La firma electrónica remota bajo el Reglamento eIDAS no es simplemente un proceso tecnológico, sino un marco jurídico y normativo que busca garantizar la confianza, la seguridad y la validez legal de las transacciones electrónicas en toda la Unión Europea. Uno de los elementos críticos de este proceso es la identificación del firmante, ya que de ella depende la validez de la firma avanzada o cualificada y la posibilidad de defender su autenticidad en caso de conflicto.
En la práctica, la identificación se enfrenta a tres preguntas fundamentales: ¿quién firma?, ¿qué se firma? y ¿cómo se autoriza la firma? Estas cuestiones son esenciales porque determinan la vinculación inequívoca entre una identidad electrónica verificada, un documento inalterado y un proceso de autorización que garantiza el control exclusivo del firmante.
Quién firma
La primera pregunta, quién firma, implica la necesidad de establecer la identidad electrónica del usuario con un nivel de garantía adecuado. Según el Reglamento eIDAS, la identidad debe verificarse a través de procesos robustos como la validación presencial, la videoconferencia bajo requisitos equivalentes o el uso de medios de identificación electrónicos notificados. Esta fase se regula en normas como ETSI EN 319 411, que establece la emisión de certificados, y ETSI TS 119 431-1, que regula cómo un proveedor de servicios de confianza puede operar un dispositivo de creación de firma remoto (QSCD/SCDev) manteniendo el vínculo entre la identidad del suscriptor y su clave de firma.
Qué se firma
La segunda pregunta, qué se firma, se responde con el principio WYSIWYS (“What You See Is What You Sign”). El firmante debe tener la certeza de que el contenido mostrado corresponde exactamente al documento que será firmado, sin posibilidad de manipulación. Para ello, se generan huellas criptográficas (hashes) que anclan de forma única el documento al consentimiento del firmante. Los formatos definidos en ETSI EN 319 132 (XAdES), EN 319 142 (PAdES) y EN 319 122 (CAdES) garantizan que la huella del documento quede integrada en la firma junto con propiedades adicionales como el certificado, el sello de tiempo o la información de validación.
Cómo se autoriza la firma
La tercera pregunta, cómo se autoriza la firma, se responde con mecanismos de autenticación fuerte. El firmante debe intervenir directamente, por ejemplo, introduciendo un código OTP, utilizando biometría o validando la operación mediante autenticación multifactor (MFA). La clave privada nunca sale del entorno seguro del proveedor de confianza, sino que el firmante autoriza remotamente el uso de esa clave. Este modelo está regulado por ETSI TS 119 431-2, que describe los requisitos de seguridad y las interfaces de los servicios de creación de firmas digitales avanzadas gestionadas por un proveedor.
El cumplimiento de estas tres preguntas bajo los estándares ETSI y la supervisión de un proveedor de servicios de confianza cualificado convierte a la firma remota en una herramienta con garantías jurídicas sólidas. La preservación a largo plazo de estas evidencias, requisito adicional para mantener la validez de las firmas en el tiempo, se encuentra recogida en ETSI TS 119 511, que obliga a conservar las pruebas de identidad, autorización y contenido firmado durante periodos extensos, incluso cuando los algoritmos criptográficos queden obsoletos.
Conclusiones
En definitiva, la firma remota conforme a eIDAS no se limita a un acto técnico de cifrado, sino que responde jurídicamente a quién firma, qué se firma y cómo se autoriza la firma. Estas tres preguntas son la base de cualquier sistema de firma electrónica avanzada o cualificada y marcan la diferencia entre un simple mecanismo digital y un servicio de confianza auditado, interoperable y defendible en un tribunal.
