La Agencia Tributaria ha generalizado el uso de los Certificados Digitales para todas las empresas Españolas con la publicación de la Orden PRE/878/2010, de 5 de abril, por la que se establece el régimen del sistema de dirección electrónica habilitada previsto en el artículo 38.2 del Real Decreto 1671/2009, de 6 de noviembre, en el que se sientan las bases para la notificación, y, posteriormente, en el Real Decreto 1363/2010, de 29 de octubre, por el que se regulan supuestos de notificaciones y comunicaciones administrativas obligatorias por medios electrónicos en el ámbito de la Agencia Estatal de Administración Tributaria quien ha definido la obligatoriedad de las mismas a través de la dirección electrónica habilitada.

El servicio de notificaciones electrónicas es accesible mediante certificados digitales, estos certificados son emitidos a tal efecto, en la mayoría de los casos por parte de la Fábrica Nacional de Moneda y Timbre, con un propósito general que permite realizar de forma electrónica la mayoría de los trámites neceserios para las empresas en los ámbitos administrativos, mercantiles, societarios, .., etc. Sin embargo, estos certificados NO están protegidos en las empresas con las medidas de seguridad adecuadas.

Los certificados digitales se emiten con un doble propósito, en primer lugar permitir acreditar la identidad de un usuario, ya sea persona física o jurídica, mediante la AUTENTICACION de usuarios, y en segundo lugar permitir firmar electrónicamente documentos o trámites, con la FIRMA ELECTRONICA (a modo de ejemplo el DNI Electrónico contiene dos certificados, uno para cada propósito). En el caso de las notificaciones electrónicas, como en cualquier otro trámite electrónico relevante, se requiere la autenticación del usuario para el acceso a las notificaciones y la firma electrónica del trámite de descarga de las mismas para acreditar que el usuario ha accedido a la notificación.

Los certificados exigidos en la mayor parte de los trámites publicos y privados son “certificados reconocidos”, es decir certificados digitales emitidos por una entidad reconocida por el Ministerio de Industria. Estos certificados son suministrados a los titulares mediante soportes criptográficos (Tarjetas Criptográficas) o mediante soportes software, mayoritariamente en este segundo tipo, de forma que los certificados en las organizaciones se instalan en multiples equipos y se distribuyen a múltiples usuarios para que realicen funciones de autenticación y firma electrónica.

Los certificados se rigen en materia de formatos, alcance y medidas de seguridad en su emisión, por la Política de Certificación de la Entidad de Certificación que los emite. Ésta política está disponible obligatoriamente para consultas en la página web del emisor, por ejemplo, en el caso de la Agencia de Certificación de la Comunidad Valenciana, que pone a disposición del usuario las Prácticas y Políticas de Certificación donde se establecen los tipos de certificados, el alcance de los mismos, los tipos de soportes en los que se suministran a los usuarios y los usos previstos para cada uno de ellos.

Por su parte, cada organización titular de un certificado debe normalizar el uso del mismo mediante la redacción de una Política de Firma Electrónica, que especifique los objetivos de la organización, los certificados que utilizará, los propósitos de tales certificados, los mecanismos para la obtención y custodia de los mismos así como las medidas de seguridad que se aplícarán a su protección. Una adecuada política de firma electrónica debe regular todos los aspectos que den validez a los usos de los certificados por parte de la organización titular de los mismos, por ejemplo, la Administración General del Estado detalla su Política de Firma Electrónica y Certificados aquí.

Son 3 las líneas de trabajo que se deben desarrollar para normalizar el uso de los certificados digitales en la organización y dotar de validez jurídica las actuaciones realizadas por los mismos:

1) en el ámbito de la obtención y almacenamiento de los certificados, éstos se deben obtener siguiendo las Políticas de Certificación de la Entidad de Certificación y deben ser almacenados de la forma más segura posible, recomendando para ello utilizar un Dispositivo Seguro de creación de Firma ya sea una tarjeta criptográfica o un Hardware Security Module – HSM.
2) en el ámbito del uso de los certificados, éstos deben estar protegidos por las medidas de seguridad que la organización defina de forma específica en su Política de Seguridad de la Información.
3) en el ámbito normativo, la redacción de la Política de Firma Electrónica y Certificados Digitales debe recoger todos los aspectos del ciclo de vida de los certificados, así como el uso de los mismos.

Con estas sencillas recomendaciones, los certificados estarán adecuadamente protegidos y las actuaciones que se realicen con ellos estarán normalizadas y serán auditables, hechos especialmente relevantes para garantizar su validez jurídica.