ORDEN DEL DIA:
--Comparecencia de don Rafael Mateu de Ros Cerezo, Secretario General y
del Consejo de Administración de Bankinter (Número de expediente
715/000070).
--Nueva designación de miembros de la Ponencia de estudio de los derechos
de concursantes y audiencia en relación con concursos, juegos y apuestas
(Número de expediente 543/000007).
--Elección del Secretario Segundo de la Comisión (Número de expediente
541/000005).
--Comparecencia de don Juan Carlos García Cuartango, ingeniero de
telecomunicaciones especializado en seguridad informática y colaborador
de Kriptópolis (Número de expediente 715/000028).
Se abre la sesión a las once horas.
La señora PRESIDENTA: Buenos días, Señorías. Se abre la sesión.
¿Los portavoces tienen el acta de la sesión anterior? ¿Se puede entender
aprobada por asentimiento? (Pausa.) Se aprueba.
--COMPARECENCIA DE DON RAFAEL MATEU DE ROS CEREZO, SECRETARIO GENERAL Y
DEL CONSEJO DE ADMINISTRACION DE BANKINTER (715/000070).
La señora PRESIDENTA: A continuación vamos a pasar al primer punto del
orden del día, que es la comparecencia
de don Rafael Mateu de Ros Cerezo, Secretario General del Consejo de
Administración de Bankinter. Bienvenido, señor Mateu, le agradecemos que
haya aceptado amablemente la invitación de venir a comparecer a esta
Comisión de la Sociedad de la Información del Senado, así como a sus dos
compañeros, don Sebastián Albella, Abogado del Estado excedente y Asesor
Jurídico de la Asociación Española de la Banca, AEB, y don Juan Manuel
Cendoya, también de la Asesoría Jurídica de Bankinter, a los que damos
igualmente la bienvenida a esta Comisión.
Sin más, le doy la palabra, y cuando quiera puede empezar.
El señor MATEU DE ROS CEREZO (Secretario General y del Consejo de
Administración de Bankinter): Muchas gracias, señora Presidenta.
El objeto de esta presentación es hacerles algunas reflexiones sobre la
situación del comercio electrónico en nuestro país, fundamentalmente
desde el punto de vista del marco regulatorio aplicable al mismo, sobre
todo respecto del sector bancario y de los mercados de valores.
Está a su disposición un amplio informe del cual voy a limitarme, para no
excederme en el tiempo, a hacer un breve resumen en este momento. (El
señor compareciente ilustra su intervención con la proyección de
transparencias.) Como pueden ver, el número de usuarios de Internet en
nuestro país está creciendo de una manera exponencial, y en el presente
mes de marzo se prevé que estamos en torno a los 5,6 millones de
usuarios. Incluso hay otras estadísticas menos contrastadas que elevan
esa cifra a 8 u 8,5 millones de usuarios. Sin embargo, como pueden ver en
la documentación que se les ha distribuido, el índice de penetración de
Internet en el área de las finanzas --banca, seguros, servicios de
inversión, mercados de valores-- está ciertamente retrasado si lo
comparan con países de nuestro entorno, incluso con países menos
desarrollados que el nuestro. No obstante, la oportunidad que Internet
brinda a los servicios financieros es evidente. Los bancos y las
entidades de crédito lo que venden es información, servicios, contenidos
digitales, bytes, tráfico «online» puro con muy escasas excepciones. Es,
por tanto, una oportunidad enorme para el desarrollo del sector
financiero español la que ofrece Internet, y también existe un riesgo de
desfase tecnológico para aquellas entidades que se queden atrasadas ante
este reto.
Les voy a dar ahora una serie de cifras muy rápidas sobre la evolución de
la banca «online» en el banco al que yo represento, Bankinter,
simplemente como un botón de muestra para que vean ustedes que Internet
no es una fantasía o un futurible, sino una realidad que ya está
instalada en nuestra sociedad, que ha venido aquí para quedarse. Quizá el
proceso de transición sea algo más lento del que hace un año se preveía,
pero en todo caso resulta irreversible. Por ejemplo, pueden ver ustedes
el incremento del número de clientes, que en este momento está ya en unos
300.000 clientes de banca en Internet sólo en Bankinter. El porcentaje de
transacciones sobre el total del banco es del 34 ó 35 por ciento, con la
expectativa de alcanzar el 50 por ciento antes de dos años a partir de
esta fecha. Ustedes pueden apreciar en la representación gráfica en forma
de tarta, que si sumamos en el caso de Bankinter los diferentes canales
que integran lo que podríamos denominar banca a distancia, es decir, el
canal en Internet más banca telefónica, banca electrónica y tarjetas de
crédito, ya hay un 64 por ciento del total de las operaciones del banco
que se realizan a través de medios de banca a distancia, frente al 36 por
ciento que pertenecen a la red tradicional de oficinas.
Es muy importante destacar que además de un número considerable de
clientes nuevos, la mayoría de los usuarios de Internet --de esos 300.000
clientes que decíamos antes-- son activos, en concreto un 52 por ciento,
unos 155.000 clientes. En algunas áreas específicas, por ejemplo, el
Broker «online» que es el portal de Bankinter a través del cual se
realizan las operaciones de compraventa de valores, hay 150.000 clientes
y el 80 por ciento del total de órdenes de compraventa de valores que
canaliza el banco se realizan telemáticamente a través de él. Incluso en
un área que podría parecer tan reacia en principio a la instrumentación
telemática como son las hipotecas, en Bankinter hay ya un 33 por ciento
para las que se tramitan «online» todo el proceso de formalización de la
operación, exceptuado el trámite final de la firma ante notario, a través
de Internet.
Y sin más nos vamos a situar en el marco regulador vigente. La primera
característica que ofrece es la de una acusada fragmentación. Por un lado
tenemos un grupo normativo regulador de la firma electrónica, la
Directiva Europea de diciembre de 1999 y el Real Decreto-ley español de
septiembre, que como ustedes saben fue previo a dicha directiva. Tenemos
el grupo normativo regulador de la venta a distancia, que también deriva
de una directiva matriz de la Unión Europea. Tenemos las disposiciones
sobre condiciones generales de la contratación, las disposiciones
generales sobre contratación con consumidores y, también, un grupo de
normas ya emanadas con la finalidad puesta directamente en el campo del
comercio electrónico. Aquí la norma fundamental es la Directiva
Comunitaria de 8 de junio del año 2000, hay alguna otra Directiva como la
de las entidades creadoras de dinero electrónico, y nuestro anteproyecto,
cuya versión distribuida con anterioridad a esta fecha es la de 18 de
enero de 2001, aunque recientemente se ha comenzado a conocer una
ultimísima versión de 7 de marzo de este año derivada del trabajo de una
Ponencia de la Comisión General de Codificación, a la que luego si nos da
tiempo nos referiremos.
Sobre la Directiva de Comercio Electrónico solamente voy a dar un apunte,
luego si quieren ustedes algún comentario específico estoy a su
disposición. Es una directiva de carácter horizontal y de mínimos que se
aplica a todos los servicios de la sociedad de la información, no sólo al
comercio electrónico, y que pretende establecer en el seno de la Unión
Europea el principio de control por el país de origen, de modo y manera
que cualquier prestador de servicios de la sociedad de la información
pueda actuar libremente en todo el territorio comunitario, sin necesidad
de una autorización previa del Estado de acogida. Están además las
normas, muy importantes, sobre
protección de datos personales --la LORTAD o ahora la Ley de 19 de
diciembre de 1999, sus reglamentos, las instrucciones de la Agencia de
Protección de Datos-- y luego existen diversas propuestas y proyectos en
marcha como los que les menciono en esa transparencia.
También hay que destacar las normas de Derecho internacional privado. Uno
de los problemas jurídicos fundamentales que plantea el mundo de Internet
son las operaciones transfronterizas, el cosmopolitismo, la
trasnacionalidad inherente al funcionamiento de una red global sin
frontera, por ello hay que acudir a estos convenios tradicionales --el de
Bruselas, sobre competencia judicial, y el de Roma, sobre legislación de
fondo-- y, por supuesto, al recientísimo Reglamento comunitario sobre
competencia judicial de 22 de diciembre.
Finalmente hay una serie enorme de leyes que, de una manera mayor o
menor, se ven afectadas por el comercio electrónico. Son las que ustedes
ven ahí, a las que cabría sumar la Ley General de Telecomunicaciones y
toda la normativa que regula las telecomunicaciones a nivel europeo y
español.
El tema en el que quiero centrarme en esta presentación es el de la
seguridad tecnológica y el de la seguridad jurídica. Como seguramente
ustedes saben, se dice --porque también ahí hay algo de mito, algo de
alarmismo, a veces incluso podríamos decir de alarmismo interesado-- que
la falta de confianza, la falta de seguridad, constituye uno de los
óbices, uno de los obstáculos más importantes para el desarrollo de
Internet en nuestro país y en la generalidad de los países. Siendo
posiblemente eso así como fenómeno social o como fenómeno psicológico, lo
cierto es que el tráfico electrónico está en este momento acogido a una
serie de medidas de seguridad en la mayoría de las entidades que lo hacen
probablemente tan digno de confianza --por lo menos en el sector
bancario-- como los canales tradicionales e incluso en algún aspecto más;
por ejemplo, en la materia --muy debatida-- del control y la prevención
del blanqueo de capitales. En Internet, por esencia, no existe trasiego,
no existe manejo de fondos en efectivo, con lo cual en cierto modo se
pueden evitar muchos de los riesgos tradicionales de blanqueo de
capitales que ofrecía el sistema financiero en la modalidad convencional
de las sucursales físicas.
Se puede hablar de seguridad de los sistemas, seguridad de las
transacciones y seguridad de los pagos. De estos tres polos del concepto
de seguridad yo me voy a referir en especial, por la premura de tiempo, a
la seguridad en las transacciones. Vamos a pasar, por tanto, todas las
transparencias que hay sobre seguridad técnica aunque sí voy a referirme
a la firma electrónica.
Todos habrán oído hablar del concepto de firma digital o firma
electrónica en su doble modalidad de avanzada y no avanzada, pero muchas
veces no sabemos en qué consiste exactamente. Eso que tienen ustedes
ahora en pantalla y que se ve --lo siento-- un poco borroso --quizá lo
vean mejor en papel; tenemos que recurrir todavía muchas veces al papel--
es la clave en la que consiste una firma digital. Una firma digital
avanzada se compone de dos claves: la clave privada, que es la que está
en poder del usuario, y la clave pública, que es la que está en poder de
la entidad con la que el usuario está contratando; al final tanto una
como otra se descomponen en un algoritmo, en una secuencia de caracteres
matemáticos, que están encriptados y solamente se pueden descifrar
poniendo en correlación esa clave privada con esa clave pública. Eso que
ven ustedes es la serie algorítmica de una clave privada en realidad, una
firma digital real. La seguridad de este sistema, del llamado PKI,
«Public Infrastructure Key», es prácticamente absoluta. Según los
técnicos en cifrado este tipo de firma digital es imposible de
falsificar, algo que, como todos sabemos, no ocurre con la firma
manuscrita o la firma ológrafa.
La legislación española, el Decreto-ley que antes les comentaba de
septiembre de 1999, distingue estas dos modalidades de firma electrónica,
avanzada y no avanzada. El dispositivo de seguridad es esencialmente el
mismo, lo que ocurre es que la firma electrónica avanzada es aquella que
ha sido expedida, certificada, facilitada por una entidad homologada y
regulada por ese Decreto-ley, que son las entidades prestadoras de
servicios de certificación. Lamentablemente, y por falta de desarrollo
normativo, todavía no existen en España entidades prestadoras de
servicios de certificación legalmente establecidas como tales, por lo que
tampoco tenemos firma electrónica avanzada.
La firma electrónica avanzada es aquella para la que juega la presunción
legal de asimilación --presunción «iuris et de iure»-- a la firma
manuscrita. Por tanto, el documento electrónico firmado o sellado con la
firma electrónica avanzada equivale a todos los efectos a un documento
privado --incluso tal vez en un futuro pueda equivaler a un documento
público--, mientras que en el caso de la firma electrónica no avanzada la
validez legal de ese contrato electrónico dependerá de la prueba que se
desarrolle en vía judicial.
La seguridad jurídica de las transacciones electrónicas se basa en el
principio de la validez del consentimiento electrónico. Esto, que en
algunos países de nuestro entorno es un concepto que ha costado ser
introducido, incluso en los países anglosajones, no es nada nuevo para la
tradición jurídica de los países latinos y concretamente de España. En
España siempre se ha admitido la validez del contrato de compraventa y de
cualquier otro contrato suscritos incluso en forma verbal y también en
documento privado, y la excepción es lo otro; es decir, en nuestro caso
el documento público es la excepción --aquellos casos en los que la ley
expresamente exige la concurrencia de un notario, o antes de un corredor
de comercio, para suscribir un determinado contrato-- y la regla general
es la ausencia de formas, la libertad de formas, la libertad de
contratación. La Directiva comunitaria y la nueva ley española, la futura
ley de comercio electrónico, no hacen más que recoger este principio
tradicional de nuestro ordenamiento jurídico y extenderlo al campo de la
contratación telemática.
Podemos hablar de ausencia de forma escrita, validez y universalidad del
consentimiento electrónico, universalidad en el sentido de que, en
principio, cualquier tipo de contrato o de acto jurídico en el que puedan
ustedes pensar es susceptible de ser realizado por vía electrónica. Nada
queda --con las excepciones que ahora indicaré-- fuera del campo de la
contratación electrónica.
¿Cuáles son las excepciones? Las excepciones nos vienen marcadas por la
Directiva comunitaria, que tendrá que ser reproducida o recogida en este
punto por la ley española. Son muy pocas: los contratos inmobiliarios,
los contratos que requieren por ley intervención pública, los contratos
de garantía otorgados por particulares y los contratos de Derecho de
familia y de sucesiones. Repito: operaciones inmobiliarias, operaciones
en las que por ley tenga que intervenir un funcionario público, garantías
otorgadas por personas privadas y materias de Derecho de familia y de
sucesiones. Además dice la Directiva que el mantenimiento de estas
excepciones deberá ser periódicamente justificado a Bruselas por parte de
los Estados miembros; es decir, a lo que nos encaminamos en un futuro más
o menos próximo es a la posibilidad de realizar telemáticamente cualquier
tipo de operación jurídica.
Y con estas indicaciones generales vamos a pasar ya directamente a la
parte final de mi presentación --el resto, todas las transparencias que
hay sobre formación del contrato, lo tienen ustedes ahí a su
disposición--, en la que hablamos de las necesidades y urgencias
legislativas en nuestro país, por supuesto en la personal opinión de
quien se dirige a ustedes.
En primer lugar hemos visto que existía una fragmentación y una
descoordinación normativa muy importante en nuestro país. Posiblemente la
clave para superar esa situación, en cierto modo caótica, radica en
separar la contratación electrónica entre empresas y la contratación
electrónica en la que intervengan consumidores; ahora mismo está todo un
poco mezclado. En el caso de contratación electrónica entre empresas debe
bastar el marco general de la nueva ley de comercio electrónico y las
leyes generales de Derecho civil y de Derecho mercantil. En cambio, en el
caso de que intervenga en la operación electrónica un consumidor parece
lógico que exista una regulación tuitiva de los derechos de los
particulares, de los clientes, pero esta regulación --en mi opinión--
debería estar separada del régimen general de la venta a distancia, entre
otras cosas porque el fenómeno de Internet ofrece diferencias
sustanciales con la tradicional venta por correspondencia, la venta por
catálogo o la venta fuera de establecimiento mercantil.
En Internet es el propio cliente, el propio internauta el que toma la
iniciativa. No es una persona que pasivamente sufra el envío de un
catálogo o de una llamada, la presión de un distribuidor comercial que
quiera a toda costa venderle un bien, un servicio o una mercancía, sino
que es el propio internauta el que de manera libre y espontánea entra en
Internet, compara, va pasando de un portal a otro simplemente apretando
una tecla y, al final, si así lo desea, elige un bien o un servicio y lo
contrata. Puede comparar perfectamente. En principio, no debe sufrir
ningún tipo de confusión o engaño. En todo caso, es un consumidor más
protegido y más informado que el consumidor tradicional. Y abogamos por
ello, porque se incluya una normativa especial, bien sea en la ley de
condiciones generales de la contratación o bien aprovechando la nueva ley
de comercio electrónico, para regular las operaciones electrónicas, los
contratos electrónicos con consumidores.
Y habría que aprovechar esta labor de reordenación normativa para
expurgar o eliminar del ordenamiento jurídico algunas disposiciones,
posiblemente acusadas por la doctrina con fundamento como nulas de pleno
derecho, como el Real Decreto 1906/1999, sobre condiciones generales en
las ventas a distancia. ¿Hace falta una regulación? Podrían ustedes
preguntarse si no es más correcta la teoría de quienes opinan que
Internet es un canal de relación o un mercado abierto que debe dejarse
fluir libremente. Mi posición a este respecto es contraria. Creo que en
Internet todavía se necesita, aunque sólo fuera para deshacer aquella
imagen de la que hablábamos antes de desconfianza e inseguridad, un marco
regulador mínimo y, además, como recientemente ha escrito en un libro el
Profesor Muñoz Machado, hacer que el Derecho sea al final el único
lenguaje común que permita vertebrar y ordenar de alguna manera la
multiplicidad de contenidos que aparecen en la red.
En cuanto a la firma digital, les comentaba antes que España fue
precursor en toda Europa, junto con Alemania, del desarrollo de la misma
--el Real Decreto-ley de septiembre de 1999 fue una norma saludada con
alborozo por todo el sector-- y, sin embargo, he de decir que casi nos
hemos quedado ahí; es decir, desde entonces no se ha hecho nada
importante para la implantación efectiva de la firma digital en España.
Faltan todavía unas normas técnicas sobre las que han de crearse las
entidades que tienen que homologar a los prestadores de servicios de
certificación, y hasta que todo ese engranaje no se ponga en marcha no
habrá en nuestro país firma digital avanzada.
Quiero puntualizar este tema porque se habla mucho de la firma digital
avanzada pero la verdad es que todavía no existe en nuestro país; no
existe ningún prestador de servicios ni ninguna firma digital avanzada
como tal. Hay intentos, hay iniciativas precursoras pero nada todavía en
firme.
Ley de comercio electrónico. Esta norma es todavía un anteproyecto y, por
tanto, parecería prematuro cualquier juicio de valor que quisiéramos
expresar respecto al mismo. Solamente quería puntualizar un aspecto que
me parece importante. Este proyecto de ley tiene contenidos muy amplios
pero me voy a referir, en concreto, al capítulo del mismo que se refiere
a los contratos celebrados por vía electrónica dentro de la temática de
esta presentación sobre la seguridad jurídica en Internet.
Las versiones anteriores del anteproyecto --me referiré a la penúltima,
que es la de 18 de enero de este año, muy reciente, por tanto-- eran
bastantes precisas en esta materia de la contratación electrónica y,
además, fueron mejorando en las versiones sucesivas y esa versión
--repito-- de 18 de enero establecía de forma muy clara que el contrato
electrónico equivalía a un contrato privado. La ley --leyes, por ahí hay
muchas, como algunas de las que he expuesto antes-- exige que el contrato
se documente obligatoriamente en un escrito. Hasta ahora valía la firma
electrónica, tanto la avanzada como la no avanzada, es decir, una
equivalencia, una cláusula o principio general de equivalencia
funcional entre contrato privado, incluso cuando la ley lo exige con
carácter escrito obligatorio. Sin embargo, este último borrador, muy
reciente, de 7 de marzo del presente año, que yo conocí ayer mismo, no
recoge ya ese principio, lo cual puede resultar bastante preocupante, si
es que esa versión es la que luego prospera, cara al desarrollo no sólo
de la banca «online», sino, en general, de los servicios electrónicos,
del comercio electrónico en nuestro país, porque imagínense ustedes: si
cualquier internauta no puede firmar electrónicamente, no puede prestar
su voluntad electrónicamente y tiene que ir a un centro físico, a una
oficina, un lugar de contratación, un establecimiento, una tienda
tradicional para firmar el contrato, entonces realmente nos
encontraríamos a la cola, si no lo estamos ya, del desarrollo del
comercio electrónico en nuestro país. Por tanto, esperamos que ese paso
atrás que parece representar esa ultimísima versión del anteproyecto sea
corregido a lo largo de su tramitación como tal o luego, en vía
parlamentaria.
Hay un anteproyecto de ley financiera que toca marginalmente alguna
cuestión sobre contratación electrónica y nos gustaría que la legislación
procesal fuera más concisa. Es una pena también porque la Ley de
Enjuiciamiento Civil, como bien saben ustedes, es recientísima y, sin
embargo, no recoge las características singulares de la prueba
electrónica. Los medios telemáticos son mencionados, un poco de pasada,
como fuente de prueba, pero no como medio de prueba autónoma.
Documento público electrónico. Este es otro aspecto sobre el que
consideramos insuficiente el anteproyecto de ley de comercio electrónico.
En otros países --me remito a la experiencia de Italia-- existe la
regulación del documento electrónico. Al final de todo el proceso --creo
que es una cuestión de años--, acabaremos teniendo en nuestro país y en
los de nuestro entorno la fe pública electrónica, es decir, la
posibilidad de que, en aquellas operaciones en que la ley siga exigiendo
la intervención de fedatario público, éste pueda otorgar su juicio de
capacidad y su validación del documento electrónico a distancia sin
necesidad de unidad de acto formal de los comparecientes.
En cuanto a la protección jurídica del software, es un tema sobre el que
he de decir que la legislación de los demás países europeos sí es
insuficiente. En España, el software está protegido como programa de
ordenador por la Ley de Propiedad Intelectual. Hay un Registro de la
Propiedad Intelectual pero no es un registro constitutivo, sino
declarativo. Por tanto, al final, la inscripción de un software en el
Registro de la Propiedad Intelectual no crea más que una presunción
probatoria, que puede ser deshecha en vía judicial. El problema es que en
Internet, como en otros desarrollos tecnológicos, el software es sólo una
parte de la obra. Muchas veces lo importante no es el código fuente, el
programa de ordenador que subyace, sino el modelo de negocio, la idea de
negocio y eso hoy por hoy no tiene en nuestras leyes, ni en la de la
Propiedad Intelectual ni, como patente, en la Ley de Propiedad
Industrial, un marco de protección adecuado.
La regulación de los nombres de dominio fue acometida por la Orden
Ministerial de 21 de marzo de 2000 y la verdad es que es una regulación
un tanto rigurosa. Prácticamente, exige ser titular de una marca para
poder inscribir un nombre de dominio con la misma denominación y lo
cierto es que las denominaciones «punto.es» están poco extendidas. No ha
sido un éxito esta regulación y posiblemente habría que reconsiderarla.
En cuanto a la posición de nuestro país en la Unión Europea --yo
comprendo las dificultades de toda índole que lo que voy a decir encierra
y la utopía de mis palabras--, a veces nos gustaría en los sectores
regulados que fuera un poco más contundente. Por ejemplo, se está
tramitando ahora, ya en avanzada fase de elaboración, una propuesta de
directiva sobre venta a distancia de servicios financieros. Esta
propuesta de directiva puede ser contraria al desarrollo de la banca
telemática en España. Incluye la regulación de Internet como si fuera una
modalidad más de venta a distancia, frente a lo que antes les comentaba y
parece de sentido común, es decir, que son cosas diferentes, y, sobre
todo, entre otras regulaciones discutibles, concede a los clientes el
derecho de libre retractación, es decir, la posibilidad de que un cliente
deshaga sin motivo alguno la operación contratada en un plazo que
establecerán las legislaciones nacionales entre 14 y 30 días. Esto está
excluido en determinados tipos de contratos bancarios, por ejemplo, los
contratos de valores, la compra-venta de valores, pero se aplicará al
común de contratos bancarios y ya pueden ustedes imaginarse la
inseguridad que eso motiva en los bancos «online» y las empresas de
inversión «online».
Y finalmente, en cuanto al tema de los incentivos fiscales, como en
tantos ámbitos económicos, el Estado, a través de la regulación del
régimen fiscal de las actividades objeto de regulación, puede contribuir
de una manera muy efectiva al éxito, al desarrollo, a la consolidación o
implantación del sector regulado, en este caso del comercio electrónico.
En opinión del que les habla, el marco que tenemos en España es
claramente mejorable. Tenemos unas deducciones por I+D que fueron
mejoradas y completadas hace dos años con la deducción en IT --Innovación
Tecnológica.
¿Qué ocurre? ¿Por qué, en mi opinión, son criticables estas deducciones?
Porque están ancladas al concepto tradicional de I+D en el sentido de
invención, originalidad y producción informática nueva, y en el mundo del
comercio electrónico de Internet las cosas normalmente no son así.
España es un país importador de licencias tecnológicas, y lo que hacen
las empresas de comercio electrónico españolas básicamente es construir
desarrollos informáticos sobre licencias que ya han adquirido. Por tanto,
al faltar ese elemento de originalidad radical y absoluta, no es
aplicable ninguna de esas deducciones establecidas en la Ley y en el
reglamento del Impuesto sobre Sociedades, o dicho en otras palabras, esas
deducciones solamente son aplicables a las empresas de producción
informática, pero no a las empresas dedicadas al tráfico electrónico.
En nuestro caso, invertimos, más o menos, el 25 por ciento del total de
los costes de transformación del banco en desarrollos tecnológicos. Estoy
hablando de 9 ó 10.000 millones de pesetas al año. De eso absolutamente
nada,
cero, es deducible fiscalmente, pues no parece que tengamos una
plataforma de incentivos fiscales adecuados en la empresa española. Hay
algunas deducciones por compra de hardware y software relacionado con
Internet, pero son únicamente aplicables a las pymes, empresas con
facturación anual inferior a 500 millones de pesetas --un concepto muy
bajo de pyme-- y, finalmente, hay unas deducciones por formación en
Internet que son aplicables a todos los sujetos pasivos del Impuesto
sobre Sociedades, pero tienen un importe de sólo el 5 por ciento del
total de esas inversiones en formación.
Con esta referencia al marco fiscal, y pidiendo perdón a la Presidenta
por haberme excedido unos minutos en el tiempo concedido, acabo mi
intervención.
Muchas gracias, señora Presidenta.
La señora PRESIDENTA: Muchas gracias, señor Mateu.
Se ha limitado muy bien a los tiempos, y se lo agradecemos.
A continuación, abrimos un turno de portavoces.
Por el Grupo Parlamentario Entesa Catalana de Progrés, tiene la palabra
el Senador Gibert.
El señor GIBERT I BOSCH: Muchas gracias, señora Presidenta.
Señor Mateu, le agradezco mucho la concisión de su intervención. Si no
nos desautoriza en este sentido, supongo que nos permitirá ponernos en
contacto con usted cuando tengamos alguna duda que se nos planteará en
los próximos procesos legislativos para lo que nos interesará conocer
opiniones diversas desde la realidad del comercio o del funcionamiento de
las cosas.
Habría varias cosas que me gustaría comentar, pero me limitaré a una sola
que es la que en este momento tiene un interés central para mí. Antes de
ello, les pido disculpas porque tendré que ausentarme y no quisiera que
lo interpretasen como falta de interés, ya que es por motivo de una
obligación necesaria.
El tema que quería plantearle es relativo a la firma digital en un
aspecto que no ha tratado pues en los últimos días he recibido algunos
«inputs» que me parecen preocupantes.
Si no lo he entendido mal, el sistema de claves elaborado por la Fábrica
de la Moneda en el caso de la Agencia Tributaria y en el de la Seguridad
Social es un sistema distinto. Por otra parte, últimamente he oído hablar
de centros de certificación que quieren promover algunas Comunidades
Autónomas. Todo eso me preocupa, ya que a priori una clave personal o de
una sociedad para la firma electrónica debería ser una única clave
universal, y si esto no fuera posible, al menos que lo fuera a nivel de
la Unión Europea. La proliferación de sistemas y de claves parece un
inconveniente que podría convertirse en bastante grave. Me gustaría saber
su opinión al respecto.
Muchas gracias, señora Presidenta.
La señora PRESIDENTA: Muchas gracias, Senador Gibert.
Por el Grupo Parlamentario Socialista, tiene la palabra el Senador
Chivite.
El señor CHIVITE CORNAGO: Muchas gracias, señora Presidenta.
Al igual que ha hecho el Senador Gibert, quiero agradecerle al señor
Mateu su presencia aquí y su exposición concreta, que no por ello deja de
tener su profundidad, sobre todo, porque en las conclusiones que nos ha
expuesto, y que aparecen en el documento de presentación, lógicamente yo
lo he estimado como una serie de listado de deberes a ambas Cámaras para
armonizar de alguna manera esa dispersión legal o normativa que hoy
existe. Por otra parte, también quiero disculpar, y lo quería hacer aquí,
a nuestro portavoz, el Senador Lavilla, que tenía previsto intervenir en
esta Comisión, pero que está atendiendo a un problema muy real y muy
humano, como es el hecho de que unos cuantos cientos de trabajadores
corren el riesgo de que en su localidad cierren la empresa en la que
durante años han venido prestando servicios. El me lo ha encomendado así;
así lo transmito porque comparto esa sensibilidad que él tiene hoy
trabajando para que esos puestos se mantengan.
Paso a lo que es el ámbito de la intervención. Después de esos ocho o
nueve puntos de conclusiones en donde hay mucho trabajo por hacer, mucha
normativa por armonizar en un mercado en el que en relación con el ámbito
mundial Internet ya no tiene barreras. Por eso, incluso cuando hacemos
referencia al ámbito de la Unión Europea es insuficiente, puesto que nos
encontramos con una necesidad de armonización de conjunto que pudiera ser
muy bien en el marco de la OMC. Además, tenemos competencias en muchas de
las autonomías que configuran la pluralidad y la realidad territorial e
institucional de este país, competencias en materia de desarrollo y
regulación del comercio, es decir, también habrá que tener en cuenta en
cualquiera de los procesos cómo evalúa usted al respecto esas
competencias reconocidas a las diferentes Comunidades Autónomas. Por qué
no decirlo, esto tiene unos soportes y efectivamente hay varios agentes
que son necesarios, imprescindibles para que toda esta nueva cultura del
Internet universalizado pueda discurrir con fluidez, como todo lo que son
los soportes de infraestructuras físicas, incluso los soportes de
infraestructuras tridimensionales que se necesitan para que esta nueva
cultura pueda realmente ser universal --me estoy refiriendo también a las
entidades locales.
Por lo tanto, hay muchísima tarea por resolver, y usted nos expone aquí
--y me parece muy bien-- la enumeración de qué hacer. Nos ha apuntado
también por qué camino entiende que debíamos seguir en cuanto a firma
electrónica, a calidad, a la seguridad de las transacciones, etcétera,
pero uno de los elementos que priman en esta nueva cultura que ha
cambiado la distancia por el tiempo, es precisamente cuándo hacerlo. Es
decir, si ya estamos retrasados, como apuntaban, en la aplicación de algo
en lo que fuimos pioneros, como era la regulación o la definición de la
firma electrónica, debemos no sólo ir avanzando en el número de usuarios
sino también adecuar nuestra estadística para medir su número y
establecer cuándo hacerlo.
¿Cuál es su opinión sobre qué velocidad y a qué ritmo se debe hacer para
no quedar descolgados de esta nueva cultura de nuestras relaciones
humanas y comerciales a través de las nuevas tecnologías?
La opinión de mi Grupo es que tenemos que navegar porque nos han puesto a
navegar a todos, pero lo tendremos que hacer, a ser posible, en un
trasatlántico y no en una patera, sobre todo para evitar el riesgo de
naufragar.
Reitero la pregunta: ¿cuál es su opinión respecto a los ritmos que
tendríamos que implementar no sólo en la legislación, sino en todos esos
recursos económicos? Al final, todo se traduce a cuánto dinero estamos
dispuestos a poner para que en algo que estamos un poco retrasados
podamos avanzar, situarnos en la misma línea de salida y a partir de ahí
avanzar a la misma velocidad.
Muchas gracias, señora Presidenta.
La señora PRESIDENTA: Muchas gracias, Senador Chivite.
Por el Grupo Parlamentario Popular, tiene la palabra la Senadora Delgado.
La señora DELGADO GARCIA: Muchas gracias, señora Presidenta.
Me uno a las palabras de bienvenida dirigidas al señor Mateu por
comparecer en esta Comisión de la Sociedad de la Información. Quiero
agradecerle su exposición y muy especialmente el documento, que nos ha
dejado porque nos facilita que luego podamos hacer un estudio más
detallado, con más tiempo y reposo, sobre los aspectos que usted aquí nos
ha comentado.
Al hilo de su exposición, y por lo que había estado viendo estos días,
quería hacerle algunas preguntas. Usted dice que Internet no es una
fantasía, que ha habido un incremento, lo cual es un dato muy positivo.
Pienso que hay una ventaja, puesto que los productos que ustedes ofrecen
son virtuales. En las ponencias que hemos celebrado anteriormente a su
comparecencia con representantes del mundo del comercio electrónico no
dejaba de ser un inconveniente el que algunos productos, al no ser
virtuales, tuviesen dificultades de distribución o de llegada al
consumidor que frena un poco el comercio electrónico. En este caso, la
banca juega con ventaja, lo cual es un aspecto a tener en cuenta y
positivo.
Usted ha dicho, con todos los inconvenientes que hemos visto que hay en
cuanto a seguridad y en cuanto a firma electrónica, que se están llevando
a cabo actuaciones bancarias por Internet en un 64 por ciento frente a un
36 por ciento de las oficinas bancarias, de las sucursales, que pienso yo
que es a lo que usted se refería.
Me ha venido a la cabeza un texto que leí en mayo o junio de 2000 donde
se decía que en España se habían cerrado en los bancos en general --no el
de usted por supuesto, sino todos en general-- unas 545 sucursales.
¿Puede, dado este incremento de la banca a través de Internet, llegar un
momento en que las sucursales tiendan a desaparecer? ¿Hay una política
bancaria para que se mantenga, aunque no sea equilibrada, esa presencia
física que supone el mostrador para atender al cliente o es quizás un
objetivo a medio o largo plazo, pero que se cuenta con que llegue un
momento en que puedan desaparecer?
Me llamaba también la atención un término que le quería comentar porque a
los que no estamos metidos en el mundo de la banca nos sorprende un poco.
Leía que, precisamente, a causa de la competencia, más en Europa que en
España por la implantación de la banca, están entrando en el sector
bancos que no tienen presencia física, sino que nacen puramente «online».
A este respecto se hablaba del término de «canibalización». Le
agradecería que si pudiera abundar un poquito en él lo hiciera. Más o
menos se entiende un poco, pero resulta un tanto agresivo hablar de
canibalización o de productos o de tipología de clientes.
He tomado nota, a pesar de que las tenemos aquí por escrito, de esas
recomendaciones, porque me parecen muy interesantes, que usted nos hace
sobre seguridad. De todas formas, un estudio de la «Meridien Research»,
de marzo de 2001, decía que mundialmente y con mayor peso en Estados
Unidos, el fraude de operaciones de pago «online» se estimaba que era de
284.000 millones de pesetas el año pasado y decía, incluso, que la mayor
parte de ellos estaban registrados en Estados Unidos. No sé el dato. Ha
sido proporcionado por esta empresa. No sé si será ajustado o será un
poco desproporcionado.
Esto evidentemente es un freno para las empresas de comercio electrónico.
Este es un tema que ha sido siempre abordado por la mayoría de los
comparecientes que han venido antes que usted. Me refiero a ese miedo que
tiene el cliente a las transacciones que impiden que el comercio
electrónico avance.
Otro estudio --éste ya hecho por la Pricewaterhouse Coopers-- sobre
comercio electrónico indicaba que España es el segundo país con menos fe
en el comercio electrónico. Una media de un 15 por ciento mira a la red
frente a una media europea de un 23 por ciento.
Pienso que todas esas propuestas que usted nos ha hecho sobre seguridad
en la red van a contribuir a que esto se vaya subsanando. Mi pregunta es
la siguiente: ¿En estos momentos, tal y como está la situación, qué
ventajas ofrece la banca electrónica a las empresas? ¿Qué encuentra en
esta banca electrónica una empresa que se dedique al comercio
electrónico? La tradición de los bancos de toda la vida ha sido vender
seguridad. Es la imagen que siempre tenemos. Incluso, la arquitectura del
siglo XIX de los bancos se basaba en los edificios sólidos para
transmitir una imagen de seguridad a cualquier ciudadano que se acercaba
a sus instituciones.
En estos momentos, ¿qué ofrecen ustedes a estas empresas que les pueda,
sabiendo las deficiencias que usted nos ha contado, tranquilizar y
garantizar que pueden embarcarse en el comercio electrónico?
La otra pregunta que tenía era de cara al ciudadano. Estoy de acuerdo con
usted en que se ha avanzado mucho. Las cifras que usted nos ha dado,
teniendo en cuenta las limitación que nos ha apuntado, son positivas y
optimistas. También es verdad que parece existir una barrera psicológica
por parte del ciudadano. Se repite ya como un tópico. Todo el mundo pone
además el mismo ejemplo. Cuando vamos a un restaurante y le damos la
tarjeta al camarero
estamos tranquilos. Todo el mundo repetimos este ejemplo. A lo mejor es
que no tenemos otro. Existe verdaderamente una barrera psicológica que es
la presencia física. Si yo le doy la tarjeta al camarero y se la lleva,
de alguna manera hay un señor con el que puedo hablar y a quien se la
puedo pedir o reclamar. Esa presencia física en los momentos en que se
están incorporando las transacciones importantes parece importante. Por
eso, la pregunta que le quería hacer es la siguiente: ¿Son las
transacciones importantes las que van aumentando o las de pequeño calado?
¿Tiene el ciudadano ese temor a que no haya un señor detrás de una
máquina al cual se pueda dirigir?
Al hablar de esto me viene a la mente una idea que leí en una revista.
Una empresa --a ver si recuerdo bien el nombre-- del Estado de Utah,
Estados Unidos, «Ilumins», se había planteado crear una especie de
iconos, de imágenes en Internet, incluso, algún tipo de vídeo con un
programa que llamaban «el apretón de manos». El que se pueda ver gente en
torno a una mesa, aunque sea con iconos o con vídeos, es importante,
precisamente porque se estaban planteando que una de las barreras que
tenían era la psicológica de la presencia de la persona.
No sé si ustedes --como me imagino-- tendrán en su institución un
departamento para investigar, para estudiar y para hacer encuestas para
que los españoles podamos saber si esa barrera psicológica nos afecta o
no. A lo mejor los americanos son más exagerados que nosotros en ese
sentido. Quizás deba contar una anécdota porque le habrá pasado a más
personas. Cuando vas al cajero automático se te puede quedar la tarjeta
metida dentro por lo que sea. La garantía de que tienes un señor allí a
quien puedes decirle que la tarjeta se ha quedado dentro psicológicamente
nos influye. ¿Qué envergadura tiene este aumento de transacciones?
¿Habría, para lanzarse a cuestiones de más dinero, de más calado o de más
profundidad, que salvar esa barrera o hay que esperar que se vaya dando
ese cambio de actitud en el ciudadano español?
Por último, quiero hacer una pregunta, pero ésa sí que les aseguro que no
es mía, que la traigo porque me la habían pasado a mi correo electrónico.
Es una pregunta de un ciudadano y es: ¿Qué previsiones tienen ustedes
sobre la implantación del monedero electrónico? Me explicaba una serie de
ventajas que tiene el monedero electrónico, sobre todo en cantidades
pequeñas y me transmitía el encargo, en la medida en que fuera posible,
de que yo les transmitiera a ustedes esta pregunta.
Repito que le estoy muy agradecida por su información y, sobre todo, por
la documentación que nos ha dejado que va a ser de mucho provecho para
nosotros.
Muchas gracias.
La señora PRESIDENTA: Muchas gracias, Senadora Delgado.
Para contestar a las preguntas de los diferentes portavoces, tiene la
palabra el señor Mateu.
El señor MATEU DE ROS CEREZO (Secretario General y del Consejo de
Administración de Bankinter): Muchas gracias, señora Presidenta.
Voy a contestarles por el mismo orden en que se han producido sus
intervenciones. En primer lugar, quiero aclarar, aunque sea innecesario,
que en la última parte de mi intervención estaba lejos de establecer un
listado de deberes --no soy quien para hacerlo-- y sí una relación de
inquietudes que, si sus señorías desean, podrían convertirse en tareas.
Señor Gibert, en relación con el tema de la firma digital tenemos que
partir del marco comunitario. España tiene como los demás Estados
miembros un margen de actuación. Hay una Directiva comunitaria de
diciembre de 1999 y nos guste más o menos el modelo tecnológico que sigue
esa directiva --a mí me gusta más el de la legislación norteamericana
sobre firma electrónica-- que es el que está establecido. En esta
cuestión ocurre lo mismo que con el visado de Colombia: no nos gusta,
pero, ¿qué vamos a hacer?
Esa directiva comunitaria establece dos principios. Por un lado, el de
libertad de establecimiento de prestadores de servicios de certificación.
Es decir, la concesión de certificados digitales no es una actividad
sujeta al monopolio de los Estados o las autoridades autonómicas o
regionales, sino de libre prestación por parte de empresas y
particulares, que sólo están sujetos a un trámite de homologación o de
verificación administrativa.
El segundo principio al que se acoge la legislación comunitaria es el de
unidad tecnológica. La directiva adopta el sistema de la infraestructura
de doble clave asimétrica y considera que éste es el único a través del
cual se puede hacer firma electrónica avanzada en Europa. Sin embargo,
hay una cuestión a la que no se refiere la directiva --y, por tanto,
sobre la que hay un margen de libertad--, como es la relativa al soporte
de la firma digital, que es compatible con diferentes soportes: puede
estar en una tarjeta de plástico inteligente, puede ser un dispositivo
incorporado al disco duro del ordenador, es compatible, a través de un
chip, con las tarjetas de crédito y de pago tradicionales, puede
incorporarse a través del protocolo SET a la telefonía móvil, etcétera.
Como ven, sobre esta cuestión caben una pluralidad de soluciones, pero
repito que siempre se utiliza el sistema de doble clave asimétrica.
En mi opinión, el principio de libertad será difícilmente armonizable con
la existencia de algo que en teoría podría haber sido una mejor solución
tanto técnica como prácticamente. Me refiero al DNI digital. Por tanto,
no va a haber DNI digital, o dicho de otra manera, puede haber un DNI
digital para determinadas relaciones entre el ciudadano y la
Administración, pero existirán una pluralidad de prestadores, y espero
que esa pluralidad sea controlada, como en Alemania, donde existe una
firma digital desde 1997 y hay un número muy reducido de prestadores de
servicios. Lo que no creo es que lleguemos a la figura del llavero y que
cada persona tenga que llevar doce o trece claves digitales o tarjetas,
una para contratar con su banco, otra para contratar con El Corte Inglés,
otra más, para la Agencia Tributaria... Espero que no acabemos en un caos
de ese tipo.
En relación con las iniciativas administrativas, aunque no soy competente
para hablar de esos temas, me consta que la Administración del Estado
--concretamente el Ministerio
de Economía-- está promoviendo un sistema de certificación única a través
de los servicios técnicos de la Fábrica Nacional de Moneda y Timbre y
siguiendo el ejemplo, en mi opinión muy positivo y loable, de la Agencia
Tributaria y la posibilidad de la presentación telemática de impuestos.
Por tanto, pienso que habrá una unidad en lo que se refiere a las
relaciones ciudadano-Administración pública y una pluralidad de entidades
prestadoras del servicio de certificación en lo que respecta a la
sociedad en general.
Y paso ahora a contestar al Senador Chivite. Plantea usted dos temas, uno
de ellos complejo: el de las competencias autonómicas en materia de
comercio, sobre el cual no soy un experto, se lo confieso. De acuerdo con
el marco general de la Ley de ordenación del comercio minorista, las
Comunidades Autónomas --no sé si todas ellas o sólo algunas, pero desde
luego sí las más importantes-- tienen competencias en algún caso
destacadas en materia de ordenación del comercio.
Creo que en un asunto que afecta a la globalidad de la economía española
y sobre el que además existen normas centrales muy importantes
establecidas por el marco comunitario el Estado debe hacer un esfuerzo de
coordinación. Así pues, quizá en aspectos complementarios de la
transacción telemática, como la logística, la parte correspondiente a la
revisión de mercancías, etcétera, pueda entrar en juego la legislación
autonómica, pero en lo que respecta a la contratación telemática, a la
contratación electrónica, a la contratación «online» en sí misma,
entiendo que la futura ley de comercio electrónico va a tener un carácter
único y por supuesto básico en todo lo que refiere a la legislación en la
materia.
También ha preguntado usted sobre el ritmo, la velocidad, el «tempus»
aplicable a todas estas cuestiones. Pues bien, creo que hay tres temas a
los que se les puede poner la marca de urgencia. Uno de ellos --ya lo he
dicho-- es el desarrollo de la firma electrónica. Realmente en este caso
el esfuerzo importante ya se ha hecho y lo que queda ahora es rematar la
jugada. Y sería muy interesante que en materia de firma electrónica
España se pudiera convertir en un centro de excelencia tecnológica,
porque eso nos situaría muy bien no sólo ante Europa sino también ante
toda la comunidad latinoamericana, que en estos temas, como en tantos
otros nos está mirando constantemente. Esa sería en mi opinión la primera
urgencia.
La segunda, por supuesto, es tramitar con la mayor celeridad posible la
nueva ley de comercio electrónico, expurgándola de esos puntos de duda
que ya he comentado y que podrían suponer un paso atrás, como la
exigencia de un pacto expreso previo o cierta desconfianza que todavía
rezuma la ley hacia el contrato electrónico. Creo que esa ley es
francamente mejorable.
Y la tercera cuestión urgente son las medidas fiscales, que quizá sea lo
más fácil porque en este caso no estamos hablando de leyes sino sólo de
interpretaciones de reglamentos administrativos. En este sentido, nos
gustaría ver --y creo que expreso la opinión común del sector-- una
actitud un tanto más flexible por parte del centro directivo competente
en la materia, que como ustedes saben es la Dirección General de
Tributos, que en estos momentos tiene planteadas importantes consultas,
una de ellas nuestras, sobre cómo se puede interpretar toda la normativa
de I+D+innovación tecnológica de tal manera que se recojan, aunque sólo
sea en parte, los desarrollos de Internet aunque no sean rigurosamente
originales. En cualquier caso, estas consultas todavía están pendientes
de contestación.
Por otra parte, como ustedes saben, a nivel del Gobierno existe el plan
de acción denominado Info XXI, en el que se recoge un catálogo de medidas
y acciones. Pero repito que los tres temas más urgentes en mi opinión son
la firma digital, la ley de comercio electrónico y los incentivos
fiscales.
Finalmente, paso a referirme a la documentadísima intervención de la
Senadora Delgado. En primer lugar, señoría, le ruego que me facilite
varios de los informes que usted ha mencionado y que yo no conozco en
reciprocidad a la información que les he proporcionado, que se completa
con mi puesta a disposición --creo que todos ustedes tienen mi tarjeta--
para cualquier ayuda que humildemente les pueda prestar tanto ahora como
en el futuro, cuando alguna de estas normas llegue, como ocurrirá, a esta
Cámara.
Como usted muy bien ha apuntado, la banca tiene una gran ventaja en
relación con otras empresas de comercio electrónico --cuyos
representantes me imagino que ya habrán comparecido en esta Comisión--,
consistente en que en nuestro caso podemos hacer casi todas las
operaciones «online» pura y duramente sin necesidad de enviar con
posterioridad una mercancía, con todos los problemas de pago, logística,
riesgo, etcétera, que eso entraña.
Por otro lado, nosotros tenemos unos sistemas de pagos interbancarios:
los traspasos y transferencias interbancarias, que evitan la necesidad de
utilizar tarjetas de crédito. Y así, cuando captamos un cliente nuevo en
Internet --que puede entrar en nuestra subasta de depósitos o en
cualquier otro servicio--, como no tenía cuenta abierta en Bankinter con
anterioridad su dinero procede únicamente de otras cuentas bancarias y,
por tanto, afortunadamente desconocemos los riegos inherentes al uso de
su tarjeta de crédito.
Con la firma electrónica avanzada y la aplicación del mismo criterio
técnico de la firma avanzada a las tarjetas de crédito y débito que es el
protocolo SET, los riesgos de fraude, suplantación y uso indebido de las
tarjetas de crédito quedarán suprimidos en gran parte, por no decir casi
totalmente, y en el comercio electrónico normal de las empresas, los
portales, etcétera, se verán notablemente disminuidos.
Es cierto, y usted lo ha apuntado, que existe un factor psicológico
importante. A este respecto, hace unos días leía --no recuerdo si fue en
«Expansión» o en «5 Días»-- unas contundentes declaraciones de un
sociólogo muy conocido, Amando de Miguel, quien decía que los españoles
nunca compraremos por Internet. Después, leyendo el artículo pude
comprobar, como pasa tantas veces, que matizaba esas afirmaciones y decía
que no compraremos nunca por Internet vinculado al ordenador. Pero eso es
algo que tendremos que ir superando porque Internet vinculado al
ordenador será una de las alternativas disponibles; también habrá
Internet vinculado al móvil, a la televisión, etcétera.
Es decir, habrá unas modalidades mucho más cómodas y familiares para el
consumidor y el cliente normales que las que se derivan de tener un
ordenador en casa con determinada potencia.
Creo que en este tema nuestra sociedad nos sorprenderá, como ocurrió con
la telefonía móvil, que también se pensaba que era un fenómeno de los
italianos que en España no iba a triunfar y ahora no sé cuántos millones
de teléfonos móviles hay ahora en España, quizá catorce o dieciséis. Y no
sé lo que harán los hijos de sus señorías, pero todos los míos tienen un
teléfono móvil, y bien que lo sabemos cuando tenemos que pagar las
facturas. Por tanto, creo que este país, que es una organización muy
inteligente, como diría José Antonio Marina, para todo lo relativo a la
recepción de novedades útiles que se traduzcan en productividad, también
será un país pionero en la implantación y el desarrollo de la sociedad de
la información. El dato que le comento es así. El 64 por ciento del total
de las operaciones del Banco se realizan por Banca a distancia, lo que
sucede es que, como verá usted en el cuadro, ahí está incluido, no sólo
Internet, sino también Banca telefónica y algunas otras modalidades de
contratación. En este momento, en Internet, la Banca pura y dura supone
un 36 por ciento aproximadamente, que es mucho. Ahí se hacen
transacciones de todos los niveles y de todos los importes, incluidas
algunas cantidades muy importantes de base. Lo que ocurre es que
--remarco-- existe esa diferencia entre lo que son servicios financieros
y algunas otras actividades digitalizadas, por ejemplo, la música en
formato MP3, la descarga de programas de «software», la prestación de
servicios de información, la reserva de viajes, todo ese tipo de
actividades que se pueden llevar a cabo plenamente por vía digital, y lo
que es el comercio tradicional, en el que hay una parte «online» y otra
«offline» de envío y recepción de la mercancía. Para esta segunda parte
del comercio electrónico, Internet va a ser probablemente, por no decir
con seguridad, un medio, un mercado adecuado para transacciones de
importes medio y bajos. No creo que nunca ninguno de nosotros, cuando
tengamos que realizar una inversión importante, como la adquisición de un
coche o de una casa, la hagamos plenamente por vía telemática. Lo que
pasa es que, ahí, Internet te está dando ya una información muy
importante que luego habrá que rematar mediante un negocio tradicional.
Pero insisto en que el caso de los servicios financieros es muy especial.
¿Qué ocurrirá con las sucursales bancarias? --y creo que con esto acabo
con las preguntas que me formulaba su señoría--. Hay estrategias
diferentes. Por fortuna, la Banca española es muy competitiva, y en el
sector existen diferentes modos de entender el negocio, lo que no quiere
decir que unos sean acertados y otros erróneos, unos mejores y otros
peores, sino simplemente que son distintos y responden a la diferente
fisonomía de las entidades y a su diferente perfil de clientes.
Bankinter, por ejemplo, es un Banco muy volcado en medios urbanos --no
tenemos casi presencia rural-- y en clientes con perfil de segmento
medio, alto o muy alto, por tanto, la penetración de Internet y de las
nuevas tecnologías en esa base de clientes es mucho más importante que en
otros segmentos de la población española. Nosotros nos dirigimos a ese
tipo de clientes y, de ahí nuestra apuesta tan decidida por la Banca
«online» pero hay otras entidades, otros Bancos, Cajas de Ahorros, que
persiguen una estrategia diferente, se dirigen a otras, capas de la
población, y ahí puede tener sentido que sigan abriendo sucursales. No
hay incompatibilidad entre esas estrategias diferentes.
Por otra parte, en nuestro caso hemos experimentado en carne propia algo
que ciertos Bancos norteamericanos ya nos habían comentado, y es que es
mejor una estrategia multicanal que una estrategia basada únicamente en
Internet. Al cliente le gusta contar con el apoyo de otros canales de
relación, como la Banca telefónica, como la oficina más o menos cercana,
para poder ampliar determinadas informaciones, rematar determinadas
operaciones, asesorarse sobre inversiones importantes. Posiblemente vaya
a tener más éxito ese modelo multicanal, que es el que nosotros seguimos,
que el de aquellas entidades que desarrollan Bancas puramente «online».
Señora Presidenta, señorías, creo que con esto he contestado a todas la
preguntas. (La señora Delgado García pide la palabra.)
La señora PRESIDENTA: Tiene la palabra la Senadora Delgado.
La señora DELGADO GARCIA: Gracias, señora Presidenta.
Tengo pendiente la pregunta, relativa al monedero electrónico, que me ha
enviado por correo electrónico la persona que antes cité, y a la que
deseo contestar.
Gracias.
La señora PRESIDENTA: Tiene usted la palabra.
El señor MATEU DE ROS CEREZO (Secretario General y del Consejo de
Administración de Bankinter): Gracias.
Tiene usted razón; se me había olvidado.
No soy un especialista en medios de pago y, por tanto, lo que diga aquí
sobre este asunto tómenlo un poco a beneficio de inventario.
La idea del monedero electrónico entronca con lo que antes comentaba yo,
es decir, con los micropagos. Internet va a ser un mundo donde se van a
canalizar muchas transacciones de niveles inferiores a 100.000 ó 150.000
pesetas, y está creando ya sus propios sistemas de pagos, diferentes de
las tarjetas de crédito: sistemas de pago vía «e-mail», como el de la
empresa norteamericana Paypal, tarjetas chip especialmente hechas con
límites especiales para Internet, y es ahí donde se entronca la
posibilidad de la utilización del monedero electrónico, del dinero
electrónico, los zakis, o sea, cupones electrónicos, y todo este tipo de
iniciativas. Lo que sí es importante, aunque no lo he situado entre las
prioridades, es destacar que también existe una falta importante de
regulación en esta materia. Estos medios de pago específicos del comercio
electrónico no se encuentran regulados todavía en nuestro país. Hay una
directiva de la Unión Europea, del año 2000, sobre entidades
creadoras de dinero electrónico, y uno de los objetivos del anteproyecto
de ley financiera es precisamente transponer a nuestro ordenamiento
jurídico la directiva comunitaria sobre dinero electrónico, que será el
marco común para todas estas modalidades de pago. Es todo lo que le puedo
comentar a su señoría.
La señora PRESIDENTA: Muchas gracias, señor Mateu.
¿Algún Senador desea formular una pregunta muy concreta? El siguiente
compareciente ya está dentro de la sala. (Pausa.)
Señor Mateu, le agradecemos enormemente la exposición, así como su clara
y exhaustiva comparecencia. Puesto que vemos que es un gran conocedor del
comercio electrónico, tomamos buena nota de lo que algún Senador ya le ha
anunciado, que es que, posiblemente, «lo utilizaremos» -- en el buen
sentido de la palabra-- (Risas.), para que nos explique alguna cuestión
que se nos pueda plantear cuando llegue a esta Cámara el proyecto de ley
de comercio electrónico.
Si en algún momento determinado surge alguna cuestión que a usted le
parezca que nos podría venir bien para los estudios que está llevando a
cabo esta Comisión, le ruego que nos la haga llegar. Será muy bien
acogida.
Muchísimas gracias.
--NUEVA DESIGNACION DE MIEMBROS DE LA PONENCIA DE ESTUDIO DE LOS DERECHOS
DE CONCURSANTES Y AUDIENCIA EN RELACION CON CONCURSOS, JUEGOS Y APUESTAS
(543/000007).
La señora PRESIDENTA: Señorías, vamos a cambiar el orden del día.
Vamos a designar a los miembros de la Ponencia de estudio de los derechos
de concursantes y audiencia en relación con concursos, juegos y apuestas
televisivos, que serían la Senadora Arnáiz de las Revillas García y el
Senador Mesa Ciriza, del Grupo Parlamentario Socialista.
¿Hay alguna objeción? (Pausa.) Quedan ratificados.
--ELECCION DEL SECRETARIO SEGUNDO DE LA COMISION (541/000005).
La señora PRESIDENTA: Pasamos al otro punto del orden del día: Elección
del Secretario Segundo de la Comisión.
Está propuesto el Senador don Fidel Mesa.
¿Se aprueba? (Pausa.)
Queda aprobado.
Aunque el Senador Mesa no está presente en este momento en la sala le
damos la bienvenida a la Mesa de la Comisión.
El señor CHIVITE CORNAGO: El Senador Mesa esperaba que se procediese a la
elección al finalizar la Comisión, y además ha tenido que acudir a la
Comisión de Presupuestos que también se está celebrando en estos
momentos.
La señora PRESIDENTA: No se preocupe, señoría. El Senador Mesa queda
excusado y a su vez ratificado como Secretario Segundo de la Comisión.
--COMPARECENCIA DE DON JUAN CARLOS GARCIA CUARTANGO, INGENIERO DE
TELECOMUNICACIONES ESPECIALIZADO EN SEGURIDAD INFORMATICA Y COLABORADOR
DE KRIPTOPOLIS (715/000028).
La señora PRESIDENTA: Pasamos a la comparecencia de don Juan Carlos
García Cuartango, ingeniero de telecomunicaciones especializado en
seguridad informática y colaborador de Kriptópolis.
Le agradecemos enormemente que haya accedido a venir a esta Comisión.
Tiene usted la palabra.
El señor GARCIA CUARTANGO (Ingeniero de Telelecomunicaciones
especializado en seguridad informática y colaborador de Kriptópolis):
Buenos días a todos. Quiero agradecer en primer lugar a esta Comisión y a
su Presidenta por el honor que supone para mí comparecer ante este
selecto foro.
Voy a proporcionarles una visión desde el punto de vista del usuario, un
usuario ciertamente un poco especializado puesto que soy ingeniero de
telecomunicaciones, llevo 18 años trabajando en las tecnologías de la
información y conozco el campo de Internet desde su nacimiento en España
hace unos siete u ocho años. (El señor compareciente ilustra su
intervención con la proyección de transparencias.)
Soy miembro de Kriptópolis, el primer foro de seguridad español que
aparece en Internet, que fue fundado en 1996 por un santanderino, José
Manuel Gómez, cuyo objetivo es la defensa de los derechos de los usuarios
en Internet y sobre todo el derecho a la integridad y a la seguridad en
la red. Kriptópolis publica un boletín semanal al que pueden suscribirse
sus señorías con la dirección Kriptópolis.com. Tenemos unos 30.000
lectores hispanohablantes por todo el mundo; más de la mitad son
españoles, pero tenemos una buena capacidad de difusión, fundamentalmente
en Sudamérica, en Argentina, Chile y Colombia, y bastante en Méjico. Es
una organización sin ánimo de lucro, es decir, ni siquiera recaudamos
para los gastos --incluso nos cuesta dinero personalmente mantener el
sitio web.
Voy a referirme ahora a las tres condiciones de éxito para el comercio
electrónico. Para que este comercio se produzca tienen que darse tres
factores. En primer lugar, el ciudadano tiene que tener acceso a la red.
Después existen una serie de condicionamientos culturales, algunos de los
cuales ya habrán surgido en la comparecencia anterior, y por último están
los aspectos de seguridad en los que paso a centrarme.
Para que haya acceso a la red se necesita que los hogares españoles
puedan acceder a ella. La situación española parece que es bastante
buena. Según el Centro de Investigaciones Sociológicas un 37 por ciento
de españoles tenían ordenadores domésticos ya en el año 2000, y había un
millón 750.000 accesos domésticos a Internet. Aunque dicen que en España
somos cuatro millones de usuarios aquí hablamos de usuarios domésticos,
el resto lo serían vía empresas o vía universidades.
El problema de acceso es que no hay una calidad de servicio definido. En
telefonía clásica ha habido históricamente una serie de normas técnicas
que definen lo que es la calidad del servicio. En Internet los usuarios
se quejan de que no hay una calidad de servicio estándar, es decir, hay
gente que dice que la red le funciona bien en tanto que otros dicen lo
contrario.
Otro problema de acceso a la red es, en mi opinión, el de la formación.
Para acceder a la red hacen falta una serie de conocimientos de
informática y sobre la red. Es una realidad que en España hay muchísimos
ordenadores sin uso por falta de formación. A veces la gente compra un
ordenador para los niños o para su propio uso y al final ese ordenador no
se utiliza por falta de formación. Creo que a este respecto los poderes
públicos deberían hacer un esfuerzo por incentivar la formación. Puesto
que afortunadamente el nivel económico de este país parece que ya permite
que en la mayoría de los hogares haya un ordenador, ahora falta la
segunda parte, aprender a utilizarlo.
Por último me gustaría remarcar la marginación de la población rural. Las
leyes españolas sobre telecomunicación --aunque no soy especialista en
ellas-- garantizan a todos los ciudadanos el acceso a la telefonía
básica, la de voz --por ejemplo en una ley de los años setenta--, y en
cualquier pueblo de España tenemos acceso de voz. Pero, ¿qué ocurre con
Internet? Existe cantidad de accesos en núcleos pequeños de población vía
radio. Aunque sea con tarifa de conexión normal de telefonía estas
conexiones no permiten el acceso a Internet, y en Kriptópolis recibimos
constantes quejas de usuarios que viven en Galicia o en núcleos rurales
pequeños cuya compañía no les da acceso a Internet, lo que supone una
marginación. En el siglo XXI el acceso a datos debe ser tan básico como
el acceso a la telefonía clásica.
Condicionamientos culturales. Creo que esto se ha mencionado ya en la
comparecencia anterior, pero quería decirles que tenemos aquí un estudio
de MMX-Europe de hace poco tiempo en el que se observan las visitas de
los usuarios de Internet en España, en Europa y en Estados Unidos y,
efectivamente, todos visitamos los portales para pasar después a
servicios, etcétera. Pero, hablando de comercio electrónico, resulta
significativo que en España los sitios de comercio electrónico de la red
no aparecen entre los diez más visitados mientras que en Europa están en
el sexto lugar y en Estados Unidos están en el cuarto. Es decir, aquí hay
una diferenciación sociológica respecto de los usuarios porque
culturalmente el usuario español y el europeo son bastante similares.
Como se decía en la presentación anterior, el usuario español es
inteligente y está entrando muy bien en estas tecnologías, pero en
cualquier caso es interesante destacar cómo el comercio electrónico no
aparece entre nuestras prioridades.
En estos condicionamientos culturales parece que no se percibe un
beneficio en la compra de bienes. El comercio tradicional en Internet no
está entrando demasiado bien en España. Los sociólogos dicen que nosotros
tenemos la cultura clásica de comprar en el comercio tradicional, en la
calle y viendo el género. Por otra parte, en nuestro país existe un
cierto desprestigio en ese otro tipo de comercio por lo poco que se ha
conseguido tradicionalmente a través de la venta por catálogo. Hace unos
años nos vendían cultivo de champiñón en casa o fresas gigantes y cosas
así, pero esa venta no caía demasiado bien, lo que, repito, ha incidido
negativamente en el comercio electrónico. En cambio, el comercio
electrónico está despegando a unos ritmos impresionantes cuando se
percibe un claro beneficio, especialmente en la compra de servicios, por
ejemplo en la banca como se ha dicho anteriormente. Efectivamente, la
banca está explotando en España. Todos empezamos a operar ya con los
bancos desde casa, y sobre todo cuando eso nos supone un ahorro de tiempo
y de disponibilidad del servicio: tenemos la banca a nuestra disposición
las 24 horas.
Otro sector en que está funcionando bien el comercio electrónico es en el
de viajes. Para contratar un viaje antes perdíamos dos horas en la
agencia viendo el hotel o el vuelo elegido y ahora podemos solucionarlo
todo desde nuestra propia casa.
Respecto a la Banca, sólo quiero mencionarles ahora un sondeo de la
Asociación de Usuarios de Internet que es un web muy interesante porque
está lleno de estadísticas; es el sitio de referencia de estadísticas en
España para mí. En este sondeo se refleja que los aspectos más valorados
son la disponibilidad, la comodidad, la rapidez, etcétera, pero en los
aspectos que limitan el uso vemos que el más importante es la falta de
seguridad. Por ello voy a referirme a continuación a los aspectos de
seguridad en Internet.
Voy a darles una visión de la seguridad más generalista que la que han
visto sus señorías antes. Yo me muevo en ambientes de seguridad más
generalizados. Conozco el entorno de lo que se ha dado en llamar
«hackers». La seguridad es un limitador del comercio electrónico. Vamos a
ver qué inseguridades existen, cuáles son las amenazas, algunas cifras,
un par de soluciones técnicas y unas conclusiones.
Cuando se habla de seguridad hay cuatro reglas básicas. He estado leyendo
el proyecto de ley de comercio electrónico y no se habla de esto. Hay muy
pocos aspectos técnicos recogidos en ella; no sé si se debería recogerse
eso en el Reglamento porque, repito, no sé nada de leyes. Cuando hablamos
de seguridad, ¿de qué estamos hablando en realidad?
Para que una transacción sea segura tienen que darse cuatro condiciones.
La primera de ellas es la confidencialidad: en principio, la transacción
electrónica sólo es inteligible para los participantes; no tiene que ser
pública para el resto del mundo. Esta cuestión está relacionada con las
técnicas de cifrado, del mismo modo que el correo tiene
que ser confidencial, tenemos el derecho a que una transacción también lo
sea.
La condición más crítica es la autenticación. ¿Qué es la autenticación?
Es la verificación de que cada cual es quien dice ser. Si yo me conecto
al web de Bankinter quiero estar seguro de que ésa es la página de
Bankinter y no de otro banco. También sucede a la inversa, cuando hago
una transacción con Bankinter, este Banco quiere que sea yo el que
realmente la estoy haciendo. Por tanto, es necesaria la autenticación y
ésta se consigue por el clásico mecanismo de introducir un usuario y un
«password», una tarjeta, por procedimientos biométricos, etcétera.
La tercera regla de la seguridad es la integridad. Es decir, la
información no puede ser alterada en el trayecto que va desde mi sistema
hasta que entra en el sistema al que va dirigida. Sería triste que
alguien modificara por el camino una cifra en una transacción de 1.000
pesetas.
La última regla, más filosófica, es la de no repudio; es decir, que las
partes no puedan negar su participación en la transacción. Mientras que
los tres primeros puntos son cuestiones de ingeniería, el no repudio está
relacionado con las leyes.
¿Por qué Internet es inseguro? Se nos llena la boca hablando de nuevas
tecnologías pero, realmente, de nuevas tienen bastante poco. Internet
parece muy novedosa y está de moda, pero la verdad es que ya tiene 30
años. Esta red se construyó para permitir el acceso a los usuarios de
confianza y no al público, en general. Cuando se diseñó la red, los
usuarios de Internet eran usuarios autorizados y, por decirlo de alguna
manera, serios; además, no se diseñó para fines comerciales sino para
compartir información entre centros académicos y de defensa. Se pretendía
que fuese una red nacional, de Estados Unidos, y no mundial y las
direcciones de Internet están dimensionadas a ese nivel. Ahora hay
problemas con la numeración de Internet porque se está quedando pequeña.
Por otro lado, no se diseñó, en absoluto, para proteger la seguridad
lógica sino para proteger la seguridad física; estaba compuesta de una
serie de nodos de tal manera que, si alguno se estropeaba, tenía que
seguir funcionando. Se estaba pensando en catástrofes nucleares, ataques
de los chinos, en la guerra con los rusos... No se pensó nunca en
Internet como un medio de comercio electrónico.
El otro elemento de la red es el «software». Lo que llamamos la moderna
tecnología del «software» también es una denominación falsa porque ha
quedado obsoleta. Nuestros sistemas de «software» están basados en Unix,
que es un sistema operativo académico que también se diseñó hace 30 años;
los sistemas Windows proceden del MS-DOS, que es un sistema operativo de
sobremesa, bastante antiguo también; programamos en lenguaje «C», que se
diseñó para aprender y no para producir «software»; además, está de moda
utilizar un lenguaje que se llama Java que, realmente, se diseñó para
programar electrodomésticos y estamos haciendo transacciones con estas
herramientas tan rupestres.
Actualmente, el «software» es casi un monopolio; antes habla «software»
de muchas marcas, pero ahora es un monopolio de dos o tres marcas. Por
otra parte, el «software» crece en complejidad, las máquinas hacen cada
vez más cosas y son más bonitas, pero la tecnología del «software» no ha
evolucionado, trabajamos como hace 30 años, como los egipcios. Cuando hay
que hacer un programa más grande se consigue a base de incluir a más
personal, lo que produce errores de programación y agujeros de seguridad.
Según se puede apreciar en la pantalla, el código en Windows 3.11 tenía
alrededor de 500.000 líneas de programa, mientras que el Windows 2000
tiene, más o menos, 45 millones. En 20 años se ha multiplicado la
complejidad del «software» pero, puesto que utilizamos las mismas
técnicas, hay 20 veces más probabilidades de error, lo que provoca
agujeros de seguridad.
¿Cuáles son las amenazas? Aprovechando la vulnerabilidad de estas
tecnologías --que ya hemos visto que no son nada modernas y están
obsoletas, técnicamente--, hay delincuentes en la red que buscan
conseguir una serie de beneficios. El problema es que al no haber
variedad ni en «software» ni en «hardware», un atacante --un hipotético
«hacker» o un delincuente-- tiene las mismas armas que el objetivo a
atacar. Es decir, con un ordenador de 100.000 pesetas tengo reproducido
el sistema de un Banco, probablemente, la única diferencia es que el
Banco tiene un ordenador más grande y más caro --puede que de 100
millones de pesetas--, pero el sistema operativo es el mismo y se pueden
explotar las vulnerabilidades de seguridad para delinquir contra esa
máquina; éste es uno de los problemas que existen hoy en día. Antes no se
podía actuar así, un Banco tenía un «mainframe», que costaba 1.000
millones de pesetas y nadie tenía en su casa un ordenador pero, ahora,
tiene todo el mundo lo mismo que se está atacando.
Por otra parte, se dice que los «hackers» son muy listos, pero es falso.
Los útiles para cometer acciones ilegales en la red están avanzando día a
día --como se puede ver en la pantalla--, mientras que el nivel de
conocimientos requeridos para llevarlas a cabo es cada vez menor. Por
tanto, para ser un «hacker» no hace falta ser un genio, sólo hay que
buscar las herramientas adecuadas, ir a los foros adecuados y tener un
mínimo de conocimientos técnicos.
¿Cuáles son las consecuencias de las debilidades y amenazas? Son las que
todos sabemos: accesos ilegales a la información, modificación de páginas
web, robos de información, fraudes, daños a los sistemas y denegación de
servicios. Estos últimos ataques lo único que persiguen es dejar una
máquina sin funcionamiento para que los usuarios no tengan servicio, lo
que ha causado --sobre todo en el último año, que se pusieron de moda--
pérdidas multimillonarias en todo el mundo. Otro problema es la
distribución de virus. Ultimamente, hemos visto que los virus son un
peligro a través del correo. La consecuencia de todo lo anterior es que
hay miedo hacia el comercio electrónico.
¿Qué tipo de ataques se producen? En España no hay datos pero, según mi
experiencia, la mayor parte de las empresas no se dan cuenta de que están
recibiendo un ataque; alguien les roba la cartera, pero no se dan cuenta.
No tengo cifras, pero me consta empíricamente.
En América, el Computer Security Institute hace todos los años una
encuesta entre grandes empresas y agencias gubernamentales y, según los
resultados de las mismas: 25
usuarios tuvieron robos de información, hubo 90 penetraciones de
sistemas, 87 abusos de Internet, etcétera; es decir, los ataques son
reales. Desgraciadamente, en España también son reales, pero los usuarios
no suelen enterarse.
Estos ataques ocasionan una serie de pérdidas económicas y, aunque el
problema principal lo han provocado los virus --creo que en España ocurre
lo mismo--, también producen pérdidas económicas el robo de información y
la penetración de sistemas.
¿Cuál es el origen de los ataques? Hay ataques entre Gobiernos de
distintos países, ataques a compañías extranjeras, de «hackers»
independientes, de la competencia --empresas que se atacan mutuamente-- y
de empleados deshonestos. Los mayores daños los causan estos últimos: un
empleado que tiene algún contencioso con su empresa, se va y toma sus
medidas. Esta situación se ha producido recientemente en una gran empresa
española y se ha entablado un pleito.
Es interesante conocer que también hay ataques entre gobiernos. Anteayer,
el asesor de seguridad de la Casa Blanca decía que esto es la moderna
guerra fría.
Voy a mencionar una serie de soluciones técnicas para hacer frente a
estos problemas. En primer lugar, hay que mencionar el proyecto CERES, de
firma electrónica --que ya he mencionado antes-- que, personalmente, me
parece un logro. Después de utilizarlo y analizarlo, se puede apreciar
que conlleva una tecnología que debe ser potenciada y que no debemos
dejar pasar porque nos puede poner en una situación de liderazgo mundial.
Por último, antes también se ha mencionado la obsolescencia de la tarjeta
de crédito y, por tanto, parece ser que el futuro de la seguridad del
sistema se va a encaminar a través del teléfono móvil. La tecnología de
las tarjetas que llevan los teléfonos móviles es bastante buena y casi
imposible de duplicar, lo que permite una autenticación de usuarios; es
decir, tiene que ser el propietario quien teclee lo que haya que teclear.
De esta manera, en lugar de poner la tarjeta electrónica cuando se compra
por Internet --lo que nos da pánico--, el comercio en el que se ha
comprado llama al Banco para informarle de la operación y el Banco llama
al móvil de su cliente para decirle el importe, cuál es el comercio en el
que se está comprando y pedir la conformidad y un código de
identificación. Así, se paga a través del Banco y del móvil, por lo que
es muy difícil que haya fraude. Técnicamente, es un sistema bastante
revolucionario a nivel mundial y, además, funciona sin modificar los
teléfonos móviles actuales; es un sistema que están desarrollando
Telefónica y el Banco Bilbao-Vizcaya.
Mis conclusiones personales son las siguientes. El comercio está
despegando en España; hay una serie de resistencias de los usuarios, pero
se pueden vencer; las perspectivas son muy buenas cuando el usuario
percibe un valor añadido claro, como es el caso de la Banca, y no creo
que Internet pueda sustituir al comercio tradicional, por los
condicionamientos sociológicos, lo cual incluso puede ser bueno para
nuestra economía. Por último, se necesita potenciar la seguridad de las
transacciones del comercio con soluciones tecnológicas, siendo importante
la formación del usuario, además de con normativas sobre seguridad.
Insisto en que la ley de comercio electrónico hace muy pocas referencias
a la seguridad.
Eso es todo lo que quería comentarles, y si tienen preguntas, estaré
encantado de contestarlas.
La señora PRESIDENTA: Gracias, señor García Cuartango.
Abrimos el turno de portavoces. Por el Grupo Parlamentario Socialista,
tiene la palabra el Senador Chivite.
El señor CHIVITE CORNAGO: Muchas gracias, señora Presidenta.
Doy la bienvenida a don Juan Carlos García, y le traslado un saludo
virtual de nuestro portavoz, Félix Lavilla, que así me lo ha encomendado,
porque no podía estar hoy presente.
Comparto en gran parte el análisis que usted hace basado en las
debilidades propias del sistema y en las amenazas externas a que está
sometido, y, cómo no, he tomado buena nota de lo que son las fortalezas
fundamentales que usted ha apuntado, en relación con el proyecto CERES,
que puede suponer para nosotros, al igual que la extensión del sistema de
móvil-pago, situar a España a la cabeza, ser líder en Europa, y poder así
vencer, de alguna manera, esas resistencias culturales que nos impiden
tener un desarrollo paralelo, o incluso un desarrollo mayor en esos
sistemas de comercio electrónico.
Ultimamente se está hablando de un tema que no se ha apuntado por usted
aquí, y sobre el que me gustaría conocer su opinión --que más que una
amenaza externa será una debilidad del propio sistema--, que es la
garantía de conservación de la información. Ahora están apareciendo unas
informaciones que ponen en entredicho la duración de los soportes
actuales de información, CD con una limitación temporal que ronda los
40/50 años lo que puede resultar en un tiempo determinado un riesgo
bastante importante para la conservación de toda nuestra historia, que
hoy se está trasladando del papel a los sistemas digitales. Creo que ahí
está el nudo gordiano de la cuestión.
También quisiera saber su opinión respecto a los sistemas de «software»
ya obsoletos, incluso de las propias máquinas herramienta que utilizamos
para su manejo. Si apostamos por la universalización del sistema, para
dar mayor accesibilidad y para permitir que estas tecnologías se
desarrollen incluso en el medio rural, ¿cómo compatibilizamos eso con la
universalización del concepto seguridad, en su más amplio sentido?
Quisiera hacer un apunte en relación con el comentario que ha hecho a la
accesibilidad desde el medio rural. En estos momentos se están aprobando
los programas de desarrollo rural --que quedan pendientes de lo que fue
la conocida Agenda 2000--, y desde un punto de vista de soporte
financiero, quisiera saber si no sería oportuno --y le solicito su
opinión-- incorporarlos como una de las líneas contempladas en esos
programas de desarrollo rural, como uno de los elementos fundamentales
para igualar territorialmente a todos los ciudadanos, vivamos en un medio
rural --como es mi caso-- o en un medio urbano, e incorporarles así a
estos nuevos sistemas de desarrollo; es decir, si
dentro de las nuevas tecnologías, Internet tiene que ser una línea, o no,
dentro de los programas de desarrollo rural, como puede ser la
conservación del agroambiente, el desarrollo de la artesanía, etcétera.
Nada más y muchas gracias.
La señora PRESIDENTA: Gracias, Senador Chivite.
En nombre del Grupo Parlamentario Popular, tiene la palabra el Senador
Colsa.
El señor COLSA BUENO: Muchas gracias, señora Presidenta.
En primer lugar, quiero dar la bienvenida a esta Comisión a don Juan
Carlos García, felicitarle por su intervención, y sobre todo por la
página que tiene, que me parece bastante atractiva, Kriptópolis, además
de por sus contenidos, porque es española, y porque es importante que en
España tengamos alguien que nos ayude a entender qué es la seguridad en
Internet, que yo creo que es quizá uno de los puntos más importantes
sobre los que se puede hablar en materia del fenómeno del uso de la red.
Antes de formularle las preguntas, que algunas de ellas ya tenía
preparadas después de visitar su página, sí me gustaría introducirlas con
un comentario breve sobre Internet. Desde que nació esta Comisión, por
aquí ha desfilado todo tipo de profesionales de mucha reputación y nos
han dado su visión sobre qué es Internet, cómo influye en nuestras vidas,
algunos incluso dicen que es una especie de realidad paralela a la
realidad física, y yo creo que realmente es una parte de nuestra realidad
física, porque al fin y al cabo aunque nos movemos en un mundo virtual,
nos influye físicamente, incluso a los que no quieren estar en la red, no
a los que no pueden --que es un apartado muy importante--, sino a los
que, por lo que sea, generacionalmente hablando, o porque rechazan el
canal más utilizado para acceder a la red, que es el PC en estos
momentos, no están en la red. Aun así, yo creo que la red les influye de
una manera muy importante.
En ese sentido, lo que sobre todo se puede decir de la red es que es
comercio electrónico, se utiliza también para correo electrónico, pero
donde está llegando a los capitales privados, invirtiendo en la red
fundamentalmente, es a través del comercio, y ahí entramos en el tema de
la seguridad, que es donde yo sí quisiera hacerle una serie de preguntas
muy concretas.
El problema de la sensación que puede generar en un usuario la falta de
seguridad en la red, ¿puede ser producida quizá por el desconocimiento de
lo que realmente es la red o de cómo se producen las relaciones dentro de
ella? Usted ha aludido, como uno de los puntos necesarios de actuación,
al de la formación. Quizá en la vida real puede ocurrir que cuando
desconoces algo sueles tener miedo ante lo desconocido; en este caso, el
desconocer cómo se producen las relaciones dentro de la red o la
seguridad de esas relaciones, puede generar ese miedo, y ese miedo
generar rechazo; esto afecta de forma muy importante al principio de
seguridad jurídica o de seguridad en el tráfico mercantil, que es de lo
que estamos hablando al final.
Me gustaría saber su opinión sobre qué nivel de seguridad tenemos ahora
mismo en España. La persona que ha intervenido anteriormente, al hablar
de los sistemas de seguridad de encriptación de datos que
fundamentalmente tiene la Banca en España, que yo creo que es el sector
que más está invirtiendo en este tipo de sistemas, hablaba de que era un
nivel de seguridad casi fiable al cien por cien. Ha llegado incluso a
decir, si no recuerdo mal, que la firma digital era un sistema casi
inexpugnable. Por lo que yo he leído en su página y en otro tipo de
revistas, precisamente si hay algo que no se puede afirmar con tanta
seguridad es que en la red haya algo inexpugnable, lo cual no quiere
decir que esa seguridad tenga que ser más imperfecta que la que puede
existir en el mundo real. Yo soy de los que piensan que en el mundo real
existen niveles muy importantes de inseguridad, y quizá en algunos
momentos más graves que los que puedan existir en la red.
También quisiera conocer su opinión sobre el nivel de dependencia
tecnológica, en cuanto a seguridad en la red, de la Unión Europea con
respecto a Estados Unidos. Muchos hemos oído hablar del programa Echelon
y me ha sorprendido bastante, incluso me ha generado cierto desasosiego
conocer qué es lo que estaba ocurriendo con esta red Echelon --no sé si
será programa, red o qué será, al fin y al cabo--. Si eso es así y si
seguimos dependiendo de Estados Unidos, ¿cuánto tiempo estima usted que
la Unión Europea tardaría en despegarse y en crear sus propios sistemas
de encriptación, no sé si armónicos o no; no sé si España tendrá los
suyos, Francia los suyos, Alemania los suyos?
En su página he leído la noticia de que los sistemas de inteligencia
alemanes están muy preocupados por la dependencia con Estados Unidos,
sobre todo porque éste tiene acceso a los códigos que utiliza, y ellos
consideran que deben crear su propia red de seguridad. Yo me pregunto si
esa red va a ser sólo alemana o va a ser una red europea que nos haga
independientes no sólo frente a Estados Unidos, sino también frente a
otros países.
Otra pregunta es si usted cree que sería necesaria la armonización; es
decir, que los sistemas de encriptación y de seguridad en la red dentro
de la Unión Europea se realicen a través de un sólo sistema público, a
veces trabajando con algún sistema privado, como antes se planteaba
respecto a la certificación digital de relaciones dentro de la
Administración, que es lo que está poniendo en marcha la Agencia
Tributaria a través de la Fábrica de Moneda y Timbre, y agencias privadas
de certificación de firma digital para la relación entre los usuarios y
no entre la Administración y los usuarios. ¿Debe ser el Estado el que
lidere la seguridad dentro de la red, o al margen del Estado se podría
confiar en otro tipo de organizaciones que no fueran estatales?
Nos preocupa la seguridad dentro de la red, pero también puede ser
preocupante qué ocurre con la libertad dentro de la red al incrementar
las medidas de seguridad. Al intentar generar un nivel de protección
importante dentro de la red, como un espacio físico, podría ocurrir que
la privacidad se viera dañada, y si algo se está produciendo en la red es
que existe más libertad de relación entre las personas que en la realidad
física, y las medidas de seguridad en
las relaciones dentro de la red, ¿podrían poner en peligro los niveles de
libertad?
Una última pregunta es si tiene algún dato sobre qué nivel de uso tienen
ahora mismo en España --por referirnos a una zona geográfica concreta
dentro de la Unión Europea-- los programas de infiltración de datos entre
usuarios privados.
También me gustaría saber cómo mantienen ustedes su propia página. En uno
de sus apartados, Kriptópolis habla de su independencia a la hora de
opinar porque es una página que se automantiene. No sé qué coste puede
tener su página dentro de la red y cómo financian ese coste. Nada más y
muchas gracias.
La señora PRESIDENTA: Muchas gracias, Senador Colsa.
Para contestar a las preguntas de los grupos parlamentarios tiene la
palabra el señor García.
El señor GARCIA CUARTANGO (Ingeniero de telecomunicaciones especializado
en seguridad informática y colaborador de Kriptópolis): Voy a responder
siguiendo el orden en que han sido planteadas las preguntas.
Empiezo contestando al señor Chivite. Respecto a la limitación de los
soportes, los cambios de ciclos se han producido sistemáticamente. Del
papel obsolescente se pasó al microfilm, y de éste a los soportes. Todos
los soportes son obsoletos: los CD-ROM durarán unos años, y el ciclo
seguirá, de ahí pasamos al DVD (Digital Video Disc), y posteriormente al
siguiente soporte, ya se habla de soportes cuánticos y biológicos. Yo
entiendo que ese cambio seguirá produciéndose siempre.
Respecto al «software» obsoleto, y su seguridad es cierto y lo que usted
ha planteado ocurre. Yo tengo el mismo «software» que el Banco, lo que
tiene sus ventajas y sus desventajas. Es una ventaja cultural puesto que
es una democratización de la tecnología de la información, pero en el
aspecto de la seguridad es una desventaja. La solución vendría por crear
sistemas operativos de calidad que sean compatibles, que puedan estar en
una empresa o en un hogar, pero que los niveles de seguridad sean
adecuados para hacer transacciones.
Respecto a que le parece formidable que se potencie el «software», ahora
hay una realidad: yo no puedo irme a trabajar a Burgos, que es mi pueblo,
porque mi conexión es un teléfono fijo vía radio y no puedo pedir
Internet, lo que supone una limitación para ciertas zonas rurales.
Cualquier persona que quiera montar un hotel rural, que ahora está de
moda, y quiera promocionarlo, no puede desde su casa recibir correo
electrónico, y eso es triste y considero que eso habría que potenciarlo.
Hoy en día no hay economía rural sin Internet, por lo que su idea me
parece muy interesante.
El Senador Colsa me ha planteado bastantes cuestiones. Estoy de acuerdo
en que la seguridad y la formación están íntimamente relacionadas. Un
ejemplo clásico son las olas de virus que estamos sufriendo, que se
producen por ignorancia de los usuarios. Si a un señor le mandan por
correo electrónico un programa ejecutable y éste lo pincha y lo ejecuta,
lo hace por ignorancia absoluta, al igual que la gente que introduce la
tarjeta de crédito en lugares de dudosa moralidad o procedencia, se
arriesga a que dicha tarjeta aparezca en cualquier sitio, y eso se hace
por falta de formación. No es lo mismo introducir el número de tarjeta en
el TPV de Banesto que en un lugar extraño de XXX (Risas.), y eso se hace
por ignorancia. La seguridad pasa por la formación.
¿La firma digital es inexpugnable? Se considera casi inexpugnable,
depende de las condiciones tecnológicas. En Francia, por ejemplo, la
tarjeta bancaria se rompió en la firma digital porque era una clave de
380 bits que en el año 1980 se pensaba que era inexpugnable, pero en el
2000 fue expugnable y se produjeron graves problemas. Hoy por hoy se
considera inexpugnable, pero como esto evoluciona muy rápido, lo que hoy
se considera inexpugnable dentro de diez años será una basura. Eso es lo
que pasó con el algoritmo DS, el estándar de encriptación que en los años
ochenta se consideraba maravilloso y ahora se rompe con una máquina de
cien mil pesetas.
La dependencia tecnológica con Estados Unidos es muy grande --no en
asuntos criptográficos--, puesto que todos los sistemas, tanto el
«hardware» como el «software» son americanos. Existen empresas europeas,
como Siemens, que hacen ordenadores, pero los chips de los que se
componen los ordenadores son de Intel, que están hechos en América. El
sistema operativo es Windows, Unix o Linux, que en parte es americano
porque es un sistema operativo abierto. La dependencia tecnológica es
obvia, sencillamente porque todos los microprocesadores son americanos.
Respecto a Echelon, creo que ha sido mitificado. Existir, parece que
existe, pero se ha dicho que Echelon es una oreja cósmica que lo escucha
todo. Yo creo que es imposible técnicamente, por una sencilla razón, la
existencia de Echelon como una oreja cósmica que escucha todo implica
tener una duplicación en las infraestructuras de telecomunicaciones. Yo
dudo mucho que la organización Echelon tenga las mismas infraestructuras
de telecomunicaciones que Telefónica de España, que Deutsche Telekom, que
ATT o que la British Telecom. Eso implicaría una inversión de recursos
tan monstruosa que no cabe en mi cabeza, y aparte de eso necesitaría
satélites para retransmitir. Sí parece que Echelon es una organización
selectiva, yo considero que Echelon está «al loro», pero que escucha lo
que le interesa, probablemente transacciones comerciales y temas de
defensa, pero dudo mucho que sea capaz de escuchar nuestras
conversaciones diarias y los correos electrónicos con nuestros amigos por
la sencilla razón de que los recursos que necesitaría serían infinitos.
La armonización europea respecto a cuestiones de seguridad que se está
haciendo, técnicamente viene por la vía de hecho, aunque siempre influida
por América. Ya hay un nuevo algoritmo estándar de cifrado que se llama
Reingold, un nombre impronunciable que, por cierto, han diseñado en
Holanda y se ha adaptado a América como estándar universal.
En temas de criptografía sí hay «software» europeos, eso no es problema,
el problema es el sistema operativo, lo
que hay detrás, lo que no controlamos. Un «software» criptográfico se
puede hacer a escala nacional, no hay ningún problema.
Respecto a si el Estado debe ser líder en seguridad, yo considero que
debe liderar cierta parte de la seguridad. En la firma electrónica a mí
me parece muy buena la idea de que haya una entidad de certificación que
sea el Estado. Yo me fío bastante del Estado, más que de las entidades
privadas. Aquí se habla de que en Europa va a ser igual que en América,
donde cualquiera puede certificarlo. Les cuento lo que ha pasado hace
tres días en Microsoft. La principal agencia americana de certificación
se llama Verisign, que es una empresa gigantesca que se dedica a emitir
certificados. Llama un señor que no se sabe quién es, diciendo que era de
Microsoft solicitando unos certificados para la firma de «software» y
componentes y Verisign le ha dado dos certificados digitales, dos firmas
electrónicas. ¿Qué ocurre? Que ahora puede haber por el mundo virus que
están firmados aparentemente por Microsoft; es decir, me llega un correo
y se me pregunta si deseo ejecutar el programa que está garantizado por
Microsoft. Por tanto, uno de los peligros es que estas cuestiones sean
privadas, que finalmente constituya un negocio. Si lo ha conseguido
alguien que afirma pertenecer a Microsoft a una persona que dice proceder
de una firma de menos nivel no se le debe verificar nada. La conclusión
es que se lo deben conceder a todo el mundo y por tanto, es bueno que el
Estado sea algo más serio en esta cuestión.
Considero que la libertad en la red y su seguridad son perfectamente
compatibles. Es cierto que las herramientas de seguridad en la red tienen
un doble uso: yo puedo usar las herramientas de cifrado de mi correo
simplemente por confidencialidad, de la misma forma que introduzco una
carta en un sobre. He participado en algún seminario sobre el
ciberterrorismo y debemos ser conscientes de que la delincuencia
internacional utiliza la red como medio de telecomunicaciones porque es
barato, rápido y seguro; es decir, hay técnicas como el PGP que son
básicamente inexpugnables, así como la esteganografía, la ocultación de
mensajes en imágenes, es indetectable; técnicas que son utilizadas por la
delincuencia y tenemos que convivir con ello.
El nivel de uso en las formas de encriptación de datos es mínimo;
normalmente la gente envía sus correos en clave; es como si en lugar de
enviar cartas se mandaran postales, ésta es la realidad, pero no sólo es
esto, además se pueden falsificar, se pueden modificar por el camino.
Ustedes saben que en el correo no existe una autentificación, ahora puedo
enviar a cualquiera de ustedes una carta que aparentemente puede venir de
Ronald Reagan, es decir, al no estar firmado el encabezamiento no dice
nada; si como mínimo no está firmado, no hará falta que esté cifrado,
nunca sabremos de dónde viene.
Por último, con relación a Kriptópolis he de decir que el coste es
pequeño, aproximadamente pagamos 20.000 pesetas al mes, básicamente el
soporte del sitio «web»; hay algunos «banner» de publicidad que no dan
ningún dinero y algunos anuncios de trabajo, pero básicamente todos los
que colaboramos lo hacemos de forma gratuita, incluso muchos lectores
también colaboran y nos escriben.
Si no hay más preguntas, quedo a su disposición para cualquier otra
aclaración sobre temas de seguridad que ustedes necesiten.
La señora PRESIDENTA: Muchas gracias, señor García.
¿Algún Senador desea hacer otra pregunta? (Pausa.)
En primer lugar, quiero agradecer el soporte técnico porque no pertenece
a esta Comisión ni a esta Casa y se ha brindado a colaborar de forma
totalmente altruista. Muchas gracias por habernos facilitado la
presentación del PowerPoint.
Quiero agradecer igualmente al señor García Cuartango su comparecencia en
esta Comisión y su visión realista de lo que está sucediendo; asimismo me
gustaría que nos tuviera en cuenta porque seguramente vamos a necesitarle
para alguna otra cuestión.
Muchísimas gracias.
Sin más asuntos que tratar, se levanta la sesión.
Eran las doce horas y cincuenta y cinco minutos.
�
