La cartera digital será mucho más que una firma electrónica. Permitirá hacer trámites, interactuar con servicios privados como Facebook o Google, y podrá incluir nuestro historial clínico, CV, vacunas y certificados de estudios

La cartera de identidad digital europea estará funcionando el próximo año y aunque no es obligatoria para los ciudadanos, en la práctica lo será, según los expertos. Impactará en el uso diario de los 448 millones de habitantes de la Unión Europea de forma tanto online como offline y sin embargo aún es poco lo que el público general conoce de ella. En los próximos meses se espera que entre en vigor el reglamento eIDAS2, que la regula y que obligará a los estados miembros a emitir esta cartera de identidad digital en un plazo de doce meses. 

Además de una ley que establece los estándares a los que deberán ajustarse todos los proveedores de servicios electrónicos que la gestionen, es una aplicación que estará en el móvil a disposición de todos los ciudadanos y empresas de la Unión Europea para que puedan identificarse fehacientemente, interactuar digitalmente con administraciones públicas y servicios privados como Facebook o Google, hacer trámites y pagar en línea a través de las distintas fronteras. 

Los atributos: los datos de los consumidores más allá de la firma

El sistema de identidad digital europea permitirá incluir muchos de lo que denominan  atributos: historial médico, documentos de viaje, vacunas, documentación educativa, curriculum vitae digital o certificados de estudios. 

Los prestadores de servicios financieros tienen unas obligaciones exigentes en materia de prevención de blanqueo de capitales y el primer paso para cumplir con ello es la identificación de clientes. María Gracia, abogada de Aledra, cuenta que “ahora mismo es trabajosa cuando no se hace con identificación presencial, una de las lecciones de la pandemia es que de forma creciente los usuarios preferimos actuar con nuestros servicios financieros a distancia, y eso va a pasar cada vez más también con otros servicios, como los seguros”. De manera que para las entidades financieras, disponer de un medio de identificación irrefutable es sumamente valioso. “Para la captación de clientes, incluso de forma transfronteriza, esto es una ventaja muy grande”, dice Gracia. 

La Comisión Europea propuso un marco de intercambio de datos financieros con el proyecto FIDA, que está relacionado con eIDAS 2. La idea es que los consumidores puedan autorizar a los servicios que elijan a que accedan a sus datos personales que están almacenados en otros (terceros) proveedores. 

Gracia pone un ejemplo: “Esto ya sucedía con los servicios de pago: yo le podía decir a Aplázame (un servicio que ofrece un método de pago a plazos) que accediera a los datos de mi cuenta bancaria. Pero FIDA va mucho más allá: permite que un asesor financiero acceda a los datos de mi banco, del roboadvisor (un gestor automatizado que crea carteras de inversión equilibradas para los distintos perfiles de riesgo, basándose en algoritmos) con el que estoy ahorrando, a los datos de una gestora de fondos, o de una compañía de seguros para que me haga un diagnóstico completo de mi situación financiera”. 

De esta manera esa empresa puede tener una imagen completa de qué clase de inversor es su cliente. ¿Qué conveniencia tiene para el consumidor? Gracia reconoce que es fundamental la labor informativa para que el usuario sepa la conveniencia de dar esos datos: “Quizás dar esos datos a un inversor de criptoactivos no es lo mejor”. 

Las ventajas de un sistema integrado contra la burocracia europea que permita agilizar los trámites es obvia para empresas y gestores, aunque hay preocupación por los riesgos del eIDas 2 en materia de seguridad y privacidad

Los problemas de seguridad en el eIDAS 2

Más de 550 científicos e investigadores ya han advertido sobre ciertos agujeros de seguridad en la normativa. Por un lado, permite a los Estados preinstalar certificados raíz a voluntad en los navegadores, sin que estos puedan comprobar su legitimidad; y por otro, la identidad digital europea tal como está redactada habilita la vinculación innecesaria de gobiernos y proveedores digitales. 

El texto, según los investigadores, es positivo, pero en torno a estas cuestiones es ambiguo y eso es incomprensible, ya que al no ajustarse a los estándares más altos de seguridad, por ejemplo utilizando tecnologías criptográficas maduras existentes, comprometerá la privacidad de los ciudadanos de la UE. Más aún cuando entendemos el alcance tan amplio de los usos de este sistema, que afecta a todas las áreas de la vida desde la salud, finanzas, comercio, actividad online, hasta transporte público. 

Si un ciudadano no quiere subir sus datos a la nube, el texto plantea una previsión para que esa cartera digital europea pueda mantenerse offline, de modo local, en el dispositivo. La cartera digital podrá estar almacenada “de forma segura en un dispositivo móvil”, según la propuesta de Reglamento. “Pero no detalla los requisitos de seguridad que deberá cumplir”, indica Javier Pascual, abogado especialista en tecnología financiera. 

“Todo apunta a que se aplicarán sistemas de ciberseguridad análogos a los de los actuales certificados electrónicos almacenados en dispositivos móviles y que son emitidos por prestadores de servicios de confianza”, dice el jurista. “Este sistema obliga a la instalación de un programa en el dispositivo, instalado desde un proveedor de servicios de confianza. Además, cada vez que el usuario quiera dar permisos para acceder a sus datos identificativos, deberá introducir una contraseña, con doble factor de autenticación si así lo solicita”, añade.

¿Es seguro tal como está planteado? “Técnicamente es posible hacerlo, pero el diseño tiene que permitirlo”, explica Carmela Troncoso, ingeniera especialista en privacidad, al frente del Laboratorio Spring de la Escuela Politécnica Federal de Lausana. Si ese diseño efectivamente lo permite no lo sabemos aún, porque hasta el momento “no hay una arquitectura propuesta”, según Troncoso. 

Una identidad digital europea voluntaria en el papel, pero no en la práctica

Las empresas y las administraciones públicas deberán adaptarse a esta normativa. Además, las consideradas grandes plataformas online (VLOP) por la Ley de Servicios Digitales (Digital Services Act o DSA), como Amazon, Booking.com o Facebook, deberán aceptar la cartera de identidad digital europea para que sus usuarios accedan a sus servicios en línea. 

Para los ciudadanos, de momento es voluntaria pero “la práctica la hará obligatoria para la inmensa mayoría”. Al menos eso es lo que opinan expertos como Javier Sánchez Monedero, investigador en el departamento de Ciencias de Computación de la Universidad de Córdoba, Javier Pascual y María Gracia, abogados en Aledra. 

Juan Tapiador, profesor de Ciencias de la Computación y firmante de las cartas que advierten de los fallos de seguridad del eIDAS 2, coincide: “Si el proyecto alcanza una implantación tan alta como la que se ambiciona, su uso será de facto obligatorio. Análogamente, nunca ha sido obligatorio poseer un smartphone y sin embargo no tenerlo supone un aislamiento social y laboral increíble”, dice. 

El riesgo de la exclusión de la identidad digital europea

La exclusión de sectores sociales, como la brecha digital de las personas mayores, por ejemplo, que quedan sin acceso a la banca y servicios básicos por no tener competencias y recursos, es algo que hemos visto en los últimos años. Sánchez Monedero se refiere a esa brecha y dice que esto ya ha sucedido al imponerse de facto un modelo de identificación y acceso a servicios públicos digital. 

“Ahora están intentando paliarlo con los quioscos inteligentes en algunos ayuntamientos, pero hasta donde yo sé, el problema de la exclusión digital tiene más aristas que el que no tengas un ordenador o móvil en casa preparado para trabajar con la administración. Una fundamental es la humana. En el momento en que para acceder a un trabajo o entrevista te exijan probar tus certificaciones formativas digitalmente por una simple cuestión de relaciones de poder y necesidad de la parte débil esta tendrá que pasar por ese proceso o quedará excluida”, explica.

La evolución de eIDas 

eIDas es básicamente un sistema de firma electrónica que está vigente para los europeos desde 2014. Esto es por ejemplo lo que en España se integra con las administraciones públicas en el sistema Cl@ve, y los datos que puedes aportar para identificarte son los del DNI: nombre y apellidos, NIF, fecha de nacimiento. 

Su implantación ha sido escasa y la directiva tenía varios vacíos, como la indefinición de las obligaciones para las autoridades nacionales responsables de la supervisión de los proveedores de servicios, cuestiones jurídicas y técnicas de interoperabilidad transfronteriza y que no cubre las nuevas tecnologías surgidas desde 1999. “Lo que pasaba era que no se había acogido bien porque cada país regulaba su sistema firma electrónica de una forma diferente”, dice Pascual. 

Pero el eIDAS 2 viene a cambiar esto. “Hay quien dice que esto puede acabar en una distopía digital europea, pero otros más optimistas como yo, creemos que esto no va a ocurrir en una Europa en la que valoramos la seguridad y la privacidad”, dice Pascual. En las notarías actuales aún se necesita presentar poderes físicamente, por ejemplo, y el jurista cree en que el eIDAS 2, en cambio, puede acabar con la burocracia y lo engorroso cada vez que hay que firmar un documento. 

[…]

Un artículo de Javier Pascual y María Gracia.

Leer publicación completa en NewTral