Categoría: Firma Electrónica

pimefactura.com: KISS

Santi CasasDeja un comentario


PIMEC va presentar divendres passat, en el marc d’una jornada organitzada conjuntament amb Firmaprofesional, el seu servei d’emissió de factures electròniques «pimefactura».

El servei, que hem desenvolupat des d’ALBALIA, i on hem aportat la tecnologia BackTrust i el servei EADTrust, permet a qualsevol organització emetre factures en format «facturae«, signades en format XAdES-XL i entregar-les de forma segura al receptor. El següent pas és la integració de «pimefactura.com» amb l’e.FACT (servei de recepció de factures electròniques de les Administracions Públiques catalanes). És a dir, fer factures electròniques de
la màxima qualitat i de forma molt senzilla per a tothom. Un servei KISS (Keep It Simple, Stupid), i ja sabeu que soc un fan d’aquest principi.
La jornada la va obrir en Jordi Bosch, secretari de Telecomunicacions i Societat de la Informació de la Generalitat de Catalunya, que va destacar la necessitat que les empreses adoptin sistemes de signatura electrònica i factura electrònica per a millorar la seva competitivitat i productivitat.

La presentació del servei la va fer l’Andreu Bru, Director de Noves Tecnologíes de PIMEC, que va explicar el cas d’exit de PIMEC que ja emet factures electròniques gràcies a la integració que ha fet IRIS del API de BackTrust al Microsoft Dynamics Navision.
A la mateixa sessió, el Xavier Hernanz del Centre de Productivitat de Microsoft va presentar el «factoffice«, que també ha desenvolupat ALBALIA, i que permet emetre factures electròniques des de Microsoft Word 2007. Un bon complement per al servei «pimefactura».
La jornada, clausurada per Jordi Masias, Conseller Delegat de Firmaprofesional, va ser un tot un èxit d’assistència i participació.

Traducir al castellanoTranslate to English

Microsoft, Albalia y facturae

Santi CasasDeja un comentario


Anteayer se celebró en Madrid, organizado por ASIMELEC, el IV Congreso de Factura Electrónica y Digitalización Certificada. Un punto de encuentro ineludible para la «familia» de los que impulsamos la factura electrónica, donde año tras año se pueden comprobar los avances que se realizan. Mi único pero, es que los cuatro congresos se han realizado en Madrid (en algún momento pensé que este IV Congreso nos lo podíamos traer a Barcelona), y en consecuencia, a muchos catalanes nos tocó celebrar la Champions en La Cibeles 😉

Debo decir que salgo con muy buenas sensaciones del Congreso, especialmente en tres aspectos:
  1. La exposición de Carlos Maza mostró los avances que el Ministerio de Industria entorno a la factura electrónica, y sus previsiones de evolución de facturae. Después del anterior Congreso mostré mis preocupaciones al respecto en un post. Hoy, puedo decir que se han reducido enormemente, y que creo que se està enfocando adecuadamente el camino en la linea de mis reflexiones.
  2. Por primera vez, la mayor parte del Congreso estubo salpicada por debates sobre la interoperabilidad de las plataformas, incluida una mesa redonda participada por la mayoria de actores relevantes del sector. En él se anunció la iniciativa InvoiceX que hemos impulsado la mayoría de actores y que se ha presentado al Plan Avanza.
  3. La participación de Microsoft, donde Héctor Sánchez Montenegro anunció la puesta a disposición del Add-in de «facturae» para Word 2007, que hemos desarrollado en ALBALIA. En el hemos utilizado nuestras herramientas BackTrust de firma XAdES, y el código del Add-in se ha publicado mediante licencia de software libre MS-PL en http://factoffice.codeplex.com/. El resultado nos hace sentir orgullosos del esfuerzo.
Sin duda, este Congreso ha significado un nuevo paso firme en el camino de la masiva adopción de la factura electrónica, y solo nos queda esperar al próximo que, esta vez sí, espero que se celebre en Barcelona.

Translate to EnglishTraduir al català

Régimen Jurídico de la Factura Electrónica

Santi CasasDeja un comentario

Mi buen amigo David Gracia acaba de publicar el libro «Régimen Jurídico de la Factura Electrónica», editado por la Editorial Bosch, especialista en temas jurídicos. Felicidades David, te ha salido un muy buen trabajo.

Con David hemos compartido muchas conferencias, seminarios y debates sobre factura electrónica, y el libro es una excelente recopilación de la normativa y de los elementos a tener en cuenta. Muy recomendable para todos aquellos que deban implementar sistemas de factura electrónica.

Dado que he tenido el placer y el honor de prologar el libro, os transcribo el mismo:

Hoy, la factura en papel es una gran anomalía. Las facturas entre empresas, se generan en un sistema informático, se emiten en papel, se transportan físicamente, y el receptor las introduce en otro sistema informático. Es decir, nacen y mueren en sistemas informáticos que utilizan el papel y el esfuerzo humano como sistema de comunicaciones. Ineficaz, ineficiente, costoso y dañino para el medioambiente.

Esto es así, entre otros motivos, porque la factura es el medio de prueba más utilizado para demostrar la existencia de una operación comercial y, en consecuencia, sus requisitos legales son importantes y hacen que muchas empresas consideran más seguro utilizar el papel. La normativa de facturación electrónica viene a solventar esta anomalía, en línea con los objetivos marcados por la Agenda de Lisboa.

No es demasiado habitual que un ingeniero prologue un libro orientado a los profesionales del derecho. Pero como bien dice en su blog, mi colega y amigo Julián Inza, vivimos tiempos en que “todo es electrónico”. Así, hoy es habitual que los ingenieros hablemos sobre temas legales y los abogados hablen sobre temas tecnológicos. Como ejemplo, en los seminarios y conferencias que doy sobre temas de firma, factura o administración electrónica (muchas de ellas compartidas con David Gracia), frecuentemente me toca hablar de conceptos legales e interpretar normas con el fin de garantizar su correcta implementación tecnológica.

Cabe decir, que el camino hasta aquí no ha sido fácil. Todavía recuerdo la primera vez que me enfrenté con la Directiva 1999/93/CE de firma electrónica. Yo, que me consideraba un experto en sistemas PKI y en firma digital, no entendía nada. Pero poco a poco los tecnólogos nos hemos ido formando en conceptos legales, y, a su vez, los profesionales del derecho han ido adquiriendo conocimientos tecnológicos (conozco a muchos profesionales del derecho que son auténticos “friquis” de la tecnología). Esto ha permitido reducir la brecha entre ambas disciplinas y, lo que es más importante, permitir a ciudadanos y empresas, aplicar adecuadamente la tecnología.

En este sentido, la factura electrónica es un gran impulsor de la llamada Sociedad de la Información. Desde la aprobación de la Directiva 2001/115/CE hasta la publicación de la Orden EHA/962/2007, el diálogo entre tecnólogos y profesionales del derecho ha sido constante con el fin de conseguir unas correctas interpretaciones de las normas, y las aplicaciones tecnológicas de las mismas. El presente libro es una magnifica recopilación del resultado de dichos diálogos.

En España, este diálogo continúa actualmente debido a la aprobación reciente de múltiples normas (Ley 11/2007 de administración electrónica, Ley 30/2007 de contratos del sector público, Orden PRE /2971/2007,…). Ahora bien, en este mundo globalizado y, en nuestro caso, debido a nuestra dependencia de la Unión Europea, siempre debemos tener en cuenta lo que se discute más allá de nuestras fronteras. Y, en este sentido, considero que todavía no hemos tomado el camino adecuado.

En los proyectos de implantación de factura electrónica en las empresas, hay dos temas que preocupan especialmente: la firma de las facturas electrónicas y los formatos en que se codifican las facturas (con el fin de que sean interpretables automáticamente por los sistemas informáticos). En ambos casos, nuestra nota es: “necesita mejorar”.

Respecto a la firma de las facturas electrónicas, la redacción de la Directiva 2001/115/CE (refundida en la Directiva 2006/112/CE) fue bastante deficiente. Vincular la firma de las facturas electrónicas a la Directiva 1999/93/CE de firma electrónica fue un error que estamos pagando actualmente. La Directiva de firma electrónica está orientada a conseguir un mecanismo electrónico que permita la equivalencia con las firmas manuscritas de las personas físicas. Pero resulta que las facturas no se deben firmar. En realidad, la voluntad de la Directiva de IVA no era firmar las facturas electrónicas, sino utilizar un mecanismo que permitiera garantizar la autenticidad y la integridad de las mismas; y, si bien es cierto que la firma electrónica lo garantiza, vincularlo al concepto de firma electrónica de la Directiva 1999/93/CE (y en consecuencia, a su equivalencia con la firma manuscrita de las personas físicas) fue un error. Existen otros sistemas de firma digital que, no estando vinculados a la Directiva 1999/93/CE, permiten garantizar la autenticidad y la integridad.

Pero en España, al trasponer la Directiva al Real Decreto 1496/2003, todavía lo complicamos más. En su artículo 18.1.a, se requiere el uso de firma electrónica reconocida (la que tiene equivalencia directa con la firma manuscrita), con los requisitos añadidos sobre el tipo de certificado y del dispositivo de creación de firma. En este sentido, debemos reconocer que, tal como dicen los profesionales del derecho, “a maiori ad minus” y así, las facturas firmadas en España con firma electrónica reconocida, serán aceptadas en el resto de países de la UE.

Ahora bien, la complejidad sobre la firma de las facturas electrónicas no termina aquí. La Orden EHA/962/2007 reconoce como sistemas de firmas válidos para las facturas, además de la firma electrónica reconocida, el resto de sistemas que la AEAT acepta como válidos para las relaciones telemáticas tributarias. Un verdadero lío.

Esta terrible complejidad normativa al respecto de la firma de las facturas ha llevado al Grupo de Expertos nombrado por la comisión europea a considerar que la firma de las facturas electrónicas es un impedimento para su desarrollo y a aconsejar que se elimine dicho requisito. Personalmente no comparto dicha visión, dado el valor como prueba de las facturas, y en consecuencia, debe garantizarse la autenticidad e integridad por ellas mismas, más allá del ámbito puramente tributario. Sin duda, para ello, los mejores sistemas son las firmas digitales, pero sin vincularlo a la normativa de firma electrónica.

Sobre los formatos, en general la normativa específica de factura electrónica no incide. Deja al mercado que se autoregule. En este sentido, tanto en ámbitos mundiales , como en el europeo , existen diversas iniciativas de estandarización con el fin de facilitar el intercambio e interpretación de documentos electrónicos de negocio por parte de los sistemas informáticos. Estos procesos de normalización y estandarización suelen ser complejos y lentos, y, suelen encontrar intereses contrapuestos.

Entre otros motivos, esta complejidad llevó a las entidades financieras españolas , en colaboración con la Agencia Tributaria, a definir el formato de factura CCI-AEAT. Formato que evolucionó hacia el actual “facturae”, obligatorio para la remisión de facturas electrónicas a la Administración General del Estado . Nadie puede negar la importancia que el formato “facturae” está teniendo para el despliegue de la factura electrónica en España. De la misma forma, tampoco nadie puede negar que dicho formato nos convierte en una isla tecnológica. Una vez más, nuestro “ancho de vía” no es el europeo. Esperemos que, la evolución de “facturae”, converja, tal como reclama la Orden PRE/2971/2007 , hacia estándares internacionales y evitemos volver al tópico de que “Spain is different”.

Solo me queda agradecer a David Gracia todo lo aprendido, por ofrecerme la posibilidad de prologar su libro; y felicitarlo por el magnífico trabajo realizado, ya que, con seguridad, el presente libro se convertirá en una herramienta de referencia en el sector, y ayudará a muchos profesionales del derecho a permitir que la sociedad española adopte la factura electrónica y supere la anomalía de la factura en papel.

Translate to EnglishTraduir al català

Xerrada de Signatura Electrònica a la Universitat de les Illes Balears

Santi CasasDeja un comentario

Traducir al castellanoTranslate to English
Avui em toca donar una xerrada sobre signatura electrònica a alumnes de la Universitat de les Illes Balears (UIB). He estat convidat pel Grup de Seguretat i Comerç Electrònic de la UIB gràcies al bon amic (i ex-professor a la UAB, i ex-president de Doc on Time) Llorenç Huguet.

La veritat és cada dia m’agrada més donar xerrades a «nadius digitals», per la naturalitat amb que entenen els conceptes i la seva aplicació. Ja us explicaré com ha anat.

Hablando de eAdministración en el Banco de España

Santi Casas1 comentario

Translate to EnglishTraduir al catalàEscribo este post desde el Banco de España donde estamos dando un seminario de eAdministración con mis colegas Julián Inza y Fernando Pino.

Después de la gran aceptación de las dos sesiones anteriores convocadas por Atenea Interactiva, estamos recibiendo solicitudes del seminario directamente por parte de organismos para que los ofrezcamos «in-company» a su personal. 
Los temas que tratamos hoy son:
  • Identidad Digital y DNIe
  • Implementación del Perfil del contratante
  • Facturación Electrónica en el sector público.
  • Claves para implementar procesos telemáticos.
  • Notificaciones fehacientes por vía telemática.
  • Compulsa Electrónica y Digitalización Certificada
  • Archivo de Constancias Electrónicas y Carpeta Ciudadana
  • Registro Telemático,
  • Interoperabilidad entre Administraciones Públicas.
El nivel de los asistentes es muy alto lo que hace preveer un coloquio final interesante y enriquecedor.

La usabilidad en el DNI electrónico

Santi Casas9 comentarios

Translate to EnglishTraduir al català

Esta mañana, al irme a conectar a la banca online de ING Direct (ya sabéis, el banco que hace fresh banking), me he encontrado con una agradable sorpresa. El portal me permitía identificarme con mi DNI electrónico.
Hasta la fecha, el único banco (de los que uso) que me permitía utilizar el DNIe era Bankinter, y sólo para identificarme; para firmar las transacciones sigo jugando a los barcos con sus tarjetitas. En cualquier caso, debe agradecer a Bankinter que me avisara que tenía los certificados a punto de caducar (ya que la Policía no te avisa), lo que me permitió renovarlos.

Pues bién, dado que hace algunas semanas me coprometí a ir analizando determinados aspectos del DNIe (y dado que otros bloggers como Montaña Merchán y Martín Pérez están hablando sobre el tema), he aprovechado la operación que tenía que hacer para probarlo y así comentarlo.
Antes, debo comentar que en mi étapa en Doc On Time participé, conjuntamente con la FNMT, en el proyecto que permitió a ING Direct firmar operaciones con los certificados de la FNMT. No permiten identificar al usuario mediante dichos certificados (y tenían buenas razones para ello), pero sí que permiten firmar. Y yo, obviamente, soy uno de los usuarios que utilizan el servicio de firma con certificados (¡espero no ser el único!).
Así que, todo decidido, me he cambiado de navegador (desde Chrome ya suponía que no me iba a funcionar), he abierto el Explorer, y como un campeón he pulsado el botón de «Entrar con DNI electrónico», y después de descargarse un applet perfectamente firmado y, entrar TRES VECES el PIN, pero sin pedirme ningún dato más (otras bancas on line me piden el código de usuario, o incluso el password, ¿para qué?, ¿qué no me identifica bien el DNI?) me ha identificado correctamente. ¡Victoría!. Hasta aquí, los de ING han hecho un buen trabajo.
Ya sin miedo, he ido ha hacer la transferencia que debía hacer y …. aquí la cosa ya no ha ido tan bién. Una vez rellenado el formulario de la transferencia, al pulsar continuar, me ha dado un error de «contraseña incorrecta» (¿Qué contraseña?), y «por motivos de seguridad», me ha cerrado el navegador. Aquí, el trabajo realizado ya no es tan bueno.
Total, que he vuelto a identificarme con el usuario/password habitual, y he realizado la transferencia firmando con el certificado de la FNMT, como siempre. ¡Casi!. He estado muy cerca de conseguirlo. La sensación es que ING sólo ha adaptado el sistema de identificación, pero sigue sin tener en cuenta al DNIe para la realización de operaciones. Espero que lo solucionen pronto.
En cualquier caso, repito que la sensación es que el trabajo realizado para la identificación con DNI es bueno, y el hecho que de que me pida TRES VECES el PIN, no es problema de ING, es problema del DNI.
Por su diseño, al DNIe le han querido dar el máximo de seguridad y, eso ha ido en contra de la usabilidad de forma muy drástica. Con el DNI insertado, por el simple hecho de acceder al almacén de certificados de windows para saber de que certificados dispongo, el driver del DNIe ya solicita el PIN. Esto provoca que, por el simple hecho de abrir el Internet Explorer, este intenta acceder al almacén y ya te pide el PIN. Después cada vez que intentas hacer alguna operación con los certificados del DNIe, te vuelve a peder el PIN. En consecuencia, la experiencia de usuario es horrible.
No hay ningún otro Prestador de Servicios de Certificación que emita certificados en tarjetas criptográficas similares al DNI que ofrezca una experiencia de usuario tan desastrosa y, desde el punto de vista de la Ley 59/2003 de firma electrónica, los certificados reconocidos que emiten tienen exactamente el mismo valor que los del DNI electrónico. Si la usabilidad del DNI no mejora (entre otras cosas), dificilmente se extenderá su uso.
Otro día, hablaré de algún otro aspecto a mejorar.

Jornada eAdministracion (eGovernment)

Santi CasasDeja un comentario

Translate to EnglishTraduir al catalàEl 25 de febrero de 2009 tiene lugar en el Centro de Postgrado de la Universidad Alfonso X la jornada  eAdministración-eGovernment”. Podeis descargaros el programa en PDF aquí.


El seminario, en el que actuo como ponente y organizado por Atenea Interactiva, tratará todos los temas de candente actualidad en relación con los retos que impone el cumplimiento de la Ley 11/2007 y de la Ley 30/2007 en las administraciones públicas.

Comparto el evento con mis colegas Julián Inza y Fernando Pino, y me encargaré de explicar los siguientes temas:
– Identidad Digital y DNIe.
– Firma Electrónica.
– Perfil del Contratante.
– Notificaciones telemáticas.

La convocatoria ha sido un éxito (aunque todavía es posible inscribirse), y es posible que se programen nuevas jornadas al respecto.

Actualización (25/02/09-18:00): Julián Inza ha publicado, desde el propio seminario, un post del evento.
Dado el éxito del mismo, Atenea ha programado un nuevo seminario para el día 12 de marzo.

Cinco años de DNI electrónico

Santi CasasDeja un comentario

Translate to English
Traduir al català

Hoy hace cinco años de la aprobación de la Ley 59/2003, de 19 de diciembre, de firma electrónica que, en su capítulo III dio a luz nuestro flamante “Documento Nacional de Identidad Electrónico”.
El 14 de marzo del año siguiente, contra todo pronóstico, Zapatero ganó las elecciones generales. Ello provocó un cambio de gobierno y, como todo buen cambio de gobierno, el retraso de algunos proyectos empezados, entre ellos el DNIe.
Finalmente, dos años y medio después de la aprobación de la ley, el 16 de marzo de 2006, se entregó en Burgos el primer DNI electrónico a Ana Isabel Zorita. Hace poco menos de un mes, el pasado 28 de noviembre en Collado Villalba, se emitió a Valentín Dominguez Santos el último DNI “sin chip”. A partir de ahora, todos los DNIs tienen capacidades electrónicas (no me atrevo a decir que sean electrónicos). Según la DGP, en estos momentos ya deben haberse emitido más de nueve millones de ejemplares.
En junio de 2006, estando como Director de la Autoridad de Certificación de ANCERT tuve el placer de obtener mi primer DNIe en el CPD de la Policía Nacional en el Escorial. Ya hace 30 meses lo que me obligó, la semana pasada, a renovar los certificados del mismo. Debo decir que lo conseguí, no sin algún problema.
Como resumen debemos decir, que ha llovido un poco (solo metafóricamente) desde aquel diciembre de 2003, y en cinco años se ha conseguido desplegar el DNIe en toda España. Esto sólo debe calificarse de éxito.
También es cierto que durante este periodo, las personas que nos dedicamos a la firma electrónica, en general, hemos optado por no verter críticas sobre el DNIe que pudieran complicar su avance. No teníamos dudas que, su sola presencia, permitiría desarrollar el sector de la firma electrónica en nuestro país.
Ahora bien, una vez realizada la tarea de despliegue conviene revisar tanto lo que se ha hecho bien (que ha sido bastante), como lo que se ha hecho mal (que también ha sido bastante). Ahora, además de impulsar su uso (como bien dice Martín Pérez en su blog) debemos ver que problemas tiene (especialmente de usabilidad, pero también tiene otros) e intentar resolverlos. En próximos «posts» intentaré ofrecer mis reflexiones al respecto.
Muchas felicidades a todos, y en especial, a los que lo han hecho posible.

La firma en las facturas electrónicas

Santi CasasDeja un comentario

Translate to English
Traduir al català
El Grupo de Expertos Europeos en Factura Electrónica ha vuelto a abrir el debate sobre la firma de las Facturas Electrónicas. Julián Inza ha escrito al respecto en su blog y en epractice.eu.

Su hilo argumental es que, para garantizar la “autenticidad en origen” y la “integridad del contenido”, es suficiente la adhesión a una especie de acuerdo de buenas prácticas entre comprador y vendedor basado en un modelo de contrato que piensan proponer (EEI Model Agreement); y, que finalmente si las autoridades tributarias quieren comprobar la validez de la factura sólo (¿?) deberán comprobar que se ha realizado la entrega de bienes o servicios y se ha realizado el pago.

En base a esto, y al considerar que el uso de sistemas de firma electrónica supone un freno en el despliegue de los sistemas de factura electrónica, proponen que se relajen los requisitos tecnológicos para garantizar la “autenticidad en origen” y la “integridad del contenido”.

El cambio que se propone es sustancial ya que, el original de la factura deja de ser considerado como una evidencia en sí misma. Es una mala noticia para aquellos que vimos en la factura electrónica como la “killer application” para el despliegue definitivo de sistemas de firma digital y de evidencias electrónicas. Debemos esperar como evolucionara el documento, pero, inicialmente es una mala noticia.

A pesar de no compartir las conclusiones del grupo de expertos, he de reconocer que sus argumentos son sólidos. El problema original surge en la redacción de la Directiva 2001/115/CE, cuando se confunde la tecnología de firma digital que permite garantizar la “autenticidad en origen” y la “integridad del contenido” con el concepto de firma electrónica de la Directiva 1999/93/CE como artilugio legal para buscar la equivalencia con la firma manuscrita. Para más inri, algunos estados (entre ellos el español) decidieron requerir firma electrónica cualificada para la firma de las facturas. Hay que reconocer que el uso de la firma electrónica (según la Directiva 1999/93/CE y la Ley 59/2003) no facilita precisamente el despliegue de la factura electrónica. Está problemática ya fue analizada convenientemente en el CEN por el eInvoicing WorkShop.

Ahora bien, el problema no está en la tecnología de firma digital basada en PKI. La tecnología está suficientemente madura e implantada en múltiples servicies. ¿Alguien tiene problemas en usar HTTPS-SSL, VPNs u Componentes de Código Firmados? Estos sistemas hacen uso de firma digital basada en PKI, aunque la mayoría de usuarios ni lo saben. Ni falta que les hace.

Al igual que los sistemas HTTPS-SSL (no regulados por la normativa de firma electrónica) , podríamos haber firmado las facturas mediante un dispositivo de creación de firma software con un certificado específico que no tuviera ninguna relación con la normativa de firma electrónica.

El desarrollo de la sociedad de la información y el conocimiento requiere de sistemas que generen evidencias electrónicas que nos protejan de inseguridades jurídicas. Debemos poder demostrar la realización de determinados actos y, hoy por hoy, los mejores sistemas al respecto son los de firma digital basados en PKI. Hay múltiples iniciativas de administración electrónica, de identidad digital (p.e. DNIe) y otros que se basan en ellos. Las conclusiones del Grupo de Expertos Europeos de Factura Electrónica dan un paso hacia atrás.

Según mi criterio, las recomendaciones deberían ser otras:

  • Sustituir en la directiva de factura el concepto de firma electrónica por el de firma digital basada en PKI (tecnológicamente neutral).
  • Definir un perfil de certificado común y específico para la factura electrónica y los requisitos que las autoridades de certificación deben cumplir para su emisión (más cercano a la emisión de certificados SSL que a la emisión de certificados cualificados de firma electrónica).

Así, la firma de las facturas electrónicas dejaría de ser un inconveniente, y se estaría en línea con las necesidades para el desarrollo de la sociedad de la información y del conocimiento.