eiDAS y servicios de entrega calificados: qué son y qué tan extendidos están

Publicado: 2022-10-27

En esta publicación, nos centraremos en un tema importante y de actualidad, con algunas actualizaciones importantes en el horizonte. Comenzaremos con cuestiones técnicas y legislativas, pero estas tienen un impacto diario en la vida de todos nosotros: tanto como personas como empresas.

Hablamos del Servicio Electrónico de Entrega Certificada Calificada, conocido como SERCQ. Es bueno comenzar, por tanto, con el marco relacionado con la normativa vigente; llegaremos a eso en la siguiente sección.

A continuación, veremos las diferencias entre SERCQ (Servicio de entrega electrónica certificado calificado) y SERC (Servicio de entrega electrónica certificado) y luego nos centraremos en PEC , que es específico del ecosistema digital y legislativo italiano. Aquí, tenga en cuenta que se están produciendo nuevos desarrollos en este campo, y todos ellos tienen como objetivo colocar a PEC dentro de los estándares europeos unificados.

Procedamos en orden.

Nueva llamada a la acción

Servicio de entrega de certificados electrónicos cualificados y eIDAS

Desglosemos rápidamente otro acrónimo que subyace a esta discusión: eIDAS (servicios de identificación, autenticación y confianza electrónica) es el Reglamento Europeo 910/2014 que se centra en la identificación electrónica y los servicios de confianza para transacciones electrónicas en el mercado interior.

eIDAS proporciona una base reguladora común para interacciones electrónicas seguras entre ciudadanos, empresas y administraciones públicas en la Unión Europea . Además, eIDAS aborda la seguridad, la transparencia y la eficacia de los servicios electrónicos y las transacciones de comercio electrónico y comercio electrónico.

Entre otras cosas, esta regulación introdujo el Servicio de Entrega Electrónica Certificada ( SERC ) y el Servicio de Entrega Electrónica Certificada Calificado ( SERCQ ). Estos dos acrónimos pueden ser engañosos y confusos. De hecho, debemos prestar mucha atención, ya que existen diferencias decisivas entre los dos sistemas , que tienen impactos decisivos a nivel legal y burocrático en general.

En este sentido, los artículos 43 y 44 son los que más nos interesan. Los explicaremos en detalle a continuación:

  • Artículo 43: Los efectos jurídicos de un servicio de entrega electrónica certificada
  1. Los datos enviados y recibidos a través de un servicio certificado de entrega electrónica no tendrán efectos jurídicos y admisibilidad como prueba en procesos judiciales por el mero hecho de su forma electrónica o porque no cumplan con los requisitos del servicio calificado de entrega electrónica certificada.
  2. Los datos enviados y recibidos por un servicio calificado de entrega electrónica certificada gozarán de la presunción de integridad de los datos, el envío de dichos datos por parte del remitente identificado, su recepción por parte del destinatario identificado y la exactitud de la fecha y hora de envío y recepción indicadas por el servicio de entrega electrónica certificado calificado.
  • Artículo 44: Requisitos para los servicios calificados de entrega electrónica certificada
  1. Los servicios de entrega electrónica certificados calificados deberán cumplir con los siguientes requisitos:

(a) serán proporcionados por uno o más proveedores de servicios de confianza calificados;

(b) garantizar la identificación del remitente con un alto nivel de seguridad;

(c) asegurar la identificación del destinatario antes de la transmisión de datos;

(d) el envío y la recepción de los datos están protegidos por una firma electrónica avanzada o un sello electrónico avanzado de un proveedor de servicios de confianza calificado para excluir la posibilidad de cambios no detectables en los datos;

(e) cualquier cambio en los datos necesarios para enviarlos o recibirlos se indica claramente al remitente y al destinatario de los datos;

(f) la fecha y la hora de envío y recepción y cualquier cambio en los datos se indican mediante un sello de tiempo electrónico cualificado.

Cuando los datos se transfieran entre dos o más proveedores de servicios de confianza calificados, los requisitos de (a) a (f) se aplicarán a todos los proveedores de servicios de confianza calificados.

2. La Comisión podrá, mediante actos de ejecución, establecer los números de referencia de las normas aplicables a los procesos de envío y recepción de datos. Se presumirá el cumplimiento de los requisitos a que se refiere el apartado 1 cuando el proceso de envío y recepción de datos cumpla dichos estándares. Estos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.

Las diferencias entre el servicio de entrega electrónica certificada (SERC) y el servicio de entrega electrónica certificada calificada (SERCQ)

Aquí llegamos a un punto sensible e importante, el de las diferencias entre SERC y SERCQ . La normativa eIDAS que acabamos de citar es exhaustiva en este sentido. Pero vamos a resumirlo a continuación, de forma nítida y clara.

SERC permite la transmisión electrónica de datos entre terceros, proporciona evidencia sobre el procesamiento de los datos transmitidos, incluida la evidencia de que los datos han sido enviados y recibidos, y protege los datos transmitidos del riesgo de pérdida, daño por robo o modificación no autorizada. También cumple con los principios requeridos de "precisión de fecha y hora de envío y recepción". Lo que le falta a SERC son garantías, con altos niveles de seguridad, de la identificación del remitente, en primer lugar. Y luego del destinatario, en las etapas previas a la transmisión de los datos. Y estas son precisamente las características y estándares que garantiza el Servicio Electrónico de Entrega Certificada Calificada (SERCQ). En el contexto de la Unión Europea, los sistemas SERC y SERCQ ahora están muy extendidos, en todos los niveles. Italia, en este sentido, es una anomalía.

Actualmente, solo tenemos PEC en Italia. Sin embargo, la legislación italiana ya permite el uso de los servicios SERCQ: traducidos, es solo cuestión de tiempo antes de que se extiendan ampliamente también aquí. Prepararse para esto con anticipación puede ser una importante ventaja competitiva.

Además, presta atención a otro aspecto. Hay algunos desarrollos importantes en el horizonte únicamente en el frente de PEC, que pronto pueden adaptarse a los estándares SERCQ. Hablaremos de esto en la siguiente sección.

El futuro del PEC apunta hacia el SERCQ

PEC (Correo electrónico certificado) es algo con lo que todos estamos familiarizados. Ahora es una herramienta cotidiana para un gran segmento de profesionales y otros. Según los últimos datos disponibles, existen más de 14 millones de direcciones PEC activas ; mientras que, en 2016, hubo entre 7 y 8 millones.

Simplificando, se puede decir que PEC corresponde a la antigua carta certificada con acuse de recibo; y, como apuntábamos más arriba, es una peculiaridad totalmente italiana que, sin embargo, se está adaptando a los estándares europeos. Pero procedamos en orden.

Lo cierto es que PEC puede ser considerado un Servicio de Entrega Electrónica Certificada (SERC), ya que cumple con los requisitos establecidos en el artículo 43 del reglamento eIDAS que citábamos anteriormente. Sin embargo, tenga cuidado: no puede considerarse un Servicio de entrega electrónica certificado calificado (SERCQ).

La distinción, de hecho, es lo que ya hemos aislado justo arriba: las garantías sobre el remitente y el destinatario. En particular, en la actualidad, no existe ninguna disposición para la verificación cierta de la identidad del solicitante de la casilla PEC. Además, tampoco existe ningún requisito para que el operador se someta a auditorías de cumplimiento obligatorias por parte de organismos designados. He aquí por qué el spam y algunas estafas a veces incluso llegan a la bandeja de entrada de los buzones de correo certificados: PEC tiene procedimientos más simplificados (por lo tanto, menos seguros) para identificar a los solicitantes (más ligeros y más eludibles, por ejemplo, que los provistos para SPID).

La buena noticia, sin embargo, es que el PEC no se detiene . Su evolución se viene discutiendo desde hace tiempo, y el camino parece ya bien marcado en dirección a su inclusión entre los Servicios Cualificados de Entrega Electrónica Certificada.

Hay dos siglas a tener en cuenta en este camino: ETSI y REM . ETSI es el Instituto Europeo de Normas de Telecomunicaciones. Estos son los estándares dedicados a la interoperabilidad en toda la Unión Europea de los sistemas de firma digital y los sistemas REM. Y aquí está nuestro segundo acrónimo: Correo Electrónico Registrado. Los protocolos REM ya incluyen el PEC italiano.

Sin perdernos en tecnicismos, baste decir que en 2019 se creó un grupo de trabajo entre la Agencia Italia Digital, los operadores de PEC, Uninfo y Assocertificatori que está finalizando las reglas técnicas necesarias para que PEC "suba de rango" para que pueda Cumplir con los estándares europeos requeridos para el Servicio de entrega electrónica certificado calificado (SERCQ).

Esto es para evitar la creación de herramientas alternativas. De hecho, reemplazar una herramienta tan utilizada e implementada como CEM sería lento, muy ineficiente y ciertamente antieconómico.

Más allá del cumplimiento: las oportunidades de una digitalización madura

Cuando hablamos de sistemas de digitalización, identidad digital, autenticación y certificación, nunca debemos olvidar esto: no se trata solo de logros, sino de oportunidades a aprovechar . En primer lugar, están las grandes ventajas en términos de seguridad, transparencia, conveniencia y mayor eficiencia.

Pero hay una palabra clave adicional que siempre se debe tener en cuenta: integración . Esta es una palabra clave absolutamente decisiva cuando pasamos del ámbito de los particulares al de las empresas.

En resumen, ¡una verdadera revolución, que se convierte en una espiral de optimización continua!