¿Seguridad en banca electrónica?

banca_electronica

Por Nelson Remolina Angarita

La verdad sobre las firmas digitales está moribunda y la imposición de las entidades de certificación (EC) está de moda.

El Consultorio de Tecnología y Derecho de ADALID Abogados afirmó lo siguiente en la página 6 de la edición 356 (15-28 de octubre de 2012) de este periódico: “… para que una firma digital se entienda válidamente emitida en Colombia, se requiere de la intervención de un tercero de confianza denominado ‘entidad de certificación” (subrayo). Esto es una réplica casi textual de lo que concluyó el representante legal de una entidad de certificación abierta en la edición 281 del 2009.

Esa conclusión es falsa porque el numeral 2º del parágrafo del artículo 28 de la Ley 527 de 1999 exige que la firma digital sea susceptible de ser verificada. No establece que deba ser certificada ni mucho menos que se requiera la intervención de una EC. La verificación se hace con la clave pública sin que sea necesaria la participación de una EC. En otras palabras, con o sin la presencia de esas entidades, se puede verificar la firma digital.

He sido crítico no solo de la desinformación del tema sino de las propuestas regulatorias y de las normas que imponen el uso de los productos de algunas entidades de certificación abierta. Lo anterior por varias razones: En primer lugar, dejan por fuera otras alternativas de identificación electrónica que pueden ofrecer iguales o mejores niveles de seguridad. En segundo lugar, son productos costosos a los cuales no puede acceder la mayoría de la población. Finalmente, las EC no son empresas vigiladas por el Estado a pesar de que prestan un servicio público asociado a la fe pública (C-662/00). Esto incide en el grado de confianza que se tiene sobre las mismas.

Pese a lo anterior, se sigue tratando de imponer por ley el uso de los productos de las EC. Este es el caso del proyecto de ley “Por medio de la cual se establece seguridad en banca electrónica y otras disposiciones”. Es saludable el objetivo de la iniciativa pero cuestionable la imposición de una lista cerrada de medios de identificación fuerte, a saber: a) mecanismos biométricos (…) que se encuentren certificados para garantizar su integridad; b) mecanismos OTP (One Time Password), en los que se garantice la fecha y hora en la que se autentica cada transacción, así como su integridad; c) firmas electrónicas certificadas; d) firmas digitalescertificadas; e) tarjetas que cumplan el estándar EMV, en combinación con un segundo factor de autenticación, y f) registro y validación de algunas características físicas de los computadores desde los cuales se realizarán las operaciones, en combinación con un segundo factor de autenticación

Los avances tecnológicos en seguridad están en constante desarrollo. Si por ley se impone una lista excluyente de mecanismos de autenticación, pues esa ley no solo está destinada a quedar obsoleta sino que deja por fuera actuales y futuras herramientas de seguridad electrónica con igual o superiores niveles de confiabilidad. Se condena y congela la seguridad a un momento del estado de la técnica.

Con el Decreto-Ley 19 del 2012 e iniciativas como la comentada, las EC garantizan más ventas, nada de vigilancia estatal y cero sanciones. ¿Es esto sensato? ¿Y el resto de Colombia qué? ¿Con este tipo de decisiones regulatorias se están protegiendo los intereses generales del país?

Los intereses de Colombia deben estar por encima de los intereses comerciales de una entidad de certificación abierta. Pensemos en el país y no en una empresa del país.

Publicado por el autor en ambitojuridico.com el 14 de Noviembre de 2012.