• Introducció a la identificació i la signatura electrònica
• 5.1 La identificació electrònica
• 5.2 La signatura electrònica
• 5.3 La identificació i la signatura electrònica de les administracions públiques
• Tancament del mòdul 5

• Material complementari
• Qüestionari autoavaluatiu del mòdul 5

Un dels principals reptes de l’administració digital és garantir la seguretat quan les administracions públiques i la ciutadania utilitzen els mitjans electrònics. En especial cal assegurar-se de la identitat de les persones que es relacionen amb l’administració a través de mitjans electrònics i de la integritat de les transaccions. És a dir, cal poder estar segurs que qui envia un escrit a l’administració sigui realment qui diu ser i que el document que enviï no es pugui alterar mentre circula per la xarxa.

Com veurem al llarg d’aquest mòdul, les administracions públiques disposen de diversos mitjans per garantir la seguretat. Alguns d’aquests mitjans són molt segurs, però són difícils d’usar. D’altres són més fàcilment usables, però no són tan segurs.

Per exemple, utilitzar un nom d’usuari i una contrasenya és molt fàcil. Tanmateix, és menys segur que un certificat electrònic. En canvi, l’ús d’un certificat electrònic és més segur, però és més complicat obtenir-lo i, en ocasions, també fer-lo servir.

Precisament abans de començar a parlar dels mecanismes d’identificació i signatura electrònica que poden utilitzar les administracions públiques i la ciutadania ens pot ser útil aclarir breument alguns conceptes.

En primer lloc, què és això de la identificació electrònica? Doncs la identificació electrònica és el procés d’usar les dades d’identificació d’una persona en format digital, que la representen de manera única. La identificació electrònica es pot fer amb mecanismes com ara l’usuari/usuària-contrasenya o els certificats digitals.

En segon lloc, què és la signatura electrònica? La signatura electrònica són les dades en format digital, annexes a altres dades electròniques, que utilitza una persona per signar. La signatura electrònica es pot fer amb mecanismes com els certificats digitals, però també amb dispositius per a la signatura biomètrica.

En tercer lloc, què és el certificat electrònic? El certificat electrònic de signatura és una declaració electrònica que vincula les dades de validació d’una signatura amb una persona.

Hi ha diversos certificats electrònics en funció del nivell de seguretat que ofereixen. Breument podem referir-nos al certificat avançat que està únicament vinculat a qui signa, a qui identifica i a qui utilitza un sistema de creació de signatura que només ell pot utilitzar amb un alt nivell de confiança i permet identificar canvis en el document, en qualsevol moment posterior a la signatura. El certificat qualificat és més segur. És aquell certificat que, comptant amb els requisits del certificat avançat, és expedit per un prestador o prestadora de serveis de confiança i és creat amb un dispositiu de creació de signatura electrònica qualificada.

Quan una signatura es basa en un certificat qualificat, la llei l’equipara amb la signatura manuscrita a tots els efectes.

Finalment, qui és un prestador o prestadora de serveis de confiança? És aquella persona o empresa que crea, verifica i valida signatures electròniques. Per expedir un certificat qualificat, el prestador o prestadora de serveis de confiança ha de verificar la identitat de la persona a qui se li expedeix el certificat qualificat.

L’ús dels certificats electrònics pot garantir:

• La identitat: assegura que la persona que fa el tràmit és qui diu ser.
• La integritat: assegura que el document no ha estat modificat o manipulat durant la comunicació.
• El no repudi: garanteix que el document rebut és l’original i pertany indiscutiblement a la persona emissora.
• La confidencialitat: assegura que només la persona emissora i la receptora poden accedir a la informació enviada. Els seus efectes jurídics poden ser diferents, en funció de les mesures de seguretat que utilitzi.

A fi que es pugui fer servir un certificat, cal que aquest sigui vàlid. A aquests efectes, les administracions públiques hauran de comprovar a través del servei corresponent, l’estat del certificat i la seva validesa, per exemple a través de l’aplicació SignaSuite que el Consorci AOC ofereix a les administracions públiques catalanes.

Més enllà del que preveu la Llei 39/2015, el Reglament d'actuació i funcionament del sector públic desenvolupa la regulació dels mitjans d’identificació i autenticació de les administracions públiques i les persones interessades. També es refereix a l’acreditació en l'actuació per mitjà de representant i, entre altres aspectes, disposa que a la seu electrònica de cada administració pública s'han de publicar els tràmits electrònics que es podran dur a terme amb representació.

↑ Torna a l'índex del mòdul

Les administracions públiques han de verificar la identitat de les persones interessades en el procediment administratiu, i comprovar-ne el nom i cognoms, la denominació o la raó social.

Quan les persones interessades utilitzen els mitjans electrònics, la identificació davant de les administracions públiques es pot fer mitjançant qualsevol sistema que compti amb un registre previ com a persona usuària que en permeti garantir la identitat. Com ja hem vist, la identificació electrònica consisteix a utilitzar les dades d’identificació d’una persona en format electrònic, que la representen de manera única.

Els interessats poden utilitzar diferents mecanismes per identificar-se davant de les administracions públiques:

a) En primer lloc, poden utilitzar sistemes basats en certificats qualificats de signatura electrònica, expedits per prestadors, inclosos a la Llista de confiança de prestadors de serveis de certificació. Per exemple, aquest seria el cas del certificat de l’idCAT, del DNI electrònic o del que ofereix la Fábrica Nacional de Moneda y Timbre.

b) En segon lloc, poden utilitzar sistemes basats en certificats electrònics qualificats de segell electrònic, expedits per prestadors, inclosos a la Llista de confiança de prestadors de serveis de certificació. Els segells electrònics serveixen per identificar les persones jurídiques. Hi ha diverses entitats de certificació que presten aquest servei, com Camerfirma o Firmaprofesional.

c) Finalment, en tercer lloc, poden utilitzar sistemes de clau concertada i qualsevol altre sistema que les administracions públiques considerin vàlid, en els termes i les condicions que s’estableixin. Aquests mecanismes són més útils i accessibles per a la ciutadania. Un exemple és l’idCAT Mòbil, que podem obtenir des del nostre domicili amb les dades del nostre DNI, la nostra targeta sanitària i el nostre telèfon mòbil.

El Reial decret llei 14/2019, de 31 d’octubre, pel qual s’adopten mesures urgents per raons de seguretat pública en matèria d’Administració digital, contractació del sector públic i telecomunicacions, ha modificat els requeriments exigibles als mecanismes d’identificació i també de signatura electrònica -als quals ens referim en l'apartat sergüent- de clau concertada o als altres sistemes que tinguin un registre previ com a usuari que permeti garantir-ne la identitat i que les administracions públiques considerin vàlid per garantir la seguretat pública. En particular, s’exigeix l’obtenció d’una autorització prèvia per part de l’Administració general de l’Estat per poder emprar els sistemes que siguin diferents als del certificat i el segell electrònic.

A més, també ha establert l’obligació que els recursos tècnics necessaris per a la recollida, l’emmagatzematge, el tractament i la gestió d’aquests sistemes estiguin situats en territori de la Unió Europea, o només en territori espanyol quan es tracti de categories especials de dades, com ara dades biomètriques.

Finalment, ha prohibit l’ús de sistemes d’identificacions i de signatura basats en tecnologies de registre distribuït mentre no siguin objecte d’una regulació específica per part de l’Estat en el marc del dret de la Unió Europea. En qualsevol cas, l’Administració general de l’Estat ha d’actuar com a autoritat intermèdia que exerceixi les funcions que correspongui per garantir la seguretat pública.

Entre els mecanismes d'identificació electrònica esmentats, cada administració pública pot determinar els sistemes que admet per identificar les persones interessades. De totes maneres, les administracions públiques han de garantir que l'ús dels sistemes d'identificació a i b es puguin fer servir en qualsevol procediment, de manera que si s’admeten els sistemes menys robustos c, també s'hauran d’admetre la resta de sistemes.

Per concretar quins mecanismes d’identificació pot utilitzar una administració pública en relació amb un determinat procediment o servei, hem de tenir present el que disposen el Reglament eIDAS i l’Esquema Nacional de Seguretat: tres nivells de seguretat que determinaran els mecanismes d’identificació electrònica que s’hauran d’utilitzar.

A partir d’aquí, cada administració pública determina els mecanismes d’identificació i signatura electròniques admissibles.

Així, per exemple, en el cas de l'Administració de la Generalitat, l'Ordre VPD/93/2022, de 28 d'abril, per la qual s'aprova el Catàleg de sistemes d'identificació i signatura electrònica, disposa que els sistemes d'identificació i signatura electrònica per acreditar la identitat d'usuaris i signataris per mitjans electrònics es determinen en funció del subjecte, el grau de seguretat que requereixi el tràmit i el resultat del judici de proporcionalitat del sistema des del punt de vista de la normativa de protecció de dades entre els que recull el Catàleg. En aquest procés s'han de tenir en compte els principis generals establerts en la Guia d'ús dels sistemes d'identificació i signatura electrònica en l'àmbit de l'Administració de la Generalitat (Ordre PRE/158/2022, de 30 de juny), que són els següents:

• L'accés omnicanal als serveis públics que tenen les persones.
• L'accés a la identificació i la signatura electrònica mitjançant serveis de fàcil accés i usabilitat.
• La proporcionalitat dels sistemes d'identificació i signatura electrònica en termes de seguretat i usabilitat en relació amb el servei o tràmit que ho requereixin.
• La coordinació interadministrativa.
• La col·laboració amb la societat civil, el sector privat i iniciatives de la societat, per tal d'aconseguir la màxima reutilització de serveis i les sinergies necessàries amb la ciutadania.

Segons la Guia d'ús, en el cas de l'Administració de la Generalitat, s'han d'admetre els sistemes d'identificació i signatura electrònica establerts a la legislació bàsica i inclosos al Catàleg, i es pot limitar l'ús d'aquests sistemes quan així ho determini la norma sectorial o reguladora del tràmit o procediment en el cas que es valori la concurrència d'un risc jurídic, de ciberseguretat o protecció de dades.

En el marc dels mecanismes definits per a cada administració pública, les persones que es relacionen amb l’Administració pública a través dels mitjans electrònics tenen dret a obtenir i utilitzar els mitjans d’identificació i la signatura electrònica que estableix la LPACAP.

↑ Torna a l'índex del mòdul

↑ Torna a l'índex del mòdul

↑ Torna a l'índex del mòdul

En aquest mòdul hem vist la importància de garantir la seguretat de les transaccions amb la ciutadania a través de mitjans electrònics.

També hem parlat de les diferències que actualment hi ha entre la identificació i la signatura electrònica.

Per una banda, hem vist que les administracions públiques han de verificar la identitat de les persones interessades en el procediment administratiu, comprovant-ne el nom i cognoms, denominació o raó social.

Per altra banda, hem comprovat que només determinats tràmits, com formular sol·licituds, presentar declaracions responsables o comunicacions, interposar recursos, desistir d’accions i renunciar a drets, exigeixen la signatura electrònica.

Les administracions públiques poden escollir entre diversos mitjans perquè les persones interessades s’hi puguin interessar i puguin signar documents electrònicament. Per definir quins mecanismes d’identificació s’usaran per a cada tràmit, les administracions públiques catalanes disposen del Protocol d’Identificació i Signatura Electrònica de Catalunya, elaborat pel Consorci d’Administració Oberta de Catalunya. Aquest document determina, en el marc del Reglament, eIDAS i l’Esquema Nacional de Seguretat, els mecanismes d’identificació i signatura electrònica admissibles per a cada nivell de seguretat.

Finalment, hem vist que les administracions públiques poden identificar-se mitjançant l’ús de segells electrònics basats en un certificat electrònic reconegut o qualificat, o mitjançant la signatura electrònica de la persona titular de l’òrgan o empleat o empleada públics. També hem comentat que, en el cas que duguin a terme una actuació automatitzada sense la intervenció directa d’un empleat o empleada públic, també podran signar mitjançant un codi segur de verificació vinculat a aquesta administració pública.

↑ Torna a l'índex del mòdul

• Reglamento (UE) n° 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE.
• Reial decret 311/2022, de 3 de maig, pel qual es regula l’Esquema Nacional de Seguretat
• Protocol d’Identificació i Signatura Electrònica de Catalunya.
• Catàleg de sistemes d'identificació i signatura electrònica.
• Guia d'ús dels sistemes d'identificació i signatura electrònica en l'àmbit de l'Administració de la Generalitat.

• Sessió sobre identificació i signatura electrònica. Escola d’Administració Pública, 19 d’octubre del 2018.
• Vídeo: Alamillo, I. "Taller reglament EIDAS identificació, autenticació i signatura electrònica". 1r Congrés de Govern Digital. Barcelona, 21 i 22 de gener del 2017.

• Canal idCAT
• IdCAT Mòbil

↑ Torna a l'índex del mòdul

↑ Torna a l'índex del mòdul

← Mòdul 4 | Mòdul 6 →