Cómo contratar online y no morir en el intento

El riesgo de no-ejecución de un contrato online

Cada vez que firmas un contrato estás asumiendo un riesgo: “el riesgo de no ejecución del contrato”. En otras palabras, que la otra parte se niegue a cumplir aquello a lo que se comprometió y tú no puedas obligarla a hacer honor a su palabra.

En Internet es difícil identificar a las partes y su voluntad y, por tanto, el riesgo de no ejecución de un contrato es aún mayor que en el mundo físico. Si surge una disputa y la otra parte no quiere cumplir el contrato, basta con que alegue que ella nunca lo firmó y dejarte con la pesada carga de demostrar ante el juez que el contrato electrónico realmente existió.

Por tanto:

Si quieres hacer negocios online y no morir en el intento, es tu responsabilidad asegurarte de que utilizas un método de firma que garantice el cumplimiento posterior del contrato

Ahora bien, ¿qué método es ese?. Hay multitud de métodos de firma o, si lo prefieres, muchas formas de manifestar tu voluntad de obligarte en un contrato electrónico: firma con certificado electrónico, con SMS, con huellas dactilares, con botón de “Aceptar”, con aceptación verbal por teléfono, con aceptación escrita por email, con tarjetas multiclave, con generadores de claves … la lista de métodos de firma y sus posibles variantes es interminable. ¿Cual elegir?.

¿Qué método de firma debo utilizar en mi negocio?

La respuesta es: “Depende”.

Depende de tu negocio y de tus procesos de contratación. Si firmas solo 2-3 contratos al año y cada uno por muchísimo dinero, deberías utilizar la forma más segura disponible ya que el riesgo de no-ejecución de un solo contrato es enorme para tí. Por el contrario, si firmas miles de contratos al año, cada uno por poco dinero, quizás deberías elegir una forma no tan segura pero más conveniente para tus clientes. Sí, quizás algunos no cumplan el contrato o no realicen el pago pero, no nos engañemos, por cantidades tan pequeñas probablemente no te vas a preocupar de perseguirles. El riesgo de no-ejecución no es tan importante en este caso.

Como ves, necesitas averiguar si el nivel de garantías que requieres en tus contratos se corresponde con el nivel de garantías que ofrece el método de firma que utilizas. Y en esta última parte radica el problema.

No todos los métodos de firma ofrecen las mismas garantías…

Conocer el auténtico nivel de garantías de un método de firma concreto no es fácil. No basta con fijarse en el tipo de “dispositivo” o proceso utilizado (¿usuario y contraseña?, ¿PIN?, ¿móvil¿, ¿generador de claves?, ¿tarjeta multiclave?, ¿tarjeta bancaria?, ¿tarjeta eID?…) sino, que hay que prestar atención a multitud de factores. A modo de ejemplo: la forma en que se verifica la identidad del poseedor antes de entregarle ese dispositivo (¿en persona?, ¿por correo?, ¿por email?, ¿por la web?), el medio por el que se entrega el dispositivo (¿en persona?, ¿por correo?, ¿por email?, ¿por la web?), la forma en que funciona (¿es una contraseña de 4 letras escrita en un papel que cualquiera puede leer o una clave criptográfica almacenada en un microchip que no permite la exportación de la clave?), e incluso la legislación que regula la firma electrónica en ese país (¿reconoce validez a la firma electrónica?, ¿distingue entre distintos tipos de firma?). Todos estos son algunos de los factores que harán más o menos difícil/probable que la otra parte se atreva a alegar que nunca firmó el contrato.

Mientras tanto, en medio de toda esta complejidad, todos (gobiernos, fabricantes de tecnologías de seguridad, proveedores de servicios) gritan a los cuatro vientos que su método de firma es el mejor. Una auténtica cacofonía de voces que confunde al usuario y le lleva a tomar decisiones erróneas.

El problema es que la gente conoce el nivel de garantía que quiere para sus contratos pero no conoce el nivel de garantía real que ofrece cada método de firma

…pero el comprador no sabe distinguir

En 1970, el economista George Akerlof se refirió a este problema en”El Mercado de los límones“, un ensayo donde establecía la teoría de la información asimétrica por la que ganó el premio Nobel. En resumen: El vendedor tiene más información que el comprador. El comprador no puede elegir en función de la calidad así que acaba eligiendo en función del precio. Los productos malos triunfan y los buenos desaparecen.

Hace poco, Bruce Schneier, uno de los mayores expertos en seguridad a nivel mundial, reflexionaba sobre el problema de “El mercado de los límones” aplicado al sector de seguridad:

En un mercado donde el vendedor tiene más información sobre el producto que el comprador, los malos productos pueden sacar a los buenos del mercado.
(…)
Esto significa que el producto menos-seguro será más barato, más rápido en llegar al mercado y tendrá más funcionalidades. En este mercado, el (producto) más-seguro va a perder.
(…)
¿Cómo resolver esto?. Necesitas lo que los economistas denominan una “señal”, una manera de que los compradores puedan ver la diferencia.
(…)
Si existe un abogado del consumidor que tiene la experiencia para evaluar distintos productos, entonces los limones pueden ser expuestos.

Tractis Score: La señal en la oscuridad

Hoy anunciamos el lanzamiento de “Tractis Score”, una escala que indica el nivel de garantías que necesita tu negocio y el nivel de garantías que ofrece un determinado método de firma (desde “1 – Nivel de garantía mínimo” a “4 – Nivel de garantía alto“).

Dicho de otra forma, Tractis Score te indicará, de forma rápida y sencilla, la probabilidad de hacer cumplir un contrato electrónico en el mundo offline en caso de que surjan disputas sobre su validez.

Tractis Score es:

• Fácil de usar: El nivel de garantía se representa con una escala que va del 1 a 4. No hace falta ser un experto en firma electrónica para utilizarla.
• Abierto: No escondemos nada. Puedes consultar, contribuir y discutir los requerimientos utilizados para determinar cada Tractis Score (Tractis Score Policy) o la lista completa de métodos de firma existentes clasificados por Tractis Score (Tractis Score Mapping).
• Independiente: Tractis no “vende” métodos de firma propios sino que utiliza los de terceros. Aspiramos a clasificar e incorporar todos los métodos de firma disponibles en el mercado. Por lo tanto, no tenemos ningún interés en que triunfe uno u otro. Los usuarios decidirán.
• Con vocación de estándar: El problema de decidir qué nivel de garantías corresponde a cada método no es nuevo (los expertos lo llaman “eID interoperability” o “Multilevel authentication policy”). No hemos reinventado la rueda. El diseño de Tractis Score está fuertemente influenciado (enfoque, niveles, requisitos, terminología) por la Guía de autenticación electrónica del NIST (agencia de estándares del gobierno estadounidense) y la Propuesta de la Unión Europea para un mecanismo de autenticación multinivel (que acabará convirtiéndose en el estándar de facto en Europa). Aunque nos reservamos la posibilidad de hacer cambios, nuestra intención es mantener Tractis Score en línea con la propuesta europea.

Por supuesto, Tractis Score estará perfectamente integrado dentro de Tractis.

Muy pronto Tractis incorporará múltiples métodos de firma y te permitirá fijar fácilmente el Tractis Score (nivel de garantía) mínimo que requieres en tus contratos.

Por David Blanco
Guardado en: Anuncios, Firma digital, Seguridad, Tractis | 1 comentario » | 23 de Julio de 2008