En 2020 se acometió desde la Asociación ISACA, de la que formo parte, un estudio de riesgos de entornos RJT (Replicated Journal Technology).
Una de las autoras es Ainhoa Inza, que me explicó en aquella época que el análisis y revisión de incidentes conocidos en entornos Blockchain y conexos era una buena base sobre la que elaborar una lista de comprobación orientada a la auditoría de proyectos en los que se usa esa clase de tecnología.
Se trataría de no volver a caer en errores ya conocidos.
La identificación temprana de posibles riesgos permite a las organizaciones tomar medidas proactivas para proteger sus activos, datos y transacciones. Además, el control efectivo de los riesgos en procesos validados con Blockchain contribuye a fortalecer la confianza de los usuarios y a garantizar la adopción exitosa de esta innovadora tecnología en diversos ámbitos.
Es fundamental asegurar la protección de datos, prevenir delitos, cumplir con regulaciones como el GDPR (Reglamento General de Protección de Datos).
El documento presenta una serie de recomendaciones y mejores prácticas para la gestión de riesgos en procesos validados con Blockchain.
Algunas de estas recomendaciones son:
Asegurarse de que los desarrollos y despliegues de blockchain adoptados implementen eficazmente los controles propuestos.
Controlar las identidades a nivel empresarial, utilizando una PKI propia o de una Autoridad de Certificación, nunca embebida o generada por la propia aplicación de blockchain.
Verificar la seguridad de las aplicaciones de cartera y auditarlas para detectar problemas.
Segregar las tareas a la hora de controlar las claves, protegiéndolas con contraseña y almacenándolas en un sitio diferente al de su explotación.
Utilizar hardware certificado (por el CCN o por organismos de evaluación de conformidad especializados) para carteras y contextos de generación de claves.
Verificar los mecanismos de implementación de forks y cómo y por quién se pueden implementar.
Controlar el código fuente y verificar la seguridad del usado en la programación de Smart contracts.
Verificar las especificaciones funcionales usadas para la programación de Smart Contracts.
En los despliegues, probar en entorno de pruebas o preproducción con anterioridad para evitar interpretaciones incorrectas de directivas de programación o manejo de números muy grandes (el truncamiento en direcciones de cartera provoca que se puedan perder envíos de valor).
Además, el documento también destaca la importancia de establecer un marco de control de riesgos adecuado, que incluya la identificación temprana de posibles riesgos, la evaluación de su impacto y probabilidad, la implementación de controles efectivos y la monitorización continua de los riesgos identificados.
En resumen, las recomendaciones y mejores prácticas presentadas en este documento se centran en la necesidad de implementar controles efectivos para mitigar los riesgos asociados con la implementación de Blockchain, incluyendo la seguridad de las identidades, la protección de las claves, la verificación del código fuente y la implementación de controles adecuados para los mecanismos de forks.
En la organización del Observatorio destacan Fernando Vives (Presidente), Iñigo Navarro (Codirector), Moisés Menéndez (Codirector), Ofelia Tejerina (Coordinadora) y Hugo Alonso (Gestión de Proyectos).
Formando parte del Observatorio se han definido ya varios laboratorios:
Ahora se crea el Laboratorio de Confianza Digital ICADE Garrigues y he sido nombrado Director del Laboratorio, lo que para mi es un gran honor.
Aunque todavía estoy recopilando información para incorporarla a la página web del Laboratorio que se creará en el sitio de la Universidad de Comillas quisiera comentar que en este momento estamos dando prioridad al análisis del futuro Reglamento EIDAS2 y a la formulación de la Cartera IDUE que se espera que en unos dos años esté disponible para todos los ciudadanos europeos.
Posteriormente organizaremos eventos presenciales con diversos ponentes en las instalaciones de la Universidad.
Y dado que soy de Pamplona y hoy es 6 de julio, pongo esta fotico del chupinazo que se ha disparado a las 12 de la mañana desde el balcón del ayuntamiento para celebrar que hoy comienzan las fiestas de San Fermín.
La Diplomática es una ciencia que tiene por objeto el estudio de la autenticidad de los documentos, teniendo en cuenta sus caracteres extrínsecos e intrínsecos, es decir, el soporte, la escritura, el lenguaje, los formulismos, los signos de suscripción y otros elementos.
El nombre «diplomática» procede del primer tratado sobre la materia De re Diplomatica, de Jean Mabillon, publicado en París en 1681. Mabillon fue un erudito benedictino que escribió el tratado para responder al cuestionamiento de la autenticidad de ciertas cartas de la abadía de Saint-Denis por parte del jesuita holandés Daniel Papenbroeck. El tratado describe una forma objetiva y sistemática de distinguir documentos auténticos de los falsos y ha sentado las bases de los análisis críticos de los documentos desde el siglo XVII, auxiliando a otras ciencias como la historiografía.
El término «diploma» hunde sus orígenes en el diploma militar romano, documento formado por dos chapas (di-ploma) de bronce unidas en las que se grababan los datos del soldado romano que se licenciaba, y en las que se dejaba constancia de que se le otorgaba la ciudadanía romana, así como la fecha de la tribunicia potestas del emperador, y la del otorgamiento indicando los cónsules a cargo. En la parte exterior de la primera chapa se incluía el texto del otorgamiento y en la de la segunda los sellos de siete testigos. Las partes internas repetían el texto externo de la primera chapa y surtían el efecto de copia notarial de la constitutio publicada en Roma. El documento con las dos chapas atadas y selladas impedía la manipulación de la parte interna. La doble inscripción y los sellos servían para evitar el fraude o la alteración del documento.
Medidas de seguridad destinadas a establecer sin un ápice de duda la autenticidad de tan preciado documento.
De un nivel equivalente a las medidas de seguridad que vemos en los documentos de identidad, en el papel moneda o en los billetes de lotería: marcas de agua, filigranas, hologramas, microimpresión, tintas magnéticas, imágenes infrarrojas o ultravioleta, relieves,…
Las medidas de seguridad del diploma permitían establecer presunciones de la autenticidad del documento, de modo que el término «diploma» hace referencia desde entonces a un documento en el que es relevante su autenticidad, por lo que se suelen incluir en cada época las medidas de seguridad más consolidadas, lo que también permite datar los documentos.
En las imágenes que se acompañan a este artículo se incluye un Diploma Romano datado en el siglo I encontrado en Croacia en 1997, al extraer arena del río Sava (Slavonski Brod). Es uno de los mejor preservados, y en el que los sellos de los testigos perviven bajo la tapa de madera que cubre el depósito soldado a la segunda hoja. El texto proporciona evidencias muy interesantes acerca de la actividad romana en lo que era la provincia de Panonia. Se expidió en el reinado del emperador Vespasiano. El titular del documento era el centurión «Liccaivs Birsi F.Masunnia»,
Aunque la ciencia diplomática se ha considerado tradicionalmente un instrumento auxiliar de los estudios históricos al permitir el análisis de documentos antiguos, su metodología puede extenderse al análisis de los documentos electrónicos determinando los elementos constitutivos de su autenticidad, más allá de lo indicado por las leyes.
La diplomática digital considera las características de autenticidad de los documentos digitales si bien ya no se centra en las propiedades de los soportes documentales y tipos de letras empleados aunque sí en el uso de expresiones y pautas de organización de los documentos. Añade un componente el «metacolo» (aplicable a la información que se puede recoger en los metadatos) a la estructura formal de los documentos (tradicionalmente divididos en 3 partes: «protocolo», «cuerpo» y «escatocolo»).
Los criterios fundamentales de autenticidad de los documentos digitales son los elementos de «apariencia», el uso de técnicas de «firma electrónica» (asociadas o no al concepto jurídico de «prestación del consentimiento» ) y técnicas de preservación digital, especialmente asociadas a las referencias de autenticidad lo que con frecuencia se gestiona frecuentemente mediante códigos de localización de documentos (en ocasiones denominados «códigos seguros de verificación»).
En un sistema de preservación orientado a la gestión de documentos auténticos se registrarían (y gestionarían) la obliterabilidad (o cancelabilidad, el agotamiento de un derecho asociado a un título, por ejemplo un billete de viaje), la endosabilidad (o transmisibilidad, la transmisión de un derecho vinculado al título cuando el transmitente firma electrónicamente el endoso y lo registra en la plataforma de preservación) y completitud (o grapa electrónica, cuando son posibles diferentes intervenciones sobre un documento, en la forma de documentos vinculados o de elementos modificadores posteriores del documento inicial).
En relación con la endosabilidad (y, a veces, con la obliterabilidad), la plataforma de preservación orientada a la gestión de documentos auténticos registra al poseedor del documento, por lo que se registran los endosos y los poseedores sucesivos.
Las técnicas de gestión de la autenticidad de documentos digitales se suelen emplear en contextos en los que se precisa desmaterializar procesos tradicionalmente soportados en documentos en papel.
Uno de estas situaciones ha sido la gestión de títulos valores.
Un Título Valor es un documento mercantil en el que está incorporado un derecho privado patrimonial, por lo que el ejercicio del derecho está vinculado jurídicamente a la posesión del documento.
En el caso particular de las acciones que representan una fracción del capital de una sociedad, se trata de documentos en los que se incorporan y representan los derechos y obligaciones de los socios de una entidad jurídica por los que se facilita la transmisión y ejercicio de tales derechos. El título-acción puede ser nominativo o al portador. Cuando se emitía en un soporte en papel, cada acción solía ir numerada correlativamente y se extendía en libros talonarios cuyas matrices quedaban en poder de la sociedad anónima.
Aunque ya no se gestionan acciones en papel, de vez en cuando se pueden ver ejemplares antiguos enmarcados en despachos de abogados. Algunas acciones tenían incluso valor artístico.
La emisión desmaterializada de acciones es aquella que no requiere la expedición de títulos físicos individuales para respaldar la tenencia y transmisión de derechos. La posibilidad de que los valores puedan representarse mediante anotaciones en cuenta se produjo e España a partir de la Ley 24/1988, de 28 de julio, del Mercado de Valores. En esta norma se establece que la llevanza del registro contable de los valores representados por medio de anotaciones en cuenta correspondientes a una emisión será atribuida a una única entidad.
La referencia a la custodia de registros en los que consta la propiedad de las acciones y sus transmisiones es lo esencial de la norma, que en cuanto al resto de requisitos formales se centra en administrar la migración de los conceptos de derechos a asociados a la posesión de trozos de papel a otros centrados en las anotaciones en soporte electrónico.
En el fondo, el sistema de anotaciones en cuenta se inspira en los sistemas contables, con un pequeño matiz: en la anotación de transferencias de efectivo (gestionadas, por ejemplo, en los sistemas de compensación y liquidación bancarias) el dinero se considera equivalente a cualquier otro y por ello, a veces se denomina «fungible», mientras que los títulos están numerados y diferenciados, y cada uno es singular, de modo que, aunque representan la misma proporción de propiedad de una entidad, un título es distinto te los demás, y por ello, a veces se denominan «no fungibles»,
Pero ¿cual podría ser el dia internacional de la firma electrónica?
Es un debate interesante que abro aquí, si bien lo inauguro con una propuesta. 4 de septiembre.
Porque el 4 de septiembre de 1998 se firmó electrónicamente un comunicado conjunto entre Estados Unidos e Irlanda aprovechando la visita del Presidente Bill Clinton a Irlanda. Su anfitrión, el Primer Ministro «Taoiseach» Bertie Ahern fue el otro firmante.
En una visita a la factoría del fabricante de PCs Gateway de Dublín, se preparó el entorno para la firma electrónica utilizando portátiles de Gateway y el software de firma electrónica de la empresa Baltimore Technologies, radicada en Irlanda.
La visita presidencial estaba prevista para la primera semana de septiembre. Fran Rooney, director general de Baltimore, y Brendan Tuohy, secretario general del Departamento de Empresas Públicas, elaboraron una idea para que los gobiernos de Irlanda y Estados Unidos publicaran un comunicado sobre comercio electrónico, firmado con tecnologías de seguridad digital en lugar de con pluma y tinta. Luego consiguieron el apoyo a este plan de un alto asesor político del Presidente Clinton.
La PKI era muy adecuada para la gestión de documentos oficiales. Su contenido no podía alterarse sin ser detectado después de adjuntar las firmas digitales. Pero los documentos podían seguir siendo copiados y distribuidos tan ampliamente como fuera necesario. El software de autoridad de certificación UniCert, de Baltimore, generaría los certificados digitales para identificar al Presidente Clinton y al Taoiseach Ahern. Esos certificados podrían almacenarse en tarjetas inteligentes y el proceso de firma adoptaría la forma de una transacción con tarjeta.
Clinton y Ahern recibieron sus tarjetas inteligentes personales, cada una con un código de firma único y un certificado digital. Los dos Jefes de Estado introdujeron sus tarjetas inteligentes en los lectores e introdujeron sus códigos personales, generando las firmas adjuntas al comunicado. Éste aparece, con los sellos de las firmas, en la página web de la Casa Blanca.
«¿Tienen idea de cuánto tiempo paso cada día firmando con mi nombre?» preguntó Clinton. «Me voy a sentir completamente inútil si no puedo hacer al menos eso».
El escenario estaba preparado para una exhibición de Baltimore Technologies ante un público invitado y los medios de comunicación internacionales que acompañaban al presidente estadounidense. El fabricante de ordenadores Gateway aceptó acoger el acto en sus instalaciones de Clonshaugh. Los políticos interpretaron su papel a la perfección y toda la tecnología funcionó bien.
Sin embargo, fue un inconveniente que el proceso de firma digital fuera más o menos instantáneo. Para mejorar la visivilidad de la operación, Baltimore ideó una animación especial que mostraba la transferencia de las firmas de las tarjetas al documento. Esta animación prolongaba la ceremonia y creaba una sensación de ocasión especial.
En retrospectiva, el aspecto más interesante del comunicado era el docuento que prescribía a los gobiernos en la infraestructura en evolución para las transacciones basadas en Internet: proporcionar un marco jurídico claro, promover un entorno favorable a la competencia y garantizar una protección adecuada de los objetivos de interés público, como la privacidad, los derechos de propiedad intelectual y la protección del consumidor. El acuerdo intergubernamental también afirmaba que los impuestos sobre el comercio electrónico debían ser coherentes y no discriminatorios.
En los tratados internacionales los firmante se suelen intercambiar las plumas. Quizá habría que pensar en otro acto protocolario que no implicara intercambiarse las tarjetas chip, para no transmitir ideas equívocas. Quizá los lectores de tarjetas («chipeteras»).
El próximo dia 30 de junio se conmemora en Estados Unidos el dia nacional de la firma electrónica.
Se ha elegido la fecha por el momento en que el presidente William Jefferson («Bill») Clinton firma la denominada «Electronic Signatures in Global & National Commerce Act» o «ESIGN Act» el 30 de junio del año 2000. 10 años más tarde, el Congreso de Estados Unidos aprobó una resolución para que el 30 de junio tuviera la consideración de «National ESIGN Day» para aumentar la visibilidad de las irmas electrónicas y promover las ventajas el el comercio electrónico.
Antes de la adopción en el año 2000 de la Ley de Firma Electrónica (ESIGN-Electronic Signatures in Global & National Commerce Act), en 1999 se estableció la Ley Uniforme de Transacciones Electrónicas (UETA-Uniform Electronic Transactions Act). La diferencia entre la ESIGN y la UETA es que la ESIGN es una legislación federal, mientras que la UETA es adoptada por los estados individualmente. En el momento de la creación de la UETA, todos los estados excepto 3 adoptaron la ley en la legislación estatal.
Para firmar el proyecto de ley, el presidente introdujo una tarjeta inteligente criptográfica en un lector, tecleó su contraseña – «Buddy» (nombre de su perro) – y una réplica de su firma apareció en la pantalla, al tiempo que en el interior del fichero quedaba el hash del documento cifrado con su clave privada y acompañado de su certificado. Pero antes de hacerlo, firmó el proyecto de ley a la manera tradicional, con una pluma, debido a que los abogados de la Casa Blanca creían que la Constitución de Estados Unidos exige que los presidentes pongan la pluma sobre el papel para aprobar la legislación.
Es curioso, porque parece ser que en 2005 los abogados de la Casa Blanca redactaron un informe por el que que la firma con Autopen era constitucional. Y puestos a elegir, me parece que el uso de una tarjeta chip es más lógico que el de una máquina de firma.
Desde hace casi 20 años estoy pendiente del concepto «ARCE, Archivo de Constancias Electrónicas«, acuñado probablemente en el Ministerio de Ciencia y Tecnología en la época de Anna Maria Birulés i Bertran, Josep Piqué Camps o Juan Costa Climent.
La primera mención al «ARCE» en el BOE es de la época en que la denominación del Ministerio era «Ministerio de Industria, Turismo y Comercio». Se trata de la Orden ITC/1475/2006, de 11 de mayo, sobre utilización del procedimiento electrónico para la compulsa de documentos en el ámbito del Ministerio de Industria, Turismo y Comercio.
Para mi es una de las normas seminales que inauguran de verdad la digitalización de la administración, ya que trata con detalle de la digitalización de los documentos en papel con carácter de auténtico a partir del concepto de «compulsa» por funcionario público. Y el manejo en papel de los documentos de procedencia digital.
El precedente directo era el Artículo 8 (Almacenamiento de documentos) del Real Decreto 263/1996, de 16 de febrero, por el que se regula la utilización de técnicas electrónicas, informáticas y telemáticas por la Administración General del Estado.
En mis cursos y seminarios, especialmente cuando trato de los conceptos de Diplomática Digital, el ARCE lo menciono siempre.
Sin embargo, uno de los retos que encaran las administraciones públicas, especialmente significativo en el caso de la digitalización, es el de construir de cara a los ciudadanos experiencias de usuario consistentes. Y no me quiero quedar con una frase generalista. Me refiero a que cada vez que cambian los nombres de los ministerios con cada gobiero, o se reorganizan las secretarías de estado que pasan de unos ministerios a otros, cambian los dominios internet que hacen referencia a los ministerios con nuevas siglas.
Y un aspecto esencial de la administración como la posibilidad de cotejar un CSV (Código Seguro de Verificación) de un documento electrónico se distorsiona porque el punto de cotejo (la página a la que se accede para comprobar la autenticidad de un documento) puede haber cambiado de nombre y de URL en alguna de las reorganizaciones del gobierno, especialmente tras unas elecciones.
Por eso, desde hace varios años sugiero (lo señalo en mis cursos) que se definan URLs genéricas para el servicio de cotejo, que hagan uso de denominaciones genéricas no vinculadas al nombre del Ministerio ni de la Secretaría de Estado.
Por eso ahora quiero referirme a la URL https://serviciosmin.gob.es/arce/que en cierto modo implementa esta idea. En el Ministerio de Energía, Turismo y Agenda Digital (vigente desde el 4 de noviembre de 2016 hasta el 7 de junio de 2018) se incluían estas Secretarías de Estado:
Secretaría de Estado de Energía.
Secretaría de Estado para la Sociedad de la Información y la Agenda Digital.
Secretaría de Estado de Turismo
Que quedaron repartidas en varios Ministerios en el gobierno vigente en la actualidad:
La Secretaría de Estado de Energía pasó al «Ministerio para la Transición Ecológica y el Reto Demográfico»
La Secretaría de Estado para la Sociedad de la Información y la Agenda Digital, pasó a dividirse en 2, la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales y la Secretaría de Estado de Digitalización e Inteligencia Artificial, formando ambas parte del Ministerio de Asuntos Económicos y Transformación Digital.
La Secretaría de Estado de Turismo se quedó en el «mismo» ministerio, que pasó a llamarse «Ministerio de Industria, Comercio y Turismo», y que acogió otras secretarías de estado procedentes de otros ministerios.
Por tanto, los servicios informáticos que estaban en un mismo ministerio atendendiendo a varias secretarías de estado, tuvieron que hacer encaje de bolillos para no interrumpir el servicio que ya correspondía a varios ministerios.
Además otros movimientos de secretarías de estado han generado retos similares.
Mi sugerencia es que https://arce.gob.es bien podría ser el punto de cotejo de CSVs de todos los Ministerios, sea cual sea su denominación. Seguro que la adaptación informática no es muy compleja, especialmente si se empiezan a adoptar los Códigos de Verificación Enrutables.
El Código Seguro de Verificación de un documento es un valor alfanumérico que lo identifica y que permite su cotejo en una sede electrónica.
En el ámbito de la Administración de Justicia se ha definido una regla de codificación de este tipo de códigos que podría permitir su cotejo en cualquier sede electrónica independientemente del órgano que haya generado el código y lo haya asignado a un documento.
Como resultado tenemos una propuesta de Código Seguro de Verificación (CSV) enrutable que podría ser adoptado también por otras administraciones públicas y contempla que pueda utilizarse en contextos internacionales. La posibilidad de hacer uso de este tipo de códigos podría hacer innecesaria la Apostilla de la Haya en algunos supuestos, ya que la fuente del documento electrónico autentico es un organismo oficial que emplea un sistema de intercambio compatible, aunque el punto de cotejo sea otro organismo, incluso de otro país.
A continuación se describe el formato, tal como se recoge en el documeto indicado:
ES XX Y – RESTO CÓDIGO (No hay espacios, la representación los incluye por claridad).
ES: Código ISO de país según la norma ISO 3166 (permite enrutar códigos a otros países, o recibir consultas de otros países).
XX: Dígitos de control. Se calculan en base al resto del código y aplicando el modelo 97-10 (regla de cálculo definida en la norma ISO 7604). Permite controlar que no se producen errores cuando se teclean por una persona. Esta regla es similar a la que se utiliza en banca para el cálculo de IBAN.
Y: Tipo de código (permite tener varias reglas de construcción, y prever que la codificación pueda cambiar en el futuro, en cuyo caso equivale a número de versión).
Se adoptará esta primera versión del código con Y=1 la siguiente regla de construcción para “RESTO DE CÓDIGO”:
El código DIR3 (Directorio Común de Unidades Orgánicas y Oficinas), es una codificación actualmente en uso por las Administraciones Públicas españolas (central, autonómica y local).
El Directorio Común proporciona un Inventario unificado y común a toda la Administración de las unidades orgánicas/organismos públicos, sus oficinas asociadas y unidades de gestión económica – presupuestaria, facilitando el mantenimiento distribuido y corresponsable de la información. Incluye ya los órganos de la Administración de Justicia.
Esta codificación está amparada por el artículo 9 del ENI (Esquema Nacional de Interoperabilidad), aprobado por el Real Decreto 4/2010, donde se estipula que las Administraciones públicas (…) «mantendrán una relación actualizada de sus órganos administrativos y oficinas de registro y atención al ciudadano, y sus relaciones entre ellos. Dichos órganos y oficinas se codificarán de forma unívoca y esta codificación se difundirá entre las Administraciones públicas.”
[CADENA ALFANUMÉRICA] Se establece el uso de 40 caracteres alfanuméricos.
Para mejorar la usabilidad del servicio de validación de códigos, se evitará el uso de caracteres que pueden llevar a confusión a los usuarios cuando los teclean manualmente, para ello la propia regla de codificación obviará el uso de los siguiente caracteres
‘i’ mayúscula (I), ‘ele’ minúscula (l) se puede confundir con el ‘número uno’ (1).
‘o’ mayúscula (O) se puede confundir con el ‘número cero’ (0).
‘símbolo dólar ($)‘ se puede confundir con la letra S.
Es decir, no se pueden incluir en el CSV los caracteres prohibidos indicados y si un usuario los teclea por error, se interpretarán en el sentido de los caracteres atorizados correpondientes: ‘número uno’ (1), ‘número cero’ (0) y letra S).
Dado que esta regla de codificación se aplica cuando el valor Y=1, el propio servicio de cotejo tendrá la posibilidad de establecer reglas de validación complementarias al cálculo de los dígitos de control, como podría ser la aplicación en backend de las siguientes reglas de sustitución del código introducido por el usuario en caso de detectar alguno de los caracteres anteriormente excluidos:
‘i’ mayúscula (I), ‘ele’ minúscula (l) se interpretarán como ‘número uno’ (1).
‘o’ mayúscula (O), se interpretará como ‘numero cero’ (0).
‘símbolo dólar ($)’ se interpretará como letra S.
Posteriormente a la sustitución se verificaría si los dígitos de control son correctos, para en su caso, mostrar un mensaje de error al usuario o admitir el código para su remisión al órgano resolutor.
Esta codificación permite que cuando se coteja un documento en un órgano, como por ejemplo el Punto de Acceso General, se sepa a qué plataforma concreta debe dirigir la petición cuando se realice un Cotejo de documentos.
El documeto del CTEAJE contempla la posibilidad de adoptar una codificación transitoria que no requiere validar los dígitos de control y que permite a las entidades seguir utilizando su codificación actual, anteponiendo un prefijo propio:
El Observatorio y Foro Blockchain de la Unión Europea nombra a los miembros de los Grupos de Trabajo centrales y anuncia su primer taller europeo de blockchain
El European Blockchain Observatory and Forum, lanzado en febrero de 2018, es una iniciativa europea para acelerar la innovación en tecnologías y servicios asociados a blockchain y para impulsar el ecosistema blockchain dentro de la UE y así ayudar a consolidar la posición de Europa como líder mundial en esta tecnología de moda.
El pasado 18 de mayo de 2018, el Observatorio y el Foro han comunicado los avances producidos en varias de sus iniciativas. Uno de ellos es la formación de dos grupos de trabajo que explorarán temas críticos en blockchain en Europa, así como el anuncio de su primer taller europeo de blockchain.
Grupos de trabajo
Los grupos de trabajo del Observatorio y del Foro identificarán e investigarán las iniciativas blockchain existentes dentro de la UE y en otros países, supervisarán y debatirán sobre desarrollos y desafíos técnicos, observarán las condiciones legales y normativas para ofrecer más seguridad jurídica, buscarán extraer lecciones y definirán áreas de acción potenciales a nivel europeo.
El Grupo de trabajo sobre políticas y condiciones marco de Blockchain (Blockchain Policy and Framework Conditions Working Group) examinará cuestiones tecnológicas horizontales e intersectoriales para definir las políticas, las condiciones legales y normativas necesarias para promover la previsibilidad legal y reglamentaria necesaria para la implementación a gran escala de las aplicaciones blockchain. Este análisis considerará temas que van desde contratos inteligentes y protección de datos personales hasta el reconocimiento legal de blockchains y economía de fichas de valor( (tokens). El Grupo de Trabajo también examinará cuestiones relacionadas con la tecnología y el desarrollo de los ecosistemas, incluida la interoperabilidad, la escalabilidad, la sostenibilidad, la ciberseguridad y la eficiencia energética.
El Grupo de Trabajo de Casos de Uso y Escenarios de Transición (Use Cases and Transition Scenarios Working Group) se enfocará en los casos de uso de las tecnologías de cadena de bloques más prometedores con énfasis en aplicaciones del sector público tales como servicios de gestión de identidad y de administración electrónica, salud, energía y trazabilidad ambiental. El Grupo de Trabajo también explorará casos de uso en otros sectores, tales como el de Fintech y servicios financieros, el de cadena de suministro, el de industrias creativas o el que abarca las actividades sin fines de lucro, y considerará escenarios de transición, por ejemplo, la integración y la convivencia con sistemas de tecnologías preexistentes.
Cada grupo de trabajo consta de 30 miembros elegidos entre más de 350 solicitudes recibidas por el Observatorio y el Foro durante la convocatoria abierta que tuvo lugar entre el 15 de marzo y el 9 de abril de 2018. El proceso de selección se centró en la experiencia y la experiencia.
La lista final, disponible más abajo, está formada por líderes del mundo empresarial, empresarios de blockchain, investigadores y autoridades públicas, que representan a 28 países. Las industrias representadas incluyen las tecnológicas, las de servicios financieros, el mundo académico, así como los ámbitos legal, de la energía, los medios de comunicación y las telecomunicaciones.
Tema inaugural: innovación de Blockchain en Europa
El Observatorio y Foro de Blockchain de la UE también tiene la tarea de llevar a cabo análisis e informes sobre una amplia gama de temas relativos a blockchain basados en las aportaciones de sus Grupos de Trabajo y de otros posibles interesados.
En su tema inaugural, «La innovación de Blockchain en Europa» (“Blockchain innovation in Europe”), el Observatorio y el Foro examinan el estado actual del desarrollo blockchain en la UE a través de investigaciones originales y entrevistas con profesionales, académicos y otros expertos, catalogando las fortalezas de Europa yasí como los desafíos en el reto de desarrollar un ecosistema de blockchain efervescente y acelerar la adopción de la tecnología.
Este será el tema del primer taller del Observatorio y del Foro, que se celebrará en Viena el 22 de mayo de 2018. Uniendo a los miembros del Grupo de Trabajo con potenciales interesados, el taller inclirá un debate en profundidad sobre el tema. También dará a conocer el primer documento temático del Observatorio y Foro, que se publicará unas semanas después del evento.
Los resúmenes de video y los informes estarán disponibles después del evento.
Foro en línea
El Observatorio y Foro Blockchain de la UE también tiene como objetivo el de crear un foro atractivo en el que todos los interesados en blockchain de Europa, desde líderes y emprendedores hasta los usuarios tempranos y el público en general, puedan compartir experiencias, y debatir y reflexionar sobre el futuro de esta tecnología.
El foro de discusión pública en línea ya está funcionando en la URL eublockchain.mobilize.io y accesible para todos los interesados.
Junto con el Taller del 22 de mayo de 2018, el Observatorio y Foro también lanzarán una versión actualizada de su sitio web eublockchainforum.eu.
Este sitio web incluirá el lanzamiento de la versión inicial, «génesis» del Mapa Blockchain de la Unión Europea con las aportaciones y la participación de la comunidad. El mapa mostrará de forma visualmente atractiva la actividad desarrollada en Europa en torno al las tecnologías de cadena de bloques.
Dr. Roman Beck (European Blockchain Center, Professor)
Dr. Stefan Beyer (S2 Grupo, Head of R&D)
Jamie Burke (Outlier Ventures, Founder & CEO)
Cristina Cobos (Legal Counsel & Professor at IE Business school )
Savino Damico (Intesa Sanpaolo, Head of Fintech Ecosystem Monitoring)
Dr. Primavera De Filippi (Permanent research at CERSA/CNRS; Faculty Associate at the Berkman-Klein Center at Harvard)
Julio Faura (Banco Santander, Head of Blockchain)
Nadia Filali (Caisse des Dépôts, Head of blockchain)
Dr. Michèle Finck (Senior Research Fellow – Max Planck Institute for Innovation and Competition and Lecturer in EU Law, Keble College, University of Oxford)
Janis Graubins (Notakey, Co-Founder)
Dr. Dominique Guegan (University Pantheon-Sorbonne, Professor)
Marta Ienco (GSMA, Head of Government & Regulatory Affairs, Identity)
Luukas Ilves (Lisbon Council, Deputy Director and Senior Fellow)
Christoph Jentzsch (Slock.it, Founder)
Dr.hab Iwona Karasek (Jagiellonian University, Associate Professor of Law)
Ad Kroft (Dutch Blockchain Coalition, Program manager)
Arnaud Le Hors (IBM, Senior Technical Staff Member)
Jean-Luc Verhelst (Author of Bitcoin, the Blockchain and Beyond)
“Use Cases and Transition Scenarios”
Andrius Adamonis (Bank of Lithuania, Blockchain Project Manager )
Irina Albita (FilmChain, Co-founder)
Nicolas Bacca (Ledger, CTO)
Anja Bedford (Deutsche Bank, GTB Head of Blockchain)
Diana Biggs (HSBC, Head of Digital innovation)
Oliver Bussmann (Crypto Valley Association, President)
Tamás Chlepkó (Tax & Customs Administration of Hungary, Senior Project Manager)
Daniel Du Seuil (Flemish Government, Program manager)
Goncalo Fernandes (Emirates Integrated Telecommunications, Head of IoT and Blockchain)
Dr. Alexander Grech (Commonwealth Centre for Connected Learning, Director)
Bo Hembæk Svensson (Blockchain Advisor)
Dr. Julian Hosp (TenX, Co-founder & President)
Dr. Stefan Junestrand (Grupo Tecma Red, CEO)
Clément Lesaege (Kleros, CTO)
Manuel Machado (Worldline, Global Blockchain Solutions Manager)
Johan Mastenbroek (Ledger Leopard BV, Advisor)
Dr. Julie Maupin (IOTA Foundation, Director of Social Impact & Public Regulatory Affairs)
Martin Pospěch (Smart Contract Labs, Founder)
Simone Ravaioli (Digitary, Business Development Executive)
Sandra Ro (UWINCorp, Co-founder)
Dr. Plamen Russev (Webit.Foundation, Founder & Executive Chairman)
Ville Sointu (Nordea Bank, Head of DLT and Blockchain)
David Suomalainen (Land Registry Sweden, Legal advisor)
Jolanda Ter Maten (TerMaten Business Consultancy, Blockchain Trainer & Consultant)
Dr. Hitesh Tewari (Trinity College Dublin, Assistant Professor)
Nikica Tomasic (CRIB Consulting, CEO & Co-Founder)
Marcello Topa (Citi, Director, EMEA Market Policy & Strategy)
Dr. Konstantinos Votis (Centre for Research and Technology Hellas/Information Technologies Institute, Senior Researcher)
John Whelan (Santander, Blockchain Lab Director)
Vlad Zamfir (Ethereum, Researcher and Blockchain Architect)
Se espera que los colaboradores del Grupo de trabajo:
Contribuyan a la investigación del Observatorio y el Foro con análisis expertos y puntos de vista
Contribuyan al Mapa de iniciativas Blockchain europeo con casos de estudio
Participen en talleres temáticos seleccionados, que tendrán lugar en toda Europa
Revisen, comenten y enriquezcan los informes temáticos que entregará el Observatorio y Foro durante 2018 y 2019.
Interactúen con el Observatorio y Foro de forma continua, haciendo uso de su plataforma en línea
Los Grupos de Trabajo recibirán soporte por ConsenSys y otros contratistas del Observatorio y Foro. Los participantes no perciben remuneración.
Además de las actividades de los Grupos de Trabajo, el Observatorio y Foro de Blockchain de la UE colaborará con una amplia gama de partes interesadas, entre las que cabe mencionar agencias gubernamentales, socios académicos, asociaciones nacionales y expertos de Blockchain en todos los temas relevantes.
El reto de la digitalización de las entidades públicas y privadas tropieza en la necesidad de conservar los documentos en papel por si fuera preciso recurrir a su valor probatorio.
¿Es posible destruir documentos en papel tras digitalizarlos?
La respuesta corta es que, en bastantes casos, si.
Sin embargo hay que matizar que es conveniente realizar un análisis de riesgos regulatorios en función del sector de actividad al que pertenezca la entidad, ya que ciertos documentos no pueden ser destruidos, tras la digitalización.
En particular, los documentos que contengan firmas manuscritas que pudieran tener valor como tales firmas en un proceso litigioso deben conservarse por si se precisara realizar sobre ellos un informe pericial caligráfico.
¿Qué normativa legal existe para la conservación y destrucción de documentos?
Respecto a la conservación de los documentos, una de las normas de referencia más relevantes es el Código de Comercio. En su artículo 30 dispone:
1. Los empresarios conservarán los libros, correspondencia, documentación y justificantes concernientes a su negocio, debidamente ordenados, durante seis años, a partir del último asiento realizado en los libros, salvo lo que se establezca por disposiciones generales o especiales.
2. El cese del empresario en el ejercicio de sus actividades no le exime del deber a que se refiere el párrafo anterior y si hubiese fallecido recaerá sobre sus herederos. En caso de disolución de sociedades, serán sus liquidadores los obligados a cumplir lo prevenido en dicho párrafo.
Los sujetos obligados por la Ley 10/2010 deben conservar durante un período mínimo de diez años la documentación en que se formalice el cumplimiento de las obligaciones establecidas en dicha Ley.
En ciertos casos, podrá realizarse la conservación mediante el uso de tecnologías de la información. Por jemplo, la citada Ley 10/2010 señala en su artículo 25:
(…) los sujetos obligados conservarán (…) las copias de los documentos de identificación a que se refiere el artículo 3.2 en soportes ópticos, magnéticos o electrónicos que garanticen su integridad, la correcta lectura de los datos, la imposibilidad de manipulación y su adecuada conservación y localización.
La Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo no entra en más detalles sobre la forma de cumplir los requisitos.
Sin embargo, existen diferentes normas sobre digitalizacón certificada a las que hacer referencia según los casos:
Para la digitalización certificada de facturas recibidas en papel, la Orden EHA 962/2007 y la RESOLUCIÓN de 24 de octubre de 2007, de la Agencia Estatal de Administración Tributaria, sobre procedimiento para la homologación de software de digitalización contemplado en la Orden EHA/962/2007, de 10 de abril de 2007.
Para la digitalización garantizada en el ámbito de las administraciones públicas, el Esquema Nacional de Interoperabilidad y algunas Normas Técnicas de Interoperabilidad, como la de digitalización, la de copiado auténtico, la de documento electrónico administrativo y la de política de firma electrónica.
Para la digitalización certificada en el ámbito de la administración de justicia, el RD 1065/2015, y diferentes normas del CTEAJE, como las Bases del EJIS, la política de certificados y firma electrónica y la GIS de digitalización certificada.
¿Qué requisitos debe cumplir el software de digitalización?
El software debera cumplir lo indicado en las normas anteriores.
Si se orienta al ámbito tributario, deberá homologarse por la Agencia Tributaria o por los organismos designados por la normativa tributaria foral equivalente, para lo que será necesario acompañar la solicitud con un informe de audtoría.
El resto de normas no define un organismo de homologación, pero un informe de auditoría puede certificar el cumplimento de los requisitos aplicables.
¿Quien puede realizar informes de auditoría de Digitalización Certificada?
La normativa tributaria se refiere a entidades de auditoría informática independiente con solvencia técnica acreditada en el ámbito del análisis y la evaluación de la actividad desarrollada. Una de esas entidades es EADTrust con más de 50 auditorás realizadas. Se puede contactar con EADTrust llamando al 917160555,
¿Es posible encontrar más información sobre Digitalización Certificada y Garantizada?
Si.
En los siguientes enlaces puede encontrar información de interés:
El 1 de julio de 2016 entra en vigor la parte más relevante del Reglamento UE 910 2014. Poco después, el 2 de octubre de 2016 entra en vigor una parte muy significativa de la Ley 39/2015 (hay también aspectos relevantes, de implantación más costosa que cuentan con un plazo mayor: 2 de octubre de 2018).
Sin embargo, a pesar de que muchos aspectos del Reglamento Europeo se han tenido en cuenta en la Ley de Procedimiento Administrativo Común de las Administraciones Públicas (PACAP), otros no.
Por ejemplo lo referido a la firma electrónica de las personas jurídicas y de las entidades sin personalidad jurídica.
Dado que el citado Reglamento tiene un nivel de precedencia normativa superior a la Ley, puede ser útil identificar los aspectos más controvertidos para afrontar de forma correcta la adaptación.
Este seminario, que imparto a través de Atenea Interactiva en formato de formación «in-company» especialmente orientada a entidades del sector público lo voy enriqueciendo gracias a las dudas y a las aportaciones de los asistentes.
Estos son algunos de los aspectos tratados:
Identificación y autenticación. Nuevo contexto para trámites sin uso de la firma electrónica.
Interoperabilidad de la firma electrónica a nivel europeo.
Nuevas normas técnicas de identificación, firma electrónica, sello electrónico y otros servicios de confianza digital
Interacción con otras normas: Ley 18/2001, Ley 40/2015, Real Decreto Legislativo 3/2011.
Obligados. Nuevas obligaciones para personas jurídicas y ciertos colectivos profesionales.
Novedades en relación con el cómputo de plazos, y efecto en los plazos del Registro electrónico
Asistencia en el uso de medios electrónicos. Funcionarios habilitados
Uso de códigos seguros de veriicación. Sugerencia sobre CSV con informaicón de encaminamiento.
Sedes electrónicas y portales. Nuevo enfoque hacia la concentración de servicios en portales.
Copia auténtica de documentos y digitalización certificada. Gestión híbrida. Funcionarios habilitados
Archvo unificado
Poderes y representación. Nuevo poder «apud acta» electrónico. Retos para gestión de otorgamiento y revocación de poderes. Ideas para la implementación del registro elecrónico de poderes de representación. Otorgantes (representados) y apoderados (representantes).
Notificaciones. Retos de la notificación electrónica. Notificaciones por publicación en BOE.
Esquema Nacional de Interoperabilidad y Esquema Nacional de Seguridad.
Herramientas disponibles en el marco de la transferencia electrónica entre administraciones. Cl@ve, DIR3, DNIe 3.0 (NFC).
Nuevos retos: firma digtalizada, digitalización certificada, cotejo interoperable de documento en base a CSV en sede electrónica diferente de la que lo expidió.
Pueden contactar con Atenea Interactiva en el 917160555 si desean que este seminario se imparta en su institución. Se imparte en una sola jornada, de 9:00 a 14:30. Preferiblemente los viernes.
La respuesta corta es que, en bastantes casos, si.
Todo es electrónico 