nº 1.006 - 25 de abril de 2024
eIDAS 2, cambio de paradigma que transforma las reglas de la industria de la identidad digital en Europa
Ivette Matamoros Massip. Abogada Senior, Área IT/Privacidad de ECIJA
El pasado mes de marzo se aprobó el instrumento jurídico modificativo del Reglamento No.910/2014 en lo que respecta al establecimiento de un marco para la identidad digital europea, el ya conocido como eIDAS2
Estas aspiraciones abren un abanico de retos y oportunidades para proveedores de wallets digitales
La comprobación de la identidad con garantías de fiabilidad y seguridad ya sea en persona o a distancia, es un elemento crítico de los servicios digitales actuales y esto es cada vez más evidente a medida que evoluciona el ecosistema social, económico, normativo y tecnológico. Máxime cuando los casos de suplantación de identidad y los ataques de phishing, fraude al CEO, SIM swapping y otras conductas fraudulentas relacionadas con la identidad se han triplicado desde el año 2020.
En los últimos cuatro años, la industria de identidad digital en Europa atraviesa un periodo de intensa transformación. Obviamente la pandemia de COVID 19 y las restricciones de movimiento como medidas preventivas para proteger la salud pública, resultaron catalizadoras de soluciones de identidad digital que proporcionaron nuevas formas de gestionar la identificación de los usuarios de entidades públicas y privadas, pasando de la verificación presencial a la verificación a distancia síncrona y asíncrona de documentos de identidad y el análisis de datos biométricos de los usuarios con intervención de IA o de un operador humano, con pruebas de vida, doble factor de autenticación y otros mecanismos de control asociados. Todo esto con el fin de construir una identidad digital del usuario fiable para terceros, que además cumpla los requisitos normativos de varios sectores que requieren, como parte de sus obligaciones de diligencia debida, el identificar de manera segura y confiable a sus clientes finales y mitigar o minimizar los riesgos de fraude por suplantación de identidad.
En este escenario se aprobó el pasado mes de marzo, el instrumento jurídico modificativo del Reglamento No.910/2014 en lo que respecta al establecimiento de un marco para la identidad digital europea, el ya conocido como eIDAS2. Actualmente se encuentra en las etapas finales de traducción y su publicación en el Diario Oficial de la Unión Europea (DOUE) y a los 20 días se convertirá en normativa plenamente aplicable en Europa, aunque algunas de sus obligaciones entrarán en vigor de manera progresiva, dado que se requiere el desarrollo de normas complementarias y actos de ejecución con períodos de entrada en vigor que oscilan entre 6, 12 y 24 meses desde la publicación de la citada reforma.
Comienza la carrera para adoptar y aplicar los cambios regulatorios
A partir de su publicación en el DOUE, comienza oficialmente para los principales agentes del nuevo ecosistema de identidad digital y los servicios de confianza europeos, la carrera para adoptar y aplicar, en los plazos previstos, los cambios regulatorios que introduce el citado instrumento jurídico.
Los principales agentes bajo el paraguas del eIDAS 2 son los Estados miembros, las entidades públicas y privadas entre las que destacan los prestadores de servicios de confianza, proveedores de soluciones de identidad digital y de wallets conforme a eIDAS 2, los proveedores de servicios de pago, grandes plataformas digitales, entidades que actúen como clientes intermedios de servicios de confianza que requieran cumplir con medidas de diligencia debida en la identificación de sus usuarios, así como los ciudadanos europeos como usuarios finales. A todos ellos les impactan de una forma u otra los citados cambios regulatorios, en algunos casos con cambios tecnológicos y de negocio con costes asociados.
Una de las principales novedades que introduce el eIDAS2 son las carteras de identidad digital (EUDIWallet por sus siglas en inglés) entre las alternativas de identificación de usuarios ya existentes en el marco de los servicios de confianza regulados por eIDAS. Estas carteras digitales deberán cumplir un conjunto de requisitos que sin dudas obligan a los actuales proveedores de soluciones de identidad digital a ofrecer servicios de valor agregado y en muchos casos a reinventarse. Algunos de sus requisitos más relevantes se detallan a continuación:
Conforme al eIDAS 2 la cartera de identidad digital europea constituirá un medio de identificación electrónica voluntario y gratuito que permitirá a los ciudadanos europeos identificarse y autenticarse de manera segura y fiable en servicios provistos por entidades publicas y privadas de la UE, así como identificarse ante otros usuarios de carteras digitales similares.
Estas carteras deberán desarrollarse con código abierto para fomentar la transparencia e innovación y mejorar la seguridad y preferiblemente en formato App instalable en el teléfono móvil para facilitar su usabilidad y una experiencia de usuario asequible a todos los públicos, esto sin perjuicio de que pueda utilizarse otro modelo de negocio.
Asimismo, la Wallet debe ser capaz de funcionar tanto on line como off line y permitir al ciudadano almacenar, gestionar, validar y divulgar selectivamente y de manera segura sus datos de identificación y credenciales digitales relacionadas con otros atributos de su personalidad, por ejemplo: permisos de conducir, diplomas universitarios y otra información personal, como registros médicos o detalles de cuentas bancarias, etc., así como seudónimos para casos de uso que no requieran una identificacion reforzada del usuario.
Adicionalmente la cartera digital deberá permitir el uso de manera gratuita y no profesional de firmas electrónicas cualificadas para firmar documentos electrónicos y mejorar la fluidez de los intercambios digitales.
eIDAS2 promueve con estas billeteras digitales un modelo de gestión de identidad descentralizada o Self Sovereign identity porque transfiere el control total sobre sus datos personales al usuario, reforzando así la privacidad. En este sentido la cartera digital deberá incorporar un panel de control que le permita al usuario verificar los datos personales que comparte con terceros, permitiéndoles compartir solo los atributos personales necesarios para una transacción específica, sin revelar información personal innecesaria. Asimismo, debe facilitar al usuario mecanismos que le permitan ejercer los derechos que le asisten conforme al RGPD.
Los proveedores de estas carteras no recopilarán información sobre su uso que no sea necesaria para la prestación del servicio, ni combinarán datos de identificacion de la persona usuaria para utilizarlos con otros fines. Igualmente deberán garantizar que los usuarios puedan solicitar fácilmente apoyo técnico y notificar problemas técnicos u otros incidentes que afecten al uso de las carteras.
Para garantizar que todos los Estados miembros cumplan estos requisitos, las wallets deben estar certificadas de forma independiente con arreglo a las normas armonizadas vigentes y seguirán la Ley de Ciberseguridad de la UE. Hasta que este sistema esté en pleno funcionamiento, las wallets serán certificadas a nivel nacional. Adicionalmente se establecerá un sistema de registro y la supervisión de las empresas implicadas en la operativa de las Wallets digitales con el fin de garantizar la rendición de cuentas y la trazabilidad.
Como se puede apreciar hasta este punto, todas estas nuevas obligaciones suponen un reto para los actuales proveedores de soluciones de identidad digital que además deben establecer sinergias con las entidades públicas y privadas del ecosistema para garantizar la interoperabilidad transfronteriza de manera segura.
Nótese en este sentido que conforme a eIDAS2, la aceptación de las carteras de identidad digital europeas es obligatoria para los servicios públicos de los Estados miembros, para las plataformas en línea de gran tamaño consideradas así en virtud de la Ley de Servicios Digitales (entre ellas Amazon, Booking, YouTube, Facebook, LinkedIn, etc.), así como para aquellas entidades privadas que estén legalmente obligadas a autenticar a sus clientes de manera fehaciente al momento de iniciar sesión en sus servicios en línea; es el caso por ejemplo del sector bancario y financiero, y determinados casos de uso en los sectores de transporte, energía, seguridad social, sanidad, aguas potables, servicios postales, infraestructuras digitales, educación o telecomunicaciones. Con todos estos actores debe ser capaz de interactuar técnica y funcionalmente la cartera digital ofreciendo garantías de seguridad y privacidad en todo el proceso.
Por otro lado, la funcionalidad que se espera que tengan las Wallet para la autorización de pagos supone un cambio significativo para las operaciones bancarias en el marco de entidades PSD2 y otros proveedores de servicios de pago, por lo que se requieren normas claras sobre la integración de esta funcionalidad con dichas entidades y sobre delimitación de responsabilidades por fraude.
Nivel alto de seguridad en la identificación
Otro aspecto relevante de la nueva normativa europea es que las carteras digitales deberán tener un nivel alto de seguridad en la identificación (LoA High). Esto significa que los proveedores de estas soluciones deberán utilizar en sus desarrollos componentes de software y hardware que estén certificados y tecnologías que ofrezcan las máximas garantías de seguridad y fiabilidad según el estado de la técnica, dado que el volumen y la sofisticación crecientes de los ataques por fraudes de identidad suscitan inquietud en cuanto a la fiabilidad de estos procesos. Esto está relacionado con la aparición de nuevos tipos de ataques, como la creación de humanos sintéticos para crear deepfakes de alta calidad, con la disponibilidad de recursos informáticos y herramientas que permiten el escalado y la automatización.
La apuesta del eIDAS 2 respecto a la identidad digital es impulsar la preferencia por el uso de las Wallet dentro de las alternativas de identificación de usuarios que se regulan en el nuevo artículo 24, dado que es objetivo de la Comisión Europea que para el 2030 el 80 % de los ciudadanos de la UE utilicen regularmente estas wallets o monederos digitales.
Estas aspiraciones abren un abanico de retos y oportunidades para proveedores de wallets digitales. En mi opinión uno de los principales retos en este contexto es lograr el equilibrio entre el desarrollo de modelos comerciales sostenibles de carteras de identidad digital, en los que dichas soluciones aborden la seguridad y la privacidad de los nuevos requisitos del eIDAS 2 sin comprometer la usabilidad de dichas carteras. Una experiencia de usuario intuitiva y sencilla para el usuario final en muchos casos es la piedra en el zapato y será la clave para las aspiraciones de adopción masiva de estas carteras que espera la Comisión Europea para 2030.
Por otro lado, entre las ventajas u oportunidades que ofrece el nuevo eIDAS2 y las wallets digitales es el potencial de impulsar la adopción generalizada de soluciones de identificación electrónica interoperables, proporcionando un marco más seguro y eficiente para las transacciones en línea transfronterizas. Al fomentar la confianza en las transacciones digitales y promover la innovación, eIDAS2 puede allanar el camino para un ecosistema digital más integrado y dinámico en toda la UE. ■