Se acabó firmar sin identificar

La solución corporativa a los problemas de identificación en transacciones de firma electrónica

El 29 de enero de 2021, la Audiencia Provincial de Lleida dictó la sentencia núm. 74/2021, que niega la validez de un contrato firmado por la solución de firma electrónica DocuSign debido a la falta de garantías sobre la identidad del firmante. Esta sentencia ha causado una gran preocupación en el sector debido al gran número de contratos que, a diario, son firmados a través de DocuSign o cualquier otra plataforma de firma electrónica.

En el presente post trataremos de responder a las principales dudas surgidas a raíz de la sentencia y expondremos algunas de las medidas que pueden implantar las empresas para acreditar la identidad de una persona en un proceso de contratación electrónica, evitando así los riesgos incluidos en la sentencia.

¿Cuál es la situación juzgada por la Audiencia Provincial de Lleida?

Los hechos son los siguientes:

  • LTD Invest Capital («LTD») demanda a doña Adelaida por el impago de una cantidad aproximada de 6.300 €.
  • Para fundamentar su demanda, LTD aporta un contrato firmado a través de la plataforma DocuSign, en el que se utilizó como método de identificación del firmante, únicamente, una dirección de correo electrónico.
  • Doña Adelaida niega haber firmado el contrato, es decir, impugna su autenticidad del contrato.
  • Ante la impugnación, LTD no presenta ninguna prueba pericial adicional que demuestre que la parte firmante fue doña Adelaida.


La creación de direcciones de correo electrónico no suele incluir
procesos de verificación de identidad. Fuente: Pexels


¿Cuál es la decisión de la Audiencia Provincial de Lleida? ¿Qué argumentos justifican su decisión?

Analizados los hechos, la Audiencia Provincial desestima la demanda al considerar que no existen pruebas suficientes que permitan acreditar que fue doña Adelaida (y no otra persona) quien firmó el contrato. Y —como vamos a ver más adelante— haber utilizado una OTP (One-Time Password) tampoco habría garantizado la identificación de Adelaida.

La decisión de la Audiencia Provincial se basa, principalmente, en la debilidad del elemento identificativo utilizado. Una dirección de correo electrónico no verificada es insuficiente para acreditar la identidad de su titular debido al siguiente motivo:

DocuSign —o cualquier otra plataforma de firma en la que la identificación se base exclusivamente en el uso de una cuenta de correo electrónico— puede acreditar que:

  1. El contrato fue enviado a la dirección de correo electrónico, como «adelaida_ejemplo@gmail.com»;
  2. Desde esa dirección se accedió a la plataforma de firma;
  3. La persona que accedió a la plataforma completó el proceso de firma y, en el caso de DocuSign, dibujó un grafo en el espacio habilitado para ello.

Sin embargo, DocuSign —o, insistimos, cualquier otra plataforma de firma en la que la identificación se base exclusivamente en el uso de una cuenta de correo electrónico, o incluso un correo electrónico y una OTP— no puede acreditar que el titular de la cuenta de correo electrónico «adelaida_ejemplo@gmail.com» fuera, efectivamente, doña Adelaida, y no cualquier otra persona que, simplemente, haya dado de alta esa dirección de correo electrónico.

Esta debilidad del elemento identificativo no fue compensada en el caso que nos ocupa con otras evidencias que permitieran demostrar que la demandada firmó el contrato y, ni siquiera, que fuera conocedora de la operación o se hubiera beneficiado de ella.

¿Cómo pueden las empresas identificar al firmante de un contrato electrónico?

La contratación electrónica no es una opción, es una necesidad. Las empresas no pueden vivir de espaldas al proceso de transformación digital que está experimentando toda la sociedad, por lo que el verdadero reto consiste en diseñar un proceso de contratación electrónica que sea capaz de compaginar seguridad jurídica y experiencia de usuario.

A la hora de autenticar a los intervinientes en un proceso de contratación electrónica, es decir, comprobar que las partes firmantes son quienes dicen ser, tradicionalmente se han empleado los siguientes mecanismos de autenticación:

  • Uso de certificados digitales
    Un certificado digital es un documento electrónico que relaciona una firma electrónica con una persona concreta. Los certificados más conocidos son los emitidos por la Fábrica Nacional de Moneda y Timbre (FNMT) o el certificado incorporado al DNIe, emitido por la Dirección General de Policía.La principal limitación de esta tecnología radica en la falta de extensión de su uso —principalmente en las relaciones B2C—, que se explica, principalmente, por los siguientes factores:
    • La expedición de un certificado digital requería la presencia física del futuro firmante en las oficinas de una Autoridad de Registro con el objetivo de verificar su identidad hasta la reciente publicación, el 14 de mayo de 2021, de la Orden ETD/465/2021, de 6 de mayo, que permite la identificación remota por videoconferencia.
    • La posterior instalación y uso del certificado resulta compleja desde la perspectiva de un consumidor medio.

La complejidad de algunos procesos electrónicos hace preferibles
los métodos de firma tradicional. Fuente: Pexels

 

Una empresa no puede limitar sus procesos de contratación online única y exclusivamente a aquellos posibles clientes que dispongan de un certificado electrónico, y no parece realista pensar que un consumidor va a estar dispuesto a desarrollar todo un proceso de obtención e instalación de un certificado electrónico para firmar un contrato. ¡Pensemos simplemente en la cantidad de gente que nunca ha activado (hemos activado) nuestro DNIe!

  • OTP y otros factores de autenticación
    Algunas plataformas de contratación electrónica tratan de solucionar las dificultades a la hora de comprobar la identidad del firmante a través de la suma de distintos factores de autenticación. Por ejemplo, es habitual que el acceso al contrato electrónico exija la previa validación del firmante a través de una OTP que le es remitida a un determinado número de teléfono.La principal limitación de esta tecnología deriva de un razonamiento similar al seguido por la Audiencia Provincial de Lleida: la plataforma de contratación electrónica puede acreditar que una OTP fue enviada a un determinado número de teléfono y que fue validada antes de acceder a la plataforma. Sin embargo, por sí sola, no puede acreditar la coincidencia entre el titular del número de teléfono al que se remitió la OTP y el firmante. Solo los operadores de telecomunicaciones disponen de los datos de titularidad de cada línea de teléfono y el acceso a esta información se encuentra muy limitado en nuestra normativa.Por tanto, si bien el uso de una OTP refuerza el proceso de contratación electrónica, no elimina completamente el riesgo de suplantación de identidad.

¿Qué alternativa segura existe?

Con el objetivo de resolver las debilidades de los métodos de identificación tradicionales, Branddocs ha desarrollado TrustCloud UserID, un token de identidad emitido por la corporación al usuario y generado previamente a llevar a cabo ninguna transacción digital, que permite asignar, comprobar y contrastar la identidad de un cliente o futuro cliente. Así, la persona que va a estar interactuando con la compañía recibe un TrustCloud UserID Token como si de una SSI o Self Sovereing Identity (identidad soberana) se tratara. Adicionalmente, el servicio UserID crea un Expediente de Identidad asignado a cada cliente, que agrupa las transacciones llevadas a cabo por cualquiera de los sistemas de información de la compañía y que permite recoger evidencias anti-repudio de las operaciones llevadas a cabo con dicho cliente, preservando las mismas en una arquitectura unificada, como si de un Single Sign On de cliente se tratara.

Sin perjuicio de las posibles adaptaciones que puedan realizarse para adecuar el proceso a las necesidades de cada cliente, la solución UserID se estructura en los siguientes pasos:

Paso núm. 1: Acceso al servicio UserID

El firmante puede acceder al servicio User ID, que será embebido dentro del propio proceso de contratación o de forma independiente, a través de un correo electrónico, URL o SMS en el que se facilite un enlace.

Paso núm. 2: Asignación de la identidad transaccional segura

El propio servicio, de forma automatizada, guiará al usuario a través de los diferentes procesos que pondrá en marcha para poder asignar de forma segura la identidad transaccional al usuario. Así, mediante procesos de vídeo identificación, verificación documental, Know Your Costumer (KYC), comprobaciones biométricas y pruebas de vida, etc., se comprobará que la persona que está llevando a cabo la demanda es quien dice ser, que no se trata de una identidad fraudulenta y que dicha persona quiere utilizar como email y teléfono móvil los que indique durante el proceso, asignándolos inequívocamente a su identidad transaccional.

Todas las operaciones serán grabadas y desarrolladas en un tiempo aproximado de tres minutos, con lo que la experiencia de usuario será muy ágil y sencilla.


La vídeo identificación permite recrear la identificación presencial
«cara a cara» con todas las garantías. Fuente: Pexels

 

Paso núm. 3: Finalización del proceso de contratación electrónica

Una vez verificada la identidad del firmante y asignado el token transaccional de identidad al mismo mediante la solución UserID, éste completará el proceso de firma a través del mecanismo que ponga a su disposición la plataforma de contratación electrónica utilizada.

El riesgo de que, posteriormente, pueda impugnar dicha transacción o ninguna de las posteriores es prácticamente inexistente ya que el token de identidad corporativa asignado estará acreditando que el usuario es quien dice ser y que esa persona ha designado un correo electrónico y un número de teléfono determinado a efectos de contacto.

Volviendo al supuesto contemplado por la Audiencia Provincial de Lleida, UserID no solo comprueba que el firmante ha sido doña Adelaida, sino también que ha sido ella quien ha facilitado la dirección de correo electrónico «adelaida_ejemplo@gmail.com» (y el número de teléfono en caso de requerirse este factor).

Paso núm. 4: Emisión y conservación de la credencial

Branddocs custodiará las evidencias obtenidas en el proceso de vídeo identificación y emitirá una credencial que vinculará una dirección de correo electrónico y un número de teléfono con una persona determinada.

De esta forma, en sucesivas contrataciones, el firmante podrá acceder de forma directa a la firma del contrato siempre que la dirección de correo electrónico y el número de teléfono utilizados coincidan con los previamente verificados a través de UserID.

En conclusión, UserID es una solución que aúna seguridad jurídica y usabilidad para garantizar el «no repudio»transaccional y evitar supuestos de suplantación de identidad y fraude en la contratación. No exige la instalación y uso de complicados certificados electrónicos, ni requiere que el usuario disponga de dispositivos concretos y específicos. Basta con una adecuada conexión a Internet, así como con una cámara y micrófono que sean capaces de capturar la imagen y el sonido con un nivel de calidad suficiente (es decir, un smartphone o un ordenador). En menos de tres minutos, la empresa podrá disfrutar de un proceso de contratación electrónica con plenas garantías jurídicas.

Para más información acerca de TrustCloud UserID, o si quieres solicitar una demostración de nuestra solución, visita:

https://branddocs.com/es/plataforma-trustcloud/identidad-electronica/asignacion-de-identidad-transaccional/

También te animamos a suscribirte a nuestro canal de noticias en Telegram:

Autor:

Mario Embid

Mario Embid
IT & IP Legal Counsel

Mario Embid

Mario Embid
IT & IP Legal Counsel