Agencia Estatal Boletín Oficial del Estado
El Real Decreto 689/2020, de 21 de julio, por el que se desarrolla la estructura orgánica básica del Ministerio de Hacienda y se modifica el Real Decreto 139/2020, de 28 de enero, por el que se establece la estructura orgánica básica de los departamentos ministeriales, encomienda a la Intervención General de la Administración del Estado la planificación, diseño y ejecución de la política informática de la Secretaría de Estado de Presupuestos y Gastos y de la Intervención General de la Administración del Estado, el soporte informático de las actividades y el asesoramiento, coordinación e instrumentación de los proyectos informáticos de sus órganos, funciones que realiza a través de la Oficina de Informática Presupuestaria.
El Real Decreto 806/2014, de 19 de septiembre, sobre organización e instrumentos operativos de las tecnologías de la información y las comunicaciones en la Administración General del Estado y sus Organismos Públicos, subraya el carácter singular de los servicios provistos por la Oficina de Informática Presupuestaria.
Entre las funciones de la Oficina de Informática Presupuestaria está el diseño, desarrollo y actualización de los sistemas de información y aplicaciones generales de carácter corporativo, comunes al ámbito de la Secretaría de Estado de Presupuestos y Gastos y de la Intervención General de la Administración del Estado, así como, entre otros, el diseño, desarrollo y actualización de los sistemas de información en materia de planificación y gestión de los fondos europeos.
En particular, la Oficina de Informática Presupuestaria, bajo las directrices de la Dirección General de Fondos Europeos, pone a disposición de entidades y personas del ámbito nacional, pero también del comunitario, varios sistemas de información que dan soporte a la adecuada gestión de los Fondos comunitarios a través de sus programas operativos, que son planes detallados en los que los Estados miembros de la Unión Europea establecen cómo se gastará el dinero procedente de los Fondos Estructurales y de Inversión Europeos durante el período de programación (en la actualidad, el período 2014-2020). Entre ellos, cada uno de los programas de cooperación territorial involucra a varios Estados miembros que se distribuyen los roles de autoridad de gestión, autoridad de certificación y autoridad de auditoría que garantizan su correcta ejecución y seguimiento para alcanzar sus objetivos. Cada una de esas autoridades dispone habitualmente de un sistema informático de tramitación, sistema que por lo general tiene que estar disponible para usuarios de las otras autoridades o de los beneficiarios finales de los programas, situados en ocasiones en territorio nacional diferente de aquél en que radica la autoridad con la que se relaciona y por tanto su sistema de información asociado.
El Reglamento (UE) número 1303/2013 del Parlamento Europeo y del Consejo de 17 de diciembre de 2013 por el que se establecen disposiciones comunes relativas al Fondo Europeo de Desarrollo Regional, al Fondo Social Europeo, al Fondo de Cohesión, al Fondo Europeo Agrícola de Desarrollo Rural y al Fondo Europeo Marítimo y de la Pesca, y por el que se establecen disposiciones generales relativas al Fondo Europeo de Desarrollo Regional, al Fondo Social Europeo, al Fondo de Cohesión y al Fondo Europeo Marítimo y de la Pesca, y se deroga el Reglamento (CE) número 1083/2006 del Consejo, establece que los Estados miembros deben garantizar que todos los intercambios de información entre beneficiarios y una autoridad de gestión, una autoridad de certificación, una autoridad de auditoría y organismos intermedios puedan efectuarse por medio de sistemas de intercambio electrónico de datos, y que la Comisión adoptaría actos de ejecución que establecieran normas detalladas sobre los intercambios de información conforme a dicha prescripción.
Posteriormente, en el Reglamento de Ejecución (UE) número 1011/2014 de la Comisión, de 22 de septiembre de 2014 por el que se establecen normas detalladas para la aplicación del Reglamento (UE) número 1303/2013 del Parlamento Europeo y del Consejo en lo que respecta a los modelos para la presentación de determinada información a la Comisión y normas detalladas sobre los intercambios de información entre beneficiarios y autoridades de gestión, autoridades de certificación, autoridades de auditoría y organismos intermedios, se establece por un lado que los sistemas de intercambio electrónico de datos deberán garantizar la seguridad, la integridad y la confidencialidad de los datos, así como la autenticación del remitente, y por otro lado que los intercambios de datos y las transacciones deben llevar una firma electrónica compatible con uno de los tres tipos de firma electrónica definidos por la Directiva 1999/93/CE del Parlamento Europeo y del Consejo.
Alineada con lo anterior, la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, establece que las Administraciones Públicas están obligadas a verificar la identidad de los interesados, y relaciona los sistemas por los que estos pueden identificarse ante ellas en sus relaciones por medios electrónicos, y, por otro lado, establece los sistemas válidos a efectos de firma para los interesados que opten por relacionarse electrónicamente con las Administraciones Públicas.
Por su parte, el Reglamento (UE) número 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (Reglamento eIDAS), establece las condiciones para la identificación transfronteriza, obligando a todos los Estados miembros a reconocer los medios de identificación electrónica de las personas físicas y jurídicas pertenecientes a un sistema de identificación electrónica de otro Estado, que haya sido notificado a la Comisión Europea. Así, desde septiembre de 2018 es obligatorio el reconocimiento mutuo de identidades electrónicas transfronterizas notificadas a la Comisión Europea, por lo que todos los servicios públicos deben poder ofrecer la posibilidad de identificación con medios de identidad electrónicos de otros países, siempre que estos hayan sido notificados en las condiciones expresadas en el Reglamento 910/2014.
En España, la identificación de ciudadanos de otros Estados de materializa a través del nodo de interoperabilidad eIDAS, facilitando la aceptación del DNI electrónico en servicios de Administración Electrónica de otras administraciones europeas, así como la identificación de ciudadanos europeos en servicios públicos españoles utilizando un medio de identificación de su país de origen.
En su artículo 10, la Ley 39/2015 consagra la posibilidad para las Administraciones Públicas de admitir los sistemas de identificación contemplados en ella como sistema de firma cuando permitan acreditar la autenticidad de la expresión de la voluntad y consentimiento de los interesados, siempre que así lo disponga la normativa reguladora aplicable. Posteriormente, la Resolución de 14 de julio de 2017, de la Secretaría General de Administración Digital, por la que se establecen las condiciones de uso de firma electrónica no criptográfica en las relaciones de los interesados con los órganos administrativos de la Administración General del Estado y sus organismos públicos, establece los criterios de uso y las condiciones técnicas de implementación de los sistemas de firma electrónica no criptográfica, orientados entre otros a ambientes en que habiéndose utilizado un certificado electrónico en el proceso de identificación, no se quiera realizar una firma electrónica local con dicho certificado, para evitar los problemas de restricciones de compatibilidad de navegadores, máquinas virtuales Java y versiones de sistemas operativos o, en definitiva, para asegurar la firma con independencia de la sensibilidad de la configuración de los puestos locales de las personas firmantes que hay en los procesos de firma criptográfica, a lo que se añade que las incidencias técnicas que se producen en estos casos se magnifican debido a la distancia geográfica en que se encuentran los usuarios afectados con respecto a las unidades de soporte, especialmente cuando las personas firmantes son ciudadanas de otros estados miembros de la Unión Europea.
Esta Resolución de 14 de julio de 2017 sienta las bases de uso de sistemas de identificación basados en Cl@ve, plataforma común del Sector Público Administrativo Estatal para la identificación, autenticación y firma electrónica mediante el uso de claves concertadas aprobada por la Orden PRE/1838/2014, de 8 de octubre; por su parte, la Resolución de 14 de diciembre de 2015, de la Dirección de Tecnologías de la Información y las Comunicaciones, por la que se establecen las prescripciones técnicas necesarias para el desarrollo y aplicación del sistema Cl@ve, establece en su apartado IV.1 su alcance, dirigido a ciudadanos españoles y extranjeros residentes en España, de modo que la identificación que facilita no es aplicable a ciudadanos de otros estados miembros salvo en su conexión con el nodo eIDAS.
Por tanto, y dado que la normativa nacional consagra la posibilidad del uso de mecanismos de identificación como medio de firma no criptográfica, pero el ámbito de aplicación en el caso de la Secretaría de Estado de Presupuestos y Gastos y la Intervención General de la Administración del Estado trasciende el alcance del sistema Cl@ve, es objeto de la presente Resolución la aprobación de un sistema de firma no criptográfico basado en la identificación mediante certificado electrónico, para el ámbito de la Secretaría de Estado de Presupuestos y Gastos y la Intervención General de la Administración del Estado, que se ajuste a los criterios técnicos establecidos en la Resolución de 14 de julio de 2017 adaptados al escenario particular que supone la prestación del servicio para el ámbito europeo.
En virtud de lo anterior, esta Intervención General de la Administración del Estado adopta la siguiente resolución:
Se aprueba el sistema de firma electrónica no criptográfica para los procedimientos y servicios del ámbito de la Secretaría de Estado de Presupuestos y Gastos y la Intervención General de la Administración del Estado, en los términos que se recogen en el anexo I.
La Oficina de Informática Presupuestaria es responsable de la gestión del sistema de firma electrónica no criptográfica.
Corresponde a la Intervención General de la Administración del Estado el mantenimiento de la relación de procedimientos y servicios electrónicos en los que se puede utilizar el presente sistema de firma electrónica no criptográfica dentro de su ámbito de competencias.
La presente Resolución entra en vigor a partir del día siguiente a su publicación en el «Boletín Oficial del Estado».
Madrid, 16 de julio de 2021.–El Interventor General de la Administración del Estado, Pablo Arellano Pardo.
El sistema de firma electrónica no criptográfica se incorpora como mecanismo alternativo al uso de certificados electrónicos para la realización de firmas electrónicas criptográficas y se articula de la siguiente forma:
1. El sistema se configura como un servicio horizontal que será invocado por las aplicaciones de gestión que dan soporte a los procedimientos y servicios del ámbito objetivo correspondiente a la Secretaría de Estado de Presupuestos y Gastos y a la Intervención General de la Administración del Estado, ámbito conjunto al que a efectos de esta Resolución se denomina como Administración presupuestaria.
2. La persona firmante estará identificada ante el sistema de información cliente mediante un sistema de identificación basado en certificado electrónico de los soportados en el ámbito de la Administración presupuestaria y que se corresponden con los reconocidos por la solución @firma y la plataforma Cl@ve.
3. El sistema de firma recibirá de la aplicación invocadora el documento a firmar, mediante su referencia en el repositorio documental de la Administración presupuestaria, así como referencias a otros posibles documentos anexos y de soporte, y otros datos de configuración como el nivel de seguridad requerido en la autenticación, la plataforma y proveedor de identidad, o el idioma, entre otros.
4. El sistema de firma mostrará a la persona firmante una pantalla que le informará de que se producirá la firma del documento, permitiendo a esta visualizar su representación PDF así como los anexos. Se incluirá un control con un texto asociado que indicará que con la aceptación se manifiesta expresamente el consentimiento y la voluntad de firma.
5. La persona firmante actuará sobre un elemento de la interfaz, etiquetado de tal forma que inequívocamente indicará que se produce el proceso de firma («Firmar y enviar» o similar), teniendo también la posibilidad de cancelar la operación.
6. Se llevará a cabo una nueva identificación del usuario y la validación de su identidad con el proveedor de identificación correspondiente. La respuesta del proveedor se almacenará y contrastará con la identificación de la persona firmante obtenida de la aplicación cliente, ya que es requisito obligatorio que quien lanza el proceso de firma sea quien se valida en el proveedor del servicio de identificación. Se incorporará un resumen electrónico del documento a firmar en los intercambios con el proveedor de identidad para garantizar su asociación con los datos de validación de la identidad.
7. El proceso de firma recogerá en una estructura de información los datos de las evidencias de autenticación y el contenido del documento original, estructura sobre la que se realizará un sellado electrónico utilizando el certificado electrónico de órgano de la Oficina de Informática Presupuestaria. A este sellado se añadirá un sello de tiempo realizado con un certificado cualificado y emitido por un prestador de sellado de tiempo supervisado.
8. Se elaborará un justificante como un documento PDF con el contenido del documento original o su representación en PDF, su código seguro de verificación, y la información de firma exigida por la Resolución de 14 de julio de 2017, de la Secretaría General de Administración Digital, por la que se establecen las condiciones de uso de firma electrónica no criptográfica, en las relaciones de los interesados con los órganos administrativos de la Administración General del Estado y sus organismos públicos. El justificante incluirá los códigos CSV de los documentos anexos a la firma y, en el caso en que el documento firmado haya pasado por un registro de entrada, los datos identificativos de su inscripción en el registro. El fichero electrónico incluirá además como anexo el fichero de firma generado en el paso anterior, y será sellado electrónicamente.
9. Ambos documentos, fichero de firma y su justificante asociado, quedarán almacenados en el repositorio documental de la Administración presupuestaria, asociados a un localizador que permitirá su recuperación y verificación.
El sistema permitirá, en un mismo proceso o lote, la firma no criptográfica de varios documentos, repitiendo para cada uno de ellos los pasos 7 a 9 anteriores.
Cumplimiento de los requisitos de acreditación de la expresión de la voluntad y consentimiento del interesado, no repudio, integridad de los datos y documentos firmados y del justificante de firma
El sistema requiere la autenticación del interesado inmediatamente previa a la firma, y comprueba que se trata de la misma persona que estaba autenticada en la aplicación cliente.
Se facilita la verificación previa del interesado de los datos a firmar, mediante la presentación y visualización del documento o documentos que se firma y la documentación aneja. Así mismo, existe una acción explícita por parte del interesado de manifestación de consentimiento y expresión de la voluntad de firma, puesto que el sistema presenta un control visual con un texto que indica que con la aceptación se manifiesta expresamente el consentimiento y la voluntad de firma, y el proceso de firma se inicia con la actuación sobre un elemento gráfico etiquetado de forma inequívoca («Firmar o enviar» o similar).
El no repudio se garantiza mediante la solicitud de la autenticación del interesado inmediatamente previa a la firma, proceso en el que se recoge información sobre la fecha y hora de autenticación, identificación del interesado, proveedor de identidad empleado y resultado de la autenticación (evidencias de la identificación) que, junto con el documento a firmar, compone una estructura que es sellada con un certificado de sello electrónico de la organización, que a su vez recibe un sellado de tiempo inmediatamente posterior.
La integridad de los datos se garantiza con el sellado de cada documento a firmar y las evidencias de identificación con un certificado de sello de órgano y posterior sellado de tiempo, con la incorporación en el justificante generado del código seguro de verificación del documento y las evidencias de identificación, y mediante el propio sellado electrónico del justificante.
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid
