Hoy, 14 de mayo de 2021, ha sido publicada en el BOE la Orden Ministerial ETD/465/2021 “sobre los métodos de identificación no presencial para la expedición de certificado electrónicos cualificados”, emitida el 6 de mayo de 2021 por el Ministerio de Asuntos Económicos y Transformación Digital de España. Esta nueva disposición contiene los requisitos para la identificación remota en la emisión de certificados cualificados de firmas electrónicas por parte de los Prestadores de Servicios de Confianza (PSCs) autorizados para operar en España.
La emisión de dicha Orden se produce como desarrollo del artículo 7.2 de la Ley 6/2020 de 11 de noviembre de 2020, reguladora de determinados aspectos de los servicios electrónicos de confianza. La mencionada ley deriva como complemento regulatorio del Reglamento europeo 910/2014 eIDAS. A su vez, el desarrollo de la orden ministerial responde a una demanda del mercado desde hace ya varios años sobre esta clase de servicios, que ya se permitían en otros sectores como el bancario.
El mencionado artículo 7.2 de la Ley 6/2020 le encomienda al Ministerio de Asuntos Económicos y Transformación Digital la determinación de las condiciones y requisitos técnicos de verificación de la identidad a distancia, así como de otros atributos específicos de la persona solicitante de un certificado cualificado de firma electrónica, mediante videoconferencia o vídeo identificación con una seguridad equivalente en términos de fiabilidad a la presencia física.
Aspectos clave de la Orden Ministerial ETD/465/2021
Entrando a analizar específicamente el contenido de la mencionada Orden Ministerial, existen varios puntos que vale la pena destacar.
En primer lugar, se establece de forma expresa que la identificación a distancia puede ocurrir de forma síncrona o asíncrona, esto es, la posibilidad que tendrán los PSCs de establecer métodos y sistemas que permitan la identificación de los solicitantes de certificados con o sin asistencia en tiempo real de un operador del PSC.
Lo anterior resultará definitivamente en una ventaja competitiva importante para los PSCs y por consiguiente, para los servicios electrónicos dentro de España y frente a otros PSC europeos establecidos en países donde aún no se permitan esta clase de métodos de identificación. Al mismo tiempo, esta posibilidad permitirá bajar los costos en el proceso de identificación a la vez que evita tiempos de espera en colas virtuales para ser atendidos, traduciéndose en beneficios para el mercado usuario.
La segunda de las regulaciones que se observan es que aquellos PSCs que se propongan implementar dichos sistemas, requerirán que la conformidad de los mismos sea verificada de forma previa por un Conformity Assessment Body (CAB) debidamente acreditado para la evaluación de la idoneidad de la actividad de los PSCs, quien verificará el cumplimiento de las medidas mínimas para garantizar una equivalencia funcional y de seguridad con los métodos de identificación mediante presencia física, así como de la recolección y resguardo de las evidencias del proceso.
Dentro de las medidas de seguridad y organizativas que se definen en la Orden Ministerial, destacan diversos requisitos de seguridad, tales como la necesidad de valorar riesgos de acuerdo con los sistemas implementados y elaborar los correspondientes planes de mitigación y gestión residual.
También destacan medidas de seguridad como la invalidación del proceso de identificación frente a cualquier indicio de falsedad o manipulación del documento de identificación, bien sea por falta de correspondencia entre el solicitante y el titular del documento, así como cualquier condición que impida o dificulte la verificación de la autenticidad e integridad del documento utilizado para la identificación.
Igual consecuencia de invalidación se producirá en caso de que existan indicios de utilización de archivos pregrabados o del uso de múltiples dispositivos para la transmisión del video realizado durante la identificación.
Para garantizar que se interactúa con una persona, la Orden Ministerial ha sido expresa al señalar que deben observarse interacciones con el solicitante, tales como envío de códigos de un solo uso para confirmar su identificación, así como interacciones físicas y captura de características biométricas que permitan valorar la veracidad de la solicitud.
📢 Es importante destacar que la Orden Ministerial ha dejado claro que en cualquiera de los casos, tanto para la identificación virtual asistida como desasistida, la decisión para la aprobación o denegación de la solicitud de emisión del certificado cualificado de firma electrónica debe ser tomada por el Operador del PSC.
Para ello, debe considerar en su conjunto todas las evidencias recabadas durante el proceso de identificación, descartando de esta forma que la decisión provenga del sistema informático. Esto último ha sido un punto importante dentro de la Orden Ministerial, ya que se alinea con las prácticas y estándares internacionales que establecen que dicha aprobación recae siempre bajo la responsabilidad de una persona física, particularmente sobre aquellas que ejercen el rol fiable de Operador de Registro o Identificación.
En lo que concierne a las medidas de control de los recursos humanos dispuestos para realizar identificaciones a través de los mencionados métodos no presenciales, estos deberán contar con formación específica que les facilite la detección de fraudes potenciales en el proceso de identificación, así como sobre la legislación vigente en materia de servicios de confianza y protección de datos.
En relación a los sistemas informáticos utilizados para la identificación por video conferencia o video identificación, los numerales 4 y 5 del artículo 5 de la Orden Ministerial establecen que se deberá emplear un producto o sistema conforme con el anexo de la guía técnica CCN-STIC-140 del Centro Criptológico Nacional, para lo cual deberá ser certificado siguiendo metodologías de evaluación reconocidas por el Organismo de Certificación del ENECSTI (Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información), por un organismo acreditado según la norma ISO/IEC 17065. La obligación de cumplimiento de la acreditación de esta última certificación entrará en vigor a partir del 01 de enero de 2022, conforme lo establece la disposición final segunda de la Orden Ministerial.
Por otra parte, el artículo 11.4 de la Orden Ministerial, establece que aquellos PSCs emisores de certificados cualificados de firma electrónica que decidan acoger dentro de sus procesos de identificación métodos no presenciales por video conferencia o vídeo identificación, deberán hacerlo conservando las evidencias relativas a la identificación (imágenes del documento de identidad, prueba de vida y biometría facial) por un período de al menos quince años a partir de la fecha de extinción del certificado, con garantías de su nitidez e integridad.
Sobre esto último, el plazo de los quince años de conservación no representa un cambio sustancial con relación a los plazos de tiempo que las buenas prácticas internacionales y nacionales ya establecían para la conservación general de evidencias en relación al proceso de identificación.
España da un paso adelante en el fortalecimiento de la ventaja competitiva de sus Prestadores de Servicios Electrónicos de Confianza en Europa
En general, la modalidad de verificación a través de un medio no presencial o remoto se observó desde el inicio de la crisis mundial, tanto en España como en otros países, como una medida urgente para combatir los efectos de la pandemia del COVID 19.
En España, esta medida se implementó de forma transitoria durante los primeros meses del estado de alarma, lo cual permitió su implementación inmediata por parte de los PSCs en conjunto con una actuación ágil por parte del regulador español, marcando sin duda una diferencia importante en el tiempo de respuesta a la crisis.
Ahora bien, mediante esta Ley 6/2020 y esta nueva Orden Ministerial, España opta por la modificación definitiva de su marco regulatorio para acoger esta modalidad con permanencia en el tiempo. Por consiguiente, plantea notorios beneficios para el país en cuanto a las ventajas competitivas a medio y largo plazo de la introducción de esta clase de tecnologías y métodos en el desarrollo de la firma electrónica y la digitalización en general.
En el futuro cercano, seguramente será posible valorar el redito que se obtendrá de esta estratégica normativa para el desarrollo del mercado de los servicios electrónicos de confianza en España, así como la competitividad de sus PSCs a nivel internacional. Todo ello, a través de la creación de nuevos casos de uso tanto dentro del sector público como del privado, al igual que el mejoramiento del alcance de estos servicios en lugares geográficamente distantes o con restricciones de movilidad como las experimentadas durante la pandemia, que imponen restricciones de acceso a los mismos.