Identidad digital, Cartera IDUE, Firma electrónica, Archivo digital, blockchain, Medios de pago, eBanca, administración de justicia. administración pública, Seguridad Jurídica Preventiva Digital
En 2020 se acometió desde la Asociación ISACA, de la que formo parte, un estudio de riesgos de entornos RJT (Replicated Journal Technology).
Una de las autoras es Ainhoa Inza, que me explicó en aquella época que el análisis y revisión de incidentes conocidos en entornos Blockchain y conexos era una buena base sobre la que elaborar una lista de comprobación orientada a la auditoría de proyectos en los que se usa esa clase de tecnología.
Se trataría de no volver a caer en errores ya conocidos.
La identificación temprana de posibles riesgos permite a las organizaciones tomar medidas proactivas para proteger sus activos, datos y transacciones. Además, el control efectivo de los riesgos en procesos validados con Blockchain contribuye a fortalecer la confianza de los usuarios y a garantizar la adopción exitosa de esta innovadora tecnología en diversos ámbitos.
Es fundamental asegurar la protección de datos, prevenir delitos, cumplir con regulaciones como el GDPR (Reglamento General de Protección de Datos).
El documento presenta una serie de recomendaciones y mejores prácticas para la gestión de riesgos en procesos validados con Blockchain.
Algunas de estas recomendaciones son:
Asegurarse de que los desarrollos y despliegues de blockchain adoptados implementen eficazmente los controles propuestos.
Controlar las identidades a nivel empresarial, utilizando una PKI propia o de una Autoridad de Certificación, nunca embebida o generada por la propia aplicación de blockchain.
Verificar la seguridad de las aplicaciones de cartera y auditarlas para detectar problemas.
Segregar las tareas a la hora de controlar las claves, protegiéndolas con contraseña y almacenándolas en un sitio diferente al de su explotación.
Utilizar hardware certificado (por el CCN o por organismos de evaluación de conformidad especializados) para carteras y contextos de generación de claves.
Verificar los mecanismos de implementación de forks y cómo y por quién se pueden implementar.
Controlar el código fuente y verificar la seguridad del usado en la programación de Smart contracts.
Verificar las especificaciones funcionales usadas para la programación de Smart Contracts.
En los despliegues, probar en entorno de pruebas o preproducción con anterioridad para evitar interpretaciones incorrectas de directivas de programación o manejo de números muy grandes (el truncamiento en direcciones de cartera provoca que se puedan perder envíos de valor).
Además, el documento también destaca la importancia de establecer un marco de control de riesgos adecuado, que incluya la identificación temprana de posibles riesgos, la evaluación de su impacto y probabilidad, la implementación de controles efectivos y la monitorización continua de los riesgos identificados.
En resumen, las recomendaciones y mejores prácticas presentadas en este documento se centran en la necesidad de implementar controles efectivos para mitigar los riesgos asociados con la implementación de Blockchain, incluyendo la seguridad de las identidades, la protección de las claves, la verificación del código fuente y la implementación de controles adecuados para los mecanismos de forks.
El pasado 6 de julio de 2023 tuve el placer de participar en el evento Cybersecurity Afterwork de Ingram Micro, con un gran ambiente, casi festivo, que aglutinó a los principales distribuidores del sector de la Ciberseguridad y que permitió constatar que los servicios en la nube están siendo adoptados cada vez por más empresas, grandes y pequeñas, precisamente por la excelente especialización en ciberseguridad de los profesionales que está detrás de estos servicios Cloud.
Mi intervención, al principio de la tarde, se centró en describir el proceso legislativo del nuevo Reglamento EIDAS2 que recibió un gran empujón el pasado 29 de junio e 2023, y que probablemente se adoptará durante la presidencia española de la Unión Europea.
El proceso se acompaña de una licitación para desarrollar la Cartera IDUE (ya adjudicada a Scytáles AB junto con Netcompany-Intrasoft), la licitación par la Agencia HADEA de los Grandes Proyectos Piloto (LSP, que se ha traducido en la creación de 4 consorcios: DC4EU, EWC, NOBID y POTENTIAL), de una nueva financiación de la Agencia HADEA para el proyecto EBSI (European Blockchain Services Infrastructure) y del desarrollo de la «European Digital Identity Architecture and Reference Framework» (ARF) de la Cartera de Identidad Digital de la Unión Europea) que evolucionará los próximos meses conforme se realimenten entre sí los 4 LSP, los desarrollos de EBSI y las versones intermedias que libere el código fuente Scytáles AB.
Un mensaje para el sector de que van a llegar cambios legales que implicarán profundos cambios técnicos en relación con la Gestión de la Identidad, una de las áreas de la Ciberseguridad.
17:00 hrs:
Bienvenida y registro
17:30 hrs:
Charla de apertura por parte de Martín Trullas. Director de Advanced Solutions en Ingram Micro.
17:45 hrs:
Ponencia sobre “El reglamento EIDAS2 y la cartera de identidad digital” por parte de Julián Inza: experto en PKI, blockchain, administración electrónica, medios de pago y seguridad y en los sectores de administración de justicia. Presidente de EADTrust, European Agency of Digital Trust, prestador Cualificado de Servicios de Confianza Digital
18:15 hrs:
Mesa Redonda “Seguridad en la nube” moderada por Víctor Manuel Fernández, coordinador en DealerWorld. Participantes: Javier Sota, Distributor account manager Iberia en Acronis, Antonio Anchústegui, Channel Manager de Barracuda, Ángel Ortiz, Director ciberseguridad Cisco España, Paul Canales, Head of Channel Iberia, Italy & LATAM en Hornet, Carlos Manchado, Director de Ciberseguridad de Microsoft.
19:15 hrs:
Mesa Redonda “Identidades, endpoint y cloud, o el nuevo perímetro de seguridad” moderada por Marilés de Pedro, directora de publicaciones en TAI. Participantes: Ángel de la Encarnación, System Engineer at Aruba a Hewlett Packard Enterprise compay Juan Denia, Senior Partner Alliances Manager, Delinea Iberia, Calos Galdón, Channel Director Sophos Iberia, Sergio Martínez, Iberia Regional Manager en Sonicwall.
20:30 hrs
Networking & Cocktail.
22:30 hrs
DJ en vivo
00:30 hrs
Fin del evento
Programa
Es de agradecer la capacidad de convocatoria de Ingram Micro ya que la sala estaba completamente llena.
Otros datos del curso en el que se enmarca el evento
Título: «El blockchain para municipios. ¿cómo podemos implantarlo en nuestro ayuntamiento?»
Duración del curso: 20 horas
Fechas: 7, 8, 14 y 15 de junio
Horario: de 9h a 14h
Número máximo de participantes: 50
Modalidad: A distancia
La UE está acelerando el desarrollo y la adopción de tecnologías avanzadas para que los ciudadanos, las administraciones y las empresas puedan disfrutar de todo el potencial del mundo digital, impulsando las tecnologías de registro cronológico, entre las que se podrían encontrar las de tipo Blockchain.
Este curso incluye un primer módulo general sobre la agenda política de la Década Digital, con objetivos concretos para 2030, y cómo las RJT (Replicated Journal Technologies) influirán en la transformación digital de Europa y, a continuación, tres módulos que tratarán la identidad, la sostenibilidad y las finanzas.
Profesorado:
En cada sesión una primera parte de contenido teórico de tres horas explicada por Carmen Pastor Sempere, seguida de otras dos horas de experiencia práctica explicada por otros ponentes («Guest Speakers»).
María del Carmen Pastor Sempere es profesora de Derecho Mercantil de la Universidad de Alicante. Desde el curso 2017-2018 es la Directora del Grupo BAES (laboratorio de blockchain del Instituto de Economía Internacional de la Universidad de Alicante).
Otros ponentes:
María José Vañó Vañó, PDI (Personal Docente e Investigador)-Titular de la Universidad de valencia. UV Directora del Instituto Universitario de Economía Social, Cooperativismo y Emprendimiento (IUDESCOOP)
Julián Inza, Presidente de EADTrust (European Agency of Digital Trust). Director del Laboratorio de Confianza Digital del Observatorio Legaltech Garrigues-ICADE.
Session 1: Enrique Aznar, miembro investigador de BAES Blockchain Lab.
Session 2: Carlos Alarcón Jefe de Sección de Ciudades Inteligentes en la Diputación Valencia y Manuel Gil Parres, Gerente en Street Pinball Vending Machine
Session 3: Ramón Martínez, senior developer de BlockchainFUE coop. V y Joaquín Mas, Director de Enercoop.
Session 4: José Antonio Amador, Director Técnico de ACCV-ISTEC y Ramón Martínez, senior developer de BlockchainFUE coop. V.
Sesiones:
Sessión 1 – UNIDAD DIDÁCTICA 1. Blockchain como soporte digital ODS. Década digital europea: objetivos digitales para 2030. La UE promoverá su agenda digital centrada en el ser humano en la escena mundial y fomentará la alineación o convergencia con las normas y estándares de la UE. También garantizará la seguridad y la resiliencia de sus cadenas de suministro digitales y ofrecerá soluciones globales. La tecnología Blockchain debe ser sostenible y eficiente desde el punto de vista energético. Le mostraremos cómo los municipios y las provincias lograrán estos objetivos y cómo la tecnología blockchain se alinea con los ODS.
Sessión 2 – UNIDAD DIDÁCTICA 2. Economía local y desarrollo. La UE quiere ser líder en Blockchain (tecnología de cadena de bloques), y acoger importantes plataformas, aplicaciones y empresas. Esto implica un entorno local que proyecte e impulse hacia un mercado único digital interconectado, interoperable y seguro.
Sessión 3 – UNIDAD DIDÁCTICA 3. Sostenibilidad y trazabilidad. Comunidades energéticas. El uso de la tecnología Blockchain para liberar el potencial del Internet de las Cosas en toda Europa podría ser una de las mejores opciones para combatir el cambio climático y los retos medioambientales. La UE reconoce el potencial de blockchain y apoya el uso de la tecnología blockchain para promover el desarrollo económico sostenible, hacer frente al cambio climático y apoyar el Nuevo Pacto Verde Europeo. Comunidades energéticas.
Sessión 4 – UNIDAD DIDÁCTICA 4. La Identidad Digital de la UE estará disponible para los ciudadanos, los residentes y las empresas de la UE que deseen identificarse o confirmar determinada información personal. Puede utilizarse para acceder a servicios, tanto públicos como privados, en línea o fuera de línea, en toda la UE y permitirá realizar firmas electrónicas cualificadas. La cartera de identidad digital de la UE se está probando en cuatro proyectos a gran escala que se lanzaron el 1 de abril de 2023
La Diplomática es una ciencia que tiene por objeto el estudio de la autenticidad de los documentos, teniendo en cuenta sus caracteres extrínsecos e intrínsecos, es decir, el soporte, la escritura, el lenguaje, los formulismos, los signos de suscripción y otros elementos.
El nombre «diplomática» procede del primer tratado sobre la materia De re Diplomatica, de Jean Mabillon, publicado en París en 1681. Mabillon fue un erudito benedictino que escribió el tratado para responder al cuestionamiento de la autenticidad de ciertas cartas de la abadía de Saint-Denis por parte del jesuita holandés Daniel Papenbroeck. El tratado describe una forma objetiva y sistemática de distinguir documentos auténticos de los falsos y ha sentado las bases de los análisis críticos de los documentos desde el siglo XVII, auxiliando a otras ciencias como la historiografía.
El término «diploma» hunde sus orígenes en el diploma militar romano, documento formado por dos chapas (di-ploma) de bronce unidas en las que se grababan los datos del soldado romano que se licenciaba, y en las que se dejaba constancia de que se le otorgaba la ciudadanía romana, así como la fecha de la tribunicia potestas del emperador, y la del otorgamiento indicando los cónsules a cargo. En la parte exterior de la primera chapa se incluía el texto del otorgamiento y en la de la segunda los sellos de siete testigos. Las partes internas repetían el texto externo de la primera chapa y surtían el efecto de copia notarial de la constitutio publicada en Roma. El documento con las dos chapas atadas y selladas impedía la manipulación de la parte interna. La doble inscripción y los sellos servían para evitar el fraude o la alteración del documento.
Medidas de seguridad destinadas a establecer sin un ápice de duda la autenticidad de tan preciado documento.
De un nivel equivalente a las medidas de seguridad que vemos en los documentos de identidad, en el papel moneda o en los billetes de lotería: marcas de agua, filigranas, hologramas, microimpresión, tintas magnéticas, imágenes infrarrojas o ultravioleta, relieves,…
Las medidas de seguridad del diploma permitían establecer presunciones de la autenticidad del documento, de modo que el término «diploma» hace referencia desde entonces a un documento en el que es relevante su autenticidad, por lo que se suelen incluir en cada época las medidas de seguridad más consolidadas, lo que también permite datar los documentos.
En las imágenes que se acompañan a este artículo se incluye un Diploma Romano datado en el siglo I encontrado en Croacia en 1997, al extraer arena del río Sava (Slavonski Brod). Es uno de los mejor preservados, y en el que los sellos de los testigos perviven bajo la tapa de madera que cubre el depósito soldado a la segunda hoja. El texto proporciona evidencias muy interesantes acerca de la actividad romana en lo que era la provincia de Panonia. Se expidió en el reinado del emperador Vespasiano. El titular del documento era el centurión «Liccaivs Birsi F.Masunnia»,
Aunque la ciencia diplomática se ha considerado tradicionalmente un instrumento auxiliar de los estudios históricos al permitir el análisis de documentos antiguos, su metodología puede extenderse al análisis de los documentos electrónicos determinando los elementos constitutivos de su autenticidad, más allá de lo indicado por las leyes.
La diplomática digital considera las características de autenticidad de los documentos digitales si bien ya no se centra en las propiedades de los soportes documentales y tipos de letras empleados aunque sí en el uso de expresiones y pautas de organización de los documentos. Añade un componente el «metacolo» (aplicable a la información que se puede recoger en los metadatos) a la estructura formal de los documentos (tradicionalmente divididos en 3 partes: «protocolo», «cuerpo» y «escatocolo»).
Los criterios fundamentales de autenticidad de los documentos digitales son los elementos de «apariencia», el uso de técnicas de «firma electrónica» (asociadas o no al concepto jurídico de «prestación del consentimiento» ) y técnicas de preservación digital, especialmente asociadas a las referencias de autenticidad lo que con frecuencia se gestiona frecuentemente mediante códigos de localización de documentos (en ocasiones denominados «códigos seguros de verificación»).
En un sistema de preservación orientado a la gestión de documentos auténticos se registrarían (y gestionarían) la obliterabilidad (o cancelabilidad, el agotamiento de un derecho asociado a un título, por ejemplo un billete de viaje), la endosabilidad (o transmisibilidad, la transmisión de un derecho vinculado al título cuando el transmitente firma electrónicamente el endoso y lo registra en la plataforma de preservación) y completitud (o grapa electrónica, cuando son posibles diferentes intervenciones sobre un documento, en la forma de documentos vinculados o de elementos modificadores posteriores del documento inicial).
En relación con la endosabilidad (y, a veces, con la obliterabilidad), la plataforma de preservación orientada a la gestión de documentos auténticos registra al poseedor del documento, por lo que se registran los endosos y los poseedores sucesivos.
Las técnicas de gestión de la autenticidad de documentos digitales se suelen emplear en contextos en los que se precisa desmaterializar procesos tradicionalmente soportados en documentos en papel.
Uno de estas situaciones ha sido la gestión de títulos valores.
Un Título Valor es un documento mercantil en el que está incorporado un derecho privado patrimonial, por lo que el ejercicio del derecho está vinculado jurídicamente a la posesión del documento.
En el caso particular de las acciones que representan una fracción del capital de una sociedad, se trata de documentos en los que se incorporan y representan los derechos y obligaciones de los socios de una entidad jurídica por los que se facilita la transmisión y ejercicio de tales derechos. El título-acción puede ser nominativo o al portador. Cuando se emitía en un soporte en papel, cada acción solía ir numerada correlativamente y se extendía en libros talonarios cuyas matrices quedaban en poder de la sociedad anónima.
Aunque ya no se gestionan acciones en papel, de vez en cuando se pueden ver ejemplares antiguos enmarcados en despachos de abogados. Algunas acciones tenían incluso valor artístico.
La emisión desmaterializada de acciones es aquella que no requiere la expedición de títulos físicos individuales para respaldar la tenencia y transmisión de derechos. La posibilidad de que los valores puedan representarse mediante anotaciones en cuenta se produjo e España a partir de la Ley 24/1988, de 28 de julio, del Mercado de Valores. En esta norma se establece que la llevanza del registro contable de los valores representados por medio de anotaciones en cuenta correspondientes a una emisión será atribuida a una única entidad.
La referencia a la custodia de registros en los que consta la propiedad de las acciones y sus transmisiones es lo esencial de la norma, que en cuanto al resto de requisitos formales se centra en administrar la migración de los conceptos de derechos a asociados a la posesión de trozos de papel a otros centrados en las anotaciones en soporte electrónico.
En el fondo, el sistema de anotaciones en cuenta se inspira en los sistemas contables, con un pequeño matiz: en la anotación de transferencias de efectivo (gestionadas, por ejemplo, en los sistemas de compensación y liquidación bancarias) el dinero se considera equivalente a cualquier otro y por ello, a veces se denomina «fungible», mientras que los títulos están numerados y diferenciados, y cada uno es singular, de modo que, aunque representan la misma proporción de propiedad de una entidad, un título es distinto te los demás, y por ello, a veces se denominan «no fungibles»,
EADTrust está emitiendo certificados cualificados de persona física y persona física para su integración en proyectos de blockchain, lo que permitirá comprobar la viabilidad de los sistemas de identidad digital basados en carteras virtuales (User-centric Identity, denominación que sustitute a Self-sovereign Identity).
Un reto del proyecto es la selección del marco de algoritmos criptográficos que se usarán.
Aunque hay razones técnicas para adoptar el esquema de firma digital «Edwards-curve Digital Signature Algorithm (EdDSA)» (denominacion Ed25519) o la variante de «Elliptic Curve Digital Signature Algorithm (ECDSA) denominada secp256k1 y en algunos proyectos de Blockchain se ha elegido alguno de dichos algoritmos (o variantes con diferentes tamaños de clave), en las discusiones técnicas del equipo del Prestador de Servicios de Confianza indicado, finalmente se ha decidido optar por «Elliptic Curve Digital Signature Algorithm (ECDSA) en linea con las recomendaciones de la norma ETSI TS 119 312 V1.3.1. En concreto, la variante P256 (además de esta denominacion, P-256, tiene además otros nombres prime256v1 o sec256r1).
EADtrust ha sido la primera autoridad de certificación en emitir certificados basados en criptografía de curva elíptica y una de las pocas que lo hacen en el mundo. En el contexto de EIDAS (Reglamento UE 910/2014), emite certificados cualificados de persona física y de persona jurídica basados en el algoritmo ECDSA , con las variantes P-256 y P-384.
La compatibilidad con despliegues de infraestructura ya existentes en EIDAS es la que hace recomendable el uso de estos mismos algoritmos en proyectos con Blockchain, especialmente en las fases iniciales del proyecto en las que todavía no se han creado dependencias con decisiones de diseño para las que exista ya un histórico de bloques minados.
El Grupo de Expertos de la Comisión Europea sobre los obstáculos reglamentarios a la innovación financiera (Expert Group on Regulatory Obstacles to Financial Innovation – ROFIEG) insta a la reforma de la normativa financiera de la UE para fomentar la innovación en el sector de las finanzas.
El pasado 13 de diciembre de 2019 se ha publicado su esperado informe sobre cómo mejorar y fortalecer el panorama europeo del sector FinTech y sobre como fomentar una mayor inversión e innovación, además de poner fin a la fragmentación normativa y establecer un marco regulatorio más sólido.
Compuesto por expertos del sector, representantes de instituciones financieras, académicos y juristas, junto con observadores de organismos como la ABE, la AEVM y el BCE, el Grupo de Expertos ha estado trabajando desde junio de 2018 en la creación de un marco de adaptación para el sector FinTech en la UE. El informe contiene 30 recomendaciones de medidas legislativas y no legislativas para abordar los problemas que actualmente obstaculizan la adopción o la ampliación del sector FinTech en toda la UE. Entre ellas se incluyen acciones para facilitar el uso de la IA (Inteligencia Artificial) y las tecnologías asociadas, las DLT (tecnologías de tipo blockchain) y los criptoactivos e impulsar ámbitos conexos como RegTech y SupTech. También se recomiendan acciones para fortalecer el marco de acceso, intercambio y procesamiento de datos.
«En general, las recomendaciones tienen por objeto apoyar un marco más flexible y tecnológicamente neutro para el sector FinTech en toda la UE, que permita aprovechar las ventajas de las tecnologías afines al sector financiero y, al mismo tiempo, mitigar eficazmente el riesgo», nos explica Elisabeth Noble, Asesora Principal de Políticas de la EU Banking Authority (Autoridad Bancaria de la UE) y uno de los miembros del Grupo de Expertos.
Actualmente, la UE acoge sólo el 5% del valor global de las empresas tecnológicas, frente al 65% de Estados Unidos y el 35% de China, y el grupo ha criticado el marco regulatorio actual tildándolo de «ausente, fragmentado o poco claro» que impide que los mercados financieros de la UE pongan en valor los beneficios de los avances tecnológicos. «La competitividad y la soberanía regulatoria en relación con un sector financiero que hiciera un mayor uso de la tecnología requieren un marco considerablemente más armonizado sobre la base de los axiomas regulatorios existentes que el que existe actualmente en la UE», advierte el informe.
El informe propone la creación de una «agenda exhaustiva y ambiciosa» para apoyar la adopción de tecnologías digitales por reguladores y supervisores en lo que se denomina RegTech (tecnología en el ámbito de la regulación financiera) y SupTech (tecnología en el ámbito de la supervisión financiera) para enmarcar el impulso al sector financiero, así como la adopción de una estrategia para hacer que los procesos de envíos de informes al regulador y al supervisor y las obligaciones de cumplimiento legal cuenten con versiones procesables por máquina así como destinadas a la lectura por humanos.
También recomienda el establecimiento de cámaras de compensación regulatorias para centralizar la difusión de las normas a las entidades reguladas, recibir información sobre incidentes e informes regulatorios y recopilar datos de mercado, junto con la creación de una nueva «regulatory sandbox» (entorno de pruebas supervisado por el regulador) a nivel de la UE para apoyar la innovación y la estandarización.
Según el grupo de expertos, los procesos KYC (Know Your Customer, conoce a tu cliente) deberían armonizarse plenamente en todos los Estados miembros, mientras que la diligencia debida con respecto a los clientes (CDD, customer due diligence) y la incorporación de éstos a las propias entidades financieras y Fintech (lo que se denomina «client onboarding») también podrían regularse y se podría introducir legislación expresa como ya ocurre en algunos países como España, sobre la verificación de la identidad digital. Entre las recomendaciones se incluyen aspectos sobre el intercambio y procesamiento de datos proponiendo el uso obligatorio de interfaces estandarizadas de intercambio de datos.
Desde el punto de vista regulatorio, el informe subraya que, si bien la legislación de la UE sobre servicios financieros debería ser «tecnológicamente neutra, suficientemente preparada para el futuro y apta para su finalidad», no tiene mucho sentido crear marcos específicos para la tecnología (como una «reglamentación de la cadena de bloques» blockchain) y la cuestión debería abordarse en cambio desde una perspectiva temática. Hay cinco temas sobre los que se sugieren recomendaciones: la comprensión de la tecnología y su impacto, la ciberresiliencia (resistencia los ataques cibernéticos), la subcontratación, la gobernanza de las redes financieras distribuidas (incluyendo el marco legal para los cripto-activos), y la estandarización en lo que respecta a RegTech y SupTech.
En el espacio RegTech, es notable que entre 2008-2016, hubo un aumento del 500% en los cambios regulatorios en los mercados desarrollados, lo que evidencia la necesidad de soluciones RegTech escalables, fiables y eficientes. A medida que las empresas buscan reducir las cargas de cumplimiento legal y minimizar las sanciones regulatorias, las investigaciones predicen que en los próximos años el gasto en RegTech crecerá en un 48% anual, pasando de 10.600 millones de dólares en 2017 a 76.300 millones en 2022. Y eso que, según el grupo de expertos, «el marco actual es ineficiente», particularmente en lo que se refiere a los requisitos de presentación de informes.
«Un enfoque proactivo para aportar claridad sobre las expectativas de regulación y supervisión de la adopción de FinTech en el sector financiero puede fomentar la inversión al proporcionar la tan deseada certidumbre», afirma la señora Noble. «Al crear estas condiciones que permitan a las empresas escalar más fácilmente a nivel transfronterizo, las empresas estarán mejor situadas para aprovechar el mercado local y convertirse potencialmente en campeonas no sólo de la UE, sino también del mundo».
El informe recomienda la introducción de pautas legislativas legibles y ejecutables por máquina, incluyendo la estandarización de instrucciones regulatorias en una versión ejecutable por máquina que pueda facilitar la generación de informes a los supervisores automatizada. Este aspecto posiblemente requiera el desarrollo de un lenguaje de especificaciones para generación de informes que sirva de base a este tipo de iniciativas. También deben considerarse soluciones automatizadas y de Inteligencia Artificial para la entrada, agregación y análisis de datos, incluyendo soluciones que permitan el «procesamiento directo» de las declaraciones reglamentarias. Y las cámaras de compensación regulatorias ya mencionadas deberían trabajar en la vinculación entre la regulación, los procesos de cumplimiento y la elaboración de informes a los supervisores para fomentar que estos sean más rápidos, precisos y de menor coste, haciendo que la regulación y la supervisión sean más eficaces.
«La adopción de soluciones RegTech y SupTech comunes basadas en normas técnicas ayudaría a las empresas (por ejemplo, en la información regulatoria diaria), a los supervisores (por ejemplo, en el análisis de informes sobre transacciones sospechosas, datos notificados y datos compartidos a nivel transfronterizo) y a las AES, Agencias Supervisoras Europeas, European Supervisory Agencies (por ejemplo, en el contexto de la notificación de datos para los ejercicios de pruebas de estrés y la supervisión de los riesgos macroprudenciales)», concluye.
Entre las recomendaciones también se incluyen: una taxonomía común que permita armonizar diferentes clasificaciones de servicios, un enfoque reglamentario unificado y una norma que establezca la precedencia normativa que ayude a minimizar situaciones de conflicto de leyes para los cripto-activos; la supervisión de la subcontratación externa por parte de las instituciones financieras de servicios esenciales a fin de mitigar los riesgos de concentración; la elaboración de un nuevo marco de pruebas de ciberresiliencia para el sector financiero; y la publicación de pautas orientativas sobre normas para la tecnología de la inteligencia artificial.
«Ninguna de nuestras recomendaciones son soluciones rápidas», advierte el presidente del Grupo de Expertos Philipp Paech. «Algunas incluso pueden ser bastante complejas en términos de implementación. Aún así, estamos convencidos de que la UE no debería restringir sus iniciativas hacia los objetivos que parecen más al alcance de la mano, sino que debería apostar por por una visión a largo plazo que logre de forma sostenida que su sector financiero sea competitivo en todo momento, lo que beneficiará a los ciudadanos».
Los miembros del Grupo de Expertos son:
Type A – Individual expert appointed in his/her personal capacity
El pasado 24 de octubre de 2019 se celebró en el Senado la II Jornada Tecnológica sobre Tecnologías Emergentes, Ciberseguridad y Blockchain, que ha organizado la Fundación Big Data
Durante la jornada se ha hablado acerca de la estrategia en Blockchain tanto en España como en la Comunidad Europea y su relación con la Ciberseguridad con el fin de implantar de forma coherente y estructurada acciones de prevención, defensa, detección y respuesta frente a las ciberamenazas.
El acto se ha celebrado en la sala Manuel Giménez Abad y se ha transmitido en streaming desde la página web de la Cámara Alta.
El Secretario Segundo del Senado, D. Rafael Antonio Hernando Fraile, ha sido el encargado de la apertura de la jornada.
Han intervenido en el acto ponentes destacados de primer nivel:
Jaime Sánchez Revenga, Presidente Director de la Fábrica Nacional de Moneda y Timbre‐Real Casa de la Moneda (FNMT);
Javier González Marcos, Vice President Executive Partner, Gartner Executive Programs;
Fabio Chesini, Gartner Research Director Banking;
Ángel Laín Caba, Director de Sistemas de información FNMT;
Jesús Fernández, Teniente Coronel. Unidad de Ciberterrorismo de la Guardia Civil;
José Ángel Alonso López, Director TIC del Senado;
Miguel Ángel Amutio en representación de Fernando de Pablo Martín, Secretario General de Administración Digital;
La Fundación Big Data estuvo representada por su Vicepresidente, Fernando Martín Moreno y por su Presidente, Francisco Javier Antón Vique.
Francisco Javier Antón Vique, ha puesto de manifiesto la importancia de la formación en materias de tecnologías emergentes y ha destacado la contribución de la Fundación en la creación de casi 80 puestos de trabajo nuevos dirigidos al empleo juvenil. En su charla ha elaborado una radiografía acerca de cómo han evolucionado las compañías multinacionales durante los últimos años y cómo las compañías tecnológicas han desplazado a las empresas tradicionales de los primeros cinco puestos en cuanto a capitalización.
“La transformación digital ha dejado de ser una opción para convertirse en una obligación que puede venir dada por diferentes ramas: Big Data, BlockChain, IoT, Inteligencia Artificial, robótica o realidad aumentada. Esas son las tecnologías en torno a las que va a girar la estrategia del mundo empresarial durante los próximos años, por lo que su conocimiento y dominio deben pasar a ser una de las prioridades en cualquier corporación”, ha comentado Antón Vique.
El Presidente Director de la Fábrica Nacional de Moneda y Timbre‐Real Casa de la Moneda (FNMT), Jaime Sánchez Revenga, destacó que la FNMT sigue elaborando los productos tradicionales en papel que requieren autenticidad como las quinielas, loterías, etc. y, al mismo tiempo, se encuentra en la vanguardia de las tecnologías de identidad digital tanto de personas como de servidores y, de cara a las generaciones de jóvenes como los llamados millenials y generación Z, están trabajando en nuevos productos del futuro como el Blockchain.
Javier González Marcos, Vice President Executive Partner de Gartner Executive Programs, destacó el cambio continuo en el que estamos inmersos y que uno de los retos más importantes es el de concienciar a los ejecutivos sobre la importancia de la ciberseguridad. Una disciplina que necesita “un millón y medio de profesionales”, que en ocasiones se deberán preparar a partir de una estrategia de “formación del personal interno de la organización”.
Un tema que hace reflexionar sobre las contradicciones del ser humano es el de la inteligencia artificial ya que, por un lado, ya la utilizamos para temas auxiliares como los mapas para deplazamientos y, por otro, la tememos ante la expectativa de que pueda acabar con ciertos
puestos de trabajo.
Las relaciones de confianza en la vida de las personas y su extrapolación al mundo del Blockchain han tratadas por Fabio Chesini, Gartner Research Director Banking, que ha reflexionado sobre como la aparición de Internet ha revolucionado el mundo de las relaciones personales. Comparando los modelos evolutivos de Internet que ha pasado de un modelo pseudoanárquico a ser regido por unas pocas grandes organizaciones ha extrapolado con referencia a anuncios recientes sobre el posible proceso de evolución de la gobernanza en Blockchain.
El Director de Sistemas de Información de la FNMT, Ángel Laín Caba, comentó el nuevo proyecto Blockchain que la FNMT está acometiendo para proporcionar futuros servicios a las Administraciones Públicas en consonancia con el proyecto europeo cuya red estará operativa con 6 nodos durante el mes noviembre de 2019 y que prevé su implantación a principios del año 2010. En este proyecto europeo que contempla todo el ciclo Blockchain se desarrolla el «Customer Journey» de una persona virtual denominada «Eva», de nacionalidad belga, y que va a España a estudiar, lugar donde obtiene credenciales y crea una startup incluyendo las fases de constitución notarial y financiación.
La relación entre el Blockchain y la ciberseguridad en sus diversos aspectos como el hacktivismo, el ciberdelito, el ciberterrorismo, el ciberespionaje y la ciberguerra fueron los ejes de la intervención de Jesús Fernández, Teniente Coronel de la Unidad de Ciberterrorismo de la Guardia Civil, que puso énfasis en la necesidad de logra la concienciación de losciudadanos ante las amenazas a las infraestructuras críticas y los riesgos de desestabilizacion.
Miguel Ángel Amutio, Director de la División de Planificación y Coordinación de Ciberseguridad de la Secretaria General de Administración Digital comentó la importancia de las tecnologías emergentes para los ciudadanos. Destacó un reciente informe europeo que clasifica a España en las primeras posiciones en la adopción de la administración digital, y el despliegue de servicios pra los ciudadanos, si bien reconoción que queda margen de mejora, especialmente en competencias digitales, a nivel personal y como sociedad.
José Ángel Alonso López, Director TIC del Senado, realizó el resumen de la II Jornada Tecnológica, agradeciendo a los ponentes sus aportaciones.
La Fundación Big Data es una organización privada sin ánimo de lucro que tiene como misión fundamental impulsar la innovación tecnológica y contribuir al éxito de un modelo de crecimiento económico sostenible basado en el incremento de la competitividad y la productividad, la promoción de la igualdad social y regional, el diseño para todos y la mejora del bienestar y calidad de vida de los ciudadanos y las organizaciones de España e Hispanoamérica.
Ya he comentado en este blog que en contextos de Blockchain (y otros) no es recomendable realizar traducciones de términos usando los «falsos amigos de la traducción» sino que resulta preferible expresar los conceptos con los términos correctos en español.
Un caso de «falso amigo» es la palabra «constipation» que muchos traducirían por «constipado» pero que significa «estreñimiento».
Otro caso es la «self sovereign identity» que yo traduzco por Identidad Juan Palomo. Una modalidad de gestión de identidades basada en Blockchain
Otro término generalizado que es incorrecto es DLT: “Distributed Ledger Technology”.
Ni siquiera es correcta en inglés, como para pensar que pueda ser correcta en español.
El término «cadena de bloques» o «blockchain» es una metonimia del tipo «designación de la parte por el todo», y por tanto una sinécdoque. Su extensión y amplitud de significado ha llevado a que se haya convertido en la antonomasia de varias tecnologías.
En efecto. Aunque la cadena de bloques es solo uno de los componentes de la tecnología (la parte que guarda información con ciertas medidas de seguridad) el término engloba también la función de aprobación de bloques para la construcción de la cadena, la función de creación de una cartera que conlleva la generación de una pareja de claves pública y privada para criptografía asimétrica (utilizada en la firma electrónica), la función de firma electrónica que se realiza en la cartera electrónica para transferir valor, la función de comprobación de firma que realizan los mineros para verificar las transacciones que pueden formar parte de un bloque, la verificación de saldos que se realiza para comprobar si una transacción transfiere cantidades menores que las que ha recibido previamente su remitente, la gestión de colas de transacciones, a la espera de confirmación, la replicación de bloques confirmados, la ejecución de condiciones asociadas a transacciones (scripts o smartcontracs),…
Por tanto, podemos aceptar blockchain como un concepto que engloba varias tecnologías.
Pero DLT (Distributed Ledger Technology) como sinónimo de Blockchain es un término incorrecto por varias razones:
Solo se referiría a usos de blockchain que registren valores contabilizables.
Ledger significa «libro mayor» lo que conlleva la estructuración de la información por sus cuenta contables. Aunque algunas blockchain permiten hacer «instantáneas» del estado de todas las cuentas en un momento dado, lo que en verdad se registra son las transacciones individuales incluidas en los bloques ordenados cronológicamente por orden de confirmación. Es decir, lo que se denomina «Libro Diario» en contabilidad. Por tanto el término correcto sería Journal.
La información de los bloques no está distribuida, sino replicada. Todas las cadenas tienen toda la información. Hay carteras gestionadas con parte de la información en servidores (precisamente para evitar tener que replicar toda la cadena de bloques) pero los sistemas que conservan la cadena de bloques, la tienen completa. No existe el concepto de base de datos distribuida en el que unos datos se guardan en unos sistemas y otros datos en otros sistemas.
Excluye conceptualmente otros elementos tecnológicos que sí se admiten como subsumidos en blockchain (criptografía de curva elíptica, firma electrónica,…)
Por tanto el término correcto para sustituir a DLT es RJT Replicated Journal Technology.
En este tipo de tecnologías lo que está distribuido o «descentralizado» es la potestad de confirmar bloques, algo que puede llevar a cabo cualquier nodo de confirmación, los nodos denominados «mineros», que reciben un premio por resolver un acertijo de cálculo de valores resumen (hash) antes que los demás, lo que es un reto que se renueva con cada bloque confirmado para tratar de confirmar el siguiente.
Aunque el concepto de RJT es más correcto que el de DLT, todavía faltaría por dirimir si contiene en su significado el resto de componentes de la tecnología, que se entiende subsumidos en «Blockchain«.
Por cierto, en ocasiones se he matizado el significado de «Blockchain» como un sistema de creencias de cipherpunks, resistentes a la autoridad, y defensores del «Proof of Work» lo que justificaría un término diferente que para cuando la tecnología se use en contextos más dóciles y con algoritmos de aprobación de bloques variopintos. Si en algún momento eso fue así, en la actualidad el término ha superado a sus promotores iniciales y ya no es necesario usar otros términos para designar variantes.
Las denominaciones de los sistemas y de las tecnologías deberían ser significativas para los usuarios.
Traigo el tema a colación de la denominación «Self Sovereign Identity» que suele traducirse como «identidad autosoberana» trasladando a un contexto jurídico continental principios de gestión de identidad que nos son ajenos y responden a necesidades de países que adoptan el derecho de la «Common Law», tan diferente del nuestro. Es un tipo de propuesta, normalmente basada en infraestructuras de tipo Blockchain, que encuentra eco en nuestra sociedad.
En España, acreditar la identidad a distancia es sumamente sencillo, con el DNI electrónico, si bien, hay que reconocer que algo falla cuando el uso actual de esta posibilidad es tan escaso.
En países en los que no existe el DNI se opta por emitir un «carné de conducir de no conductores» que no deja de ser un documento de identidad expedido por el estado.
Pero en muchos contextos, uno acredita su identidad con lo que puede: contratos en los que se indica el nombre y apellidos y la otra parte los admite, facturas en las que figuran datos de identificación y de dirección de suministro (agua, gas, electricidad, teléfono fijo)…
En el fondo, no hay un buen sistema de gestión de identidad y se recurre a empresas como Experian y Equifax (o Dun & Bradstreet en el caso de empresas) que recopilan datos de identidad y de comportamiento de pagos para refrendar la identidad alegada.
Que en esos contexto se propongan sistemas de tipo SSI («Self Sovereign Identity») o similares (caso de Sovrin o uPort) es una consecuencia lógica de la carencia que tratan de resolver.
Sin embargo, en nuestro contexto, la gestión de la identidad no tiene nada que ver con la soberanía (mucho menos a nivel individual) por lo que sistemas de base tan primitiva la podríamos llamar «Identidad Juan Palomo» («yo me lo guiso, yo me lo como) y todo el mundo entendería la base de la propuesta: acreditamos un dato que nos pidan con algún «papel» que nos haya expedido un tercero tras cumplir ciertos requisitos (el carné del videoclub, una factura, un título universitario,…).
No es que en España no se use la «Identidad Juan Palomo», lo que sucede es que la demostración más sencilla y eficaz de la identidad a secas la proporciona el DNI:
El DNI tiene suficiente valor, por sí solo, para acreditar la identidad y los datos personales de su titular que en él se consignen, así como la nacionalidad española del mismo. (RD 1553/2005)
Los servicios de Equifax y Experian siguen siendo útiles en la prevención del fraude (como ya expliqué en los artículos de «Documentos Perdidos/Sustraídos» y «Documentos Robados/Extraviados«) pero no se consideran una primera referencia para la gestión de identidad.
De modo que si nos llega a parecer que la denominación «John Cock-pigeon Identity» no es la mejor traducción del concepto para un angloparlante, quizá debamos cuestionar si la denominación «Identidad autosoberana» significa lo mismo en español.
Va llegando el momento de abandonar el término «transformación digital» que transmite la idea de que hay que cambiar los procesos de las organizaciones, conforme avanza la digitalización de la sociedad y la adopción masiva de las tecnologías de la información.
Con el estado actual de la tecnología y de la legislación, no tiene sentido diseñar procesos de información, contratación o mero trámite que no estén diseñados desde el principio pensando en el valor probatorio de los registros digitales administrados con ayuda de la criptografía.
En todo caso, cualquier concesión a procedimientos o actuaciones arcaicos debe ser en atención a la experiencia de usuario.
Uno de los aspectos claves del nuevo paradigma es la gestión de la identidad digital de las personas con las que se relacionan las entidades que debería tener en cuenta la posibilidad de acceso de personas de diversa procedencia y medios de identificación.
Las «piezas de lego» que facilitan la gestión digital por diseño de los procedimientos preservando la seguridad jurídica son componentes como las firmas electrónicas de persona, los sellos electrónicos de empresa, los sistemas de conservación digital de documentos electrónicos (incluso con códigos seguros de verificación) y evidencias electrónicas, los sellos de tiempo electrónicos, los sistemas de gestión de información de representación (de otras personas o de empresas) los sistemas que permiten comprobar la validez de las firmas y de los sellos, los que permiten gestionar mecanismos de identificación y de firmas y sellos «en la nube», los que permiten realizar la digitalización certificada de documentos, los que permiten la identificación remota co y los que permiten acreditar las notificaciones electrónicas.
En la actualidad. el Reglamento (UE) Nº 910/2014, de 23 de julio, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (eIDAS), ofrece una buena base para construir sistemas digitales con valor legal admisibles en todos los países miembros, sea cual sea el país de origen, de entre los europeos.
Un aspecto clave en la digitalización por diseño es que la experiencia de usuario debe ser una de las principales prioridades en el diseño de los procesos, para evitar repetir errores de usabilidad que en el pasado no contribuyeron a poner en valor tecnologías como el DNI electrónico, que se expide desde 2006.
El despliegue de sistemas digitales de gestión debería preservar principios esenciales como el «soporte duradero» o la «simetría probatoria» (igualdad de armas) para que los usuarios de las plataformas cuenten con la misma posición respecto a la prueba digital que los promotores de las plataformas.
El conocimiento técnico y legal de estos principios de despliegue digital ayudará a las entidades a diseñar sistemas digitales eficientes, sencillos y con valor probatorio por lo que es útil contar con especialistas a los que consultar.
Los sistemas de gestión de identidad disponibles ya contemplan la interoperabilidad entre países con «nodos eIDAS» como el español que se instancia a través del sistema «Cl@ve«.
Todo es electrónico 