4 minute read
Firma electrónica vs firma digital en la DIAN: ¿Un paso atrás en seguridad?
Actualidad
Héctor José García Santiago Presidente Ejecutivo de la Sociedad Cameral de Certificación Digital, Certicámara S.A. Director Académico del Centro de Estudios en Derecho y Tecnologías de la Información y las Comunicaciones - CEDT – Universidad Javeriana.
Advertisement
La Dian ha desarrollado un nuevo método de autenticación para los contribuyentes, se trata de un sistema de firma electrónica a través de un código que es enviado por correo electrónico con una vigencia de dos horas y de uso por una sola vez, (one time password). Este código debe entenderse como una firma electrónica a la luz del Decreto 2364 de 2012. De conformidad con el artículo primero del precitado decreto, la firma electrónica debe entenderse como aquellos códigos, datos biométricos, claves criptográficas, entre otros, que permiten identificar a una persona en relación con un mensaje de datos, siempre y cuando el mecanismo utilizado sea confiable y apropiado respecto de los fines en para los que se utiliza la firma. Ahora bien, para el uso correcto del mecanismo de firma es necesario contar con un acuerdo de voluntades previo, en virtud del cual se estipulan las condiciones legales y técnicas a las cuales se sujetarán las partes para realizar comunicaciones y efectuar transacciones. Del mismo modo señala la norma que los datos de creación de la firma electrónica son únicos y personalísimos.
Con el contexto anterior, es claro que el procedimiento de códigos utilizado por la Dian a título de firma electrónica para acceder al sistema y firmar los documentos electrónicos no consulta los estándares de seguridad idóneos para validar la identidad de los contribuyentes y para firmar documentos electrónicos. Evidentemente la situación no se observa en tanto nadie va a suplantar a otro para pagarle los impuestos, pero ciertamente, en materia de seguridad y como modelo de autenticación electrónica deja mucho que desear.
A continuación se mencionan varias de las críticas al modelo de firma electrónica adoptado por la DIAN:
1. No es un modelo que esté sustentado sobre un acuerdo de voluntades que permitan al usuario determinar las condiciones técnicas y legales del mecanismo de firma.
2. El envío de los códigos no es seguro pues no se realiza a través de un correo electrónico certificado.
3. Se pasa de un modelo de firma digital que goza de presunción de no repudio a un modelo donde la integridad y la autenticidad deben probarse en un juicio.
4. Se van al traste los esfuerzos por cumplir con el estandar PKI como CEA Cerrada, estandar recomendado por la Comisión de las Naciones Unidadas para el Desarrollo Mercantil Internacional, con los miles de millones en inversiones realizadas.
5. No es claro cómo dicho mecanismo de firma garantiza la integridad de la declaración firmada, por lo que no hay certeza sobre la fiabilidad de dicho mecanismo de firma.
6. No es un mecanismo que sea auditado por un organismo que avale la calidad en el servicio y garantice al usuario la idoneidad del mismo como sí sucede con la firma digital que es acreditada y auditada por el Organismo Nacional de Acreditación de Colombia –ONAC-.
De acuerdo con la Ley 527 de 1999 y el Decreto Ley 019 de 2012, el uso de firmas digitales o firmas electrónicas certificadas brindan autenticidad, integridad y no repudio para el usuario, razón por la cual es aconsejable que las entidades estatales utilicen estándares de autenticación de mayor confiabilidad para que los ciudadanos realicen trámites.
Aparentemente el uso de una firma electrónica como la que actualmente usa la DIAN, no representa mayores inconvenientes, toda vez que se trata de una obligación de pago donde no es usual que se presenten fraudes de suplantación. Sin embargo, de originarse alguna acción mal intencionada para afectar a un contribuyente bien sea persona natural o jurídica, la DIAN se vería abocada a asumir dicha responsabilidad por ser el creador y custodio del mecanismo de firma electrónica.
En complemento de lo anterior, es importante resaltar que el Ministro de las TIC y el Presidente de la República, firmaron el pasado 25 de Agosto, el decreto que define y regula el modelo de autenticación electrónica para Colombia, que nada tiene que ver con la autenticación notarial de documentos, conceptos claramente opuestos, donde se impone la obligatoriedad para todas las Entidades Públicas, incluyendo la DIAN, de hacer uso de los mecanimos de autenticación dispuestos por el modelo de servicios ciudadanos digitales, a fin de que en los procesos de validación de identidad y de firma electrónica de documentos se utilicen los más altos estándares de seguridad y no se deje al arbitrio e ingenio de cada entidad diseñar su propio modelo,lo cual a la postre es inmanejable, incontrolable e inseguro y no consulta las mejores prácticas y estándares a nival mundial que se encuentran soportados por sistemas robustos como el de la infraestructura de clave pública (PKI).
En un país donde el fraude de suplantación de identidad genera más de 100 mil denuncias al año es fundamental que el MinTic guíe, informe y aterrice dicho estándar en todas las entidades del estado a la mayor brevedad posible. Al respecto puede consultarse el esquema de autenticación electrónica de la Unión Europea que es un referente internacional que tuvo en cuenta el Ministerio para aterrizar el mencionado modelo.
