La legislación vigente consagra desde sus primeros artículos la neutralidad tecnológica como principio rector de la interpretación que debe darse de ella. Por ello es que cualquier mecanismo técnico que tenga la virtud de permitir que el titular se identifique en la Red, deberá ser considerado firma electrónica para todos los efectos legales.

Lo anterior, si bien desde una perspectiva legislativa parece del todo acertado, ya que permite la estabilidad de la ley en el tiempo y que no sufra constantes mutaciones como resultado de los vaivenes tecnológicos, al momento de tomar la decisión de implementarla, obliga a adoptar ciertos resguardos e inclinarse por algún tipo de tecnología específica.

En la actualidad la tendencia mayoritariamente aceptada es la utilización de infraestructura de clave pública, en adelante PKI, como tecnología que sirve de base a la firma electrónica.

Es importante recalcar el hecho de que si bien el certificador de firma electrónica interviene en los actos y contratos que las personas otorgan o celebran, contribuyendo a la validación de la identidad de las mismas, no tiene acceso al contenido del documento que se suscribe, razón por la cual siempre se debe tener presente que la actuación de los certificadores no tiene por objeto garantizar la validez y eficacia del contrato.

Una vez que se ha logrado la identificación de los suscriptores, es necesario considerar que hay ocasiones en que ello no es suficiente, toda vez que son necesarias ciertas competencias o atribuciones especiales para que el acto o contrato que se ejecuta o celebra realmente produzca los efectos jurídicos deseados. Además de saber quien es el otorgante o contratante, se hace necesario conocer qué puede hacer.

Para resolver ello y dotar de un mayor grado de seguridad a las transacciones electrónicas, en la actualidad, el desarrollo tecnológico prevé dos posibles soluciones.

Incorporación de límites funcionales en los certificados

La Ley 19.799, en el artículo 14 inciso 4º, dispone que el certificado de firma electrónica provisto por una entidad certificadora podrá establecer límites en cuanto a sus posibles usos, siempre y cuando los límites sean reconocibles por terceros. Se trata de una modalidad que permite restringir el uso del certificado de firma electrónica a una determinada comunidad.

Así las actuaciones válidas del titular de un certificado quedarán supeditadas a aquellas para las cuales el uso del certificado estaba destinado, limitando la responsabilidad del certificador a la utilización del certificado dentro de esos límites. Sólo se puede hacer legítimamente aquello que el certificado expresamente autoriza.

Pese a que la solución planteada tiene por objeto circunscribir el uso del certificado de firma electrónica a comunidades cerradas, la necesidad de mejorar la información que el certificado proporciona, en cuanto a atribuciones y competencias, ha llevado a algunos certificadores de firma electrónica a ofrecer a sus usuarios la incorporación de estos atributos en el propio certificado de firma electrónica.

No obstante lograr resolver un problema práctico, esta solución presenta el inconveniente de que las competencias de una persona pueden ser esencialmente variables y, en consecuencia, cada vez que éstas cambian se hace necesaria la revocación del certificado y la adquisición de uno nuevo que incorpore los nuevos atributos. Así, se vulneran los principios de estabilidad y perdurabilidad que se encuentran asociados a los certificados de firma electrónica.

A lo anterior hay que agregar consideraciones de tipo económico, toda vez que el titular del certificado deberá estar constantemente revocando certificados y adquiriendo los nuevos, lo que representa un impacto económico considerable, si se considera que el valor promedio de los mismos en el mercado internacional fluctúa en torno a los US $30.

Por otra parte, desde una perspectiva técnica hay que considerar que el artículo 14 de la Ley exige que los límites funcionales sean reconocibles por terceros, lo que constituye una nueva dificultad al momento de hacer que los certificados sean interoperables, es decir, que den garantía de su uso con prescindencia de las plataformas, software y hardware. Adicionalmente, la revocación constante de certificados traerá para el usuario la necesidad de mantenerlo almacenados aún cuando su vigencia haya terminado, ya que se requerirá de ellos para poder verificar las firmas y en caso que éstas hayan sido utilizadas para codificar documentación, serán necesarios para su lectura.

Retornando a una perspectiva jurídica, de no cumplirse a cabalidad la obligación legal de que los límites funcionales que se incorporan a los certificados sean reconocibles por los terceros, la sanción a dicho incumplimiento es que el límite no sea oponible a terceros y, en consecuencia, no produzca los efectos deseados.

Utilización de certificados de atributo.

Por los inconvenientes que presenta la solución anteriormente expuesta, es que recientemente, en abril del año 2002, el IETF presentó la RFC 3281, que obedece a una norma técnica sobre manejo de atributos en certificados en Internet.

El principio básico que se encuentra presente en esta clase de solución, es que el certificado es un documento electrónico suscrito por el emisor y en virtud del cual se da certeza respecto a las calidades o poderes que tiene una persona en un momento determinado.

Para lograr el objetivo se vincula el certificado de firma electrónica del suscriptor del documento electrónico con el certificado de atributos manteniéndolos asociados de manera segura. Así intervienen dos certificadores en la más precisa identificación del titular, el primero que certifica la identidad de las personas por medio de un certificado de firma electrónica, y, el segundo que certifica las atribuciones y competencias de esas personas para efectuar una determinada operación. Por ejemplo, por medio del certificado de firma electrónica una persona acredita que es Juan, y con el certificado de atributos que se encuentra facultado legalmente para firmar cheques en representación de la sociedad Juan y Cía. Limitada. La metodología que utiliza esta solución tecnológica puede ser clarificada utilizando una analogía, en virtud de la cual el certificado de firma electrónica debe ser considerado como el pasaporte de una persona y el certificado de atributo como la visa.

Así, el pasaporte le permite a su titular identificarse y la visa ingresar a un determinado país. Al mismo tiempo, un mismo pasaporte podrá tener múltiples visas y, por lo tanto, con el mismo instrumento identificador ingresar a diferentes países. Al ser independiente los procesos de registro de la firma electrónica y de los atributos y competencias, es que éstos se pueden registrar aún cuando el titular no tenga un certificado de firma electrónica. En este caso se vincula al RUT del titular las atribuciones y competencias, y en el momento en que obtenga un certificado de firma electrónica, es a éste al que se vinculan estas atribuciones.

La ventaja de lo anterior, es que permite el desarrollo de aplicaciones que consultan los atributos y competencias en línea, siendo el patrón de búsqueda el RUT del titular o el certificado de firma electrónica. Así, mientras el uso de certificados de firma electrónica se va masificando en el país, es posible que las aplicaciones sean inclusivas del uso de ellos y que no obliguen a modificar los sistemas una vez que la penetración de esta clase de identificadores digitales se materialice.