HFD> Derecho
Informático - Internet > Legislación y Proyectos
Extranjeros
LEY DEL ESTADO DE UTAH SOBRE
LA FIRMA DIGITAL.
CÓDIGO COMENTADO. TÍTULO 46, CAPÍTULO
3 (1996)
Referenciada conforme normas de la American Bar Association
(ABA)
(Versión corregida - Diciembre
1996)
TÍTULO 1. TÍTULO ABREVIADO,
INTERPRETACIÓN Y DEFINICIONES
Resumen: En esta parte se definen los términos
y se brindan pautas para la interpretación de la ley.
También se especifica el papel de la División.
101. Título abreviado
Podrá citarse el presente capítulo
llamándoselo Ley de Firma Digital de Utah.
102. Objetivos e interpretación
Se interpretará a este capítulo
en coherencia con lo que se considere razonable en ciertas
circunstancias, para lograr los siguientes fines:
1. Facilitar las transaciones mediante mensajes
electrónicos confiables;
2. Reducir al mínimo la posibilidad
de fraguar firmas digitales y el fraude en las transaciones
electrónicas.
3. Instrumentar jurídicamente la inforporación
de normas pertinentes, tales como la X.509 de la Unión
Internacional de Telecomunicaciones (antiguamente Comité
Consultor de Telègrafos y Teléfonos, o CCITT),
y
4. Establecer, en coordinación con
diversos Estados, normas uniformes relativas a la autenticación
y confiabilidad de los mensajes electrónicos.
Referencias
Normas ABA
La norma 2.1 establece principios similares
que deben tenerse en cuenta al interpretar dichas normas.
El texto dice así:
Interpretación
(1) Salvo que se establezca lo contrario,
debe interpretarse que las presentes Normas son compatibles
con lo que se considere comercialmente razonable en esas circunstancias.
(2) Las cuestiones no resueltas por las presentes
Normas deben resolverse de conformidad con los principios
generales que surgen de las mismas.
Los comentarios a la Norma 2.1 explicitan
lo que se entiende por "razonable". Se trata de
un principio interpretativo "destinado a llenar lagunas
y brindar significación a los términos generales
que se aplican en situaciones fácticas específicas"
"recurriendo a las tradicionales pautas interpretativas,
tales como la conducta de las partes en el negocio y los usos
y costumbres del Sector" y atribuir una buena fe implícita
a sus intenciones. Véanse comentarios 2.1.1 a 2.1.6
103. Definiciones
A los fines del presente capítulo,
y salvo que se indique lo contrario, las siguientes expresiones
significan:
1. "Aceptar un certificado":
1. Manifestar que se aprueba un certificado,
porque se conoce o se tiene noticia de su contenido; o bien,
2. Solicitar un certificado a una autoridad
certificante autorizada, sin cancelar ni revocar la solicitud
notificando la cancelación o revocación a la
autoridad certificante y obteniendo de ésta un recibo
escrito y firmado, si la autoridad certificante subsiguientemente
emite un certificado respondiendo a dicha solicitud.
2. "Criptosistema asimétrico":
algoritmo o serie de algoritmos que brindan un par de claves
confiable.
3. "Certificado": registro basado
en la computadora, que:
1. Identifica a la autoridad certificante
que lo emite;
2. Nombra o identifica a quien lo suscribe;
3. Contiene la clave pública de quien
lo suscribe, y
4. Está firmado digitalmente por la
autoridad certificante que lo emite.
4. "Autoridad certificante": persona
que emite un certificado.
5. "Registro de publicidad de la autoridad
certificante": registro en línea de acceso público,
que lleva la División, relativo a la autoridad certificante
acreditada. Este registro tiene el contenido especificado
por la regla de la División conforme a ...?
6. "Fórmula de certificación":
declaración de las prácticas que emplea una
autoridad certificante al emitir certificados.
7. "Certificar": con referencia
a un certificado, significa declarar que refleja todos los
hechos relevantes.
8. "Confirmar": verificar mediante
un adecuado examen e investigación
9. "Corresponder": con referencia
a las claves, significa pertenecer al mismo par de claves.
10. "Firma digital": transformación
de un mensaje empleando un criptosistema asimétrico
tal, que una persona que posea el mensaje inicial y la clave
pública del firmante pueda determinar con certeza:
1. Si la transformación se creó
usando la clave privada que corresponde a la clave pública
del firmante, y
2. Si el mensaje ha sido modificado desde
que se efectuó la transformación.
11. "División": División
Empresas y Código Comercial, del Departamento Comercial
de Utah.
12. "Falsificar una firma digital":
1. Crear una firma digital sin autorización
del tenedor legítimo de la clave privada, o bien
2. Crear una firma digital verificable mediante
un certificado donde aparezca incluida una persona inexistente
o que no posea la clave privada correspondiente a la clave
pública mencionada en él.
13. "Poseer una clave privada":
tener la posibilidad de utilizar una clave privada.
14. "Incorporar por referencia":
hacer que un mensaje pase a formar parte de otro identificando
el mensaje que será incorporado y expresando la intención
de que resulte incorporado.
15. "Emitir un certificado": actos
que realiza la autoridad certificante para crear un certificado
y notificar al suscriptor mencionado en el certificado sobre
el contenido de dicho certificado.
16. "Par de claves": clave privada
y su correspondiente clave pública en un criptosistema
asimétrico, claves que tienen la propiedad de que la
clave pública puede verificar una firma digital que
crea la clave privada.
17. "Autoridad certificante acreditada":
autoridad certificante a quien la División le ha extendido
una acreditación. Dicha acreditación debe estar
vigente.
18. "Mensaje": representación
digital de información.
19. "Notificar": comunicar un hecho
a otra persona de una manera que fehacientemente se parezca,
dadas las circunstancias, a lo que sería ponerla al
tanto de la información.
20. "Personal operativo": una o
más personas físicas que actúan como
autoridad certificante o como representante de ella, que sean
empleadas de una autoridad certificante o las ligue a ellas
un contrato, y que cumplan:
1. Responsabilidades gerenciales o de determinación
de políticas para la autoridad certificante, o bien
2. Deberes que involucren la emisión
de certificados, la creación de claves privadas o el
manejo de los servicios de computación de la autoridad
certificante.
21. "Persona": persona física
o jurídica capaz de firmar un documento, sea legalmente
o como cuestión de hecho.
22. "Clave privada": de dos claves,
una de ellas, que se usa para crear una firma digital.
23. "Clave pública": de
dos claves, una de ellas, que se usa para verificar una firma
digital.
24. "Publicar": registrar o archivar
en un repositorio.
25. "Derecho limitado de pago":
sentencia condenatoria al pago de daños y perjuicios
contra una autoridad certificante, por un tribunal que tenga
jurisdicción sobre dicha autoridad, en una acción
civil promovida por violación del presente capítulo
26. "Receptor": persona que recibe
o tiene una firma digital y está en condiciones de
confiar en ella.
27. "Repositorio reconocido": repositorio
reconocido por la División conforme al artículo
501 del presente capítulo.
28. "Límite de confianza recomendado":
cifra monetaria recomendada hasta donde confiar en un certificado
de conformidad con el artículo 309 (1).
29. "Repositorio": sistema para
almacenar y recuperar certificados y demás información
pertinente a las firmas digitales.
30. "Revocar un certificado": volverlo
ineficaz en forma permanente a partir de cierta fecha especificada.
La revocación se efectúa mediante anotación
o inclusión dentro de un conjunto de certificados revocados,
y no implica que haya que destruir ni volver ilegible dicho
certificado.
31. "Poseer legalmente una clave privada":
estar habilitado para utilizar una clave privada
1. que el tenedor o sus representantes no
han revelado a persona alguna en violación al art.
305 (1), y
2. que el tenedor no hubiese obtenido mediante
robo, engaño, intercepción u otro medio ilegal.
32. "Suscriptor": persona que:
1. es el sujeto cuyo nombre figura en un
certificado;
2. acepta el certificado, y
3. tiene una clave privada que corresponde
a la clave pública mencionada en dicho certificado.
33. "Suficiente garantía"
garantía de cumplimiento de obligaciones contractuales
otorgada por un garante autorizado por el Departamento de
Seguros de Utah a realizar operaciones comerciales en dicho
Estado, o bien una carta de crédito irrevocable emitida
por una institución financiera autorizada por el Departamento
de Instituciones Financieras de Utah para funcionar en ese
Estado, la cual, en cualquiera de los dos casos, debe cumplir
con los siguientes requisitos:
1. Que sea pagadera a la División,
a favor de personas que tengan derechos de cobro limitados
contra la autoridad certificante que figura como obligado
principal o emitente de la carta de crédito.
2. Que se libre por un monto especificado
por una norma de la División, conforme al artículo
....
3. Que en ella se mencione que se la libra
de conformidad con el presente capítulo.
4. Que especifique un plazo de vigencia que
se extienda por lo menos durante la vigencia de la acreditación
que se otorgue a la autoridad certificante, y
5. Que se ajuste a una forma prescripta o
aprobada por norma de la División.
La suficiente garantía también
puede establecer que la responsabilidad anual total sobre
la garantía a todas las personas que presenten un reclamo
amparándose en ella no puede exceder el importe nominal
de la garantía
34. "Suspender un certificado":
volverlo temporariamente ineficaz a partir de determinada
fecha.
35. "Timbre fechador": Significa:
1. Agregar a un mensaje, a una firma digital
o a un certificado una anotación firmada digitalmente
donde se indique como mínimo la fecha, la hora y la
identidad de la persona que efectúa la anotación,
o bien
2. La anotación así agregada.
36. "Certificado de transacción":
certificado válido, que incorpore por referencia una
o más firmas digitales.
37. "Sistema confiable": equipos
y programas de computación:
1. Que sean razonablemente confiables contra
la posibilidad de intrusión o uso indebido;
2. Que brinden un razonable grado de disponibilidad,
confiabilidad y correcto funcionamiento, y
3. Que se adapten debidamente al desempeño
de sus funciones específicas.
38. "Certificado válido":
Certificado:
1. Que ha sido emitido por una autoridad
certificante;
2. Que ha sido aceptado por el suscriptor
allí mencionado;
3. Que no ha sido revocado ni suspendido;
4. Que no ha vencido.
Se establece que un certificado de transacción
constituye un certificado válido sólo en relación
con la firma digital incorporada en él por referencia.
39. "Verificar una firma digital":
En relación con una firma digital, mensaje o clave
pública, determinar fehacientemente:
1. Que la firma digital fue creada por la
clave privada correspondiente a la clave
pública, y
2. Que el mensaje no ha sufrido modificaciones
con posterioridad a la creación de la firma digital.
Comentario
La "División" es el organismo
administrativo de Utah encargado de procesar los registros
(archivos) relativos a empresas, sociedades, compañías
de responsabilidad limitada y nombres de fantasía.
También procesa los registros de "financing statements"
(declaración presentada por un acreedor ante la autoridad
competente, respecto de la constitución de un derecho
de garantía, necesaria para el perfeccionamiento de
tal derecho a favor de él) según lo establece
el artículo 9 del Código Comercial de Utah,
y comisiona a escribanos.
En la mayoría de los demás
Estados, las funciones de la División las lleva a cabo
la oficina del Secretario de Estado. Según se desprende
del entrecomillado, la palabra "División"
podría reemplazarse por otra a lo largo del texto,
si el presente borrador sirviera de punto de partida para
sancionar una ley semejante en algún otro lugar.
& "Certificado válido"
El "certificado válido"
se define solamente a los fines de esta ley, y no sugiere
nada respecto de la validez de certificados que no entren
dentro del alcance de la definición. En una palabra,
los certificados que no son "válidos" según
lo entiende esta ley pueden sin embargo tener valor legal
por aplicación de reglas y principios que no sean de
esta ley. En particular, los emitidos por autoridades certificantes
no acreditadas pueden tener valor para determinar una firma
reconocida legalmente, con independencia de la presente ley.
Terminología jurídica
habitual
Algunas definiciones de el presente artículo—tales
como "incorporar por referencia" y "notificar"—son
tomadas de la terminología jurídica corriente,
y deben ser interpretadas de conformidad.
Referencias
Normas ABA
Las definiciones de el presente artículo
son substancialmente las mismas de las Normas ABA, salvo las
siguientes, que no aparecen en tales normas: "registro
de publicidad de la autoridad certificante", "personal
operativo", "repositorio reconocido", "límite
de confianza recomendado", ""tener legalmente
una clave privada" y "suficiente garantía".
California
El artículo 16.5 del Título
I del Código de Gobierno de California define de la
siguiente manera la "firma digital":
(a) Se entiende por "firma digital"
la creación, mediante computadora, de un identificador
electrónico que reúna todos los atributos de
una firma válida aceptable:
1) Que sea exclusivo del firmante;
2) Que sea susceptible de ser verificado;
3) Que esté bajo el control absoluto
del firmante;
4) Que esté unido de tal manera a
los datos que, si tales datos sufren alguna modificación,
la firma quede invalidada.
5) Que haya sido adoptado como norma por
no menos de dos de las siguientesorganizaciones:
A) La Unión Internacional de Telecomunicaciones
(ex CCITT o Comité
Consultor Internacional de Telégrafos
y Teléfonos);
B) El Instituto Nacional Norteamericano de
Normas (American National
Standards Institute, ANSI);
C) La Junta de Actividades de Internet (Internet
Activities Board, IAB);
D) El Instituto Nacional de Ciencia y Tecnología
(NIST);
E) La Organización Internacional de
Normas (International StandardsOrganization, ISO).
6) Que exista de conformidad con las reglamentaciones
adoptadas por el Secretario de Estado de acuerdo con el Código
de Gobierno 11500 y siguientes, la Ley de Procedimientos Administrativos
de California.
104. Papel que le cabe a la División
Autoridad certificante
La División será la autoridad
certificante, y está facultada para emitir, suspender
y revocar certificados en la manera prescripta para las autoridades
certificantes acreditadas. La Parte 3 rige para la División
respecto de los certificados que emite.
Base de datos de los registros de
publicidad de la autoridad certificante
La División mantendrá una base
de datos a la cual pueda acceder el público, que contenga
el registro de publicidad de cada autoridad certificante acreditada.
También publicará el contenido de dicha base
de datos en por lo menos un repositorio reconocido.
Reglas
La División establecerá reglas
compatibles con el presente capítulo, para conseguir
sus objetivos:
1. Para regir a las autoridades certificantes
acreditadas, el ejercicio de su labor y la cancelación
del ejercicio de la labor de tales autoridades;
2. Para determinar el monto apropiado que
se considere suficiente garantía, teniendo en cuenta:
a) el costo que dicha garantía representa
para las autoridades certificantes acreditadas, y
b) la garantía de responsabilidad
financiera que brinda a las personas que confían en
los certificados emitidos por autoridades certificantes acreditadas;
3. Para supervisar los soportes lógicos
a usarse en la creación de firmas digitales y publicar
informes relativos a ellos;
4. Para determinar los requisitos que debe
reunir la forma de los certificados emitidos por autoridades
certificantes acreditadas;
5. Para determinar los requisitos que deben
cumplir las autoridades certificantes al llevar sus registros;
6. Para determinar los requisitos de contenido,
forma y fuentes de información de los registros de
publicidad de la autoridad certificante, la puesta al día
de tal información, como también otras prácticas
y políticas relativas a los registros de publicidad
de las autoridades certificantes;
7. Para especificar la forma de las fórmulas
de certificación, y
8. Para cualquier otro acto tendiente a dar
validez e implementar la presente Ley de Firma Digital.
Comentario
Limitaciones a la autoridad certificante
El rol de la División, en tanto autoridad
certificante, debería limitarse principalmente a: (a)
generar otras autoridades certificantes que, en lugar de la
División, realizan casi toda la labor de emitir certificados
al sector privado; (b) permitir que las autoridades certificantes
acreditadas pertenecientes al gobierno del Estado funcionen
como tales, y © prestar servicios a los usuarios dentro
de la División misma. Para establecer que la División
sea una autoridad certificante no hace falta que ella emita
una gran cantidad de certificados. Para el sector privado,
la División podría actuar fundamentalmente de
móvil impulsor en la emisión de certificados,
emitiendo sólo la cantidad necesaria como para que
se ponga en funcionamiento la infraestructura de firma digital
del sector principalmente privado. Para el gobierno del Estado,
la División podría emitir sólo los certificados
necesarios como para permitir que funcionen otras autoridades
certificantes del Estado, puesto que para actuar de autoridad
certificante uno debe ser suscriptor de un certificado; de
lo contrario, uno no podría firmar en forma verificable
los certificados que uno emite.
El principal papel de la División
reside, no sólo en actuar de autoridad certificante
en sí misma, sino más bien en el área
de la formulación de políticas, facilitando
la adopción de la necesaria tecnología para
la firma digital y realizando una labor de supervisión
regulatoria.
Referencias
Utah
El siguiente artículo de la Ley de
Firma Digital de Utah también se refiere a las normas
de la División: El artículo 501 también
delega en la División la facultad de reconocer repositorios.
El artículo ?(2)© permite a la División
cobrar un arancel para acreditar autoridades certificantes.
El artículo ?(1) faculta a la División para
especificar detalles acerca de las calificaciones de los auditores.
Normas ABA
Este artículo queda fuera de la esfera
de acción de las Normas ABA, salvo que las reglas para
las autoridades certificantes regiría para la División
en su rol limitado de autoridad certificante.
California
El artículo 16.5 del Título
I del Código de Gobierno de California delega de igual
manera en el Secretario de Estado la facultad de establecer
reglamentaciones relativas a las firmas digitales.
TÍTULO 2 . ACREDITACIÓN
Y REGLAMENTACIÓN DE LAS AUTORIDADES CERTIFICANTES
Resumen: Esta parte faculta a la División
a acreditar y regular a las autoridades certificantes a fin
de garantizar un nivel básico de calidad de sus servicios,
que son de vital importancia para la confiabilidad de las
firmas digitales.
201. Acreditación y requisitos
para las autoridades certificantes
Requisitos
Para obtener o retener una licencia de autoridad
certificante, quien pretenda serlo
1. Debe ser suscriptor de un certificado
publicado en un repositorio reconocido
2. Debe emplear como personal operativo sólo
a personas que no hubiesen sido condenadas en los últimos
quince años por delitos de fraude, falso testimonio
o engaño.
3. Debe emplear como personal operativo sólo
a personas que hubiesen demostrado tener conocimientos y la
capacidad de cumplir con los requisitos del presente capítulo.
4. Debe presentar en la División una
suficiente garantía, a menos que la autoridad certificante
sea el gobernador, algún organismo del gobierno estadual,
la Fiscalía de Estado, el Consejo Judicial de Utah,
una ciudad o una municipalidad, siempre y cuando los mencionados
actuaran a través de funcionarios designados, autorizados
por ley o reglamento, a ejercer las funciones de autoridad
certificante; y este Estado o uno de los organismos mencionados
sea el suscriptor de todos los certificados emitidos por dicha
autoridad certificante.
5. Debe tener la posibilidad de usar un sistema
confiable, incluso un método seguro para controlar
el uso de su clave privada.
6. Debe presentar a la División prueba
de poseer un suficiente capital de explotación que
le permita realizar negocios en calidad de autoridad certificante.
7. Debe tener oficinas en este Estado o contar
con un representante matriculado para la notificación
de actos procesales en este Estado, y
8. Debe cumplir con todos los demás
requisitos exigidos por la reglamentación de la División.
Emisión de la licencia
La División emitirá una licencia
de acreditación a la autoridad certificante:
1. Que esté calificada conforme al
apartado (1) de el presente artículo:
2. Que presente por escrito una solicitud
de licencia a la División, y
3. Que abone una tasa estipulada por la División.
Licencias restringidas
La División puede clasificar las licencias
de acuerdo con ciertas limitaciones específicas, tales
como número máximo de certificados pendientes,
máximo total de límites de confianza recomendados
en certificados emitidos por la autoridad certificante o bien
emisión sólo dentro de una única organización,
y puede emitir licencias restringidas dentro de los límites
de cada clasificación. Si la autoridad certificante
emite un certificado que exceda las restricciones de la licencia,
actúa como autoridad certificante no acreditada. (unlicensed).
Suspensión o revocación
de la licencia
La División puede revocar o suspender
la licencia a una autoridad certificante si ésta no
cumple con lo dispuesto en el presente capítulo o si
no sigue siendo calificada según lo establece el apartado
(1) de este artículo, de conformidad con los procedimientos
judiciales estipulados en la Ley de Procedimientos Administrativos,
título 63, capítulo 46b.
Reconocimiento de otras licencias
La División puede reconocer la acreditación
o autorización de autoridades certificantes que realicen
otros organismos gubernamentales, siempre y cuando los requisitos
para la acreditación sean substancialmente similares
a los que rigen en este Estado. En tal caso:
1. La parte 4 del presente capítulo,
relacionada con las presunciones y efectos legales, regirá
para los certificados emitidos por autoridades certificantes
acreditadas por dicho organismo gubernamental de la misma
manera que rige para las autoridades certificantes de este
Estado, y
2. Los límites de responsabilidad
de El artículo 309 se aplicarán a las autoridades
certificantes acreditadas o autorizadas por dicho organismo
gubernamental del mismo modo que rigen para las de este Estado.
Efectos de la falta de acreditación
(licensing)
Salvo que las partes estipulen lo contrario
por contrato suscripto entre ellas, los requisitos para la
acreditación que establece este artículo no
afectan la efectividad, aplicabilidad ni la validez de una
firma digital, salvo que la parte 4 del presente capítulo
no regirá en relación con la firma digital que
no pueda ser verificada por un certificado emitido por autoridad
certificante acreditada. Más aún, los límites
de responsabilidad establecidos por El artículo 309
no rigen para las autoridades certificantes no acreditadas.
Comentario
a. General
Este artículo prevé que la
División pueda acreditar autoridades certificantes.
La acreditación requiere un mínimo sistema regulatorio
de modo de poder brindar un nivel básico de confiabilidad
en el ejercicio profesional de la autoridad certificante.
Las partes de una transacción pueden beneficiarse con
esta confiabilidad básica especificando que sus firmas
digitales deben ser verificables por referencia a certificados
emitidos por autoridades certificantes acreditadas.
Al estipular los requisitos mínimos
para la acreditación, el presente artículo no
impide que una autoridad certificante pueda fijar para sí
misma requisitos más estrictos.
b. Exigencia de responsabilidad financiera
El apartado (1) (d) limita la acreditación
a personas que demuestren solvencia financiera posting "suficientes
garantías", fianzas o cartas de crédito
cuyo monto fija la norma administrativa. La fianza o carta
de crédito garantiza que la autoridad certificante
pueda responder por daños, al menos en gran medida,
en caso de error u omisión.
c. Autoridades certificantes no acreditadas
De conformidad con el apartado (6), una firma
digital puede ser eficaz, exigible y válida aunque
esté verificada sólo por un certificado emanado
de autoridad certificante no acreditada. La presente Ley no
impide la aplicación de otras leyes para determinar
qué es lo que constituye una firma; una marca, como
por ejemplo, una firma digital, puede constituir firma válida
según los términos de otra ley que no sea ésta.
El objeto de la presente Ley es aumentar la confiabilidad
de las firmas digitales, no minar la confiabilidad de firma
alguna invalidándola por falta de una licencia regulatoria.
La acreditación ayuda a garantizar un nivel mínimo
de confiabilidad dentro del ejercicio general de la profesión,
pero una firma digital de todos modos puede ser confiable
y legalmente válida si está autenticada por
un certificado emitido por autoridad certificante no acreditada,
o sin que medie autenticación alguna por certificado.
Si una autoridad certificante eligiera operar
en este Estado sin acreditación asumiría un
mayor riesgo de responsabilidad. Véase sección
309 y comentarios conexos.
Referencias
Normas ABA
Véase Normas 3.1 (exigir a las autoridades
certificantes que utilicen sistemas confiables); 3.3 (exigir
que las autoridades certificantes tengan solvencia financiera);
3.4 (exigir prácticas que garanticen empleados y contratantes
confiables y competentes).
202. Auditorías de gestión
Evaluación anual de gestión
Por lo menos una vez al año, un contador
público con experiencia en temas de seguridad informática,
o bien un acreditado profesional de la computación,
evaluarán las operaciones de cada autoridad certificante
acreditada con el fin de determinar si se cumplen las normas
exigidas por este capítulo. La División puede
especificar con mayor lujo de detalles los requisitos para
los auditores.
Categorización y publicación
de los resultados
Tomando en cuenta la información recogida
en la auditoría, el auditor clasificará el desempeño
de la autoridad certificante como de:
1. Cumplimiento total: La autoridad certificante
cumple razonablemente con todos los requisitos regulatorios
y establecidos por la ley.
2. Cumplimiento satisfactorio: La autoridad
certificante cumple razonablemente con todos los requisitos
regulatorios y establecidos por la ley; sin embargo, se advierte
uno o más casos de incumplimiento o de incapacidad
de demostrar el cumplimiento, pero se los considera de escasa
importancia.
3. Cumplimiento parcial: La autoridad certificante
cumple con algunos de los requisitos regulatorios y establecidos
por la ley, pero se le comprueba incumplimiento, o incapacidad
de demostrar cumplimiento, de uno o más resguardos
importantes.
4. Incumplimiento: La autoridad certificante
cumple muy pocos o ninguno de los requisitos regulatorios
establecidos por ley, no lleva registros adecuados para demostrar
cumplimiento de numerosos requisitos, o bien se negó
a permitir la auditoría.
La División publicará en el
registro de publicidad de la autoridad certificante la fecha
de la auditoría y la resultante clasificación
que recibió la autoridad.
Excepciones de la obligación
de realizar la evaluación de gestión
La División puede eximir a la autoridad
certificante acreditada de las exigencias fijadas por el apartado
(1) de el presente artículo:
1. Si la autoridad certificante solicita
por escrito ser eximida;
2. Si en la última auditoría
que se le hubiera practicado hubiese obtenido la calificación
de cumplimiento total o cumplimiento satisfactorio, y
3. Si la autoridad certificante declara bajo
juramento una de las siguientes tres alternativas:
1. que hubiera emitido menos de seis certificados
durante el año anterior, y el total de los límites
de confianza recomendados, de todos esos certificados, no
excediera los US$ 10.000;
2. que la vigencia total de todos los certificados
emitidos por dicha autoridad durante el año anterior
fuera inferior a 30 días, y el total de los límites
de confianza recomendados, de todos esos certificados, no
excediera los US$ 10.000;
3. que los límites de confianza recomendados
de todos los certificados pendientes y emitidos por la autoridad
certificante totalizaran menos de US$ 1.000.
Si la declaración que presenta la
autoridad certificante conforme a este apartado falsea algún
dato relevante, se considerará que dicha autoridad
no cumplió con la obligación de auditoría
exigida por este artículo.
Si la autoridad certificante acreditada resultara
eximida conforme a este apartado, la División publicará
en el registro de publicidad que dicha autoridad ha sido eximida
del requerimiento de una auditoría de gestión.
Comentario
a. Instituciones auditoras
Una ley puede exigir la auditoría
como cuestión general, pero son las instituciones de
auditores profesionales y de profesionales en seguridad informática
las que deben sentar las pautas y prácticas generales
necesarias para implementar este requisito legal. Para los
auditores, el Instituto Norteamericano de Contadores Públicos
(American Institute of Certified Public Accountants) fija
normas para auditorías. Para los profesionales de la
seguridad informática, el International Information
System Security Certification Consortium ha reunido un caudal
de conocimientos, realiza evaluaciones y otorga credenciales
indicando la experiencia con que cuenta una persona en temas
de seguridad de los sistemas de información. Ambos
organismos conocen la legislación sobre firma digital
y saben de la necesidad de encarar este tema en el futuro.
Referencias
Normas ABA
Las Normas ABA no exigen la auditoría.
=====================================================
El artículo 203 de la Ley de Utah,
de 1995, relacionada con los registros de publicidad de la
autoridad certificante ha sido reemplazada por El artículo
?(2) de la reforma propuesta a la Ley de Utah y Código
Administrativo de Utah?
=====================================================
203. Fiscalización de los
requisitos para las autoridades certificantes acreditadas
Tareas fiscalizadoras de la División
La División puede investigar las actividades
de una autoridad certificante relativas al cumplimiento de
lo prescripto por el presente capítulo y ordenarle
que profundice su investigación y garantice el cumplimiento
de lo dispuesto en el presente capítulo.
Restricción, suspensión
o revocación de la licencia (acreditación)
La División puede restringir la licencia
de una autoridad certificante tal como se establece en El
artículo ?(3) si la autoridad no cumple alguna orden
emanada de la División; también puede suspenderle
o revocarle la licencia según se establece en El artículo
?(4)
Sanción civil
Toda persona que a sabiendas o intencionalmente
viole alguna cláusula del presente capítulo,
o alguna disposición emanada de la División
conforme a este artículo, será pasible de una
penalidad civil que no sobrepasará los US$ 5.000 por
infracción, o el 90% del límite recomendado
de confianza, la cifra que sea menor.
Costo de las tareas de fiscalización
Si la División determina que una autoridad
certificante ha infringido lo dispuesto por el presente capítulo,
puede ordenarle el pago de las costas en que se hubiere incurrido
en los procedimientos relativos a la orden.
Procedimiento - Resoluciones
La División puede ejercer la autoridad
que le otorga este artículo de conformidad con las
facultades que le otorga la Ley de Procedimientos Administrativos,
título 63, capítulo 46b, y la autoridad certificante
acreditada puede lograr judicialmente que se revisen los actos
de la División tal como lo prescribe la misma Ley de
Procedimientos Administrativos. La División a su vez
puede solicitar una orden judicial para exigir el cumplimiento
de cualquiera de sus resoluciones, y puede recaudar todos
los montos adeudados conforme a este artículo, de la
manera estipulada para la ejecución civil de órdenes
por la Ley de Procedimientos Administrativos, título
63, capítulo 46b.
Referencias
Normas ABA
No hay normas específicas relacionadas
con el tema de el presente artículo.
=====================================================
Las secciones 205 y 206 de la Ley de Utah
de 1995 han sido reemplazadas por el Código Adm. de
Utah
=====================================================
204. Actividades peligrosas prohibidas
para cualquier autoridad certificante
Prohibición de correr riesgos comerciales no razonables
Ninguna autoridad, acreditada o no, realizará
su actividad de negocios de manera tal de generar un riesgo
elevado y no razonable de pérdida a sus suscriptores,
a personas que confían en certificados por ella emitidos
o en un repositorio.
Publicación de boletines de
advertencia
La División puede publicar en uno
o más repositorios reconocidos breves anuncios advirtiendo
a suscriptores, a personas que confían en firmas digitales
y/o repositorios respecto de cualquier actividad de una autoridad
certificante, acreditada o no, que genere un riesgo no razonable
conforme al apartado (1) de el presente artículo. La
autoridad certificante acusada de crear dicho riesgo puede
impugnar la publicación de la nota presentando una
breve defensa por escrito. Al recibir la impugnación,
la División la publicará junto con la nota de
la División, y de inmediato notificará a la
autoridad certificante la fecha de una audiencia. Celebrada
la audiencia, la División la anulará de la lista
de autoridades certificantes autorizadas objetadas por generar
un riesgo no razonable, si dicha publicación no estuviera
justificada por este artículo; y asimismo, cancelará
su publicación si ya no estuviera más justificada,
ó la continuará o enmendará si permaneciera
justificada, o bien proseguirá las acciones judiciales
para eliminar o reducir un riesgo no razonable por el apartado
1 de este artículo. La División publicará
su decisión en uno o más repositorios reconocidos.
Órdenes y prohibiciones
En la manera prevista por la Ley de Procedimientos
Administrativos, título 63, capítulo 46b, la
División puede emitir órdenes y obtener prohibiciones
u otra medida cautelar para impedir que una autoridad certificante
viole lo dispuesto por el presente artículo, ya sea
que dicha autoridad esté, o no, acreditada. Este artículo
no acuerda a ninguna otra persona que no sea a la División
el derecho de entablar acciones.
Comentario
a. Ambito de competencia
La facultad que tenga cualquier organismo
del Estado para hacer cumplir efectivamente una medida contra
una autoridad certificante depende en definitiva de los límites
de la competencia (jurisdicción) de los tribunales
de dicho Estado. Así, la autoridad certificante debe
tener los vínculos con el Estado que le exige la ley
para que los tribunales estaduales puedan obligar al cumplimiento
de las disposiciones de su organismo.
b. Derecho de entablar acciones
Lo previsto por el apartado (3) de este artículo
no crea un derecho privado de entablar acciones, ni impide
ningún reclamo por actos ilícitos civiles o
contratos no basados en una violación de este artículo.
c. Inmunidad gubernamental
El Estado debe evaluar el ámbito de
su inmunidad gubernamental respecto de el presente artículo,
particularmente del apartado (2). En Utah y muchos Estados
más, los organismos estaduales gozan de inmunidad en
cuanto a responsabilidad por actos ilícitos civiles
en el cumplimiento de las funciones que les asigna la ley.
Referencias
Normas ABA
El presente artículo establece un
procedimiento para aplicar la Parte 3 de las Normas ABA a
las autoridades certificantes, cualquiera sea la acreditación,
en casos de malapraxis grave.
TÍTULO 3. OBLIGACIONES DE
LAS AUTORIDADES CERTIFICANTES Y LOS SUSCRIPTORES
Resumen:
En esta parte se establecen reglas que regirán la práctica
de las autoridades certificantes acreditadas, específicamente
reglas para la emisión, suspensión y revocación
de certificados, los registros que vinculan un par de claves
de firma digital a una persona, empresa o entidad comercial
identificada por una autoridad de certificación. También
se prohíben las declaraciones inexactas en los certificados,
y se exige que el suscriptor mantenga el carácter confidencial
de la clave privada. Asimismo, se limita la responsabilidad
de la autoridad certificante hasta el límite de confianza
recomendado que se especifica en el certificado pertinente.
301. Requisitos generales para las
autoridades certificantes
Sistemas confiables
La autoridad certificante o el suscriptor
debe utilizar únicamente un sistema confiable:
1. Para emitir, suspender o revocar un certificado;
2. Para publicar o notificar la emisión,
suspensión o revocación de un certificado, o
3. Para crear una clave privada.
La publicidad ante una solicitud de información
La autoridad certificante acreditada dará
a publicidad toda declaración de procedimientos significativa,
y todo hecho pertinente a la confiabilidad de un certificado
emitido o a su capacidad de cumplir con su finalidad. Para
efectuar la publicidad, la autoridad certificante puede requerir
que se le haga un pedido escrito, razonablemente específico
y firmado por una persona identificada, además del
pago de un razonable arancel.
Referencias
Normas ABA
La norma 3.1 exige que las autoridades certificantes
utilicen sistemas confiables. Dice así:
Seguridad: En la prestación de sus
servicios, la autoridad certificante debe utilizar sistemas
confiables.
La Guía 3.2 de la ABA respecto a la
publicidad es sustancialmente igual a la subsección
(2) de esta sección. La Guía ABA ? requiere
el uso de un sistema confiable para generar un par de claves.
302. Emisión de un certificado
Requisitos previos a la emisión de un certificado
La autoridad certificante puede emitir un
certificado a un suscriptor sólo si previamente se
cumplen las siguientes condiciones:
1. La Autoridad Certificante ha recibido
un requerimiento de emisión firmado por quien será
el suscriptor; y
2. La Autoridad Certificante ha confirmado
que:
1. el eventual suscriptor es la persona cuyo
nombre figurará en el certificado a emitirse;
2. Si el eventual suscriptor actúa
a través de uno o más representantes, que los
haya autorizado debidamente a tener la custodia de su clave
privada y a requerir la emisión de un certificado donde
aparezca mencionada la correspondiente clave pública;
3. información que aparece en el certificado
es fidedigna;
4. el eventual suscriptor posee legalmente
3. la la clave privada correspondiente a la clave pública
mencionada en el certificado;
5. el eventual suscriptor posee una clave
privada capaz de crear una firma digital, y
6. la clave pública a mencionarse
en el certificado pueda utilizarse para verificar una firma
digital generada por la clave privada que tiene el eventual
suscriptor.
Los requisitos exigidos en el presente apartado
son irrenunciables para la autoridad certificante acreeditada,
el suscriptor o ambos, según sea el caso.
Publicación del certificado
emitido y aceptado
Si el suscriptor acepta el certificado emitido,
la autoridad certificante publicará una copia firmada
del mismo en un repositorio reconocido, salvo que las partes
estipulen lo contrario. Si el suscriptor no acepta el certificado,
la autoridad certificante acreditada no lo publicará,
o bien cancelará su publicación si ya hubiese
sido publicado.
Se permiten requisitos más rigurosos
Los términos del presente artículo
no impiden que la autoridad certificante acreditada se rija
por normas, procedimientos de certificación, planes
de seguridad o requisitos contractuales más rigurosos,
pero coherentes con el presente capítulo.
Suspensión o revocación
de un certificado por emisión deficiente
Luego de emitido un certificado, la autoridad
certificante puede revocarlo de inmediato si constata que
no lo emitió conforme a los términos de el presente
artículo. También puede suspender un certificado
por un período razonable que no exceda las 48 horas
para que, mediante una investigación, se confirme que
existen fundamentos para revocarlo conforme al presente apartado.
Cuando la autoridad certificante revoque o suspenda un certificado
conforme a este apartado, notificará de inmediato al
suscriptor.
Orden de suspensión o revocación
La División puede ordenar a la autoridad
certificante acreditada la suspención o revocación
de un certificado emitido por esta última si, luego
de notificar debidamente a la autoridad certificante y al
suscriptor y haberles otorgado la oportunidad de ser escuchados
de acuerdo con la Ley de Procedimientos Administrativos, título
63, capítulo 46b, la División determinara que:
1. El certificado fue emitido sin cumplir
substancialmente con las pautas de la presente sección,
y
2. Si dicho incumplimiento implica un riesgo
importante para personas que puedan
confiar razonablemente en tal certificado.
Si se determina que, dada la urgencia, hace
falta una solución inmediata conforme lo estipula la
Ley de Procedimientos Administrativos, la División
puede ella misma suspender un certificado por un período
que no exceda las 48 horas.
Comentario
a. General
El presente artículo contiene los
requisitos mínimos para la emisión de un certificado,
función primordial de una autoridad certificante.
b. Publicación
La publicación por lo general viene
a continuación de la emisión, pero no es necesaria
para que el certificado sea efectivo. El apartado (2) requiere
la publicación sólo si un contrato no estipula
lo contrario.
Referencias
Normas ABA
La norma ? requiere el consentimiento previo
del eventual suscriptor para la emisión de un certificado.
La norma 3.8 estipula que, al emitir un certificado, la autoridad
certificante está declarando que ha comprobado ciertos
hechos.
303. Garantías y obligaciones
de la autoridad certificante al emitir un certificado
Garantías al suscriptor
Mediante la emisión de un certificado,
la autoridad certificante acreditada garantiza al suscriptor
cuyo nombre figura en el certificado que:
1. el certificado no contiene información
que a juicio de la autoridad certificante es falsa;
2. el certificado cumple con todos los requisitos
pertinentes del presente capítulo, y
3. no se ha excedido en sus funciones específicas
al emitir tal certificado.
La autoridad certificante no puede deslindar
responsabilidades ni limitar las garantías previstas
por este apartado.
Obligaciones para con el suscriptor
A menos que el suscriptor y la autoridad
certificante convengan lo contrario, al emitir un certificado
la autoridad promete al suscriptor:
1. Actuar de inmediato para suspender o revocar
un certificado de conformidad con las secciones 306 ó
307, y
2. Notificar al suscriptor en tiempo razonable
de cualquier hecho sobre el cual tenga conocimiento y que
pueda afectar significativamente la validez o confiabilidad
del certificado, luego de ser éste emitido.
Consecuencias legales de la emisión
de un Certificado
Al emitir un certificado, la autoridad cerficante
autorizada certifica ante todos aquellos que confían
razonablemente en la información contenida en el certificado
que:
1. la información contenida en el
certificado, que aparece como confirmada por la autoridad
certificante autorizada, es válida;
2. toda la información significativa
a los fines de la confiabilidad del certificado se halla mencionada
o referenciada dentro del certificado;
3. el suscriptor ha aceptado el certificado,
y que
4. la autoridad certificante ha cumplido
con todas las leyes aplicables de este Estado relativas a
la emisión del certificado.
Consecuencias legales de la publicación
Al publicar un certificado, la autoridad
certificante autorizada certifica al repositorio en el cual
éste se publica, y a todos los que razonablemente confían
en la información contenida en el certificado, que
ha emitido el certificado al suscriptor.
Comentario
a. General
El presente artículo establece, para
beneficio del suscriptor y de las personas que confíen
en el certificado, la obligación que le cabe a la autoridad
certificante autorizada de cumplir con los requisitos de emisión
que establece el artículo 302. También requiere
que todos los certificados publicados sean previamente emitidos,
de modo que se apliquen a ellos las obligaciones producidas
por la emisión.
Referencias
Normas ABA
La norma 3.8 es substancialmente la misma
que el apartado (1) de el presente artículo.
304. Implicancias derivadas de la
aceptación de un certificado
Declaraciones implícitas por
parte del suscriptor
Por el hecho de aceptar un certificado emanado
de autoridad certificante acreditada, el suscriptor cuyo nombre
figura en él garantiza a todos los que razonablemente
confíen en la información allí contenida
que:
1. posee legalmente la clave privada correspondiente
a la clave pública mencionada en el certificado;
2. todas las declaraciones hechas por él
a la autoridad certificante, relativas a la información
del certificado, son verdaderas;
3. todas las declaraciones significativas
hechas a la autoridad certificante, o hechas en el certificado
y no confirmadas por la autoridad certificante al emitir el
certificado, son verdaderas.
Por parte de un representante o supuesto representante del
suscriptor
Al solicitar, en nombre de un mandante, la
emisión de un certificado donde figure el mandante
como suscriptor, el solicitante certifica, en nombre del mandante
a todos aquellos que confían razonablemente en la información
contenida en el certificado que le solicitante:
1 . tiene la autoridad legal requerida para
solicitar la emisión de un certificado donde figure
su mandato como suscriptor, y
2. tiene mandato para firmar digitalmente
en nombre de su mandante y, si dicho mandato fuere limitado
de alguna manera, que existen los adecuados resguardos para
impedir que una firma digital exceda los límites del
mandato otorgado.
Limitaciones a la renuncia de responsabilidad
o a la obligación de indemnizar
Ninguna persona puede negar ni desconocer
contractualmente la aplicación de este artículo,
como tampoco obtener indemnización por sus efectos,
si la negación, limitación o indemnización
restringiera la responsabilidad por declaraciones inexactas
frente a personas que razonablemente confíen en el
certificado.
Indemnización a la autoridad
certificante por parte del suscriptor
Al aceptar un certificado, el suscriptor
se compromete a indemnizar a la autoridad certificante por
daños y perjuicios en la emisión o publicación
de un certificado, en base a:
1. Una declaración falsa y significativa
realizada por el suscriptor; o bien
2. Un hecho significativo no revelado por
el suscriptor;
si la falsedad o la no revelación
se hubiesen hecho con la intención de engañar
a la autoridad certificante o persona que confíe en
el certificado, o con negligencia. Si la autoridad certificante
emitió el certificado a pedido de uno o más
representantes del suscriptor, dichos representantes asumen
personalmente la obligación de indemnizar a la autoridad
conforme a este apartado, como si fueran ellos los suscriptores
que aceptan el certificado por propio derecho. No se puede
renunciar a la indemnización que prevé este
apartado ni limitar contractualmente su alcance; sin embargo,
mediante un contrato se pueden prever términos adicionales,
compatibles con esta indemnización.
Declaraciones falsas
Al obtener información del suscriptor
pertinente a la emisión de un certificado, la autoridad
certificante puede requerirle al suscriptor que certifique
la veracidad de dicha información bajo juramento, so
pena de iniciar procedimientos penales por haber suscripto
declaraciones juradas falsas.
Referencias
Normas ABA
La norma 4.2 relativa a las declaraciones
del suscriptor son comparables a las de este apartado.
305. Control de la clave privada
Obligación del suscriptor de mantener segura la clave
privada
Al aceptar un certificado emitido de una
autoridad certificante autorizada, el suscriptor cuyo nombre
figura en él asume la obligación de procurar
razonablemente mantener el control de la clave privada e impedir
su divulgación a persona alguna no autorizada para
crear la firma digital del suscriptor.
La clave privada es propiedad del suscriptor
La clave privada es propiedad personal del
suscriptor que la posee legalmente.
Autoridad certificante fiduciaria si posee la clave privada
del suscriptor
Si una autoridad certificante posee la clave
privada correspondiente a la clave pública mencionada
en el certificado por ella emitido, lo hace en calidad de
representante del suscriptor mencionado en el certificado,
y sólo puede usar la clave privada con el previo consentimiento
escrito del suscriptor, a menos que el suscriptor le otorgue
expresamente su clave privada o permita a la autoridad certificante
su uso según otros términos.
Comentario
a. Estándares alternativos para determinar el cuidado
debido
La Comisión Legislativa de Facilitación
(Asistencia?) de Utah analizó las siguientes alternativas
antes de recomendar a la Legislatura la aprobación
de un estándar de negligencia:
Alternativa A: Responsabilidad estricta
Al aceptar un certificado emanado de una
autoridad certificante autorizada, el suscriptor a cuyo nombre
se extiende el certificado asume la obligación de retener
el control de la clave privada e impedir su divulgación
a persona alguna no autorizada para generar su firma digital.
El suscriptor será responsable sin tener en cuenta
la falta por una violación a dicha obligación.
Alternativa B: Diligencia
Al aceptar un certificado emanado de autoridad
certificante acreditada, el suscriptor a cuyo nombre aparece
en el certificado asume la obligación de retener control
de la clave privada e impedir su divulgación a persona
alguna no autorizada para generar la firma digital del suscriptor.
El suscriptor será responsable sin tener en cuenta
la falta por una violación a dicha obligación
(y no será responsable por una violación??),
salvo que en uno de los siguientes casos que, si son acreditados
por el suscriptor constituirán eximentes contra la
responsabilidad que establece este artículo:
1. Un intruso descubrió la clave privada
obteniendo acceso a un sistema informático utilizado
por el suscriptor, pese a haberse tomado las razonables precauciones
de seguridad que suelen tomarse con el sistema de computación,
o bien,
2. Obrando con diligencia, el suscriptor
no podría haber salvaguardado la clave privada de manera
tal de impedir una pérdida significativa del control
sobre dicha clave.
Alternativa C: Negligencia para los consumidores,
diligencia para terceros.
Al aceptar un certificado emitido por autoridad
certificante acreditada, ell suscriptor cuyo nombre figura
en el certificado asume la obligación de preocuparse
razonablemente por mantener el control de la clave privada
e impedir su divulgación a persona alguna no autorizada
a usarla, si el certificado se limita nominalmente a uso personal,
de la familia o el hogar. De lo contrario, si el certificado
no se limitara nominalmente a uso personal, familiar o del
hogar, el suscriptor a cuyo nombre se expidió el certificado
asume la obligación de mantener control de la clave
privada e impedir su divulgación a persona alguna que
no esté autorizada a crear la firma digital del suscriptor,
y será responsable por una violación de dicha
obligación, a menos que pueda demostrar que:
1. Un intruso descubrió la clave privada
obteniendo acceso a un sistema informático utilizado
por el suscriptor, pese a haberse adoptado las medidas de
seguridad razonables que suelen tomarse con el sistema de
computación, o bien,
2. Obrando con diligencia, el suscriptor
no podría haber salvaguardado la clave privada de manera
tal que le impidiera perder el control material de dicha clave.
b. Propiedad de la clave privada que se tiene legalmente
apartado (2) aclara que la clave privada
es propiedad del suscriptor que la posee legalmente. En El
consecuencia, la persona que la obtiene sin autorización
podría ser responsable civilmente por apropiación
ilícita o por ingreso ilegal, o bien según las
leyes penales que prohíben el robo.
c. Aplicabilidad del estatus fiduciario
El apartado (3) rige tanto para las autoridades
certificantes acreditadas como no acreditadas comprendidas
dentro de la jurisdicción de Utah.
Referencias
Normas ABA
La norma 4.3 que exige al suscriptor salvaguardar
la clave privada es substancialmente similar a este artículo.
Véase también la norma 1.12, especialmente el
comentario 1.12.1 (la clave privada como propiedad del suscriptor)
y la norma ? (la autoridad certificante como fiduciario cuando
tiene la clave privada del suscriptor).
306 Suspensión de un certificado
Suspensión por parte de la autoridad certificante emisora
Salvo que la autoridad certificante y el
suscriptor convengan lo contrario, la autoridad certificante
autorizada que emitió el certificado que no sea un
certificado transaccional puede suspenderlo por un lapso que
no exceda las 48 horas:
1. A pedido de una persona que se identifique
como el suscriptor cuyo nombre aparece en el certificado,
o una persona que se encuentre en una posicióntal que
le permita saber que se ha comprometido la seguridad de la
clave privada de algún suscriptor, como por ejemplo,
un representante suyo, socio comercial, empleado o familiar
inmediato, o bien
2. Por orden de la División conforme
a lo que dispone el apartado 302(5).
La autoridad certificante no necesita confirmar
la identidad o el mandato de la persona que solicita la suspensión.
Suspensión dispuesta por la División o por un
tribunal o por un secretario de condado
A menos que el certificado especifique lo
contrario, o que se trate de un certificado transaccional,
la División, un tribunal o un secretario de condado
puede suspender por 48 horas un certificado emitido por una
autoridad certificante acreditada si:
1. una persona que se identifique como el
suscriptor a cuyo nombre se emitió el certificado,
o como un representante suyo, socio comercial, empleado o
familiar inmediato suyo, solicita la suspensión, y
2. el solicitante declara que es imposible
dar con la autoridad que emitió el certificado.
La División, un tribunal o el secretario
de condado pueden exigir al solicitante que requiere la suspensión,
que demuestre fehacientemente, incluso bajo declaración
jurada, su identidad, la autorización y/o la indisponibilidad
de la autoridad certificante, y puede negarse a efectuar la
suspensión a su arbitrio. La División y/o entidades
de fuerza pública pueden investigar las suspensiones
ordenadas por la División o un tribunal o los secretarios
de condado por posible acto ilícito que pueda haber
cometido la persona que solicitó la suspensión.
Nota
Inmediatamente después de producida
la suspensión de un certificado, la autoridad certificante
autorizada publicará un aviso firmado de la suspensión
en el repositorio que menciona el certificado, donde se deben
publicar los avisos de suspensión. Si se mencionara
más de un repositorio, lo publicará en todos
ellos. Si alguno de tales repositorios no existiera más
o se negara a aceptar la publicación, o si no se reconoce
ningún repositorio conforme a lo que dispone el artículo
501 del presente capítulo, la autoridad certificante
publicará la suspensión en algún otro
repositorio reconocido. Si el certificado fuese suspendido
por la División o por tribunal o por un secretario
de condado, la División, el tribunal o el secretario
efectuarán la notificación, siempre y cuando
la persona que solicite la suspensión abone por adelantado
el arancel que exija el repositorio para dicha publicación.
Terminación de la suspensión solicitada
Una autoridad certificante levantará
una suspensión solicitada sólo si:
1. el suscriptor nombrado en el certificado
suspendido solicita el levantamiento de la suspensión,
si la autoridad certificante confirmó que el solicitante
es el suscriptor o un representante suyo autorizado a levantar
la suspensión, o bien
2. la autoridad certificante descubre y confirma
que el pedido de suspensión se realizó sin autorización
del suscriptor, siempre y cuando este apartado no exija que
la autoridad certificante debe confirmar un pedido de suspensión
Procedimientos contractuales alternativos
El contrato entre suscriptor y autoridad
certificante acreditada puede limitar o prohibir la suspensión
solicitada por la autoridad certificante, o bien puede establecer
otra forma de levantar una suspensión solicitada. Sin
embargo, si el contrato limita o impide la suspensión
por parte de la División o de tribunal o de un secretario
de condado cuando no se dispone de autoridad certificante,
la limitación o prohibición será efectiva
sólo si se informa de ella en el certificado.
Prohibición de presentar un pedido de suspensión
falso o no autorizado
Ninguna persona puede, a sabiendas o intencionalmente,
declarar en forma inexacta ante una autoridad certificante
su identidad o su autorización para solicitar la suspensión
de un certificado. Toda violación a este apartado se
considerará una contravención de clase B (contravención
o delito menor).
Efecto de la suspensión
Durante el lapso que el certificado esté
suspendido, el suscriptor queda relevado de su obligación
de mantener confidencial la clave privada, de conformidad
con lo establecido en el apartado 305(1).
Comentario
a. General
El presente artículo establece suspensiones,
lo cual indica que un certificado despierta sospechas porque
la clave privada puede haber resultado comprometida, o por
otras razones que afecten su confiabilidad. Dado que la suspensión
libera temporariamente al suscriptor de su responsabilidad
de resguardar la clave privada, el receptor de la firma digital
correría un riesgo de pérdida debido a falsificación
si confiara en una firma verificada cotejándola con
un certificado suspendido.
b. Aplicabilidad de incisos
Los incisos (1), (2), (4), (5) y (6) rigen
sólo para las suspensiones a pedido. Sin embargo, los
incisos (3) y (7) rigen para todas, con independencia de que
las solicite el suscriptor o un representante suyo. Específicamente,
los incisos (3) y (7) se aplican a las suspensiones conforme
a los arts. 302(4) y 302(5).
c. Evitar consecuencias futuras
Si bien el suscriptor de un certificado suspendido
queda temporariamente liberado de la obligación de
resguardar la clave privada, sería aconsejable que
no comprometiera dicha clave ni aumentara en lo posible un
compromiso existente, puesto que el certificado recuperará
validez a menos que, mientras esté suspendido, se lo
revoque.
Referencias
Normas ABA
La norma 3.11 es comparable a este artículo,
y dice así:
Suspensión del certificado a pedido
del suscriptor
Salvo que la autoridad certificante y el
suscriptor estipulen lo contrario por contrato, la autoridad
certificante debe suspender cuanto antes un certificado si
así se lo solicita una persona a la que la autoridad
certificante considere que es:
1. el suscriptor cuyo nombre figura en el
certificado;
2. una persona debidamente autorizada por
éste para actuar en su nombre, o bien
3. una persona que actúa en nombre
del suscriptor, que no está disponible.
(Pág. 14)
Véase también la norma 3.13,
que contempla la suspensión sin que medie un pedido.
307. Revocación de un certificado
Revocación por pedido
Una autoridad certificante autorizada revocará
un certificado que emitió, siempre que no sea un certificado
transaccional, después de:
1. recibir una solicitud de revocación
de parte del suscriptor mencionado en el certificado; y
2. confirmar que la persona que solicita
la revocación es el suscriptor o es un mandatario del
suscriptor con autoridad para requerir la revocación.
Plazos para que la revocación requerida tenga efecto
La autoridad certificante autorizada confirmará
un pedido de revocación, y revocará un certificado
en el término de un día hábil cuando
reciba un pedido escrito del suscriptor y tenga muestras suficientes
para confirmar la identidad o representación del solicitante.
Revocación a la muerte del suscriptor
La autoridad certificante autorizada revocará
un certificado por ella emitido en caso de:
1. Recibir una copia legalizada de la partida
de defunción del suscripto, o de confirmar por algún
otro medio que el suscriptor ha fallecido, o
2. Recibir documentos causantes de la disolución
del suscriptor, o bien al confirmar por algún otro
medio que el suscriptor se disolvió o dejó de
existir.
Revocación de certificados no confiables sin que medie
un pedido
La autoridad certificante puede revocar uno
o más certificados por ella emitidos si fueran o llegaran
a ser no confiables, con independencia de que el suscriptor
consienta o no la disolución, y pese a lo que pueda
establecer cualquier disposición en contrario acordada
mediante contrato entre el suscriptor y la autoridad certificante
autorizada.
Notificación
Ni bien la autoridad certificante revoca
un certificado, debe publicar una notificación firmada
de la revocación en el repositorio que menciona el
certificado. Si figurara más de uno, la publicación
deberá hacerse en todos ellos. Si el repositorio allí
mencionado no existiera más o se negara a aceptar la
publicación, o si no estuviera reconocido conforme
lo establece el art. 501 de este capítulo, la autoridad
certificante publicará la notificación en otro
repositorio reconocido.
Efecto del pedido de revocación sobre el suscriptor
El suscriptor deja de certificar según
lo establece el art. 304, y cesa su obligación de resguardar
la clave privada tal como lo exige el art. 305 en relación
con un certificado cuya revocación ha solicitado el
suscriptor, desde
1. la fecha de publicación de la notificación
de revocación según lo exige el apartado (5)
del presente artículo, o bien
2. dos días hábiles después
de que el suscripto solicite por escrito la revocación,
brinde a la autoridad certificante información suficiente
para confirmar el pedido y abone el arancel estipulado por
contrato,
lo primero que ocurra.
Efecto de la notificación en la Autoridad Certificante
Luego de producida la notificación
requerida en el apartado 5 de este artículo, una Autoridad
Certificante Autorizada es liberada de su responsabilidad
emanada de la emisión del certificado revocado y deja
de certificar según lo previsto en los apartados 303
(2) y 303 (3) respecto del certificado revocado.
Comentario
a. General
La revocación del certificado de un
suscriptor invalida en forma permanente el certificado desde
la fecha de la revocación. La principal función
del certificado es servir de vínculo entre el suscriptor
y la clave pública, e indirectamente entre el suscriptor
y el par completo de claves, inclusive la clave privada usada
para crear firmas digitales. Salvo que medie una declaración,
otro certificado aún válido u otro hecho continúe
identificando al suscriptor con el par de claves (véanse
Normas ABA, c omentario 5.3.3), la revocación anula
la capacidad del suscriptor de producir firmas digitales basadas
en el par de claves descriptas en el certificado por su clave
pública.
b. Aplicabilidad de los incisos
Los incisos (5), (6) y (7) rigen con independencia
de que la revocación se haya solicitado conforme al
presente apartado (1).
c. Aranceles para las revocaciones solicitadas
Determinar si la autoridad certificante debería
cobrar un arancel como condición previa para efectuar
una revocación es un tema difícil. Si se le
prohíbe cobrar un arancel, tendrá que recuperar
el costo de posibles revocaciones recurriendo a otras fuentes,
como por ejemplo, cobrando por emitir los certificados; en
tal caso, todos los suscriptores soportarían el costo
de aquéllos cuyos certificados es preciso revocar.
Por otra parte, permitir que la autoridad certificante perciba
un arancel antes de revocar un certificado permitiría
que las personas que ocasionan el problema soporten el costo
de resolverlo. Sin embargo, el hecho de permitir que la autoridad
cobre el arancel también puede dilatar o impedir la
necesaria revocación, lo cual pondría en peligro
el interés de las personas que confían en las
firmas digitales, aunque la autoridad tenga un elemento disuasivo
para no involucrarse en disputas con ellas.
Al cabo de largas discusiones sobre este
tema en ocasión de tratar la redacción de este
artículo, el Comité de Seguridad de Información
del American Bar Association decidió eliminar una frase
que expresamente autorizaba a la autoridad certificante a
cobrar un arancel por revocaciones. No obstante, el Comité
no incluyó medida alguna que impida a la autoridad
y al suscriptor convenir un arancel por contrato. Así,
este artículo no establece un arancel, si es el que
rige, pero si fue reemplazado pon un contrato válido
entre las partes, podría exigirse el pago de un arancel.
Sin embargo, aun cuando la autoridad certificante esté
contractualmente autorizada a percibir un arancel, sería
conveniente que no insistiera en percibirlo antes de revocar
un certificado, si existe motivo suficiente para su revocación,
porque de lo contrario correría el riesgo de entrar
en litigio con personas que confían en un certificado
con deficiencias en su capacidad de crear firmas digitales.
Referencias
Normas ABA
La norma 3.12 relativa a la revocación
por pedido es comparable con el presente artículo.
Dice su texto:
Revocación de certificados a pedido
del suscriptor
La autoridad certificante que emitió
un certificado debe revocarlo a pedido del suscriptor cuyo
nombre figura en dicho certificado si la autoridad certificante
comprueba:
1. Que la persona que solicita la revocación
es el suscriptor a nombre de quien está extendido el
certificado a ser revocado, y
2. Que el solicitante actúa en calidad
de representante y tiene autoridad suficiente para efectuar
la revocación.
La norma 3.13 hace referencia a las revocaciones
no solicitadas, conforme al apartado (4). Dice así:
Revocación o suspensión sin consentimiento del
suscriptor. La autoridad certificante debe suspender o revocar
un certificado, aunque no se cuente con el consentimiento
del suscriptor cuyo nombre figura en él, si la autoridad
certificante confirma que:
(1) un dato sustancial del certificado es
falso; o
(2) no se cumplió algún requisito
relevante a la emisión del certificado, o
(3) que la clave privada o sistema confiable
de la autoridad resultó comprometido de algún
modo que pudiera afectar substancialmente la confiabilidad
del certificado.
Al efectuarse dicha suspensión o revocación,
la autoridad debe notificar de inmediato al suscriptor mencionado
en el certificado.
308. Vencimiento del certificado
Requisitos generales
El certificado deberá indicar su fecha
de vencimiento, que no excederá los tres años
posteriores a su emisión, salvo que el certificado
especifique que tendrá una vigencia superior.
Efecto
Cuando vence un certificado, el suscriptor
y la autoridad certificante dejan de certificar según
lo dispone este capítulo, y la autoridad certificante
queda relevada de sus obligaciones provenientes de la emisión,
en relación con el certificado que ha expirado.
Comentario
a. General
La vigencia de los pares de claves, y de
los certificados en ellas basadas, debería limitarse
por dos razones: 1) que el hecho de acumular grandes cantidades
de datos cifrados facilita el "criptoanálisis"
(es decir, que se "descubra" ilícitamente
el par de claves o la firma digital), y 2) que el hecho de
cambiar el par de claves reduce los daños que causaría
cada violación individual a la seguridad del par de
claves, sea mediante "criptoanálisis" o cualquier
otro medio.
El presente artículo fija una vigencia
máxima de tres años, salvo que el certificado
especifique una duración mayor. Véase Warwick
Ford, Computer Communications Security: Principles, Standard
Protocols & Techniques 85 (1994). Un lapso demasiado prolongado
puede despertar dudas sobre lo razonable o no de confiar en
un certificado al verificar una firma digital creada mucho
tiempo después de haber entrado en vigencia el certificado.
Referencias
Normas ABA
La norma 3.9 requiere que el certificado
detalle las fechas de vigencia y de vencimiento. En tal sentido,
dice:
El certificado contiene las fechas de vigencia
y de vencimiento
La autoridad certificante que emite un certificado
debe indicar en él la fecha y hora en que el certificado
entra en vigencia y el vencimiento.
La norma 1.32 (que define el "certificado
válido") especifica que un certificado que ha
vencido no es válido, y por ende, de poco o nada sirve
a los fines del Título 5 de las Normas, que establece
el cumplimiento de requisitos en cuanto a la firma, a la escritura
y el original, y ciertas presunciones.
309. Límites de confianza
y de responsabilidad recomendados
Significación del límite de confianza recomendado
Al especificar en un certificado un límite
de confianza, la autoridad que lo emitió y el suscriptor
que lo acepta recomiendan que las personas confíen
en él en tanto y en cuanto el monto en juego no exceda
el límite de confianza recomendado.
Límites de responsabilidad
para las autoridades certificantes acreditadas
Salvo que la autoridad certificante renuncie
a la aplicación del presente apartado, se considerará:
1. Que no será responsable por pérdidas
causadas por haberse confiado en una firma falsa o fraguada
de un suscriptor si, con respecto a dicha firma, la autoridad
hubiera cumplido con todos los requisitos pertinentes establecidos
en el presente capítulo;
2. Que no será responsable por un
monto mayor al que se menciona en el certificado como límite
recomendado de confianza en caso de:
1. una pérdida causada por haber confiado
en una dato falso contenido en el certificado que a la autoridad
certificante se le requiera confirmar, o
2. incumplimiento con el art. 302 en la emisión
del certificado;
3. Será responsable sólo por
daños directos emergentes de una acción promovida
por resarcimiento de daños debido a haber confiado
en el certificado.
Los daños directos compensatorios
no incluyen:
1. daños ejemplares o punitivos;
2. daños por lucro cesante, ahorros
u oportunidad, ni
3. daños físicos y morales.
Comentario
a. General
Este artículo aclara la responsabilidad
y riesgo de responsabilidad que recae sobre la autoridad certificante.
Al igual que como ocurre con cualquier otra empresa comercial,
la autoridad certificante debe ser capaz de evaluar y manejar
su riesgo frente a una posible responsabilidad, y uno de los
principales elementos que han impedido el surgimiento de autoridades
certificantes es la incertidumbre respecto de los riesgos
legales que dicha actividad traería aparejados.
b. Pérdidas originadas en
la confianza
El apartado (2) de este artículo excluye
sólo la responsabilidad basada en la confianza en una
firma digital o un certificado. No rige para los casos en
que la autoridad certificante viole un contrato u obligación
fiduciaria respecto del suscriptor o de cualquier otra persona.
c. Eximición de responsabilidad
La autoridad certificante puede eximirse
de la responsabilidad que establece el presente artículo.
d. Límites de confianza recomendados
y conflictos entre diversas normas
Un límite de confianza recomendado
es, en efecto, una declaración manifestando que la
confianza que se tenga a cierto certificado será razonable,
desde el punto de vista de la autoridad, si no excede el monto
especificado. La autoridad certificante se halla en una posición
sumamente ventajosa para evaluar la confiabilidad del certificado
que emite.
Si la ley aplicable a un conflicto no incluye
el apartado (2)(1) u otra norma similar aplicable, el efecto
del límite de confianza recomendado probablemente dependerá
de la ley de declaración falsa u errónea realizada
en virtud de culpa o negligencia.
Al especificar un límite recomendado
de confianza en un certificado, la Autoridad Certificante
notifica que tiene una confianza limitada. Una confianza superior
a dicho límite no es razonable.
e. Indemnización del daño
indirecto
Salvo en lo específicamente establecido
por el apartado (2)©, la presente ley no aborda el tema
de si se pueden reclamar daños indirectos en una acción
contra una autoridad certificante, sino que más bien
deja el tema para la jurisprudencia. Véase, por ejemplo,
Evra Corp. c/ Swiss Bank Corp., 673F.2d 951 (7° Cir. 1982);
Central Coordinates, Inc. c/ Morgan Guaranty Trust Co., 40
U.C.C. Rep. Serv. 1340 (Ct. Sup. N.Y. 1985).
Otros límites de responsabilidad
Además de los límites de responsabilidad
establecidos en este artículo sobre la autoridad certificante,
pueden existir otros. Por ejemplo, si la autoridad certificante
es un organismo gubernamental, la inmunidad del estado puede
limitar su responsabilidad.
Referencias
Normas ABA
Con respecto a cualquier límite recomendado
de confianza, ver norma 5.3 (razonabilidad de la confianza
en las declaraciones de un certificado). En relación
con el resguardo (exención prevista en una ley) que
establece el apartado (2)(a) del presente artículo,
ver norma 3.16.
310. Cobranza basada en suficiente
garantía
Derecho de cobro del reclamante
Pese a cualquier disposición en contrario
que pueda contener la garantía,
1. Si la garantía es una fianza, la
persona puede recuperar el monto total de un derecho limitado
de pago contra el obligado principal que figura en la fianza,
y si hay más de uno de tales derechos limitados de
pago durante la vigencia de la fianza, una participación
proporcional, hasta un máximo equivalente al monto
de la fianza, o bien
2. Si la garantía es una carta de
crédito, una persona puede recuperar de la institución
financiera emisora el monto total de un derecho limitado de
pago contra el cliente cuyo nombre figura en la carta de crédito.
Si hubiere más de un derecho limitado de pago durante
la vigencia de la carta de crédito, una participación
proporcional, hasta una responsabilidad máxima del
emisor equivalente al monto del crédito.
Los reclamantes pueden recuperar (cobrar??)
sucesivamente de la misma garantía, siempre y cuando
la responsabilidad total frente a todas las personas que esgriman
derechos limitados de pago durante su vigencia no exceda del
monto de la garantía.
Honorarios de abogados
Además de recuperar el monto de un
derecho limitado de pago, el reclamante puede recuperar del
producido de la garantía, hasta que se agote, una suma
razonable en concepto de honorarios de abogados, y las costas
judiciales en que hubiera incurrido para percibir el reclamo,
siempre y cuando la responsabilidad total que figure en la
garantía para todas las personas que esgriman derechos
limitados de pago o que recuperen honorarios para abogados
no exceda el monto total de la garantía.
Procedimiento del reclamo
Para recuperar un derecho limitado de pago
contra un fiador o emisor de garantía, el reclamante
deberá:
1. Notificar por escrito a la División
consignando su propio nombre y domicilio, la suma reclamada
y los fundamentos para el pago, y cualquier otra información
que requiriera las normas de la División, y
2. Adjuntar a la notificación una
copia certificada de la sentencia sobre la cual se basa el
pago limitado.
La recuperación del derecho de pago
limitado con el producido de la suficiente garantía
no podrá efectuarse si el reclamante no cumple integralmente
con el presente artículo.
Plazo para la presentación de reclamos
La recuperación del derecho de pago
limitado con el producido de la garantía prescribirá
para siempre a menos que se notifique el reclamo como lo exige
el apartado (3) dentro de los dos o tres(??) años de
ocurrida la violación del presente capítulo,
base del reclamo.
Comentario
"Interplead"
Las normas procesales relativas a "interplead"
(litigar con otros demandantes para determinar el mayor derecho
a la demanda) se aplicarán para distribuir equitativamente
el producido de la suficiente garantía entre múltiples
reclamantes cuyos reclamos excedan el monto de la garantía.
Referencias
Normas ABA
1. 1. Este artículo no tiene una disposición
correlativa en las normas de la ABA, más que un requisito
general de responsabilidad financiera en la norma 3.3
Título 4. Efecto de la firma
digital
Resumen: Este título establece que
la firma digital produce casi los mismos efectos legales que
la firma manuscrita sobre papel.
401. Cumplimiento de los requisitos
de la firma
General
Cuando el régimen jurídico
requiere una firma, o prevé ciertas consecuencias de
la falta de firma, dicho sistema de derecho queda cumplido
con una firma digital en los siguientes casos:
1. Si la firma digital se verifica por referencia
a la clave pública mencionada en un certificado válido
emitido por una autoridad certificante acreditada;
2. Si la firma digital fue suscripta por
el firmante con la intención de firmar el mensaje,
y
3. Si el destinatario no tiene conocimiento
de que el firmante:
1. haya infringido un deber en su calidad
de suscriptor, o bien
2. no posea legalmente la clave privada usada
para suscribir la firma digital.
Otras firmas
Sin embargo, las disposiciones del presente
capítulo no impiden que un símbolo sea válido
como firma bajo otra ley aplicable, tal como el Código
Comercial Uniforme de Utah, artículo 70A-1-201(39).
Comisión impositiva
El presente artículo no limita la
facultad de la Comisión Impositiva del Estado para
establecer la forma de las declaraciones de impuestos u otros
documentos que se presenten a dicha Comisión.
Comentario
a. Firmas realizadas bajo otra ley aplicable
Tal como señala la última frase,
este artículo no limita ni desvaloriza la aplicación
de las definiciones de firma fuera de la presente Ley a símbolos
o marcas que aparezcan en mensajes, que no sean firmas digitales.
Una firma digital no verificada, o cualquier otro símbolo,
pueden ser tratados como firma, según los términos
del Código Comercial Uniforme 1-201(39), si "está
realizada o es adoptada por una persona con la intención
actual de autenticar un escrito". Este artículo
rige sólo para las firmas digitales descriptas en él,
y simplemente no se inmiscuye con la validez que puedan tener
otros símbolos como firmas.
b. Relevamiento de requerimientos de la firma
Las exigencias de firmas son innumerables.
Los siguientes constituyen algunos ejemplos de leyes y reglamentos
que requieren firmas (las citas se refieren al Código
Anotado de Utah, a menos que se especifique lo contrario):
*Documentos de gobiernos locales: peticiones
de anexión municipal, pedidos de desconexión
municipal, ordenanzas municipales, ordenanzas de los condados.
*Documentos de organizaciones comerciales: firma de acta constitutiva,
firma de socios solidarios en certificado de sociedad en comandita
simple, acta constitutiva de empresas de responsabilidad limitada,
firma de acta constitutiva o certificado de consolidación
por parte de representante autorizado, modificación
de acta constitutiva de una sociedad, acta de fusión
o consolidación, acta de disolución, cambio
de representante autorizado, informes anuales, renuncia al
derecho a ser notificado.
*Ciertos contratos: de transferencia de bienes inmuebles,
fianzas y otros tipos de contratos basados en el ex ley inglesa,
acuerdos prematrimoniales, venta de bienes conforme al artículo
2 del Código Comercial Uniforme, leasing, documentos
negociables, cartas de crédito, transferencia de cauciones,
venta de cauciones, acuerdo de caución en el cual el
asegurado no posee colateral, contrato testamentario, renuncia
a obligación contractual según el Código
Comercial Uniforme, prueba oral en la venta de bienes, oferta
contractual en firme por parte de comerciante, modificación
de contrato de venta o leasing, renuncia a documento negociable,
declaración presentada por un acreedor respecto de
la constitución de un derecho de garantía, declaración
de continuación, de rescisión, cesión
de derechos de garantías reales, liberación
de colateral, renuncia a la herencia.
*Testamentos y documentos similares: Ley sobre testamentos,
directivas para servicios médicos finales.
*Instrumentos correspondientes a actos judiciales: citaciones,
presentaciones en juicio, presentaciones en juicios de divorcio,
respuesta a interrogatorios, orden de comparecencia, transcripción
de una sentencia en el registro de un tribunal, cumplimiento
de una sentencia, escritos de apelación, procedimientos
administrativos, consentimiento para dar en adopción
o renunciar a la patria potestad, decreto de divorcio, laudos
arbitrales, prueba de notificación judicial fuera de
Utah, reconocimiento de paternidad, admisión al ejercicio
de la abogacía en una jurisdicción.
*Presentaciones gubernamentales y requisitos regulatorios:
declaración anual de seguros, control de ingestión
de alcohol, registro de vehículos automotores, información
brindada por odómetro, denuncia de vehículo
robado, solicitud de registro de conductor, recetas para obtener
drogas controladas, declaraciones juradas enumerando bienes
imponibles, declaraciones impositivas, solicitud de marcas
comerciales.
*Partidas de nacimiento y defunción.
Además de estos ejemplos, existen
otros requerimientos para la firma, tanto por ley como por
la costumbre comercial.
Referencias
Normas ABA
La norma 401(3)(b), 5.1 es comparable. Su
texto dice:
1. Cumplimientos de exigencias de firma
Cuando alguna norma exige la firma, o establece
determinadas consecuencias si no hubiere firma, dicha norma
puede darse por cumplida mediante una firma digital en los
siguientes casos:
1. Si fue suscripta por el firmante con la
intención de firmar el mensaje, y
2. Si fue verificada por referencia a la
clave pública mencionada en un certificado válido.
California
El art. 16.5(b) de la Parte 1 del Código
de Gobierno de California es comparable, pero más limitado
en su aplicación. Su texto dice así:
(b) En cualquier transacción en que
intervenga una entidad pública y se requiera la firma
de alguna de las partes, cualquiera de ellas puede suscribir
mediante una firma digital que cumpla con los requisitos del
presente artículo. En tal caso, el uso de una firma
digital tendrá la misma validez legal que la firma
manuscrita.
Ley tipo de UNCITRAL
El art. 6 es comparable, y dice así:
1. Cuando alguna norma exige la firma o establece
ciertas consecuencias si no la hubiere, dicha norma se considerará
cumplida en relación con un mensaje de datos en los
siguientes casos:
(a) Si se usa un método para identificar
al originador del mensaje y para indicar que el originador
aprueba la información allí contenida, y
(b) Si dicho método fue tan confiable
como adecuado alos fines para los cuales se generó
o comunicó el mensaje de datos, teniendo en cuenta
todas las circunstancias, inclusive cualquier acuerdo entre
el originador y el destinatario del mensaje.
2. Lo que establece el presente artículo
no rige en los siguientes....
402. Firmas digitales no confiables
Salvo que se establezca lo contrario por
ley o contrato, si la firma digital no fuera confiable, en
determinadas circunstancias el receptor de una firma digital
asume el reisgo de que dicha firma sea fraguada. Si el receptor
decide no confiar en una firma digital de conformidad con
el presente artículo, deberá notificar cuanto
antes al firmante su decisión, como también
los fundamentos de tal decisión.
Referencias
Normas ABA
La norma 5.2. es comparable. Su texto dice
así:
(1) Salvo que se establezca lo contrario
por ley o contrato, la norma 401(3)(b), 5.1 no rige para una
firma digital Firmas digitales no confiables su receptor tiene
conocimiento de que el firmante infringió alguna obligación
prescripta por las normas 4.1 a 4.5 respecto de tal firma
digital.
(2) Salvo que se establezca lo contrario
por ley o contrato, el receptor de una firma digital asume
el riesgo de que una firma digital sea inválida como
firma o como autenticación del mensaje firmado, si
la confianza en dicha firma no fuera razonable en tales circunstancias,
según los factores que se mencionan en la norma 5.3.
(3) El receptor que decide descartar una
firma digital no confiable o imposible de verificar debe notificar
cuanto antes al firmante, si el firmante es individualizable
y si se lo puede notificar mediante un razonable esfuerzo.
Ver también norma 5.3 de ABA (lista
de factores que afectan la razonabilidad de la confianza).
403. El documento que lleva firma
digital se considera documento escrito
Un mensaje tiene la misma validez y puede
ser exigido judicialmente y es efectivo como si estuviera
escrito en papel, en los siguientes casos:
1. Si porta en su totalidad una firma digital,
y
2. Si dicha firma digital es verificada mediante
la clave pública mencionada en un certificado que:
1. haya sido emitido por una autoridad certificante
acreditada, y
2. haya sido válido al momento en
que se efectuó la firma digital.
Si embargo, el presente capítulo no
impide que un mensaje, documento o registro sea considerado
escrito bajo alguna otra ley aplicable.
Comentario
a. Razón de ser de la exigencia de documento escrito
La razón por la cual se considera
a un documento firmado digitalmente como un documento escrito
se funda en los objetivos del la ley de fraudes, específicamente:
(1) la necesidad de tener prueba confiable de ciertos documentos
importantes (objetivo de que pueda tener valor probatorio),
y (2) la necesidad de una de las partes de garantizar un grado
mínimo de prudencia a una transacción (acto
solemne). En los contratos de compraventa inmobiliaria, en
particular, la firma del contrato también puede servir
según la costumbre como línea divisoria formal
entre un precontrato sujeto a cambios y otro que sea definitivo.
Ver Doctrina Contractual, nota correspondiente al cap. 5,
286 (1982). Dichas razones para exigir un documento escrito,
en particular para que tenga valor probatorio, rigen también
para los documentos electrónicos y por otros medios.
El documento electrónico puede ser modificado con suma
facilidad, y los cambios son difíciles o imposibles
de detectar, a menos que en determinado momento se fije el
contenido del documento mediante una cifra de verificación
("hashing")
La firma digital también sirve para
estos fines. Sirve para demostrar la integridad de un texto
firmado, de una manera muy superior al papel, puesto que las
cifras de verificación producidas cuando se crea y
verifica la firma digital garantizan que el mensaje no pueda
ser adulterado después de producirse la firma digital.
La firma digital no puede ser verificada si su mensaje difiere
del mensaje firmado original. La firma digital también
requiere un acto voluntario y afirmativo comparable a la escritura,
por lo cual también cumple con el objetivo ritual de
la exigencia de documentos excritos.
b. Futuro de la exigencia de documento escrito
No obstante, la exigencia de documento escrito,
en particular la ley de fraudes, tiene críticos, y
tanto la experiencia como la jurisprudencia han sido algunos
de los más enconados. Ver 2 Arthur L. Corbin, Corbin
sobre Contratos: A Comprehensive Treatise on the Working Rules
of Contrac Law 277 (1950).
Como quiera que se juzguen los argumentos
a favor y en contra de la tradicional exigencia de documento
escrito, el resultado hoy en día es independiente de
la tecnología y el comercio electrónico. La
tecnología de la firma digital constituye un método
válido para resolver la alterabilidad y los problemas
de autenticación de los registros electrónicos,
dejando como cuestión tecnológicamente abierta
el tema de si sigue teniendo valor la exigencia formal de
documento escrito.
La labor que actualmente se realiza para
revisar el Código Comercial Uniforme recomiendan la
derogación o revisión parcial de la ley de fraudes
en su artículo 2 (2-201). (Se citan estudios). Sin
embargo, la revisión del Código Comercial Uniforme
no alcanzaría a muchas otras exigencias de documento
escrito basadas en la ley de fraudes original inglesa, ni
a la exigencia de que los registros gubernamentales se hagan
por escrito.
c. Ejemplos
Los casos en que se exigen documentos escritos
suelen ser los mismos en los que se exige firma. Si se desea
una lista a modo de ejemplo de exigencias de firma, véase
comentario b, del artículo 401.
d. Definiciones específicas sobre escritura
En general, al interpretar leyes, las disposiciones
más específicas, más próximas
al contexto operativo prevalecen sobre las disposiciones más
generales y remotas. Ver State ex rel. Cannon c/ Leary, 646
P.2d 727, 729 (1982). Así, una definición de
"escrito" en un contexto específico puede
prevalecer en dicho contexto, pese al presente artículo.
Por ejemplo, el Código Penal de Utah define "escrito"
sin incluir la exigencia de una firma digital:
(1) Se incluye en lo "escrito"
la escritura manuscrita, a máquina o impresa la transmisión
o almacenamiento electrónico, como también cualquier
otro método de registrar información o de fijar
información de una manera susceptible de ser conservada.
Cód. Anot. de Utah 76-1-601(12( (enmienda
propuesta, 1996); ver también Cód. Anot. de
Utah 76-6-501(2) enmienda propuesta, 1996) (definir "escrito"
a los fines de la prohibición criminal de falsificación).
Dichas cláusulas específicas prevalecen sobre
lo establecido en este artículo, dentro de su contexto
de aplicación.
Referencias
Normas ABA
La norma 5.5 es comparable al presente artículo,
y dice:
2. El mensaje firmado digitalmente constituye
un escrito
Si un mensaje lleva firma digital verificada
(autenticada???) por una clave pública mencionada en
un certificado válido, es tan válido y tiene
la misma fuerza legal que si hubiera sido escrito en papel.
Ley modelo de UNCITRAL
El artículo 5 es comparable:
(1) Cuando una ley determina que la información
debe presentarse por escrito, o establece ciertas consecuencias
si no sela presenta de esa manera, un mensaje de datos satisface
dicha ley si la información contenida en él
es accesible, de modo de resultar utilizable para referencia
subsiguiente.
(2) Lo establecido en el presente artículo
no rige en los siguientes casos...
Ver también Ley modelo de UNCITRAL,
art. 7 (exigencia de un original, inclusive garantía
de integridad de la información, criterio convencionalmente
asociado al de acto escrito en el análisis que hace
el common law de la ley de fraude).
404. Originales firmados digitalmente
Una copia de un mensaje firmado digitalmente
tiene la misma validez legal que el original del mensaje,
salvo que sea evidente que el firmante designó una
instancia del mensaje firmado digitalmente para que sea original
único, caso en el cual sólo dicha instancia
constituye el mensaje válido, efectivo y ejecutable.
Comentario
a. Ejemplos de exigencias de original
La regla de las mejores pruebas (pruebas
directas??) Utah R. Evid. 1002 (también regla 1002
de las Uniform Rules of Evidence) constituye un ejemplo de
una exigencia expresa de original.
A menudo, las exigencias de documentos originales
son implícitas o conforme a usos y costumbres. Por
ejemplo, el art. 3 del Código Comercial Uniforme no
exige expresamente que un instrumento negociable deba ser
un original, pero de acuerdo con la práctica universal,
sólo los documentos originales se consideran negociables.
A menudo se acostumbra considerar firmado un documento sólo
si lleva firma original manuscrita.
Para ver ejemplos de exigencia de firma original
y manuscrita, algunos de los cuales pueden incluir un requerimiento
implícito de original, remitirse al comentario b del
artículo 401.
b. Originales cuyo fin es ser único documento
Tal como se indica en la norma 5.5, ciertos
tipos de documentos -en especial los instrumentos negociables--
tienen el destino, a veces implícito, de ser documento
único cuando se los firma. Por ejemplo, el librador
de un cheque al portador por lo general no desea que haya
copias de ese cheque que sean legalmente equivalentes al original;
la intención del librador no es habilitar a cualquier
portador del cheque a realizar copias que pudieran crear nuevas
obligaciones.
Por tanto, los instrumentos negociables deberían
incluirse dentro de la clase de mensajes cuyo fin es ser documento
único, salvo que un sistema brinde funcionalidad suficiente
para brindar una negociación confiable de instrumentos.
Referencias
Normas ABA
La norma 5.5 es substancialmente igual a
este artículo.
Ley modelo de UNCITRAL
El artículo 7 se refiere concretamente
a las exigencias de documentos originales. Su texto dice:
1. Cuando una ley requiere que la información
se presente en su documento original, o prevea ciertas consecuencias
si no se lo hace de esa manera, se considerará que
un mensaje de datos cumple con la ley en los siguientes casos:
a) Si existe confiable garantía respecto
de la integridad de la información desde el momento
en que se la generó en su forma final, como mensaje
de datos, y
b) Si, cuando se requiere que la información
sea presentada, dicha información fuese capaz de ser
exhibida a la persona a quien se la debe presentar.
2. Si se plantea alguna duda respecto de
si se ha cumplido con lo establecido en el inciso a) del párrafo
1 de este artículo:
a) Los criterios para evaluar la integridad
de la información serán si la información
permanece completa e inalterada, salvo el agregado de algún
endoso o de algún cambio que surja del curso normal
de comunicación, almacenaje o exhibición, y
b) El criterio de confiabilidad exigido se
evaluará a la luz del propósito para el cual
se generó la información, y a la luz de todas
las circunstancias pertinentes.
3. Lo establecido en este artículo
no es aplicables a lo siguiente: .....
Ver también ley modelo de UNCITRAL
art. 8 (alcance del valor probatorio de los mensajes electrónicos,
inclusive una disposición específicamente relativa
a la regla de las mejores pruebas).
405. El certificado como un reconocimiento
Salvo que se establezca lo contrario por
ley o contrato, un certificado emitido por autoridad certificante
acreditada constituye un reconocimiento de una firma digital
autenticada cotejándola con la clave pública
mencionada en el certificado, con independencia de si aparecen,
o no, palabras de reconocimiento con la firma digital, y de
si el firmante se presentó físicamente ante
la autoridad certificante cuando se creó la firma digital,
siempre y cuando dicha firma cumpla con dos requisitos:
1. Que sea verificable mediante ese certificado,
y
2. Que haya sido suscripta cuando el certificado
era válido.
Comentario
a. Efecto
Conforme este artículo, las firmas
digitales son autoautenticantes según lo dispone Utah
R. Evid. 902(8), por lo cual se satisfacen las reglas de prueba
que requieren autenticación, tales como Utah R. Evid.
901; ver también Cód. Anot. de Utah 78-25-7
(1995) (el reconocimiento es prima facie prueba de ejecución);
Fed. R. Evid. 901.
También se requiere un reconocimiento
(acknowledgement) para la transcripción en un registro
público según el Cód. Anot. de Utah 57-3-1(1994);
ver también 57-4a-3-(1994) (que prevé ciertas
excepciones).
Un reconocimiento (acknowledgement) es "una
declaración que hace una persona de haber suscripto
un instrumento en cumplimiento de los fines allí mencionados
y, si el instrumento se suscribe por representación,
de haberlo firmado con poder suficiente y haberlo otorgado
en nombre de la persona o entidad allí representada
e identificada." La Ley Notarial Uniforme 1(1)(1982);
ver también Cód. Anot. Utah 57-2a-7(1995) (forma
simplificada de certificación).
A los fines del presente artículo,
el reconocimiento no incluye, por ejemplo:
*Administración de un juramento o
declaración solemne de veracidad: El reconocimiento
realizado conforme al presente artículo no crea responsabilidad
por falsa declaración ni expone a nadie a penalidades
por perjurio. En otras palabras, la firma digital, por sí
misma, no pone al firmante bajo juramento; para que el firmante
quedara bajo juramento, un funcionario autorizado tendría
que administrar el juramento o declaración solemne.
Una cláusula testamentaria que no
requiera pruebas adicionales bajo el Utah Uniform Probate
Code (normas testamentarias de Utah) 75-2-504(1995): Esta
cláusula incluye las declaraciones de hecho e intención
testamentarios específicas de la firma de testamentos,
mientras que el presente artículo crea sólo
un reconocimiento simple.
El reconocimiento simple previsto por el
presente artículo debe bastar para la inscripción
en registros de documentos inmobiliarios, para la creación
de pruebas admisibles prima facie y fines similares.
b. Reconocimientos expresos
El presente artículo no impide el
reconocimiento tradicional expreso de las firmas digitales.
Una persona, mediante contrato u otra forma similar, puede
exigir que la firma digital esté expresamente certificada.
Si un escribano (que no sea la autoridad
que emite el certificado mediante el cual se verifica la firma
digital) certifica expresamente una firma digital, el efecto
sería comparable a una segunda certificación
de la firma en papel del firmante.
c. Certificación digital de firmas
en papel (paper signatures)
Las certificaciones expresas, firmadas digitalmente,
también pueden usarse para autenticar una firma en
papel de modo tal de permitir que una computadora reconozca
la autenticación del documento. Por ejemplo, si Sam,
un firmante, careciera de capacidad para efectuar una firma
digital, podría firmar un documento electrónico
con una firma sencilla (pero insegura), como podría
ser tipeando: "f/Sam". O bien el escribano podría
escribir "f/Sam" en el mensaje electrónico,
y Sam podría adoptar dicha inscripción como
su firma. El escribano podría luego agregar seguridad
de las siguientes maneras: 1) añadiendo una fórmula
de certificación (por ejemplo, "...Sam compareció
ante mí y reconoció haber firmado lo que antecede...");
2) agregando una representación digital de un sello
notarial, y 3) firmando digitalmente el mensaje y la certificación
anexa. El efecto sería brindar pruebas de la autenticación
procesables por computadora sin tener que emitir a Sam un
certificado ni proveerle la capacidad de emitir una firma
digital. Para cumplir con la práctica notarial responsable,
el escribano debería hacer un asiento en el libro diario
consignando los datos pertinentes a la certificación,
y tal vez conservar también una salida impresa con
la firma manuscrita de Sam, por si acaso alguna vez se cuestionara
la autenticación del mensaje o la validez de la certificación.
Referencias
Normas ABA
Las Normas ABA no contienen una disposición
comparable. Las Normas ABA están pensadas para una
potencial aplicabilidad internacional, pero el reconocimiento
de que habla este artículo es la de un notario norteamericano.
Dado que la certificación por notario en la tradición
del derecho continental (civil law) suele establecer un mayor
grado de certificación de autenticidad del que requiere
la certificación de los notarios norteamericanos, tal
vez no sea adecuado considerar a los documentos como certificados
por ley en los sistemas legales de otros países que
no sean los EE.UU. En otras palabras, un supuesto subyacente
a este artículo es que un certificado válido
es, con respecto a la confiabilidad de una firma, un indicador
tan confiable como la certificación de un notario estadounidense.
Ese supuesto puede no regir para las certificaciones emitidas
por notarios de derecho continental, de modo que ninguna norma
es comparable a este artículo.
Ley modelo de UNCITRAL
El presente artículo está destinado
a establecer que los mensajes firmados digitalmente son admisibles
como prueba, como también para otros fines reconocidos
por el gobierno y requisitos de archivo. Con respecto a la
admisibilidad y validez de los mensajes de datos como prueba,
el artículo 7 de la ley modelo de UNCITRAL dice:
1. En cualquier procedimiento judicial, nada
de lo que establezcan las reglas procesales en materia de
prueba impedirá la posibilidad de admitir un mensaje
de datos en la prueba aduciendo:
a) como única razón que se
trata de un mensaje de datos, o
b) si es la mejor prueba que se puede esperar
que obtenga la persona, aduciendo que no se halla en su forma
original.
2. La información contenida en un
mensaje de datos tendrá validez como prueba. Para evaluar
el valor probatorio de un mensaje de datos, se tomará
en consideración la manera en que se generó
o comunicó el mensaje, la confiabilidad de la materia
en la cual se mantuvo la integridad de la información,
la manera en que se identificó a su originador y cualquier
otro dato relevante.
406. Presunciones en la resolución
de litigios.
Al resolver un litigio que involucre una
firma digital, un tribunal de este Estado deberá presumir:
1. Que un certificado firmado digitalmente,
autenticado por una autoridad certificante autorizada y publicado
en un repositorio conocido, o bien facilitado por la autoridad
certificante o por el suscriptor cuyo nombre figura en el
certificado, ha sido emitido por la autoridad que lo firmó
digitalmente y aceptado por el suscriptor mencionado en él.
2. Que la información mencionada en
un certificado válido y confirmada por una autoridad
certificante acreditada emisora del certificado es fidedigna.
3. Si una firma digital está autenticada
por la clave pública mencionada en un certificado válido
emitido por una autoridad acreditada,
1. Que esa firma digital es la del suscriptor
cuyo nombre figura en el certificado;
2. Que esa firma digital fue suscripta por
el suscriptor con la intención de firmar el mensaje,
y
3. Que el receptor de esa firma digital no
tiene noticia de:
1. que el firmante hubiese infringido alguno
de sus deberes de suscriptor, o
2. que el firmante no tuviera legalmente
la clave privada suscripta a la firma digital.
4. Que la firma digital fue creada antes
de haber sido marcada con sello fechador por un tercero no
interesado utilizando un sistema confiable.
Comentario
a. Efecto
El efecto de las presunciones establecidas
en este artículo es simplemente el de asignar la carga
de avanzar con alegatos y pruebas, a la parte que cuestiona
la firma digital, el certificado o el sello fechador fidedigno.
En otras palabras, la parte que considera inválida
o falsa una firma digital autenticada, un certificado o un
sello fechador confiable debe accionar en un procedimiento,
debe hacer valer su posición en vez de guardar silencio
y debe presentar pruebas de los hechos pertinentes, antes
de que se le exija lo mismo a su oponente.
b. Plazo de validez
Un certificado es "válido"
según lo establece este artículo si lo era en
el momento en que una persona confió en él,
con independencia de si es o no válido en el momento
de la sentencia.
Referencias
Normas ABA
1. La guía 5.4 es substancialmente
similar al presente artículo.
Título 5. Repositorios
Resumen: Esta parte permite que la División
reconozca a repositorios a pedido. Limita la responsabilidad
de los repositorios a su función de información,
y elimina cualquier responsabilidad que podrían asumir
por la veracidad de certificados o de otra información
publicada en ellos por terceras personas.
===================================================
El art. 501 de la ley de Utah de 1995 ha
sido trasladado al nuevo art. 104 o nuevo art. 501, o bien
se suprimió. Ver también Cód. Adm. de
Utah R154-10?
===================================================
501. Reconocimiento de los repositorios
Condiciones para el reconocimiento
La División reconocerá a uno
o más repositorios, cuando haya constatado:
1. Que el repositorio a ser reconocido opera
bajo la dirección de una autoridad certificante acreditada;
2. Que incluye una base de datos que a su
vez contiene:
1. Certificados publicados en el mismo;
2. Notificaciones de certificados suspendidos
o revocados, publicadas por las autoridades certificantes
acreditadas u otras personas que suspenden o revocan certificados;
3. Registros de publicidad de autoridades
certificantes acreditadas;
4. Todas las órdenes o recomendaciones
publicadas por la División para regular a las autoridades
certificantes, y
5. Toda otra información que determinen
las normas de la División.
3. Que opera mediante un sistema confiable;
4. Que no contiene una cantidad significativa
de información que la división considere que
es, o puede ser, no fidedigna o insuficientemente confiable.
5. Que contiene certificados publicados por
autoridades certificantes a quienes se les requiere cumplir
con las normas de uso que la División considera substancialmente
similares, o más estrictas hacia las autoridades certificantes,
que las de este Estado;
6. Que lleva un archivo de los certificados
que han sido suspendidos o revocados, que han expirado, por
lo menos en el término de los últimos 3 años,
y
7. Que cumple con todo otro requisito razonable
prescripto por las normas de la División.
Procedimiento para el reconocimiento
Un repositorio puede solicitar su reconocimiento
a la División. Para ello deberá presentar una
solicitud escrita adjuntando pruebas suficientes de haber
satisfecho los requisitos que impone la División. La
División decidirá si debe conceder o denegar
el pedido en la manera que prevé la Ley de Procedimientos
Administrativos, título 63), capítulo 46b.
Revocación del reconocimiento
El repositorio puede dejar sin efecto el
reconocimiento notificando por escrito a la División
con 30 días de anticipación. Asimismo, la División
puede revocar el reconocimiento de un repositorio:
1. al haber pasado la fecha de expiración
especificada por la División al conceder el reconocimiento,
o
2. en cumplimiento de los procedimientos
prescriptos por la Ley de Procedimientos Administrativos,
título 63, capítulo 46b, si llega a la conclusión
de que el repositorio ya no cumple con los requisitos para
el reconocimiento establecidos por el presente artículo
o por las normas de la División.
Comentario
a. Objetivo
El reconocimiento de los repositorios cumple
con los siguientes propósitos generales:
*Garantía de calidad: El reconocimiento
fomenta que el repositorio brinde al público servicios
de calidad. Las reglas de responsabilidad del art. 502, la
presunción del art. 406(1) y la exigencia del art.
201(1) de que la autoridad certificante publique el certificado
en un repositorio reconocido se basan en razonables expectativas
de calidad para los servicios que debe brindar el repositorio.
*Brindar acceso a los archivos de la autoridad certificante:
El reconocimiento de los repositorios puede ayudar a garantizar
la disponibilidad on-line de los registros de publicidad de
la autoridad publicados por la División.
*Aclaración de las reglas de responsabilidad ante terceros:
La Sección 502 aclara las reglas relativas a la responsabilidad
de un repositorio reconocido.
*Facilitar la operación en red y la interoperabilidad:
En una economía abierta, de mercado, no es probable
que surja un único repositorio monolítico. Lo
más posible es que aparezcan múltiples competidores.
El reconocimiento de los repositorios, y los criterios para
su funcionamiento, pueden ayudar a alentar el adecuado nivel
de interconexión y operaciones compatibles entre diferentes
repositorios.
b. Uso generalmente no obligatorio del repositorio
reconocido
Los receptores y autoridades certificantes
generalmente no están obligados a utilizar los servicios
de repositorios reconocidos, pero el art. 201(1)(a) exige
que la autoridad certificante publique su certificado en un
repositorio reconocido para asegurar la rápida disponibilidad
del certificado; además, la autoridad debe publicar
el aviso de suspensión o revocación en un repositorio
reconocido bajo ciertas circunstancias limitadas que se establecen
en 306(3) y 307(5)
Referencias
Normas de Utah
El Cód. Admin. de Utah R146-10-401
establece mayores detalles en relación con el reconocimiento
de repositorios.
Normas ABA
Las Normas ABA no prevén el reconocimiento
formal de repositorios.
502. Responsabilidad de los repositorios
Publicación del aviso de suspensión o de revocación
Pese a cualquier declinación de responsabilidad
que efectúe el repositorio, o a cualquier contrato
suscripto entre el repositorio, la autoridad certificante
o un suscriptor, el repositorio será responsable por
la pérdida en que hubiese incurrido una persona que
confiara razonablemente en una firma digital verificada por
la clave pública mencionada en un certificado suspendido
o revocado, si la pérdida se produjo más de
un día hábil después de recibir el repositorio
un pedido de publicar el aviso de la suspensión o revocación,
y si el repositorio no hubiese publicado el aviso cuando la
persona confió en la firma digital.
Limitaciones de la responsabilidad
A menos que se renuncie al derecho, el repositorio
reconocido, el propietario o el operador de un repositorio
reconocido:
1. No será responsable en caso de
que no se hubiese registrado la publicación de una
suspensión o revocación, salvo cuando el repositorio
haya recibido el aviso de publicación y hubiera pasado
un día hábil desde el momento en que lo recibió;
2. No será responsable conforme al
inciso (1) de este artículo por un monto superior a
la cifra consignada en el certificado como límite reconocido
de confianza.
3. Será responsable conforme al inciso
(1) de este articulo sólo por daños emergentes,
que no incluyen:
1. daños y perjuicios punitivos o
ejemplares;
2. daños por lucro cesante, ahorros
o costo de oportunidad, ni
3. daños físicos y morales.
4. No será responsable por declaración
inexacta o falsa en un certificado publicado por una autoridad
certificante acreditada;
5. No será responsable por registrar
fidedignamente información que una autoridad certificante,
un secretario de condado o un tribunal o la División
hubiesen publicado tal como lo establece o lo permite este
capítulo, inclusive información respecto de
la suspensión o revocación de un certificado.
6. No será responsable por publicar
información sobre una autoridad certificante, un certificado
o un suscriptor si lo hace de conformidad con lo que establece
o permite el presente capítulo o una norma de la División,
o si se publica por orden de la División en ejercicio
de sus funciones regulatorias que le confiere este capítulo.
Comentario
Otras leyes, además de este artículo,
pueden limitar la responsabilidad de un repositorio. Por ejemplo,
si el repositorio es operado por un organismo gubernamental,
puede regir la inmunidad estatal.
Referencias
Normas ABA
Las Normas ABA no prescriben ni limitan específicamente
la responsabilidad del repositorio tal como lo hace este artículo.
Enmiendas propuestas al Código Penal de Utah Cód.
Anot. Título 76 (1996)
Las siguientes enmiendas se proponen para
garantizar que el Código Penal de Utah pueda encarar
adecuadamente el fraude y la falsificación en el comercio
electrónico.
Definiciones Generales
La Subsección 76-1-601(12) fue enmendada
para quedar en forma completa de la siguiente manera:
(12) "Escribir" o "escrita"
incluye cualquier información manuscrita, tipeada,
impresa, guardada o transmitida electrónicamente o
cualquier otro método de grabado o fijado de información
en una forma susceptible de ser preservada.
Casos de prohibición de falsificación
Se enmienda el apartado 76-6-501(12) de la
siguiente manera:
(2) Tal como se lo usa en este artículo,
el "escrito" incluye la impresión, el almacenamiento
electrónico, la transmisión o cualquier otro
método de registrar información valiosa, incluyendo
formas tales como:
(a) un cheque, cospel, estampilla, sello,
tarjeta de crédito, marca comercial o cualquier otro
símbolo de valor, derecho, privilegio o identificación;
(b) una fianza,, timbre fiscal o cualquier
otro instrumento o escrito emitido por un gobierno o cualquier
organismo;
(c) una garantía (security), acción,
bono, pagaré o cualquier otro instrumento escrito que
represente un interés o un derecho sobre propiedad,
o un interés pecuniario contra cualquier persona o
empresa.
|
