Autenticidad de documentos electrónicos con CSV (Código Seguro de Verificación)

10 respuestas

Estas días pasados he colaborado en la discusión sobre CSV (Código Seguro de Verificación) y su encasillamiento dentro de las variantes de firma electrónica de la normativa de administración electrónica, que ha tenido lugar en un grupo de LinkedIn centrado en la eAdministración.

Aunque el debate, muy interesante, es más amplio, quisiera transcribir aquí mis ideas relativas al cartulario electrónico, que no es sino la actualización de la idea de cartulario medieval, conocido por los diplomatistas.

En primer lugar, pese a lo que establezca la letra de la ley 11/2007 (que bien puede deberse al resultado de un comité donde no todo el  mundo tuviera las ideas claras), el CSV no es un tipo de firma electrónica, aunque se pueda hacer encajar en la «firma simple» que no definía la Ley 59/2003 (efectivamente, la describía sin concederle un término legal, aunque se ha popularizado el de «firma simple»).

Por desgracia la inclusión del CSV en la Ley 11/2007 (y en la normativa de desarrollo RD 1671/2009) ha servido para aumentar la confusión de tecnológos y juristas. Y es una pena, porque el CSV es un concepto tremendamente importante cuando se acompaña del de «sede electrónica» y el de metadatos (por cierto, metadatos singulares menos obvios que «autor», «tipo de documento», o «fecha de creación»).

Aunque probablemente la mejor forma de gestionar el CSV o localizador es a través de un tercero de confianza (y un ejemplo clásico es el notario y su número de protocolo), es posible que una entidad que gestione de forma diligente el sistema de referencias auténtico con una base de datos en las que se apliquen unas correctas medidas de seguridad auditables (para lo cual el Esquema nacional de Seguridad da algunas ideas), pueda manejar los CSV de forma intachable.

En todo caso, un documento electrónico (firmado electrónicamente o no) puede ser referenciado con dos componentes:

  • La identificación de la sede electrónica y
  • el localizador del documento en la sede (CSV)

Si el localizador es predecible, lo denominamos CVE, Código de Verificación Electrónica (como en el BOE) y si es impredecible, lo denominamos CSV, Código Seguro de Verificación.

Cuando la información de URL de la sede electrónica y el localizador se incluyen en un documento en papel que incluye también la representación facsimilar del documento electrónico, estamos ante un mecanismo de transporte de la evidencia electrónica que llamamos «albalá» y que se puede utilizar como prueba directa en juicio. El término se ha rescatado del concepto clásico de Albalá, conocido por los historiógrafos (carta o cédula real, emitida por una cancillerá y en la que detallaba una merced o una provisión; el albalá se rubricaba con la firma real, mientras que en el albalá que transcribe un documento electrónico, la clave de su autenticidad radica en incluir la información sobre la sede electrónica y el CSV).

Si la parte perjudicada por su aportación pusiera en duda su autenticidad, el secretario judicial podría destruir la controversia cotejando el documento en su fuente, o generando un nuevo albalá correspondiente a la identificación Sede+CSV y, en cualquiera de los casos, generando la diligencia que certifica la autenticidad del documento ( de forma semejante a una compulsa digital).

Un mero «recibo» que solo recoja la URL de la sede y el localizador surtiría el mismo efecto.

Los sistemas basados en localizadores son imprescindibles en la gestión de documentos electrónicos auténticos ya que aportan 3 propiedades que no se pueden lograr con la mera aplicación de la firma electrónica:

  • Obliterabilidad
  • Endosabilidad
  • Completitud

Y para ello necesitan complementarse con metadatos específicos, que, por desgracia, nadie ha tenido en cuenta en la reciente publicación (en el BOE de 30 de julio de 2011) de las Normas Técnicas de Interoperabilidad asociadas al desarrollo del ENI (el Esquema Nacional de Interoperabilidad).

Muchos de los conceptos que aplicamos en relación con la identificación de sede electrónica y código localizador, tienen su origen conceptual en los cartularios medievales (denominados también «tumbos» o «becerros»), donde la ordenada llevanza de la colección documental se complementaba con las medidas convencionales de legitimación y aseguramiento de la identidad de los firmantes en la zona de cada documento denominada «escatocolo».

De modo que el cartulario digital y la firma electrónica son dos instrumentos distintos y complementarios de la gestión de la autenticidad de los documentos electrónicos, y la «diplomática digital» la disciplina que tiene en cuenta ambos (junto con algunos aspectos más) para analizarla.

Otros artículos en los que he tratado temas afines a este han sido:

10 comentarios en “Autenticidad de documentos electrónicos con CSV (Código Seguro de Verificación)

  1. Javier Rodríguez Veira

    Tengo una duda, en el texto se cita lo siguiente:

    Si el localizador es predecible, lo denominamos CVE, Código de Verificación Electrónica (como en el BOE) y si es impredecible, lo denominamos CSV, Código Seguro de Verificación.

    Alguien me puede decir como identificar y que significa que un localizador sea predecible e impredecible? estamos hablando de tener o no prefijo?

    Un cordial saludo

    Responder
    1. inza Autor

      Por ejemplo, en el BOE el código es CVE-año-número de disposición. Incrementando el número de disposición puedes descargar todos los documentos del BOE sin que eso sea un problema.

      Pero los documentos, en otros contextos, no se deben de poder descargar si no se conoce el código exactamente, porque pueden incluir información personal o privada. Un código impredecible es un hash derivado del resultado concatenar un valor «nonce» o aleatorio con datos que identifican al documento (como su hash) o al firmante (como su número de empleado)

      Responder

  2. Pingback: Vigencia del Código Seguro de Verificación (CSV) | Todo es electrónico

  3. Pingback: El pagaré electrónico y la “Unicidad de fin” | Todo es electrónico

  4. Pingback: Cartulario electrónico (o digital) | Todo es electrónico

  5. Pingback: ¿Estamos preparados para la Firma Reconocida? | Xnoccio.com

  6. Vicente García

    Mi comentario es mas simple y superficial. Tengo dudas sobre el contenido que debe tener el «sello de compulsa Electrónica» a adosar al documento digital para luego imprimir (copia constatable). He visto diversidad de formatos de varios organismos oficiales pero no conozco una normativa exacta sobre el contenedo, tanto en la forma como en el fondo, de dicho «sello». ¿Conocen alguna normativa que regule dicho sello en ese sentido?

    Responder
  7. Diplomàtica.cat

    Buenas Julián:

    No se hasta que punto el uso de conceptos propios de sociedades medievales pueda ser útil a día de hoy. Aprecio cierto anacronismo en el uso de conceptos como «albalá» e incluso el de «Cartulario».

    En el caso del «albalá» porque se hace mención a una tipología documental bajomedieval castellana, muy concreta y única por su forma intelectual (veamos, en realidad en función de si se destinaba a la concesión de mercedes y oficios, o si se dirigía a contadores mayores, la forma intelectual podía variar). Creo que si hablamos de transporte de evidencia electrónica, el término adecuado debería ser simplemente el de Copia Auténtica.

    En el caso de «Cartulario» hay que distinguir que en época medieval el cartulario, la relación ordenada o no de cartas de naturaleza jurídica, era de unidades documentales simples. En entornos burocráticos la unidad de gestión es el expediente administrativo o el dossier, es decir, unidades documentales compuestas. La remisión de un CSV a un original electrónico no remite a un cartulario, sino a una unidad documental simple (que pertenece a una entidad intelectual superior). No es en ningún caso un elemento de control absoluto, restaria la posibilidad de consultar el resto del expediente al que pertenece el original remitido (para dotar de mayor fiabilidad y seguridad la comprobación documental). Más que un Cartulario, le llamaría directamente Archivo de Gestión, más acorde a una gestión documental electrónica y a la Archivística.

    Creo que si tenemos que invocar a alguna Diplomática para hablar de Diplomática Digital, hay que fijarse en la «Digital Diplomatics», en la «Contemporary Archival Diplomatics» o simplemente en la Diplomática Contemporanea. Si bien existen propiedades y elementos que provienen ya desde época romana, y eran de aplicación en época medieval, la aplicación de ciertas ciencias debería ser acorde a las realidades actuales.

    Un saludo,

    Joan Soler

    Responder
    1. inza Autor

      Gracias, Joan,

      Tu criterio siempre es referencia para mi.

      Más bien me he tomado la licencia de reutilizar términos acuñados reutilizándolos y redefiniéndolos al añadir el apellido «electrónico» o «digital», pero estoy dispuesto a cambiar unos términos por otros después de esa conversación pendiente que tenemos que tener tu y yo.

      Aquí llamo cartulario digital a un concepto similar al protocolo notarial que almacenaría matrices digitales de documentos en cuyos metadatos se registran aspectos como la cadena de endosatarios, los usos singulares de derechos asociados, o enlaces a los documentos y anotaciónes conexos precisos para entenderlos de forma completa. En un tipo de metadatos se anotaría la inclusión de un documento en uno o más expedientes.

      El témino «copia auténtica» a mi no me gusta. Prefiero el término «copia constatable» ya que puede cotejarse con el «original» depositado en la sede electrónica. Reservo el concepto de «copias auténticas» para las que se gestionan en las notarías (reminiscencias de mi paso por FESTE, la autoridad de certificación de los notarios).

      Responder

Deja un comentario

Este sitio utiliza Akismet para reducir el spam. Conoce cómo se procesan los datos de tus comentarios.