ARTICULO I
ASPECTOS JURÍDICOS DE INTERNET Y EL COMERCIO
ELECTRÓNICO
DIEGO MARTÍN BUITRAGO BOTERO
ABOGADO U DE
M
PRELIMINARES
El mundo moderno se ha transformado de manera
acelerada en los últimos 10 años. Transformación que no solo ha
cambiado la rutina de los hombres, la economía de las naciones, el
poderío mismo de ellas, sino también la forma de hacer negocios y
realizar transacciones, y en especial la forma como se soportan
tales actividades. Ordinariamente la celebración de contratos y
realización de transacciones comerciales ha requerido de
DOCUMENTOS ESCRITOS y FIRMAS AUTÓGRAFAS. Tales requisito como
prueba fundamental que contiene o bien una oferta, su aceptación,
un contrato de compraventa, o u titulo Valor. Documentos sin los
cuales no se podría alegar la existencia de alguna de tales
circunstancia, o por lo menos la demostración de su existencia
será muy engorrosa.
En la actualidad se ha generado una tendencia
universal a darle valor a los documentos llamados ELECTRÓNICOS,
documentos generados por medio electrónicos y que quedan dentro de
un sistema de información con la posibilidad de ser apreciado por
los mismos medios. Esta tendencia no es solo de teorías, doctrinas
o jurisprudencias, sino de las mismas legislaciones, propiciadas
por la LEY MODELO DE COMERCIO ELECTRONICO DE LA UNCITRAL.
Esta ley modelo establece como los documentos
electrónicos tienen el mismo efecto jurídico que los documentos
físicos. En Colombia tal situación se ha establecido por medio de
la ley 527 de 1999 "Por medio de la cual se define y reglamenta el
acceso y uso de los mensajes de datos, del comercio electrónico y
de las firmas digitales, y se establecen las entidades de
certificación y se dictan otras disposiciones". Aunque el tema no
ha sido desarrollado plenamente, esta ley es un inicio de lo que
debe ser la reglamentación de los documentos informaticos.
Pero definitivamente el tema de los documentos
electrónicos no es novedoso, aunque si desconocido.
En el año de 1982 el gobierno expide el DEC. 2328
(Agosto 2) "por medio del cual se dictan normas sobre el servicio
de transmisión o recepción de información codificada (datos) entre
equipos informaticos, es decir, computadoras y/o terminales en el
territorio nacional", y en el año de 1984 el DEC. 148 (enero 24)
"por el cual se dictan normas sobre los servicios de transmisión
de información codificada 8datos) para correspondencia publica y
se reglamentan parcialmente los artículos 184 y 186 del
decreto-ley 222 de 1983". Ya desde la década de los 80 se hace
mención a los servicios de transmisión de información codificada
(datos - hoy mensajes de datos), inclusive se habla de correo
electrónico.
Pese a ello aun no existe una verdadera voluntad
política que plantee la regulación y reglamentación de los temas
informáticos y en especial del derecho infromatico, consecuencia
de ellos la falta de divulgación y conocimiento del tema de los
documentos electrónicos y las firmas digitales, y aun mas grave es
que la rama jurisdiccional del estado aun no toma la suficiente
conciencia de los efectos que estas leyes traen dentro de los
tramites procesales.
se hace urgente pues que el gobierno
nacional que se ponga mas atención a los temas que ya no son del
futuro sino del presente, y propicie campañas de capacitación y
actualización en todas las ramas del poder a fin de que su
Aplicabilidad no se vea frenada por el desconocimiento de la
misma. No basta con expedir la llamada "LEY DE COMERCIO
ELECTRONICO", es necesario que de ella salgan nuevas normas que la
reglamenten.
Los abogados que se están formando en las escuelas
de derecho, los litigantes, juristas y tratadistas, estamos en la
obligación de avanzar al ritmo de la tecnología a fin de poder
suministrar u servicio eficiente, confiable y vigente.
ORIGENES DE INTERNET
Internet es un conjunto de redes de información
enlazadas entre sí, que permiten el intercambio de datos de
cualquier tipo, por casi todos los países del mundo; razón por la
que se le conoce también como la "red de redes" o "Telaraña
Mundial de Comunicación".
Las tecnologías en las cuales se basa el
funcionamiento de Internet fueron inicialmente desarrolladas por
el Departamento de Defensa Norteamericano con el proyecto DARPA, a
finales de los años 60. Esta tecnología fue creada inicialmente
con propósitos militares, pero luego las universidades y centros
de investigación se unieron a esta red para compartir información
científica y tener acceso a grandes centros de cómputo.
Desde entonces se inició el proceso de
crecimiento a pasos agigantados, que permite que este servicio
pueda ser disfrutado por gran cantidad de personas en todo el
mundo.
Internet está conformado por la unión de redes de
universidades, centros de investigación, empresas privadas y
comerciales, entre otras; las cuales son administradas
independientemente y cooperan entre sí para funcionar como un
todo. Existe un organismo central llamado el Network Information
Center (NIC) que se encarga de asignar direcciones Internet
(números IP) diferentes a cada usuario, y La ICANN que es la
encargada de asignar los nombres de dominio.
Adicionalmente hay un conjunto de organismos que
se encargan de velar por el desarrollo armónico de la red, desde
el punto de vista técnico. Algunos de ellos son Grupo de trabajo
de ingeniería de Internet (IETF), el consejo de arquitectura de
Internet (IAB) y el grupo de trabajo de investigación en Internet
(IRTF).
En Internet se pueden hacer múltiples cosas,
entre ellas:
- Consultar información técnica, científica,
económica, social, deportiva, comercial, etc.
- Enviar y recibir mensajes por el correo
electrónico.
- Transferir archivos y programas de un lugar a
otro.
- Participar en grupos de discusión sobre temas
de interés específico.
- Establecer comunicación grupal o privada.
- Adquirir bienes y servicios ofrecidos por
entidades comerciales de carácter internacional.
PRESTACION DEL SERVICIO EN INTERNET
El Servicio de acceso a Internet es un servicio
que permite acceder a la información y aplicaciones disponibles en
la red Internet, es decir, es el servicio que posibilita tener
ingreso a todos y cada uno de los servidores y de las paginas que
se hospedan en la red.
La prestación del servicio de Internet es una
relación contractual entre un ISP (Internet Service provider -
Proveedor de Servicio de Internet) y sus respectivos usuarios, por
medio de un Contrato de ADHESION, que se rige por las normas del
derecho civil, comercial y del derecho de autor.
La prestación del servicio se realiza por medio
de un contrato convencional, el cual no tiene mayores
complicaciones; por lo general es un modelo estándar para todos
los contratos, el cual contiene una descripción general del acceso
deseado, la velocidad de la comunicación, el canal de comunicación
digital o analógico, línea arrendada o conmutada, acceso a un
servidor de noticias, un buzón electrónico y el costo y el método
de factura entre otros. Como ya se advirtió este contrato es de
los llamados contratos de adhesión, en el cual el usuario se
adhiere a las condiciones y parámetros establecidos por el
ISP.
Uno de los principales problemas de la
conformación de las ISP, es que no existe unificación a nivel
mundial en cuanto a las exigencias para su constitución y
prestación del servicio. Algunos países exigen una licencias como
es el caso del Reino Unido ; otros por el contrario solo exigen de
una simple declaración ante la autoridad de telecomunicación sobre
el inicio de sus actividades, como en el caso de Alemania y
Bélgica; y otros por el contrario no exigen nada, como es el caso
de E.U y Canadá. Debido a que la legislación sobre Internet no
está unificada en todos los países, puede suceder el caso que una
empresa haga todos los trámites necesarios para prestar el
servicio en el país donde está domiciliada ella, y no sabe si esta
licencia sirve para todos los demás países donde ella tenga
sucursales o agencias. En Colombia la exigencia recae sobre las
empresas que prestan los servicios de telecomunicaciones, las
cuales deben cumplir con los preceptos que para el efecto
consagran las diferentes normas que regulan la materia.
Este problema en Europa se ha solucionado
parcialmente, puesto que los países de la Unión Europea firmaron
una convención dentro del European Telecomunications Office (ETO),
creada por el European Committee for the regulation of
Telecomunications (ECRT), el 30 de abril de 1994, concerniente a
los regímenes de líneas y autorizaciones en Europa. Pacto que
consiste en que una empresa de un país que haga parte del mismo,
que vaya a prestar sus servicios a otra que también pertenece a
él, lo puede hacer sin necesidad de licencia. Ya que un proveedor
de servicios puede proporcionarlos, sin impedimento, en otros
países de la unión.
Mediante el pacto se creó una oficina encargada
de tramitar todas las autorizaciones o declaraciones, para el uso
del Internet. Aunque cada nación sigue teniendo su legislación
independiente, pero rigiéndose por los parámetros del pacto.
No obstante estos estados de la Unión Europea,
pueden estipular excepciones a la libre prestación de servicios,
en casos muy específicos y bajo condiciones muy rigurosas,
mediante el establecimiento de restricciones discriminatorias (por
razones de orden publico, seguridad estatal y salud pública) y en
algunos casos de restricciones no discriminatorias (si son de
interés general). La finalidad del control ejercido por las
autoridades de la Unión Europea que suscribieron el pacto, es
verificar que las medidas adoptadas sean proporcionales al
objetivo perseguido.
Pero en el continente americano la problemática
existe, puesto que el único tratado vigente al respecto es el de
libre comercio celebrado entre México, Estados Unidos y Canadá, en
el cual se prohiben las restricciones discriminatorias. Sin
embargo, se respetará la legislación interna de cada estado, y el
país miembro del pacto, queda obligado a garantizar a los
proveedores de servicio de otro estado miembro, el más favorable
de los dos regímenes, ya sea el aplicable por el estado o a sus
propios nacionales o a sus propios nacionales en condiciones
similares.
Internet ha cambiado la forma de contratar y en
especial la forma de la sociedad actual, una sociedad que ha
pasado del documento escrito el documento virtual (el MENSAJE DE
DATOS), así se da plena validez legal a las transacciones y
contratos "sin papel". Pero todo ello obliga a que hoy día se
establezcan acuerdos internacionales que armonicen las diferentes
legislaciones sobre comercio por medio de Internet, lo que
comúnmente se conoce como COMERCIO ELECTRONICO.
Así pues se hace necesario un marco general de
regulación de aspectos tan vitales como el control de las
transacciones internacionales, el cobro de impuestos, la
protección de los derechos de propiedad intelectual, la protección
de los consumidores en cuanto a publicidad engañosa o no deseada,
el fraude, los contenidos ilegales e ilícitos y el uso abusivo de
datos personales; así mismo obliga a generar altos niveles de
seguridad de las transacciones y medios de pago electrónicos. Todo
ello por la falta de estándares consolidados y la proliferación de
aplicaciones y protocolos de comercio electrónico incompatibles.
USUARIOS DE INTERNET
A Nivel Mundial en millones de usuarios
1997 10
1998 159
1999 212
2000
272
2001 379
2002 459
2003 510
Fuente:
Nielse/NetRatings.com
En Colombia
Numero de Usuarios a Octubre de 2000: 700.000
% población con acceso a Internet 1.75% /(40
Millones)
Numero de paginas .CO registradas a Enero de
2000: 40.565
ARTICULO II
COMERCIO ELECTRONICO
Internet
constituye la forma primaria de comercio electrónico y permite a
las compañías establecer contactos con los consumidores
potenciales o con otras compañías por medio del correo
electrónico.
En Colombia se expidió la LEY 527 DE 1999 (Agosto
18 de 1999) "Por medio de la cual se define y reglamenta el acceso
y uso de los mensajes de datos, del comercio electrónico y de las
firmas digitales, y se establecen las entidades de certificación y
se dictan otras disposiciones". El objetivo principal de la ley es
adoptar un marco normativo que avale los últimos desarrollos
tecnológicos sobre seguridad en materia de comercio electrónico,
de manera que se pueda dar pleno valor jurídico a los mensajes
electrónicos de datos que hagan uso de esta tecnología .
Esta ley define en su art. 2 literal b el
Comercio electrónico de la siguiente manera "COMERCIO ELECTRONICO:
Abarca las cuestiones suscitadas por toda relación de índole
comercial, sea o no contractual, estructurada a partir de la
utilización de uno o más mensajes de datos o de cualquier otro
medio similar. Las relaciones de índole comercial comprenden, sin
limitarse a ellas, las siguientes operaciones: toda operación
comercial de suministro o intercambio de bienes o servicios; todo
acuerdo de distribución; toda operación de representación o
mandato comercial; todo tipo de operaciones financieras,
bursátiles y de seguros; de construcción de obras; de consultoría;
de ingeniería; de concesión de licencias; todo acuerdo de
concesión o explotación de un servicio público; de empresa
conjunta y otras formas de cooperación industrial o comercial; de
transporte de mercancías o de pasajeros por vía aérea, marítima y
férrea, o por carretera"
La nueva ley es clara en establecer que cuando
una norma exija que la información conste por escrito, este
requisito queda satisfecho con un mensaje de datos, si la
información que éste contiene es accesible para su posterior
consulta.
ANTECEDENTES
La ley 527 toma como base la Ley Modelo sobre
Comercio electrónico elaborada por la UNCITRAL y aprobada por la
Asamblea General de la ONU en 1996, ella establece:
"COMERCIO ELECTRÓNICO comprende todas aquellas
transacciones comerciales, nacionales e internacionales, que se
realizan por medio del intercambio electrónico de datos y por
otros medios de comunicación, en los que se usan métodos de
comunicación y almacenamiento de información substitutivos de los
que usan papel"
ORGANIZACIÓN MUNDIAL DEL COMERCIO
Estudios estadísticos indican que para el año de
1991 había menos de 5 millones de usuarios en Internet. En la
actualidad existen más de 459 millones (menos de la decima parte
de la población mundial) de ellos América Latina representa el
4%.
Las transacciones electrónicas requieren
contratos electrónicos y firmas electrónicas que no han sido
regulados hasta ahora por el derecho de muchos países. La mayoría
de los países en desarrollo que deseen participar en el comercio
electrónico, necesitan emprender cambios legislativos importantes
en este sentido.
DECRETO 2328 de 1982
"Por el cual se dictan normas sobre el servicio
de transmisión o recepción de información codificada (datos) entre
equipos informaticos, es decir, computadoras y/o terminales en el
territorio nacional"
"Art. 1. La empresa Nacional de
Telecomunicaciones prestará el servicio de transmisión de datos a
través de los siguientes medios..."
DECRETO 148 de 1984
"Por el cual se dictan normas sobre los servicios
de transmisión de información codificada (datos) para
correspondencia publica y se reglamentan parcialmente los
artículos 184 y 186 del decreto-ley 222 de 1983"
Este decreto define Telex, Correo Electrónico,
Transmisión de Datos, etc.
"Correo Electrónico: Servicio que mediante el uso
de diferentes tecnologías electrónicas y medios de
telecomunicación permite la transferencia de mensajes, documentos,
memorandos, oficios y similares almacenándolos en un lugar y
permitiendo su extracción y reproducción en forma de copia a
distancia."
DECRETO 2150 DE 1995
ARTÍCULO 26: Utilización de sistemas electrónicos
de archivo y transmisión de datos. Las entidades de la
administración pública deberán habilitar sistemas de transmisión
electrónica de datos para que los usuarios envíen o reciban
información requerida en sus actuaciones frente a la
administración.
En ningún caso las entidades públicas podrán
limitar el uso de tecnologías para el archivo documental por parte
de los particulares sin perjuicio de los estándares tecnológicos
que las entidades públicas adopten para el cumplimiento de algunas
de las obligaciones legales a cargo de los particulares.
DECRETO 266 DE 2000
ARTÍCULO 26: Medios tecnológicos.
Se autoriza a la administración pública para el
empleo de cualquier medio tecnológico o documento electrónico.
Toda persona podrá en su relación con la
administración hacer uso de cualquier medio técnico o
electrónico.
LEY 527 DE 1999
Por medio de la cual se define y reglamenta el
acceso y uso de los mensajes de datos, del comercio electrónico y
de las firmas digitales y se establecen las entidades de
certificación y se dictan otras disposiciones
DEFINICIONES
Mensaje de datos. La información generada,
enviada, recibida, almacenada o comunicada por medios
electrónicos, ópticos o similares, como pudieran ser, entre otros,
el intercambio electrónico de datos (EDI), Internet, el correo
electrónico, el telegrama, el télex o el telefax
Comercio electrónico. Abarca las cuestiones
suscitadas por toda la relación de índole comercial, sea o no
contractual, estructurada a partir de la utilización de uno o más
mensajes de datos o de cualquier otro medio similar.
Firma Digital. Se entenderá como un valor
numérico que se adhiere a un mensaje de datos y que, utilizando un
procedimiento matemático conocido, vinculado a la clave del
iniciador y al texto del mensaje permite determinar que este valor
se ha obtenido exclusivamente con la clave del iniciador y que el
mensaje inicial no ha sido modificado después de efectuada la
transformación
Entidad de Certificación. Es aquella persona que,
autorizada conforme a la presente ley, esta facultada para emitir
certificados en relación con las firmas digitales de las personas,
ofrecer o facilitar los servicios de registro y estampado
cronológico de la transmisión y recepción de mensajes de datos,
así como cumplir otras funciones relativas a las comunicaciones
basadas en las firmas digitales.
Intercambio electrónico de datos. La transmisión
electrónica de datos de una computadora a otra, que está
estructurada bajo normas técnicas convenidas al efecto.
Sistema de información. Se entenderá todo sistema
utilizado para generar, enviar, recibir, archivar o procesar de
alguna otra forma mensajes de datos.
ARTICULO III
VALOR PROBATORIO DEL DOCUMENTO ELECTRONICO Y
FIRMA DIGITAL EN LA LEY DE COMERCIO ELECTRONICO - LEY 527 DE 1999
-
DOCUMENTOS ELECTRONICO (MENSAJES DE
DATOS)
RECONOCIMIENTO JURIDICO DE LOS MENSAJES DE
DATOS
Los MENSAJES DE DATOS tiene plena valor jurídico,
como el documento escrito. El Art. 5 determina que "No se negaran
efectos jurídicos, validez o fuerza obligatoria a todo tipo de
información por la sola razón de que esté en MENSAJE DE
DATOS"
MEDIO DE PRUEBA
Prueba Documentaría:
En el campo jurídico, el documento es el elemento
esencial dentro del sistema informativo del derecho
El documento es definido por CARNELLUTI como una
cosa que hace conocer un hecho. De allí se deriva que el
documento, es algo material, tiene una finalidad representativa de
un acontecimiento y debe ser anterior al litigio en el cual
pretende utilizar como prueba
CARNELLUTI, al igual que otros autores, abre las
puertas a la admisión del documento electrónico
Sin embargo hay otra parte de la doctrina que no
da cabida a considerar el documento electrónico como medio de
prueba documental, en la medida en que el documento siempre debe
ser el escrito en un soporte de papel
¿Qué es el documento electrónico?
Aquel proveniente de la elaboración electrónica,
o aquel objeto físico dirigido a conservar y transmitir
informaciones mediante mensajes en lenguaje natural, realizado con
la intermediación de funciones electrónicas.
Resulta importante plantear varios
cuestionamientos conducentes a la determinación de los documentos
electrónicos como verdadero medio de prueba.
1. Se podrían considerar enmarcados dentro de la
clasificación de documentos (Art. 251 C.P.C.)
2. Podrán servir los nuevos documentos
electrónicos o informáticos de medios de prueba, teniendo en
cuenta la ausencia gran cantidad de países de una ley que los
pueda clasificar como tal.
3. Frente al concepto "Documentos original", en
el documento electrónico es difícil determinar la diferencia entre
el documento original y la copia del mismo.
4. la seguridad de los medios electrónicos es
suficiente para contrarrestar la desconfianza, incertidumbre y
falta de credibilidad que el documento electrónico genera, ante
las posibles alteraciones de su contenido.
Estos interrogantes son resueltos por la nueva
normativa establecida en la Ley 527 de 1999. Ley que es clara en
determinar que tanto el documento electrónico (mensaje de datos)
como la firma digital tienen el valor probatorio que la ley otorga
a los documentos escritos y a la firma autógrafa. Para ello
determina ciertos requisitos, los cuales son analizados en las
siguientes líneas.
REQUISITOS JURIDICOS DE LOS MENSAJES DE
DATOS
ESCRITO
De acuerdo al articulo 6, este requisito queda
satisfecho con un mensaje de datos, si la información que éste
contiene es accesible para su posterior consulta.
El documento debe quedar en algún "lugar" con la
posibilidad de ser apreciado posteriormente en iguales condiciones
a las que fue emitido y recibido.
FIRMA
Es el método, signo o símbolo de naturaleza
digital incorporado por su titular a un documento preparado para
ser tratado por medios telemáticos, con cualquiera de las
finalidades previstas para la firma manual, o como un bloque de
caracteres que acompaña a un documento acreditando quién es su
autor ( autenticación ) y que no ha existido ninguna manipulación
posterior de los datos (integridad )
Es cualquier método o símbolo basado en medios
digitales utilizado o adoptado por una parte con la intención
actual de vincularse o autenticar un documento, cumpliendo todas o
algunas de las funciones características de una firma
manuscrita.
El Articulo 7 establece que el requisito de la
firma de un documento electrónico queda satisfecho por dos
aspectos : 1. Que exista un método de identificación del iniciador
del mensaje y que el contenido del mensaje esta aprobado por el .
2. Que el método de identificación del mensaje sea confiable y
apropiado para los mismos fines del mensaje.
Lo anterior se refiere básicamente a las
entidades de certificación.
ORIGINAL
Conforme al Articulo 8 el Mensaje de Datos se
reconoce como documento original, cumpliendo los siguientes
requisitos: 1. Garantía confiable que se ha conservado la
integridad de la información, desde el momento en que se genero el
mensaje de datos
2. Que la información pueda ser mostrada en
forma adecuada.
INTEGRIDAD
Al tenor del articulo 9 se considera la
integridad de un mensaje de datos cuando la información contenida
en él ha permanecido completa y sin alteración de su contenido. Lo
anterior significa que el mensaje de datos es integro si no ha
tenido modificación alguna desde el momento que es generado y
enviado, hasta que ha sido recibido.
FUERZA PROBATORIA
El articulo 10 reconoce fuerza probatoria a los
mensajes de datos, de manera expresa, conforme a las normas del
Código de Procedimiento Civil en sus artículos 251 y
siguientes.
Igualmente sucede con las actuaciones
administrativas o judiciales en donde se reconoce eficacia,
validez y fuerza probatoria a la información contenida en mensajes
de datos.
VALOR PROBATORIO
Los mensajes electrónicos de datos se valorarán
conforme a la regla general de sana crítica. Esto significa que un
mensaje de datos o una firma digital no tienen ni un mayor ni un
menor valor al que en forma general se le reconoce a los
documentos (Articulo 11).
CONSERVACION
El mensaje de datos debe cumplir, según el
articulo 12, con los siguientes requisitos cuando la ley requiera
que sean conservados: 1. Que la información sea accesible para su
posterior consulta.
2. Que su conservación sea en el formato
que se haya generado.
3. Que se conserve la información que
determine origen, destino, fecha y hora de envío o recibo o
producción del documento.
COMUNICACIÓN (Art. 14 y 15)
La oferta y aceptación en la formación del
contrato se puede expresar por medio de mensajes de datos.
No se niegan efectos jurídicos, validez o fuerza
obligatoria a la manifestación de voluntad expresada por mensaje
de datos.
ATRIBUCIONES (Art. 16)
Se entiende un mensaje de datos enviado por el
iniciador, cuando: 1. Lo envía el propio iniciador.
2. Lo envía
una persona facultada por el iniciador.
3. Lo envía
automáticamente un sistema de información programado por el
iniciador.
PRESUNCION DE ORIGEN (Art. 17)
Se presume un mensaje de datos enviado por el
iniciador, cuando: 1. Se ha acordado previamente un procedimiento,
que determine que es el iniciador quien lo envíe.
2. El mensaje
de datos recibido por el destinatario es producto de los actos de
una persona facultada por el iniciado y que haya utilizado el
procedimiento acordado previamente.
MENSAJE ENVIADO = MENSAJE RECIBIDO
De acuerdo al Art. 18, el destinatario tiene el
derecho a considerar que el mensaje de datos recibido del
iniciador, es el que este quería enviar.
No lo puede hacer
cuando el destinatario sabe o pudo saber que la transmisión había
dado lugar a un error.
FIRMAS DIGITALES
La firma digital no es otra cosa que la forma en
que una entidad de certificación señala deben ir firmados los
mensajes de datos emitidos por una empresa o persona por ella
certificada y a quien le ha expedido un certificado digital.
ATRIBUTOS DE LA FIRMA DIGITAL
Cuando una firma digital haya sido fijada en un
mensaje de datos se presume que el suscriptor de aquella tenía la
intención de acreditar ese mensaje de datos y de ser vinculado con
el contenido del mismo.
El uso de una firma digital tendrá la misma
fuerza y efectos que el uso de una firma manuscrita, siempre y
cuando reúna los siguientes requisitos: (Art. 7 y 28)
UNICA
Es única a la persona que la usa. Es
absolutamente personal e intransferible. Usada bajo
responsabilidad y riesgo del titular.
SUCEPTIBLE DE VERIFICACION
Es susceptible de ser verificada. Por medios
adecuados y utilizando las entidades de certificación se puede
determinar que una firma digital corresponde a la persona que la
emite.
CONTROL EXCLUSIVO DEL USUARIO
Está bajo el control exclusivo de la persona que
la usa. No permite que varias personas sean los responsables de la
firma, es del resorte exclusivo y excluyente del titular de la
firma.
VINCULACION A LA INFORMACION
Está ligada a la información o mensaje, de tal
manera que si éstos son cambiados, la firma digital es
invalidada.
SOMETIDA A REGLAMENTACION
Está conforme a las reglamentaciones adoptadas
por el Gobierno Nacional, en este caso la ley 527 de 1999 y el
decreto 1747 de 2000.
USO DE LA FIRMA DIGITAL
Las entidades de Certificación dentro de sus
actividades tiene la de prestar los servicios de creación de
firmas digitales, pero a parte de las entidades de certificación,
juegan papel importante en el manejo de la firma digital otros
actores en las transacciones electrónicas.
EL CLIENTE : Es el que inicia la
transacción por medio del lleno de un formulario de pedido y el
envío a través de la aceptación del formulario. El cliente se
identifica ante el comerciante por medio de una firma digital,
enviando el mensaje de datos cifrado mediante su clave privada. El
comerciante mediante la clave publica del cliente desencripta el
mensaje y lee la información.
COMERCIANTE : Es el
destinatario del mensaje de datos y descifra la información
mediante la clave publica que el cliente tiene y ha sido
suministrada por medio de su entidad de certificación. En la
mayoría de las transacciones con tarjeta de crédito, el
comerciante no tiene acceso al número de tarjeta del cliente, solo
le llega la autorización del banco respectivo, aprobando la
transacción.
BANCO : Es el intermediario en el pago,
recibe la notificación del pago del cliente al comerciante y
autoriza la transacción, cargando a la cuenta del cliente el valor
pagado y abonándola a la cuenta del comerciante.
ISP : es la empresa que facilita la
comunicación y las transacciones por Internet al permitir el
acceso tanto de cliente como de comerciante a la red, puede ser el
mismo o diferentes.
ARTICULO IV
SEGURIDAD DE LOS MENSAJES DE DATOS Y LAS
FIRMAS DIGITALES
Mas que la seguridad en Internet, el problema
principal es la INSEGURIDAD, debido a que en buena parte este
fenómeno fue dejado al mutuo respeto y al honor de los usuarios,
así como a la buena fe en las transacciones comerciales. La
seguridad mínima en Internet se basa fundamentalmente en la
identificación del usuario y una palabra o clave de acceso
El crecimiento acelerado y el auge que en los
últimos años ha tenido Internet, empezó a mostrar las falencias
que en seguridad tenia este sistema. Fenómenos como los famosos
agujeros de seguridad, propiciados por errores en la programación
o problemas de protocolos, así como la suplantación de identidad,
han generado una alarma creciente en la transmisión de datos y en
especial en la celebración de Negocios ON-LINE. La respuesta no se
hizo esperar y surgieron así las propuestas internacionales de
establecer los CERTIFICADOS. Estos pretenden dar la confiabilidad
que los usuarios requieren para la realización de sus
transacciones en Internet.
El interés principal en la generación de
seguridad en Internet es motivar a que las negociaciones virtuales
no se suspendan sino por el contrario aumenten. Sin embargo los
HACKER (temibles piratas virtuales que ingresan a las redes y
capturan la información que ella contiene o que por ella se
transmite) han puesto en peligro grandes redes de comunicación y
grandes servidores, así como el servicio de correo electrónico,
como ha sido los famosos casos de Microsoft.com, Hotmail.com y
otros que han sido violados en sus sistemas de seguridad.
En el comercio electrónico intervienen varias
partes. Así los comerciantes ofrecen mercancías, productos y
servicios a los clientes, quienes los solicitan vía servidor o
correo electrónico, llenando un formulario de pedido, con lo que
se inicia la transacción. El comerciante entonces solicita
autorización de cobro a un banco, quien dará la autorización con
base en la que de el emisor de la tarjeta de crédito.
RIESGOS FRENTE A LOS DOCUMENTOS ELECTRONICOS Y
LAS FIRMAS DIGITALES
Los principales fenómenos de seguridad que se
presentan en Internet son los siguientes :
ROBO DE INFORMACION
Permite obtener la información de los usuarios de
la red, tales como números de cuentas, tarjetas de crédito,
facturación, etc. Así mismo por este sistema se puede robar
servicios exclusivos de suscriptores. De esta manera se viola la
privacidad en las comunicaciones. Por medio de algoritmos
criptograficos (vistos anteriormente) se puede contrarrestar esta
situación.
SUPLANTACION DE IDENTIDAD
una de las actividades mas comunes en Internet.
Cuando una persona utiliza las claves de otra haciéndose pasar por
esta y realizando transacciones en nombre de aquel. De esta manera
el suplantador podría usar el numero de tarjeta de crédito del
suplantado o comprometer su responsabilidad sin que este tenga la
voluntad de obligarse. Por medio del sistema de la FIRMA DIGITAL
se puede obviar esta suplantación. Esto se estudiara mas
adelante.
SNIFFERS
Son herramientas informáticas que permiten
obtener las CLAVES DE ACCESO que permiten entrar a los lugares
donde se guarda la información. Permiten la consumación de
"delitos" de robo de información y suplantación de identidad. Los
sistemas de criptografia y de llaves publicas ofrecen una adecuada
protección.
MODIFICACION DE INFORMACION
Es la forma de alteración del contenido de un
mensaje de datos en el lapso de tiempo que sale del iniciador y
llega al destinatario, cambiando considerablemente el mensaje de
salida al mensaje de llegada. La FIRMA DIGITAL es el mecanismo
adecuado para conservar la integridad de los mensajes de
datos.
REPUDIO
Es el rechazo o la negación de una operación por
una de las partes que intervienen en el negocio electrónico, esto
puede causar problemas en los sistemas de pago. Si una de las
partes rechaza un acuerdo previo con la otra parte, se vera
abocado al sobrecosto en la facturación. La FIRMA DIGITAL genera
un buen medio de garantía.
DENEGACION DEL SERVICIO
Es la forma de inhabilitar un sistema para que
pueda operar normalmente, imposibilita que un cliente que tiene
suscripción con un servicio, pueda obtener los beneficios
respectivos.
ELEMENTOS DE SEGURIDAD DE LOS MENSAJES DE
DATOS Y LAS FIRMAS DIGITALES
Para contrarrestar los fenómenos mencionados
anteriormente es necesario suministrar unos buenos elementos de
seguridad por partes de los actores intervinientes en Internet, a
fin de lograr la entera confianza y que las transacciones tengan
la suficiente garantía de realización segura. Para ello un sistema
debe ofrecer seguridad a ambos extremos de la comunicación. Los
principales requerimientos para cumplir con la seguridad son los
siguientes :
CONFIDENCIALIDAD
las comunicaciones se deben restringir solo para
las partes interesadas y no permitir el ingreso de terceras
personas que nada tiene que ver con ella. Es esencial para la
privacidad del usuario y evita los problemas de robo de
información.
INTEGRIDAD
se debe tener la suficiente garantía que en el
proceso de comunicación no existe la posibilidad de modificación
del mensaje de datos, no en el almacenamiento en los
repositorios.
AUTENTICIDAD
Debe existir plena identidad e identificación
entre las partes, de tal manera que tengan la plena seguridad de
que las personas que dicen estarse comunicando son las que
realmente dicen ser.
NO REPUDIO
Realizada la operación no puede existir la
posibilidad de negar dicha operación o de rechazarla.
APLICACIÓN SELECTIVA DE SERVICIOS
Permite la posibilidad de que una parte de la
transacción no sea visible a todas las partes, es decir que en el
proceso de negociación se oculte una información de especial
interés para una de las partes, como es el caso del numero de la
tarjeta de crédito.
En la comunicación comercial existen varios
actores que interactuan y que se deben proporcionar entre ellos la
debida seguridad y garantía de sus transacciones, la mas
importante de ellas son las ENTIDADES DE CERTIFICACION, que son
las encargadas de proveer la garantía de que una comunicación es
segura. VERISING es la certificadora mas importante a nivel
mundial. En Colombia hasta el momento existen tramites para la
autorización de ENTIDADERS DE CERTIFICACION, pero exuiste algunos
ejemplos de entidades ya autorizadas como lo es CERTICAMARA
entidad de certificación abierta en la cual participan
Confecamaras, y las camaras de comercio de Medellín, Bogota, Cali,
Aburra Sur, Cucuta, Bucaramanga, ente otras.
AUTORIDAD DE CERTIFICACION (CA) O ENTIDAD DE
CERTIFICACION.
Las ENTIDADES DE CERTIFICACION son empresas
especializadas en brindar la seguridad de las transacciones que se
realizan en Internet. Estas entidades expiden certificados que
contienen las llaves publicas que garantizan la autenticidad de
las partes. Las entidades de certificación mantienen las listas de
revocación de certificados, y sus respectivos repositorios. Una
entidad de Certificación puede pertenecer a la misma empresa
(entidad Cerrada) teniendo de esta forma, la capacidad de definir
sus propias políticas de certificación.
ACTIVIDADES
Las entidades de certificación autorizadas por la
Superintendencia de Industria y Comercio para prestar sus
servicios en el país, podrán realizar, entre otras, las siguientes
actividades:
· Emitir certificados en relación con las firmas
digitales de personas naturales o jurídicas.
· Emitir
certificados sobre la verificación respecto de la alteración entre
el envío y recepción del mensaje de datos.
· Emitir
certificados en relación con la persona que posea un derecho u
obligación con respecto a los documentos enunciados en los
literales f) y g) del artículo 26 de la presente ley.
· Ofrecer
o facilitar los servicios de creación de firmas digitales
certificadas.
· Ofrecer o facilitar los servicios de registro y
estampado cronológico en la generación, transmisión y recepción de
mensajes de datos.
· Ofrecer los servicios de archivo y
conservación de mensajes
REQUISITOS DE CONSTITUCION
ENTIDADES DE CERTIFICACION CERRADAS
Las entidades de certificación cerradas deben
acreditar ante la Superintendencia de Industria y Comercio:
· Los administradores y representantes legales no
están incursos en las causales de inhabilidad previstas en el
literal c del artículo 29 de la ley 527 de 1999; y
· Están en
capacidad de cumplir los estándares mínimos que fije la
Superintendencia de Industria y Comercio de acuerdo a los
servicios ofrecidos.
ENTIDADES DE CERTIFICACION ABIERTAS
Las entidades de certificación abiertas deben
acreditar ante la superintendencia de industria y Comercio:
a)
Personería jurídica o condición de notario o cónsul;
b) Cuando
se trate de una entidad extranjera, se deberá acreditar el
cumplimiento de los requisitos contemplados en el Libro Segundo,
Título VIII del Código de Comercio para las sociedades extranjeras
que pretendan ejecutar negocios permanentes en territorio
colombiano. Igualmente deberá observarse lo establecido en el
artículo 48 del Código de Procedimiento Civil.
c) Que los
administradores y representantes legales no están incursos en las
causales de inhabilidad previstas en el literal c del artículo 29
de la ley 527 de 1999.
d) Declaración de Prácticas de
Certificación (DPC) satisfactoria, de acuerdo con los requisitos
establecidos por la Superintendencia de Industria y
Comercio.
e) Patrimonio mínimo de 400 salarios mínimos
mensuales legales vigentes al momento de la autorización.
f)
Constitución de las garantías previstas en este decreto.
g)
Infraestructura y recursos por lo menos en la forma exigida en el
artículo 9 de este decreto.
h) Informe inicial de auditoria
satisfactorio a juicio de la misma Superintendencia.
i) Un
mecanismo de ejecución inmediata para revocar los certificados
digitales expedidos a los suscriptores, a petición de estos o
cuando se tenga indicios de que ha ocurrido alguno de los eventos
previstos en el artículo 37 de la ley 527 de 1999.
j) En
desarrollo de lo previsto en el literal b del artículo 29 de la
ley 527 de 1999, la entidad deberá contar con un equipo de
personas, una infraestructura física y tecnológica y unos
procedimientos y sistemas de seguridad, adecuados para garantizar
las exigencias del DEC. 1747 de 2000 art. 8.
CERTIFICADOS DIGITALES
Un certificado es aquel que otorga una entidad de
certificación una vez controla la correcta configuración del
proceso de encriptación de los mensajes, y de comprobar los datos
de la empresa solicitante. Este certificado se concede a una
entidad cuyas referencias han sido comprobadas, para garantizar
que efectivamente quien recibe los datos encriptados es quien debe
recibirlos realmente. Garantizando así la confidencialidad,
integridad, autenticidad y demás elementos que requiere la
seguridad en Internet.
Al tenor del Decreto 1747 de 2000, un certificado
emitido por una entidad de certificación autorizada, además de
estar firmado digitalmente por ésta, debe contener por lo menos lo
siguiente:
· Nombre, dirección y domicilio del suscriptor.
·
Identificación del suscriptor nombrado en el certificado.
· El
nombre, la dirección y el lugar donde realiza actividades la
entidad de certificación.
· La clave pública del usuario.
·
La metodología para verificar la firma digital del suscriptor
impuesta en el mensaje de datos.
· El número de serie del
certificado.
· Fecha de emisión y expiración del
certificado.
