Cuatros Años de Vigencia de la E.Firma (Antes FIEL). ¿Una Bomba de Tiempo? - 14651 Visitas

Cada vez es mayor el número de ciudadanos que utilizan los certificados digitales (CD) para realizar trámites ante diferentes autoridades gubernamentales, en especial, aquellos que son contribuyentes y tienen que reportar información al Servicio de Administración Tributaria (SAT).
En el caso de las autoridades fiscales existe un CD especial llamado E.Firma, que hasta hace poco tiempo se conocía como FIEL. Este documento cobra una gran relevancia si consideramos que la Ley de Firma Electrónica Avanzada (LFIEL) le da los mismos efectos que la firma autógrafa ¹ (equivalencia funcional).

¿Y cómo puede un archivo de computadora, como lo es un CD, tener el mismo valor que la firma autógrafa?

Los CD son un estándar tecnológico internacional que permite garantizar la identidad del titular ante cualquier tercero. Una entidad denominada Autoridad Certificadora (AC) es la responsable de emitir los CD a todo aquel que los requiera. Para poder otorgar un certificado, la AC debe pasar al solicitante por un procedimiento de identificación para asegurarse que es quien dice ser.

En México, la LFIEL habilita al SAT como AC transfiriéndole la obligación de definir el procedimiento para emitir un CD, que debe incluir la siguiente documentación del solicitante:

1. Solicitud con firma autógrafa
2. Comprobante de domicilio.
3. Identificación oficial
4. El documento probatorio de nacionalidad mexicana o el que acredite la legal estadía en territorio nacional para el caso de los extranjeros.

Adicionalmente el SAT recaba datos biométricos² como un mecanismo adicional que garantice la identidad del solicitante.

Terminado el procedimiento, y plenamente establecida la identidad del solicitante, la AC expide el CD que tiene una vigencia de hasta cuatro³ años que inician a partir del momento de emisión y expiran el día y hora señaladas en el propio documento.

Como parte del procedimiento de emisión de un CD, el solicitante protege el documento con una contraseña, que en principio solamente él debe conocer y no divulgar bajo ninguna circunstancia.

Al obtener un CD el titular puede proteger, a través de procedimientos tecnológicos, la información que intercambie con terceros, generando lo que se conoce como sello digital o firma electrónica.

Una vez emitido, la tecnología nos garantiza que el sello digital comparte dos características sumamente importantes con la firma autógrafa:

1. Solamente el titular posee las características para generarla.
2. Dichas características son extremadamente difíciles de replicar.

Con la mancuerna que forman la tecnología que les da soporte y un uso adecuado por parte del titular, podemos aseverar que los CD son el mecanismo más robusto de identificación que cualquier persona tiene disponible.

Si analizamos esta dupla, observamos que la base tecnológica nos garantiza infalibilidad, sin embargo, los puntos vulnerables se presentan invariablemente en el uso que se les da, es decir, en los titulares, contribuyentes, ciudadanos o personas que los emplean para diversos fines.

La seguridad de los CD se apoya en la idea de que solamente el titular conoce la contraseña que los protege; exclusivamente él puede darle uso y por lo tanto emitir su firma electrónica. Es por esta razón que la ley le otorga las características de autenticidad y no repudio⁴ , porque únicamente el firmante puede generarla y una vez que lo ha hecho, se tiene la certeza que ha sido él y por lo tanto no puede rechazar su autoría.

Debido a la relevancia que los CD tienen, la ley obliga a los titulares a custodiarlos adecuadamente⁵ , a fin de mantener la contraseña secreta y así garantizar su uso correcto.

Por lo general, es casi una regla que esta obligación no se cumpla adecuadamente y que el titular ceda las contraseñas de los CD debido a una gran diversidad de situaciones que se le pueden presentar, muchas hasta cierto punto justificables, pero otras no tanto.

Independientemente de cuál sea el motivo por el cual el titular de un CD divulgue la contraseña, vamos a centrarnos en otro aspecto que potencia el riesgo que esto implica: la vigencia de un CD.

El estándar internacional recomienda que la vigencia de un CD sea cuando mucho de un año, en México, antes era de dos y ahora es de cuarto, ¿por qué? Tal vez la única respuesta sea: porque somos mexicanos.

Aunque como la inmensa mayoría, soy orgullosamente mexicano, debemos reconocer que en este país continuamente suceden cosas que no tienen explicación y en muchas ocasiones son las mismas autoridades quienes las propician.

Pensemos en todos los CD que cada uno de nosotros (personas físicas o morales) tiene vigentes el día de hoy. ¿Cuántas personas, en este preciso momento, conocen las contraseñas? Aunque el número es diferente en cada situación, vamos a analizar dos de los casos que se presentan más frecuentemente.

Caso 1

Es una práctica común que las personas físicas entreguen las contraseñas de sus CD a los contadores púbicos que les asesoran. En estricto sentido esto no debería de pasar, los contribuyentes deberían hacer trámites en el portal del SAT o cualquier otro requerido por si solos, desde luego con la asesoría adecuada, pero sin ceder el control de los CD. Sin embargo, de uno y otro lado se escuchan argumentos como: “Para eso eres mi contador” o “si no tengo las contraseñas como voy a hacer mi trabajo” por lo cual el uso de los CD se hace de una manera sumamente displicente incrementando el riesgo en todo momento.

Vamos a suponer que una persona física que se dedica a la fabricación de velas aromáticas decide cambiar de contador porque el que tiene actualmente no lo convence del todo. Al avisarle a su asesor del cambio, este no lo toma de muy buena manera y finiquitan su relación en muy malos términos. Después de un año nuestro amigo, que ya tiene un contador diferente, realiza un trámite de devolución de impuestos. Su nuevo asesor le asegura que en poco tiempo el dinero debe ser depositado en su cuenta.

Al pasar los días y no ver reflejado el trámite, el empresario decide investigar y se da cuenta que su solicitud ya fue procesada por el SAT y el dinero depositado, pero en una cuenta bancaria que no es de su pertenencia. Sumamente molesto discute con su contador, quien no se explica cómo pudo darse dicha situación. Después de calmados los ánimos, y de reflexionar un poco, juntos analizan todas las posibilidades por lo que el protagonista de nuestro caso narra la forma en que termino su relación laboral con su asesor anterior y llegan a la conclusión que él pudo haber cambiado la cuenta bancaria que la autoridad tenía registrada, dado que el CD actualmente vigente sigue siendo el mismo que aquel utilizaba. ¿Cómo fincar responsabilidades y a quién?, ¿Qué puede hacer nuestro empresario?, ¿Qué debe hacer el asesor contable actual?, ¿si en lugar de su anterior contador el empresario hubiera tenido una situación similar con su hoy ex – esposa?, ¿Qué podría argumentar la autoridad ante un reclamo de este contribuyente?

Para responder la última pregunta es posible que la autoridad respondiera de la siguiente forma:

“Estimado contribuyente: usted solicitó un CD para lo cual asistió a nuestras oficinas, le requerimos cierta documentación, firmó una solicitud, tomamos sus datos biométricos y una vez que su identidad quedó perfectamente establecida le entregamos un documento protegido por una contraseña de la cual usted es depositario y es de su exclusivo conocimiento. Le recordamos que la ley lo obliga a resguardar sus CD y que cualquier acto realizado con dicha contraseña es su responsabilidad y no puede rechazar su autoría.”

Caso 2

Dentro de una compañía existen diferente áreas que por las operaciones que realizan requieren el uso de cuando menos un CD. Si las contabilizamos podemos decir que en este grupo normalmente encontraríamos: administración (representante legal), contabilidad, impuestos, auditoría, tecnologías de la información, ventas/facturación y nóminas; por mencionar las más comunes.

Imaginemos que la vigencia de un CD es una línea recta que mide cuatro años. Situémonos en el punto que se encuentra el CD el día de hoy. Si consideramos que cada área cuenta al menos con un empleado, en este preciso momento siete personas diferentes tienen acceso a las contraseñas.

Considerando ahora el camino que ya recorrimos en la línea recta de la vigencia del CD, ¿cuántas personas las tuvieron en el pasado y que hoy ya no trabajan en la empresa? (renuncias, despidos, cambios de área o incapacidad). Digamos que, en nuestro caso hipotético son cuatro más; ya llevamos once personas.

Aún nos falta recorrer la parte restante de la línea recta (el tiempo faltante de vigencia del CD), por lo que vamos a pensar en cuatro personas más que tendrán acceso porque llegarán a cubrir puestos vacantes, por crecimiento de algún área u otra razón.

En total, durante un periodo de vigencia de cuatro años, para nuestro ejemplo, quince personas diferentes tuvieron acceso a las contraseñas. Cada persona (física o moral) tendrá un número diferente, más pequeño o inmensamente más grande, pero a final de cuentas, casi como norma el número tiende a incrementarse.

Tomando como referencia nuestro ejemplo, si algo pasara con el uso de los CD, ¿de quién sería responsabilidad? Recordemos que la LFIEL señala que el titular no puede rechazar la autoría de toda operación que se lleve a cabo con los documentos que se hayan expedido a su nombre. De entre esas quince personas ¿él a quien podría señalar? Sin olvidar que al aceptar la contraseña cada una de ellas se vuelve, de alguna manera, co-responsable del uso que los otros catorce hagan.

Para continuar con nuestro ejemplo, imaginemos ahora que el dueño de la compañía tiene un altercado con el gerente de tecnologías de la información y al calor de la discusión lo despide amenazándolo con no pagarle liquidación. “¡Y hazle como quieras!” se escucha decir al empresario, terminando así el asunto.

El empleado se va molesto pensando en qué hacer para no quedarse con las manos vacías después del tiempo trabajado en la empresa y en su cabeza resuena la última frase de su ex – jefe “Hazle como quieras”. Debemos tener presente que él tiene acceso a todas las contraseñas de los CD de la empresa y recuerda que un amigo suyo le comentó que en algunas empresas “compran facturas” con un porcentaje del 10%, así que lo llama y después de unos días emite varios CFDI por setenta millones, con lo que se hizo de una liquidación de siete millones; él dijo que “como yo quisiera” repite el tipo a modo de justificación. Este supuesto empleado ¿tendría algún impedimento para “autogenerar” su liquidación de esta forma? Además de la ética, claro está, desde el punto de vista tecnológico o administrativo no habría ninguno y desde luego, que sin pensar en las consecuencias, podría hacerlo. ¿Y si el empresario despidiera de la misma manera al gerente de contabilidad y al de impuestos?, ¿y si a todos se les ocurre hacer lo mismo?

Supongamos ahora que alguien aconseja al ex gerente de tecnologías de información que no haga lo que tiene pensado porque a final de cuentas seguramente van a cancelar los comprobantes y solamente tendrá problemas por lo que después de meditarlo decide no emitirlos pero, como no se quiere quedar con el coraje de haber sido despedido sin liquidación, ingresa al portal del SAT con la FIEL de la empresa y aumenta las obligaciones registradas, envía declaraciones complementarias de todos los meses que puede y para terminar, cancela todos los CFDI que se han emitido de 2011 a la fecha.

De las quince personas que tenían acceso a las contraseñas ¿a quién podría el empresario señalar de manera inequívoca? Independientemente de las penas a las que se pudiera hacer acreedor nuestro amigo del área tecnología, si es que logran fincarle alguna responsabilidad, tendríamos que formular las siguientes preguntas; ¿En qué situación se encuentra ahora la empresa? ¿Ayuda en algo que el ex – empleado sea sancionado? ¿Qué tan dañada quedará la imagen de la empresa frente sus clientes? ¿Cuánto costará, en tiempo y recursos, solucionar la situación? ¿Debemos confiar en la buena voluntad de todo aquel que, teniendo las contraseñas de los CD, deja de pertenecer a la empresa, sin importar la razón o circunstancias? ¿Cómo pudiera evitarse toda esta problemática?

En nuestro ejemplo, la respuesta a la última pregunta podría ser: liquidando a los empleados conforme a la ley.

Pero en general, y de manera un poco más sería, la solución es sumamente simple: administrando de manera correcta los CD.

El uso adecuado de los CD demanda un control estricto y desde luego, de tiempo y recursos para llevarlo a cabo, pero si ponemos en una balanza el esfuerzo requerido y las posibles consecuencias de no hacerlo, no hay punto de comparación y la decisión es muy sencilla de tomar.

Recomendaciones

Para las personas morales.

• Llevar un control estricto de quiénes tienen acceso a las contraseñas y para qué.
• Emitir un CD distinto para cada área/sucursal/función que requiera su uso.
• Revocar los CD a los que tuviera acceso como parte del procedimiento de finiquito de la relación laboral de cualquier empleado.
• Requerir de cada empleado la firma de una responsiva al aceptar las contraseñas de un CD y concientizarlos sobre su uso correcto.

Para las personas físicas.

• No ceder las contraseñas de los CD a quien ayude en la administración del negocio, incluyendo, en la medida de lo posible, parientes y empleados.
• En estricto sentido el contador que ofrezca asesoría no debería tener las contraseñas pero en caso de cedérselas debe existir una responsiva firmada.
• Revocar los certificados cuando se cambie de contador o cualquier otro consultor que haya tenido acceso a los CD.

Para los contadores independientes/consultores/auditores.

• Revocar los CD y generar unos nuevos cuando se acepte administrar una nueva contabilidad o algún proceso relacionado.
• Firmar una responsiva con los clientes y asegurarse que éstos no cederán las contraseñas a alguien más y concientizarlos en su uso.
• No usar la misma contraseña para los CD de todos los clientes que se asesore.
• Revocar los CD cuando se termine o entregue el proyecto y pedirle al cliente que genere unos nuevos.

Para la autoridad

• Limitar la vigencia de un certificado a no más de un año.

Hoy en día es muy difícil encontrar personas (físicas y morales) que hagan uso correcto de los CD con que cuentan. Las causas pueden ser muy diferentes, entre otras: desconocimiento de la tecnología, mal asesoramiento por parte de los consultores, negligencia o falta de consciencia del peso e importancia que un CD tiene, sin embargo, los riesgos que todos corren normalmente son los mismos y no es sino hasta que algo sucede cuando se toma medidas.

La correcta administración de los CD no es una tarea complicada, es gratuita y basta un poco de información para conocer la importancia que tienen. Es obligación de todo aquel que los utilice asesorarse, estudiar la ley y evitar riesgos innecesarios.

---

1 LFIEL Artículo 7 y 8.
2 Parámetros físicos que son únicos en cada persona, en el caso del procedimiento definido por el SAT se toman huellas dactilares y fotografías del iris del ojo.
3 LFIEL Artículo 20.
4 LFIEL Artículo 8.
5 LFIEL. Artículo 22 Fracción II.