« Buen Gobierno. Una reflexión en voz alta. | Home | No todo son irregularidades »
Una firma digitalizada no es una firma electrónica
Por Damià Soler, 8 de Octubre de 2008 | Imprime

Es ya habitual que a la hora de pagar con tarjeta de crédito, en todo tipo de comercios, supermercados, o grandes superficies, nos sorprendan con un nuevo aparato, en forma de tarjeta digitalizadora, que nos ofrecen amablemente para que garabateemos nuestra firma manuscrita. Seguro que se han encontrado con ellos, pero a continuación pueden ver tres ejemplos de este tipo de instrumentos:

fdigital.jpg

Pues bien, no sé si debo de ser la única persona desconfiada en este mundo, pero me parece que este tipo de artilugios no ofrecen ninguna garantía, teniendo en cuenta que lo que estas firmando y tu firma no están unidos mas que virtualmente por la aplicación del comercio. Cabría por tanto la posibilidad de que tu firma digitalizada fuera adjuntada a cualquier otro recibo, sin que hubiera realmente ninguna prueba física auditable de ello.

Llevando lo anterior a un caso real, imagínese usted que está en desacuerdo con un cargo pasado a su tarjeta, y solicita a través de su banco el comprobante firmado por usted; lo único que recibirá sera una fotocomposición con el recibo y su firma, sin que pueda ser verificada realmente la integridad del documento, ni desde luego, si de verdad firmó ese supuesto recibo. Póngase ahora en el peor caso, y piense qué podría pasar si una persona malintencionada llegara a entrar en la BBDD y se llevara los números de las tarjetas y las firmas digitalizadas…

Entiendo que gestionar los recibos firmados tiene problemas logísticos para las cadenas de comercios, y su digitalización aporta muchas ventajas, pero no entiendo que este documento se acepte como prueba por parte de las entidades bancarias, si bien es cierto que se asemeja a las ventas que se realizan por tarjeta por Internet, sin que medie en la transacción ninguna firma.

Expuestos mis recelos, ahora se preguntaran que hago yo cuando firmo en el supermercado y me sacan la tableta digitalizadora. Según me pilla el día y dependiendo de cómo se ponga la cajera hago una de las tres siguientes cosas:

1. No firmo con mi firma.
2. No firmo con mi firma y ademas añado en el campo de la firma la fecha y el importe (de este modo, si hubiera que comprobar el recibo estaría manuscrito en el campo firma).
3. Le pido a la cajera un papel físico indicándole que no quiero que digitalicen mi firma. En este caso siempre me lo han sacado, aunque con el añadido de complejidad por ser una operación que no siempre la cajera sabe cómo se hace; aunque también es cierto que en alguna ocasión al verme hacer cosas raras (véase 1 y 2), la propia cajera me ha ofrecido el papel.

Quizás me vean como un paranoico, pero creo que este es un ejemplo sencillo en el que las medidas de seguridad no protegen al usuario sino que le dejan en la indefensión, indefinición o debilidad técnica/jurídica. Sin olvidar que esta debilidad probatoria también entorpece el desarrollo de negocios provechosos.

Aproximaciones como esta a temas como el voto electrónico y la firma digital hacen que debamos de estar atentos. Para acabar, indicar que ya está entre nosotros la nueva generación de tarjetas de crédito, basadas en hardware criptográfico, que sí que se asemeja bastante a una firma electrónica. Pero de esta tecnología EMV hablaremos otro día.

N.d.E.: Esta mañana he encontrado a un indeseable “marraneando” con el blog, por lo que si me disculpan, y teniendo en cuenta el escaso uso (y utilidad) que en realidad tiene el registro de usuarios, de modo indefinido voy a deshabilitarlo. Por otro lado, mañana es festivo en Valencia, por lo que si no hay novedad, pasen todos un buen fin de semana.

  • Digg
  • del.icio.us
  • Facebook
  • Google Bookmarks
  • BarraPunto
  • E-mail this story to a friend!
  • LinkedIn
  • Netvibes
  • Live
  • Meneame
  • TwitThis
No me gusta esta entradaMe gusta esta entrada (Sin votos todavía)
Loading ... Loading ...



10 comentarios a “Una firma digitalizada no es una firma electrónica”

Julián Inza comentó el tema en relación a una sanción de la AEPD sobre un comercio por digitalizar la firma y no cumplir con el deber de informar al afectado.
http://inza.wordpress.com/2007/03/24/digitalizacion-de-firma-manuscrita/

Como comentas, esto no es firma digital ni avanzada ni reconocida aunque si una firma digital (por lo genérica de su definición según la Ley 59/2003) pero sin validez legal alguna.

javiercao [web], 8 de Octubre de 2008, 5:09 pm

Gracias por este interesante punto de vista. No había pensado en todo esto hasta ahora, y no creo que seas paranoico. ¿Sabes de qué normativa depende este asunto de la firma digitalizada, o si hay jurisprudencia al respecto?

Feliç 9 d’octubre.

Balestegui [web], 8 de Octubre de 2008, 5:59 pm

Existen algunos standares procedentes de los medios de pago bancarios, aunque no he logrado ver lo relativo a la firma de los tickets, sin duda son estas entidades (VISA, Mastercard, etc.) las que deben aprobar las medidas de seguridad ya que son los que garantizan los pagos.

https://www.pcisecuritystandards.org/

Damià Soler [web], 8 de Octubre de 2008, 6:10 pm

Muy interesante la analogía, quiero poner un caso en concreto.

Que sucede si alguien se roban tu tarjeta de crédito, el ladrón paga con ella y realiza la firma en uno de estos aparatos electrónicos, es obvio que no va a ser tu firma y en el momento de denunciar el hecho se van a encontrar de que tampoco las anteriores firmas coinciden con la autentica, ya que tu mismo has escrito caracteres extraños que tampoco son coincidentes con tu firma, la unica diferencia es que has denunciado el robo pero como has estado usando distintas firmas como puedes demostrar que la firma del ladrón no es la tuya?

Saludos

Gary [web], 8 de Octubre de 2008, 10:02 pm

La unica firma que vale es la del DNI y con esa deben comparar, es mas el DNI siempre lo piden.
Echale un vistazo a http://www.securityartwork.es/2007/05/21/firmas/

El asunto es si aceptas que tu firma sea digitalizada y forme parte en forma “agregada” de manera digital a un “contrato de pago”. Si aceptas eso luego nunca podras distinguir si te agregan tu firma a algo que no hayas firmado. La manera operativa de negarte a eso, es si no quieres dar explicaciones y para la cola, no haces tu firma, si quieres les pides el papel.

Damià Soler [web], 9 de Octubre de 2008, 6:14 am

Efectivamente, es una firma simple según como la define la Ley 53/203, pero con el agravante de que quien capta la firma te puede suplantar,

Julian Inza [web], 21 de Febrero de 2009, 11:00 pm

En Kriptópolis hay un comentario sobre este tema que ofrece otro punto de vista…y desde el mio personal es mucho más acertado

http://www.kriptopolis.org/firma-digitalizada-en-mercadona

Creo que no nos debemos quedar anclados en el mismo punto que se queda la mayor parte de la gente por “miedo”, se deben implementar soluciones seguras y garantizadas como pueda ser la firma digitalizada, lo importante es conocer las entidades que “garantizan” la seguridad esas soluciones.

Alex hermida [web], 26 de Marzo de 2009, 1:04 pm

Hola Alex, imagino que te refieres al comentario de Fernando Acero, ya que la entrada va en la misma línea que esta.

En cualquier caso, no conozco personalmente los detalles de la firma electrónica, a pesar de que al parecer tiene más controles de los que aparenta a primera vista. De cualquier modo, y saliendo un poco del ámbito de la entrada, mi opinión respecto a la utilidad y validez de la firma manuscrita es algo diferente: que en la práctica mayoría de situaciones no sirve para absolutamente nada; yo mismo firmo a la semana un buen puñado de recibos de supermercados y tiendas, de pie, inclinado, sobre mostradores, sobre libretas, con bolsas en una mano, mirando el móvil, etc. Tengo serias dudas de que alguien esté controlando en algún sitio de la cadena de pago y a partir de la firma que yo efectivamente soy el firmante, o de que alguno de esos garabatos ilegibles puedan utilizarse como refutación o prueba de algo. Al respecto, hace un tiempo escribí lo siguiente: http://www.securityartwork.es/2007/05/21/firmas/

Un saludo, y gracias por el comentario.

Manuel Benet [web], 26 de Marzo de 2009, 1:22 pm

[...] PDRTJS_settings_2131766_post_3521 = { "id" : "2131766", "unique_id" : "wp-post-3521", "title" : "Una+firma+digitalizada+no+es+una+firma+electr%C3%B3nica", "item_id" : "_post_3521", "permalink" : "http%3A%2F%2Finza.wordpress.com%2F2010%2F06%2F10%2Funa-firma-digitalizada-no-es-una-firma-electronica%2F" } Como bien dice Damiá Soler en su blog, Una firma digitalizada no es una firma electrónica. [...]

Una firma digitalizada no es una firma electrónica « Todo es electrónico [web], 13 de Junio de 2010, 10:27 pm

De nuevo está en boga este tema. Años atrás, en los inicios de la firma electrónica, teníamos que insistir en que na firma digitalizada (es decir, una firma manuscrita escaneada) pegada a un un documento (p.e. un Word) NO ERA firma electrónica.
Sigo insistiento en los talleres técnicos del DNIe del INTECO.

Ahora, además, hay que insistir en este otro interesante tema que Damià ha sacado a relucir: la captura de la firma manuscrita…

chemalogo [web], 14 de Junio de 2010, 8:41 am

Deja un comentario