miércoles, 27 de agosto de 2008

La firma en las facturas electrónicas



El Grupo de Expertos Europeos en Factura Electrónica ha vuelto a abrir el debate sobre la firma de las Facturas Electrónicas. Julián Inza ha escrito al respecto en su blog y en epractice.eu.

Su hilo argumental es que, para garantizar la “autenticidad en origen” y la “integridad del contenido”, es suficiente la adhesión a una especie de acuerdo de buenas prácticas entre comprador y vendedor basado en un modelo de contrato que piensan proponer (EEI Model Agreement); y, que finalmente si las autoridades tributarias quieren comprobar la validez de la factura sólo (¿?) deberán comprobar que se ha realizado la entrega de bienes o servicios y se ha realizado el pago.

En base a esto, y al considerar que el uso de sistemas de firma electrónica supone un freno en el despliegue de los sistemas de factura electrónica, proponen que se relajen los requisitos tecnológicos para garantizar la “autenticidad en origen” y la “integridad del contenido”.

El cambio que se propone es sustancial ya que, el original de la factura deja de ser considerado como una evidencia en sí misma. Es una mala noticia para aquellos que vimos en la factura electrónica como la “killer application” para el despliegue definitivo de sistemas de firma digital y de evidencias electrónicas. Debemos esperar como evolucionara el documento, pero, inicialmente es una mala noticia.

A pesar de no compartir las conclusiones del grupo de expertos, he de reconocer que sus argumentos son sólidos. El problema original surge en la redacción de la Directiva 2001/115/CE, cuando se confunde la tecnología de firma digital que permite garantizar la “autenticidad en origen” y la “integridad del contenido” con el concepto de firma electrónica de la Directiva 1999/93/CE como artilugio legal para buscar la equivalencia con la firma manuscrita. Para más inri, algunos estados (entre ellos el español) decidieron requerir firma electrónica cualificada para la firma de las facturas. Hay que reconocer que el uso de la firma electrónica (según la Directiva 1999/93/CE y la Ley 59/2003) no facilita precisamente el despliegue de la factura electrónica. Está problemática ya fue analizada convenientemente en el CEN por el eInvoicing WorkShop.

Ahora bien, el problema no está en la tecnología de firma digital basada en PKI. La tecnología está suficientemente madura e implantada en múltiples servicies. ¿Alguien tiene problemas en usar HTTPS-SSL, VPNs u Componentes de Código Firmados? Estos sistemas hacen uso de firma digital basada en PKI, aunque la mayoría de usuarios ni lo saben. Ni falta que les hace.

Al igual que los sistemas HTTPS-SSL (no regulados por la normativa de firma electrónica) , podríamos haber firmado las facturas mediante un dispositivo de creación de firma software con un certificado específico que no tuviera ninguna relación con la normativa de firma electrónica.

El desarrollo de la sociedad de la información y el conocimiento requiere de sistemas que generen evidencias electrónicas que nos protejan de inseguridades jurídicas. Debemos poder demostrar la realización de determinados actos y, hoy por hoy, los mejores sistemas al respecto son los de firma digital basados en PKI. Hay múltiples iniciativas de administración electrónica, de identidad digital (p.e. DNIe) y otros que se basan en ellos. Las conclusiones del Grupo de Expertos Europeos de Factura Electrónica dan un paso hacia atrás.

Según mi criterio, las recomendaciones deberían ser otras:
  • Sustituir en la directiva de factura el concepto de firma electrónica por el de firma digital basada en PKI (tecnológicamente neutral).
  • Definir un perfil de certificado común y específico para la factura electrónica y los requisitos que las autoridades de certificación deben cumplir para su emisión (más cercano a la emisión de certificados SSL que a la emisión de certificados cualificados de firma electrónica).
Así, la firma de las facturas electrónicas dejaría de ser un inconveniente, y se estaría en línea con las necesidades para el desarrollo de la sociedad de la información y del conocimiento.

No hay comentarios: