JEFATURA DE GABINETE DE MINISTROS SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN

Ciudad de Buenos Aires, 15/08/2019

VISTO: los Expedientes Nros. CUDAP: EXP-JGM: 0039448/2011, EX-2017-09151269-APN-DDYMDE#MM, EX-2018-11300963-APN-DDYMDE#MM y EX-2019-39995964-APN-DNSAYFD#JGM del Registro de la JEFATURA DE GABINETE DE MINISTROS, la Ley de Ministerios (texto ordenado por Decreto N° 438 del 12 de marzo de 1992) y sus modificatorias, la Ley N° 25.506 y su modificatoria N° 27.446, los Decretos Nros. 357 del 21 de febrero de 2002 y sus modificatorios, 182 del 11 de marzo de 2019, la Decisión Administrativa Nº 103 del 20 de febrero de 2019 y las Resoluciones Nros. 184 del 28 de junio de 2012 de la entonces SECRETARÍA DE GABINETE Y COORDINACIÓN ADMINISTRATIVA de la JEFATURA DE GABINETE DE MINISTROS, 399-E del 5 de octubre de 2016 (RESOL-2019-399-E-APN-MM) y 213 del 9 de mayo de 2017 (RESOL-2019-213-APN-MM) del entonces MINISTERIO DE MODERNIZACIÓN, y

CONSIDERANDO:

Que la Ley Nº 25.506 y modificatoria legisló sobre la firma electrónica, la firma digital, el documento digital y su eficacia jurídica, estableciendo disposiciones relativas a los componentes de la Infraestructura de Firma Digital de la República Argentina.

Que el Decreto Nº 182 del 11 de marzo de 2019, reglamentario de la ley antes citada, reguló el empleo de la firma electrónica y la firma digital y su eficacia jurídica, asignando competencias a la Autoridad de Aplicación para establecer determinados actos y procedimientos.

Que la Ley de Ministerios Nº 22.520 (texto ordenado por Decreto N° 438 del 12 de marzo de 1992), modificado por el Decreto Nº 801/18 en su artículo 11 estableció que la JEFATURA DE GABINETE DE MINISTROS es continuadora a todos sus efectos del MINISTERIO DE MODERNIZACIÓN, debiendo considerarse modificada por tal denominación cada vez que se hace referencia a la cartera ministerial citada en segundo término.

Que el Decreto Nº 802/18 en la planilla anexa al artículo 8º (IF-2018-43620838-APN-DNDO#JGM) estableció los objetivos de la SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN de la JEFATURA DE GABINETE DE MINISTROS, entre los cuales se encuentra el de actuar como Autoridad de Aplicación del régimen normativo que establece la infraestructura de firma digital estipulada por la Ley N° 25.506.

Que el Decreto N° 357/02 y modificatorios, aprobó los objetivos de las unidades organizativas y asigna a la SECRETARÍA DE MODERNIZACIÓN ADMINISTRATIVA del entonces MINISTERIO DE MODERNIZACIÓN el objetivo de entender en el marco regulatorio del régimen relativo a la validez legal del documento y firma digital, así como intervenir en aquellos aspectos vinculados con la incorporación de estos últimos a los circuitos de información del Sector Público Nacional y con su archivo en medios alternativos al papel.

Que la Decisión Administrativa N° 103 del 20 de febrero de 2019 aprobó la estructura organizativa de primer nivel operativo de las distintas áreas de la SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN de la JEFATURA DE GABINETE DE MINISTROS asignando a la DIRECCIÓN NACIONAL DE SISTEMAS DE ADMINISTRACIÓN Y FIRMA DIGITAL dependiente de la SECRETARÍA DE MODERNIZACIÓN ADMINISTRATIVA del citado organismo, la acción de asistir a la SECRETARÍA DE MODERNIZACIÓN ADMINISTRATIVA en la definición, implementación y control de la infraestructura de la Firma Digital de la REPÚBLICA ARGENTINA interviniendo en la definición de las normas reglamentarias y tecnológicas, en el otorgamiento y revocación de las licencias a certificadores.

Que la citada Ley N° 25.506 modificada por su similar Nº 27.446 en su artículo 34 asignó el rol de organismo auditante a la SINDICATURA GENERAL DE LA NACIÓN – SIGEN.

Que el Decreto Nº 182/19 en el Artículo 5º de su Anexo estableció que la Autoridad Certificante Raíz es la Autoridad Certificante administrada por la SECRETARÍA DE MODERNIZACIÓN ADMINISTRATIVA de la SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN de la JEFATURA DE GABINETE DE MINISTROS, y constituye la única instalación de su tipo, reviste la mayor jerarquía de la infraestructura de firma digital de la REPÚBLICA ARGENTINA y emite el certificado digital de las autoridades certificantes de los certificadores licenciados, una vez aprobados los requisitos de licenciamiento.

Que la Resolución Nº 399-E de fecha 5 de octubre de 2016 del entonces MINISTERIO DE MODERNIZACIÓN, estableció los procedimientos y pautas técnicas complementarias del marco normativo de firma digital, aplicables al otorgamiento y revocación de licencias a los certificadores que así lo soliciten, en el ámbito de la Infraestructura de Firma Digital de la REPÚBLICA ARGENTINA.

Que la mencionada Resolución Nº 399-E/16 del MINISTERIO DE MODERNIZACIÓN en su Anexo I: IF-2016- 01339414-APN-SECMA#MM, estableció que las entidades privadas que soliciten la licencia de certificador deberán constituir un seguro de caución a fin de garantizar el cumplimiento de sus obligaciones.

Que la Resolución Nº 184 del 28 de junio de 2012 de la entonces SECRETARÍA DE GABINETE Y COORDINACIÓN ADMINISTRATIVA de la JEFATURA DE GABINETE DE MINISTROS, en el marco de la Infraestructura de Firma Digital de la REPÚBLICA ARGENTINA, otorgó la Licencia para operar como Certificador Licenciado a ENCODE S.A.

Que el entonces MINISTERIO DE MODERNIZACIÓN elaboró y aprobó un programa de auditoría plasmando diferentes “objetivos de control” a auditarse en razón de lo establecido en el universo normativo vinculado a la Firma Digital.

Que mediante la Nota NO-2017-02942413-APN-DNSAYFD#MM de fecha 1° de marzo de 2017, notificada con fecha 9 de marzo de 2017, acompañada al expediente electrónico EX-2019-39995964--APN-DNSAYFD#JGM en el número de orden 2, se procedió a notificar dicho programa e iniciar el procedimiento de auditoría anual ordinaria al certificador licenciado ENCODE S.A. por parte de la SINDICATURA GENERAL DE LA NACIÓN.

Que del informe final sobre la auditoría inicial NO-2017-23205079-APN-SIGEN, acompañado al citado expediente electrónico bajo el informe IF-2019-40029223-APN-DNSAYFD#JGM con el número de orden 9, no ha dejado en evidencia fallas significativas en cuanto al cumplimiento de las exigencias tecnológicas y de seguridad física y lógica y de los procedimientos aprobados por la autoridad de aplicación en el momento del licenciamiento de la empresa.

Que, con relación a modificaciones significativas respecto de aspectos que fueran objeto de revisión para el otorgamiento de la licencia, el auditado ha denunciado el reemplazo del dispositivo del sitio de contingencia transcurridos NUEVE (9) meses, conducta que resulta violatoria de lo dispuesto en la Ley N° 25.506, art. 21 inc. q) y el Art. 55 de la DA 927/2014 (reemplazado por el Art. 50 de la Resolución MM Nº 399-E/16).

Que en relación a la Infraestructura de Firma Digital de la República Argentina, la Resolución Nro. 399-E/16 del MINISTERIO DE MODERNIZACIÓN, estableció en su Anexo I, apartado VII) CICLO DE VIDA DE LAS CLAVES CRIPTOGRÁFICAS DEL CERTIFICADOR, lo siguiente: “3.- Estándares para los dispositivos criptográficos vinculados al ciclo de vida de los certificados. Deberán respetarse las siguientes exigencias mínimas: a) Las claves criptográficas del certificador deberán ser generadas y almacenadas en dispositivos que cuenten con certificación FIPS 140 (Versión 2) nivel 3. b) Las claves criptográficas que utilicen los responsables de las autoridades de registro para realizar actividades tales como aprobar solicitudes, renovaciones, revocaciones y demás servicios de certificación deberán ser generadas y almacenadas en dispositivos que cumplan con certificación “overall” FIPS 140 (Versión 2) nivel 2 o superior.”

Que este estándar es obligatorio para los dispositivos criptográficos que utilicen los oficiales de registro, ya que son un elemento clave en el proceso de emisión de los certificados digitales a los particulares.

Que por otra parte, tanto la Ley Nro. 25.506 como su Decreto Reglamentario Nro. 182/19, disponen que el certificador licenciado tiene la obligación de contar con los recursos que permitan generar las firmas digitales en un ambiente seguro y garantizar la confiabilidad de los sistemas de acuerdo con los estándares aprobados por la Autoridad de Aplicación.

Que el uso de dispositivos criptográficos inferiores a los estándares definidos por la autoridad de aplicación, detectado en la auditoría por parte de los oficiales de registro, constituye una falta grave que vulnera lo establecido en el artículo 21 incisos d) y v) de la Ley N° 25.506 y los artículos 19 inciso 3), 28 inciso 9) del Anexo al Decreto Nº 182/19.

Que en virtud de una denuncia presentada al Ente Licenciante sobre el certificador licenciado ENCODE S.A., que tramitó mediante el expediente electrónico EX-2018-11300963- -APN-DDYMDE#MM, se han propuesto diversos cursos de acción en forma simultánea entre los que se encuentra el de dar intervención a la DIRECCIÓN GENERAL DE ASUNTOS JURÍDICOS del entonces MINISTERIO DE MODERNIZACIÓN.

Que mediante la Nota NO-2018-14331852-APN-SECMA#MM de la SECRETARÍA DE MODERNIZACIÓN ADMINISTRATIVA se procedió a solicitar a la SINDICATURA GENERAL DE LA NACIÓN la ampliación de la auditoría al certificador licenciado ENCODE S.A. respecto de los objetivos de control sobre las Autoridades de Registro LAN ARGENTINA S.A. y PRISMA MEDIOS DE PAGO S.A.

Que el informe (IF-2018-41050370-APN-GATYPE#SIGEN) correspondiente a la ampliación de la auditoría por parte de la SINDICATURA GENERAL DE LA NACIÓN fundado en entrevistas a los oficiales de registro de las empresas LAN y PRISMA MEDIOS DE PAGO S.A. conformadas en ENCODE S.A., indicó que se almacenarían las claves privadas de los suscriptores en los repositorios de ambas empresas.

Que la DIRECCIÓN GENERAL DE ASUNTOS JURÍDICOS del entonces MINISTERIO DE MODERNIZACIÓN procedió a formular la denuncia ante el Juzgado Criminal y Correccional Federal Nº 2, a cargo del Juez Federal Sebastián R. RAMOS, Secretaría Nº 4 a cargo de Esteban H. MURANO, sito en Av. Comodoro Py 2002, piso 3°, CABA correspondiente a los autos caratulados “DENUNCIADO: ENCODE S.A. s/INFRACCION ART 157 BIS INCISO 2 y FALSIFICACIÓN DOCUMENTOS PÚBLICOS - DENUNCIANTE: AUAD, EMILIANO MARTIN Y OTRO (Expte Nro. 6058 / 2018).

Que previo a realizar una recomendación sobre la sanción aplicable, la DIRECCIÓN NACIONAL DE SISTEMAS DE ADMINISTRACIÓN Y FIRMA DIGITAL solicitó tomar conocimiento del expediente en trámite ante el fuero penal, con el fin de profundizar lo indicado por la SIGEN y así determinarla conjuntamente con otros medios de prueba.

Que la DIRECCIÓN NACIONAL DE SISTEMAS DE ADMINISTRACIÓN Y FIRMA DIGITAL, mediante el informe acompañado al citado expediente en número de orden 16, procedió al análisis de los riesgos sobre los incumplimientos e irregularidades que surgen de los informes mencionados y los elementos probatorios obrantes en el mencionado expediente judicial que tramita ante el fuero penal.

Que los certificadores licenciados cumplen un rol fundamental dentro de la Infraestructura de Firma Digital de la REPÚBLICA ARGENTINA, ya que son los responsables de emitir certificados digitales a las personas, los que luego serán utilizados para firmar digitalmente documentos electrónicos, y se encuentran alcanzados por la presunción de autoría establecida en el artículo 7 de la Ley N° 25.506 de firma digital.

Que, en efecto, el mencionado artículo 7 de la ley citada, expresamente dispone que se presume, salvo prueba en contrario, que toda firma digital pertenece al titular del certificado digital que permite la verificación de dicha firma.

Que la SECCIÓN ANÁLISIS DE INVESTIGACIONES ESPECIALES perteneciente al DEPARTAMENTO DEL CIBERCRIMEN de la POLICÍA DE LA CIUDAD DE BUENOS AIRES, mediante el Informe Técnico de fecha 30 de julio de 2018 procedió a la lectura de DOS (2) discos ópticos aportados por la empresa LATAM “…donde se pudo verificar que debido a la cantidad de eventos registrados, de la aplicación de firma de recibos se encuentran los registros comprendidos entre el 01/05/2018 y el 15/01/2018; y del ´active directory´ solamente del 16/05/18 y del 17/05/18. En el caso de las ´firmas de recibo´ se pueden observar intentos fallidos por ´password´ incorrecta, los que son solucionados más adelante con el pedido de blanqueo de la misma”.

Que la DIRECCIÓN NACIONAL DE SISTEMAS DE ADMINISTRACIÓN Y FIRMA DIGITAL entiende que si una persona puede iniciar sesión (loguearse) desde cualquier puesto de trabajo y acceder a la aplicación ´Firmas Digitales´ para firmar digitalmente los recibos de sueldo, se encuentra comprobado el almacenamiento de certificados digitales en algún servidor centralizado (ya sea de la Autoridad de Registro LAN ARGENTINA S.A. o de ENCODE S.A. en su carácter de certificador licenciado).

Que la SIGEN mediante el informe correspondiente a la ampliación de la auditoría que ha sido previamente citado (IF-2018-41050370-APN-GATYPE#SIGEN), ha indicado que: “…Almacenan las claves privadas en el servidor de la empresa. En el caso de LAN se almacenan en el perfil del usuario.”

Que en el citado expediente en trámite ante el fuero penal PRISMA MEDIOS DE PAGO S.A. mediante la presentación de fecha 1º de junio de 2018 con cargo de fecha 04 de junio del corriente, informa que “Prisma Medios de Pago S.A. no posee los datos requeridos, pues la gestión de claves informáticas es administrada por la firma ´Encode S.A.´.

Que el agente policial que ha intervenido en la diligencia practicada en la firma PRISMA MEDIOS DE PAGO S.A. preguntado por su S.S. para que diga si durante la misma verificó si las claves privadas para la firma digital de los empleados de aquella empresa quedan resguardadas en un servidor y en su caso, quién tenía acceso respondió: “no, la empresa no tiene servidor. Ellos tienen una plataforma que les provee Encode donde colocan la contraseña, sale la firma y se imprime el recibo. Como no tienen servidor, nadie puede acceder a las claves. En esa plataforma no quedan registradas las contraseñas”.

Que la DIRECCIÓN NACIONAL DE SISTEMAS DE ADMINISTRACIÓN Y FIRMA DIGITAL entiende que el sólo hecho de permitir “…firmar desde cualquier puesto” pone en evidencia la existencia de un servidor centralizado con las claves privadas de los suscriptores, el cual no se encuentra en PRISMA MEDIOS DE PAGO S.A. y pertenece a ENCODE S.A.

Que en virtud de lo establecido por el artículo 288 del Código Civil y Comercial de la Nación y por el artículo 3 de la Ley N° 25.506, la firma digital posee los mismos efectos que la firma ológrafa con lo cual si una persona pudiera controlar el certificado de otro semejante, el afectado podría sufrir graves perjuicios. Situación agravada si se tiene en cuenta que la firma digital goza de las presunciones de autoría e integridad en virtud de los artículos 7° y 8° de la Ley N° 25.506.

Que el almacenamiento de las claves privadas de los titulares de certificados en servidores, ya sean de las autoridades de registro o del certificador licenciado, conlleva el riesgo de que las contraseñas pueden ser modificadas por los administradores de los sistemas, en virtud de lo informado por la SECCIÓN ANÁLISIS DE INVESTIGACIONES ESPECIALES perteneciente al DEPARTAMENTO DEL CIBERCRIMEN de la POLICÍA DE LA CIUDAD DE BUENOS AIRES en el Informe Técnico de fecha 30 de julio de 2018 agregado a los autos previamente citados.

Que la Ley N° 25.506 en su artículo 21 inciso b) establece la obligación del certificador licenciado que también resulta aplicable a sus autoridades de registro que consiste en “Abstenerse de generar, exigir, o por cualquier otro medio tomar conocimiento o acceder bajo ninguna circunstancia, a los datos de creación de firma digital de los titulares de certificados digitales por él emitidos”. En otras palabras, prohíbe al certificador licenciado y a sus autoridades de registro, acceder bajo ninguna circunstancia a la clave privada de los titulares de certificados.

Que el almacenamiento de las claves privadas verificado por las pericias de la causa penal antedicha es suficiente evidencia del incumplimiento por parte de ENCODE S.A., constituyendo una falta gravísima que vulnera lo establecido en el art. 21 inciso b) de la Ley N° 25.506, los artículos 19 incisos 2) y 3), 21 inciso 3) y 28 inciso 9) del Anexo al Decreto Nº 182/19.

Que de conformidad con las constancias obrantes en el expediente, se han acreditado las condiciones requeridas para la aplicación de la sanción de caducidad de la licencia prevista en el Capítulo X de la Ley N° 25.506, en virtud de la gravedad de los incumplimientos verificados conforme lo precedentemente señalado, en los términos de los incisos a) y d) del artículo 44 de la Ley Nº 25.506.

Que de acuerdo a los incumplimientos relevados tanto en el Informe Final de Auditoría emanado por la SIGEN como en el Resumen Ejecutivo emanado por la Dirección Nacional de Sistemas de Administración y Firma Digital, se advierte que se han configurado las causales que hacen a ENCODE S.A. merecer la sanción proyectada.

Que a los fines de facilitar la consulta de esta Resolución, la misma será incorporada al sitio de Internet https://www.acraiz.gob.ar/ de la SECRETARÍA DE MODERNIZACIÓN ADMINISTRATIVA del MINISTERIO DE MODERNIZACIÓN.

Que la DIRECCIÓN GENERAL DE ASUNTOS JURÍDICOS de la SUBSECRETARÍA DE COORDINACIÓN ADMINISTRATIVA de la SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN de la JEFATURA DE GABINETE DE MINISTROS ha tomado la intervención que le compete.

Que la presente medida se dicta en ejercicio de las competencias conferidas por el Decreto Nº 182/19.

Por ello,

EL SECRETARIO DE GOBIERNO DE MODERNIZACIÓN

RESUELVE:

ARTÍCULO 1º.- Aplicase a la firma ENCODE S.A., en el carácter de certificador licenciado, la sanción de CADUCIDAD de la licencia otorgada por la Resolución Nº 184 del 28 de junio de 2012 de la entonces SECRETARÍA DE GABINETE Y COORDINACIÓN ADMINISTRATIVA de la JEFATURA DE GABINETE DE MINISTROS, en el marco de la Infraestructura de Firma Digital de la REPÚBLICA ARGENTINA en virtud de haber incurrido en las causales dispuestas en los Incisos a) y d) del Artículo 44 de la ley N° 25.506.

ARTÍCULO 2º.- Instrúyese a la DIRECCIÓN NACIONAL DE SISTEMAS DE ADMINISTRACIÓN Y FIRMA DIGITAL de la SECRETARÍA DE MODERNIZACIÓN ADMINISTRATIVA de la SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN de la JEFATURA DE GABINETE DE MINISTROS, en virtud de la sanción de CADUCIDAD impuesta en el artículo 1°, a fin que la Autoridad Certificante Raíz de la REPÚBLICA ARGENTINA revoque, dentro de los CINCO (5) días de notificada la presente Resolución, el certificado digital correspondiente al Certificador Licenciado ENCODE S.A.

ARTÍCULO 3º.- Dispónese que los certificados digitales emitidos por la Autoridad Certificante ENCODE S.A. y las firmas digitales que se produzcan con posterioridad a la revocación dispuesta en el artículo 2°, carecerán de validez en los términos del artículo 9º de la Ley Nº 25.506.

ARTÍCULO 4º.- Notifíquese de los términos de la presente a la firma ENCODE S.A., conforme lo previsto en el Inciso “f” del artículo 41 del Decreto Nº 1759/1972 (TO Decreto Nº 1883/1991), reglamentario de la Ley Nº 19.549, haciéndosele saber que podrá interponer Recurso de Reconsideración en los términos de los artículos 84 y 88 o Recurso Jerárquico en los términos del artículo 90 del Decreto Nº 1759/1972 (TO Decreto Nº 1883/1991) reglamentario de la Ley Nº 19.549. Agotada la instancia administrativa, podrá recurrir por ante Tribunales Federales con competencia en lo Contencioso Administrativo correspondientes, conforme lo determina el artículo 45 de la Ley Nº 25.506.

ARTÍCULO 5°.- Publíquese la presente Resolución en el Boletín Oficial, dese a la DIRECCIÓN NACIONAL DEL REGISTRO OFICIAL y hágase saber que los plazos procesales serán contados a partir del día siguiente a la publicación en el Boletín Oficial.

ARTÍCULO 6°.- Cumplida la notificación del acto en los términos del artículo 4° difúndase la presente Resolución en el sitio de Internet https://www.acraiz.gob.ar/, dependiente de la SECRETARÍA DE MODERNIZACIÓN ADMINISTRATIVA de la SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN de la JEFATURA DE GABINETE DE MINISTROS. Fecho, archívese. Andrés Horacio Ibarra

e. 20/08/2019 N° 60780/19 v. 20/08/2019