Factura Electrónica y dispositivo seguro de creación de firma

- Sin consideración especial a la factura electrónica, la Directiva
2001/115/CE dice que los estados no podran obligar a los emisores a firmar
las facturas. Es decir, no es que las facturas en papel no se firman, es que
no se deben firmar. Esto entra en contradicción con la normativa española
que exige firma electrónica reconocida que, como sabemos, es equivalente a
la firma manuscrita.

- En cualquier caso, a pesar de que el RD 1496/2003 impone el uso de firma
electrónica reconocida, la AEAT basa la aceptación de certificados no en el
hecho que sean reconocidos, sino en el hecho que esten "aceptados" por la
Orden HAC/1181/2003.

- En el evento de este año del CEN/ISSS eINVOICING WORKSHOP, se aportaban
algunos argumentos interesantes:

- En aquellos estados en que se requiera firma electrónica reconocida por la
legislación nacional, esta no debe tener la consideración de acuerdo con el
contenido de la factura electrónica. Sólo debe considerarse en este caso el
propósito de garantia de autenticidad e integridad. Para los propositos de
la Directiva el término "firma electrónica" debe tener el significado de
"sello electrónico".

- Dado que no debemos considerar que la firma significa acuerdo con el
contenido, no hay ningún problema en que sean procesos batch los que firmen
las facturas.

"derivaciones":

1. Este tipo de prácticas generan la confusión de que la firma electrónica
reconocida es algo que se puede conseguir con un certificado almacenado en
un simple PC, cuando todos sabemos que la presunción legal exige el
dispositivo seguro (aunque discrepo contigo en que sea necesario que esté
certificado: la certificación simplifica más la prueba, pero no resulta
exigible para la firma reconocida).

2. Aunque en este Estado todos nos autosugestionemos para creer que la firma
electrónica avanzada ha sido transmutada por arte de la AEAT en una firma
electrónica reconocida, resulta que no lo es, y por consiguiente tendremos
más problemas (de los que ya tenemos, quiero decir) para lograr la "libre
circulación de las firmas electrónicas".

3. Además, resulta que con esta práctica no ha liberado a las empresas de la
obligación de cumplir la Ley 59/2003, por lo que el riesgo lo asumen ellas.
Me explico:

a) Una empresa quiere hacer factura telemática; ergo conforme RD 1496/2003
sabe que se encuentra obligada a emplear algo que legalmente sea "firma
electrónica reconocida".

b) Como dispone de un certificado gratuito de la FNMT-RCM, que está admitido
por la AEAT, lo utiliza para facturar.

c) En caso de duda jurídica sobre la firma electrónica producida, lo primero
que encontrará es que ha elegido un instrumento que no era idóneo legalmente
para cumplir la normativa, con lo cual habrá infringido la normativa
tributaria.

d) Por supuesto, la FNMT-RCM no resultará responsable, básicamente por no
haberle prometido en ningún sitio que el producto suministrado era idóneo
para producir firmas electrónicas reconocidas.

e) Por fortuna, como la AEAT ha "admitido" el certificado, entonces
difícilmente será sancionado por la propia AEAT, pero... ¿qué pasa si el
problema legal NO es con la AEAT, sino en relación con un moroso que no
paga?

¿No se puede encontrar con un juez que decida - con base suficiente, por
cierto - que el instrumento no debe producir sus plenos efectos, dado que se
emitió de forma incorrecta? Ciertamente es un vicio subsanable, pero seguro
que podríamos haberlo hecho mejor.

SOBRETODO porque la Directiva 2001/115/CE NO exigía a los Estados Miembro
imponer el requisito de la firma electrónica reconocida, porque - como todo
el mundo sabe - las facturas en papel, NO SE FIRMAN.

CONCLUSIÓN: No parece haber sido una buena idea que el RD 1496/2003 imponga
el uso de la firma electrónica reconocida, para después "saltarse" el
requisito mediante una frase publicada en una página web, que por cierto, no
tiene valor legal.

MI RECOMENDACIÓN: Emplear firma electrónica reconocida "de verdad", CON
INDEPENDENCIA de lo que la AEAT considere dispositivo seguro. 

4. Además, hace falta avanzar en la definición de normas y criterios en
relación con los dispositivos seguros de creación de firma de funcionamiento
automático en servidor (los llamados "servidores de firmas" o "portafirmas",
por algunos), no sea que ahora necesitemos a los pobres humanos para
introducir su PIN de firma constantemente.

De otra forma, podemos hasta conseguir lo contrario de lo perseguido con la
normativa de firma electrónica; es decir, que NO SE USE.



Relacionado con la factura electrónica, me llama la atención una cosa
que no sé si se ha discutido alguna vez con anterioridad. La cuestión es
la siguiente:

- En la orden HAC/1181/2003, disposición segunda, punto 1, 4o párrafo,
se dice que las firmas de las facturas electrónicas deben realizarse con
un "dispositivo seguro de creación de firma" (DSCF) según la legislación
sobre firma electrónica: entiendo que la ley 59/2003, de 19 de
diciembre, de firma electrónica.

- Esta ley define los requisitos de un DSCF en el artículo 24, punto 3.
El artículo 27 viene a decir que es necesario pasar una certificación
para que un dispositivo de creación de firma se considere DSCF y que las
normas técnicas de referencia aparecerán en el diario oficial de la
Unión Europea. Hasta donde yo sé, estos dispositivos deben cumplir la
norma CWA-14169 (Official Journal of European Union, 15.7.2003)
- Hasta la fecha, que yo conozca, sólo algunos dispositivos hardware
criptográficos (alguna tarjeta inteligente), cumple esta norma y desde
luego, ningún módulo criptográfico sólo basada en software lo cumple.

- Sin embargo, en la siguinte dirección, de la AEAT, aparece esta
'innovadora' definición de dispositivo seguro de creación de firma: " La
AEAT aceptará dispositivos seguros de creación de firma consistentes en
aplicaciones informáticas de amplio uso, como módulos criptográficos
normalizados contenidos en sistemas operativos u otro software".

Desde mi punto de vista esto presenta los siguientes problemas:
- Tenemos dos definiciones de DSCP, la que marca la ley y la que le
conviene a la AEAT
- La definición de la AEAT, en aras de facilitar la adopción de la
factura-e, está perjudicando a:
   - fabricantes de tarjetas
   - prestadores de servicios de certificación posicionados en servicio
de alta calidad y seguridad, cumpliendo la legislación vigente

La verdad es que no me parece necesaria esta concesión que está haciendo
la AEAT, pues ya existen en el mercado DSCF, cuyo coste,comparado con el
ahorro que proporciona la e-factura es irrisorio.