La respuesta corta es «depende».
La captación del grafo de la firma, y su incorporación a un documento, ya sea por la digitalización o escaneo de la firma procedente de un soporte en papel, ya sea por su captura en una tableta digitalizadora o en un dispositivo especializado, tiene, según la ley de firma electrónica el carácter de «firma simple».
En efecto, la Ley 59/2003 señala en su artículo 3:
1. La firma electrónica es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante.
Sin embargo, la definición de firma avanzada en el mismo artículo es tecnológicamente neutra:
2. La firma electrónica avanzada es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control.
Por regla general, esta definición se ha explicado con soluciones basadas en tecnología criptográfica de clave pública.
El titular de un certificado utiliza la clave privada que mantiene bajo su exclusivo control (por ejemplo, la del DNI electrónico), para realizar el proceso de cifrado asimétrico sobre el resultado de una función resúmen (hash) aplicada al documento. El resultado de la operación matemática (descrita en la norma PKCS#1) se incorpora al documento junto con el certificado. La comprobación de la firma parte de obtener el hash, por un lado, a partir de la firma, aplicando la clave pública del firmante extraída del certificado con una operación de descifrado asimétrico, y por otro aplicando la función resumen al documento original. Si los hashes no coinciden, eso quiere decir que el documento se ha modificado, por lo que este tipo de firma permite detectar cualquier cambio ulterior de los datos firmados. Dado que se usa un certificado, con datos del titular, permite identificar al firmante, y puesto que la firma codificada en PKCS#1 (o de cualquier otra forma) es una operación matemática de un elemento vinculado al firmante (su clave privada) y el hash, vinculado al documento, se cumple que esta firma está vinculada al firmante de manera única y a los datos a que se refiere.
Pero también puede aplicarse a sistemas de firma manuscrita digitalizada que captan información dinámica de la generación de firma asociándola de manera indisoluble al documento:
Si se capta la información biométrica de la firma en el momento en que se realiza, por ejemplo, en una tableta de digitalización, y se concatena con el resultado de una función resúmen (hash) aplicada al documento, y se cifra todo ello con una clave pública cuya privada asociada la custodia un tercero de confianza, y esta información se añade al documento junto con la imagen plana de la firma se logra el mismo resultado de firma avanzada.
Veamos: la firma la realiza el propio firmante, por lo que utiliza una habilidad que mantiene bajo su exclusivo control. Al ser su propia firma, permite identificar al firmante, como lo hace la firma manuscrita convencional aplicada en soporte papel. Al estar el hash del documento y la información dinámica de creación de la firma vinculados indisolublemente dentro del bloque cifrado, la firma está vinculada al firmante de manera única y a los datos a que se refiere. Y puesto que si se modificara el documento el hash cambiaría y no sería igual que el incluido en el bloque cifrado, esta firma permite detectar cualquier cambio ulterior de los datos firmados.
Por lo tanto, podemos concluir que la firma digitalizada, realizada con el apoyo de la criptografía y teniendo en cuenta ciertas precauciones de codificación y gestión, es una firma electrónica avanzada.
no obstante aflora una interesante cuestión, ¿como un firmante puede tener la certeza de que una solución de firma digitalizada en base a la que se le pide que firme en una tableta tiene en cuenta estos requisitos técnicos y operativos?