La atribución del riesgo de suplantación de identidad en la banca electrónica
| Autor | Diego Cruz Rivero |
| Páginas | 237-257 |
LA ATRIBUCIÓN DEL RIESGO
DE SUPLANTACIÓN DE IDENTIDAD
EN LA BANCA ELECTRÓNICA
Diego CRUZ RIVERO
Profesor Titular de Universidad
Departamento de Derecho Mercantil
de la Universidad de Sevilla
SUMARIO: I. CONCEPTO Y CLASES DE FIRMA ELECTRÓNICA.—II. LA ATRIBUCIÓN DE MENSA-
JES Y EL VALOR PROBATORIO DE LAS FIRMAS ELECTRÓNICAS.—III. VULNERABILIDADES DE
LA BANCA ELECTRÓNICA.—IV. EL DEBER DE CUSTODIA DE LOS DATOS DE CREACIÓN DE
FIRMA Y LA ATRIBUCIÓN DE MENSAJES AL FIRMANTE APARENTE DISTINTO DEL FIRMANTE
REAL.—1. Planteamiento.—2. La solución en el ámbito de la firma electrónica.—3. La solución en el
ámbito de las operaciones bancarias.
I. CONCEPTO Y CLASES DE FIRMA ELECTRÓNICA
La suplantación de identidad en el ámbito electrónico y, más concreta-
mente en relación a la banca electrónica, la realización de operaciones ban-
carias online de forma fraudulenta, accediendo ilícitamente a la cuenta de un
tercero, supone el quebrantamiento de las medidas de seguridad para la au-
tenticación de los clientes titulares de las cuentas y el uso fraudulento de sus
firmas electrónicas. Así pues, antes de adentrarnos en el estudio de este pro-
blema y su posible solución jurídica, se hace necesario introducirnos en la
configuración legal de la firma electrónica y encuadrar las distintas medidas
de seguridad utilizadas en la banca electrónica en los diferentes tipos de fir-
mas electrónicas.
El art. 3.1 de la Ley 59/2003, de 19 de diciembre, de Firma Electrónica
(LFE), define la firma electrónica como «el conjunto de datos en forma elec-
trónica, consignados junto a otros o asociados con ellos, que pueden ser utili-
zados como medio de identificación del firmante». Esta definición es similar,
y a nuestro entender debe interpretarse de forma idéntica, a la que aparece en
la Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de di-
ciembre de 1999, por la que se establece un marco comunitario para la firma
238 LA ATRIBUCIÓN DEL RIESGO DE SUPLANTACIÓN DE IDENTIDAD...
electrónica (DFE): «datos en forma electrónica anejos a otros datos electróni-
cos o asociados de manera lógica con ellos, utilizados como medio de auten-
ticación». Con ello, se reconoce en España, como también en el resto de Eu-
ropa, el principio de equivalencia funcional, por cuanto que se definen unos
instrumentos electrónicos que tienen la capacidad de ser medio de autentica-
ción, es decir, como la firma manuscrita, sirven para suscribir un documento
e identificarse como tal suscriptor.
Junto a esta definición de firma electrónica, que llamaremos sencilla, apa-
recen en la ley española las definiciones de firma electrónica avanzada (art. 3.2
LFE) y firma electrónica reconocida (art. 3.3 LFE). La primera se define como
«la firma electrónica que permite identificar al firmante y detectar cualquier
cambio ulterior de los datos firmados, que está vinculada al firmante de ma-
nera única y a los datos a que se refiere, y que ha sido creada por medios que
el firmante puede mantener bajo su exclusivo control», definición similar a la
que se recoge en el art. 2.2 DFE. Este concepto es instrumental respecto a la
noción de firma electrónica reconocida, pues el primer requisito de la misma
es precisamente el ser una firma electrónica avanzada: «[s]e considera firma
electrónica reconocida la firma electrónica avanzada basada en un certificado
reconocido y generada mediante un dispositivo seguro de creación de firma».
Este concepto es el verdaderamente importante, pues la LFE, como la DFE, se
ocupa de dotar de plenos efectos jurídicos a esta firma electrónica.
No es éste el momento de entrar a examinar los requisitos de la firma
electrónica avanzada o reconocida. Lo que sí es claro es que, con la actual
tecnología disponible, ambas firmas electrónicas se basan hoy día en la firma
digital de claves asimétricas. Este sistema permite afirmar de forma abso-
luta que la firma electrónica (mensaje cifrado generado a partir del propio do-
cumento) se ha creado con una concreta clave privada (datos de creación de
firma), de modo que, bajo el presupuesto de la confidencialidad de esta clave
privada, puede deducirse que el titular de la clave ha firmado el mensaje. El
sistema se cierra cuando interviene un prestador de servicios de certificación
que garantiza (y responde por ello) que el titular de las claves es quien dice
ser. Asimismo, para que la firma sea reconocida se requiere que se hayan se-
guido una serie de medidas de seguridad en relación al dispositivo de crea-
ción de firma. Y, por último, para que el certificado sea reconocido, la enti-
dad de certificación ha de seguir unos protocolos de seguridad muy estrictos
de modo que, más allá de su función primera y característica de velar por la
identidad del titular de las claves, esta entidad se constituye en verdadero
profesional garante del sistema.
Esta firma electrónica reconocida tiene, en virtud del art. 3.4 LFE (y 5.1
DFE), el mismo valor de la firma tradicional. Ello es consecuencia lógica del
principio de equivalencia funcional, reconocido con carácter general para to-
das las firmas electrónicas en los arts. 3.1 LFE y 2.1 DFE. Sin embargo, aquí
queda explícita dicha eficacia para estas firmas electrónicas por el hecho de
que, con la DFE, el legislador comunitario quiere garantizar que en ninguno de
los Estados de la UE pueda negarse a las firmas electrónicas reconocidas efec-
Para continuar leyendo
Solicita tu prueba