Concepto 05037703 Junio 14 de 2005

Bogotá,

010/

Asunto:

Radicación

05037703

 

Trámite

113

 

Actuación

440

 

Folios

004

Damos respuesta a la petición contenida en su comunicación radicada en esta Entidad bajo el número de la referencia, donde nos consulta algunos aspectos relativos a los certificados emitidos por las entidades de certificación cerradas. Sobre el particular le manifestamos lo siguiente:

En primer lugar, deben tenerse en cuenta algunas definiciones relevantes para el presente tema, contenidas tanto en la Ley 527 de 1999, como en el decreto 1747 de 2000 que la reglamenta.

Así, la Ley 527 de 1999 “Por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan o tras disposiciones”, definió la entidad de certificación en el literal d) de su artículo 2º como “aquella persona que, autorizada conforme a la presente ley, está facultada para emitir certificados en relación con las firmas digitales de las personas, ofrecer o facilitar los servicios de registro y estampado cronológico de la transmisión y recepción de mensajes de datos, así como cumplir otras funciones relativas a las comunicaciones basadas en las firmas digitales;”(Negrilla fuera de texto)

A su vez, el artículo 29 de la mencionada ley 527, establece, en su literal b), que las entidades de certificación deben “Contar con la capacidad y elementos técnicos necesarios para la generación de firmas digitales, la emisión de certificados sobre la autenticidad de las mismas y la conservación de mensajes de datos en los términos establecidos en esta ley”. (Negrilla fuera de texto).

Ahora, el decreto 1747 de 2000, “por el cual se reglamenta parcialmente la Ley 527 de 1999, en lo relacionado con las entidades de certificación, los certificados y las firmas digitales”, trae las siguientes definiciones, en su artículo 1º:

“Certificado en relación con las firmas digitales: mensaje de datos firmado por la entidad de certificación que identifica, tanto a la entidad de certificación que lo expide, como al suscriptor y contiene la clave pública de éste.”

“Entidad de certificación cerrada: entidad que ofrece servicios propios de las entidades de certificación sólo para el intercambio de mensajes entre la entidad y el suscriptor, sin exigir remuneración por ello.” (Subrayado fuera de texto).

“Entidad de certificación abierta: la que ofrece servicios propios de las entidades de certificación, tales que:

a) Su uso no se limita al intercambio de mensajes entre la entidad y el suscriptor. (Subrayado fuera de texto).

b) Recibe remuneración por éstos.”

Establecido lo anterior, a continuación procederemos a dar respuesta a cada uno de los interrogantes planteados, como sigue:

En relación con los efectos jurídicos de los certificados emitidos por una entidad de certificación cerrada, debe tenerse en cuenta lo estipulado por el artículo 4º del decreto 1747, reglamentario de la ley 527, el cual establece que “ Los certificados emitidos por las entidades de certificación cerradas deberán indicar expresamente que sólo podrán ser usados entre la entidad emisora y el suscriptor. Las entidades deberán informar al suscriptor de manera clara y expresa, previa expedición de los certificados, que éstos no cumplen los requisitos del artículo 15 del presente decreto.” (Negrilla fuera de texto).

El mencionado artículo 15 establece que “Cuando quiera que un suscriptor firme digitalmente un mensaje de datos con su clave privada, y la respalde mediante un certificado digital, se darán por satisfechos los atributos exigidos para una firma digital en el parágrafo del artículo 28 de la Ley 527 de 1999, sí: (Subrayado fuera de texto).

  1. El certificado fue emitido por una entidad de certificación abierta autorizada para ello por la Superintendencia de Industria y Comercio.
  2. Dicha firma se puede verificar con la llave pública que se encuentra en el certificado con relación a firmas digitales, emitido por la entidad de certificación.
  3. La firma fue emitida dentro del tiempo de validez del certificado, sin que éste haya sido revocado.
  4. El mensaje de datos firmado se encuentra dentro de los usos aceptados en la DPC”.

En virtud de la estipulación contenida en el artículo 4º del decreto 1747, tenemos entonces que los certificados emitidos por una entidad de certificación cerrada no cumplen los requisitos contenidos en los numerales 1 a 4 del artículo 15 citado, por lo cual no pueden darse por satisfechos los atributos exigidos para una firma digital contenidos en el parágrafo del artículo 28 de la ley 527.

El artículo 28 de la Ley 527, a cuyo parágrafo hace referencia el artículo 15 del Decreto 1747, establece que “Cuando una firma digital haya sido fijada en un mensaje de datos se presume que el suscriptor de aquella tenía la intención de acreditar ese mensaje de datos y de ser vinculado con el contenido del mismo.

PARÁGRAFO. El uso de una firma digital tendrá la misma fuerza y efectos que el uso de una firma manuscrita, si aquella incorpora los siguientes atributos:

  1. Es única a la persona que la usa.
  2. Es susceptible de ser verificada.
  3. Está bajo el control exclusivo de la persona que la usa.
  4. Está ligada a la información o mensaje, de tal manera que si éstos son cambiados, la firma digital es invalidada.
  5. Está conforme a las reglamentaciones adoptadas por el Gobierno Nacional.”

Tenemos entonces que, si el certificado expedido por una entidad de certificación cerrada no cumple los requisitos enunciados en el artículo 15 del decreto 1747, según lo establece el mismo decreto en su artículo 4º de manera expresa, no podría, en principio, la firma digital que se encuentra respaldada mediante el certificado digital, cumplir con lo establecido en el parágrafo del artículo 28 de la ley 527, salvo que se prueben dichos atributos.

En conclusión, al no darse por satisfechos los atributos previstos en el parágrafo del artículo 28 de la Ley 527, la firma digital no tendrá la misma fuerza y efectos que el uso de una firma manuscrita. Sin embargo, ello no quiere decir que la presunción legal prevista en el inciso primero del mencionado artículo 28 no se aplique a la firma digital respaldada mediante un certificado expedido por una entidad de certificación cerrada, pues a lo que se refiere la norma es a que no se entenderán satisfechos los requisitos para que dicha firma digital goce de la misma fuerza y efectos de una firma manuscrita en la que se tiene certeza de quien es el suscritor del documento que la contiene.

Ahora bien, respecto al tercer punto en el cual nos consulta si los efectos de los certificados emitidos por una entidad de certificación cerrada son diferentes a los emitidos por una entidad de certificación abierta, tenemos que, según lo antes anotado y conforme con la normatividad citada, la respuesta a dicha cuestión es que sí son diferentes por cuanto en la medida en que un certificado emitido por una entidad de certificación abierta cumpla con los requisitos establecidos en el artículo 15 del decreto 1747, uno de los cuales consiste en que el certificado digital que respalda la firma digital sea expedido por una entidad de certificación abierta, se entenderá que “se darán por satisfechos los atributos exigidos para una firma digital en el parágrafo del artículo 28 de la Ley 527 de 1999”.

En cuanto al cuarto punto, acerca de la normatividad con base en la cual se da la diferenciación entre los efectos de los certificados emitidos por una entidad de certificación abierta y los de una entidad de certificación cerrada, tenemos que dichas normas son aquellas que han sido citadas en este concepto como sustento de las respuestas anteriores, es decir, los artículos 4º y 15 del decreto 1747 y el 28 de la ley 527.

Finalmente, le informamos que esta Oficina no se ha pronunciado en conceptos anteriores específicamente sobre los temas por usted planteados en la presente consulta, sin embargo, en nuestra página web www.sic.gov.co, puede encontrar los conceptos que se han emitido en relación con las entidades de certificación.

En los anteriores términos, damos respuesta a su consulta con el alcance previsto en el artículo 25 del Código Contencioso Administrativo.

Para obtener mayor información sobre el desarrollode nuestras funciones y de las normas objeto de aplicación por parte de esta Entidad, puede consultar nuestra página de internet www.sic.gov.co. Adicionalmente en la pestaña normatividad encontrará todos los conceptos emitidos por esta Superintendencia y podrá servirse del índice temático de normas y conceptos.

Atentamente,

 

LUZ ÁNGELA GUERRERO DÍAZ
Jefe de la Oficina Asesora Jurídica

Ir atrás