¿Seguridad en la banca electrónica y entidades de certificación?

Nelson Remolina Angarita* Profesor Asociado. Director del GECTI y de la Especialización en Derecho Comercial de la Universidad de Los Andes nremolin@uniandes.edu.co

Los comentarios de Andrés Guzmán, CIO de Adalid Corp, en la página 15 de la edición 362 de este periódico, ratifican que la verdad sobre la firma digital sigue moribunda gracias a la interpretación errónea que dicho CIO le da al artículo 15 del Decreto 1747 del 2000.

Es notorio cómo Guzmán pretende aplicar como regla general una excepción. En efecto, él trascribió el artículo 15 del Decreto 1747 del 2000 pero le dio un alcance sustancialmente diferente al texto del mismo: “Artículo 15. Uso del certificado digital. Cuando quiera que un suscriptor firme digitalmente un mensaje de datos con su clave privada, y la respalde mediante un certificado digital, se darán por satisfechos los atributos exigidos para una firma digital, en el parágrafo del artículo 28 de la Ley 527 de 1999, si: 1. El certificado fue emitido por una entidad de certificación abierta autorizada para ello (...)” (subrayo).

Ese artículo solo es aplicable cuando alguien utiliza un certificado para respaldar una firma digital, pero no establece la obligatoriedad de que la firma digital sea certificada. Ese es el error de Guzmán y por eso es falsa su afirmación de la página 6 de la edición 356 del 2012 de este periódico: “para que una firma digital se entienda válidamente emitida en Colombia, se requiere de la intervención de un tercero de confianza denominado ‘entidad de certificación”. 

Guzmán inventa una supuesta teoría mía cuando dice lo siguiente: “con la teoría del Dr. Remolina, quien debería probar que no le dio a nadie su clave sería el cliente, colocando una desventaja más a esta relación, en la que los bancos, por regla general, no responden (…)”. Olvida el CIO de Adalid Corp que los bancos usualmente suscriben con sus clientes acuerdos EDI para el uso de las TIC en la actividad financiera. En ese caso, al banco, y no al cliente, le corresponde probar la seguridad tal y como se deriva del artículo 7º del Decreto 2364 del 2012, a saber: “Firma electrónica pactada mediante acuerdo. Salvo prueba en contrario, se presume que los mecanismos o técnicas de identificación personal o autenticación electrónica según el caso, que acuerden utilizar las partes mediante acuerdo, cumplen los requisitos de firma electrónica.

Parágrafo. La parte que mediante acuerdo provee los métodos de firma electrónica deberá asegurarse de que sus mecanismos son técnicamente seguros y confiables para el propósito de los mismos. A dicha parte le corresponderá probar estos requisitos en caso de que sea necesario” (subrayo).

Si trasladamos esta norma al escenario de las entidades financieras, la misma les impone probar que son seguros y confiables los mecanismos electrónicos que suministran a sus clientes. Con esto se logran dos objetivos: en primer lugar, se obliga a las entidades financieras a utilizar mecanismos con altos niveles de seguridad, porque si no lo hacen deben responder por los daños y perjuicios que se causen a sus clientes. En segundo lugar, protege a los consumidores de los servicios de la banca electrónica en la medida en que es al banco, y no a los clientes, a los que les corresponde demostrar que los mecanismos de autenticación son confiables y seguros.

Finalmente, las entidades de certificación eran vigiladas y podían ser multadas por el Estado cuando la Superintendencia Financiera estableció algunos mecanismos de autenticación fuerte en la Circular Básica Jurídica. Ahora no. Desde enero del 2012 actúan como cualquier otra empresa privada que provee tecnología. Por eso, debe repensarse si la mera presencia de una entidad de certificación convierte, por arte de magia, sus productos en más confiables que las mismas herramientas que ofrecen otras empresas.

El proyecto de ley 149 del 2012 Cámara “por medio de la cual se establece seguridad en banca electrónica y otras disposiciones” no se limita a replicar los mecanismos de autenticación fuerte enunciados en la Circular Básica Jurídica, sino que vuelve casi obligatorio recurrir a las entidades de certificación. El texto del proyecto fue redactado de tal forma que favorezca más el bienestar de las entidades de certificación que la seguridad en la banca electrónica.

No es conveniente para el país vender los productos de las entidades de certificación imponiendo su uso mediante leyes, decretos, circulares, etc. Estos no son malos por sí solos. Lo malo es imponerlos a las malas, cerrando las puertas a otras alternativas de seguridad electrónica.

No es sensato pensar que la seguridad la confieren las normas. Esta depende de muchos factores como, entre otros, los siguientes: 1. El producto o tecnología que se utilice –grado de seguridad tecnológica intrínseca–; 2. La diligencia, custodia y cuidado que tenga el usuario de las herramientas de seguridad; 3. El factor humano de cada organización; (4) Los programas y el gobierno de seguridad de cada entidad.

*Esta nota solo representa la opinión del autor.