Firma electrónica versus firma digital en la Dian

Héctor José García Santiago

Director Académico del Centro de Estudios en Derecho y Tecnologías de la Información y las Comunicaciones Universidad Javeriana

La Dian ha desarrollado un nuevo método de autenticación para los contribuyentes: se trata de un sistema de firma electrónica a través de un código que es enviado por correo electrónico con una vigencia de dos horas y de uso por una sola vez (one time password).  Este código debe entenderse como una firma electrónica a la luz del Decreto 2364 del 2012. De conformidad con el artículo 1º del decreto, la firma electrónica son aquellos códigos, datos biométricos, claves criptográficas, entre otros, que permiten identificar a una persona en relación con un mensaje de datos, siempre y cuando el mecanismo utilizado sea confiable y apropiado respecto de los fines para los que se utiliza la firma. Ahora bien, para el uso correcto del mecanismo, es necesario contar con un acuerdo de voluntades previo, en virtud del cual se estipulan las condiciones legales y técnicas a las cuales se sujetarán las partes para realizar comunicaciones y efectuar transacciones. Del mismo modo, la norma señala que los datos de creación de la firma electrónica son únicos y personalísimos.

Con el contexto anterior, es claro que el procedimiento de códigos utilizado por la Dian a título de firma electrónica para acceder al sistema y firmar los documentos electrónicos no consulta los estándares de seguridad idóneos para validar la identidad de los contribuyentes y para firmar documentos electrónicos. Evidentemente, la situación no se observa en tanto nadie va a suplantar a otro para pagarle los impuestos, pero, ciertamente, en materia de seguridad y como modelo de autenticación electrónica deja mucho que desear.

A continuación se mencionan varias de las críticas al modelo de firma electrónica adoptado por la Dian:

- No está sustentado sobre un acuerdo de voluntades que permita al usuario determinar las condiciones técnicas y legales del mecanismo de firma.

- El envío de los códigos no es seguro, pues no se realiza a través de un correo electrónico certificado.

- Se pasa de un modelo de firma digital que goza de presunción de no repudio a un modelo donde la integridad y la autenticidad deben probarse en juicio.

- Se van al traste los esfuerzos por cumplir con el estandar PKI como CEA Cerrada, estandar recomendado por la Comisión de las Naciones Unidadas para el Desarrollo Mercantil Internacional, con los miles de millones en inversiones.

- No es claro cómo dicho mecanismo de firma garantiza la integridad de la declaración firmada, por lo que no hay certeza sobre su fiabilidad.

- No es un mecanismo que sea auditado por un organismo que avale la calidad en el servicio y garantice al usuario la idoneidad del mismo, como sucede con la firma digital, que es acreditada por el Organismo Nacional de Acreditación de Colombia.

De acuerdo con la Ley 527 de 1999 y el Decreto-Ley 019 del 2012, el uso de firmas digitales o firmas electrónicas certificadas brindan autenticidad, integridad y no repudio para el usuario, razón por la cual es aconsejable que las entidades estatales utilicen estándares de autenticación de mayor confiabilidad para que los ciudadanos realicen trámites.

Aparentemente, la firma electrónica como la que actualmente usa la Dian no representa mayores inconvenientes, toda vez que se trata de una obligación de pago donde no es usual que se presenten suplantaciones. Sin embargo, de originarse alguna acción mal intencionada para afectar a un contribuyente, bien sea persona natural o jurídica, la Dian se vería abocada a asumir dicha responsabilidad, por ser el creador y custodio del mecanismo de firma electrónica.

En complemento de lo anterior, se expidió, el 25 de agosto, el decreto que regula el modelo de autenticación electrónica para Colombia, que nada tiene que ver con la autenticación notarial de documentos, conceptos claramente opuestos, donde se impone la obligatoriedad para todas las entidades públicas, incluyendo la Dian, de hacer uso de los mecanismos de autenticación dispuestos por el modelo de servicios ciudadanos digitales. Esto con el fin de que en los procesos de validación de identidad y de firma electrónica de documentos se utilicen los más altos estándares de seguridad y no se deje al arbitrio e ingenio de cada entidad diseñar su propio modelo, lo cual es inmanejable, incontrolable e inseguro y no consulta las mejores prácticas y estándares mundiales que se encuentran soportados por sistemas robustos como el de la infraestructura de clave pública (PKI).

En un país donde el fraude de suplantación de identidad genera más de 100.000 denuncias al año, es fundamental que el Ministerio de las Tecnologías de la Información y las Comunicaciones guíe, informe y aterrice dicho estándar en todas las entidades del Estado a la mayor brevedad posible. Al respecto, puede consultarse el esquema de autenticación electrónica de la Unión Europea, que es un referente internacional que tuvo en cuenta el ministerio para aterrizar el mencionado modelo.