Desde su puesta en marcha en 2016, el eIDAS ha ido aumentando progresivamente el grado de confianza de las transacciones electrónicas y, por tanto, la seguridad de las operaciones online. No obstante, no se consiguió la interoperabilidad que se buscaba.
Si hace un par de semanas desglosamos las 6 preguntas clave para entender el eIDAS, hoy damos un paso más hasta entender qué le faltó al eIDAS y cómo pretende enmendarse con el eIDAS 2.0.
Índice
¿Qué es el eIDAS 2.0?
Recapitulando… El eIDAS es un marco normativo que regula la identificación digital y los servicios de confianza en Europa.
El eIDAS 2.0 es la adaptación del eIDAS al contexto de la descentralización actual y del paradigma SSI. Y, por supuesto, también tiene en cuenta las áreas de mejora detectadas, principalmente relacionadas con la identificación electrónica (también se añaden servicios de confianza adicionales relacionados con la identificación electrónica).
Además, presenta el concepto de la cartera de identidad digital o wallet, el cual surge para agrupar las credenciales de identidad de los ciudadanos europeos y hacerlas válidas en cualquier Estado miembro.
Es importante tener claro que el eIDAS 2.0 no es la sustitución del eIDAS que conocemos, es una estandarización de la normativa que pretende establecer un marco único para la Identidad Digital en Europa.
El eIDAS 2.0 deberá estar operativo para 2025. Para ello, la UE pondrá a disposición de los estados miembros todas las herramientas necesarias para la emisión de credenciales, utilización, verificación, etc.
El objetivo último es que para 2030, la mayoría de los ciudadanos europeos cuenten con un sistema de identificación conocido como e-ID, una manera sencilla y segura para compartir información identificativa en múltiples contextos, desde el carné de conducir hasta diplomas profesionales y certificados médicos. Este sistema funcionará a través de las European Digital Wallets, carteras digitales disponibles en teléfonos móviles.
Las grandes novedades del eIDAS 2.0: QTSPs y wallet
Contexto de los servicios de confianza
En el apartado 16 del artículo 3 del Reglamento eIDAS se definen los servicios de confianza como “servicios electrónicos prestados a cambio de una remuneración, que consisten en:
- a) la creación, verificación y validación de firmas electrónicas, sellos electrónicos o sellos de tiempo electrónicos, servicios de entrega electrónica certificada y certificados relativos a estos servicios, o
- b) la creación, verificación y validación de certificados para la autenticación de sitios web, o
- c) la preservación de firmas, sellos o certificados electrónicos relativos a estos servicios”.
Los servicios de confianza o TS (del inglés, Trust Services) son una garantía de que las transacciones electrónicas son seguras.
El resultado de firmar un documento de forma electrónica es un conjunto de bits y bytes. No se obtiene ningún documento físico. Los servicios de confianza nacen para suplir esas carencias, operando a través de proveedores oficiales (Trust Service Providers o Qualified Trust Service Providers) bajo los estándares de la Unión Europea.
El eIDAS 2.0 introduce un nivel de seguridad más alto, el uso de un proveedor de servicios de confianza calificado (QTSP) debe estar involucrado para su tranquilidad. Lo definimos a continuación.
¿Qué son los servicios de confianza cualificados o QTSPs?
QTSP son las siglas de Qualified Trust Service Provider. En español, un proveedor de servicios de confianza cualificado.
Generalmente, un QTSP es una entidad (también podría ser una persona física) que proporciona servicios de confianza (trust services) calificados. Para poder brindar este tipo de servicios, los QTSP se encuentran bajo el control y supervisión de un organismo nacional.
QTSP es un sello de calidad que cumple unos requisitos de seguridad muy estrictos reconocidos por el eIDAS.
La marca de confianza de la UE está reservada para determinados proveedores y servicios, que deberán someterse a auditorías exhaustivas para obtener el estado de cualificado. Esto significa que son proveedores y servicios confiables para realizar sus transacciones en línea de manera segura.
Características de los QTSPs
- Los QTSP y los servicios que ofrecen se rigen por exigentes obligaciones de calidad y seguridad. Por lo que son muy seguros.
- Usando un QTSP es muy complicado falsificar o manipular el sistema porque cualquier cambio de configuración tiene dos personas de confianza implicadas en el proceso, ubicadas en instalaciones físicamente seguras.
- Los QTSPs aportan el servicio más flexible y adaptable. Por ejemplo, al hacer negocios en diferentes estados miembros, siempre cumplirá con los requisitos de todos los países.
- Solo los QTSPs aprobados forman parte de la lista de confianza de la UE.
¿En qué se diferencia un TSP de un QTSP?
La principal diferencia entre un proveedor de servicios de confianza genérico (TSP) y un proveedor de servicios de confianza cualificado (QTSP) reside en la seguridad.
El QTSP ha de cumplir con los requisitos establecidos por el eIDAS y someterse a una auditoría independiente que analizará la seguridad, el nivel de confianza y la calidad del servicio.
Tanto TSPs como QTSPs deberán cumplir con el eIDAS y ser aprobados como Proveedores de Servicios de Confianza (TSP) por sus los organismos nacionales pertinentes.
¿Qué servicios de confianza reconoce el eIDAS?
Según el eIDAS, los servicios de confianza son:
- (1) Firma electrónica
- (2) Sellos electrónicos
- (3) Sello de tiempo electrónico
- (4) Servicio de entrega electrónica certificada
- (5) Autenticación en sitios web
El eIDAS 2.0 amplía los servicios de confianza, agregándoles la máxima seguridad, lo que se conoce como servicios “cualificados”. Entre estos nuevos servicios, encontramos los servicios de archivo de documentos electrónicos (archiving services), la atestación electrónica de atributos (attestation of attributes) y el registro de datos electrónicos en libros de contabilidad electrónicos (electronic ledgers). Como comentábamos arriba, servicios de confianza relacionados con la identificación electrónica.
¿Qué es la wallet o cartera digital?
La wallet o cartera digital responde al objetivo último de crear una Identidad Digital Europea. Pretende que los ciudadanos y negocios europeos tengan acceso a sus datos personales a través de su teléfono móvil.
Además, permite gestionar todo tipo de documentos oficiales e información sensible, desde el carné de conducir hasta los títulos académicos, pasando por contratos, recetas médicas, etc.
La wallet es la digitalización de nuestra cartera física. Con esta herramienta virtual, los ciudadanos de la UE podrán almacenar sus tarjetas de forma virtual.
Cuando hablamos de tener una wallet, hablamos de tener una aplicación móvil instalada en nuestro dispositivo que nos de soporte a todas las funciones que se necesiten.
El objetivo del wallet es identificar personas y facilitar gestiones, como:
- Registros y altas en servicios
- Autenticación
- Pagos y acceso a servicios financieros
- Firmas electrónicas
- Acreditación de información sensible (edad, estados civil, educación, etc.)
Al mismo tiempo que protege la privacidad de los usuarios, ya que solo ellos tienen acceso a su información.
La wallet dota de total control sobre sus datos al usuario final. Él decide qué información compartir con un servicio determinado.
¿Cómo funciona el wallet?
La wallet o cartera digital funciona igual que su homólogo en versión física.
Al igual que llevamos nuestro documento de identidad, carné de conducir, tarjetas de pago, etc. en nuestra cartera física; en el wallet digital podremos guardar la misma información, pero almacenada en la nube.
Cada wallet será único y se asociará a una persona física o representante de una persona jurídica. Es decir, contará con un número de identificación exclusivo en el mundo, que le representará sin dar datos personales.
El wallet nos permite confirmar quién somos, que somos mayores de edad, que tenemos el carné de conducir tipo B, que nos hemos vacunado del Covid, que hemos estudiado en determinada escuela, etc.
De este modo, si un usuario necesita aportar una prueba de su certificado de empadronamiento, por ejemplo, él mismo podrá acceder directamente al Registro Civil y descargar su información.
El wallet, de la mano del eIDAS 2.0, promueve la identidad europea autogestionada para devolver a los ciudadanos europeos la propiedad de sus datos y evitar el uso de información personal sin control. Por supuesto, dotado de las máximas medidas de seguridad.
¿Por qué es útil la wallet para el usuario?
Porque simplifica la burocracia y le devuelve la propiedad de los datos personales a sus dueños.
La wallet almacena todo. Al igual que una cartera física, si su dueño la pierde, tendrá que dar de baja todas las tarjetas y volver a solicitar la mayoría de documentos.
La wallet almacena de forma segura toda la información personal de un individuo, como por ejemplo:
- Documento de identidad
- Cuentas bancarias
- Abonos a servicios
- Accesos biométricos