En el proceso de digitalizar una empresa, la firma mediante OTP (One-Time Password o código enviado por SMS/Email) se ha vuelto extremadamente popular debido a su sencillez. Muchos proveedores la venden como la solución definitiva, pero surge una duda legal crucial: ¿Se puede considerar una firma electrónica avanzada según el Reglamento eIDAS?
La respuesta no es un simple sí o no, y entender los matices es vital para evitar que tus contratos sean impugnados en el futuro.
¿Qué es la firma con OTP?
La firma OTP consiste en enviar un código único y temporal al dispositivo del firmante (normalmente SMS a su teléfono móvil o mediante un correo electrónico). Al introducir ese código en la plataforma de firma, se asume que el firmante ha dado su consentimiento y que se ha verificado su identidad a través de la posesión de ese dispositivo o del acceso a esa cuenta de correo.
El veredicto legal: ¿Cumple con el nivel «Avanzado»?
Para que una firma sea considerada firma electrónica avanzada según el artículo 26 del eIDAS, debe cumplir cuatro requisitos:
Estar vinculada al firmante de manera única.
Permitir la identificación del firmante.
Haber sido creada utilizando datos que el firmante puede utilizar bajo su control exclusivo.
Estar vinculada con los datos firmados de modo que cualquier cambio sea detectable.
El problema del OTP: Si bien el OTP cumple con la integridad (punto 4), cojea en los puntos 1 y 2. Poseer un teléfono móvil no garantiza que la persona que introduce el código sea realmente quien dice ser. Cualquiera que tenga acceso al terminal desbloqueado podría firmar. La duda es equivalente para un correo electrónico.
Conclusión técnica: Una firma OTP por sí sola suele considerarse una firma electrónica simple reforzada, pero difícilmente alcanza el nivel de firma electrónica avanzada si no se acompaña de otras evidencias electrónicas (especialmente biometría, complementada con geolocalización o captura de IPs).
OTP vs. Firma Biométrica: ¿Cuál es más segura?
Aquí es donde entra la diferencia tecnológica de Sotech Biometrics. Mientras que el OTP demuestra la posesión de un objeto (el móvil), la firma biométrica demuestra la identidad de la persona.
Característica | Firma con OTP | Firma Biométrica |
Evidencia | Código numérico (Posesión) | Rasgos dinámicos (Presión, velocidad, huella dactilar, identificación facial o vocal) |
Identificación | Indirecta (¿Quién tiene el móvil?) | Directa (¿Quién está realizando la firma?) |
Validez ante juicio | Requiere pruebas adicionales | Prueba pericial completa |
Nivel eIDAS | Generalmente Simple | Firma electrónica avanzada |
¿Cuándo es «suficiente» usar OTP?
El OTP es «suficiente» para procesos de bajo riesgo, como:
Confirmación de recepción de documentos internos.
Aprobación de vacaciones.
Contratación de servicios de bajo valor económico.
Sin embargo, para contratos mercantiles, pólizas de seguros, consentimientos médicos o cualquier documento que pueda acabar en un tribunal, el OTP se queda corto. En esos casos, necesitas la robustez de una Firma Corporativa Integrada que recoja datos biométricos.
La importancia de la Auditoría de Firma Digital
Si tu empresa ya utiliza OTP, es el momento de realizar una auditoría de firma digital. Es necesario evaluar si las evidencias recogidas durante el proceso de firma (el «log» de evidencias) son suficientes para sostener una defensa legal ante una impugnación.
En muchos casos, añadir una capa de biometría o utilizar tabletas de firma electrónica en los puntos de atención presencial es la única forma de garantizar que el cumplimiento del Reglamento eIDAS sea total y no una interpretación arriesgada de la norma.
¿Dudas sobre la seguridad de tu sistema actual?
No dejes la validez de tus contratos al azar. En Sotech Biometrics ayudamos a las empresas a transicionar de métodos de firma simples a soluciones de firma electrónica avanzada que protegen su negocio a largo plazo.