El caso de la firma digital y el peligro de regular la innovación
La actual coyuntura de COVID-19 ha hecho que muchas empresas se vean forzadas a trabajar en remoto de la noche a la mañana. Todas ellas ahora están en búsqueda de soluciones de firmas remotas para seguir formalizando contratos y llegando a acuerdos que les permitan continuar con sus negocios de manera segura, fácil y eficaz. No obstante, muchos sectores han sufrido un bajón importante en actividad a raíz de la paralización casi total de la economía, pero unos cuantos han despegado. Uno de los que ha visto un repentino subidón de demanda es el de las firmas electrónicas.
Una firma electrónica es cualquier aprobación de un documento o acuerdo que se lleve a cabo por vías electrónicas, esto incluye desde un Smartphone hasta un "PIN Pad" donde se digita una clave. Dentro de las firmas electrónicas hay un subgrupo al que se denomina Firmas Digitales y que cuenta con un marco regulatorio provisto por Indecopi y el pleno respaldo de todas las entidades estatales. Recientemente la firma digital viene siendo promovida como la más segura, legítima y superior en todo sentido a la firma electrónica común y silvestre, que no cuenta con una entidad reguladora ni un registro oficial de proveedores autorizados. Nada puede estar más alejado de la realidad y les diré por qué en los siguientes párrafos.
La firma digital está regulada por Indecopi y avalada por el Estado. Por tanto, puede ofrecer la misma seguridad a las transacciones digitales que la que ofrece una empresa de Revisión Técnica Vehicular (avalada por el Ministerio de Transportes) a la circulación vehicular en Lima. La última no evita que salgas a la calle y veas vehículos destartalados circulando sin luces, parachoques y emitiendo más humo que una refinería industrial; y la primera no impide que te defrauden usando una firma digital, ni garantiza que la persona que firmó sea quien dice ser. Lo único que los anteriores ejemplos tienen en común es que han obtenido un sello del gobierno que les imprime oficialidad. En el caso de la firma digital, el estado va más allá, siendo ésta la única que reconoce como válida para un gran número de trámites y transacciones donde intervienen entidades estatales.
La seguridad de la firma digital es uno de los atributos que se ponderan con más frecuencia ya que éstas cuentan con llaves privadas secretas (password) y llaves públicas visibles (email). Si queremos evaluar la seguridad de las firmas digitales, sólo tenemos que pensar en las palabras que he puesto entre paréntesis. El uso de una llave privada (password) no garantiza que yo haya firmado un documento, de la misma forma que recibir un email de alguien no garantiza que el remitente sea quien dice ser. Si le doy mi password a alguien más, éste puede enviar emails por mí. Si le doy mi llave privada a alguien más, puede firmar por mí. Cuando hay una posibilidad de suplantar la identidad del firmante y existe un aliciente, podemos tener por seguro que va a ocurrir. Los rumores de que esto ya está ocurriendo con la firma digital abundan.
Ahondando sobre el tema de seguridad, podemos incluso considerar que tenemos un caso de “Moral Hazard” (Riesgo Moral), donde la "garantía de seguridad" que el estado atribuye a la firma digital, disuade a empresas e individuos de sopesar los verdaderos riesgos y oportunidades de fraude y suplantación de identidad en sus procesos de firma para tomar medidas de seguridad adecuadas a sus necesidades con soluciones innovadoras y efectivas.
Considerando ahora el aspecto de comodidad y simplicidad de uso, la firma digital requiere la instalación de un software de firma digital de un proveedor autorizado, la compra de un certificado digital de un proveedor autorizado y la obtención de una llave privada y una pública. Para el firmante el proceso es equivalente a instalarse una versión de Windows 95 en su desktop, sabiendo que si cambia de desktop deberá volver a instalar el software. Digo desktop, porque actualmente es sumamente complicado usar ese servicio desde un celular, que es como la gran mayoría de peruanos se conectan a Internet - y es complicado porque la regulación es muy específica y llena de limitaciones. Una buena analogía es que alguien nos pida que hagamos una torta, pero sólo con esta lista de ingredientes y sólo con esta receta (aprobada por el estado). No hay espacio para la innovación en repostería si siempre nos dan la receta, y tampoco hay espacio para innovación en tecnología si tenemos que ceñirnos a los "métodos oficiales".
La realidad es que no debería haber "métodos oficiales" de firma electrónica impuestos desde el gobierno para ciertos procesos. ¿Por qué no vamos un paso más allá y legislamos que las entidades estatales usen PNG en vez de JPG para sus imágenes? Esto sería tan ridículo como lo anterior. Necesitamos múltiples métodos disponibles en el mercado, entre los que cada empresa o individuo pueda elegir según su tolerancia al riesgo y sus necesidades de seguridad específicas, porque al final de cuentas ellos son los más cualificados para determinar las necesidades de su negocio. Al final de cuentas, ellos serán los que tendrán que pagar el precio de equivocarse y no un funcionario de Indecopi, que tiene poco que perder por un exceso de regulación que personalmente no le supondrá pérdida de dinero o clientes. No dudo de que Indecopi tenga las mejores intenciones y los objetivos más loables en su esfuerzo normativo. Sin embargo, hay que recordar que suele haber un abismo muy grande entre los objetivos de un ente regulador y los resultados reales que éste obtiene.
La ley de la firma digital fue promulgada en el año 2000 (Ley 27269). Si una ley lleva 20 años en vigencia y la tecnología que ésta impulsa ha tenido casi nula adopción entre individuos y PYMES, el veredicto sobre su utilidad y comodidad ya está dado por el mismo público. No es inusual que aquellos proyectos gestionados o promovidos por entidades estatales tengan una lógica de éxito desconectada de la realidad. Mientras la falta de crecimiento (en usuarios o ingresos) en un proyecto privado es una clara señal de que la empresa debe dedicarse a otra actividad, en un proyecto promovido por el estado esto es sinónimo de que no se ha invertido suficientes recursos y/o que ha faltado promoción. Esta irracionalidad continúa hasta que la dura realidad se impone. En el caso de la firma digital, llevamos 20 años apostando por la solución incorrecta y ya es hora de que la realidad se imponga.
El camino para dejar atrás las firmas presenciales en Perú y por fin lograr la transformación digital que públicamente defiende el empresariado peruano (aunque privadamente temen el compromiso) es tener sistemas que provean evidencia tan sólida que sea irrepudiable por el firmante. La solución está en tener procesos de firma tan contundentes que no quepa la menor duda de que hubo una voluntad manifiesta de contratar, todo esto sin el costo y la complejidad de las firmas digitales. La solución, a mi entender, está en las firmas electrónicas comunes, que son perfectamente vinculantes y legales y se pueden "hornear" a gusto y medida de quien las utilice con las garantías de seguridad requeridas, sin recetas ni limitaciones. Aprovechemos esta coyuntura para extenderlas a todos los procesos y trámites en el país, sin excepciones.