Todo lo que debes saber sobre digitalización certificada

Digitalización Certificada, Firma Digital y Certificado Electrónico. Cuántos conceptos y metodologías que aprender y aplicar, ¿verdad?

En el anterior artículo sobre facturación electrónica si queríamos pasar una factura en papel a formato digital la ORDEN EHA/962/2007, de 10 de abril, por la que se desarrollan determinadas disposiciones sobre facturación telemática y conservación electrónica de facturas nos hablaba del proceso de Digitalización Certificada.

La digitalización certificada es el proceso por el cual un documento digitalizado pasa a tener validez legal ante cualquier organismo oficial.

Para la digitalización certificada de facturas es necesario utilizar un software homologado por la Agencia Tributaria para poder autenticar la digitalización de este tipo de documentos.

La firma digital es una firma que asegura que lo que firmamos es firmado por nosotros y no por otra persona física o jurídica, dentro de un documento electrónico.

Es primordial que una firma digital posea dos características:

• Que sea íntegra. La integridad demuestra que el documento no ha sido alterado.
• Que identifique al firmante. La identidad demuestra que el documento ha sido suscrito por una persona concreta.

Para cumplir con estas dos características tenemos dos soluciones informáticas:
CRIPTOGRAFÍA ASIMÉTRICA + FUNCIONES HASH

La criptografía asimétrica garantiza la identidad, y las funciones hash la integridad.

La criptografía asimétrica es una garantía de cifrado en la que intervienen 2 claves:
1.    Clave Privada
2.    Clave Pública

Ambas están emparejadas de tal manera que aquello que cifremos con la clave privada, sólo puede descifrarse con la clave pública, y a la inversa.
Las funciones hash actúan como una prueba de integridad ya que son un algoritmo de cifrado que no tiene claves. Aquello que se cifra con un algoritmo hash, es “indescifrable” ya que solo tienen una única dirección.
Las funciones hash se generan a partir de un texto y si cambia algo de dicho texto, por mínimo que sea, también varía la función hash. Al ser un reflejo exacto del texto original, son íntegras.  

A un documento que queremos firmar le aplicamos la función hash y se la hacemos llegar al destinatario. El destinatario lo que hace es que vuelve a aplicar la función hash sobre el texto que ha recibido y compara las dos funciones hash. Si son iguales, quiere decir que el texto no ha sido alterado.

Lo que vamos a firmar de un documento, no es un documento en sí, sino la función hash de dicho documento. Esto se hace por practicidad, porque un documento puede ser muy voluminoso mientras que una función hash siempre será de un tamaño mucho menor.

Así que podemos concluir que la firma electrónica es la Función Hash + la Firma Privada.

Os habréis dado cuenta de que esto no constituye evidencia jurídica puesto que en un mundo digital tan libre y abierto una persona podría hacerse pasar por nosotros.

Es decir, un defraudador podría crear una cuenta de correo con nuestro nombre, adjuntar un documento y firmarlo con su clave privada (la del defraudador) haciéndola pasar por la nuestra. La incauta víctima abriría el documento firmado con la clave pública del defraudador creyendo que se trata de nuestra clave pública y ¡zas!, habría caído en la trampa de creer que el documento es nuestro.

Para evitar esto, hace falta una tercera pieza del puzzle. La función de esta pieza es validar la identidad del firmante, uniendo de manera unívoca la identidad de una persona física (nombre y apellidos) con su firma digital.

Y para hacer esto (validar la identidad del firmante) entran en escena los CERTIFICADOS DE FIRMA.

Los certificados de firma (CA) (también llamado Certificado Electrónico) son unos documentos electrónicos que contienen información del emisor, el periodo de validez etc.
Lo importante es que este certificado vincula la clave pública con la identidad de una persona concreta y ésta es firmada por la entidad acreditadora, que ha visto y puede demostrar que ese individuo es el poseedor de la clave privada que está vinculada con la pública.

Los certificados de firma actúan como un “tercero de confianza” que asegura que tu firma es tuya y de nadie más. En este tipo de certificados se dan una gran variedad de opciones. Una de las opciones más utilizadas y extendidas es la del sistema CERES facilitado por la Fábrica Nacional de Moneda y Timbre (FNMT).

Además, para asociar los datos con un instante determinado en la línea del tiempo es necesario utilizar una Autoridad de Sellado de Tiempo (TSA - Time Stamp Authority). Este es un método para probar que un conjunto de datos existió antes de un momento dado y que ninguno de estos datos ha sido modificado desde entonces.

El sellado de tiempo proporciona un valor añadido a la utilización de firma digital. Todo documento digital ha de llevar la firma electrónica del interesado (el propietario del documento original) o, en su defecto, la firma electrónica de la empresa que presta el servicio de digitalización, si éste se externaliza.

Es decir, la firma digital se debe componer de tres características fundamentales:

Integridad (funciones hash) + Identidad (criptografía asimétrica) + Certificados de firma (CA)

Resumiendo, para la digitalización certificada de documentos, necesitamos un certificado digital y una firma electrónica, y si hablamos de facturas, realizar el proceso a través del software homologado por la AEAT.

Para digitalización certificada de facturas hemos visto que necesitamos un certificado digital, una firma electrónica y el software homologado por la AEAT para realizar el proceso.

• Lo primero que hay que tener es un certificado electrónico, que es la base de la firma electrónica.
• El siguiente paso es firmar el documento realizando todo este proceso a través del software de digitalización homologado por la AEAT

Si hablamos de diferentes tipos de documentos administrativos, que no sean facturas, el certificado electrónico y la firma digital es lo que hay que tener en cuenta para certificar digitalmente el documento. Siempre cumpliendo con las Normas Técnicas de Interoperabilidad.

El portal de Administración Electrónica del Gobierno de España ha creado una guía muy útil con definiciones y usos sobre este tema.

En la ayuda para el certificado electrónico de la Agencia Tributaria también podemos encontrar más información que puede aclararnos algunas dudas.

La web del portal ValidaE nos facilita herramientas para validar firmas y certificados electrónicos.

Tal vez alguien se hizo esta pregunta: ¿es necesario tener el documento de la factura impreso para poder escanear y certificar posteriormente el proceso de digitalización o sería posible hacer la misma certificación desde un formato pdf?

La digitalización certificada en sí, no certifica la factura. Lo que certifica es la inalterabilidad de la factura desde el momento de su firma. Por lo tanto, puedes firmar una factura en formato digital que lo que vas a certificar (con firma digital reconocida) es, que desde el momento que lo firmas, esa factura permanece inalterada. Esto sucede, tal y como comentábamos en el artículo, gracias a las características de la fima de integridad e identidad.

Así que, no es necesario tener impresa una factura que nace en formato digital, pero hay que tener claro que lo "único" que haces es asegurar que la factura que has firmado es la misma hoy que dentro de unos años. Lo que no haces es certificar su digitalización.

El certificado de firma (certificado electrónico o certificado digital) también se encuentra instalado en mi dispositivo ¿Cómo puedo asegurar que si me roban el dispositivo no van a hacer un uso fraudulento?

En un caso de robo de dispositivo, lo que se debería hacer es solicitar la anulación del Certificado personándose en una Oficina de Acreditación o utilizando el Servicio de revocación telefónica 24x7 de certificados de persona física a través de los siguientes números de teléfono: 902200616 / 917406848 / 913878337.

Este enlace de la FNMT (Fábrica Nacional de Moneda y Timbre) te dice cómo anular el certificado.

También sirve de ayuda este enlace de la AEAT para anular el certificado electrónico.

Y si es una persona jurídica, puede tramitarse la anulación del certificado en el siguiente enlace.

En las empresa lo más eficiente es la externalización de procesos de negocio (BPO) que no forman parte del corazón del propio negocio. Un servicio de Digitalización Certificada se puede externalizar a una empresa dedicada a la digitalización documental y que cuente con un software homologado por la AEAT para realizar el proceso de digitalización.

Esto se desprende del artículo 7 de la Orden EHA/962/2007 donde señala:

“Este proceso de digitalización deberá cumplir los siguientes requisitos:

a) Que el proceso de digitalización sea realizado por el propio obligado tributario o bien por un tercero prestador de servicios de digitalización, en nombre y por cuenta de aquel, utilizando en ambos casos un software de digitalización certificado (…)
b) Que el proceso de digitalización utilizado garantice la obtención de una imagen fiel e íntegra de cada documento digitalizado y que esta imagen digital sea firmada con firma electrónica en los términos de los artículos anteriores de esta Orden en base a un certificado electrónico instalado en el sistema de digitalización e invocado por el software de digitalización certificada. Este certificado debe corresponder al obligado tributario cuando la digitalización certificada se realice por el mismo o al prestador de servicios de digitalización en otro caso.”

Es decir, siempre podremos realizar la externalización del servicio a un tercero siempre y cuando éste cuente con un software homologado por la AEAT y exista un acuerdo entre las partes autorizando el cliente a digitalizar sus facturas a través de la firma del prestador del servicio.  

1.    Ahorro de tiempos en la búsqueda de documentos, puesto que, al tratarse de documentos en formato electrónico, se pueden generar búsquedas por palabras clave.
2.    Aumenta la eficiencia y productividad de los empleados al ganar tiempo en las búsquedas
3.    Al tener los documentos digitalizados se puede tener un mayor control en los cambios que se produzcan en ellos a través de un control de versiones.
4.    Al tener los documentos digitales gestionados por un software informático y custodiados en un repositorio seguro, se agilizan las tomas de decisiones al tener la certeza que se comparte toda la información.
5.    Automatizar procesos integrando los documentos digitalizados en software de contabilidad y otros departamentos de la empresa.
6.    Reducción de errores humanos en los procesos documentales.

1.    Se reducen costes de impresión.
2.    Se gana en espacio de almacenamiento al no tener que guardar los documentos en formato papel.
3.    Se reducen costes en material de oficina (no solo papel, sino material de impresión y material de clasificación y archivo).
4.    Podemos optimizar la desgravación del IVA de una empresa puesto que se controlan y se visualizan mejor los gastos
5.    Se pueden evitar indeseadas multas de la AEAT por no encontrar un documento requerido por éste u otros organismos.
6.    Y por último, no queremos olvidar nuestro papel de empresa responsable y alentar a otras a que continúen por este camino, puesto que con procesos de digitalización de documentos se facilita el cumplimiento de la ISO 14001 de gestión ambiental, una norma ideada para conseguir el equilibrio entre el mantenimiento de la rentabilidad y la reducción de los impactos en el ambiente.