Wallet de Identidad Europea: la nueva propuesta segura y de confianza

Un nuevo modelo europeo de identidad digital 

El concepto de cartera digital ( también llamada monedero o wallet ) debe su origen a las criptomonedas. A diferencia de las billeteras comunes, la wallet de criptomonedas almacena claves criptográficas en lugar de dinero. 

En la actualidad, el concepto de wallet se ha extendido al campo de la identidad digital. Como parte de la revisión del Reglamento de identificación electrónica, autenticación y servicios de confianza (eIDAS), conocido como eIDAS 2, la cartera de identidad digital europea ( EUDI Wallet, del inglés European Union Digital Identity ) es un proyecto de la Comisión Europea liderado por su presidenta, Ursula von der Leyen, con el objetivo de crear un sistema de identificación digital único en Europa. 

El reglamento eIDAS original, del año 2014, establece un mercado único europeo de identidad digital, creando una federación de confianza e interoperabilidad entre los distintos países. Esto es, las identidades digitales emitidas en cada país que deben ser aceptadas en el resto. A estas identidades se les llama notificadas. 

Desafortunadamente la adopción de eIDAS no es la deseable, teniendo el 41% de la población fuera de él (su estado no ha notificado una identidad digital nacional). Además, la integración de los sistemas de autenticación en servicios web es compleja, y no se ha logrado una autentica interoperabilidad entre esquemas notificados. 

Uno de los objetivos de la revisión de eIDAS 2 es mejorar esta interoperabilidad y transacción, mediante la introducción de las European Digital Identity Wallet (EDIW) que permitirá a sus usuarios, acceder a servicios online, compartir documentos electrónicos e identificarse en toda Europa. Todo ello, con pleno control sobre los datos que se comparten.  

Por lo tanto, podremos por ejemplo solicitar plaza en una universidad europea, abrir una cuenta bancaria, alquilar un coche y otros muchos trámites que requieran una verificación de identidad, en los 27 países miembros de la UE.

Roles y funciones de la cartera de identidad digital europea

Un esquema posible de las EDIW es un planteamiento tradicional de Identidad Autogestionada, o SSI por sus siglas en inglés (Self-Sovereign Identity).

En este esquema, y a grandes rasgos, el usuario controla su identidad y los atributos correspondientes a ella (edad, fecha de nacimiento, estudios, entre otros). Por una parte, hay entidades que emiten dichos atributos (Policía, Universidad, etc.) y por otra, hay entidades que consumen dichos atributos (Banco, Ayuntamiento, Empresa).

Entonces en mi cartera tendré una colección de atributos de identidad, o credenciales, que yo elegiré con quien compartir de forma individual y muy segregada, no debiendo ceder mi identidad completa con todos sus atributos, si no únicamente aquellos relevantes para la transacción que desee realizar.

En el esquema anterior, tenemos que los entes que emiten credenciales son los Issuer, y los que las consumen son los Verifier. 
Atención porque un mismo ente puede ser Issuer de unas credenciales, y Verifier de otras. Por ejemplo, nuestro Ayuntamiento puede ser Verifier de nuestra identidad, y, con ella validada, emitirnos una credencial de empadronamiento.

Ciudadanos o empresas, como usuarios, asumen el rol de Holder, apoyados en el EDIW que es el que va a gestionar la interacción con todos los sistemas, aislándonos de la complejidad subyacente.

Si reflexionamos sobre lo visto hasta ahora, podemos llegar a la conclusión de que el papel del Issuer es crítico dentro de un esquema SSI, y es muy delicada la gestión de su propia identidad y de los medios que utilice para generar las credenciales.

Emitir identidades altamente confiables y cuidar de los medios para utilizarlas es lo que mejor sabe hace un Prestador Cualificado de Servicios de Confianza como Uanataca. Esto hace que su papel en este esquema de SSI como figura confiable se convierte en primordial.

El nuevo reglamento eIDAS 2 regulará las EDIW, que deberán proveer un acceso seguro y transfronterizo a servicios públicos y privados, y deberán ser aceptadas por todos los estados miembros. En la práctica van a implementar un mecanismo de SSI y la posibilidad de realizar firmas cualificadas.

Los EDIW deberán pasar un proceso de certificación para asegurarse que cumplen con las regulaciones de Ciberseguridad y el RGPD. Serán consideradas un medio de autenticación válido, obligando a todos los entes públicos a que lo acepten, también a determinados sectores privados donde la autenticación o validación de identidad sea obligatoria (transporte, energía, servicios bancarios y financieros, seguridad social, sanidad, agua potable, servicios postales, infraestructuras digitales, educación o telecomunicaciones) y grandes plataformas online como Facebook o Instagram.

Ejemplos prácticos de uso de la identidad digital europea

En el ámbito ciudadano, y según hemos mencionado, podremos tener distintos atributos (credenciales) asociadas a nuestra identidad, como por ejemplo:

- Nuestra edad
- Nuestro nivel de estudios
- Nuestra licencia de conducir
- Nuestra información de vacunación

Estos casos nos permitirían por ejemplo los siguientes escenarios de uso:

 - Alquilar un coche: podríamos demostrar ante un servicio de alquiler de coches que somos mayores de edad, y que poseemos una licencia válida y vigente que nos permita conducirlo, sin ser necesario divulgar otros datos personales que sean irrelevantes para la transacción.
- Adquirir una botella de vino en una tienda online o presencialmente: análogamente al ejemplo anterior, a través de nuestra EDIW, podríamos presentar una credencial que acredite que somos mayores de edad en una tienda de vinos, sin necesidad de divulgar otra información personal como nuestro nombre, fecha de nacimiento o dirección. 
- Crear una cuenta en una red social: podríamos usar los datos de nuestra EDIW, como nuestro email, para crear una cuenta en una red social. Podríamos además asegurar que nuestra cuenta pertenece a un mayor de edad, sin desvelar nuestra fecha de nacimiento y sin compartir ningún otro dato personal.
- Realizar un trámite con nuestro ayuntamiento: como con otros servicios online, podríamos realizar una solicitud de un permiso de obra a nuestro ayuntamiento con nuestras credenciales, en este caso de una forma sencilla, incluso firmando la solicitud con nuestra EDIW como hoy en día podríamos hacer con nuestro DNI electrónico o certificado digital.

En conclusión, la revolución digital requiere de ciberderechos y la Unión Europea lo entendió: según estrategas digitales, en el 2030, más del 80% de la ciudadanía europea debe disponer digitalmente de soluciones a esta respuesta.

Esto hace que el eIDAS 2 dé un paso a la urgencia de establecer derechos digitales para la protección de la identidad de los usuarios en Internet. 

La Unión Europea, ya había manifestado en el pasado su preocupación por los abusos e invasión de la privacidad de las plataformas digitales, así como la regulación criptomonedas en monederos wallet. Debido a esto, apuesta en su transformación digital progresiva y esencial en las políticas de la UE ya que representa importantes oportunidades para evitar que las tecnologías mermen los derechos de los ciudadanos. 

Con el vigor de estos mandatos en discusión como primer borrador y sumando el comienzo de la identidad digital a través de wallet podríamos decir que estamos en el comienzo de una nueva era digital que, sin duda alguna, viene a poner a prueba a todas las empresas relacionadas o no con el sector.