Archivo de la categoría: Identidad Digital

Segunda directiva de servicios de pago (PSD2) y Regulatory Technical Standards


La DIRECTIVA (UE) 2015/2366 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 25 de noviembre de 2015 sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) no 1093/2010 y se deroga la Directiva 2007/64/CE se publicó el Diario Oficial de la Unión Europea el 23 de diciembre de 2015. Deberá ser recogida por las leyes nacionales de los paises miembros de la UE a más tardar el 13 de enero de 2018.

Independiza la gestión de los servicios de pago de la titularidad de la cuenta, de forma que el cliente de varias entidades financieras podría utilizar un proveedor único para consolidar la información de todas sus cuentas bancarias y para iniciar operaciones, por ejemplo transferencias.

Estos proveedores especiales que acceden a las cuentas para obtener información y para realizar transferencias se denominan prestadores o proveedores de servicios de pago y deben adoptar prudentes medidas de seguridad, en especial para garantizar la debida autenticación de los usuarios. Además, deben contar con un adecuado mecanismo de notificación de incidentes de seguridad a a los supervisores  y a los usuarios.

Los servicios de pago previstos son:

  1. Servicios que permiten el depósito de efectivo en una cuenta de pago y todas las operaciones necesarias para la gestión de una cuenta de pago.
  2. Servicios que permiten la retirada de efectivo de una cuenta de pago y todas las operaciones necesarias para la gestión de una cuenta de pago.
  3. Ejecución de operaciones de pago, incluida la transferencia de fondos, a través de una cuenta de pago en el proveedor de servicios de pago del usuario u otro proveedor de servicios de pago: a) ejecución de adeudos domiciliados, incluidos los adeudos domiciliados no recurrentes, b) ejecución de operaciones de pago mediante tarjeta de pago o dispositivo similar, c) ejecución de transferencias, incluidas las órdenes permanentes.
  4. Ejecución de operaciones de pago cuando los fondos estén cubiertos por una línea de crédito abierta para un usuario de servicios de pago: a) ejecución de adeudos domiciliados, incluidos los adeudos domiciliados no recurrentes, b) ejecución de operaciones de pago mediante tarjeta de pago o dispositivo similar, c) ejecución de transferencias, incluidas las órdenes permanentes.
  5. Emisión de instrumentos de pago y/o adquisición de operaciones de pago.
  6. Envío de dinero.
  7. Servicios de iniciación de pagos.
  8. Servicios de información sobre cuentas.

Las entidades que se constituyan para prestar servicios de pagos deberán cumplir ciertos requisitos de capital en su constitución:  si la entidad de pago solo pretende prestar el servicio de pago del punto 6,  su capital  inicial deberá ser mayor de 20.000 EUR; si la entidad de pago solo pretende prestar el servicio de pago del punto 7, su capital inicial  deberá ser mayor de 50.000 EUR; si la entidad de pago pretende prestar cualquiera de los servicios de pago a que se refieren los puntos 1 a 5, su capital inicial deberá ser mayor de 125.000 EUR. Solo la prestación de Servicios de información sobre cuentas no impone requisitos especiales de capital inicial a las entidades que los presten.

Sin embargo, más importante que el importe de capital inicial son los fondos propios. Uno de los métodos de cálculo de fondos propios mínimos indicados en la directiva para las entidades de pago exige que superen el 10 % de sus gastos generales del año anterior o de los previstos en su plan de negocios, en caso de que no superen el año de actividad.

Para que la actividad de los nuevos prestadores de servicios de pago pueda desarrollarse sin fricciones de interoperabilidad es necesario que se estabilicen las normas técnicas impulsadas por la Autoridad Bancaria Europea (EBA European Banking Authority) “Regulatory Technical Standards“, en particular sobre los aspectos de “strong customer authentication” y “secure communication”

Sin embargo, los borradores publicados por la EBA se han visto como restrictivos con la competencia, en particular respecto a los nuevos modelos de negocio que pretende impulsar la Directiva 2015/2366.

En noviembre de 2016 los eurodiputados a cargo de la negociación con la EBA expresaron su preocupación por el hecho de que los proyectos de normas presentados por la Autoridad Bancaria Europea (EBA) para apoyar la innovación en el mercado de pagos serían restrictivos a los nuevos modelos de negocio.

En agosto de 2016, la EBA propuso los borradores de nuevas normas técnicas de reglamentación (RTS, Regulatory Technical Standards) sobre la autenticación fuerte de los clientes como parte de su mandato de establecer tales normas bajo la nueva Directiva de Servicios de Pagos (PSD2).

Estos RTS incluyen la “autenticación fuerte del cliente” que se deberán usar cuando sea necesario acceder a cuentas de pago en línea, o iniciar una operación de pago electrónico o “realizar cualquier acción a través de un canal remoto que pueda implicar un riesgo de fraude de pago u otros abusos”.

También se aplican a los casos en que los pagos se inician a través de proveedores de servicios de iniciación de pagos (PISP, payment initiation service providers) o cuando los titulares de cuentas solicitan información sobre sus cuentas a través de un proveedor de servicios de información de cuentas (AISP, account information service provider ).

En el borrador de la norma, la EBA establece que los PSP deberían tener la libertad de decidir si se habilitan los pagos o el acceso a la cuenta a través de una “interfaz dedicada”, que sería una interfaz común para el uso de la industria en su totalidad o a través de su propia interfaz de banca electrónica, lo cual implicará que los agregadores de información y los iniciadores de pagos tendrían que ir una por una adaptando las interficies a los requisitos de cada entidad financiera (desvirtuando el propósito de los RTS).

Sin embargo, en una carta a la EBA en nombre del Parlamento Europeo, los eurodiputados Markus Ferber y Antonio Tajani le transmitieron que “el equipo de negociación del Prlamento Europeo apoya el acceso directo por parte de los proveedores de servicios de iniciación de pagos (PISP, payment initiation service providers ) y de los de servicios de información de cuenta (AISP, account information service providers) a la cuenta del ordenante, sin que el proveedor de servicios de pago de cuentas (ASPSP, account servicing payment service provider) exija que utilice un modelo de negocio determinado para la prestación de su servicio, ya se base en el acceso directo o en el indirecto.

Feber y Tajani expresaron su preocupación de que permitir el empleo de una “interfaz dedicada” implica el riesgo de dar a los ASPSP la posibilidad de excluir o limitar el acceso directo a la cuenta del ordenante a través de las instalaciones bancarias en línea preexistentes.

Esta opción  sería contraria al principio establecido en la Directiva, que impone a la EBAel desarrollo de las RTS con el fin de asegurar y mantener una competencia leal entre todos los proveedores de servicios de pago y garantizar la neutralidad de la tecnología y los modelos de negocio.

Feber y Tajani dejaron claro que el Parlamento Europeo quiere que la EBA se asegure de que los PISP y los AISP puedan obtener acceso directo a cuentas a través de todas las interfaces orientadas al cliente proporcionadas por los ASPSP en todo momento.

La EBA también debe asegurar que los ASPSPs siguen rigurosamente las reglas impuestas por la Directiva PSD2 para permitir a los PISPs y a los AISPs el acceso seguro a las cuentas cuando dichas entidades usan las interfaces propias de los ASPSPs.

El pasado 23 de febrero de 2017 la Autoridad Bancaria Europea (EBA) publicó su borrador final de Normas Técnicas de Reglamentación (RTS) sobre la autenticación fuerte de los clientes y la comunicación común y segura. Estas RTS, establecidas en virtud de la Directiva sobre servicios de pago revisada (PSD2) y desarrolladas en estrecha cooperación con el Banco Central Europeo (BCE).

Draft Regulatory Technical Standards on Strong Customer Authentication and common and secure communication under Article 98 of Directive 2015/2366 (PSD2)

La EBA recibió 224 respuestas a su documento de consulta, en el que se plantearon más de 300 consideraciones o solicitudes de aclaraciones. En la tabla de comentarios publicada como parte de la RTS, la EBA ha resumido cada uno de ellos y ha proporcionado su evaluación sobre si se han realizado cambios en la RTS como resultado de tales consideraciones.

En particular, una de las principales preocupaciones tratadas en este proyecto final de RTS se refiere a las exenciones de la aplicación de la autenticación fuerte de los clientes en función del nivel de riesgo que implica el servicio prestado; la cantidad y recurrencia de la transacción; y el canal de pago utilizado para la ejecución de la transacción. A este respecto, la ABE ha introducido dos nuevas exenciones: una basada en el análisis de riesgo de transacción basada en niveles definidos de fraude y la otra en pagos en las denominadas «terminales sin vigilancia» para las tarifas de transporte o estacionamiento. La exención sobre el análisis del riesgo de transacción está vinculada a un nivel predefinido de fraude y está sujeta a una cláusula de revisión de 18 meses después de la fecha de solicitud de la RTS.

Además, la ABE ha aumentado también el umbral de las transacciones de pago a distancia de 10 a 30 euros y ha suprimido las referencias anteriores a la norma ISO 27001 ya otras características específicas de la autenticación fuerte de los clientes para garantizar la neutralidad tecnológica de la RTS y para facilitar futuras innovaciones.

Con respecto a la comunicación entre proveedores de servicios de pago de cuentas (ASPSP), proveedores de servicios de información de cuentas (AISP) y proveedores de servicios de iniciación de pagos (PISPs), la ABE ha decidido mantener la obligación de que los ASPSP ofrezcan al menos una interfaz para AISPs y PISP para acceder a la información de la cuenta de pago. Esto está vinculado al hecho de que el PSD2 ya no permite el acceso de terceros sin identificación (a veces denominado “simulación de usuario” o, en inglés”screen scraping”) una vez transcurrido el período de transición previsto en el PSD2 para la aplicación de las Normas Técnicas Regulatorias  Regulatory Technical Standards.

La Directiva PSD2 establece que las RTS se aplicarán 18 meses después de su adopción por la Comisión de la UE como un acto delegado, por lo que es preciso que estas RTS se referencien oficialmente en una norma publicada en el Diario Oficial de la Unión Europea.

En el desarrollo de las tecnologías de Strong Customer Authentication claramente juegan un rol relevante los Prestadores de Servicios Electrónicos de Confianza que como EADTrust (European Agency of Digital Trust) aplican lo previsto en el Reglamento EIDAS.

 

 

PSEC: Prestadores de Servicios Electrónicos de Confianza Registrados en el marco de #eIdAS


La denominación “Prestador de Servicios Electrónicos de Confianza” (PSEC) creada al amparo del recientemente vigente Reglamento UE Nº 910/2014, deja obsoletas las denominaciones anteriores:

Los nuevos Prestadores de Servicios Electrónicos de Confianza se clasifican en tres niveles:

  1. Servicios cualificados electrónicos de confianza, registrados en el registro de PSEC de la SETSI (no pueden existir servicios electrónicos de confianza cualificados no registrados).
  2. Servicios electrónicos de confianza no cualificados, registrados en el registro de PSEC de la SETSI.
  3. Servicios electrónicos de confianza no cualificados y no registrados en el registro de PSEC de la SETSI.

Los Prestadores Cualificados de Servicios Electrónicos de Confianza  son supervisados por los Organismos de Supervisión.  En España, el organismo de supervisión es la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información (SETSI), del Ministerio de Industria, Energía y Turismo (Minetur).

Los prestadores cualificados de servicios electrónicos de confianza deben ser auditados, al menos cada 24 meses, por un organismo de evaluación de conformidad (Conformity Assessment Body). La finalidad de la auditoría es confirmar que tanto los prestadores cualificados de servicios electrónicos de confianza como los servicios electrónicos de confianza cualificados que prestan cumplen los requisitos establecidos en el Reglamento (UE) 910/2014.

Los prestadores cualificados de servicios electrónicos de confianza deben enviar el informe de evaluación de la conformidad correspondiente al organismo de supervisión en el plazo de tres días hábiles tras su recepción.

Los Prestadores de Servicios Electrónicos de Confianza Registrados  suponen una categoría especial en cuanto a la supervisión de los servicios por la SETSI, ya que que prestan o bien  servicios que no tienen la condición de servicio de confianza cualificado, o bien servicios que no encajan en las definiciones de servicio de confianza según el Reglamento (UE) 910/2014.

Por la cualidad de servicios Notificados a la SETSI (y por tanto, incluidos en el Registro de Prestadores), su información se  publica en la página web del Ministerio de Industria, Energía y Turismo, aunque el Ministerio de Industria, Energía y Turismo no comprueba la alineación de los correspondientes servicios a la legislación aplicable en materia de servicios de confianza antes de su publicación.

Los Prestadores Registrados pueden recibir apercibimientos y solicitudes de información de la SETSI, si esta recibe algún tipo de queja por parte de los usuarios de los servicios de confianza implicados.

Algunos servicios, como los de Digitalización Certificada, no suelen notificarse a la SETSI, por lo que cabría considerarlos como No Registrados, y por tanto, fuera del ámbito de actuación del organismo supervisor.

¿Qué puede pasar si un banco no comprueba la firma en una solicitud de trasferencia?


Puede pasar, por ejemplo, que el banco deba pagar 117.000 € a su cliente por no comprobar su firma en la solicitud de trasferencia, según se desprende de una sentencia del Tribunal Supremo en la que  condena a la entidad que recibió un fax con la firma falsificada del titular de la cuenta y siguió sus instrucciones de realizar una transferencia desde su cuenta sin hacer ninguna verificación de que la solictud procedía de su cliente.

La Sala Civil del Tribunal Supremo ha condenado a una entidad española a devolver 117.249,25 euros a un cliente por realizar una transferencia a su nombre sin comprobar la autenticidad de la firma del fax que recibió y en el que se ordenaba la operación. Alguien había imitado la firma en ese documento, pero la entidad no hizo las oportunas comprobaciones.

Ocurrió en diciembre de 2005 en una sucursal de la entidad en Madrid, donde se recibió un fax aparentemente suscrito por un cliente de esta sucursal ordenando una transferencia a favor de la sociedad Servicios Inmobiliarios R. por 117.000 euros.

El fax, sin membrete alguno, no aportaba datos de identificación del ordenante (número de pasaporte o de documento nacional de identidad). También contenía inexactitudes en el nombre del beneficiario y de su número de cuenta, que fueron corregidas por la propia entidad porque la sociedad inmobiliaria era también cliente suya.

Pese a todo, el banco realizó la operación, detrayendo la cantidad indicada en el fax de la cuenta corriente del cliente.

El Supremo ha condenado a la entidad financiera a devolver al cliente la cantidad transferida indebidamente, más los intereses legales, al considerar que no desplegó toda la diligencia profesional exigible a una entidad bancaria en sus deberes de gestión y custodia de una cuenta corriente. Para el tribunal, el banco debió al menos llamar por teléfono a su cliente para cerciorarse de la veracidad de la orden de transferencia.

En una sentencia de la que ha sido ponente Francisco Javier Orduña, la Sala subraya que, en este caso, la comprobación de la firma por parte del banco resultaba especialmente necesaria no sólo porque el Código de Comercio impone al comisionista el deber de consultar al comitente “en lo no previsto y prescrito expresamente”, sino también por las circunstancias que se dieron. El banco sabía que el titular de la cuenta sólo efectuaba ingresos y no retiraba fondos; la transferencia fue ordenada por un medio no habitual, como es el fax, y presentaba “claras irregularidades” en el nombre del beneficiario y en su número de cuenta, además de no aportar los datos de identificación del ordenante.

El Supremo también ha tenido en cuenta que el contrato por el que se abrió la cuenta no contemplaba como medio de pago el fax.

El Juzgado de Primera Instancia dio la razón al cliente y sentenció que hubo negligencia por parte del banco. Él no consideró procedente practicar la prueba pericial caligráfica solicitada por el cliente al estimar que era imposible realizarla al tratarse de un fax del que sólo había copia.

El banco recurrió y la Audiencia Provincial de Madrid le dio la razón. El órgano de apelación consideró que la única forma de acreditar que la firma no correspondía al titular y que se había incumplido el contrato era haber practicado una pericial.

El cliente ha tenido que llegar hasta la Sala Civil del Tribunal Supremo para logar la devolución del dinero. El Supremo concluye que la Audiencia hacía recaer en él, indebidamente, la carga de probar la falsedad de la firma inserta en el fax.

La sentencia indica que es incorrecta y desproporcionada la imputación al cliente de los efectos negativos de la falta de la prueba, ya que él no tenía ninguna oportunidad de disponer y facilitar la prueba: aunque solicitó la pericial caligráfica, no tenía el original que era necesario para practicarla con garantías.

WISeKey adquiere el negocio de circuitos integrados para Internet de las cosas (IoT) de INSIDE Secure


WISeKey International Holding Ltd (“WISeKey”, con código de cotización bursátil SIX: WIHN), empresa líder en ciberseguridad anunció el pasado de 19 de mayo de 2016 su intención de adquirir el negocio de soluciones de semiconductores y circuitos integrados seguros para la Internet de las Cosas (Internet of Things, IoT) de INSIDE Secure (con código de cotización bursátil en Euronext Paris: INSD), líder en soluciones de seguridad incorporadas para dispositivos móviles y conectados.

La adquisición pretendida y la integración tecnológica creará la primera plataforma de ciberseguridad integral de confianza de extremo a extremo para personas y objetos (IoT). La oferta de ciberseguridad de WISeKey incluirá certificación basada en hardware y software, acreditación de sistemas, e incluso provisión de servicios gestionados.

El alcance de la transacción incluirá la transferencia de productos, tecnología, acuerdos con clientes y ciertas patentes. Más específicamente, incluirá la transferencia de activos relacionados con el desarrollo y la venta de circuitos integrados de seguridad para un mercado en rápido crecimiento como es el de la IoT y un equipo completo de Investigación y Desarrollo, Comercialización y Soporte. Las actividades de INSIDE Secure que se adquirirán para la IoT, soluciones contra la falsificación y protección de marcas, tarjetas de pago EMV y acceso seguro generó ingresos pro-forma (no auditados) por un valor de USD 33,6 millones en 2015. Se brindarán soluciones y soporte constantes a los clientes existentes de INSIDE Secure para los proyectos actuales y nuevos productos en desarrollo para asegurar al cliente una transición sin problemas.

Al cierre, WISeKey pagará una contraprestación en efectivo de CHF 2.000.000 (suma neta del efectivo transferido) y emitirá un bono de préstamos convertible en Acciones Clase B WISeKey por la suma de CHF 11.000.000. El bono de préstamo convertible tendrá un vencimiento de 9 meses, un cupón de 2% y se podrá convertir a opción de INSIDE Secure, después de un periodo de fidelización de 2 meses, en acciones Clase B WISeKey libremente comerciables. WISeKey tiene el derecho de canjear el bono de préstamo convertible, e INSIDE Secure puede solicitar el canje en efectivo por hasta 30 % del monto principal del bono de préstamo convertible.

Se espera que la ejecución de la acción y el acuerdo de compra de acciones ocurra al finalizar el proceso de información y consulta habitual a los comités laborales de INSIDE Secure en Francia y, además, esto está sujeto a la firma y a las condiciones de cierre habituales. Se prevé que la firma y el cierre de la adquisición ocurran en el tercer trimestre de 2016.

Creación de la primera plataforma de ciberseguridad integral de confianza de principio a fin para personas y objetos

Gracias a las soluciones de WISeKey, los dispositivos de la IoT podrán organizarse en redes de confianza basadas en la autenticación, confidencialidad e integridad de las transacciones. Esta plataforma de ciberseguridad de confianza solo aceptará los dispositivos de IoT que puedan brindar una identidad reconocida y asegurar la integridad de las comunicarse con dispositivos que formen parte de la comunidad de confianza.

Los chips seguros de INSIDE Secure constituyen un almacén hardware seguro,que albergarán la Raíz de Confianza (Root of Trust, RoT) criptográfica de WISeKey y los certificados digitales, con el nivel de certificación más alto para cifrar la comunicación y autenticar los dispositivos. Además, aprovecha la implementación masiva de la RoT de WISeKey que ahora está incorporada en más de 2,5 mil millones de dispositivos en todo el mundo que ya se benefician de estas capacidades criptográficas, permitiendo que pueda ser implementado en todo tipo de productos de la IoT.

Abordando el mercado en rápido crecimiento de la IoT

La capacidad de autenticar y manejar de forma remota millones de dispositivos y equipos en red y automatizados es ahora una necesidad generalizada −desde la planta de producción, pasando por la sala de cirugía de un hospital, hasta un centro residencial− todo, desde refrigeradores, relojes, objetos “ponibles”, hasta botellas de vino, se conectan y comunican a través de Internet.

Se espera que el mercado de la seguridad de la Internet de las Cosas crezca de $6,89 mil millones en 2015 a aproximadamente $29 mil millones hasta 2020, de acuerdo con un informe publicado por Markets and Markets, creciendo, por lo tanto, a una tasa anual de 35 % durante los próximos cinco años. Estos objetos masivamente implementados y conectados enfrentan ataques regulares, por lo tanto, generan una enorme demanda de soluciones de ciberseguridad de confianza, de principio a fin.

El Presidente y Director Ejecutivo de WISeKey, Carlos Moreira, comentó sobre la adquisición: “Con esta adquisición, los clientes pueden comprar soluciones de ciberseguridad de confianza de principio a fin en forma directa a WISeKey, integrando la personalización dentro de los Circuitos Integrados y con el más elevado nivel de certificación de seguridad. Como ejemplo, la RoT criptográfica de WISeKey combinada con la tecnología adquirida de INSIDE Secure permitirá a los dispositivos “de vestir” conectarse y realizar transacciones seguras, incluidos pagos on-line. La tecnología WISeKey permitirá que los dispositivos de la IoT sean autenticados con identidades digitales a través de una plataforma de confianza y/o de cadenas de bloques (blockchain) antes de acordar la comunicación. Creo que una plataforma de ciberseguridad de confianza de principio a fin permitirá un nivel óptimo de seguridad para desarrollar interacciones de manera segura en un mundo de personas y objetos conectados”.

ACXIT Capital Partners actúa como asesor financiero exclusivo para WISeKey y McDermott and Homburger actúan como asesores legales de WISeKey en esta transacción.

Acerca de WISeKey

WISeKey (SIX Swiss Exchange: WIHN) es una empresa líder en ciberseguridad y fue seleccionada como Empresa de Crecimiento Mundial por el Foro Económico Mundial. En la actualidad, WISeKey implementa ecosistemas de identidad digital de la Internet de las Cosas (IoT) a gran escala y es pionera del movimiento de la “4ta Revolución Industrial” lanzado este año en el Foro Económico Mundial de Davos. La Raíz de la Confianza (Root of Trust, RoT) sirve como un punto de confianza común, reconocida por el sistema operativo y las aplicaciones, para asegurar la autenticidad, confidencialidad e integridad de las transacciones en línea. Con la RoT criptográfica incorporada en el dispositivo, los fabricantes de productos de la IoT pueden usar certificados digitales como un servicio para asegurar las interacciones entre los objetos y entre los objetos y las personas. WISeKey ha patentado este proceso en EE. UU. y, actualmente, es utilizado por muchos proveedores de la IoT.

Acerca de INSIDE Secure

INSIDE Secure (Euronext Paris: FR0010291245 / INSD) proporciona soluciones de seguridad incorporada integrales. Empresas líderes mundiales confían en la seguridad móvil de INSIDE Secure y en las ofertas de transacciones seguras para proteger activos críticos incluidos dispositivos conectados, contenido, servicios, identidad y transacciones. La pericia en seguridad inigualable combinada con una gama integral de IP, semiconductores, software y servicios asociados brinda a los clientes de INSIDE Secure una fuente única de soluciones avanzadas y protección superior para las inversiones. Para más información, visite www.insidesecure.com

Exención de responsabilidad:

Este artículo procede de la nota de prensa publicada por Wisekey, por lo que contiene de manera implícita o expresa ciertas declaraciones anticipadas sobre WISeKey International Holding Ltd y sus negocios. Tales declaraciones implican determinados riesgos conocidos y desconocidos, incertidumbres y otros factores, que podrían provocar que los resultados reales, la condición financiera, el desempeño o los logros de WISeKey International Holding Ltd sean materialmente diferentes de cualquier resultado futuro, desempeño o logro expresado o implicado en tales declaraciones anticipadas. WISeKey International Holding Ltd brindó esta comunicación el 19 de mayo de 2016 y no se compromete a actualizar ninguna declaración anticipada contenida en el presente debido a nueva información, eventos futuros o razones similares.

Dicho comunicado de prensa no constituye una oferta para vender, o una solicitud de oferta para comprar, cualesquiera valores, y no constituye un folleto informativo dentro del marco del significado del artículo 652a o el artículo 1156 del Código de Obligaciones de Suiza o un folleto de oferta pública dentro del marco del significado de las reglas de ofertas públicas de la Bolsa suiza SIX Swiss Exchange. Los inversores deben confiar en su propia evaluación de WISeKey y sus valores, incluidos los méritos y riesgos implicados. Nada de lo expresado en el presente es, o deberá ser considerado, una promesa o declaración sobre el desempeño futuro de WISeKey.

El texto original en el idioma fuente de la nota de prensa es la versión oficial autorizada y de la que podría derivar, en su caso, responsabilidades en tanto que anuncios de empresas cotizadas sometidas a la supervisión de una entidad reguladora.

Videocallcenter para identificación de clientes


EADTrust ha puesto en marcha un servicio de Video Call Center para verificación de identidad de clientes como sistema complementario de sus servicios de gestión de autenticación.

La plataforma está diseñada con un mecanismo de refuerzo de gestión biométrica y con la posibilidad de capturar por video o fotografía asistida la información de documentos de identidad.

De momento es un centro reducido con formación específica en verificación de identidad que pensamos que interesará también a entidades Fintech que quieran disponer de un mecanismo de contratación a distancia más económico que el necesario para la contratación presencial.

Estos días están siendo muy activos ya que nos están pidiendo que presentemos el servicio en diferentes entidades financieras y de dinero electrónico gracias a la repercusión que ha tenido en diferentes medios de comunicación la autorización del SEPBLAC para utilizar sistemas de videoconferencia en contextos en los que se aplica el mandato “Know your customer” asociado a la normativa de lucha contra el blanqueo de dinero.

El SEPBLAC (Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias) organismo encargado de luchar contra el blanqueo de capitales autoriza desde el pasado 1 de marzo los procedimientos de identificación no presencial de clientes mediante videoconferencia, un trámite que resulta clave para las iniciativas de entidades financieras que no cuentan con una red presencial de relación.

La autorización al uso de las videoconferencias encaja dentro del Reglamento de la Ley 10/2010, de 28 de abril, de prevención del blanquero de capitales y de la financiación del terrorismo.

En nuestro caso, estos procedimiento se refuerzan con el empleo de la biometría, con la extracción de información de imágenes de documentos de identidad y con el empleo de técnicas de preservación de evidencias digitales gracias a que en el proyecto hemos participado varios partners.

Root ECC para la Internet de las cosas (IoT)


Desde el 5 de octubre de 2009 EADTrust ofrece una Jerarquía de Certificación (PKI Public Key Infraestructure) basada en certificados de curvas elípticas ESDSA. El certificado de la autoridad raíz ECC de EADTrust  solo ocupa 2K por lo que es especialmente adecuado para entornos de baja disponibilidad de memoria, sistemas embebidos y dispositivos orientados a la Internet de las cosas, y, entre ellos, dispositivos “de vestir”.

En este tipo de criptografía, los certificados son más compactos y las firmas electrónicas, también, por lo que añadir seguridad a los dispositivos no es especialmente costoso, en términos de potencia computacional o memoria.

En el uso de certificados para la IoT es posible generar certificados y claves por miles y personalizar los dispositivos a través de un número de serie o un valor de MAC address, de forma que con posterioridad se puede añadir información adicional al número de serie, como tipo de dispositivo, tipo y versión de software y funcionalidades activadas, mediante funciones de consulta a una extensión mochila que puede ir firmada por el propio dispositivo y respaldada en la nube en un servidor de consulta para permitir funciones de cifrado.

Las posibilidades son muy amplias y el coste de los certificados muy reducido en las cantidades que se manejan en este tipo de proyectos.

Algunos dispositivos como el Atmel ATECC508A o el Atmel ATECC108A ya incluyen funcionalidades de criptografía de curvas elípticas (ECC, Elliptic Curve Cryptography) que se pueden integrar en cualquier proyecto y que inclue además protección de clave por hardware.

La  root ECC de EADTrust implementa ECDH P-256Los protocolos de intercambio de claves Diffie-Hellman de curva elíptica (ECDH) forman parte de la “Suite B” licenciada por la National Security Agency (NSA)  y se documentan en el Instituto nacional de estándares y tecnología (NISTSpecial Publication 800-56A Revision 2 

Los certificados que se firman mediante el algoritmo de firma Digital (ECDSA) de curva elíptica pueden utilizarse como método de autenticación. Los equipos identificados mediante un certificado pueden incluir este certificado en las negociaciones IPsec con un equipo remoto. El equipo remoto confirma criptográficamente que el propietario del certificado es el que se lo envió. La firma de certificados en ECDSA está documentada en la publicación de las normas de procesamiento de información federal FIPS 186-2

Dispositivos como beacons, sensores, sistemas de monitorización, sistemas de apertura y cierres, grabadores de parámetros, evaluadores de salud de entornos integrados o sensores de stress de seres vivos son algunos usos de estos dspositivos,

Seminario sobre Ley 39/2015 y Reglamento UE 910/2014


El 1 de julio de 2016 entra en vigor la parte más relevante del Reglamento UE 910 2014. Poco después, el 2 de octubre de 2016 entra en vigor una parte muy significativa de la Ley 39/2015 (hay también aspectos relevantes, de implantación más costosa que cuentan con un plazo mayor: 2 de octubre de 2018).

Sin embargo, a pesar de que muchos aspectos del Reglamento Europeo se han tenido en cuenta en la Ley de Procedimiento Administrativo Común de las Administraciones Públicas (PACAP), otros no.

Por ejemplo lo referido a la firma electrónica de las personas jurídicas y de las entidades sin personalidad jurídica.

Dado que el citado Reglamento tiene un nivel de precedencia normativa superior a la Ley, puede ser útil identificar los aspectos más controvertidos para afrontar de forma correcta la adaptación.

Este seminario, que imparto a través de Atenea Interactiva en formato de formación “in-company” especialmente orientada a entidades del sector público lo voy enriqueciendo gracias a las dudas y a las aportaciones de los asistentes.

Estos son algunos de los aspectos tratados:

  • Identificación y autenticación. Nuevo contexto para trámites sin uso de la firma electrónica.
  • Interoperabilidad de la firma electrónica a nivel europeo.
  • Nuevas normas técnicas de identificación, firma electrónica, sello electrónico y otros servicios de confianza digital
  • Interacción con otras normas: Ley 18/2001, Ley 40/2015, Real Decreto Legislativo 3/2011.
  • Obligados. Nuevas obligaciones para personas jurídicas y ciertos colectivos profesionales.
  • Novedades en relación con el cómputo de plazos, y efecto en los plazos del Registro electrónico
  • Asistencia en el uso de medios electrónicos. Funcionarios habilitados
  • Uso de códigos seguros de veriicación. Sugerencia sobre CSV con informaicón de encaminamiento.
  • Sedes electrónicas y portales. Nuevo enfoque hacia la concentración de servicios en portales.
  • Copia auténtica de documentos y digitalización certificada. Gestión híbrida. Funcionarios habilitados
  • Archvo unificado
  • Poderes y representación. Nuevo poder “apud acta” electrónico. Retos para gestión de otorgamiento y revocación de poderes. Ideas para la implementación del registro elecrónico de poderes de representación. Otorgantes (representados) y apoderados (representantes).
  • Notificaciones. Retos de la notificación electrónica. Notificaciones por publicación en BOE.
  • Esquema Nacional de Interoperabilidad y Esquema Nacional de Seguridad.
  • Herramientas disponibles en el marco de la transferencia electrónica entre administraciones. Cl@ve, DIR3, DNIe 3.0 (NFC).
  • Nuevos retos: firma digtalizada, digitalización certificada, cotejo interoperable de documento en base a  CSV en sede electrónica diferente de la que lo expidió.

Pueden contactar con Atenea Interactiva en el 917160555 si desean que este seminario se imparta en su institución. Se imparte en una sola jornada, de 9:00 a 14:30. Preferiblemente los viernes.