Firma electrónica avanzada vocal en telecomunicaciones

La seguridad jurídica llega a los entornos de call center y contact center gracias a la firma electrónica biométrica remota basada en la voz. En particular para la contratación de servicios de telecomunicaciones.

Los sistemas de contratación telefónica desplegados en el sector de los operadores de telecomunicaciones consideraron un avance en la seguridad jurídica de la contratación a distancia la opción de verificación por tercero recogida en la “Circular 1/2004, de 27 de mayo, de la Comisión del Mercado de las Telecomunicaciones, por la que se introduce el consentimiento verbal con verificación por tercero en las tramitaciones de preselección de operador” que fue modificada posteriormente por diversas circulares de la CMT o de la CNMC.

Ya en aquel momento, tras la polémica causada por las controvertidas prácticas de contratación de los operadores, la CMT determinó lo siguiente:

Tercero. Verificación por tercero.-Para que el operador solicitante de la preselección pueda iniciar la tramitación de una solicitud con consentimiento verbal del abonado, se deberá acreditar la existencia de dicho consentimiento verbal por una entidad independiente verificadora, denominada tercero en esta Circular, que cumpla con los siguientes requisitos:

a) No formar parte del mismo grupo económico de compañías que el operador solicitante del cambio en preselección, ni estar participada por empresas de su grupo económico. A los efectos de la presente Circular se entiende que existe un grupo económico cuando varias sociedades constituyan una unidad de decisión. En particular, se presumirá que existe unidad de decisión cuando una sociedad, que se calificará como dominante, sea socio de otra sociedad, que se calificará como dependiente, y se encuentre en relación con ésta en alguna de las siguientes situaciones:

  1. Posea la mayoría de los derechos de voto.
  2. Tenga la facultad de nombrar o destituir a la mayoría de los miembros del órgano de administración.
  3. Pueda disponer, en virtud de acuerdos celebrados con otros socios, de la mayoría de los derechos de voto.
  4. Haya designado exclusivamente con sus votos a la mayoría de los miembros del órgano de administración, que desempeñen su cargo en el momento en que deban formularse las cuentas consolidadas y durante los dos ejercicios inmediatamente anteriores.

b) No recibir incentivos por la verificación positiva (sus retribuciones deben ser independientes del resultado de la verificación).
c) Desarrollar su actividad en ubicaciones distintas y geográficamente separadas de las del operador solicitante del cambio en preselección.
d) Cumplir con la normativa vigente en materia de protección de datos.
e) No prestar servicios de comunicaciones electrónicas ni tener mayoritariamente participaciones o acciones en ninguna de las empresas que actúan como prestadoras de servicios de comunicaciones electrónicas.
f) No prestar otros servicios distintos a la verificación por tercero al operador solicitante de la preselección.

Cuarto. Tramitación de solicitudes de preselección con consentimiento verbal.-Para que el operador solicitante de la preselección pueda iniciar la tramitación de una solicitud con consentimiento verbal del abonado, será necesario que:

a) La verificación que acredite el consentimiento del abonado a preseleccionarse, cumpla con los siguientes requisitos:

  1. La llamada de verificación es iniciada por el abonado (llamando al verificador), o por el agente de ventas del operador (desviando la llamada hacia el verificador y abandonando la misma).
  2. La verificación es realizada telefónicamente por un agente de verificación por tercero en vivo, sin que puedan ser empleados para dicha operación sistemas automáticos basados en grabaciones o en mecanismos de síntesis de voz.
  3. Durante la llamada de verificación el agente de verificación no lleva a cabo la promoción del servicio de preselección, ni ningún otro tipo de actividad comercial o de marketing.
  4. La llamada de verificación se adecua al contenido del cuestionario de verificación incluido en el Anexo I de esta Circular que proceda para cada tipo de actuación, con independencia de las frases concretas que se vayan a emplear en la llamada de verificación.

b) Una vez finalizada la llamada de verificación, el verificador haya determinado si se trata de una verificación positiva o negativa, teniendo en cuenta los criterios de verificación recogidos en la presente Circular.
c) El verificador comunique al operador solicitante de la preselecciónque la verificación ha resultado positiva.
d) El operador solicitante de la preselección remita al abonado la confirmación documental del contrato telefónico de preselección acordado y de la verificación del mismo, una vez recibida la comunicación de verificación positiva. Esta documentación deberá incluir:

  1. Términos y condiciones a que está sujeta la preselección que se solicita.
  2. Indicación de que dicha solicitud de actuación se ha verificado por un tercero en el transcurso de una llamada telefónica, indicando la fecha y hora de la verificación.
  3. Información sobre el derecho de revocación por el abonado, indicando el procedimiento a seguir (al menos, el operador solicitante de la preselección dispondrá de un número telefónico perteneciente al rango 901, donde el abonado podrá revocar su solicitud de cambio de operador por preselección) y plazo para ejercitarlo (siete días hábiles tras haber recibido el abonado la confirmación documental de la actuación de preselección efectuada), sin incurrir en penalización ni gasto alguno por parte del abonado.

e) Hayan transcurrido diez días hábiles desde que el operador haya remitido al abonado la confirmación documental de la actuación solicitada, sin que el abonado haya ejercitado su derecho de revocación.

Quinto. Criterios de verificación.-El operador solicitante de la preselección no tramitará la actuación en preselección si la verificación del consentimiento verbal del abonado resultase negativa.

A los efectos de la presente Circular, la verificación será negativa si se produce cualquier incumplimiento de esta Circular, y, en particular, si se diera cualquiera de las siguientes circunstancias:

a) La llamada de verificación no ha sido grabada.
b) La grabación no resulta audible o entendible.
c) La grabación no incluye la transacción completa.
d) La llamada de verificación es iniciada por el verificador.
e) El agente de ventas permanece conectado durante la llamada establecida entre el abonado y el verificador.
f) La verificación no se realiza por un agente de verificación por tercero en vivo.
g) La verificación no se realiza en una lengua española oficial elegida por el cliente.
h) El cliente responde negativamente al cambio de operador por preselección.
i) El cliente realiza preguntas o afirmaciones que denotan claramente que no entiende el proceso.
j) El verificador responde a preguntas del cliente sobre el servicio de preselección que no tienen relación con los puntos del cuestionario de verificación.
k) No se completa el cuestionario de verificación en el orden establecido en la presente Circular.
l) El verificador induce de forma activa a la contestación del abonado en determinado sentido durante el proceso de verificación.
m) El verificador da su opinión sobre el servicio de preselección o sobre el operador solicitante del cambio en preselección.
n) El verificador realiza una actividad que puede ser considerada como de promoción comercial del servicio de un operador.

Aunque algunos elementos formales han cambiado posteriormente por las sucesivas reformas (Circular 2/2009, Circular 2/2010Circular 1/2012), el concepto de verificación por tercero intenta paliar la arbitrariedad de las actuaciones de los operadores y definir un mecanismo de prueba que no quede subordinado a los intereses de una parte.

Con el desarrollo de la normativa de firma electrónica hubieran sido posibles otros mecanismos, ya que la firma electrónica avanzada está definida desde la Ley 59/2003 (incluso desde el Real Decreto-ley 14/1999).

Sin embargo solo recientemente se ha visto el encaje en la normativa de firma electrónica (en la actualidad armonizada en toda la Unión Europea gracias al Reglamento UE 910/2014) la posibilidad de llevar a cabo firmas electrónicas avanzadas, dejando constancia de la  prestación del consentimiento mediante la voz y cumpliendo los requisitos de las firmas avanzadas:

Una firma electrónica avanzada cumplirá los requisitos siguientes:

a) estar vinculada al firmante de manera única;
b) permitir la identificación del firmante;
c) haber sido creada utilizando datos de creación de la firma electrónica que el firmante puede utilizar, con un alto nivel de confianza, bajo su control exclusivo, y
d) estar vinculada con los datos firmados por la misma de modo tal que cualquier modificación ulterior de los mismos sea detectable.

Los mecanismos de firma “mediatos” (los que se apoyan en el uso de un elemento que “media” con el firmante y que puede ser manejado por otra persona) como los certificados digitales requieren un soporte físico o lógico y las firmas manuscritas (que se basan en un mecanismo de firma de tipo “inmediato”) requieren dispositivos idóneos de captación de la firma.

La voz aporta un mecanismo de firma de tipo “inmediato” (basado en una acción que  realiza el propio firmante, y que no puede ser realizada por otra persona) y  no requiere dispositivos específicos para desplegar en los puntos de captación del consentimiento ya que es suficiente con el uso de un teléfono.

Desde el punto de vista normativo, la firma biométrica vocal cumple con el Reglamento (UE) Nº 910/2014, conocido como EIDAS, cuando la captación del consentimiento se integra en el propio documento.

La firma vocal aporta una alta seguridad en la identificación y, si se implementa de forma correcta aporta características de singularización del firmante y del documento y mecanismos que resisten copias e imitaciones.

La tecnología de firma electrónica vocal auditada por EADTrust  aporta una gran ventaja a los clientes finales que contratan a través de un call center o contact center (la parte más débil de los intervinientes en un contrato formalizado a distancia),  y que no existe en los sistemas de verificación por tercero: proporciona simetría probatoria.

Los clientes que contraten telefónicamente (o expresando el consentimiento verbalmente de forma presencial, con un micrófono)  y que lleven a cabo haciendo uso de plataformas auditadas por EADTrust,  dispondrán de su fichero en formato PDF con el contrato y con su voz,  incluyendo las mismas evidencias, con capacidad probatoria que la entidad que hizo las gestiones.

Desde el punto de visto de la entidad que lo implemente, se logra un relevante ahorro en costes al no no requerir la emisión de certificados, ni la posterior gestión de renovaciones, ni la consulta de certificados revocados, ni la custodia en un tercero de confianza del documento firmado.

Estos servicios se pueden emplear para firmar electrónicamente contratos y otros documentos, tanto de forma presencial como a distancia, captando la firma vocal del cliente (voz) y vinculando su consentimiento en documentos electrónicos de modo que éstos tengan el máximo valor legal y cumplan con las mejores prácticas sectoriales.

Publicado en Call center, Contact center, EIDAS, Firma biométrica, Firma vocal, Tercero de confianza, Verificación por tercero | Deja un comentario

Firma biométrica de voz

Existe la posibilidad de realizar una contratación telefónica de forma que el usuario que presta el consentimiento reciba un PDF que recoge las condiciones de contratación y en el que se incorpora una herramienta de escucha de audio con la que puede escucharse a sí mismo aceptando la oferta y, por tanto, perfeccionando el contrato.

De esta forma puede acabar esa costumbre de los call center de contratación a distancia que se quedan con al grabación pero no se la dan al propio usuario, forzando a que la transacción sea asimétrica en el plano probatorio.

Gracias a la firma biométrica de voz (firma vocal) se recupera la simetría probatoria de los contratos escritos, y, por tanto la “igualdad de armas” en caso de litigio.

Para poder gestionar la firma vocal, no solo es importante que el motor biométrico sea potente (con buenas tasas de falsas aceptaciones y falso rechazos), sino que la información se cifre y se codifique adecuadamente para preservar su valor probatorio futuro.

Contacte con EADTrust en el +34 91 7160555 si necesita acometer un proyecto de Firma biométrica de voz, y vea en qué podemos ayudarle. Si es un empresa que cuenta con tecnología biométrica propia, podemos ayudarle a ampliar su funcionalidad para la firma. Si es una empresa que la quiere adoptar, podemos recomendarle una de las soluciones que hemos auditado.

Publicado en Firma avanzada, Firma biométrica, Firma vocal | Deja un comentario

Judiciary Blockchain y los retos de la cadena de bloques

Los especialistas de EADTrust colaboran en el desarrollo de mecanismos de gestión de controversias utilizables como recursos último en el caso de incumplimientos no previstos en smart contracts.

Una de las iniciativas en las que participan es el grupo de interés “Judiciary Blockchain” que reúne a los principales especialistas en la digitalización de la Justicia.

Publicado en Blockchain judicial | Deja un comentario

Reglamento EIDAS EU 910/2014

El Reglamento Europeo eIDAS, identificado como No 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio 2104 cambia las reglas para los prestadores de servicios de confianza  cualificados.

La ley española 59/2003 (consecuencia de la transposición de la Directiva 1999/93 / CE) ya no se aplica, salvo en aspectos limitados ya que cambian las reglas mediante la introducción de los proveedores de servicios de confianza como concepto más amplio que el de prestadores de servicios de certificación.

El Reglamento entró en vigor el 17 de septiembre de, 2014 y sus partes operativas más importantes el 1 de julio 2016.

Los servicios de confianza, se definen en el artículo 3, número 16 del eIDAS. Son “un servicio electrónico normalmente a título oneroso y que consta de los siguientes elementos:

  1. la creación, verificación y validación de la firma electrónica, sellos electrónicos o validación de cronometraje electrónico, servicios electrónicos de certificado de entrega y certificados para dichos servicios; o
  2. la creación, verificación y validación de los certificados de autenticación web;
  3. almacenamiento de las firmas, sellos o certificados electrónicos para tales servicios “.

El hecho de que el servicio electrónico está normalmente a título oneroso depende del hecho de que las reglas están dirigidas al mercado y no a particulares o grupos cerrados de usuarios y servicios. Los servicios que tienen requisitos y obligaciones para garantizar un alto nivel de seguridad se considerará calificado. Son prestados por los proveedores calificados de servicios de confianza.

La condición de prestador de un servicio cualificado se consigue notificando el interés en serlo a la autoridad supervisora (en España es la SESIAD), adjuntando un informe de evaluación de conformidad expedido por un organismo de evaluación de la conformidad.

 

El informe adjunto a la notificación enviada a la SESIAD lo expide una organización que cumple con el artículo 2, apartado 13, del Reglamento CE núm. 765/2008 y se le atribuye, en virtud de este último Reglamento, como acreditado para llevar a cabo la evaluación de la conformidad del proveedor de servicios cualificados de confianza.

La acreditación, en España, corre a cargo de ENAC y el proceso de acreditación de las entidades evaluadoras se realiza sobre la base de la norma europea n ETSI EN 319 403.

Los PSEC deben cumplir la norma EN 319 401 “Requisitos generales para la política de proveedores de servicios de confianza”.

Para la cualificación específica del servicio de sello de tiempo electrónico la evaluaci´´on se basa en la norma EN 319 421 “requisitos de la política y de seguridad para los proveedores de servicios de confianza emisor de marcas de tiempo”.

Publicado en EIDAS | Deja un comentario

Fijación de la voluntad nuncupativa

Esta expresión significa que se plasma en un soporte duradero la voluntad o el consentimiento expresados de viva voz.

Publicado en Firma vocal | 1 comentario

Firma manuscrita digitalizada avanzada

Cada vez descubrimos en más sitios la posibilidad de firmar sobre una tableta digitalizadora, por ejemplo al recoger envíos en Correos, al retirar efectivo en algunas entidades financieras o al pagar con tarjeta en algunos comercios.

Al usar la firma manuscrita en estos contexto podemos cuestionarnos si estamos haciendo lo adecuado, porque son muchas las voces que han identificado los problemas que plantean. Entre ellas:

En general, no es tan sencillo saber si un sistema de captura digital de firmas manuscritas es seguro y es legítimo que los usuarios intenten obtener de las entidades todas las garantías para ello,  para cerciorarse de que su firma no puede vincularse a documentos diferentes de aquel respecto al que el firmante haya prestado el consentimiento.

EADTrust ha definido un servicio de auditoría de soluciones de firma digitalizada que aplica los principios que la Ley 59/2003 y del Reglamento europeo UE 910/2014 (EIDAS) para las firmas avanzadas. Los sistemas auditados y con un informe positivo presentan las mayores garantías tanto para la entidad solicitante como para sus clientes o usuarios. A estas firmas las llamamos firmas digitalizadas avanzadas aunque se podrían llamar firmas electrónicas avanzadas digitalizadas. Las entidades auditadas pueden utilizar el logo diseñado por EAD Trust en sus documentos y en sus oficinas para transmitir que adoptan las mejoras prácticas y se han sometido a una auditoría, transmitiendo con ello confianza a sus usuarios.

Los principios básicos que según Trust Conformity Assessment Body  (TCAB)  debe cumplir un sistema de firma manuscrita digitalizada avanzada (FMDA) son:

  1. Captura de elementos biométricos dinámicos de la firma asociados a sus datos de producción
  2. Vinculación biunívoca de los elementos biométricos con el documento firmado
  3. Imposibilidad de incrustar la firma en otros documentos
  4. Autenticidad del documento y vinculación con el firmante
  5. Confidencialidad de los datos biométricos y Protección de la información conforme a la LOPD
  6. Posibilidad de comprobar la firma por el titular
  7. Posibilidad de demostrar la validez de la firma en un proceso litigioso
  8. Simetría probatoria
  9. Soporte duradero
  10. Existencia de un procedimiento de detección y notificación a la autoridad de protección de datos de incidentes de seguridad que afecten a datos de carácter personal.

A la auditoría se puede añadir un estudio de aplicabilidad de las firmas digitalizadas avanzadas considerando la normativa aplicable

  • Código Civil. Derecho de obligaciones.
  • Código Mercantil.
  • Ley de Enjuiciamiento Civil.
  • Reglamento UE 910/2014 de firma electrónica y confianza digital.
  • Ley 59/2003, de 19 de diciembre, de firma electrónica.
  • Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal.
  • Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información.
  • Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información.
  • Ley 22/2007, de 11 de julio, sobre comercialización a distancia de servicios financieros destinados a los consumidores.
  • Ley 7 / 1998, de 13 de abril, sobre condiciones generales de la contratación.
  • Ley 18/2011 de 5 de julio, del las TIC en la Administración de Justicia
Publicado en Firma avanzada digitalizada, Firma digitalizada | Deja un comentario