La Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo contempla en su artículo 3 la identificación formal de los clientes de los sujetos obligados (entidades de crédito, aseguradoras, gestoras de fondos e inversiones, entidades de dinero electrónico, notarios y registradores, y otros muchos colectivos citados en el artículo 2).
En su artículo 12 establece la posibilidad de identificación no presencial y describe diversas casuísticas, entre las que destaca la opción de identificar a los usuarios mediante sistemas de firma cualificada según lo previsto en el Reglamento EIDAS.
La reciente Ley 18/2022, de 28 de septiembre, de creación y crecimiento de empresas ha actualizado el artículo con algunas precisiones adicionales.
Las entidades Fintech, Insurtech, Regtech deberían contactar con EADTrust para explorar cómo integrar los certificados cualificados en los procesos de Onboarding de clientes.
En el contexto del desarrollo de la Cartera IDUE de la que ya he hablado en este Blog hay varias iniciativas en marcha que contribuyen a elevar las expectativas y a acelerar el proyecto. Un gran reto para un proyecto complejo, especialmente considerando su carácter transfronterizo.
Uno de los aspectos de los que se esperan avances es el de la estandarización.
El organismo ETSI ha desarrollado diferentes normas técnicas en el contexto del Reglamento (UE) 910/2014 (EIDAS) y también está activo preparando las normas técnicas que se aplicarán una vez que se apruebe el Reglamento EIDAS 2, lo cual puede suceder antes de que se acabe el primer semestre de 2023.
Las normas orientadas a EIDAS 2 (y a la Cartera IDUE) son, entre otras, la ETSI TS 119 462, la ETSI TS 119 471 y la ETSI TS 119 472 de las que incluyo una breve explicación.
ETSI TS 119 462 Cartera IDUE – Interfaces de cartera para servicios de confianza y firma electrónica (EUDI Wallet -Wallet interfaces for trust services and electonic signature)
El objetivo de esta norma es especificar las interfaces que permiten la interacción de los servicios de cartera y los de confianza digital, incluida la firma electrónica. Más concretamente, esta norma especificará:
Una interfaz de cartera para prestadores de servicios de confianza con el fin de emitir testimonios de atributos y certificados en la cartera ;
Una interfaz del cartera para los prestadores de servicios de confianza cuando actúen como parte informante en la prestación de sus servicios;
Una interfaz para la creación de firma electrónica cuando el QSCD (dispositivo cualificado de creación de firma) sea gestionado por el Prestador de servicios de Confianza;
Otros casos de uso para la creación de firmas electrónicas y otros servicios de confianza y posibles requisitos para las interfaces;
Este elemento de trabajo tendrá en cuenta el trabajo concurrente sobre las políticas de testimonio de atributos y los perfiles de los testimonios de atributos que se recogen en otras normas, como la TS 119 471 y la TS 119 472.
TS 119 471Policy and Security requirements for Attribute Attestation Services (Política y requisitos de seguridad para los servicios de testimonio de atributos)
Imagen de la Cartera de Identidad, cortesía de Michał Tabor
El objetivo de esta futura norma de ETSI es especificar los requisitos de política y seguridad de los prestadores de servicios de confianza de testimonio de atributos y los servicios de testimonio de atributos que proporcionan.
Contendrá:
Los requisitos de política y seguridad sobre la verificación de atributos y la generación de testimonios por parte del prestador de servicios de confianza;
Los requisitos de política y seguridad sobre los servicios de validación del estado de los Testimonios de Atributos;
Los requisitos para evaluar la fiabilidad de los Testimonios de Atributos; y
Los requisitos sobre el tratamiento de datos personales.
TS 119 472Profiles for Attribute Attestations (Perfiles para los Testimonios de atributos)
El objetivo de esta norma es especificar los perfiles para los testimonios de atributos.
Más concretamente, especificará:
La Semántica para los componentes de los Testimonios de Atributos. Esto incluirá, entre otros, la información enumerada en el anexo V del Reglamento eIDAS 2.0 (pendiente de aprobación).
Vinculación de la semántica a una o más sintaxis.
La norma evaluará una serie de sintaxis tales como credenciales verificables de W3C, SAML, JWT (JSON Web Tokens), certificados de atributos X.509 (X.520) y otras.
La norma no limitará los tipos de atributos incluidos en una declaración de atributos (en relación con la identidad alegada).
Puede ser necesaria una normalización separada para definir interfaces para la gestión y el uso de Testimonios de Atributos.
La Comisión adoptó la propuesta de Reglamento sobre la identidad digital europea (identificación electrónica europea) el 3 de junio de 2021. La iniciativa modifica el Reglamento eIDAS de 2014, que sentó las bases necesarias para acceder de forma segura a los servicios y realizar transacciones en línea y a través de las fronteras en la UE.
La propuesta, basada en el artículo 114 del TFUE, exige a los Estados miembros que emitan una cartera europea de identidad digital con arreglo a un sistema de identificación electrónica notificado, basado en normas técnicas comunes, tras la certificación obligatoria. Con el fin de establecer la arquitectura técnica necesaria, acelerar la aplicación del Reglamento revisado, proporcionar directrices a los Estados miembros y evitar la fragmentación, la propuesta iba acompañada de una Recomendación para el desarrollo de un conjunto de instrumentos de la Unión (Toolbox).
El Reglamento propuesto tiene por objeto garantizar el acceso universal de las personas y las empresas a una identificación y autenticación electrónicas seguras y fiables mediante una cartera digital personal en un teléfono móvil.
II. TRABAJO EN LAS DEMÁS INSTITUCIONES
En el Parlamento Europeo, la propuesta se remitió a la Comisión de Industria, Investigación y Energía (ITRE), y se solicitó opinión a tres comisiones, a saber, la Comisión de Mercado Interior y Protección del Consumidor (IMCO), la Comisión de Asuntos Jurídicos (JURI) y la Comisión de Libertades Civiles, Justicia y Asuntos de Interior (LIBE). La ponente del expediente es Romana Jerković (S&D, Croacia). La Comisión ITRE aún no ha aprobado su informe.
El 15 de julio de 2021, se invitó al Comité Económico y Social Europeo a emitir su dictamen sobre la propuesta, que se presentó posteriormente el 20 de octubre de 2021. El Comité Europeo de las Regiones emitió espontáneamente un dictamen sobre la propuesta el 12 de octubre de 2021.
El Supervisor Europeo de Protección de Datos (SEPD) publicó observaciones formales sobre la propuesta el 28 de julio de 2021.
III. SITUACIÓN EN EL CONSEJO
En el Consejo, la propuesta ha sido examinada en el Grupo «Telecomunicaciones y Sociedad de la Información» (WP TELECOM), que inició los debates bajo la Presidencia portuguesa en junio de 2021. El análisis de la propuesta continuó en WP TELECOM bajo la Presidencia eslovena, y la primera lectura concluyó con éxito el 15 de noviembre de 2021.
La Presidencia francesa presentó su primera propuesta transaccional los días 15 de febrero y 5 de abril de 2022, y la segunda se debatió los días 23 de mayo y 9 de junio de 2022. En relación con un debate de orientación celebrado en WP TELECOM el 19 de julio de 2022, la Presidencia checa, basándose en el trabajo de la Presidencia francesa, destacó las principales cuestiones pendientes de alto nivel y pidió a las delegaciones que expresaran sus opciones preferidas, con vistas a volver a redactar las partes pertinentes de la segunda propuesta transaccional en consecuencia. La versión revisada dio lugar a una tercera propuesta de compromiso que fue presentada por la Presidencia checa en el WP TELECOM de los días 5 y 8 de septiembre de 2022. Las iteraciones adicionales y los ajustes conexos fomentaron con éxito un nivel más profundo de convergencia en la mayoría de las cuestiones pendientes.
Sin embargo, la cuarta propuesta transaccional, presentada a las delegaciones en el WP TELECOM de 28 de septiembre de 2022, reveló una divergencia persistente entre los Estados miembros en torno a una cuestión de alto nivel en particular, a saber, el nivel de aseguramiento («LoA») elegido para la cartera de identidad digital europea. Algunos de los Estados miembros que ya cuentan con un sistema nacional de identificación electrónica adoptaron inicialmente, y posteriormente invirtieron, en un Nivel de Aseguramiento (LoA – Level of Assurance) «sustancial», mientras que en la propuesta actual de identificación electrónica se requiere un LOA de nivel «alto». Consciente de que ya existe un elevado número de medios de identificación electrónica de LoA «sustanciales» emitidos en algunos Estados miembros, la Presidencia checa ha propuesto además un mecanismo para facilitar el registro de usuarios, contribuyendo así a la adopción de las carteras de identidad digital europeas. La disposición permite a los usuarios inscribirse en la cartera de identidad digital europeo utilizando los medios nacionales de identificación electrónica existentes en base a LoA «sustanciales» junto con procedimientos adicionales de obtención remota de la identidad digital que conjuntamente permiten cumplir los requisitos de LoA «alto». Las especificaciones técnicas y operativas requerida están sujetas al desarrollo de legislación de aplicación para ello y deberá ser posible la certificación de la conformidad con los requisitos, llevada a cabo por un Organismo de Evaluación.
La quinta propuesta de compromiso se discutió durante la reunión de WP TELECOM del 25 de octubre de 2022. Durante la reunión de WP TELECOM del 8 de noviembre de 2022, la Presidencia checa presentó los limitados cambios introducidos y, además de los comentarios adicionales y las sugerencias de redacción recibidas de las Delegaciones, preparó la versión final del texto transaccional con vistas a presentarlo al Coreper.
El 18 de noviembre de 2022, el Coreper examinó esta propuesta transaccional y acordó por unanimidad presentarla al Consejo TTE (Telecomunicaciones), sin ningún cambio, con vistas a una orientación general en su reunión del 6 de diciembre de 2022.
IV. PRINCIPALES ELEMENTOS DE LA PROPUESTA TRANSACCIONAL
1. La cartera europea de identidad digital
Uno de los principales objetivos políticos de la propuesta de la Comisión de una cartera de identidad digital europea («cartera») es el de proporcionar a los ciudadanos y otros residentes, tal como se definen en la legislación nacional, un medio europeo armonizado de identidad digital basado en el concepto de una cartera europea de identidad digital. Como medio de identificación electrónica («medio de identificación electrónica») emitido en virtud de sistemas nacionales con nivel de aseguramiento «alto», la cartera sería un medio de identificación electrónica por derecho propio basado en la emisión de datos de identificación personal y de la propia cartera por parte de los Estados miembros.
2. Nivel de aseguramiento de la cartera europea de identidad digital
Los niveles de aseguramiento («LoA») deben determinar el grado de confianza en los medios de identificación electrónica para establecer la identidad de una persona, proporcionando así garantías de que la persona que reivindica una identidad determinada es, de hecho, la persona a la que se asignó dicha identidad.
Sobre la base del amplio apoyo registrado en las reuniones del Grupo de Trabajo y en el debate del Coreper del 14 de octubre de 2022, la cartera deberá expedirse dentro de un sistema de identificación electrónica que cumpla con el nivel de aseguramiento «alto». Además, se ha añadido al artículo 6 bis una disposición específica sobre el registro de usuarios. Este cambio tiene por objeto abordar las preocupaciones de los Estados miembros en los que ya se ha emitido un número significativo de medios nacionales de identificación electrónica en base a niveles de aseguramiento «sustanciales». La disposición permite a un usuario utilizar sus medios nacionales de identificación electrónica junto con procedimientos adicionales para darse de alta de forma remota y hacer posible la prueba de identidad en base a un nivel de aseguramiento «alto» y, en última instancia, a obtener una cartera. Dado que el proyecto de Reglamento sobre identificación electrónica se basa en esquemas de certificación de ciberseguridad que deben aportar un nivel armonizado de confianza en la seguridad de las carteras de identidad digitales europeas, también se espera que el almacenamiento seguro de material criptográfico esté sujeto a certificación de ciberseguridad tras un proceso de evaluación. Por consiguiente, la Presidencia ha propuesto un nuevo considerando 10 ter que aborde estas condiciones técnicas previas para lograr un nivel de aseguramiento «alto» y permita un proceso de seguimiento dentro de la aplicación de las carteras de identidad digitales europeas.
3. Notificación a las partes informadas
3.1 Se ha reformulado el artículo 6ter, relativo a la notificación a las partes informadas (las que reciben algún tipo de testimonio o información de la cartera, denominadas a veces «partes que confían»). Como norma general, el proceso de notificación mediante el cual la parte informada comunica su intención de confiar en la cartera debe ser rentable, proporcional al riesgo y debe garantizar que la parte informada proporciona al menos la información necesaria para autenticarse frente a la cartera. De forma predeterminada, solo se requiere mínima información, y la notificación debe permitir el uso de procedimientos automatizados o simples de autonotificación.
3.2 Sin embargo, puede ser necesario un régimen específico debido a requisitos sectoriales, como los aplicables al tratamiento de categorías especiales de datos personales. Por lo tanto, se ha introducido una disposición para ello que tiene por objeto cubrir los casos en que se requiere un procedimiento de registro o autorización más estricto. A la inversa, cuando el Derecho de la Unión o nacional no establezca requisitos específicos para acceder a la información facilitada a través de la cartera, los Estados miembros podrán eximir a dichas partes informadas de la obligación de notificar su intención de confiar en las carteras.
4. Certificación
4.1 El Reglamento debe aprovechar, basarse y exigir el uso de esquemas de certificación de la normativa de Ciberseguridad pertinentes y existentes, o partes de los mismos, para certificar el cumplimiento de las Carteras, o partes de los mismos, con los requisitos de ciberseguridad aplicables, por ejemplo, la de ser considerado un dispositivo cualificado de gestión de claves privadas. En consecuencia, se aplica plenamente el marco de la normativa europea de Ciberseguridad, incluido el mecanismo de revisión inter pares entre las autoridades nacionales de certificación de la ciberseguridad previsto en la normativa europea de Ciberseguridad. Con el fin de armonizar en la medida de lo posible el Reglamento sobre identificación electrónica y la normativa europea de ciberseguridad, los Estados miembros designarán organismos públicos y privados acreditados para evaluar certificar las carteras según lo dispuesto en el Reglamento de ciberseguridad.
4.2 Además, se anima a la Comisión a encargar a ENISA que emprenda el desarrollo y la adopción de un esquema específico de la normativa europea de Ciberseguridad para la certificación de la ciberseguridad de la Cartera. Hasta que se desarrolle dicho esquema, el esquema EUCC (esquema europeo de certificación de ciberseguridad basado en criterios «Common Criteria») publicado en virtud de la normativa europea de Ciberseguridad se utilizará como metodología de referencia para la certificación de la cartera. Para los requisitos no relacionados con la ciberseguridad, en particular los que cubren otros aspectos funcionales y operativos de la Cartera, debe establecerse una lista de especificaciones, procedimientos y normas de referencia. Estos requisitos están sujetos a certificación.
5. Plazo para la provisión de la Cartera
Sobre la base de las orientaciones de los Estados miembros, se ha propuesto que el período de ejecución de 24 meses que determina la obligación de que los estados miembros ofrezcan su Cartera, se empiece a contar a partir de la adopción de los actos de ejecución a los que se refieren el artículo 6 bis, apartado11, y el artículo 6 quater, apartado 4.
6. Tarifas
En el artículo 6 bis, apartado 6 bis, y en el considerando correspondiente se ha aclarado que la expedición, el uso para la autenticación y la revocación de carteras deben ser gratuitos para las personas físicas. Excepto cuando se utilizan Carteras para la autenticación, los servicios que dependen del uso de la Cartera pueden incurrir en costes, por ejemplo, la emisión de los certificados electrónicos de atributos para su gestión por una Cartera.
7. Acceso a las funciones de hardware y software, incluido el «elemento seguro»
La Presidencia ha sugerido establecer una articulación explícita con el Reglamento (UE) 2022/1925, que garantiza el acceso a las funciones de hardware y software como parte de los servicios básicos de plataforma proporcionados por los guardianes de acceso a los servicios en Internet. El artículo 12 ter, recientemente añadido, aclara que los proveedores de carteras y los emisores de medios de identificación electrónica notificados que actúen a título comercial o profesional son usuarios profesionales de los guardianes de acceso a los servicios en Internet en el sentido de la definición respectiva de la DMA (Digital Markets Act). Se ha añadido una redacción del considerando para esbozar las implicaciones de la interconexión con la DMA, a saber, que debe exigirse a los guardianes de acceso a los servicios en Internet que garanticen, de forma gratuita, la interoperabilidad efectiva con las mismas características del sistema operativo, hardware o software que estén disponibles o se utilicen a efectos de interoperabilidad en la prestación de sus propios servicios complementarios y de apoyo.
8. Posibilidades alternativas para emitir los testimonios electrónicos de atributos por parte de los organismos públicos
Se ha mantenido la posibilidad de emitir testimonios electrónicos cualificados de atributos por parte de prestadores cualificados, incluida la obligación de los Estados miembros de garantizar que los atributos puedan verificarse con una fuente auténtica dentro del sector público. Además, se ha introducido la posibilidad de que los testimonios electrónicos de atributos no cualificados puedan tener los mismos efectos jurídicos que los testimonios electrónicos cualificados de atributos cuando sean expedidos a una Cartera directamente por el organismo del sector público responsable de la fuente auténtica o por un organismo designado del sector público en nombre de un organismo del sector público responsable de una fuente auténtica, siempre que se cumplan los requisitos necesarios. La propuesta se refleja en los nuevos artículos 45 bis y 45 quinquies y en el anexo VII.
9. Verificación de registros
El artículo 11 bis original ha pasado a llamarse «Record Matching» (Comprobación de anotaciones registrales) ya que refleja mejor el objetivo de la disposición. Sobre la base de la discusión, el concepto de identificador único y persistente se ha mantenido para las carteras. La definición respectiva aclara que el identificador puede consistir en una combinación de varios identificadores nacionales y sectoriales, siempre que sirva a su propósito. Se establece explícitamente que la verificación de registros puede facilitarse mediante los testimonios electrónicos cualificados de atributos. Además, se ha incorporado al artículo 11 bis una disposición de salvaguardia según la cual los Estados miembros garantizarán la protección de los datos personales y evitarán la elaboración de perfiles de los usuarios. Por último, los Estados miembros, en su calidad de partes informadas, garantizarán la verificación de anotaciones registrales.
VI. CONCLUSIÓN
1. A la luz de lo anterior, se invita al Consejo a:
que confirme una orientación general sobre la propuesta de Reglamento sobre la identidad digital europea (identificación electrónica europea) en la reunión del Consejo de TTE (Telecomunicaciones) que se va a celebrar el 6 de diciembre de 2022.
El objetivo de este documento es proporcionar un conjunto de especificaciones necesarias para desarrollar una solución interoperable de Cartera Europea de Identidad Digital (IDUE) basada en normas y prácticas comunes.
La versión anterior (llamésmosle v0.9, aunque no consta ninguna) se publicó el 22 de febrero de 2022.
De aquel documento me permití realizar una traducción al español (un poco libre porque me tomé la licencia de aclarar conceptos que en el documento original no se entendían bien).
Uno de los aspectos que cuidé es la traducción de términos acuñados en inglés a otros que pudieran considerarse términos acuñados en español, huyendo de «falsos amigos» (palabras que se escriben de forma parecida en español pero que significan cosas diferentes). Por ejemplo «Relying Parties» por «Partes Informadas» considerando que son las que reciben los testimonios de las «Partes informantes». Me parece mejor traducción que «Partes que confían»
Este fue uno de los documentos que se entregaron a los participantes en los cursos de formación organizados por TCAB para especialistas en servicios de confianza (nivel 1), responsables de gestión de servicios de confianza (nivel 2) y auditores de servicios de confianza (nivel 3) y en el que tuve el honor de participar como profesor.
The information needed to register a company in the EPREL database and to manage the energy label is summarised in the document «Suppliers-Verification-Guide».
In recent months, several versions of this document have been generated and the links to the different versions that were included in many articles on the EPREL topic no longer work.
The history of changes is as follows:
1.0
20 December 2021
First document version published in December 2021.
1.01
12 January 2022
Sections «Electronic sealing» and «Verify the organisation» have been updated with emphasis on the “qualified” requirement for seals provided by “qualified” trust service providers.
1.02
13 January 2022
Section «Important notes before sealing the verification file» updated with a correction for Northern Ireland accepted country codes.
1.03
7 February 2022
Sections ”Create your organization”, Electronic Sealing” and “Verifying the organisation” have been updated with the new electronic verification requirements and accepted formats for qualified electronic seals.
1.04
22 February 2022
References to the EUID and to ETSI standard improved and Annex 3 added.
1.05
6 April 2022
Annex 2, “FAQs”. New FAQs added on “verification”.
1.06
22 August 2022
Emphasizing the fact that EPREL accepts only Qualified Electronic Seals.
1.07
31 October 2022
Improvements added to the Manage Organisation section
I have done some research to come up with the different versions and I include them below:
Versión 1.03 (february 2022) originally available at «https://ec.europa.eu/info/sites/default/files/energy_climate_change_environment/suppliers_verification_guide_v1.03_0.pdf»
Versión 1.04 (february 2022) originally available at «https://ec.europa.eu/info/sites/default/files/energy_climate_change_environment/suppliers_verification_guide_v1.04_0.pdf»
Versión 1.05 (april 2022) originally available at «https://ec.europa.eu/info/sites/default/files/energy_climate_change_environment/suppliers_verification_guide_v1.05_0.pdf»
One of the required items for the Companies to register in the EPREL Platform is a Legal Person Qualified Certificate to generarte Qualified Seals (QSEALS), which can be buyed in EAD TRUST European Agency of Digtal Trust in the link: QSEAL
El 4 de septiembre de 1988 (hace casi 35 años) se llevó a cabo una ceremonia formal para la firma electrónica conjunta de un Comunicado sobre el Comercio Electrónico del Primer Ministro Irlandés (Taoiseach) Bertie Ahern y el Presidente de los Estados Unidos Bill Clinton, como uno de los actos de su visita a Dublín.
Por limitaciones de los desarrollos legislativos de ambos estados en lo referido al reconocimiento legal con valor de presunción de la Firma Electrónica en el momento de esta firma, no se pudo firmar un Tratado Internacional, lo que hubiera sido, si cabe, más impactante.
El acto fue importante, y la mera notoriedad del acto (como los contratos celebrados «ad solemnitatem«) hubiera supuesto plena eficacia probatoria. Sin embargo, el protocolo oficial dejó en entredicho los planeamientos que probablemente les hicieron sus asesores a ambos mandatarios, ya que al finalizar la firma, los dos dignatarios intercambiaron protocolariamente los instrumentos utilizados para firmar.
Si el documento se hubiera firmado en papel y el intercambio hubiera sido de plumas estilográficas, la foto final hubiera sido una de tantas. Pero puesto que las firmas fueron firmas electrónicas y los instrumentos tarjetas inteligentes (smartcards), la foto resultante en la que ambos dirigentes se intercambiaban las tarjetas suponía ciertas implicaciones.
Una de las más importantes es que NO es un buen ejemplo para el público porque la tarjeta chip contiene la clave privada que constituye la capacidad criptográfica de firmar del titular, y cederla a otra persona implica perder el control de la clave privada.
Quien controla la clave privada (para lo que hará falta una contraseña o un PIN) puede realizar una nueva firma electrónica, con plena atribución de lo firmado a quien aparece como firmante.
Probablemente ninguno de los dos mandatarios pudo suplantar al otro pese a tener su tarjeta chip, si suponemos que no conocióan las contraseñas utilizadas.
La foto es bonita, pero desde el punto de vista de un «purista» de la firma electrónica, transmite un concepto peligroso: «las tarjetas se pueden ceder a otras personas y no pasa nada«.
No es cierto. Hay que evitar que nadie más que nosotros tenga acceso a nuestra tarjeta chip (a nuestro DNI), entre otras cosas porque no es muy difícil obtener las claves de múltipes formas. Ya no debemos dejar el DNI de prenda cuando reservemos una taquilla, o una cancha de tenis, o nos quedemos sin dinero al echar gasolina.
Técnicamente, el acto político no tuvo apenas impacto criptográfico. Al finalizar, probablemente se revocaron ambos certificados y posiblemente no había más oportunidades de usar las tarjetas chip ya que en 1998 el número de lectores de tarjeta chip (chipeteras) era mínimo.
Pero la tentación política de llevar a cabo firmas electrónicas en determinados actos públicos para impulsar la adopción de la firma electrónica, que es loable, deberá tener en cuenta que, casi más de 30 años depués de la firma de la foto, ya no se puede disculpar el «compromiso de las claves» al que equivale la cesión o intercambio de tarjetas chip.
El Consorcio «POTENTIAL«, ha sido seleccionado por la Comisión Europea a través de la Agencia HaDEA para que lleve a cabo su proyecto de Cartera de Identidad Digital de la Unión Europea.
Forman parte del Consorcio POTENTIAL un total 148 participantes de 19 Estados miembros de la UE, así como de Ucrania, apoyados por sus gobiernos, para acometer uno de los Grandes Proyectos Piloto que permita comprobar el nuevo prototipo de Cartera Europea de Identidad Digital en seis casos de uso («servicios de administración electrónica», «apertura de cuentas», «registro de tarjetas SIM», «permiso de conducir móvil», «firma electrónica remota cualificada» y «receta electrónica»). El Consorcio POTENCIAL se compromete a desplegar estos proyectos piloto con ambición y determinación.
La ANTS (Agence nationale des titres sécurisés, de Francia), coordinadora del consorcio, ha anunciado la concesión , y ha mostrado su orgullo, junto con todos los miembros de POTENTIAL, de que la Comisión Europea les haya confiado la realización de estos casos de uso pioneros de la identidad digital europea, que serán objeto de pruebas transfronterizas.
La entidad está ahora comprometida con la DG CONNECT de la UE con vistas a la firma del acuerdo de subvención y para preparar el lanzamiento del proyecto, previsto a principios de mayo de 2023.
Uno de los problemas por el que las entidades públicas españolas no están cumpliendo la normativa EIDAS (y permitiendo a ciudadanos europeos con certificados cualificados acceder a los servicios de la administración electrónica) es porque no son capaces de reconocer los números de documento de identidad de los ciudadanos de otros países.
Está bastante claro el formato de los números del DNI y del NIE y casi todas las administraciones púbicas los entienden en los servicios activados por certificado que prestan vía web, pero no son capaces de identificar los números de pasaporte y los números de documentos de identidad de otros países.
En primer lugar hay que aclarar que en los certificados cualificados de persona física el campo «serial number» se estructura de la siguiente manera:
Prefijo de 3 caracteres que identifica el tipo de documento de identificación ;
Código de país según la norma ISO 3166-1 en su variante de 2 caracteres;
Un guión menos «-» (que se corresponde con el valor hexadecimal 0x2D en ASCII),
El número de identidad de la persona física según lo indicado en el prefijo inicial de 3 caracteres.
Los prefijos pueden ser:
«PAS» para la identificación basada en el número de pasaporte.
«IDC» para la identificación basada en el número del documento nacional de identidad.
«PNO» para la identificación basada en el número personal (nacional) (número de registro civil nacional).
«TAX» para la identificación basada en un número de referencia fiscal personal emitido por una autoridad fiscal nacional. Este valor valor está obsoleto. En su lugar debe utilizarse el valor «TIN»
Dos caracteres según la definición local dentro del país especificado y la autoridad de registro del nombre, que identifiquen un régimen nacional que se considere apropiado a nivel nacional y europeo, seguidos del carácter «:» (dos puntos).
Los dos prefijos más habituales son IDC y PNO.
Esta información se define en la norma técnica EN 319 412-1.
Por paises, así se construye el número de identidad:
Alemania
Número de tarjeta de identificación personal Tarjetas emitidas después de noviembre de 2010- ldddddddd Emisiones de tarjetas desde abril de 1987 hasta octubre de 2010- ddddddddddn
Austria
No tengo identificada la tarjeta de identidad.
Número de pasaporte: l ddddddd (el espacio entre la letra y los siete dígitos es opcional)
Bélgica
No tengo identificada la tarjeta de identidad.
Número de licencia de conducir: 10 dígitos dddddddddddd
Número de pasaporte: Dos letras y seis dígitos lldddddd
Bulgaria
Número Civil Uniforme (EGN) (utilizado como Número de Identificación Fiscal) Fecha de nacimiento (seis dígitos) + número de serie (tres dígitos) + número de suma de comprobación de 1 dígito dddddddddd
Croacia
11 dígitos aleatorizados con el último número como número de control y el HR no distingue entre mayúsculas y minúsculas ni es obligatorio. HRddddddddddd
Chipre
No tengo identificada la tarjeta de identidad.
Pasaportes emitidos después del 13/12/2010- K + ocho dígitos Kdddddddd
República Checa
Número de nacimiento (utilizado como número de identificación fiscal) En general, el formato es una fecha de nacimiento + número de serie + número de suma de comprobación con algunas especificaciones:
Para los hombres: dddddd/dddd (donde el tercer y cuarto dígitos = el mes de nacimiento 1-12)
Para las mujeres: dddddd/dddd (donde tercer y cuarto dígito = al mes de nacimiento 1-12 + 50)
Las personas nacidas antes de 1954 no tienen dígito de suma de comprobación
Dinamarca
Número de identificación personal (CPR o número de identificación fiscal)
Fecha de nacimiento + un número de serie secuencial donde el primer dígito denota el siglo de nacimiento. Los dos pueden estar separados por un guión, espacio o nada. dddddd-dddd
Eslovaquia
Número de nacimiento (RC) o número personal: se usa para el número de identificación fiscal dddddddddd (fecha de nacimiento + número de identificación de cuatro dígitos, siendo el último una suma de comprobación que no siempre está presente)
Para los hombres: dddddd/dddd (donde mm = el mes de nacimiento 1-12) Para las mujeres: dddddd/dddd (donde mm = al mes de nacimiento 1-12 + 50)
Eslovenia
Número de identificación personal (EMSO) 13 dígitos ddddddd50dddd cumpleaños + 50 + serie de tres dígitos para género y suma de comprobación
España Número de Identificación Fiscal (NIF)
Se expide un DNI a los nacionales españoles y se requiere después de los 14 años de edad y en el se detalla el nombre y apellidos del titular, fecha de nacimiento, dirección, padres, sexo, dirección residencial, ciudad y provincia de nacimiento y un número de identificación conocido como Número de identificación fiscal (NIF) o Número DNI. Este es el mismo número de identificación utilizado para el TIN. Formato: ddddddddla.
Las siguientes palabras clave deben estar dentro de los 10 términos del Nombre de la persona y 10 términos del identificador:
Número de identificación fiscal (TIN) Para los ciudadanos españoles, el NIF es el número proporcionado en el Documento Nacional de Identidad (DNI). Los TIN también se pueden proporcionar a aquellos sin DNI si lo solicitan. Los no residentes reciben un Número de Identificación Extranjera (NIE) que sirve como su TIN a menos que no se emita un NIE
Explicación del formato Tipo de residente:
Nacional español con DNI: ddddddddl
8 dígitos + 1 letra
Españoles no residentes sin DNI: Ldddddddl
L + 7 dígitos + 1 letra
Españoles residentes menores de 14 años sin DNI: X o Y o Z: Kdddddddddl
K + 7 dígitos + 1 letra
Extranjeros con NIE: dddddddl
X/Y/Z + 7 dígitos + 1 letra
Extranjeros sin NIE: Mdddddddl
M + 7 dígitos + 1 letra
Estonia
Código de identificación personal (IK) (utilizado para el número de identificación fiscal)
11 dígitos que indican la fecha de nacimiento y el sexo del individuo
Formato: ddddddddddd
El primer dígito muestra el sexo y el siglo de nacimiento (número impar masculino, número par femenino, 1-2 siglo 19, 3-4 siglo 20, 5-6 siglo 21),
Finlandia
Código de identidad personal (HETU) o número de seguro social o número de identificación fiscal
Fecha de nacimiento + símbolo del siglo (7º chracter) + número de serie de 3 dígitos + carácter de suma de comprobación
Formato: dddddd+dddd
Símbolos del siglo (7º carácter): + (1800–1899), – (1900–1999), o A (2000–2099).
Los números de serie son impares para los hombres y pares para las mujeres
Emitido a ciudadanos naturales, residentes permanentes (1+ año)
Se puede imprimir en licencia de conducir, pasaporte, documento nacional de identidad o documento de identidad electrónico
Francia
Documento Nacional de Identidad (CNI) 12 dígitos: dddddddddddd Las siguientes palabras clave deben estar dentro de los 10 términos del Nombre de la persona y 10 términos del identificador:
Grecia
Número de Seguro Social (AMKA)
11 dígitos donde los primeros seis dígitos son la fecha de nacimiento dddddddddddddd
Hungría
Número de identificación personal 11 dígitos: dígito de código de género + fecha de nacimiento + número de serie de tres dígitos + suma de comprobación dddddddddd
El dígito del código de género es un número del 1 al 8 que denota el género, si el residente es un ciudadano natural o extranjero, y si nació antes / después de 1900 o antes / después de 1999
Irlanda
Número Personal de Servicio Público (Número PPS) o Número de Identificación Fiscal
Siete dígitos + un carácter de suma de comprobación + a veces un segundo carácter dddddddl
Italia
Código Fiscal: documento nacional de identidad emitido a los ciudadanos al nacer (también utilizado como número de identificación fiscal) Formato: ll dd l dd l ddd l donde los espacios son opcionales 16 caracteres separados en grupos de:
6 letras- Las tres primeras representan las 3 primeras consonantes del apellido y las segundas 3 son la primera, tercera y cuarta consonantes del primer nombre 2 dígitos- año de nacimiento 1 letra: letra del mes de nacimiento (las letras de la A a E, H, L, M, P, R a T se usan alfabéticamente en orden de los meses) 2 dígitos: día de nacimiento y sexo (+40 para mujeres) 1 letra + 3 dígitos: código de área de nacimiento o código de país para países extranjeros 1 letra- suma de comprobación
Letonia
Código Personal (Personas kods o PIC) o número de identificación fiscal 11 dígitos en el formulario dddddd-ddddd donde el guión es opcional Fecha de nacimiento + siglo de nacimiento (0 para XIX, 1 para XX y 2 para XXI) + número de serie de nacimiento de tres dígitos + dígito de suma de verificación.
Lituania
Código personal (Asmens kodas) (utilizado para el número de identificación fiscal) 11 dígitos ddddddddddd Género y siglo de nacimiento y cumpleaños y número de serie de tres dígitos y dígito de suma de comprobación El primer dígito muestra tanto el género de la persona (impar si es hombre, incluso si es mujer) como el siglo de nacimiento calculado
Luxemburgo
Número de registro nacional (estructura similar al TIN) Residentes naturales: 11 dígitos y suma de comprobación ddddddddddd
Malta
Número de identificación fiscal (TIN) – utilizado como número de documento de identidad para ciudadanos malteses Nacionales malteses: ddddddd de siete dígitos + una letra (M, G, A, P, L, H, B o Z) Ciudadanos no malteses: ddddddddd de nueve dígitos Impreso en pasaportes y tarjetas de identidad
Países Bajos
Número de identificación fiscal (TIN) Los TIN se informan como una identificación en documentos oficiales como pasaportes, licencias de conducir y tarjetas de identificación.
Nueve dígitos ddddddddd y separados en grupos de 3 por guiones, puntos, espacios o sin separación.
Polonia
Número de identificación nacional PESEL-Polonia Identificador numérico de 11 dígitos inscrito en el Sistema Electrónico Común de Registro de Población Se aplica a residentes permanentes o temporales o aquellos que solicitan identificación o pasaporte que no realizan actividades comerciales y, por lo tanto, no están registrados para impuestos. Se puede encontrar en pasaportes y tarjetas de identificación
Portugal Tarjeta de ciudadano (CC) – emitida a todos los ciudadanos 12 dígitos ddddddddddxxd o dddddddd-dxxd
Rumania
Código numérico personal (CNP) (utilizado como número de identificación fiscal) Número de 13 dígitos que comprendía de: sexo y siglo de nacimiento (1-7 impares para hombres, 2-8 pares para mujeres y 9 representa ciudadanos extranjeros) y fecha de nacimiento y zona del país (dos dígitos, 01 a 52 o 99) y número de serie de tres dígitos y un número de suma de comprobación Formato: ddddddddddddd
Suecia
Número de identidad personal (PIN, Personnummer): se utiliza para el número de identificación fiscal 10 o 12 dígitos AAMMDD-NNGC o CCYYMMDD-nngc: fecha de nacimiento (puede incluir el siglo como primeros 2 dígitos) + dos números únicos + género (par para las mujeres, impar para los hombres) + dígito de suma de comprobación
La fecha de nacimiento y los dígitos están delineados por un «-» si es menor de 100 años, o «+» si es mayor de 100 años de edad.
Disclaimer:
A pesar de que en el trabajo de investigción he tratado de identificar los documentos nacionales de identidad y cuando no me ha sido posible, otros documentos como el carné de conducir y el pasaporte, no se puede descartar que esta relación contenga algún error.
Por ello agradeceré cualquier comentario a quienes conozcan mejor los documentos de un determinado pais , tanto en el sentido de confirmar la información como de corregirla
Podéis contactar en la sección de comentarios de los artículos de este blog, por twitter o por email (ver «Acerca de Julián Inza«).
Las TSL (TrustService status List) son listas de servicios de confianza cualificados expedidas por los organismos emisores (Operadores del Esquema) de cada uno de los países miembro de la Unión Europea (en conexión con los Organismos Supervisores, y frecuentemente formando parte de ellos) y son necesarias para establecer las cadenas de confianza de los certificados cualificados (y otros servicios de confianza), en el contexto del Reglamento EIDAS. Son ficheros codificados en XML (lo que optimiza su tratamiento automatizado) aunque se generan versiones en PDF para facilitar su lectura por los seres humanos.
La lista de servicios de confianza cualificados debe estar firmada digitalmente por el «Scheme operator name» (Denominación del Operador del Esquema) para garantizar su autenticidad e integridad.
El formato de la firma digital debe ser XAdES BES o EPES, tal como se define en la norma ETSI TS 101 903. El algoritmo de firma y la clave del certificado deben permitir su uso durante un mínimo de 3 años, tal como se especifica en la siguiente tabla de ETSI TS 119 312:
El certificado del TLSO (Trust List Scheme Operator, en español Operador del Esquema de la Lista de Confianza), debe firmar electrónicamente la lista y de la validez de esta firma electrónica depende la validez de la lista del país. Esto implica incluir el certificado del firmante en la firma.
Para ello se debe utilizar el elemento de XML ds:KeyInfo, que solo deberá contener el certificado del Operador del Esquema y no deberá contener ningún otro certificado que forme ningún tipo de cadena de certificados asociada.
El certificado del Operador del Esquema deberá ajustarse a las siguientes restricciones:
El emisor del certificado podrá ser el propio TLSO (en este caso se trataría de un certificado autofirmado) o un servicio de confianza TSP (Trust Service Provider) que figure en la TL (Trusted List) o en una de las TL que forma parte de la misma comunidad (opción descrita en el apartado 5.3.9 de la norma ETSI TS 119 612 citada).
Los campos «Country code» (código de país) y «Organization» (organización) del Subject Distinguished Name (nombre distinguido del sujeto) deberán coincidir, respectivamente, con el «Scheme Territory» y uno de los valores de «Scheme operator name». Para este último, el valor en inglés del Reino Unido (preferido) o en el idioma local (transliterado a escritura latina), según esté disponible.
Cabe indicar que el certificado no es el correcto, especialmente si se tiene en cuenta que es el certificado del organismo designado para supervisar el sector de los servicios de confianza.
La indicada, es la denominación del organismo supervisor en la legislatura anterior.
En efecto, el Real Decreto 2/2020, de 12 de enero, por el que se reestructuran los departamentos ministeriales, establece en su artículo 16
Artículo 16. Ministerio de Asuntos Económicos y Transformación Digital.
1. Corresponde al Ministerio de Asuntos Económicos y Transformación Digital la propuesta y ejecución de la política del Gobierno en materia económica y de reformas para la mejora de la competitividad, las telecomunicaciones y la sociedad de la información.
2. Asimismo corresponde a este Ministerio la propuesta y ejecución de la política del Gobierno para la transformación digital y el desarrollo y fomento de la inteligencia artificial.
3. Este Ministerio se estructura en los siguientes órganos superiores:
a) La Secretaría de Estado de Economía y Apoyo a la Empresa.
b) La Secretaría de Estado de Digitalización e Inteligencia Artificial.
c) La Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales.
Posteriormente el Real Decreto 403/2020, de 25 de febrero, por el que se desarrolla la estructura orgánica básica del Ministerio de Asuntos Económicos y Transformación Digital desarrolla en su Artículo 8 la composición de la Secretaría de Estado de Digitalización e Inteligencia Artificial.
c) La Subdirección General para la Sociedad Digital, a la que corresponden las funciones a las que se refieren los párrafos m), n), ñ), o) y p) del apartado 1.
Es decir:
m) La supervisión, impulso y coordinación de iniciativas para la garantía del derecho a la confianza y seguridad digital, y en especial a la protección de los menores y colectivos vulnerables, así como la regulación en materia de ciberseguridad de los servicios digitales, en colaboración con otros órganos u organismos con competencias en la materia, así como con los sectores económicos y sociales públicos y privados afectados.
n) La elaboración y propuesta de normativa en materia de servicios digitales y sus prestadores, en particular sobre identificación electrónica y servicios electrónicos de confianza, comercio electrónico y nombres de dominio de Internet.
ñ) La elaboración de normativa, en colaboración con otros departamentos, referente a la regulación de las plataformas digitales, entre otras, la relativa a la privacidad y protección de la información, así como a la garantía de equidad y respeto a los derechos digitales de usuarios y empresas.
o) El ejercicio de las facultades de supervisión, control, inspección y sanción en materia de la sociedad digital, de conformidad con la legislación aplicable, incluyendo la gestión de la lista de prestadores de servicios de confianza cualificados
p) La participación en comisiones, grupos de trabajo y otros foros de carácter internacional o nacional, tanto públicos como privados, en materia de sociedad digital, así como el seguimiento y participación en iniciativas y foros relacionados con la Gobernanza de Internet.
Esa norma se publicó en el «BOE» núm. 50, de 27 de febrero de 2020. Por tanto el certificado debería haberse actualizado al día siguiente. Un certificado autofirmado se realiza en 10 minutos, especialmente si se cuenta con el fichero de configuración de Open-SSL de la emisión anterior. Pon 10 días entre que se piensa y se planifica. Y algo más para comunicar a los administradores de la EUTL.
Es decir han transcurrido 975 días (31 meses) y el organismo que supervisa a los emisores de certificados no ha sido capaz de crear un certificado adecuado en el que el firmante sea quien dice ser.
La Ley 6/2020 recoge en su Artículo 6 (sobre «Identidad y atributos de los titulares de certificados cualificados.»
La identidad del titular en los certificados cualificados se consignará de la siguiente forma:
En el supuesto de certificados de firma electrónica y de autenticación de sitio web expedidos a personas físicas, por su nombre y apellidos y su número de Documento Nacional de Identidad, número de identidad de extranjero o número de identificación fiscal, o a través de un pseudónimo que conste como tal de manera inequívoca. Los números anteriores podrán sustituirse por otro código o número identificativo únicamente en caso de que el titular carezca de todos ellos por causa lícita, siempre que le identifique de forma unívoca y permanente en el tiempo.
En el supuesto de certificados de sello electrónico y de autenticación de sitio web expedidos a personas jurídicas, por su denominación o razón social y su número de identificación fiscal. En defecto de este, deberá indicarse otro código identificativo que le identifique de forma unívoca y permanente en el tiempo, tal como se recoja en los registros oficiales.
Si los certificados admiten una relación de representación incluirán la identidad de la persona física o jurídica representada en las formas previstas en el apartado anterior, así como una indicación del documento, público si resulta exigible, que acredite de forma fehaciente las facultades del firmante para actuar en nombre de la persona o entidad a la que represente y, en caso de ser obligatoria la inscripción, de los datos registrales.
Sin embargo, el Reglamento europeo EIDAS, establece en el Artículo 4 (sobre el «Principio del mercado interior»
No se impondrá restricción alguna a la prestación de servicios de confianza en el territorio de un Estado miembro por un prestador de servicios de confianza establecido en otro Estado miembro por razones que entren en los ámbitos cubiertos por el presente Reglamento.
Se permitirá la libre circulación en el mercado interior de los productos y servicios de confianza que se ajusten al presente Reglamento.
Por tanto, la normativa española estaría imponiendo una restricción a la prestación de servicios de confianza que excede a lo que prevé el Reglamento Europeo y restringiendo opciones a los prestadores de servicios de confianza españoles. Lo cual está expresamente prohibido por el Reglamento UE nº 910/2014, que, por cierto, es una norma de rango superior a la Ley 6/2020 española.
Prueba de que la intención del legislador europeo es la de definir diferentes mecanismos de numeración es que el Anexo I (sobre «REQUISITOS DE LOS CERTIFICADOS CUALIFICADOS DE FIRMA ELECTRÓNICA») indica:
Los certificados cualificados de firma electrónica contendrán:
a) una indicación, al menos en un formato adecuado para el procesamiento automático, de que el certificado ha sido expedido como certificado cualificado de firma electrónica;
b) un conjunto de datos que represente inequívocamente al prestador cualificado de servicios de confianza que expide los certificados cualificados, incluyendo como mínimo el Estado miembro en el que dicho prestador está establecido, y
— para personas jurídicas: el nombre y, cuando proceda, el número de registro según consten en los registros oficiales,
— para personas físicas, el nombre de la persona;
c) al menos el nombre del firmante o un seudónimo; si se usara un seudónimo, se indicará claramente;
d) datos de validación de la firma electrónica que correspondan a los datos de creación de la firma electrónica;
e) los datos relativos al inicio y final del período de validez del certificado;
f) el código de identidad del certificado, que debe ser único para el prestador cualificado de servicios de confianza;
g) la firma electrónica avanzada o el sello electrónico avanzado del prestador de servicios de confianza expedidor;
h) el lugar en que está disponible gratuitamente el certificado que respalda la firma electrónica avanzada o el sello electrónico avanzado a que se hace referencia en la letra g);
i) la localización de los servicios que pueden utilizarse para consultar el estado de validez del certificado cualificado;
j) cuando los datos de creación de firma electrónica relacionados con los datos de validación de firma electrónica se encuentren en un dispositivo cualificado de creación de firma electrónica, una indicación adecuada de esto, al menos en una forma apta para el procesamiento automático.
Es decir, es el Prestador el que define la forma de codificar el código de identidad del certificado.
En el mismo sentido se establece el principio recogido en el considerando 54:
La interoperabilidad y el reconocimiento transfronterizos de los certificados cualificados es un requisito previo para el reconocimiento transfronterizo de las firmas electrónicas cualificadas. Por consiguiente, los certificados cualificados no deben estar sometidos a ningún requisito obligatorio que exceda de los requisitos establecidos en el presente Reglamento. No obstante, en el plano nacional debe permitirse la inclusión de atributos específicos, por ejemplo identificadores únicos, en los certificados cualificados, a condición de que tales atributos específicos no comprometan la interoperabilidad y el reconocimiento transfronterizos de los certificados y las firmas electrónicas cualificados.
Y, en el plano técnico, la interoperabilidad se resuelve haciendo uso del estándar europeo destinado para ello, la norma ETSI EN 319 412-1 Y en esta norma se ve (apartado «5.1.3 Natural person semantics identifier») que son varias las posibilidades de codificar números de identidad, que no se limitan a recoger el número de DNI:
The semantics of id-etsi-qcs-SemanticsId-Natural shall be as follows.
When the natural person semantics identifier is included, any present serialNumber attribute in the subject field shall contain information using the following structure in the presented order:
3 character natural person identity type reference;
2 character ISO 3166-1 [2] country code;
hyphen-minus «-» (0x2D (ASCII), U+002D (UTF-8)); and
identifier (according to country and identity type reference).
The three initial characters shall have one of the following defined values:
«PAS» for identification based on passport number.
«IDC» for identification based on national identity card number.
«PNO» for identification based on (national) personal number (national civic registration number).
«TAX» for identification based on a personal tax reference number issued by a national tax authority. Thisvalue is deprecated. The value «TIN» should be used instead.
Two characters according to local definition within the specified country and name registration authority, identifying a national scheme that is considered appropriate for national and European level, followed by the character «:» (colon).
Other initial character sequences are reserved for future amendments of the present document.
EXAMPLES: "PASSK-P3000180", "IDCBE-590082394654" and "EI:SE-200007292386".
When a locally defined identity type reference is provided (two characters followed by «:»), the nameRegistrationAuthorities element of SemanticsInformation (IETF RFC 3739) shall be present and shall contain at least a uniformResourceIdentifiergeneralName. The two letter identity type reference preceding the «:» character shall be unique within the context of the specified uniformResourceIdentifier.
Por tanto, dada la posibilidad de hacer constar otros números de identificación de la persona física a criterio del Prestador de Servicios de Certificación y la limitación impuesta a los estados miembro que les prohíbe legislar en lo que ya legisla el Reglamento EIDAS, no sería obligatorio hacer constar el número de DNI.
Todo es electrónico 