El pasado 23.07.2014 el Consejo aprobó el Reglamento relativo a ”la identificación electrónica y servicios de confianza para las transacciones electrónicas en el mercado interior”. El Reglamento establece las bases jurídicas para que los servicios de identificación electrónica nacionales sean mutuamente reconocidos y establece criterios comunes para la aceptación de firmas electrónicas y otros servicios de confianza esenciales de la Unión Europea.
La Comisión Europea espera que las medidas incluidas en la norma doten de más confianza a las transacciones electrónicas transfronterizas, en un paso más por lograr la libre movilización de personas en el interior de la Unión Europea.
Lejos de la función de control por la que se establecieron los primeros documentos nacionales de identidad en el seno de la Unión Europea, hoy en día son un instrumento práctico para acreditar la identidad del ciudadano sin ambigüedades en su relación con la Administración Pública o con otras organizaciones privadas. La seguridad y la confianza que estos sistemas pueden proporcionar en un contexto europeo de interoperabilidad son un ingrediente esencial para fomentar la realización de transacciones electrónicas transfronterizas.
Aunque el esquema de reconocimiento mutuo se circunscribe a la Administración Pública, se espera que tenga repercusión en la industria de los pagos electrónicos, donde los procesos de identificación y autenticación son esenciales para evitar actividades fraudulentas. Por ello un factor clave para la adopción generalizada de estos sistemas es la implicación de los Estados Miembros en la difusión de sus propios sistemas nacionales de identificación electrónica y la colaboración con el sector privado.
El informe de UL sobre el estado de los sistemas de identificación electrónica en Europa los clasifica en:
- Sistemas de contraseñas. Son aquellas en las que el ciudadano dispone de un identificador (ID) o usuario y una contraseña que puede ser estática o dinámica como las denominadas OTP (del inglés “One Time Password”) que pueden ser enviadas por SMS, generadas por dispositivos hardware o solicitadas de forma aleatoria de una tarjeta de coordenadas.
- Sistemas basados en certificados digitales e infraestructura de clave pública o PKI(Public Key Infraestructure). En este caso el sistema se basa en criptografía asimétrica en la que cada usuario dispone de un par de claves: una privada sólo conocida por el usuario y otra pública incluida en un certificado expedido por una Autoridad bajo unos procedimientos exhaustivos y que incluye sus datos identificativos. La clave privada puede ser almacenada en un fichero digital, en un dispositivo hardware o en una tarjeta SIM de telefonía móvil.
Un tema a resaltar son la posibilidad de utilizar un HSM dispositivo hardware de almacenar certificados para firma reconocida. Un segundo tema para mirar es la solución para la representación o los certificados de persona física utilizados para la representación.
El Reglamento, de aplicación directa a todos los Estados Miembros, entrará en vigor a finales del verano.
Si hacemos un repaso rápido a los sistemas que hay actualmente en los países miembros:
El Reino Unido, Francia e Irlanda no disponen de ningún sistema de identificación electrónica avanzado y solicitan una combinación básica de “usuario y contraseña” en la declaración online de impuestos. Específicamente en el caso del Reino Unido, no se dispone de una tarjeta de identidad física.
Holanda permite el acceso a los portales de su Administración Pública a través de un usuario y una contraseña que también es utilizada para “firmar” o confirmar documentos. El ciudadano puede elegir disponer de una contraseña estática o un sistema de OTPs.
En Hungría y Eslovenia, el acceso a los servicios públicos se realiza a través de una combinación de OTPs y las firmas se realizan a través de una infraestructura PKI donde las claves privadas residen en ficheros software. Por su parte, Finlandia (1999), Estonia (2002), Italia (2002), Bélgica (2004), España (2006), Portugal (2006), Luxemburgo (2011), la República Checa (2012), Letonia (2012) y , Rusia (2013), Bulgaria (2013) y Malta (febrero 2014) son ejemplos de Estados que tienen implementado un sistema de identificación electrónica basados en infraestructura PKI y otros países como Grecia, Polonia, Rumania, Eslovaquia y Eslovenia llevan años planteando internamente su desarrollo.
En Austria e Islandia, las tarjetas basadas en infraestructura PKI han sido emitidas por el sector bancario y adoptadas posteriormente por la Administración. Una solución que a mi particularmente me gusta ya que es una forma de involucrar al sector privado en el uso de estos sistemas. Finalmente, en Alemania el Gobierno introdujo en 2010 un sistema de certificados basados en atributos.
Fuente BBVA.
Archivado en: Administración Electrónica, Economía, identificación electrónica Tagged: Comisión Europea, firma electrónica, identidad electrónica, servicios transfronterizos
