Anexo X

Marco legal de la
firma electrónica

Álvaro Gómez Vieites

 CONTENIDO

FIRMA ELECTRÓNICA EN EUROPA .................................................................................... 1

OTROS PRECEDENTES A NIVEL INTERNACIONAL ............................................................... 1
FIRMA ELECTRÓNICA EN ESPAÑA .................................................................................... 2
Ley 59/2003 de Firma Electrónica......................................................................... 3
 ANEXO X

MARCO LEGAL DE LA FIRMA

ELECTRÓNICA

Un aspecto de especial importancia para el desarrollo de la firma electrónica es

la definición de un marco legal que proporcione la seguridad jurídica necesaria para su
utilización y aceptación por parte de las empresas, las Administraciones Públicas y los
ciudadanos. Por este motivo, Estados Unidos y varios países de la Unión Europea han
aprobado en estos últimos años algunas leyes que regulan el uso de la firma
electrónica.

FIRMA ELECTRÓNICA EN EUROPA

En Europa podemos destacar el papel de la Directiva 1999/93/CE, de 13 de
diciembre de 1999, que establece un marco europeo para la firma electrónica. Esta
Directiva pretende impulsar los servicios de certificación en el ámbito de la Unión
Europea, flexibilizando los requisitos necesarios para actuar como Autoridad de
Certificación.

Asimismo, facilita el reconocimiento de certificados digitales de terceros

países, siempre y cuando éstos hayan sido emitidos en condiciones equivalentes de
seguridad.

OTROS PRECEDENTES A NIVEL INTERNACIONAL

Podemos citar otros precedentes importantes a nivel internacional, como la
Ley de Firma Electrónica de Alemania o la Ley de Firma Electrónica aprobada por el
2 ENCICLOPEDIA DE LA SEGURIDAD INFORMÁTICA © RA-MA

Gobierno Federal de Estados Unidos en junio de 2000 (“The Electronic Signatures in

Global and National Commerce Act”).

Una de las pioneras fue la Ley de Firma Electrónica del Estado de Utah, de
1995, que ya entonces regulaba el papel de las Autoridades de Certificación, los
certificados digitales y los dispositivos de firma electrónica basados en criptografía de
clave pública.

Por otra parte, la Organización de las Naciones Unidas aprobaba la Ley

Modelo UNCITRAL (United Nations Commission for International Trade Law) sobre
Firma Electrónica, en la resolución 56/80 de 12 de diciembre de 2001 de la Asamblea
General de la ONU. Esta ley proporciona los principios básicos para el reconocimiento
de la firma electrónica, válidos para todos los países independientemente de su nivel
de desarrollo tecnológico.

En la Ley Modelo UNCITRAL se propone la siguiente definición de firma

electrónica: “datos en formato electrónico que se han incluido o que se encuentran
lógicamente asociados a un mensaje y que se pueden utilizar para probar la identidad
del firmante en relación con el mensaje y para indicar su aprobación sobre la
información contenida en el mismo”. Conviene destacar que según esta definición,
uno de los propósitos legales de la firma electrónica es la de indicar la aprobación del
contenido de un mensaje por parte de un firmante y no tanto la propia autoría del
mensaje.

Por otra parte, podemos destacar las siguientes características fundamentales

de la Ley Modelo UNCITRAL:

¾ Neutralidad tecnológica: la ley no restringe ni impone ningún método de

creación de firma electrónica.

¾ Equiparación de la firma electrónica a la firma manuscrita.

¾ Prevalencia de las leyes ya existentes a nivel estatal sobre esta materia.

¾ Libertad para la contratación.

¾ Obligaciones y responsabilidades de las Autoridades de Certificación: la

ley establece que éstas deben adoptar una serie de medidas técnicas y
organizativas para garantizar la seguridad en la gestión de los certificados
y en la utilización de los dispositivos de creación y verificación de firma.

FIRMA ELECTRÓNICA EN ESPAÑA

En España el Real Decreto-Ley 14/1999, aprobado el 17 de septiembre de
1999, reconocía por primera vez el papel de la denominada “firma electrónica
avanzada”, que se equiparaba a la firma manuscrita en cuanto a sus efectos jurídicos si
se cumplían unas determinadas características técnicas y formales.
© RA-MA ANEXO X: MARCO LEGAL DE LA FIRMA ELECTRÓNICA 3

En el texto de este Decreto-Ley se diferenciaba entre dos tipos de firma: la

“firma electrónica simple” y la “firma electrónica avanzada”. A la primera, más
sencilla desde el punto de vista técnico y formal, no se le podía negar el valor como
prueba, pero sería el juez el encargado de determinar su grado de fiabilidad. Por su
parte, la “firma avanzada” es la que tendría exactamente el mismo valor que la firma
manuscrita y, para ello, el creador de la firma electrónica debía estar en posesión de un
certificado digital expedido por una Autoridad de Certificación.

En este Decreto-Ley se reconocía ya el papel de las Autoridades de

Certificación como responsables de la generación de las claves y la emisión y gestión
de los certificados digitales. En principio, cualquier persona física o jurídica podría
ejercer la labor de certificación digital sin necesidad de autorización previa, pudiendo
establecer, bajo el régimen de libre competencia, las tarifas que aplicarán por la
prestación del servicio de certificación.

No obstante, las entidades que deseasen ejercer como Autoridades de

Certificación tenían que solicitar su inscripción en un Registro de Prestadores de
Servicios de Certificación dependiente del Ministerio de Justicia. Posteriormente, la
Orden Ministerial de 21 de febrero de 2000 aprobaba el “Reglamento de acreditación
de Prestadores de Servicios de Certificación y de determinados productos de Firma
Electrónica”, en el que se definían los requisitos que debían cumplir las instituciones
públicas y privadas que quisieran prestar servicios como Autoridades de Certificación,
entre los que podríamos destacar los siguientes:

¾ Demostrar la fiabilidad necesaria de sus servicios y garantizar la rapidez y

seguridad en la prestación de sus servicios.

¾ Disponer de recursos económicos suficientes para afrontar el riesgo por

daños y perjuicios. La garantía se podía constituir en afianzamiento
mercantil prestado por una entidad de crédito o en un seguro de caución.
Inicialmente esta garantía debía cubrir al menos el 4% de la suma de los
importes límite de las transacciones en que pudieran emplearse el conjunto
de los certificados emitidos por el prestador de servicios. En caso de no
limitar el importe de las transacciones, la garantía a constituir tendría que
cubrir, al menos, la responsabilidad por un importe de 6 millones de euros.

En lo que se refiere a las responsabilidades de los Prestadores de Servicios de

Certificación, sobre ellos recaería la carga de la prueba y debían responder de acuerdo
a las normas generales sobre culpa contractual o extracontractual con la garantía
constituida. Si ésta fuera insuficiente para satisfacer la indemnización debida, tendrían
que responder de la deuda con todos sus bienes presentes y futuros.

Ley 59/2003 de Firma Electrónica

La Ley 59/2003 de 19 de diciembre define en la actualidad el marco
regulatorio de la Firma Electrónica y los Servicios de Certificación en España, tras su
4 ENCICLOPEDIA DE LA SEGURIDAD INFORMÁTICA © RA-MA

entrada en vigor el 20 de marzo de 2004, derogando el Real Decreto Ley 14/1999 y la

Orden Ministerial de 21 de febrero de 2000.

Entre las características más destacadas de esta nueva Ley de Firma

Electrónica, podríamos destacar que contempla la posibilidad de que la firma
electrónica pueda ser utilizada directamente por personas jurídicas y no sólo por los
ciudadanos, mediante la emisión de certificados digitales otorgados a personas
jurídicas.

También se modifican los requisitos para poder ofrecer servicios de

certificación, tal y como recomienda la Directiva Europea 1999/93/CE, con lo que se
pretende alcanzar una mayor libertad de actuación y protagonismo del sector privado,
eliminando el Registro de Prestadores de Servicios de Certificación dependiente del
Ministerio de Justicia.

Por último, en esta Ley de Firma Electrónica se contempla la utilización del

DNI electrónico, como una tarjeta de identificación digital que podrá tener cada
ciudadano y que surtirá los mismos efectos que un DNI tradicional, permitiendo a los
ciudadanos identificarse y firmar documentos en el ámbito telemático, facilitando de
este modo la relación con las Administraciones Públicas y las empresas.

La Ley ofrece las siguientes definiciones sobre la Firma Electrónica (Art. 3):

La Firma Electrónica es el conjunto de datos en forma

electrónica, consignados junto a otros o asociados con ellos, que pueden
ser utilizados como medio de identificación del firmante.

La Firma Electrónica Avanzada1 es la firma electrónica que

permite identificar al firmante y detectar cualquier cambio ulterior de
los datos firmados, que está vinculada al firmante de manera única y a
los datos a que se refiere y que ha sido creada por medios que el
firmante puede mantener bajo su exclusivo control.

Se considera Firma Electrónica Reconocida2 la firma electrónica

avanzada basada en un certificado reconocido y generada mediante un
dispositivo seguro de creación de firma. La firma electrónica reconocida
tendrá respecto de los datos consignados en forma electrónica el mismo
valor que la firma manuscrita en relación con los consignados en papel.

1
“Advanced Electronic Signature”.
2
“Qualified Electronic Signature”.
© RA-MA ANEXO X: MARCO LEGAL DE LA FIRMA ELECTRÓNICA 5

A su vez, según el mismo Artículo 3 de la Ley, el Documento Electrónico es

aquél redactado en soporte electrónico que incorpore datos que hayan sido firmados
electrónicamente. El Documento Electrónico podrá ser soporte de:

¾ Documentos públicos, firmados electrónicamente por funcionarios que

tengan legalmente atribuida la facultad de dar fe pública, judicial, notarial
o administrativa, siempre que actúen en el ámbito de sus competencias
con los requisitos exigidos por la ley en cada caso.

¾ Documentos expedidos y firmados electrónicamente por funcionarios o

empleados públicos en el ejercicio de sus funciones públicas, conforme a
su legislación específica.

¾ Documentos privados.

El soporte en que se hallen los datos firmados electrónicamente será admisible

como prueba documental en juicio. No obstante, la Ley establece que las
Administraciones Públicas podrán establecer condiciones adicionales a la utilización
de la firma electrónica en los procedimientos, como podría ser el caso de la imposición
de fechas electrónicas sobre los documentos electrónicos integrados en un expediente
administrativo, como medio para constatar el momento en que se ha realizado un
determinado trámite o se haya presentado un determinado documento.

La Ley define los “datos de creación de firma” como los datos únicos que el
firmante utiliza para crear la firma electrónica y que podrían ser códigos o claves
criptográficas privadas. A su vez, un Dispositivo de Creación de Firma (Art. 24) es
un programa o sistema informático que sirve para aplicar los datos de creación de
firma. La propia Ley afirma que en la actualidad la tecnología más común y aceptada
para implementar un dispositivo seguro de creación de firma es una tarjeta inteligente.

Por su parte, los “datos de verificación de firma” son los datos, como códigos
o claves criptográficas públicas, que se utilizan para verificar la firma electrónica. La
Ley considera que un Dispositivo de Verificación de Firma (Art. 25) es un programa
o sistema informático que sirve para aplicar los datos de verificación de firma.

De acuerdo con esta Ley, un Dispositivo Seguro de Creación de Firma

Electrónica3 (Art. 24) es un dispositivo de creación de firma que ofrece, al menos, las
siguientes garantías:

¾ Que los datos utilizados para la generación de firma pueden producirse

sólo una vez y asegura razonablemente su secreto.

3
“Secure Signature-Creation Device” (SSCD).
6 ENCICLOPEDIA DE LA SEGURIDAD INFORMÁTICA © RA-MA

¾ Que existe una seguridad razonable de que los datos utilizados para la
generación de firma no pueden ser derivados de los de verificación de
firma o de la propia firma.

¾ Que existe una seguridad razonable de que la firma se encuentra protegida

contra la falsificación con la tecnología existente en cada momento.

¾ Que los datos de creación de firma pueden ser protegidos de forma fiable
por el firmante contra su utilización por terceros.

¾ Que el dispositivo utilizado no altera los datos o el documento que deba

firmarse ni impide que éste se muestre al firmante antes del proceso de
firma.

La Certificación de Dispositivos Seguros de Creación de Firma

Electrónica (Art. 27) es el procedimiento por el que se comprueba que un dispositivo
cumple los requisitos establecidos en esta Ley para su consideración como dispositivo
seguro de creación de firma. La certificación podrá ser solicitada por los fabricantes o
importadores de dispositivos de creación de firma y se llevará a cabo por las entidades
de certificación reconocidas. En los procedimientos de certificación se utilizarán las
normas técnicas cuyos números de referencia hayan sido publicados en el Diario
Oficial de la Unión Europea.

Según decisión de la Comisión Europea de 14 de julio de 2003, la CWA4

14169 es la norma que goza de reconocimiento general para productos de firma
electrónica considerados conformes por los Estados miembro con los requisitos del
anexo III de la Directiva 1999/93/CE. Esta norma hace referencia a los “Criterios
Comunes” (Common Criteria) de evaluación de la seguridad y, más concretamente, al
nivel EAL4+ para que un dispositivo pueda considerarse como dispositivo seguro de
creación de firma.

Por otra parte, en lo que se refiere a la prestación de servicios de certificación,

la Ley establece que esta actividad no está sujeta a autorización previa y se realizará
en régimen de libre competencia. Se elimina, como ya se ha dicho, el Registro de
Prestadores de Servicios de Certificación dependiente del Ministerio de Justicia.
Además, no podrán establecerse restricciones para los servicios de certificación que
procedan de otro Estado miembro del Espacio Económico Europeo.

Los Prestadores de Servicios de Certificación, como sujetos que hacen

posible el empleo de la firma electrónica gracias a la expedición de certificados
electrónicos que acreditan la identidad de los usuarios, deben hacer pública su
Declaración de Prácticas de Certificación. En esta declaración se deberán detallar

4
CWA: CEN Workshop Agreements, siendo el CEN el Comité Europeo de
Normalización (Comité Européen de Normalisation).
© RA-MA ANEXO X: MARCO LEGAL DE LA FIRMA ELECTRÓNICA 7

las obligaciones que se comprometen a cumplir en relación con la gestión de los datos
de creación y verificación de firma y de los certificados electrónicos; las condiciones
aplicables a la solicitud, expedición, uso, suspensión y extinción de la vigencia de los
certificados; las medidas de seguridad técnicas y organizativas; los perfiles y los
mecanismos de información sobre la vigencia de los certificados.

Un Certificado Electrónico (Art. 6) es un documento firmado

electrónicamente por un Prestador de Servicios de Certificación que
vincula unos datos de verificación de firma a un firmante y confirma su
identidad. El firmante es la persona que posee un dispositivo de
creación de firma y que actúa en nombre propio o en nombre de una
persona física o jurídica a la que representa. Por lo tanto, un certificado
electrónico relaciona las herramientas de firma electrónica en poder de
cada usuario con su identidad personal.

La Ley establece que podrán solicitar certificados electrónicos de personas

jurídicas sus administradores, representantes legales y voluntarios con poder bastante a
estos efectos. No obstante, los datos de creación de firma sólo podrán ser utilizados
cuando se admita en las relaciones que mantenga la persona jurídica con las
Administraciones Públicas o en la contratación de bienes o servicios que sean propios
o concernientes a su actividad ordinaria. Además, la persona jurídica podría imponer
límites adicionales, por razón de la cuantía o de la materia, para el uso de dichos datos
que, en todo caso, deberán figurar en el certificado electrónico.

La validez de los certificados electrónicos podrá ser revocada debido a

diversas causas: expiración del período de validez que figura en el certificado;
revocación formulada por la persona física o jurídica representada por el certificado;
violación o puesta en peligro del secreto de los datos de creación de firma del firmante
o del Prestador de Servicios de Certificación; utilización indebida de los datos de
creación de firma por un tercero; resolución judicial o administrativa que lo ordene;
fallecimiento o extinción de la personalidad jurídica del firmante o del representado;
etcétera.

La Ley considera que un Certificado Electrónico Reconocido5 es

un certificado electrónico expedido por un Prestador de Servicios de
Certificación que cumpla los requisitos establecidos en cuanto a la
comprobación de la identidad y demás circunstancias de los solicitantes
y a la fiabilidad y las garantías de los servicios de certificación que
presten.

5
“Qualified Certificate”.
8 ENCICLOPEDIA DE LA SEGURIDAD INFORMÁTICA © RA-MA

Los certificados reconocidos deben incluir, al menos, los siguientes datos:

¾ La indicación de que se expiden como tales.

¾ El código identificativo único del certificado.

¾ La identificación del Prestador de Servicios de Certificación

que expide el certificado y su domicilio.

¾ La firma electrónica avanzada del Prestador de Servicios de

Certificación que expide el certificado.

¾ La identificación del firmante, en el supuesto de personas

físicas, por su nombre y apellidos y su número de documento
nacional de identidad o a través de un seudónimo que conste
como tal de manera inequívoca y, en el supuesto de personas
jurídicas, por su denominación o razón social y su código de
identificación fiscal.

¾ Los datos de verificación de firma que correspondan a los datos

de creación de firma que se encuentren bajo el control del
firmante.

¾ El comienzo y el fin del período de validez del certificado.

¾ Los límites de uso del certificado, si se establecen.

¾ Los límites del valor de las transacciones para las que puede
utilizarse el certificado, si se establecen.

Para poder expedir certificados electrónicos reconocidos, los Prestadores de

Servicios de Certificación deberán cumplir las siguientes obligaciones:

¾ Comprobar la identidad y circunstancias personales de los solicitantes de

certificados. Este trámite no será necesario cuando para solicitar un
certificado se utilice otro certificado para cuya expedición se hubiera
identificado al firmante en la forma prescrita por la Ley y le conste al
Prestador de Servicios de Certificación que el período de tiempo
transcurrido desde la identificación es menor de cinco años.

¾ Verificar que la información contenida en el certificado es exacta y que

incluye toda la información prescrita para un certificado reconocido.

¾ Asegurarse de que el firmante está en posesión de los datos de creación de

firma correspondientes a los de verificación que constan en el certificado.
© RA-MA ANEXO X: MARCO LEGAL DE LA FIRMA ELECTRÓNICA 9

¾ Garantizar la complementariedad de los datos de creación y verificación

de firma, siempre que ambos sean generados por el prestador de servicios
de certificación.

De acuerdo con esta Ley, la identificación de la persona física que solicite un

certificado reconocido exigirá su personación ante los encargados de verificarla y se
acreditará mediante el documento nacional de identidad, pasaporte u otros medios
admitidos en derecho. Además, en el caso de certificados reconocidos de personas
jurídicas, los Prestadores de Servicios de Certificación también tendrán que comprobar
los datos relativos a la constitución y personalidad jurídica y a la extensión y vigencia
de las facultades de representación del solicitante, bien mediante consulta en el
registro público en el que estén inscritos los documentos de constitución y de
apoderamiento, bien mediante los documentos públicos que sirvan para acreditar los
extremos citados de manera fehaciente, cuando aquéllos no sean de inscripción
obligatoria.

La Ley también establece la equivalencia internacional de certificados

reconocidos, siempre y cuando los Prestadores de Servicios de Certificación cumplan
los requisitos establecidos en la normativa comunitaria sobre firma electrónica para la
expedición de certificados reconocidos.

En cuanto a las obligaciones de los Prestadores de Servicios de Certificación,

podemos citar, entre otras, las siguientes:

¾ Proporcionar al solicitante antes de la expedición del certificado la

siguiente información mínima, de forma gratuita, por escrito o por vía
electrónica:

o Las obligaciones del firmante, la forma en que han de custodiarse

los datos de creación de firma, el procedimiento que haya de
seguirse para comunicar la pérdida o posible utilización indebida
de dichos datos y determinados dispositivos de creación y de
verificación de firma electrónica que sean compatibles con los
datos de firma y con el certificado expedido.

o Los mecanismos para garantizar la fiabilidad de la firma

electrónica de un documento a lo largo del tiempo.

o El método utilizado por el prestador para comprobar la identidad

del firmante u otros datos que figuren en el certificado.

o Las condiciones precisas de utilización del certificado, sus

posibles límites de uso y la forma en que el prestador garantiza su
responsabilidad patrimonial.

o Las certificaciones que haya obtenido, en su caso, el prestador de

servicios de certificación y los procedimientos aplicables para la
10 ENCICLOPEDIA DE LA SEGURIDAD INFORMÁTICA © RA-MA

resolución extrajudicial de los conflictos que pudieran surgir por

el ejercicio de su actividad.

o Las demás informaciones contenidas en la Declaración de

Prácticas de Certificación.

¾ No almacenar ni copiar los datos de creación de firma de la persona a la

que hayan prestado sus servicios.

¾ Mantener un directorio actualizado de certificados en el que se indicarán

los certificados expedidos y si están vigentes o si su vigencia ha sido
suspendida o extinguida, siendo necesario garantizar la integridad de
dicho directorio.

¾ Garantizar la disponibilidad de un servicio de consulta sobre la vigencia

de los certificados rápido y seguro.

¾ En caso de extinción o suspensión de un certificado, el prestador de

servicios de certificación hará constar inmediatamente, de manera clara y
sin lugar a dudas, la extinción o suspensión de la vigencia de los
certificados electrónicos en el servicio de consulta sobre la vigencia de los
certificados, en cuanto tenga conocimiento fundado de cualquiera de los
hechos determinantes de la extinción o suspensión de su vigencia.

Los Prestadores de Servicios de Certificación que expidan certificados

reconocidos deben asumir algunas obligaciones adicionales:

¾ Demostrar la fiabilidad necesaria para prestar servicios de certificación.

¾ Garantizar que pueda determinarse con precisión la fecha y la hora en las

que se expidió un certificado o se extinguió o suspendió su vigencia.

¾ Emplear personal con la cualificación, conocimientos y experiencia

necesarios para la prestación de los servicios de certificación ofrecidos y
los procedimientos de seguridad y de gestión adecuados en el ámbito de la
firma electrónica.

¾ Utilizar sistemas y productos fiables que estén protegidos contra toda

alteración y que garanticen la seguridad técnica y, en su caso,
criptográfica de los procesos de certificación a los que sirven de soporte.

¾ Adoptar medidas contra la falsificación de certificados y, en el caso de

que el Prestador de Servicios de Certificación genere datos de creación de
firma, garantizar su confidencialidad durante el proceso de generación y
su entrega por un procedimiento seguro al firmante.
© RA-MA ANEXO X: MARCO LEGAL DE LA FIRMA ELECTRÓNICA 11

¾ Conservar registrada por cualquier medio seguro toda la información y

documentación relativa a un certificado reconocido y las declaraciones de
prácticas de certificación vigentes en cada momento, al menos durante 15
años contados desde el momento de su expedición, de manera que puedan
verificarse las firmas efectuadas con el mismo.

¾ Utilizar sistemas fiables para almacenar certificados reconocidos que

permitan comprobar su autenticidad e impedir que personas no
autorizadas alteren los datos, restrinjan su accesibilidad en los supuestos o
a las personas que el firmante haya indicado y permitan detectar cualquier
cambio que afecte a estas condiciones de seguridad.

Asimismo, los Prestadores de Servicios de Certificación que expidan

certificados reconocidos deberán constituir un seguro de responsabilidad civil por
importe de al menos 3.000.000 de euros para afrontar el riesgo de la responsabilidad
por los daños y perjuicios que pueda ocasionar el uso de los certificados que expidan.

Los Prestadores de Servicios de Certificación responderán por los daños y

perjuicios que causen a cualquier persona en el ejercicio de su actividad cuando
incumplan las obligaciones que les impone esta Ley. De manera particular, un
Prestador de Servicios de Certificación deberá responder de los perjuicios que se
causen al firmante o a terceros de buena fe por la falta o el retraso en la inclusión en el
servicio de consulta sobre la vigencia de los certificados de la extinción o suspensión
de la vigencia del certificado electrónico.

No obstante, la Ley también establece que en determinadas circunstancias el

Prestador de Servicios de Certificación no será responsable de los daños y perjuicios
ocasionados al firmante o a terceros de buena fe: cuando el firmante no haya
proporcionado información veraz, completa y exacta sobre los datos que deban constar
en el certificado electrónico o que sean necesarios para su expedición o para la
extinción o suspensión de su vigencia; cuando el firmante no haya puesto en
conocimiento del Prestador de Servicios de Certificación sin demora cualquier
modificación de las circunstancias reflejadas en el certificado electrónico; si el
firmante actúa de forma negligente en la conservación de sus datos de creación de
firma, en el aseguramiento de su confidencialidad y en la protección de todo acceso o
revelación; cuando el firmante no solicite la suspensión o revocación del certificado
electrónico en caso de duda en cuanto al mantenimiento de la confidencialidad de sus
datos de creación de firma; cuando el firmante utilice los datos de creación de firma
una vez haya expirado el período de validez del certificado electrónico o el Prestador
de Servicios de Certificación le notifique la extinción o suspensión de su vigencia;
cuando el firmante supere los límites que figuren en el certificado electrónico en
cuanto a sus posibles usos y al importe individualizado de las transacciones que
puedan realizarse con él o no utilizarlo conforme a las condiciones establecidas y
comunicadas al firmante por el Prestador de Servicios de Certificación.
12 ENCICLOPEDIA DE LA SEGURIDAD INFORMÁTICA © RA-MA

El Prestador de Servicios de Certificación tampoco será responsable por los

daños y perjuicios ocasionados al firmante o a terceros de buena fe, si el destinatario
de los documentos firmados electrónicamente actúa de forma negligente.

Tal podría ser el caso, por ejemplo, cuando éste no compruebe y tenga en
cuenta las restricciones que figuren en el certificado electrónico en cuanto a sus
posibles usos y al importe individualizado de las transacciones que puedan realizarse
con él, cuando no verifique la firma electrónica o bien cuando no tenga en cuenta la
revocación del certificado electrónico publicada en el servicio de consulta sobre la
vigencia de los certificados.