El ámbito de las firmas digitales debe sustentarse sobre unos sólidos pilares legales para que esta pueda demostrar todas sus ventajas en lo que a eficiencia y seguridad se refiere. Los legisladores colombianos son conscientes de ello, llevando años trabajando para conseguir crear un marco legal a la altura de las circunstancias.

En este texto haremos un breve análisis de los fundamentos de las más relevantes normas vigentes al respecto, determinando así los tipos de firma digital que se pueden realizar en Colombia.

Las leyes de la firma digital en Colombia

Respecto a las principales disposiciones legales que afectan a la firma digital en Colombia, debemos destacar esencialmente:

Ley 527 de 1999

Este texto legal, tal y como se indica en su descripción, define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación.

Dentro de las definiciones que ampara esta normativa, quizás la más destacada para el propósito de este artículo es la de firma digital, aunque también encontramos términos de interés como es el caso de Entidad de Certificación, entre otros.

Definición de firma digital según la Ley 527 de 1999

La firma digital se define por la Ley 527 como:

“Un valor numérico que se adhiere a un mensaje de datos y que, utilizando un procedimiento matemático conocido, vinculado a la clave del iniciador y al texto del mensaje permite determinar que este valor se ha obtenido exclusivamente con la clave del iniciador y que el mensaje inicial no ha sido modificado después de efectuada la transformación.”

La firma digital debe presentar las siguientes características:

  • Identificar de forma única al responsable de la firma.
  • Es verificable en cualquier momento.
  • Su usuario debe tener su control exclusivo.
  • Cualquier modificación posterior de la información que contiene supondrá su invalidación.
  • Cumple con todas las exigencias legales del Gobierno colombiano.

Además, para que la firma digital sea equivalente a la manuscrita deben cumplirse estos requisitos que se encuentran en el artículo 7:

  1. Se ha utilizado un método que permita identificar al iniciador de un mensaje de datos y para indicar que el contenido cuenta con su aprobación;
  2. Que el método sea tanto confiable como apropiado para el propósito por el cual el mensaje fue generado o comunicado.

Decreto 1747 de 2000

Reglamenta parcialmente la Ley 527 de 1999, en lo relacionado con las entidades de certificación, los certificados y las firmas digitales.

Dentro de este decreto se especifican términos como el certificado de firma digital, que es:

“Mensaje de datos firmado por la entidad de certificación que identifica, tanto a la entidad de certificación que lo expide, como al suscriptor y contiene la clave pública de éste.”

Otra definición de interés recogida aquí es la del estampado cronológico:

“Mensaje de datos firmado por una entidad de certificación que sirve para verificar que otro mensaje de datos no ha cambiado en un período que comienza en la fecha y hora en que se presta el servicio y termina en la fecha en que la firma del mensaje de datos generado por el prestador del servicio de estampado, pierde validez.”

El estampado cronológico supone una opción de gran validez para verificar que un documento no ha sido modificado tras su firma, realizando un gran aporte en cuanto a la integridad.

Decreto 2364 de 2012

Mediante éste se reglamenta el ya mencionado artículo 7° de la Ley 527 de 1999, además de dictar otras disposiciones.

En el Decreto 2364 de 2012 podemos encontrar la definición del otro tipo de firma digital que aparece en la legislación colombiana, la firma electrónica.

Definición de firma electrónica según el Decreto 2364 de 2012

El el primer artículo de dicho Decreto se encuentra definida la firma electrónica colombiana como:

Métodos tales como, códigos, contraseñas, datos biométricos, o claves criptográficas privadas, que permite identificar a una persona, en relación con un mensaje de datos, siempre y cuando el mismo sea confiable y apropiado respecto de los fines para los que se utiliza la firma, atendidas todas las circunstancias del caso, así como cualquier acuerdo pertinente.

Para que dicha firma digital y la firma electrónica consigan ser confiables según la legislación, el Decreto 2364 exige que:

  1. Los datos de creación de la firma, en el contexto en que son utilizados, corresponden exclusivamente al firmante.
  2. Es posible detectar cualquier alteración no autorizada del mensaje de datos, hecha después del momento de la firma.

Dentro de este Decreto, entre otras disposiciones, también se comenta el hecho que tiene el principio de neutralidad tecnológica para la firma electrónica.

Decreto 1413 de 2017

En lo que a firma digital se refiere, es importante resaltar que este Decreto prohíbe el uso de certificados digitales software en cliente, permitiéndose exclusivamente en dispositivos token o empleando la firma centralizada o en la nube, en la que el certificado es custodiado en un servidor seguro (HSM).

firma digital legal

¿Qué diferencia hay entre la firma digital y la electrónica en Colombia?

Una vez analizados estos textos legales, podemos concluir que firma digital y firma electrónica pueden ofrecer las garantías de seguridad para sus usuarios, pero con matices legales.

La principal diferencia radica en que, aunque ambas sean legalmente válidas, la firma electrónica presenta una menor carga probatoria en caso de litigio. Para mostrar una equivalencia en este aspecto respecto a la firma digital, se deberán aportar pruebas periciales que verifiquen la integridad, autenticidad y no repudio.

Como hemos comprobado, los legisladores colombianos han demostrado realizar importantes esfuerzos por regular la firma digital en la nación, al tratarse esta de una herramienta muy importante para su proceso de transformación digital.

En Viafirma permanecemos atentos a cualquier cambio que surja al respecto para adaptar nuestras soluciones de firma a dichas modificaciones y, además, informar puntualmente de todo ello.