- Identitat i signatura digital
Darrers dies per adequar la integració amb PSIS
Mecanismes d’identificació i signatura electrònica
A l’hora de posar en funcionament un tràmit electrònic, es planteja de forma recurrent quin és el criteri a seguir per decidir quins mecanismes d’identificació i signatura electrònica pot emprar la ciutadania per relacionar-se amb una Administració pública, sobretot tenint en compte els canvis normatius que es produeixen de forma constant al respecte.
Els mecanismes d’identificació i signatura electrònica que, resumidament, poden utilitzar els interessats són (per a més informació, consulteu els articles 9 i 10 de la Llei 39/2015, d’1 d’octubre, del Procediment Administratiu Comú de les administracions públiques):
Els mecanismes basats en certificats qualificats (punts a i b anteriors) “han de ser acceptats”, en compliment del Reglament núm. 910/2014 del Parlament Europeu i del Consell, de 23 de juliol, relatiu a la identificació electrònica i els serveis de confiança (ReIdAS) i la pròpia Llei 39/2015, d’1 d’octubre, mentre que la resta de sistemes (apartat c) “poden ser acceptats”, sempre tenint en compte el nivell de seguretat que ofereixen.
Criteris d’aplicació
L’Esquema Nacional de Seguretat (Reial Decret 311/2022, de 3 de maig, en endavant, ENS) preveu que els mecanismes d’identificació i signatura electrònica poden tenir tres nivells de seguretat, junt amb els criteris a seguir per establir-los en cada cas. També estableix els criteris per determinar quin nivell requereix un sistema o una actuació concreta.
Per tant, per definir quin és el nivell de seguretat que requereixen el sistemes de cada Administració pública i, en particular, el tipus de credencial que resulta admissible per la identificació i la signatura electrònica per a una actuació concreta, s’ha de tenir en compte el que exposa l’ENS i buscar l’equilibri entre la seguretat i la usabilitat (s’amplia en l’apartat següent).
En aquest sentit, els serveis que ofereix el Consorci AOC permeten a la ciutadania identificar-se i signar documents tant amb certificats electrònics qualificats com emprant els sistemes basats en l’enviament de contrasenyes d’un sol ús Cl@ve i idCAT Mòbil, de manera que cada administració usuària pot decidir en quins casos poden ser acceptats.
En l’àmbit de la Generalitat de Catalunya, per exemple, aquesta decisió queda definida per l’Ordre VPD/93/2022, de 28 d’abril, per la qual s’aprova el Catàleg de sistemes d’identificació i signatura electrònica, i en especial per l’Ordre PRE/158/2022, de 30 de juny, per la qual s’aprova la Guia d’ús dels sistemes d’identificació i signatura electrònica en l’àmbit de l’Administració de la Generalitat. Aquesta darrera Ordre estableix en el seu punt segon i, amb caràcter general, que s’admeten tots els mecanismes del catàleg per a tots els tràmits i serveis. La mateixa guia estableix un procediment per exceptuar aquest criteri i limitar l’acceptació d’algun dels mecanismes ja sigui per l’existència de:
Nivells de seguretat dels mecanismes d’identificació i signatura
Com es comentava, l’ENS preveu tres nivells de seguretat (baix, mitjà i alt) i els criteris que cal seguir per establir-los en cada cas, en concret a l’Annex I, punt tercer.
El mateix ENS, al seu Annex II, defineix els criteris per assignar un nivell de seguretat a un mecanisme d’identificació i signatura electrònica.
Així, el punt relatiu al marc operacional (punt 4.2.5 sobre Mecanisme d’autenticació [control op.acc.5]) defineix els requisits que han de complir els mecanismes d’identificació electrònica que haurà d’emprar la ciutadania, entesa com a usuària externa de l’organització, per a cada nivell de seguretat. En resum, per a cada nivell s’accepten:
Per altra banda, els nivells a aplicar pel que fa als mecanismes de signatura electrònica (definits al punt 5 Mesures de protecció [mp], en concret el punt 5.7.3 Firma electrònica [control mp.info.3]), que en resum accepten:
Què ofereix el Consorci AOC
El Servei VALID del Consorci AOC permet a les administracions públiques catalanes acceptar tant idCAT Mòbil com Cl@ve i certificats qualificats en processos d’identificació electrònica i ofereix un mecanisme de signatura electrònica ordinària vinculat a la credencial presentada. Les administracions poden, doncs, decidir si accepten tots o només alguns d’aquests mecanismes, i disposar de diferents configuracions per fer-ho d’acord amb cada necessitat concreta.
En el cas del servei e-NOTUM, que disposa d’un portal per a la ciutadania per tal de practicar notificacions electròniques, el tipus de credencial a acceptar pot ser fixat per cada notificació concreta.
Enllaços relacionats
Quan cal utilitzar un sistema d’identificació o un sistema de signatura? Casos d’ús.
La signatura electrònica de les factures