These days I have seen magazine articles, blog posts and tweets complaining about article 45 of the #eIDAS2 regulation that is about to be approved in the Triloge process.
Almost all of them echo Mozilla’s statements about Article 45, announcing a hecatomb on the security of web browsing and claiming that it is the door that opens to governments the possibility of spying on citizens.
But how curious! No article or blog post includes the text of Article 45 of the future #eIDAS2 regulation to analyze it and explain why its ominous predictions can be deduced from the proposed text.
So the purpose of this blog post is precisely to include the text of article 45 of the future #eIDAS2 regulation so that anyone can analyze it on their own, without having to accept the arguments of one side or the other.
This is one of the latest versions used in the trilogues.
«Article 45
Requirements for qualified certificates for website authentication
Qualified certificates for website authentication shall allow the authentication and identification of the natural or legal person to whom the certificate was issued with a high level of assurance. Qualified certificates for website authentication shall also meet the requirements laid down in Annex IV. Qualified certificates for website authentication shall be deemed compliant with this paragraph and the requirements laid down in Annex IV where they meet the standards referred to in paragraph 3.
Qualified certificates for website authentication referred to in paragraph 1 shall be recognised by web-browsers. Web browsers shall not be prevented from taking measures that are both necessary and proportionate to address substantiated risks of breaches of security, user’s privacy and loss of integrity of certificates provided such measures are duly reasoned. In such a case, the web browser shall notify the Commission, ENISA and the qualified trust service provider that issued that certificate or set of certificates without delay of any measure taken. Such recognition means that web-browsers shall ensure that the relevant identity data and electronic attestation of attributes provided is displayed in a user friendly manner, where possible, consistent manner, that reflects the state-of-the-art regarding accessibility, user awareness and cybersecurity according to best industry standards. Web-browsers shall ensure support and interoperability with qualified certificates for website authentication referred to in paragraph 1, with the exception of enterprises, considered to be microenterprises and small enterprises in accordance with Commission Recommendation 2003/361/EC in the first 5 years of operating as providers of web-browsing services.
By … [12 months after the date of entry into force of this amending Regulation], the Commission shall, by means of implementing acts, provide the specifications and reference numbers of standards for qualified certificates for website authentication referred to in paragraph 1 and 2. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 48(2).»
Durante el fin de semana del 4 y 5 de noviembre de 2023 se ha publicado un «Joint Statement» impulsado por Mozilla e Internet Society, como parte de su esfuerzo de influenciar el desarrollo legislativo del Reglamento EIDAS2 en fase de Trílogos.
Entre otras afirmaciones, dice:
«Después de leer el texto casi definitivo, estamos profundamente preocupados por el texto propuesto para el artículo 45. La propuesta actual amplía radicalmente la capacidad de los gobiernos para vigilar tanto a sus propios ciudadanos como a los residentes en toda la UE, proporcionándoles los medios técnicos para interceptar el tráfico web cifrado, además de socavar los mecanismos de supervisión existentes en los que confían los ciudadanos europeos»
El artículo 45 se formuló de la siguiente forma en la versión inicial de la propuesta de reglamento:
«Artículo 45
Requisitos de los certificados cualificados de autenticación de sitios web
Los certificados cualificados de autenticación de sitios web cumplirán los requisitos establecidos en el anexo IV. Se presumirá el cumplimiento de los requisitos establecidos en el anexo IV cuando un certificado cualificado de autenticación de sitios web se ajuste a las normas a que se refiere el apartado 3.
Los navegadores web reconocerán los certificados cualificados de autenticación de sitios web a que se refiere el apartado 1. Con este fin, los navegadores web garantizarán que los datos de identificación proporcionados mediante cualquiera de los métodos se muestren al usuario de un modo fácil de entender. Los navegadores web garantizarán la compatibilidad e interoperabilidad con los certificados cualificados de autenticación de sitios web a que se refiere el apartado 1, con la excepción de las empresas consideradas microempresas y pequeñas empresas de conformidad con la Recomendación 2003/361/CE de la Comisión en sus primeros cinco años de actividad como prestadores de servicios de navegación web.
Dentro de los doce meses siguientes a la entrada en vigor del presente Reglamento, la Comisión dispondrá, por medio de actos de ejecución, las especificaciones y los números de referencia de las normas para los certificados cualificados de autenticación de sitios web a que se refiere el apartado 1. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.»
A lo largo del proceso legislativo se han propuesto algunos cambios, entre otras razones porque la actuación del lobby no es de ahora y se pensó en aceptar lo aceptable de sus planeamientos. Al inicio de los debates de los trílogos (en marzo de 2023) el texto propuesto era:
«Article 45
Requirements for qualified certificates for website authentication
Qualified certificates for website authentication shall allow the authentication and identification of the natural or legal person to whom the certificate was issued with a high level of assurance. Qualified certificates for website authentication shall also meet the requirements laid down in Annex IV. Qualified certificates for website authentication shall be deemed compliant with this paragraph and the requirements laid down in Annex IV where they meet the standards referred to in paragraph 3.
Qualified certificates for website authentication referred to in paragraph 1 shall be recognised by web-browsers. Web browsers shall not be prevented from taking measures that are both necessary and proportionate to address substantiated risks of breaches of security, user’s privacy and loss of integrity of certificates provided such measures are duly reasoned. In such a case, the web browser shall notify the Commission, ENISA and the qualified trust service provider that issued that certificate or set of certificates without delay of any measure taken. Such recognition means that web-browsers shall ensure that the relevant identity data and electronic attestation of attributes provided is displayed in a user friendly manner, where possible, consistent manner, that reflects the state-of-the-art regarding accessibility, user awareness and cybersecurity according to best industry standards. Web-browsers shall ensure support and interoperability with qualified certificates for website authentication referred to in paragraph 1, with the exception of enterprises, considered to be microenterprises and small enterprises in accordance with Commission Recommendation 2003/361/EC in the first 5 years of operating as providers of web-browsing services.
By … [12 months after the date of entry into force of this amending Regulation], the Commission shall, by means of implementing acts, provide the specifications and reference numbers of standards for qualified certificates for website authentication referred to in paragraph 1 and 2. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 48(2).»
El texto final se ha acordado en los debates de trílogos y la reunión final para decidir su aprobación está prevista para el miércoles 8 de noviembre, bajo la presidencia española. No sé exactamente el texto acordado pero será parecido al ya indicado.
La dureza (y falsa información) del ataque de Mozilla e «Internet Society» ha motivado que un grupo de prestadores de servicios de certificación europeos («European Signature Dialog») hayan preparado un documento de respuesta.
Los diversos documentos difundidos por «Mozilla», son básicamente falsos. Combinan mentiras y desinformación y atacan el hecho de que una norma tan importante como un Reglamento Europeo obligue a que los navegadores web estén obligados a reconocer los certificados cualificados de autenticación de sitios web.
Sin embargo esto se reconoce en el contexto de los Prestadores de Servicios de Confianza Digital Cualificados como una necesidad inaplazable.
Lo que pasa en realidad es que los Prestadores de Servicios de Confianza (entre los cuales están los Servicios de Certificación, entre los cuales los certificados para servidores web son un caso particular) deben superar un duro proceso de revisión que incluye una auditoría bienal (por un Organismo Evaluador de Conformidad, CAB) para todos sus servicios cualificados más una auditoría anual para los servicios de emisión de certificados de sitio web.
Luego deben presentar el Informe de Evaluación de Conformidad (CAR) al Organismo Supervisor del país en el que prestan sus servicios (que podría imponer requisitos adicionales).
Y ADEMÁS deben solicitar al organismo de Evaluación que genere un CAR parecido con algunos requisitos ligeramente diferentes para la inclusión de sus certificados en las listas de confianza de los navegadores a través de ciertos mecanismos como la base de datos CCADB y la plataforma de gestión de errores Bugzilla. Esta plataforma, auspiciada por Mozilla, la usan otras entidades que desarrollan navegadores web.
En la evaluación de conformidad se toman en consideración las normas de ETSI EN 319 401, EN 319 411 (1 y 2, especialmente -1-), EN 319 412 (1 a 5, especialmente -4-) y TS 119 403-2 que a su vez subsumen las normas de CABForum «Baseline requirements» y «Extended Validation Guidelines».
Un proceso que se ha impuesto desde la entrada en vigor del Reglamento EIDAS (1) publicado en 2014 y con el que llevamos casi 10 años. Es un proceso claramente redundante que además tiene un alto grado de inseguridad jurídica porque en las discusiones de Bugzilla opinan quienes tanto tienen conocimientos adecuados como los que no los tienen, lo que lleva a veces a no permitir alegar a los prestadores cuando se les acusa de un comportamiento inadecuado y donde aparecen requisitos no escritos porque a alguien se le ocurre.
El artículo 45 dice, básicamente, que si un prestador de servicios de confianza ya se ha auditado en base a todos los requisitos que aplican y su Organismo Supervisor lo ha validado hasta el punto de incluirlo en la TSL (Lista de Servicios de Confianza), entonces los navegadores deben aceptarlo e incluirlo en sus propias listas de Confianza.
Si una vez en vigor el nuevo artículo 45 alguien (un particular, una universidad o un fabricante de navegadores) detecta un problema en un servicio de emisión de certificados europeo, solo tiene que notificarlo motivadamente al Organismo Supervisor que actuará en consecuencia solicitando información al prestador, y retirándole la confianza si fuera preciso, eliminándolo de la TSL. Seguramente se puede automatizar el aviso desde Bugzilla para que los navegadores acostumbrado a ese mecanismo no tengan que cambiar sus procedimientos.
Perdonad el poco margen de aviso de la celebración de este evento el próximo martes 7 de noviembre a las 18:00 con posibilidad de acudir telemáticamente o presencialmente al Instituto de Ingeniería de España (Madrid, Calle del General Arrando, 38, 28010). Este es el enlace de inscripción. También se puede llamar para la inscripción al 91 319 74 17.
ORGANIZADO POR:
El Comité de Sociedad Digital del Instituto de Ingeniería de España.
07 de noviembre 18:00 horas
Es posible Inscribirse a la jornada en esta página o en el 91 319 74 17
El pasado 3 de junio de 2021 la Comisión Europea propuso un marco para una identidad digital europea que estará a disposición de todos los ciudadanos, residentes y empresas en la UE. A través de sus carteras de identidad digital europea, los ciudadanos podrán demostrar su identidad y compartir documentos electrónicos, para lo cual bastará pulsar un botón en el teléfono. Su identificación digital nacional, que estará reconocida en toda Europa, les permitirá acceder a servicios online. El uso de la cartera de identidad digital europea quedará siempre a discreción del usuario. La Comisión Europea está invirtiendo 46 MEUR para probar y mejorar la billetera de identidad digital europea (EUDI) mediante el desarrollo de 4 proyectos piloto paneuropeos que probarán el uso de la billetera EUDI para individuos y empresas en una amplia gama de casos de uso cotidiano.
PROGRAMA
18:00 Bienvenida a los asistentes y presentación de la Jornada.
D. José Trigueros. Presidente del Instituto de la Ingeniería de España.
D. Víctor Izquierdo Loyola. Presidente del Comité de Sociedad Digital del IIE.
18:10 La identidad digital en las relaciones ciudadano – Administración.
D. Miguel Solano Gadea. Experto en Administración Digital. Canal ViCoTAE.
18:40 El Reglamento eIDAS2 y la Wallet de Identidad EUDI.
D. Julián Inza. Presidente de EAD Trust. Director del Laboratorio de Confianza Digital del Observatorio Legaltech & Newlaw Garrigues-ICADE.
19:10 D. Selva Orejón, CEO de onBranding, empresa especializada en la protección de la identidad de marcas y organizaciones.
19:40 Coloquio moderado por: D. Víctor Izquierdo Loyola. Presidente del Comité de Sociedad Digital del IIE.
Hoy, 12 de octubre de 2023, ha tenido lugar el decimoquinto «Dia de los Servicios de Certificación» (15TH CA-DAY). Este evento está asociado con el que se celebró ayer: el noveno Foro de los Servicios de Confianza e Identidad Digital (9th Trust Services and eId Forum).
El principal objetivo de estas jornadas es abordar los últimos avances en el marco de eIDAS2, los servicios de confianza en virtud de la Directiva NIS2, la próxima implementación de la Cartera Digital de la UE, así como la solución tecnológica con el fin de proporcionar servicios en línea seguros a los ciudadanos de la UE.
08:00 – 09:00
Registrations and breakfast
09:00 – 09:15
Welcome by D-Trust and TÜVIT
Kim Nguyen Dirk Kretzschmar
09:15 – 09:30
Keynote
Andrea Valle, Adobe
09:30 – 09:50
eIDAS 2.0 – What is new for TSP?
Viky Manaila, Intesi Group
09:50 – 10:10
NIS II and eIDAS II: How to audit Trust Services in 2025?
Paloma Llaneza González, CerteIDAS
10:10 – 10:30
QWACs and QSeals Identifying Reliable Sources
Enrico Entschew, D-Trust Andreas Wand, D-Trust
10:50 – 11:10
Auditing TSP Services in the Cloud
Matthias Wiedenhorst, TÜVIT
11:10 – 11:30
European Cyber regulations at a glance
Slawomir Gorniak, ENISA
11:30 – 11:50
Remote identification under eIDAS
Jon Olnes, Signicat
11:50 – 12:10
Wallet use cases for TSPs
Michal Tabor, Obserwatorium.biz
12:30 – 12:50
SSI and PKI – enabling attribute attestations
Christian Seegebarth, IDunion
12:50 – 13:10
eIDAS 2.0 Toolbox: Selective Disclosure for EAA
Sebastian Elfors, IDNow
13:10 – 13:30
Post Quantum Cryptography
Jan Klaußner, Bundesdruckerei
14:30 – 14:50
CAB-Forum Updates andS/MIME Baseline Requirements
Dimitris Zacharopoulos, CA/Browser-Forum
14:50 – 15:10
International market for trust services
Dean Coclin, DigiCert
15:10 – 15:50
Panel Discussion +Q&A: TSP governance – European vs. Root stores
Dennis Jackson, Mozilla Jochen Eisinger, GoogleArno Fiedler, Nimbus Technologieberatung Paul van Brouwershaven, Entrust Kim Nguyen, D-Trust
15:50 – 16:00
Closing remarks
Kim Nguyen, Arno Fiedler
Al finalizar estos dos días quedan muchas inquietudes por resolver y algunas ideas:
El 4 de noviembre comenzará el debate final de los Trílogos sobre Identidad Digital con previsión de que el nuevo Reglamento (EIDAS2) se publique en Diciembre de 2023.
La Cartera Digital enfrenta como mayor reto la adopción.
La estructura de Prestadores de Servicios de expedición de testimonios cualificados presenta muchos retos e incertidumbres
No está claro aun como se evaluará la seguridad de la Cartera Digital ni los Servicios de expedición de testimonios cualificados.
Mi ponencia, en la segunda jornada de las 2 que componían el evento, se centró en el Reglamento EIDAS2 y en la Cartera IDUE (EUDI Wallet). Agradezco al vicerrector Javier López Muñoz y a Luis Fernández Delgado Editor de laRevista SIC la invitación para exponer mis ideas sobre la futura Cartera de Identidad Digital de la Unión Europea.
Las jornadas se desarrollaron con un gran ambiente entre ponentes y con los asistentes con un gran organización por parte de la FGUMA – Fundación General de la Universidad de Málaga.
La sesión de debates con expertos en seguridad digital resultó muy enriquecedora. Interesantes fueron las perspectivas aportadas por Luis Hidalgo, Jefe de Gabinete Dirección General INCIBE, Jorge Davila, Profesor titular de la Universidad Politécnica de Madrid (UPM), Ofelia Tejerina, Presidenta de la Asociación de Internautas, Enrique Rando, Consejero Técnico de la Agencia Digital de Andalucía y Ana Isabel Ayerbe Directora del Área de Negocio TRUSTECH de TECNALIA. Todos ellos aportaron luz sobre las amenazas cibernéticas y posibles soluciones, lo que permitió un intercambio de elevado nivel.
Tengo una foto con los ponentes de la segunda jornada del evento.
El primer día, la inauguración contó con la intervención de Felipe Romera, Director general en Parque Tecnológico de Andalucía (PTA) y Elsa Marina Álvarez, subdirectora de la FGUMA, además de los codirectores del evento Javier López Muñoz y a Luis Fernández Delgado.
En las ponencias de la primera jornada intervinieron:
Nicolás de la Parte – Embajador para la Ciberseguridad y las Amenazas Híbridas del Ministerio de Asuntos Exteriores, Maica Aguilar – Identity Management & Compliance de Ferrovial, Luis Fernández – Editor Revista SIC, Jess García – Director General de One Security, Isaac Agudo – Director General de Decentralized Security, Mar López – Directora Asociada Accenture Security.
La Fundación General de la Universidad de Málaga ha publicado en Youtube el contenido de las jurnadas
El pasado 6 de julio de 2023 tuve el placer de participar en el evento Cybersecurity Afterwork de Ingram Micro, con un gran ambiente, casi festivo, que aglutinó a los principales distribuidores del sector de la Ciberseguridad y que permitió constatar que los servicios en la nube están siendo adoptados cada vez por más empresas, grandes y pequeñas, precisamente por la excelente especialización en ciberseguridad de los profesionales que está detrás de estos servicios Cloud.
Mi intervención, al principio de la tarde, se centró en describir el proceso legislativo del nuevo Reglamento EIDAS2 que recibió un gran empujón el pasado 29 de junio e 2023, y que probablemente se adoptará durante la presidencia española de la Unión Europea.
El proceso se acompaña de una licitación para desarrollar la Cartera IDUE (ya adjudicada a Scytáles AB junto con Netcompany-Intrasoft), la licitación par la Agencia HADEA de los Grandes Proyectos Piloto (LSP, que se ha traducido en la creación de 4 consorcios: DC4EU, EWC, NOBID y POTENTIAL), de una nueva financiación de la Agencia HADEA para el proyecto EBSI (European Blockchain Services Infrastructure) y del desarrollo de la «European Digital Identity Architecture and Reference Framework» (ARF) de la Cartera de Identidad Digital de la Unión Europea) que evolucionará los próximos meses conforme se realimenten entre sí los 4 LSP, los desarrollos de EBSI y las versones intermedias que libere el código fuente Scytáles AB.
Un mensaje para el sector de que van a llegar cambios legales que implicarán profundos cambios técnicos en relación con la Gestión de la Identidad, una de las áreas de la Ciberseguridad.
17:00 hrs:
Bienvenida y registro
17:30 hrs:
Charla de apertura por parte de Martín Trullas. Director de Advanced Solutions en Ingram Micro.
17:45 hrs:
Ponencia sobre “El reglamento EIDAS2 y la cartera de identidad digital” por parte de Julián Inza: experto en PKI, blockchain, administración electrónica, medios de pago y seguridad y en los sectores de administración de justicia. Presidente de EADTrust, European Agency of Digital Trust, prestador Cualificado de Servicios de Confianza Digital
18:15 hrs:
Mesa Redonda “Seguridad en la nube” moderada por Víctor Manuel Fernández, coordinador en DealerWorld. Participantes: Javier Sota, Distributor account manager Iberia en Acronis, Antonio Anchústegui, Channel Manager de Barracuda, Ángel Ortiz, Director ciberseguridad Cisco España, Paul Canales, Head of Channel Iberia, Italy & LATAM en Hornet, Carlos Manchado, Director de Ciberseguridad de Microsoft.
19:15 hrs:
Mesa Redonda “Identidades, endpoint y cloud, o el nuevo perímetro de seguridad” moderada por Marilés de Pedro, directora de publicaciones en TAI. Participantes: Ángel de la Encarnación, System Engineer at Aruba a Hewlett Packard Enterprise compay Juan Denia, Senior Partner Alliances Manager, Delinea Iberia, Calos Galdón, Channel Director Sophos Iberia, Sergio Martínez, Iberia Regional Manager en Sonicwall.
20:30 hrs
Networking & Cocktail.
22:30 hrs
DJ en vivo
00:30 hrs
Fin del evento
Programa
Es de agradecer la capacidad de convocatoria de Ingram Micro ya que la sala estaba completamente llena.
En la organización del Observatorio destacan Fernando Vives (Presidente), Iñigo Navarro (Codirector), Moisés Menéndez (Codirector), Ofelia Tejerina (Coordinadora) y Hugo Alonso (Gestión de Proyectos).
Formando parte del Observatorio se han definido ya varios laboratorios:
Ahora se crea el Laboratorio de Confianza Digital ICADE Garrigues y he sido nombrado Director del Laboratorio, lo que para mi es un gran honor.
Aunque todavía estoy recopilando información para incorporarla a la página web del Laboratorio que se creará en el sitio de la Universidad de Comillas quisiera comentar que en este momento estamos dando prioridad al análisis del futuro Reglamento EIDAS2 y a la formulación de la Cartera IDUE que se espera que en unos dos años esté disponible para todos los ciudadanos europeos.
Posteriormente organizaremos eventos presenciales con diversos ponentes en las instalaciones de la Universidad.
Y dado que soy de Pamplona y hoy es 6 de julio, pongo esta fotico del chupinazo que se ha disparado a las 12 de la mañana desde el balcón del ayuntamiento para celebrar que hoy comienzan las fiestas de San Fermín.
Un acuerdo logrado entre las 2 y las 3 de la madrugada para consensuar los aspectos más espinosos del futuro Reglamento. La noticia (publicada en la web de la unión europea alrededor de las 3 y media de la madrugada) matizaba «los representantes de la Presidencia del Consejo y del Parlamento Europeo han alcanzado un acuerdo político provisional sobre los elementos principales de un nuevo marco para una identidad digital europea«.
El Reglamento revisado impone el instrumento que servirá para gestionar identidad digital en Europa sobre la base de que garantice el acceso universal, de personas y empresas, a una identificación y una autenticación electrónicas seguras y fiables: una cartera digital personal posiblemente instalada en el teléfono móvil.
Cada vez son más las personas que utilizan su identidad y sus credenciales en sus relaciones diarias con entidades públicas y privadas; por lo tanto, es indispensable contar con una cartera europea de identidad digital. Así, de aquí al 2030 al menos el 80 % de los ciudadanos de la UE debería poder utilizar una solución de identidad digital para acceder a servicios públicos esenciales.Erik Slottner, ministro de Administración Pública de Suecia
La cartera europea de identidad digital
Uno de los principales objetivos estratégicos del Reglamento revisado consiste en proporcionar a los ciudadanos y a otros residentes, tal como se definen en el Derecho nacional, un medio de identidad digital europeo normalizado conforme al concepto de una cartera europea de identidad digital.
Al tratarse de un medio de identificación electrónica (eID) expedido con arreglo a sistemas nacionales, la cartera constituiría un medio de identidad por derecho propio. El texto del acuerdo provisional desarrolla aún más el concepto de la cartera y su interacción con los medios de identificación electrónicos nacionales.
Un alto nivel de confianza
El nivel de aseguramiento caracteriza el grado de confianza del medio de identificación electrónica, de modo que se ofrezcan garantías de que la persona que afirma poseer una identidad determinada es ciertamente la persona a la cual se ha atribuido dicha identidad. A este respecto, la cartera se debe emitir con un sistema de identificación electrónica que cumpla el nivel de aseguramiento«alto». El acuerdo provisional aclara asimismo que la emisión, la utilización para autenticación y la revocación de las carteras deben ser gratuitas para las personas físicas. La cartera también ofrecerá a las personas físicas la posibilidad de realizar firmas electrónicas de manera gratuita.
Ampliación de la lista de servicios de confianza
Además, para responder a la dinámica de los mercados y a la evolución tecnológica, el Reglamento revisado amplía la actual lista de servicios de confianza con tres nuevos servicios de confianza cualificados, incluyendo la prestación de servicios de libros registro electrónicos de transacciones y la gestión remota de dispositivos cualificados de creación de firmas y de sellos electrónicos.
Un enfoque armonizado de seguridad
El Reglamento revisado ofrece también un enfoque armonizado con respecto a la seguridad, tanto para los ciudadanos que utilicen su identidad digital europea como para los prestadores de servicios en línea, que podrán confiar en esa identidad digital y aceptarla con independencia de dónde se hayan expedido.
Las nuevas normas implican un cambio para las entidades gestoras de soluciones de identidad digital europea, al proporcionar una arquitectura técnica, un marco de referencia y unas normas comunes que se desarrollarán con los Estados miembros. Así, los usuarios podrán contar con un ecosistema mejorado de identidad electrónica y servicios de confianza reconocidos y aceptados en toda la UE.
Armonización con la legislación vigente en materia de ciberseguridad
El Reglamento revisado debe aprovechar los esquemas de certificación pertinentes y existentes del Reglamento sobre la Ciberseguridad, así como confiar en ellos y exigir su utilización, para certificar que las carteras cumplen los requisitos de ciberseguridad aplicables. Con objeto de armonizar en la medida de lo posible el Reglamento de Identificación Electrónica revisado con la legislación vigente sobre ciberseguridad, los Estados miembros designarán organismos públicos y privados acreditados para certificar la cartera, tal como se contempla en el Reglamento sobre la Ciberseguridad.
Testimonios electrónicos de atributos expedidos por organismos públicos
Se ha mantenido de la propuesta original de la Comisión la expedición de declaraciones electrónicas de atributos, como certificados médicos o cualificaciones profesionales, por prestadores cualificados . De este modo, el texto del acuerdo provisional garantiza un reconocimiento a escala europea de tales credenciales en formato electrónico y permite a los usuarios limitar la cesión de datos de identidad a lo estrictamente necesario para la prestación de un servicio.
Correspondencia entre registros
El marco revisado introduce la obligación de que los Estados miembros lleven a cabo correspondencias inequívocas de identidad para los servicios transfronterizos.
Siguientes etapas
Proseguirán los trabajos técnicos para completar el texto jurídico de conformidad con el acuerdo político. Una vez finalizado, el texto se remitirá a los representantes de los Estados miembros (Coreper) para su refrendo. Tras la formalización jurídico-lingüística, el Reglamento revisado deberá ser adoptado formalmente por el Parlamento y por el Consejo, antes de que pueda publicarse en el Diario Oficial de la UE y entrar en vigor.
Contexto
En junio de 2021, la Comisión propuso un marco de funcionamiento para una identidad digital europea que estaría a disposición de todos los ciudadanos, residentes y empresas de la UE, por medio de una cartera europea de identidad digital.
El nuevo marco propuesto modificará el Reglamento de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (Reglamento eIDAS), que sentó las bases para acceder de forma segura a los servicios y realizar transacciones en línea y transfronterizas en la UE.
Mediante esta propuesta se exige a los Estados miembros que expidan una cartera europea de identidad digital, en el marco de un sistema de identidad electrónica notificado (requisito anterior para los sistemas de identidad digital nacionales), con arreglo a normas técnicas comunes y tras una certificación obligatoria. A fin de establecer la arquitectura técnica necesaria, acelerar la aplicación del Reglamento revisado, impartir directrices a los Estados miembros y evitar la fragmentación de solucione de identidad, la propuesta iba acompañada de una Recomendación sobre la creación de un conjunto de instrumentos (Toolbox) de la Unión que ha definido las especificaciones técnicas de la cartera y que sigue en evolución.
Tras el madrugador anuncio, que muchos pensábamos que prácticamente dejaba aprobado el nuevo Reglamento listo para su publicación en el Diario Oficial vinieron algunas pertinentes aclaraciones de RomanaJerković después de las 16:00 horas:
Los eurodiputados y la Presidencia sueca del Consejo alcanzaron el jueves un acuerdo provisional sobre los elementos clave de la legislación, durante las negociaciones interinstitucionales.
La Cartera de Identidad Digital permitirá a los ciudadanos identificarse y autenticarse en línea sin tener que recurrir a los servicio de identificación de grandes portales, como ocurre hoy en día, una práctica que plantea problemas de confianza, seguridad y privacidad. También dará a los usuarios más control sobre sus datos personales y les permitirá decidir qué información personal ceden y a quién.
La ponente Romana Jerković (S&D, HR) celebró el progreso realizado en las negociaciones con el Consejo el jueves: «Tenemos un acuerdo político sobre los elementos clave de la propuesta. El Marco Europeo de Identidad Digital es una legislación que cambiará las reglas del juego e impulsará la digitalización del sector público y de la sociedad en su conjunto. Queda trabajo por hacer, pero estamos muy cerca de alcanzar un acuerdo definitivo sobre todo el paquete. Estoy muy satisfecha con el resultado del diálogo a tres bandas (trílogos), en el que todas las instituciones reafirmaron su compromiso político con la necesidad de garantizar unos niveles elevados de protección de datos, privacidad y ciberseguridad como condiciones previas para la confianza», añadió.
«En el fondo, el objetivo primordial de esta legislación es mejorar la vida cotidiana de los ciudadanos de la UE. Pretende facilitarles el acceso a los servicios del sector público y privado, no sólo en sus propios países, sino también durante sus viajes y estancias en otros Estados miembros de la UE. Las posibilidades son ilimitadas, garantizando que los ciudadanos puedan ejercer plenamente sus derechos dondequiera que vayan», afirmó.
Durante las negociaciones, los eurodiputados se aseguraron de que la Cartera Europea de Identidad Digital se convierta en una herramienta multiuso que también pueda permitir interacciones entre particulares, utilizar firmas electrónicas para firmar los documentos y generar seudónimos. Los eurodiputados también impulsaron medidas para reforzar la privacidad y la ciberseguridad, así como para exigir que las partes informadas que van a recibir datos de la Cartera se registren ante las autoridades nacionales antes de interactuar con la Cartera.
La certificación de la Cartera Europea de Identidad Digital conforme al Reglamento General de Protección de Datos (RGPD) sería voluntaria, aunque con una cláusula de revisión. A través del denominado cuadro de mandos de privacidad, los usuarios tendrán la posibilidad de solicitar a través de la Cartera que se eliminen datos que anteriormente cedieron haciendo más efectivo el ejercicio de los derechos previstos en la normativa RGPD.
El uso de la Cartera de la UE será siempre voluntario. Los eurodiputados también quieren garantizar que los ciudadanos que decidan no adoptarlo no reciban un trato diferente al de los que sí lo hagan. El sistema obliga a cada Estado miembro a notificar al menos una «Cartera» en el marco de un sistema nacional de identificación electrónica que sería interoperable en toda la UE.
El proyecto legislativo incluye disposiciones para solicitar, obtener, almacenar, combinar y utilizar de forma segura datos de identificación personal y certificados electrónicos, que pueden utilizarse para autenticarse en línea y fuera de línea y para acceder a servicios públicos y privados.
Próximos pasos
Habrá que seguir debatiendo con el Consejo para ultimar el expediente. A continuación, el Parlamento y el Consejo tendrán que aprobarlo este mismo año antes de que se convierta en ley.
Antecedentes
Un estudio del servicio de estudios del Parlamento Europeo destaca que, desde la pandemia, la prestación de servicios públicos y privados se ha ido digitalizando cada vez más. Al mismo tiempo, entidades como bancos, proveedores de servicios de comunicación electrónica y empresas de servicios públicos, algunas de las cuales están obligadas a recopilar atributos de identidad, están actuando como prestadores de identidad verificada.
Las soluciones de Cartera digital existentes suelen estar vinculadas a soluciones de pago y permiten a los usuarios almacenar y vincular datos en un único entorno orientado a su sencillez de uso en teléfonos móviles. Sin embargo, según la Comisión, esta comodidad se produce a costa de la pérdida de control sobre los datos personales, mientras que estas soluciones están desconectadas de una identidad física verificada, lo que hace más difícil mitigar las amenazas de fraude y ciberseguridad.
Conclusión
Tras el anuncio a mediados de junio de que entre los días 28 y 30 de junio de 2023 se completaría el acuerdo de los trílogos respecto al Reglamento EIDAS2, parecía que el texto final de Reglamento se adoptaría durante la presidencia Sueca de la Unión Europea. Pero todavía quedan aspectos pendientes, por lo que una estimación anterior de que adopción del Reglamento se completaría durante la Presidencia Española parece ya fuera de toda duda. La fecha probable podría ser septiembre u octubre de 2023.
Y a partir de ese momento se consideran los plazos para promulgar las normas de implementación de la Unión Europea que finalmente conduzcan a la disponibilidad de la Cartera IDUE (EUDI Wallet).
El 29 de junio de 2023 he tenido el placer de participar en la mesa de debate incluida en la formación de los Asesores de las Oficinas Acelera Pyme de las Cámaras de Comercio Claves para ayudar y asesorar a las PYMES en su transformación digital, en la que hemos intercambiado ideas Héctor Benítez, Julián Inza, Jordi Masías y Raúl Rubio.
La Mesa redonda «Las claves de la digitalización que viene» forma parte del MÓDULO 07 – CIERRE DEL PROGRAMA FORMATIVO de la Formación de Asesores de las Oficinas Acelera Pyme de las Cámaras de Comercio.
Previamente hubo una interesante ponencia de Paloma Llaneza sobre el contexto legislativo del Reglamento EIDAS2 que ha evolucionado desde la propuesta de junio de 2021 hasta el anuncio de relevantes acuerdos en los trílogos que se realizaron en la madrugada del mismo día 29 de junio de 2023.
La ponencia de Paloma describió también la licitación para el desarrollo del código fuente del modelo de referencia de la Cartera IDUE y la licitación, adjudicación e inicio de los 4 Grandes Proyectos Piloto. Otro aspecto relevante citado fue la publicación del ARF (Architecture and Reference Framework) de la Cartera IDUE (o EUDI Wallet).
En la formación se trataron 7 módulos:
MÓDULO 01: Introducción a la transformación digital: se analizó la identidad digital, con qué han de contar las empresas y la importancia de los certificados electrónicos.
MÓDULO 02: Regulación & Compliance. Se realizó una introducción al reglamento eIDAS y a la Ley 6/2020, los distintos niveles de firma electrónica y pautas para saber si una empresa cumple con la normativa.
MÓDULO 03: Digitalización de procesos de aprobación. Se describió en qué consiste un proceso de aprobación y cómo mejorar la productividad en la empresa, cómo crear un flujo de firmas electrónicas y distintos casos de éxito.
MÓDULO 04: Otras garantías de procesos. Se trataron aspectos de transformación digital de la empresas: Facturación electrónica, comunicaciones certificadas y casos reales de sellado de tiempo y sellos electrónicos y validación de firmas y sellos electrónicos.
MÓDULO 05: El autónomo. Los expertos explicaron qué es la identidad digital del autónomo y su importancia, los requisitos para que el autónomo se relaciones con las AAPP y explicaron ejemplos que representan lo que puede considerarse un autónomo digitalizado.
MÓDULO 06: PYMES. Se trataron los fraudes, estafas y fuga de información y como evitarlos. Se vieron también distintas herramientas de onboarding digital y casos de uso de relación con las AAPP (certificados electrónicos, custodia cifrada, etc.)
MÓDULO 07: Cierre del programa formativo. Se trató de evento comentado, con la mesa redonda “Las claves de la digitalización que viene» y la prevista regulación europea sobre la identidad digital (y la EDIW «European Digital Identity Wallet»).
La formación dio comienzo en el mes de abril de 2023, organizada por la Cámara de Comercio de España, junto con AC Camerfirma SA y dentro de su acuerdo con Red.es.
Otros datos del curso en el que se enmarca el evento
Título: «El blockchain para municipios. ¿cómo podemos implantarlo en nuestro ayuntamiento?»
Duración del curso: 20 horas
Fechas: 7, 8, 14 y 15 de junio
Horario: de 9h a 14h
Número máximo de participantes: 50
Modalidad: A distancia
La UE está acelerando el desarrollo y la adopción de tecnologías avanzadas para que los ciudadanos, las administraciones y las empresas puedan disfrutar de todo el potencial del mundo digital, impulsando las tecnologías de registro cronológico, entre las que se podrían encontrar las de tipo Blockchain.
Este curso incluye un primer módulo general sobre la agenda política de la Década Digital, con objetivos concretos para 2030, y cómo las RJT (Replicated Journal Technologies) influirán en la transformación digital de Europa y, a continuación, tres módulos que tratarán la identidad, la sostenibilidad y las finanzas.
Profesorado:
En cada sesión una primera parte de contenido teórico de tres horas explicada por Carmen Pastor Sempere, seguida de otras dos horas de experiencia práctica explicada por otros ponentes («Guest Speakers»).
María del Carmen Pastor Sempere es profesora de Derecho Mercantil de la Universidad de Alicante. Desde el curso 2017-2018 es la Directora del Grupo BAES (laboratorio de blockchain del Instituto de Economía Internacional de la Universidad de Alicante).
Otros ponentes:
María José Vañó Vañó, PDI (Personal Docente e Investigador)-Titular de la Universidad de valencia. UV Directora del Instituto Universitario de Economía Social, Cooperativismo y Emprendimiento (IUDESCOOP)
Julián Inza, Presidente de EADTrust (European Agency of Digital Trust). Director del Laboratorio de Confianza Digital del Observatorio Legaltech Garrigues-ICADE.
Session 1: Enrique Aznar, miembro investigador de BAES Blockchain Lab.
Session 2: Carlos Alarcón Jefe de Sección de Ciudades Inteligentes en la Diputación Valencia y Manuel Gil Parres, Gerente en Street Pinball Vending Machine
Session 3: Ramón Martínez, senior developer de BlockchainFUE coop. V y Joaquín Mas, Director de Enercoop.
Session 4: José Antonio Amador, Director Técnico de ACCV-ISTEC y Ramón Martínez, senior developer de BlockchainFUE coop. V.
Sesiones:
Sessión 1 – UNIDAD DIDÁCTICA 1. Blockchain como soporte digital ODS. Década digital europea: objetivos digitales para 2030. La UE promoverá su agenda digital centrada en el ser humano en la escena mundial y fomentará la alineación o convergencia con las normas y estándares de la UE. También garantizará la seguridad y la resiliencia de sus cadenas de suministro digitales y ofrecerá soluciones globales. La tecnología Blockchain debe ser sostenible y eficiente desde el punto de vista energético. Le mostraremos cómo los municipios y las provincias lograrán estos objetivos y cómo la tecnología blockchain se alinea con los ODS.
Sessión 2 – UNIDAD DIDÁCTICA 2. Economía local y desarrollo. La UE quiere ser líder en Blockchain (tecnología de cadena de bloques), y acoger importantes plataformas, aplicaciones y empresas. Esto implica un entorno local que proyecte e impulse hacia un mercado único digital interconectado, interoperable y seguro.
Sessión 3 – UNIDAD DIDÁCTICA 3. Sostenibilidad y trazabilidad. Comunidades energéticas. El uso de la tecnología Blockchain para liberar el potencial del Internet de las Cosas en toda Europa podría ser una de las mejores opciones para combatir el cambio climático y los retos medioambientales. La UE reconoce el potencial de blockchain y apoya el uso de la tecnología blockchain para promover el desarrollo económico sostenible, hacer frente al cambio climático y apoyar el Nuevo Pacto Verde Europeo. Comunidades energéticas.
Sessión 4 – UNIDAD DIDÁCTICA 4. La Identidad Digital de la UE estará disponible para los ciudadanos, los residentes y las empresas de la UE que deseen identificarse o confirmar determinada información personal. Puede utilizarse para acceder a servicios, tanto públicos como privados, en línea o fuera de línea, en toda la UE y permitirá realizar firmas electrónicas cualificadas. La cartera de identidad digital de la UE se está probando en cuatro proyectos a gran escala que se lanzaron el 1 de abril de 2023
Todo es electrónico 