Algunos meses atrás compartí unas reflexiones sobre la e.firma del SAT y lo que implica que la ley le otorgue el carácter de Firma Electrónica Avanzada. Si se lo perdieron, aquí les dejo el enlace: e.firma: Firma Electrónica Avanzada (?) | LinkedIn.
Unas semanas después, sin haberlo planeado de esa manera, weetrust realizó una publicación también relacionada con la e.firma que generó algo de controversia. Curiosamente, diversos expertos del sector acudieron a la sección de comentarios a defender y promover las cualidades de la e.firma.
En fin, las discusiones que se generaron a raíz de esa publicación ni siquiera deberían haberse dado, pues se trató más bien de una malinterpretación del copy. En el texto, weetrust usa el concepto coloquial de “no sirve” y ciertas personas inmediatamente asumieron que se estaba diciendo que la e.firma no es válida. Dos ideas muy diferentes.
Ahora, la motivación para escribir esta segunda parte surgió de leer los argumentos que los participantes esgrimieron en los comentarios:
1 - ¿Verificación de Identidad al firmar?
En resumen, lo que algunas personas mencionaban era que el verificar la identidad de los firmantes al momento de firmar es innecesario, porque el SAT realiza una verificación de identidad a los contribuyentes al momento de tramitar su e.firma.
Efectivamente, lo que dicen no es falso. Mi pregunta es: ¿qué pasa después de la entrega de ese certificado? ¿Cómo garantizas que, a partir de esa entrega, la titular del certificado será la única persona que lo usa? ¿Qué tal que lo compartió o que se lo robaron?
Cualquier fraude que le cometan, la titular estará prácticamente perdida, pues será ella quien tenga que demostrar que no firmó, lo cual le será MUY complejo (si no es que imposible).
Creo que la mayoría de los que nos movemos en este medio sabemos que, en efecto, no es requisito verificar identidad para que una firma y un documento electrónicos sean válidos (nadie está diciendo lo contrario). Sin embargo, para que la firma electrónica tenga la robustez necesaria para garantizar la identidad del firmante, de tal manera que no deje lugar a interpretación ni a dudas de su carácter de “Avanzada” en términos del artículo 97 del Código de Comercio y, por tanto, goce del “No Repudio”, sí es necesario.
¿Por qué? Porque, ¿de qué otra manera podemos cerciorarnos de que “los datos de creación de la firma estaban, en el momento de la firma, bajo el control exclusivo del firmante”?
Claramente la verificación de identidad que el SAT me realizó hace 2 años no garantiza que sea yo quien realmente utiliza mi e.firma al momento de firmar.
2 - Firma de Carta Responsiva
Por ahí se mencionó también que los contribuyentes firman una carta responsiva al momento de tramitar su e.firma, haciéndose responsables del mal uso de la misma.
La realidad nos demuestra que, a pesar de la responsiva, subsiste la mala práctica de compartir los archivos y contraseñas de la e.firma. ¿No deberíamos buscar una solución a este problema, en lugar de persistir en defender una tecnología que ya se ve rebasada por la realidad?
Me parece una solución muy incompleta–además de perjudicial para el contribuyente–el remitirnos a la responsiva como la “solución” al problema.
De nuevo, mi pregunta es: ¿Por qué aferrarnos a una tecnología desfasada? ¿Qué hay del principio de Neutralidad Tecnológica? Abracemos la innovación y promovamos el uso de nuevas tecnologías que nos dan más certeza y nos solucionan problemas que los métodos tradicionales no podían resolver.
3 - e.firma > firma autógrafa
Me pareció interesante leer que la e.firma otorga más “confianza” que la firma autógrafa. ¿Será? Lo dejo a su criterio. Ambas soluciones presentan una mayor susceptibilidad de ser utilizadas para cometer fraude cuando las comparas con una tecnología especializada en detectarlo en tiempo real y que, por lo tanto, lo previene.
En la firma autógrafa podemos solicitarle a los firmantes que se identifiquen al momento de firmar; sin embargo, los humanos no somos expertos en identificar rasgos que nos permitan cerciorarnos de que la persona que presenta la identificación es la misma cuya fotografía aparece sobre la misma (pudo haber subido o bajado de peso, o envejecer). Mucho menos podremos detectar si se trata de una identificación apócrifa.
Con la e.firma del SAT, como ya lo hemos mencionado, no vemos a las personas al momento de firmar, por lo tanto no tenemos certeza de que alguien más se haya hecho de la posesión de la e.firma y esté cometiendo fraude.
Food for thought.
CONCLUSIONES
- Quizás el lenguaje utilizado en la publicación debió ser diferente, de tal manera que no se prestara a malinterpretaciones, como sí sucedió.
- La e.firma sí es un método válido para manifestar la voluntad y, además, es una Firma Electrónica Avanzada. Aunque, si bien no le aplica la definición del artículo 97 del Código de Comercio, ¿cumpliría con los requisitos que éste establece para ser considerada “avanzada”? La respuesta es sencilla: No, pues la e.firma es “Avanzada” por la misma razón que nos daban nuestros padres cuando los cuestionábamos: “Porque yo lo digo”.
- La solución de la responsiva del SAT es una (¿o “un”?) “curita” a un problema que debe atacarse de raíz (Ver meme). Necesitamos darnos cuenta y reconocer que la tecnología de la e.firma ha sido rebasada por la realidad para poder erradicar el problema. La propuesta, en realidad, no es una solución y, además, termina afectando al contribuyente.
- El método más fiable y certero para garantizar la identidad de tus firmantes en un documento electrónico y para prevenir el fraude, es aquel que emplea la tecnología más especializada y avanzada para hacerlo en tiempo real. Por ejemplo, en weetrust ofrecemos la posibilidad de agregar a tu proceso de firma una tecnología con la capacidad para (i) verificar la autenticidad de identificaciones oficiales, (ii) realizar una comprobación biométrico-facial entre el rostro de tu firmante y la foto de su identificación, (iii) realizar una prueba de vida a tu firmante, y (iv) correr una consulta automatizada a distintas bases de datos para cerciorarte de que tu firmante no se encuentre boletinado en alguna lista negra. Todo eso en cuestión de segundos.
- La manera de emplear la e.firma en la práctica no permite tener la eficiencia que las personas requieren en sus transacciones del día a día. Para utilizarse, se requiere tener un dispositivo USB o tener los archivos .cer y .key a la mano, lo cual implica una gran fricción para los usuarios.
¿Por qué seguir cargando con archivos duplicables, susceptibles de robo y poco prácticos de usar? ¿A quién le gusta batallar?
