Tribuna de Álvaro Requeijo Pascua y Álvaro Requeijo Torcal, socio y abogado en el despacho Álvaro Requeijo Abogados.
Tribuna de Álvaro Requeijo Pascua y Álvaro Requeijo Torcal, socio y abogado en el despacho Álvaro Requeijo Abogados.
La agilidad en la atención al cliente es una cuestión relevante en el ámbito de los servicios de inversión. La amplia gama de dichos servicios en banca privada exige la intervención del cliente en la formalización de diversos tipos de contratos (p.ej. contrato de asesoramiento en materia de inversión, contrato de gestión discrecional de carteras, mera ejecución), en la emisión de órdenes (p.ej. suscripción, traspaso, reembolso, etc.) o en la suscripción de documentos (p.ej. test de idoneidad o conveniencia). En la actualidad, una parte importante de las entidades no han dado el salto a la digitalización de firmas. En estos casos, en los que se sigue optando por la firma manuscrita, las dilaciones en la obtención firmas pueden bloquear el proceso de venta. En la práctica, recabar la firma manuscrita del cliente provoca que pueda retrasarse la contratación de una inversión concreta hasta la firma; o se contrate un producto (o se realice un test de idoneidad o conveniencia) y se quede a la espera de recibir las firmas, asumiendo el riesgo de que el cliente finalmente no firme.
Actualmente, el mercado ofrece soluciones tecnológicas de firma electrónica que no exigen que el cliente ostente un certificado sofisticado. Por ejemplo:
(i) soluciones OTP-SMS: envío de un código OTP al móvil del cliente,
(II) aplicaciones generadoras de tokens,
(III) firma manuscrita digitalizada (presión y velocidad de trazo), etc.
En este ámbito resulta especialmente relevante el análisis de aquellas soluciones que puedan agilizar la contratación:
(I) sin reducir capacidad de identificación del firmante;
(II) sin que pierda validez legal la firma; y
(III) sin posibilitar la cuestionabilidad de la firma por el propio firmante en caso de controversia (no refutation / no repudio).
Tipos de firma electrónica
¿Cuáles son más fiables? Para responder es preciso analizar los tipos de firma electrónica. De acuerdo con los artículos 3 de la Ley 59/2003, de Firma electrónica (LFE) y 25 y ss. del Reglamento (UE) 910/2014, de servicios de confianza para transacciones electrónicas (eIDAS) existen tres tipos (ver cuadro), la simple, la avanzada y la reconocida/cualificada.
TIPO | LFE | eIDAS | Efectos |
Simple | Conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante. | Datos en formato electrónico anejos a otros datos electrónicos o asociados de manera lógica con ellos que utiliza el firmante para firmar. | No se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a una firma simple o avanzada por el mero hecho de no cumplir con los requisitos de la firma electrónica cualificada |
Avanzada | Permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, está vinculada al firmante de manera única y a los datos a que se refiere y ha sido creada por medios que el firmante puede utilizar, con un alto nivel de confianza, bajo su exclusivo control. | Está vinculada al firmante de manera única, permite su identificación, ha sido creada utilizando datos de creación de firma electrónica que el firmante puede utilizar, con un alto nivel de confianza, bajo su control exclusivo y está vinculada con los datos firmados de modo que cualquier modificación ulterior de los mismos sea detectable . | |
Reconocida / Cualificada | Toda firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma | Toda firma avanzada que se crea mediante un dispositivo cualificado de creación de firmas electrónicas y que se basa en un certificado cualificado de firma electrónica | Tendrá un efecto jurídico equivalente al de una firma manuscrita. Si está basada en un certificado cualificado emitido en un Estado miembro será reconocida en todos los demás. |
De los tres tipos, solo la firma cualificada tendría la misma fortaleza que la firma manuscrita y no podría ser cuestionada por el firmante. Pero no siempre puede contarse con que los clientes tengan un certificado cualificado para firmar y exigirlo podría afectar a la continuidad de determinada tipología de cliente. Ello unido al hecho de que a la firma avanzada se le reconozcan efectos jurídicos, y valor probatorio o admisibilidad como medio de prueba, invita a acudir a soluciones innovadoras de firma avanzada que ofrezcan una identificación suficiente del firmante (autenticación) y agilidad en la contratación.
Factores de autenticación
El artículo 8 eIDAS estableció los niveles de identificación electrónica bajo, sustancial y alto y dio pie a la aprobación del Reglamento de Ejecución (UE) 2015/1502, que regula los tres posibles factores de autenticación del firmante junto con los procedimientos para delimitarlos en función del nivel de identificación: posesión, conocimiento e inherencia (ver cuadro).
Factores de autenticación | Ejemplo |
«posesión»: factor de autenticación en el que el sujeto está obligado a demostrar posesión del mismo; | Teléfono móvil, etc. |
«conocimiento»: factor de autenticación en el que el sujeto está obligado a demostrar conocimiento del mismo; | Número PIN, contraseña o pregunta de seguridad. |
«inherencia»: factor de autenticación que se basa en un atributo físico de una persona física del cual el sujeto está obligado a demostrar su posesión; | Biometría, huella dactilar, huella ocular, selfie, etc. |
La existencia de estos factores y sus respectivos procedimientos, permiten explorar opciones tecnológicas que no exijan recabar la firma manuscrita del cliente pero que, combinando dichos factores de autenticación, ofrezcan un elevado grado de seguridad respecto de la identidad del firmante, sin que la firma pierda validez. Por ejemplo, por analogía de la regulación en materia de servicios de pago (PSD2) que crea el concepto de “autenticación fuerte” para aquellas soluciones que incluyan dos de esos tres factores (inherencia, posesión y conocimiento), podría valorarse optar por soluciones que ofrezcan al menos dos de los tres factores. La normativa no otorga preponderancia a ninguno de los factores de autenticación en los niveles de seguridad bajo y sustancial. Pero sí que parece manifestar preferencia por los medios fotográficos o biométricos reconocidos por el Estado en el caso del nivel de seguridad alto. No obstante, a día de hoy, el único medio reconocido por el Estado español es el DNI electrónico. En este sentido, la elección de los factores de autenticación, salvo que se aspire a contar con un sistema de seguridad alto, dependerá de los recursos (tecnológicos y económicos) con los que cuente la entidad, sin que resulte más robusta una firma avanzada que se base en inherencia y posesión (huella dactilar más móvil) respecto de otra que se base en conocimiento y posesión (contraseña más móvil).
Para mejorar la eficiencia en la prestación de determinados servicios de inversión resulta interesante evaluar qué herramientas tecnológicas permiten al cliente operar ágilmente, de forma que se pueda obtener su consentimiento (mediante la firma de órdenes de suscripción, de traspaso, test de idoneidad, de conveniencia, contratos, etc.) sin necesidad de tener que esperar al envío de la firma manuscrita. Para ello hay que analizar qué opciones, desde un punto de vista legal, ofrecen esta posibilidad sin merma de las garantías deseables en cuanto a validez y no refutabilidad de la firma.
En ausencia de firma cualificada, que es la única que goza de la misma fuerza legal que la manuscrita, siempre resultará más robusta una firma avanzada que una firma simple. En todo caso, la práctica revela que entre las entidades que utilizan firma electrónica, hay una gran heterogeneidad de soluciones. Podría plantearse la necesidad de una mayor homogeneidad en este tipo de soluciones, pero lo cierto es que, mientras no exista una mayor tasación normativa de los medios de autenticación que se consideran adecuados, la heterogeneidad en el tipo de soluciones seguirá existiendo.
Al tratar de comparar las soluciones que existen en la actualidad, encontramos que el mayor problema que presentan es un problema práctico relativo a la cuestionabilidad de la identidad del firmante y que deriva de la constante lucha entre los departamentos comerciales (decididos a agilizar la contratación) y los departamentos de cumplimiento normativo (que pretenden conseguir la mayor robustez de la firma). A la hora de optar por una u otra solución, en la práctica habrá que analizar la relevancia del documento que se firma, reforzando los requisitos de aquellas actuaciones que comprometen capitales de los clientes y suavizando el tratamiento de documentos de carácter más formal (p.ej. test de idoneidad).