El 16 de octubre de 2009, la Comisión Europea adoptó una Decisión por la que se establecían medidas para facilitar el uso de procedimientos por medios electrónicos a través de las «ventanillas únicas» de la Directiva de Servicios. Una de las medidas adoptadas por la Decisión consistía en la obligación de los Estados miembros de establecer y publicar antes del 28. 12.2009 su lista de confianza de proveedores de servicios de certificación supervisados/acreditados que emiten certificados cualificados al público. El objetivo de esta obligación es potenciar el uso transfronterizo de la firma electrónica aumentando la confianza en las firmas electrónicas procedentes de otros Estados miembros. La Decisión se ha actualizado en varias ocasiones desde el 16.10.2009; la última modificación se realizó el 28.7.2010. La versión consolidada está disponible aquí para información.
Las listas de confianza de la UE benefician sobre todo a la verificación de las firmas electrónicas avanzadas respaldadas por certificados cualificados en el sentido de la Directiva sobre la firma electrónica (1999/93/CE) en la medida en que tienen que incluir al menos proveedores de servicios de certificación que emitan certificados cualificados. No obstante, los Estados miembros pueden incluir en sus listas de confianza también otros proveedores de servicios de certificación.
Para validar las firmas electrónicas avanzadas respaldadas por certificados reconocidos, una parte receptora tendría que comprobar primero su fiabilidad. Esto significa que la parte receptora tiene que ser capaz de verificar si la firma es una firma electrónica avanzada respaldada por un certificado cualificado emitido por un prestador de servicios de certificación supervisado, tal como exige el artículo 3.3 de la Directiva sobre la firma electrónica. La parte receptora también puede tener que verificar si la firma está respaldada por un dispositivo seguro de creación de firmas.
Aunque la información necesaria para verificar estas firmas debería, en principio, poder extraerse de la propia firma y del contenido del certificado reconocido que la respalda, este proceso puede resultar bastante difícil debido a las diferencias en el uso de las normas y prácticas existentes. Las listas de confianza disponibles públicamente facilitan mucho la verificación de las firmas electrónicas por parte de los destinatarios de las mismas, ya que complementan los datos que pueden obtenerse de la firma electrónica y del certificado reconocido y proporcionan también información sobre la situación supervisada/acreditada de los proveedores de servicios de certificación de los Estados miembros y sus servicios.
Los Estados miembros tenían que establecer y publicar su lista de confianza antes del 28 de diciembre de 2009, al menos en un formato «legible por el ser humano», pero también podían producir un formato «procesable por la máquina» que permitiera la recuperación automática de la información. Todos los Estados miembros debían poner a disposición las listas de confianza, incluidos los que no tuvieran proveedores de servicios de certificación que expidieran certificados reconocidos; el hecho de que una lista de confianza nacional estuviera vacía indicaría la ausencia de proveedores de servicios de certificación que expidieran certificados reconocidos.
Para permitir el acceso a las listas de confianza de todos los Estados miembros de forma sencilla, la Comisión Europea ha publicado una lista central con enlaces a las «listas de confianza» nacionales. Esta lista central ha sido creada por la Dirección General de Informática en el marco del programa IDABC, en estrecha colaboración con las Direcciones Generales de Mercado Interior y Servicios y de Sociedad de la Información y Medios de Comunicación.
De acuerdo con la norma ETSI TS 102 231 (que será sustituida por TS 119 612), la lista compilada (la lista de la Comisión Europea de los lugares donde se publican las listas de confianza notificadas por los Estados miembros) está disponible en un sitio web seguro en dos formatos:
–Lista compilada en un formato legible para las personas PDF.
–Lista recopilada en un formato adecuado para el procesamiento automatizado (máquina) XML.
Consulte la nota importante sobre la política de listas centrales y el aviso legal correspondiente. Las listas anteriores se refieren al artículo 1, apartado 4, de la Decisión 2010/425/UE de la Comisión, de 28 de julio de 2010, por la que se modifica la Decisión 2009/767/CE cuando la modificación entró en vigor el 1.12.2010.
La autenticidad e integridad de la versión procesable por máquina de la lista recopilada se garantiza mediante una firma electrónica respaldada por un certificado digital. El certificado puede ser autentificado a través de uno de los compendios publicados en la página 8 del Diario Oficial de la Unión Europea C 374 de 22.12.2011.
La autenticidad e integridad de la versión legible por humanos de la lista compilada se garantiza mediante una conexión segura TLS/SSL respaldada por un certificado digital. El certificado se publicó en la página 15 del Diario Oficial de la Unión Europea C 57 de 09.03.2010.
La autenticidad e integridad de la lista recopilada debe ser verificada por las partes que confían en ella antes de cualquier uso.