MAIG 2019

RIESGOS ASOCIADOS AL USO DE CERTIFICADOS DIGITALES
Las administraciones públicas pueden obligar a las empresas a una relación telemática. Ya han hecho uso de esta potestad, por ejemplo, la Agencia Tributaria o la Seguridad Social.

Para dotar de garantía suficiente a la relación telemática, en lo que refiere a la autenticidad de la relación y a la validez jurídica de los actos realizados electrónicamente, en la misma ley se establece el requisito de uso de un certificado digital el cual, según la ley 59/2003 de firma electrónica, permite:

  • Identificar de forma fehaciente a una persona física o representante de una persona jurídica en el mundo digital.
  • Emitir firmas electrónicas equiparables a la firma manuscrita.

Como resultado, en las empresas empiezan a proliferar certificados digitales que dado su uso aislado y puntual, y en ocasiones adquiridos a raíz de necesidades sobrevenidas, pueden no contar con las actividades de control oportunas. A continuación se introducen algunos de los riesgos relacionados más destacables y que pueden afectar negativamente a los intereses de una empresa:

  • Existen distintos tipos de certificados digitales; de persona física, de persona jurídica, de representante de persona jurídica, de empleado de empresa, etc. En el caso de discontinuidad en la empresa de un empleado que disponga de un certificado digital, de vinculación con o representación de la empresa, si su certificado digital no es revocado, seguirá teniendo la misma capacidad de vincular a la empresa en el mundo electrónico.

 

  • Lo mismo pasará en el caso de que se haya comunicado formalmente a una Administración Pública los datos de la persona que pueda actuar en representación de la empresa ante la misma identificándose con certificado digital de persona física. En el caso de discontinuidad en la empresa de esta persona, si no se informa convenientemente a la Administración Pública, seguirá teniendo la misma capacidad de actuar en el mundo electrónico en representación de la empresa.

 

  • El uso de certificados digitales requiere de ciertos conocimientos específicos y, en caso de certificados basados en tarjeta criptográfica, de elementos hardwareespecíficos. Como resultado, los certificados digitales a menudo acaban concentrándose en un único ordenador, el de aquella persona de la empresa avanzada en estos temas y en la que se tiene confianza. Esta persona, en el entorno electrónico acaba teniendo todo el poder de actuación en nombre de las personas a las que pertenecen los certificados digitales que custodia y, en su caso, de representación de la empresa, pudiéndose producir una suplantación de identidad con efectos jurídicos plenos.

 

  • Añadido al anterior, el riesgo no es solo de confianza en la persona que concentra los certificados, sino también de que un ataque a su ordenador pueda ser mucho más perjudicial para los intereses de la empresa ya que, además del acceso no autorizado a información, los certificados digitales que contenga podrían utilizarse de forma malintencionada.

 

  • Sin una gestión adecuada de los certificados digitales disponibles en una empresa puede darse el caso que caduquen cuando sea necesario utilizarlos, con lo que pueden generarse situaciones de incumplimiento de los plazos exigidos por una Administración Pública, que puedan derivar en incrementos de costes.

 

  • La pérdida de certificados en soporte hardware o de olvido de las claves que no permitan su uso con el consiguiente impacto en su operatividad para los fines empresariales que motivaron su adquisición.

 

Para mitigar estos riesgos, las empresas pueden establecer un entorno de control que minimice el impacto negativo que un uso fraudulento o inseguro de certificados digitales podría tener para sus intereses. Algunas directrices para ello son:

  • Establecer políticas, procedimientos y actividades de control para que el uso de certificados digitales en la empresa se ciña a razones estrictas de negocio y en su beneficio. A grandes rasgos se considerarán:

 

    • Procedimientos de solicitud, renovación y revocación de certificados digitales que garanticen que se adquieran por motivos justificados de negocio y estén disponibles mientras sea necesario.

 

    • Establecimiento de contratos de uso del certificado digital al que queda autorizado el empleado cuando lo obtiene incluyendo las responsabilidades que comporta su uso y las consecuencias de un uso inapropiado.

 

    • Formación y difusión a los custodios de certificados para que sean conscientes de los riesgos asociados y se genere responsabilidad en su uso.

 

  • Mantener un inventario actualizado de certificados digitales disponibles en la empresa, sus responsables, usos autorizados y fecha de caducidad. Este inventario conferirá información de base para la gestión efectiva de certificados.

 

  • Utilizar herramientas automatizadas que identifiquen en tiempo real los certificados digitales existentes en la red informática de la Compañía y su ubicación y monitorizar la información en busca de usos inapropiados, p.ej. un mismo certificado replicado en distintos ordenadores, un ordenador con certificados digitales pertenecientes a personas físicas o jurídicas distintas o certificados digitales no relacionados con las actividades de la empresa.

De todo lo antedicho se deduce que, aunque los certificados digitales posibilitan actuaciones telemáticas con efectos jurídicos plenos, agilizando muchas de las actuaciones de la empresa ante la Administración Pública, conlleva riesgos intrínsecos que deben incorporarse al mapa de riesgos de la empresa para su gestión efectiva en aras de evitar perjuicios a nivel económico y reputacional.

COL·LABORADORS