Tuesday, June 20, 2006

Factura Electrónica y dispositivo seguro de creación de firma 

- Sin consideración especial a la factura electrónica, la Directiva
2001/115/CE dice que los estados no podran obligar a los emisores a firmar
las facturas. Es decir, no es que las facturas en papel no se firman, es que
no se deben firmar. Esto entra en contradicción con la normativa española
que exige firma electrónica reconocida que, como sabemos, es equivalente a
la firma manuscrita.

- En cualquier caso, a pesar de que el RD 1496/2003 impone el uso de firma
electrónica reconocida, la AEAT basa la aceptación de certificados no en el
hecho que sean reconocidos, sino en el hecho que esten "aceptados" por la
Orden HAC/1181/2003.

- En el evento de este año del CEN/ISSS eINVOICING WORKSHOP, se aportaban
algunos argumentos interesantes:

- En aquellos estados en que se requiera firma electrónica reconocida por la
legislación nacional, esta no debe tener la consideración de acuerdo con el
contenido de la factura electrónica. Sólo debe considerarse en este caso el
propósito de garantia de autenticidad e integridad. Para los propositos de
la Directiva el término "firma electrónica" debe tener el significado de
"sello electrónico".

- Dado que no debemos considerar que la firma significa acuerdo con el
contenido, no hay ningún problema en que sean procesos batch los que firmen
las facturas.
"derivaciones":

1. Este tipo de prácticas generan la confusión de que la firma electrónica
reconocida es algo que se puede conseguir con un certificado almacenado en
un simple PC, cuando todos sabemos que la presunción legal exige el
dispositivo seguro (aunque discrepo contigo en que sea necesario que esté
certificado: la certificación simplifica más la prueba, pero no resulta
exigible para la firma reconocida).

2. Aunque en este Estado todos nos autosugestionemos para creer que la firma
electrónica avanzada ha sido transmutada por arte de la AEAT en una firma
electrónica reconocida, resulta que no lo es, y por consiguiente tendremos
más problemas (de los que ya tenemos, quiero decir) para lograr la "libre
circulación de las firmas electrónicas".

3. Además, resulta que con esta práctica no ha liberado a las empresas de la
obligación de cumplir la Ley 59/2003, por lo que el riesgo lo asumen ellas.
Me explico:

a) Una empresa quiere hacer factura telemática; ergo conforme RD 1496/2003
sabe que se encuentra obligada a emplear algo que legalmente sea "firma
electrónica reconocida".

b) Como dispone de un certificado gratuito de la FNMT-RCM, que está admitido
por la AEAT, lo utiliza para facturar.

c) En caso de duda jurídica sobre la firma electrónica producida, lo primero
que encontrará es que ha elegido un instrumento que no era idóneo legalmente
para cumplir la normativa, con lo cual habrá infringido la normativa
tributaria.

d) Por supuesto, la FNMT-RCM no resultará responsable, básicamente por no
haberle prometido en ningún sitio que el producto suministrado era idóneo
para producir firmas electrónicas reconocidas.

e) Por fortuna, como la AEAT ha "admitido" el certificado, entonces
difícilmente será sancionado por la propia AEAT, pero... ¿qué pasa si el
problema legal NO es con la AEAT, sino en relación con un moroso que no
paga?

¿No se puede encontrar con un juez que decida - con base suficiente, por
cierto - que el instrumento no debe producir sus plenos efectos, dado que se
emitió de forma incorrecta? Ciertamente es un vicio subsanable, pero seguro
que podríamos haberlo hecho mejor.

SOBRETODO porque la Directiva 2001/115/CE NO exigía a los Estados Miembro
imponer el requisito de la firma electrónica reconocida, porque - como todo
el mundo sabe - las facturas en papel, NO SE FIRMAN.

CONCLUSIÓN: No parece haber sido una buena idea que el RD 1496/2003 imponga
el uso de la firma electrónica reconocida, para después "saltarse" el
requisito mediante una frase publicada en una página web, que por cierto, no
tiene valor legal.

MI RECOMENDACIÓN: Emplear firma electrónica reconocida "de verdad", CON
INDEPENDENCIA de lo que la AEAT considere dispositivo seguro. 

4. Además, hace falta avanzar en la definición de normas y criterios en
relación con los dispositivos seguros de creación de firma de funcionamiento
automático en servidor (los llamados "servidores de firmas" o "portafirmas",
por algunos), no sea que ahora necesitemos a los pobres humanos para
introducir su PIN de firma constantemente.

De otra forma, podemos hasta conseguir lo contrario de lo perseguido con la
normativa de firma electrónica; es decir, que NO SE USE.



Relacionado con la factura electrónica, me llama la atención una cosa
que no sé si se ha discutido alguna vez con anterioridad. La cuestión es
la siguiente:

- En la orden HAC/1181/2003, disposición segunda, punto 1, 4o párrafo,
se dice que las firmas de las facturas electrónicas deben realizarse con
un "dispositivo seguro de creación de firma" (DSCF) según la legislación
sobre firma electrónica: entiendo que la ley 59/2003, de 19 de
diciembre, de firma electrónica.

- Esta ley define los requisitos de un DSCF en el artículo 24, punto 3.
El artículo 27 viene a decir que es necesario pasar una certificación
para que un dispositivo de creación de firma se considere DSCF y que las
normas técnicas de referencia aparecerán en el diario oficial de la
Unión Europea. Hasta donde yo sé, estos dispositivos deben cumplir la
norma CWA-14169 (Official Journal of European Union, 15.7.2003)
- Hasta la fecha, que yo conozca, sólo algunos dispositivos hardware
criptográficos (alguna tarjeta inteligente), cumple esta norma y desde
luego, ningún módulo criptográfico sólo basada en software lo cumple.

- Sin embargo, en la siguinte dirección, de la AEAT, aparece esta
'innovadora' definición de dispositivo seguro de creación de firma: " La
AEAT aceptará dispositivos seguros de creación de firma consistentes en
aplicaciones informáticas de amplio uso, como módulos criptográficos
normalizados contenidos en sistemas operativos u otro software".

Desde mi punto de vista esto presenta los siguientes problemas:
- Tenemos dos definiciones de DSCP, la que marca la ley y la que le
conviene a la AEAT
- La definición de la AEAT, en aras de facilitar la adopción de la
factura-e, está perjudicando a:
   - fabricantes de tarjetas
   - prestadores de servicios de certificación posicionados en servicio
de alta calidad y seguridad, cumpliendo la legislación vigente

La verdad es que no me parece necesaria esta concesión que está haciendo
la AEAT, pues ya existen en el mercado DSCF, cuyo coste,comparado con el
ahorro que proporciona la e-factura es irrisorio.
Posted by JJ at 10:07 AM 3 comments

Saturday, June 10, 2006

RFID para el rastreo de personas. 

http://www.dhs.gov/interweb/assetlibrary/privacy_advcom_rpt_rfid_draft.pdf

En este link la postura del Emerging Applications and
Technology Subcommittee del Department of Homeland Security (USA) en
relación con el uso de tecnologías RFID para el rastreo de personas.

Resulta revelador que se argumente en contra de los pretendidos motivos
aducidos para estos usos de RFID y se reconozca el elevado o excesivo
grado vigilancia que pueden proveer estos sistemas.

Si bien no obstante, lo interesante del documento es la exposición de las
distinas amenazas que pueden afectar a la privacidad de las personas, así
como el listado de best practices aplicables para gestionar los riesgos
que éstas presentan:

- transparencia (método de tratamiento, responsable del tratamiento, datos
personales, finalidad, presencia y localización de lectores),
- utilización sólo para la finalidad consentida y por el tiempo que sea
necesaria,
- marco de opt in-opt out, posibilidad de deshabilitar RFID,
- acceso sólo por lectores autorizados,
- cifrado de la información en soportes, durante la transmisión y en las
bases de datos, e
- imposibilidad de mantener simultáneamente más de una sesión de
identificación.

En relación con este tipo de usos de las tecnologías RFID, y de cara al
nuevo Reglamento LOPD, me asaltan preguntas tales como ¿habrá de incluirse
en el deber de información la tecnología empleada en el tratamiento de los
datos personales? ¿no sería necesario calificar como datos personales de
nivel alto todos aquellos empleados para la identificación unívoca
presencial y electrónica de las personas, dado el posible uso de estos por
terceros con el propósito de suplantar la identidad? ¿la obligación de
cifrado en las comunicaciones no debiera ser también extensible a redes
privadas?...

En algún momento se dijo que el DNI-e podría implementar tecnologías RFID.
Actualmente parece que no es así..
Al margen de que en EEUU los pasaportes ya llevan chip RFID, y que hay una
enmienda para insertar chips baratos en los billetes de más de una cantidad
(deduzco que los de 10$ o más).

Una empresa Israelita sacó al mercado una TINTA especial, que permite imprimir
tags RFID directamente sobre cualquier tipo de papel
http://www.rfidjournal.com/article/articleview/790/1/1


En breve, teniendo en cuenta los últimos movimientos de la Comunidad Europea,
sospecho que empezarán a aparecer propuestas globales para implantar el
seguimiento y rastreo mediante estos chips en prácticamente cualquier situación
(batas escolares, documentos de identidad, piezas de vehículos de lujo, tarjetas
de empleados,...).
Posted by JJ at 9:16 AM 0 comments
Subscribe to: Comments (Atom)