Archivo de la categoría: Autenticación

Más pasos hacia el reconocimiento mutuo de los esquemas de identificación electrónica en Europa


En los últimos meses se observa un progreso notable hacia el reconocimiento mutuo de los esquemas de identificación electrónica en toda la Unión Europea. Cuatro países han realizado la notificación previa de sus esquemas de identificación electrónica: España, Luxemburgo, Estonia y Croacia, tras la la notificación previa de Italia en noviembre de 2017.

La notificación previa es el primero de tres pasos introducidos por el Reglamento (UE) n.º 910/2014 (EIDAS) sobre identificación electrónica y servicios de confianza para transacciones electrónicas en el mercado interno con el objetivo de generar confianza entre los Estados miembros y garantizar la interoperabilidad y la seguridad de los esquemas de identificación electrónica notificados.

Seis meses antes de la fecha en la que se pretende realizar la  notificación, los Estados miembros comparten información relacionada con sus esquemas de identificación electrónica, que incluyen: una descripción de la solución, información sobre el proveedor de identidad y el nivel estimado de aseguramiento de identidad, explicación sobre el régimen de responsabilidad atribuible a las autoridades en los potenciales incidentes, descripción del procedimiento para obtener y revocar una identificación electrónica y una descripción del proceso de autenticación en línea.

La información compartida por los Estados miembros contribuirá al proceso de revisión inter pares, permitiendo que el esquema de identificación electrónica se evalúe según los requisitos de calidad y seguridad establecidos por el Reglamento eIDAS.

El 20 de febrero de 2018, España realizó la notificación previa de su tarjeta de identificación electrónica para ciudadanos (DNI Electrónico) que presenta, en su última versión (3.0), un nuevo sistema operativo y un chip de doble interfaz. Esto permite que se realice la firma electrónica con dispositivo seguro de creación de firma (el chip) tanto usando un lector de tarjeta chip (mediante los contactos del chip) como mediante lectores NFC (por ejemplo los incluidos en los teléfonos móviles) en modo sin contacto. El DNIe es obligatorio para todos los ciudadanos españoles mayores de 14 años que residan en el país. La aceptación del e-DNI como medio de identificación es obligatoria para todos los servicios públicos electrónicos en España, ya sean nacionales, regionales y autonómicos o locales y también se puede utilizar para acceder a servicios privados en línea tales como operadores bancarios, de telecomunicaciones, etc.

eId1-anverso_DNI-e

El 26 de febrero de 2018, Luxemburgo realizó la notificación previa de su tarjeta de identificación electrónica para ciudadanos de Luxemburgo, que consiste en una tarjeta inteligente sin contacto. La tarjeta de identificación de Luxemburgo es obligatoria para todos los ciudadanos luxemburgueses mayores de 15 años que residan en el país. La activación de los certificados en la tarjeta de identificación nacional debe solicitarse específicamente cuando se obtenga. Los ciudadanos pueden usar este medio de identificación como una forma de acceder a los servicios en línea públicos y privados en Luxemburgo.

eId2-CNI_reference

El 27 de febrero de 2018, Estonia realizó la notificación previa de seis tipos de identificación electrónica estonia: la tarjeta de identificación, la tarjeta RP, la tarjeta de identidad diplomática, Digi-ID, e-Residency Digi-ID y Mobiil-ID. Los primeros tres medios son tanto documentos de identificación física como identidades digitales, mientras que los tres últimos son solo para identificación en línea. La tarjeta de identificación nacional es obligatoria para estonios mayores de 15 años. La identificación móvil es voluntaria, pero solo puede ser activada por los propietarios de una tarjeta nacional de dentificación electrónica. La solución móvil ha sido muy bien recibida por los ciudadanos, con una tasa de 12,2% de votantes que usan Mobile-ID.

eId3-Estonian_identity_card,_2007

El 28 de febrero de 2018, Croacia realizó la notificación previa de de su esquema de identificación electrónica, el Sistema Nacional de Identificación y Autenticación (NIAS,  National Identification and Authentication System) utilizando como identificación el documento de identidad personal croata (eOI). Los datos de identificación personal se imprimen en la tarjeta y se almacenan electrónicamente en el chip. El NIAS es parte del sistema de información del estado llamado e-Citizens que incluye el sistema del Portal del Gobierno Central (Gov.hr) que reúne todos los servicios públicos disponibles y el sistema de Carpeta de Usuario Personal (OKP).

eid4-Osobna_iskaznica_2015_-_prednja_strana

Por tanto, cinco países (si se incluye Italia) han iniciado recientemente un proceso de revisión por pares de tres meses, realizado de forma voluntaria por los Estados miembros que participan en la Red de Cooperación, al que seguirá la notificación formal. Se espera que en total seis esquemas de identificación electrónica (contando con la notificación de Alemania en septiembre de 2017) quedarán notificados en el marco del reglamento eIDAS antes del 29 de septiembre de 2018.

A partir de esta fecha,  todos los Estados miembros de la UE deberán reconocer los Sistemas de Identificación Electrónica (eID) notificados de otros Estados miembros para permitir el acceso al público de servicios en línea gubernamentales (administración electrónica) que ya admitan mecanismos de  identificación electrónica desplegados por el propio país.

Este artículo está basado en el publicado por la Unión Europea: Progress made towards mutual recognition of eID schemes in Europe

 

Hablando de pagos móviles en ElevenPaths Talks


11paths-julianinzaQuiero agradecer a Jorge Rivera y Pablo San Emeterio su invitación a participar en esta charla de ElevenPaths Talks sobre medios de pago móviles “PinPay y seguridad en micro pagos

¿Qué son los micro pagos? ¿Cómo afecta a la seguridad del proceso de pago? Nuestros CSAs Jorge Rivera y Pablo San Emeterio junto a un invitado especial resuelven tus dudas. ¡Aprende con nuestros expertos!

Recordando viejos tiempos en Mobipay, hablando de perfeccionamiento de contratos, identificación, EIDAS, Confianza Digital, PSD2.

Reflexionando sobre nuevos medios de pago basados en móvil, NFC, tarjetas, TPV,
protocolo MST de Samsung Pay para simular banda magnética con móviles concretos que soporten la tecnología. Consenso, Bizum,

Este es el video:

Segunda directiva de servicios de pago (PSD2) y Regulatory Technical Standards


La DIRECTIVA (UE) 2015/2366 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 25 de noviembre de 2015 sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) no 1093/2010 y se deroga la Directiva 2007/64/CE se publicó el Diario Oficial de la Unión Europea el 23 de diciembre de 2015. Deberá ser recogida por las leyes nacionales de los paises miembros de la UE a más tardar el 13 de enero de 2018.

Independiza la gestión de los servicios de pago de la titularidad de la cuenta, de forma que el cliente de varias entidades financieras podría utilizar un proveedor único para consolidar la información de todas sus cuentas bancarias y para iniciar operaciones, por ejemplo transferencias.

Estos proveedores especiales que acceden a las cuentas para obtener información y para realizar transferencias se denominan prestadores o proveedores de servicios de pago y deben adoptar prudentes medidas de seguridad, en especial para garantizar la debida autenticación de los usuarios. Además, deben contar con un adecuado mecanismo de notificación de incidentes de seguridad a a los supervisores  y a los usuarios.

Los servicios de pago previstos son:

  1. Servicios que permiten el depósito de efectivo en una cuenta de pago y todas las operaciones necesarias para la gestión de una cuenta de pago.
  2. Servicios que permiten la retirada de efectivo de una cuenta de pago y todas las operaciones necesarias para la gestión de una cuenta de pago.
  3. Ejecución de operaciones de pago, incluida la transferencia de fondos, a través de una cuenta de pago en el proveedor de servicios de pago del usuario u otro proveedor de servicios de pago: a) ejecución de adeudos domiciliados, incluidos los adeudos domiciliados no recurrentes, b) ejecución de operaciones de pago mediante tarjeta de pago o dispositivo similar, c) ejecución de transferencias, incluidas las órdenes permanentes.
  4. Ejecución de operaciones de pago cuando los fondos estén cubiertos por una línea de crédito abierta para un usuario de servicios de pago: a) ejecución de adeudos domiciliados, incluidos los adeudos domiciliados no recurrentes, b) ejecución de operaciones de pago mediante tarjeta de pago o dispositivo similar, c) ejecución de transferencias, incluidas las órdenes permanentes.
  5. Emisión de instrumentos de pago y/o adquisición de operaciones de pago.
  6. Envío de dinero.
  7. Servicios de iniciación de pagos.
  8. Servicios de información sobre cuentas.

Las entidades que se constituyan para prestar servicios de pagos deberán cumplir ciertos requisitos de capital en su constitución:  si la entidad de pago solo pretende prestar el servicio de pago del punto 6,  su capital  inicial deberá ser mayor de 20.000 EUR; si la entidad de pago solo pretende prestar el servicio de pago del punto 7, su capital inicial  deberá ser mayor de 50.000 EUR; si la entidad de pago pretende prestar cualquiera de los servicios de pago a que se refieren los puntos 1 a 5, su capital inicial deberá ser mayor de 125.000 EUR. Solo la prestación de Servicios de información sobre cuentas no impone requisitos especiales de capital inicial a las entidades que los presten.

Sin embargo, más importante que el importe de capital inicial son los fondos propios. Uno de los métodos de cálculo de fondos propios mínimos indicados en la directiva para las entidades de pago exige que superen el 10 % de sus gastos generales del año anterior o de los previstos en su plan de negocios, en caso de que no superen el año de actividad.

Para que la actividad de los nuevos prestadores de servicios de pago pueda desarrollarse sin fricciones de interoperabilidad es necesario que se estabilicen las normas técnicas impulsadas por la Autoridad Bancaria Europea (EBA European Banking Authority) “Regulatory Technical Standards“, en particular sobre los aspectos de “strong customer authentication” y “secure communication”

Sin embargo, los borradores publicados por la EBA se han visto como restrictivos con la competencia, en particular respecto a los nuevos modelos de negocio que pretende impulsar la Directiva 2015/2366.

En noviembre de 2016 los eurodiputados a cargo de la negociación con la EBA expresaron su preocupación por el hecho de que los proyectos de normas presentados por la Autoridad Bancaria Europea (EBA) para apoyar la innovación en el mercado de pagos serían restrictivos a los nuevos modelos de negocio.

En agosto de 2016, la EBA propuso los borradores de nuevas normas técnicas de reglamentación (RTS, Regulatory Technical Standards) sobre la autenticación fuerte de los clientes como parte de su mandato de establecer tales normas bajo la nueva Directiva de Servicios de Pagos (PSD2).

Estos RTS incluyen la “autenticación fuerte del cliente” que se deberán usar cuando sea necesario acceder a cuentas de pago en línea, o iniciar una operación de pago electrónico o “realizar cualquier acción a través de un canal remoto que pueda implicar un riesgo de fraude de pago u otros abusos”.

También se aplican a los casos en que los pagos se inician a través de proveedores de servicios de iniciación de pagos (PISP, payment initiation service providers) o cuando los titulares de cuentas solicitan información sobre sus cuentas a través de un proveedor de servicios de información de cuentas (AISP, account information service provider ).

En el borrador de la norma, la EBA establece que los PSP deberían tener la libertad de decidir si se habilitan los pagos o el acceso a la cuenta a través de una “interfaz dedicada”, que sería una interfaz común para el uso de la industria en su totalidad o a través de su propia interfaz de banca electrónica, lo cual implicará que los agregadores de información y los iniciadores de pagos tendrían que ir una por una adaptando las interficies a los requisitos de cada entidad financiera (desvirtuando el propósito de los RTS).

Sin embargo, en una carta a la EBA en nombre del Parlamento Europeo, los eurodiputados Markus Ferber y Antonio Tajani le transmitieron que “el equipo de negociación del Prlamento Europeo apoya el acceso directo por parte de los proveedores de servicios de iniciación de pagos (PISP, payment initiation service providers ) y de los de servicios de información de cuenta (AISP, account information service providers) a la cuenta del ordenante, sin que el proveedor de servicios de pago de cuentas (ASPSP, account servicing payment service provider) exija que utilice un modelo de negocio determinado para la prestación de su servicio, ya se base en el acceso directo o en el indirecto.

Feber y Tajani expresaron su preocupación de que permitir el empleo de una “interfaz dedicada” implica el riesgo de dar a los ASPSP la posibilidad de excluir o limitar el acceso directo a la cuenta del ordenante a través de las instalaciones bancarias en línea preexistentes.

Esta opción  sería contraria al principio establecido en la Directiva, que impone a la EBAel desarrollo de las RTS con el fin de asegurar y mantener una competencia leal entre todos los proveedores de servicios de pago y garantizar la neutralidad de la tecnología y los modelos de negocio.

Feber y Tajani dejaron claro que el Parlamento Europeo quiere que la EBA se asegure de que los PISP y los AISP puedan obtener acceso directo a cuentas a través de todas las interfaces orientadas al cliente proporcionadas por los ASPSP en todo momento.

La EBA también debe asegurar que los ASPSPs siguen rigurosamente las reglas impuestas por la Directiva PSD2 para permitir a los PISPs y a los AISPs el acceso seguro a las cuentas cuando dichas entidades usan las interfaces propias de los ASPSPs.

El pasado 23 de febrero de 2017 la Autoridad Bancaria Europea (EBA) publicó su borrador final de Normas Técnicas de Reglamentación (RTS) sobre la autenticación fuerte de los clientes y la comunicación común y segura. Estas RTS, establecidas en virtud de la Directiva sobre servicios de pago revisada (PSD2) y desarrolladas en estrecha cooperación con el Banco Central Europeo (BCE).

Draft Regulatory Technical Standards on Strong Customer Authentication and common and secure communication under Article 98 of Directive 2015/2366 (PSD2)

La EBA recibió 224 respuestas a su documento de consulta, en el que se plantearon más de 300 consideraciones o solicitudes de aclaraciones. En la tabla de comentarios publicada como parte de la RTS, la EBA ha resumido cada uno de ellos y ha proporcionado su evaluación sobre si se han realizado cambios en la RTS como resultado de tales consideraciones.

En particular, una de las principales preocupaciones tratadas en este proyecto final de RTS se refiere a las exenciones de la aplicación de la autenticación fuerte de los clientes en función del nivel de riesgo que implica el servicio prestado; la cantidad y recurrencia de la transacción; y el canal de pago utilizado para la ejecución de la transacción. A este respecto, la ABE ha introducido dos nuevas exenciones: una basada en el análisis de riesgo de transacción basada en niveles definidos de fraude y la otra en pagos en las denominadas «terminales sin vigilancia» para las tarifas de transporte o estacionamiento. La exención sobre el análisis del riesgo de transacción está vinculada a un nivel predefinido de fraude y está sujeta a una cláusula de revisión de 18 meses después de la fecha de solicitud de la RTS.

Además, la ABE ha aumentado también el umbral de las transacciones de pago a distancia de 10 a 30 euros y ha suprimido las referencias anteriores a la norma ISO 27001 ya otras características específicas de la autenticación fuerte de los clientes para garantizar la neutralidad tecnológica de la RTS y para facilitar futuras innovaciones.

Con respecto a la comunicación entre proveedores de servicios de pago de cuentas (ASPSP), proveedores de servicios de información de cuentas (AISP) y proveedores de servicios de iniciación de pagos (PISPs), la ABE ha decidido mantener la obligación de que los ASPSP ofrezcan al menos una interfaz para AISPs y PISP para acceder a la información de la cuenta de pago. Esto está vinculado al hecho de que el PSD2 ya no permite el acceso de terceros sin identificación (a veces denominado “simulación de usuario” o, en inglés”screen scraping”) una vez transcurrido el período de transición previsto en el PSD2 para la aplicación de las Normas Técnicas Regulatorias  Regulatory Technical Standards.

La Directiva PSD2 establece que las RTS se aplicarán 18 meses después de su adopción por la Comisión de la UE como un acto delegado, por lo que es preciso que estas RTS se referencien oficialmente en una norma publicada en el Diario Oficial de la Unión Europea.

En el desarrollo de las tecnologías de Strong Customer Authentication claramente juegan un rol relevante los Prestadores de Servicios Electrónicos de Confianza que como EADTrust (European Agency of Digital Trust) aplican lo previsto en el Reglamento EIDAS.