como se espera. Los sistemas de pago empleados en Internet pueden englobarse en cuatro categorías: Cajeros Electrónicos: Se trata de sistemas en los cuales los clientes abren unas cuentas con todos sus datos en unas entidades de Internet. Estas entidades les proporcionan algún código alfanumérico asociado a su identidad que les permita comprar en los vendedores asociados a las entidades. Sistemas de Encriptación. Dinero Electrónico (Anónimo e Identificado): El concepto de dinero electrónico es amplio, y difícil de definir en un medio tan extenso como el de los medios de pago electrónicos (EPS). A todos los efectos se definirá el dinero electrónico Isain, Israel, Ásael 6

Comercio Electrónico

Unidad 8

como aquel dinero creado, cambiado y gastado de forma electrónica. Este dinero tiene un equivalente directo en el mundo real: la moneda. El dinero electrónico se usará para pequeños pagos (a lo sumo unos pocos miles de pesetas). El dinero electrónico puede clasificarse en dos tipos: Dinero on-line: Exige interactuar con el banco (vía módem o red) para llevar a cabo una transacción con una tercera parte. Dinero offline: Se dispone del dinero en el propio ordenador, y puede gastarse cuando se desee, sin necesidad de contactar para ello con un banco. Estos sistemas de dinero electrónico permiten al cliente depositar dinero en una cuenta y luego usar ese dinero para comprar cosas en Internet. Cheques Electrónicos: Los métodos para transferir cheques electrónicos a través de Internet no están tan desarrollados como otras formas de transferencia de fondos. Los cheques electrónicos podrían consistir algo tan simple como enviar un email a un vendedor autorizándole a sacar dinero de la cuenta, con certificados y firmas digitales asociados. Un sistema de cheques puede ser considerado como un compromiso entre un sistema de tarjetas de crédito y uno de micropagos o dinero electrónico (anónimo). Tarjetas de Crédito: Los sistemas de tarjetas de crédito en Internet funcionarán de forma muy similar a como lo hacen hoy en día. El cliente podrá usar si lo desea su tarjeta de crédito actual para comprar productos en una tienda virtual. La principal novedad consiste en el desarrollo del estándar de encriptación SET (Secure Electronic Transaction) por parte de las más importantes compañías de tarjetas de crédito. La pregunta que se plantea en estos momentos es cual de los nuevos métodos de pago sobrevivirá al test del mercado. Resulta muy probable que el mayor ganador sea la tarjeta de crédito adaptada al comercio electrónico. Carmen Pastor Fernández-Cuesta - Cristina Martínez Martínez

8.7.- Dinero electrónico.

Un sistema de pago electrónico realiza la transferencia del dinero entre comprador y vendedor en una compra-venta electrónica. Es, por ello, una pieza fundamental en el proceso de compra-venta dentro del comercio electrónico. Como ejemplos de sistemas de pago electrónico nos encontramos las pasarelas de pago o TPV-virtual para el pago con tarjeta y los sistemas de monedero electrónico El comercio electrónico por Internet se ofrece como un nuevo canal de distribución sencillo, económico y con alcance mundial las 24 horas del día todos los días del año, y esto sin los gastos y limitaciones de una tienda clásica: personal, local, horario, infraestructura, etc. Los principales retos que presentan los EPS (sistemas de pago electrónicos) en Internet son los siguientes:

Isain, Israel, Ásael

7

Comercio Electrónico Cómo funciona

Unidad 8

En el pago con tarjeta, la pasarela de pago valida la tarjeta y organiza la transferencia del dinero de la cuenta del comprador a la cuenta del vendedor. El monedero electrónico, sin embargo, almacena el dinero del comprador en un formato electrónico y lo transfiere al sistema durante el pago. El sistema de pago valida el dinero y organiza la transferencia a la cuenta del vendedor. También existe la posibilidad de que el sistema de pago transfiera el dinero electrónico al monedero electrónico del vendedor actuando en este caso como un intermediario entre ambos monederos electrónicos. Dentro de los posibles mercados de pago se distinguen tres modalidades de compras: Encontrar clientes y negocios que se arriesguen en un producto que está todavía en las primeras fases de introducción. Se trata del mayor reto y ha provocado un efecto de "la gallina y el huevo": los Bancos/Compañías de Software no pueden obtener clientes sin vendedores, y a la inversa. Garantizar la seguridad. Este es quizás el mayor problema para la gente interesada en realizar compras electrónicas. La mayor parte de la gente teme dar su número de tarjeta de crédito, número de teléfono o dirección porque no sabe si alguien será capaz de utilizar esa información sin su consentimiento. Es interesante comprobar que la mayoría de la gente no se lo piensa dos veces antes de comprar cosas por teléfono, pero les incomoda hacerlo a través de su PC. El estándar SET está alejando este miedo mediante un cifrado de los datos de la tarjeta, de forma que sólo el banco y el cliente puedan leerlos. Garantizar el anonimato. Este es también un factor importante en algunos tipos de pago, en concreto en el pago mediante dinero electrónico. Sin embargo, gran parte de la gente se ha acomodado a las tarjetas de crédito y débito. El dinero electrónico anónimo tiene un mercado potencial, pero puede no ser tan grande como se espera.

Los sistemas de pago empleados en Internet pueden englobarse en cuatro categorías:

Cajeros Electrónicos: Se trata de sistemas en los cuales los clientes abren unas cuentas con todos sus datos en unas entidades de Internet. Estas entidades les proporcionan algún código alfanumérico asociado a su identidad que les permita comprar en los vendedores asociados a las entidades. Dinero Electrónico (Anónimo e Identificado): El concepto de dinero electrónico es amplio, y difícil de definir en un medio tan extenso como el de los medios de pago electrónicos (EPS). A todos los efectos se definirá el Isain, Israel, Ásael 8

Comercio Electrónico

Unidad 8

dinero electrónico como aquel dinero creado, cambiado y gastado de forma electrónica. Este dinero tiene un equivalente directo en el mundo real: la moneda. El dinero electrónico se usará para pequeños pagos (a lo sumo unos pocos miles de pesetas). El dinero electrónico puede clasificarse en dos tipos: Dinero on-line: Exige interactuar con el banco (vía módem o red) para llevar a cabo una transacción con una tercera parte. Dinero offline: Se dispone del dinero en el propio ordenador, y puede gastarse cuando se desee, sin necesidad de contactar para ello con un banco. Estos sistemas de dinero electrónico permiten al cliente depositar dinero en una cuenta y luego usar ese dinero para comprar cosas en Internet. Cheques Electrónicos: Los métodos para transferir cheques electrónicos a través de Internet no están tan desarrollados como otras formas de transferencia de fondos. Los cheques electrónicos podrían consistir algo tan simple como enviar un email a un vendedor autorizándole a sacar dinero de la cuenta, con certificados y firmas digitales asociados. Un sistema de cheques puede ser considerado como un compromiso entre un sistema de tarjetas de crédito y uno de micropagos o dinero electrónico (anónimo). Tarjetas de Crédito: Los sistemas de tarjetas de crédito en Internet funcionarán de forma muy similar a como lo hacen hoy en día. El cliente podrá usar si lo desea su tarjeta de crédito actual para comprar productos en una tienda virtual. La principal novedad consiste en el desarrollo del estándar de cifrado SET (Secure Electronic Transaction) por parte de las más importantes compañías de tarjetas de crédito. La pregunta que se plantea en estos momentos es cual de los nuevos métodos de pago sobrevivirá al test del mercado. Resulta muy probable que el mayor ganador sea la tarjeta de crédito adaptada al comercio electrónico Obtenido de "http://es.wikipedia.org/wiki/Sistema_de_pago_electrónico"

8.8.- Protocolos de seguridad. Un protocolo de seguridad define las reglas que gobiernan estas comunicaciones, diseñadas para que el sistema pueda soportar ataques de carácter malicioso. Protegerse contra todos los ataques posibles es generalmente muy costoso, por lo cual los protocolos son diseñados bajo ciertas premisas con respecto a los riesgos a los cuales el sistema está expuesto. La evaluación de un protocolo por lo tanto envuelve dos

Isain, Israel, Ásael

9

Comercio Electrónico

Unidad 8

preguntas básicas: ¿Es el modelo de riesgo realista? ¿El protocolo puede controlar ese nivel de riesgo? Un protocolo es una serie de pasos, que involucra a dos o mas principales, diseñado para realizar una tarea particular. 1. Todos los principales deben conocer los pasos del protocolo de antemano. 2. Todos deben estar de acuerdo en seguir el protocolo. 3. El protocolo no admite ambigüedades. 4. El protocolo debe ser completo – define qué hacer en cualquier circunstancia posible. 5. No debe ser posible hacer más (o aprender más) que lo que el protocolo define. Un protocolo criptográfico es un protocolo que usa funciones riptograficas en algunos o todos los pasos. Taxonomía de Protocolos Los protocolos pueden ser clasificados en base a su modo de funcionamiento en: Protocolos arbitrados: Aquellos en los que es necesaria la participación de un tercero para garantizar la seguridad del sistema. Ejemplo: método de compra y venta usando un notario. Ejemplo: Alicia quiere vender su carro a Bob. Bob quiere pagar con cheque. Ninguno de los dos confía en el otro: Se consigue un árbitro (Arturo) en que ambos confían (ej. Un notario). Alicia entrega el título de propiedad a Arturo. Bob entrega el cheque a Alicia. Alicia deposita el cheque y espera un tiempo determinado. Si el cheque rebota, Arturo devuelve el título a Alicia. En caso contrario, Arturo entrega el documento a Bob. Los protocolos arbitrados pueden ser ineficientes, o incluso vulnerables a ataques contra el árbitro. Protocolos adjudicados: Son protocolos que tienen dos partes, una parte no-arbitrada y una arbitrada. El subprotocolo arbitrado se activa solo en caso de disputa. Ejemplo: Alicia y Bob quieren suscribir un contrato: Negocian los términos Alicia firma Bob firma Si hay una disputa, apelan ante un juez, quien resuelve el problema. Protocolos auto-reforzados o autoadjudicados: No se requiere de una árbitro para garantizar el protocolo. Se puede abortar la secuencia de pasos en cualquier momento, dejando sin efecto las acciones tomadas (similar a una transacción atómica). No todas las situaciones son apropiadas para este tipo. Los ataques contra protocolos pueden ser activos o pasivos. Si el adversario es uno de los participantes, se trata de una trampa.

8.9.- Firma electrónica. Una infraestructura confiable para la utilización de firma electrónica parte de la utilización de la criptografía, es decir, el proceso de convertir texto inteligible en texto ininteligible o cifrado, y viceversa (particularmente criptografía asimétrica) En criptografía asimétrica se utilizan dos claves una pública conocida por todos, y una privada, conocida solo por la persona a la que le pertenece, también se les Isain, Israel, Ásael 10

Comercio Electrónico

Unidad 8

denomina “llave pública” y “llave privada”, esta última sirve para producir la firma electrónica La vinculación de “Clave o llave Pública” con el usuario es importante, quien autentique documentos supuestamente firmados por él debe de tener plena certeza de su vinculación con su “Clave o llave Pública” Esto se resuelve mediante el certificado digital, éste es un documento digital firmado electrónicamente por un ente en quien todos confiamos denominado Autoridad Certificadora (AC). Mediante el certificado digital del usuario la Autoridad Certificadora “da fe” de que está vinculado a su Clave o llave Pública.

Isain, Israel, Ásael

11

Comercio Electrónico

Unidad 8

Clases de firma electrónica. Normativamente hablando, la LFE dice que la firma electrónica es “el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante.” Y la firma electrónica avanzada es “la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control”. Además veremos más adelante que introduce el concepto de firma electrónica reconocida como la“firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma.”. Veremos asimismo las consecuencias jurídicas de la utilización de una u otra clase de firma electrónica. Pero, a los efectos de lo que estamos brevemente explicando, los conceptos anteriores incorporan, si se saben analizar, los dos tipos de tecnología de cifrado expuestos. Si nos detenemos en el concepto de la firma electrónica ésta sólo exige que los datos que la componen, el algoritmo de cifrado, permita identificar al firmante, y, si comparamos este concepto con la de firma electrónica avanzada se puede fácilmente comprobar cómo se introduce la necesidad de contar con un par de claves, es decir, tecnología de cifrado asimétrico o Infraestructura de Clave Pública, pues se exige que “esté vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control”, es decir, está claramente hablando de una clave privada que el firmante nunca hace pública. Como bien sabemos, el tercer concepto, el de firma electrónica reconocida, tan sólo añade a la firma electrónica avanzada la necesidad de estar basada en un certificado reconocido y haber sido generada mediante un dispositivo seguro de creación de firma.

Isain, Israel, Ásael

12

Comercio Electrónico

Unidad 8

Funciones de la firma electrónica. Podemos distinguir varias funciones de la firma electrónica: Identificación de las partes: la firma tiene que garantizar que los intervinientes son quiénes dicen ser. Sólo la firma electrónica avanzada, y en su caso reconocida, va a poder certificar esta característica plenamente. Autenticación del contenido: el contenido del mensaje tiene que ser el que las partes pusieron, es decir, que se asocia a sus autores tal y como ellos dispusieron.. Integridad del contenido, el mensaje no puede haber sido modificado en el camino. Tiene que poder asegurarse que el contenido del mensaje transmitido no ha sido manipulado. Como simple mención técnica, la conocida función hash (o resumen) es la que garantizaría, al coincidir los resúmenes de emisor y receptor, que dicho mensaje no ha sido manipulado. Confidencialidad: el contenido debe ser secreto entre las partes, pero ni la vigente LFE ni el anterior RDl hacen ninguna mención sobre la misma. No repudio : se tiene que poder garantizar que ninguna de las partes puede negar haber enviado o recibido el mensaje. Esta posibilidad resulta de una importancia esencial a efectos de la conclusión y el perfeccionamiento de las relaciones jurídicas así formalizadas, y en algunos casos, como es el de las relaciones telemáticas con las Administraciones Públicas, obligado. En este sentido, la Exposición de Motivos de la LFE dice que “La firma electrónica constituye un instrumento capaz de permitir una comprobación de la procedencia y de la integridad de los mensajes intercambiados a través de redes de telecomunicaciones, ofreciendo las bases para evitar el repudio, si se adoptan las medidas oportunas, basándose en fechas electrónicas.” Estas funciones no son así explicadas por todos los autores, incluso la normativa, como sabemos, no las distingue tan claramente, y nosotros mismos en un artículo de diciembre de 2002 en esta misma publicación no lo exponíamos así. En muchas ocasiones se unen, por ejemplo, los conceptos de autenticación e integridad, pues, si un mensaje es auténtico tiene que estar íntegro, y viceversa. No obstante, si pensamos en relación con el funcionamiento práctico de la firma electrónica en redes abiertas, entonces podemos razonar del siguiente modo: cuando se firma el documento en concreto, entonces se tiene que garantizar la identificación de las partes y la autenticación del mensaje, ahora bien, cuando el mensaje se envía a su destinatario, es decir, sale del poder de disposición del emisor, entonces se tiene que garantizar la integridad, y, en su caso, la confidencialidad. Pasamos a desgranar las modificaciones introducidas por la LFE, agrupándolas en varios temas para un análisis más eficiente. Diferencias: Firma autógrafa Es una biometría, liga la voluntad del individuo con el contenido y forma del documento en papel. Es una prueba “no refutable” de que el individuo está ligado biométricamente al documento. La firma autógrafa no se puede perder u olvidar y no se puede robar. Normalmente nos acompaña siempre. Falsificar una firma autógrafa es viable.

Isain, Israel, Ásael

13

Comercio Electrónico Firma Electrónica

Unidad 8

Es resultado de un proceso informático para vincular al menos una clave y cierta información Prueba la responsabilidad del individuo para aceptar cierta información Las claves para generarla se pueden perder, olvidar e incluso ser robadas. Normalmente es temporal. Falsificar una firma electrónica es inviable.

8.10.- Certificación PSC y entidades de evaluación.

Pueden ser Prestadores de Servicios de Certificación (PSC), previa acreditación ante la Secretaría de Economía, los notarios públicos, los corredores públicos, las personas morales de carácter privado, y las instituciones públicas, conforme a las leyes que les son aplicables y que cumplan con la legislación respectiva. La principal función de los PSC es emitir certificados digitales, en términos y con los requisitos que establece el Código de Comercio. A través de la utilización de los certificados en la celebración de los actos de comercio por medios electrónicos (Internet) se otorga certeza jurídica y seguridad informática. Publicación Servicio Acreditado de Acreditación Advantage Security, Emisión de 13/12/2005 S. de R.L. de C.V. Certificados Emisión de PSC World S.A de 15/12/2005 Certificados C.V. Advantage Security, Conservación de 08/10/2007 S. de R.L. de C.V. mensajes de Datos Empresa 8.11.- Imposición directa e indirecta. Fiscalidad transaccional.

Isain, Israel, Ásael

14