Archivo de la categoría: Identificación remota

Grupo de Expertos de la Comisión sobre identificación electrónica y procesos de Diligencia Debida de Identificación a distancia – E03571


Este Grupo de Expertos de la Comisión Europea tenía la siguiente denominación en Inglés: Commission expert group on electronic identification and remote Know-Your-Customer processes – E03571.

Tuve el honor de ser uno de los Expertos de este Grupo, representando a la AUI y el de participar en los trabajos que se desarrollaron entre 2018 y 2019.

Este grupo de expertos lo convocaron forma conjunta 3 direcciones generales de la Comisión Europea:

  • CNECT – DG Communications Networks, Content and Technology  (Redes de Comunicaciones, Contenidos y Tecnología)
  • FISMA – DG Financial Stability, Financial Services and Capital Markets Union (Estabilidad Financiera, Servicios Financieros y Unión de los Mercados de Capitales)
  • JUST – DG Justice and Consumers (Justicia y Consumidores)

El 14 de diciembre de 2017, se adoptó la Decisión C(2017) 8405 final de la Comisión, de 14.12.2017, por la que se creaba el grupo de expertos de la Comisión sobre identificación electrónica y procesos remotos «Conozca a su cliente».

A partir de la primavera de 2018, el grupo de expertos (E03571) exploró las formas de facilitar el uso transfronterizo de la identificación electrónica (eID) y la extensión de las normas bancarias de Debida Diligencia de identificación de clientes (KYC) basada en herramientas de identificación y las de identificación y autenticación bajo eIDAS, Reglamento UE n.º 910/2014, para permitir a las instituciones financieras identificar digitalmente a los clientes con fines de incorporación.

El grupo estaba compuesto por 36 miembros entre reguladores, supervisores, expertos en identidad, entidades financieras implicadas en el cumplimiento de la Directiva contra el blanqueo de capitales, así como organizaciones de consumidores.

21 miembros del grupo procedían de las estructuras consultivas existentes (eIDAS, lucha contra el blanqueo de capitales y Comité Mixto de la AES), mientras que las 15 plazas restantes procedían de candidaturas de instituciones financieras y organizaciones de consumidores.

De España participaban dos personas, D. Julián Inza en representación de la AUI (Asociación de Usuarios de Internet) y D. Félix J. Pérez-Campos, Inspector del Sepblac.

Se crearon 2 Grupos de Trabajo:

  • Grupo 1 – Estudio sobre las soluciones de on-boarding a distancia existentes en el sector bancario. Se analizaron 25 normativas europeas de identificación del cliente en contexto de lucha contra el blanqueo de capitales a distancia. Se contemplaron más de 50 procesos de identificación a distancia en 10 países. Se definió una taxonomía que clasificaba los procesos en 7 categorías de experiencia de usuario, denominadas en este contexto “Onboarding Customer Journey· (recorridos de embarque) típicos de alto valor.
  • Grupo 2 – Marco para soluciones KYC/CDD reutilizables, en particular en el sector bancario. Se definió un Conjunto mínimo de atributos a efectos de DDC (Debida Diligencia de Clientes) en el sector bancario y nivel adecuado de garantía (LoA) según eIDAS (alto, sustancial y bajo)

Se incluyen a continuación los informes generados por los dos grupos de trabajo.

Grupo 1

Informe sobre soluciones de identificación remota en el sector bancario

Grupo 2

Estructuraa de datos a gestionar en los procesos de identificación remota

Mientras se llevaban a cabo los trabajos de los dos grupos, la Comisión Europea publicó el documento Study on eID and digital onboarding: mapping and analysis of existing onboarding bank practices across the EU de gran interés:

Codificación de los números de identidad de los ciudadanos de la Unión Europea en los certificados


Uno de los problemas por el que las entidades públicas españolas no están cumpliendo la normativa EIDAS (y permitiendo a ciudadanos europeos con certificados cualificados acceder a los servicios de la administración electrónica) es porque no son capaces de reconocer los números de documento de identidad de los ciudadanos de otros países.

Está bastante claro el formato de los números del DNI y del NIE y casi todas las administraciones púbicas los entienden en los servicios activados por certificado que prestan vía web, pero no son capaces de identificar los números de pasaporte y los números de documentos de identidad de otros países.

En primer lugar hay que aclarar que en los certificados cualificados de persona física el campo «serial number» se estructura de la siguiente manera:

  • Prefijo de 3 caracteres que identifica el tipo de documento de identificación ;
  • Código de país según la norma ISO 3166-1 en su variante de 2 caracteres;
  • Un guión menos «-» (que se corresponde con el valor hexadecimal 0x2D en ASCII),
  • El número de identidad de la persona física según lo indicado en el prefijo inicial de 3 caracteres.

Los prefijos pueden ser:

  • «PAS» para la identificación basada en el número de pasaporte.
  • «IDC» para la identificación basada en el número del documento nacional de identidad.
  • «PNO» para la identificación basada en el número personal (nacional) (número de registro civil nacional).
  • «TAX» para la identificación basada en un número de referencia fiscal personal emitido por una autoridad fiscal nacional. Este valor valor está obsoleto. En su lugar debe utilizarse el valor «TIN»
  • «TIN» Número de Identificación Fiscal según la Comisión Europea – Unión Fiscal y Aduanera (https://ec.europa.eu/taxation_customs/tin/tinByCountry.html).
  • Dos caracteres según la definición local dentro del país especificado y la autoridad de registro del nombre, que identifiquen un régimen nacional que se considere apropiado a nivel nacional y europeo, seguidos del carácter «:» (dos puntos).

Los dos prefijos más habituales son IDC y PNO.

Esta información se define en la norma técnica EN 319 412-1.

Por paises, así se construye el número de identidad:

Alemania

Número de tarjeta de identificación personal
Tarjetas emitidas después de noviembre de 2010- ldddddddd
Emisiones de tarjetas desde abril de 1987 hasta octubre de 2010- ddddddddddn

Austria

No tengo identificada la tarjeta de identidad.

Número de pasaporte: l ddddddd (el espacio entre la letra y los siete dígitos es opcional)

Bélgica

No tengo identificada la tarjeta de identidad.

Número de licencia de conducir: 10 dígitos dddddddddddd

Número de pasaporte: Dos letras y seis dígitos lldddddd

Bulgaria

Número Civil Uniforme (EGN) (utilizado como Número de Identificación Fiscal)
Fecha de nacimiento (seis dígitos) + número de serie (tres dígitos) + número de suma de comprobación de 1 dígito dddddddddd

Croacia

11 dígitos aleatorizados con el último número como número de control y el HR no distingue entre mayúsculas y minúsculas ni es obligatorio.
HRddddddddddd

Chipre

No tengo identificada la tarjeta de identidad.

Pasaportes emitidos después del 13/12/2010- K + ocho dígitos Kdddddddd

República Checa

Número de nacimiento (utilizado como número de identificación fiscal)
En general, el formato es una fecha de nacimiento + número de serie + número de suma de comprobación con algunas especificaciones:

  • Para los hombres: dddddd/dddd (donde el tercer y cuarto dígitos = el mes de nacimiento 1-12)
  • Para las mujeres: dddddd/dddd (donde tercer y cuarto dígito = al mes de nacimiento 1-12 + 50)
  • Las personas nacidas antes de 1954 no tienen dígito de suma de comprobación

Dinamarca

Número de identificación personal (CPR o número de identificación fiscal)

Fecha de nacimiento + un número de serie secuencial donde el primer dígito denota el siglo de nacimiento. Los dos pueden estar separados por un guión, espacio o nada.
dddddd-dddd

Eslovaquia

Número de nacimiento (RC) o número personal: se usa para el número de identificación fiscal
dddddddddd (fecha de nacimiento + número de identificación de cuatro dígitos, siendo el último una suma de comprobación que no siempre está presente)

Para los hombres: dddddd/dddd (donde mm = el mes de nacimiento 1-12)
Para las mujeres: dddddd/dddd (donde mm = al mes de nacimiento 1-12 + 50)

Eslovenia

Número de identificación personal (EMSO)
13 dígitos
ddddddd50dddd
cumpleaños + 50 + serie de tres dígitos para género y suma de comprobación

España
Número de Identificación Fiscal (NIF)

Se expide un DNI a los nacionales españoles y se requiere después de los 14 años de edad y en el se detalla el nombre y apellidos del titular, fecha de nacimiento, dirección, padres, sexo, dirección residencial, ciudad y provincia de nacimiento y un número de identificación conocido como Número de identificación fiscal (NIF) o Número DNI. Este es el mismo número de identificación utilizado para el TIN.
Formato: ddddddddla.

Las siguientes palabras clave deben estar dentro de los 10 términos del Nombre de la persona y 10 términos del identificador:

Número de identificación fiscal (TIN)
Para los ciudadanos españoles, el NIF es el número proporcionado en el Documento Nacional de Identidad (DNI). Los TIN también se pueden proporcionar a aquellos sin DNI si lo solicitan.
Los no residentes reciben un Número de Identificación Extranjera (NIE) que sirve como su TIN a menos que no se emita un NIE

Explicación del formato Tipo de residente:

Nacional español con DNI: ddddddddl

8 dígitos + 1 letra

Españoles no residentes sin DNI: Ldddddddl

L + 7 dígitos + 1 letra

Españoles residentes menores de 14 años sin DNI: X o Y o Z: Kdddddddddl

K + 7 dígitos + 1 letra

Extranjeros con NIE: dddddddl

X/Y/Z + 7 dígitos + 1 letra

Extranjeros sin NIE: Mdddddddl

M + 7 dígitos + 1 letra

Estonia

Código de identificación personal (IK) (utilizado para el número de identificación fiscal)

11 dígitos que indican la fecha de nacimiento y el sexo del individuo

Formato: ddddddddddd

El primer dígito muestra el sexo y el siglo de nacimiento (número impar masculino, número par femenino, 1-2 siglo 19, 3-4 siglo 20, 5-6 siglo 21),

Finlandia

Código de identidad personal (HETU) o número de seguro social o número de identificación fiscal

Fecha de nacimiento + símbolo del siglo (7º chracter) + número de serie de 3 dígitos + carácter de suma de comprobación

Formato: dddddd+dddd

Símbolos del siglo (7º carácter): + (1800–1899), – (1900–1999), o A (2000–2099).

Los números de serie son impares para los hombres y pares para las mujeres

Emitido a ciudadanos naturales, residentes permanentes (1+ año)

Se puede imprimir en licencia de conducir, pasaporte, documento nacional de identidad o documento de identidad electrónico

Francia

Documento Nacional de Identidad (CNI)
12 dígitos: dddddddddddd
Las siguientes palabras clave deben estar dentro de los 10 términos del Nombre de la persona y 10 términos del identificador:

Grecia

Número de Seguro Social (AMKA)

11 dígitos donde los primeros seis dígitos son la fecha de nacimiento dddddddddddddd

Hungría

Número de identificación personal
11 dígitos: dígito de código de género + fecha de nacimiento + número de serie de tres dígitos + suma de comprobación dddddddddd

El dígito del código de género es un número del 1 al 8 que denota el género, si el residente es un ciudadano natural o extranjero, y si nació antes / después de 1900 o antes / después de 1999

Irlanda

Número Personal de Servicio Público (Número PPS) o Número de Identificación Fiscal

Siete dígitos + un carácter de suma de comprobación + a veces un segundo carácter
dddddddl

Italia

Código Fiscal: documento nacional de identidad emitido a los ciudadanos al nacer (también utilizado como número de identificación fiscal)
Formato:
ll dd l dd l ddd l donde los espacios son opcionales
16 caracteres separados en grupos de:

6 letras- Las tres primeras representan las 3 primeras consonantes del apellido y las segundas 3 son la primera, tercera y cuarta consonantes del primer nombre
2 dígitos- año de nacimiento
1 letra: letra del mes de nacimiento (las letras de la A a E, H, L, M, P, R a T se usan alfabéticamente en orden de los meses)
2 dígitos: día de nacimiento y sexo (+40 para mujeres)
1 letra + 3 dígitos: código de área de nacimiento o código de país para países extranjeros
1 letra- suma de comprobación

Letonia

Código Personal (Personas kods o PIC) o número de identificación fiscal
11 dígitos en el formulario dddddd-ddddd donde el guión es opcional
Fecha de nacimiento + siglo de nacimiento (0 para XIX, 1 para XX y 2 para XXI) + número de serie de nacimiento de tres dígitos + dígito de suma de verificación.

Lituania

Código personal (Asmens kodas) (utilizado para el número de identificación fiscal)
11 dígitos ddddddddddd
Género y siglo de nacimiento y cumpleaños y número de serie de tres dígitos y dígito de suma de comprobación
El primer dígito muestra tanto el género de la persona (impar si es hombre, incluso si es mujer) como el siglo de nacimiento calculado

Luxemburgo

Número de registro nacional (estructura similar al TIN)
Residentes naturales: 11 dígitos y suma de comprobación ddddddddddd

Malta

Número de identificación fiscal (TIN) – utilizado como número de documento de identidad para ciudadanos malteses
Nacionales malteses: ddddddd de siete dígitos + una letra (M, G, A, P, L, H, B o Z)
Ciudadanos no malteses: ddddddddd de nueve dígitos
Impreso en pasaportes y tarjetas de identidad

Países Bajos

Número de identificación fiscal (TIN)
Los TIN se informan como una identificación en documentos oficiales como pasaportes, licencias de conducir y tarjetas de identificación.

Nueve dígitos ddddddddd y separados en grupos de 3 por guiones, puntos, espacios o sin separación.

Polonia

Número de identificación nacional PESEL-Polonia
Identificador numérico de 11 dígitos inscrito en el Sistema Electrónico Común de Registro de Población
Se aplica a residentes permanentes o temporales o aquellos que solicitan identificación o pasaporte que no realizan actividades comerciales y, por lo tanto, no están registrados para impuestos.
Se puede encontrar en pasaportes y tarjetas de identificación

Portugal
Tarjeta de ciudadano (CC) – emitida a todos los ciudadanos
12 dígitos ddddddddddxxd o dddddddd-dxxd

Rumania

Código numérico personal (CNP) (utilizado como número de identificación fiscal)
Número de 13 dígitos que comprendía de: sexo y siglo de nacimiento (1-7 impares para hombres, 2-8 pares para mujeres y 9 representa ciudadanos extranjeros) y fecha de nacimiento y zona del país (dos dígitos, 01 a 52 o 99) y número de serie de tres dígitos y un número de suma de comprobación
Formato: ddddddddddddd

Suecia

Número de identidad personal (PIN, Personnummer): se utiliza para el número de identificación fiscal
10 o 12 dígitos AAMMDD-NNGC o CCYYMMDD-nngc: fecha de nacimiento (puede incluir el siglo como primeros 2 dígitos) + dos números únicos + género (par para las mujeres, impar para los hombres) + dígito de suma de comprobación

La fecha de nacimiento y los dígitos están delineados por un «-» si es menor de 100 años, o «+» si es mayor de 100 años de edad.

Disclaimer:

A pesar de que en el trabajo de investigción he tratado de identificar los documentos nacionales de identidad y cuando no me ha sido posible, otros documentos como el carné de conducir y el pasaporte, no se puede descartar que esta relación contenga algún error.

Por ello agradeceré cualquier comentario a quienes conozcan mejor los documentos de un determinado pais , tanto en el sentido de confirmar la información como de corregirla

Podéis contactar en la sección de comentarios de los artículos de este blog, por twitter o por email (ver «Acerca de Julián Inza«).

¿Cabe entender que la Orden ETD/465/2021 solo permite el «onboarding» con herramientas automatizadas de comprobación de identidad ?


Hay debates entre especialistas sobre si la Orden ETD/465/2021 solo permite el «onboarding» con herramientas de comprobación de identidad automatizadas.

Hay quién opina que no, ya que el Artículo 4 establece claramente 2 modalidades de identificación remota por vídeo:

El proceso de identificación remota por vídeo se podrá realizar de forma asistida, con la mediación síncrona de un operador, o de forma no asistida, sin necesidad de interacción en línea entre un operador y el solicitante, con revisión posterior de un operador.

Según esa definición en un proceso atendido por operador no se requeriría una herramienta del tipo de las utilizadas en entornos que favorecen la actuación automatizada.

Sin embargo, hay quien opina que se debe entender que en el proceso asistido o síncrono, el operador es parte activa del proceso pero la toma de decisión de la identificación es realizada a partir de la información suministrada por una herramienta.

Por lo tanto, esta herramienta debería incorporar los medios técnicos para validar los documentos de identificación y verificar la correspondencia del titular de este documento con el solicitante que realiza el proceso y para verificar que es una persona viva que no está siendo suplantada.

Es una idea un poco peregrina, pero quien opina esto hace mención a que el artículo 8 de la Orden ETD/465/2021 indica:

La identidad del solicitante se acreditará mediante los documentos de identidad previstos en la ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza. Los documentos de identidad utilizados deberán incluir una fotografía y disponer de características de seguridad automáticamente comprobables en el proceso de identificación remota por vídeo de forma que se garantice la detección de falsificaciones y manipulaciones.

El hecho de exigir a los documentos de identidad que cuenten con características de seguridad automáticamente comprobables es un requisito que excede lo que la Orden puede imponer, porque no puede ir más allá de lo que indica el artículo 7 de la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza. Dado que este artículo 7 indica «La identificación de la persona física que solicite un certificado cualificado exigirá su personación ante los encargados de verificarla y se acreditará mediante el Documento Nacional de Identidad…», si el documento Nacional de Identidad no tuviera características de seguridad automáticamente comprobables no por ello dejaría de ser obligatoria su comprobación.

Por otro lado, el que los documentos de identidad cuenten con características de seguridad automáticamente comprobables facilita el proceso realizado de forma no asistida pero no lo impone.

Este «disidente» opina que de la lectura del artículo 11 de la Orden ETD/465/2021 hay que deducir que «al no existir personación del solicitante, la herramienta debe proporcionar al operador una comparación automática entre la imagen del rostro extraído del documento de identidad y una imagen de la cara capturada por la herramienta. Esta comparación automática es independiente de la modalidad de identificación remota por vídeo realizada»

Sin embargo, contra ese criterio, otros opinan que el apartado 4 del artículo 11 de la orden indica:

a) Medidas procedimentales que hagan patente dicha manipulación con la introducción de un código único, aleatorio e impredecible y de un solo uso generado al efecto y remitido al solicitante. El código constará de un mínimo de seis caracteres o sistema con entropía equivalente. El prestador comprobará que el dispositivo móvil al que se remite el código se encuentra en posesión del usuario durante el proceso de identificación. El órgano supervisor podrá poner a disposición de los prestadores una plataforma tecnológica de verificación de la asociación del usuario con el dispositivo móvil.

b) En el caso de la identificación remota por vídeo asistida, medidas organizativas que hagan patente dicha manipulación a través de la interacción con el documento de identidad utilizado y con el solicitante, según las indicaciones del operador, a través de interacciones y actuaciones físicas que figurarán en un protocolo que incluirá acciones tanto comunes como aleatorias y diferenciadas.

c) En el caso de la identificación remota por vídeo no asistida, el sistema requerirá al solicitante la realización activa de interacciones y actuaciones físicas, que figurarán en un protocolo que incluirá acciones tanto comunes como aleatorias y diferenciadas.

Y que del texto cabe deducir que en el caso de la identificación remota por vídeo asistida, las medidas son organizativas.

El punto más controvertido del debate es la referencia al apartado 5 del artículo 12 de la Orden ETD/465/2021:

Se conservará, por un periodo mínimo de tiempo de quince años, el resultado automático de la verificación realizada por la aplicación, así como la evaluación y observaciones realizadas por el operador junto a su decisión de aprobación o rechazo de la identificación.

Nuestro amigo dice que esa mención implica que es obligatorio el uso de una aplicación para la verificación. Otros opinamos que es una opción que solo aplica cuando hay una aplicación de verificación pero no en los casos en los que no hay ninguna aplicación.

(Estamos aplazando un nuevo debate para considerar la norma ETSI TS 119 461)

Cartera IDUE = EUDI Wallet


El nuevo ecosistema que hay que desplegar para acoger el futuro mecanismo de Identidad Digital de la Unión Europea tendrá entre sus principales componentes una Cartera Digital (Cartera IDUE. Identidad Digital de la Unión Europea) desde la que se gestionarán certificados de firma electrónica, testimonios digitales de atributos (que podrán ser cualificados y no cualificados) y datos personales.

Los datos que se ceden estarán bajo el control de su titular que en un momento dado podrá retirar el permiso de acceso a sus datos que hubiera otorgado con anterioridad.

En la cartera (o más bien en el ecosistema creado alrededor de la cartera) quedará registrada cada cesión de datos y ¡por fin! existirá un mecanismos para tener constancia de todas las veces en las que se formula el consentimiento para que empresas y entidades hagan uso de nuestros datos, en un contexto en el que el Reglamento General de Protección de Datos da una pauta de nuestros derechos pero no aclara como ejercerlos de manera adecuada.

No necesitaremos una libreta para ir apuntando cada vez que nos piden permiso para tener nuestros datos y junto a la anotación la forma de ejercer frente a la entidad los derechos SOPLAR.

El documento que resume la funcionalidad de la Cartera IDUE y el futuro ecosistema lo ha elaborado el Grupo de Expertos EIDAS creado al efecto cuando se anunció la Propuesta de modificación del Reglamento EIDAS y la versión que existe ahora mismo es la de febrero de 2022. Se denomina «ARF» (European Digital Identity Architecture and Reference Framework – Outline).

Se anunció que el 30 de octubre de 2022 se publicaría una nueva versión, pero todavía no se ha publicado.

Seminario Internacional Reniec 2022


Hoy comienza a las 16:00 horas de España (y de Europa central) el Seminario Internacional Reniec 2022 con el lema «Identificación para un Perú Digital” en el que participo como ponente. Se extiende del 12 al 14 de julio de 2022 y tiene lugar de 09 a 13 horas, según huso horario de Perú (de 16:00 a 20:00 según horario de España).

Seminario Internacional RENIEC 2022

Este evento ha tenido lugar de forma presencial durante pasadas ediciones en Lima (Perú) y en esta ocasión el formato es «on line».

La inscripción es gratuita (ver formulario en la parte de abajo de la página).

El hashtag del eveneto será #SeminarioReniecDigital2022

El Seminario tiene como objetivo fortalecer los conocimientos previos, compartir las experiencias nacionales e internacionales y construir oportunidades para un intercambio efectivo de buenas prácticas en los temas de identificación y registros civiles.

El Seminario lo organiza el Registro Nacional de Identificación y Estado Civil (RENIEC) y el Banco Interamericano de Desarrollo (BID), y presenta conferencias y paneles. Comienza con una ceremonia inaugural.

Se tratarán diversos temas, “Avances del Sistema de Identificación en el Perú” a cargo de la Jefa Nacional de RENIEC, Carmen Velarde Koechlin, “Arquitecturas Organizacionales Sostenibles o Resilientes” a cargo de Juan Carlos Miranda, Manager Regional de Centro América y VP de Consultoría de Krüger Corporation, “El Valor de la Identificación para el Desarrollo de las Personas” a cargo de Bernard Norvant, “Integración de Sistemas de Registro Civil e Identificación” a cargo de Sharon Sinclair, Directora Nacional del Registro Civil del Tribunal Electoral de Panamá.

El día 13, se expondrá, “Identidad Digital y Estándares Internacionales” a cargo de Stephanie de Labriolle, Gerente de Asuntos Públicos y Relaciones Internacionales, Secure Identity Alliance, “Tecnologías de Identificación Emergentes / Experiencias de la Automatización para la Identificación” a cargo de Jose Luis Hernández, Especialista Senior de Gobierno Digital del Banco Interamericano de Desarrollo y Julián Inza, Consultor Internacional y Especialista en Nuevas Tecnologías, “Gobierno Digital en Países Lideres en Economía Digital” a cargo Jose Clastornik, Ex director general del Proyecto BID en OSCE.

El día 14 de julio se expondrán, “Servicios Digitales del Estado para Ciudadanos” a cargo del representante del Ministerio del Interior de Korea, “La Identificación Electronica como componente clave de la Digitalización de un país” a cargo de Erika Piirmets de Digital transformation adviser en e-Estonia Briefing Centre, “Gestión del Cambio y Transformación Cultural” a cargo de Gabriel Weinstein, “Organizaciones Agiles” a cargo de Jean Barroca, Consultor en Modernización Digital del Sector Publico en Deloite.

Expedición de certificados cualificados sin comparecencia presencial (a distancia)


El Reglamento UE 910/2014 establece en su artículo 24:

1.   Al expedir un certificado cualificado para un servicio de confianza, un prestador cualificado de servicios de confianza verificará, por los medios apropiados y de acuerdo con el Derecho nacional, la identidad y, si procede, cualquier atributo específico de la persona física o jurídica a la que se expide un certificado cualificado.

La información a que se refiere el párrafo primero será verificada por el prestador de servicios de confianza bien directamente o bien por medio de un tercero de conformidad con el Derecho nacional:

  1. en presencia de la persona física o de un representante autorizado de la persona jurídica, o
  2. a distancia, utilizando medios de identificación electrónica, para los cuales se haya garantizado la presencia de la persona física o de un representante autorizado de la persona jurídica previamente a la expedición del certificado cualificado, y que cumplan los requisitos establecidos con el artículo 8 con respecto a los niveles de seguridad «sustancial» o «alto», o
  3. por medio de un certificado de una firma electrónica cualificada o de un sello electrónico cualificado expedido de conformidad con la letra a) o b), o
  4. utilizando otros métodos de identificación reconocidos a escala nacional que aporten una seguridad equivalente en términos de fiabilidad a la presencia física. La seguridad equivalente será confirmada por un organismo de evaluación de la conformidad.

El apartado 24-1.b permite la identificación a través de una plataforma de gestión de identidad siempre que se hayan adoptado medidas de seguridad apropiadas. El Reglamento de Ejecución (UE) 2015/1502 de la Comisión de 8 de septiembre de 2015 orienta sobre los aspectos a cumplir.

Para el caso de la opción  24-1.d ya existe en España adecuada cobertura según la Ley 6/2020 (Artículo 7):

(…) 
Podrá prescindirse de la personación de la persona física que solicite un certificado cualificado si su firma en la solicitud de expedición de un certificado cualificado ha sido legitimada en presencia notarial. 
(…) 
2. Reglamentariamente, mediante Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital, se determinarán otras condiciones y requisitos técnicos de verificación de la identidad a distancia y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación como videoconferencia o vídeo-identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física según su evaluación por un organismo de evaluación de la conformidad. La determinación de dichas condiciones y requisitos técnicos se realizará a partir de los estándares que, en su caso, hayan sido determinados a nivel comunitario. 
Serán considerados métodos de identificación reconocidos a escala nacional, a los efectos de lo previsto en el presente apartado, aquellos que aporten una seguridad equivalente en términos de fiabilidad a la presencia física y cuya equivalencia en el nivel de seguridad sea certificada por un organismo de evaluación de la conformidad, de acuerdo con lo previsto en la normativa en materia de servicios electrónicos de confianza.

Este artículo da cobertura legal a la adopción de estas dos normas:

  • Orden ETD/465/2021, de 6 de mayo, por la que se regulan los métodos de identificación remota por vídeo para la expedición de certificados electrónicos cualificados. Normativa a cumplir para la identificación a distancia (videoconferencia y videoidentificación) y criterios de auditoría para permitir la evaluación de los sistemas que la implementan. Específica de España
  • ETSI TS 119 461 V1.1.1 (2021-07) – Policy and security requirements for trust service components providing identity proofing of trust service subjects. Para uso en toda la Unión Europea. Toca más casos de uso, no solo la videoidentificación remota .

Los CABs (Conformity Assessment Bodies) ya contemplan estas normas en sus auditorías.

Y es algo muy necesario como se pudo comprobar en la fase de confinamiento de la ciudadanía del primer semestre de 2020 provocado por la enfermedad COVID-19.

Proyecto de Orden sobre los métodos de identificación no presencial para la expedición de certificados electrónicos cualificados (OM Telepersonación)


El Reglamento (UE) nº 910/2014, del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE contempla en su artículo 24.1 d) la posibilidad de verificación de la identidad del solicitante de un certificado cualificado utilizando otros métodos de identificación reconocidos a escala nacional que garanticen una seguridad equivalente en términos de fiabilidad a la presencia física.

En España se ha ido consolidando la percepción de la urgencia de contar con una previsión legal para ello, de lo que ya se ha tratado en este blog en diferentes entradas:

El 4 de noviembre de 2020 el Ministerio de Asuntos Económicos y Transformación Digital remitió un correo electrónico a los prestadores de servicios de certificación y otras entidades interesadas informando sobre la tramitación de la nueva Orden sobre los métodos de identificación no presencial para la expedición de certificados electrónicos cualificados con objeto de desarrollar el artículo 13.6 de la Ley 59/2003, de 19 de diciembre, de firma electrónica, determinando las condiciones y requisitos técnicos aplicables a la verificación de la identidad y, si procede, otros atributos específicos de la persona solicitante de un certificado electrónico cualificado, mediante otros métodos de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física, tal y como prevé el artículo 24.1 d) del Reglamento (UE) 910/2014, del Parlamento y del Consejo, de 23 de julio, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE.

El correo electrónicio citado, de acuerdo con el artículo 26 de la Ley 50/1997, de 27 de noviembre, del Gobierno invitaba a participar en el proceso de audiencia pública recogido en el portal del Ministerio. con el escaso plazo de una semana que concluyó el 11 de noviembre de 2020.

Además del texto propuesto, se acompañaba al borrador de Orden Ministerial de Telepersonación, su Memoria de Anaálisis de Impacto Normativo:

Se incluye la copia local de los citados docuementos:

Orden Ministerial para favorecer la identificación a distancia en la expedición de certificados cualificados


Como ya se ha comentado en otras ocasiones en este blog, la identificación a distancia prevista en el apartado d) del artículo 24.1 del Reglamento EIDAS es esencial para lograr la generalización de la posesión y uso de certificados electrónicos, y de manera singular en tiempos de limitaciones de movilidad o indisponibilidad de los servicios presenciales de la administracion, como ha sucedido durante las fases de confinamiento por la pandemia COVID-19 y podría volver a suceder.

Pese a que ya existen diversas normas técnicas y legales que puede utilizar un CAB (Conformity Assessment Body) para valorar si un Prestador de Servicios Electrónicos de Confianza emplea métodos de identificación que aportan una seguridad equivalente en términos de fiabilidad a la presencia física, el hecho de que existiera una norma específicamente diseñada para ello, constituiría una ayuda inestimable, especialmente en cuanto supone una presunción del cumplimiento de la equivalencia de métodos de identificación.

En las semanas pasadas se han ido produciendo diferentes desarrollos legales que animan a pensar que finalmente se publicará en España una norma para ello, posiblemente una Orden Ministerial.

El 28 de febrero de 2020 se inició en el Congreso el trámite parlamentario necesario para la publicación de la futura «Ley reguladora de determinados aspectos de los servicios electrónicos de confianza». En el borrador de la norma remitido al Congreso, el artículo 7.2 indicaba:

Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital se determinarán las condiciones y requisitos técnicos aplicables a la verificación de la identidad y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física.

El texto que pasó al senado reflejaba una enmienda:

Reglamentariamente podrán determinarse otras condiciones y requisitos técnicos de verificación de la identidad a distancia y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física según su evaluación por un organismo de evaluación de la conformidad. La determinación de dichas condiciones y requisitos técnicos se realizará a partir de los estándares que, en su caso, hayan sido determinados a nivel comunitario.

Serán considerados métodos de identificación reconocidos a escala nacional, a los efectos de lo previsto en el presente apartado, aquellos que aporten una seguridad equivalente en términos de fiabilidad a la presencia física y cuya equivalencia en el nivel de seguridad sea certificada por un organismo de evaluación de la conformidad, así como aquellos que se habiliten o se hayan habilitado, por organismos competentes, en cualquier otro ámbito de nuestro ordenamiento jurídico, a los efectos de llevar a cabo una identificación no presencial por medios electrónicos o telemáticos. En especial, serán válidos, a los efectos de la comprobación de la identidad de los solicitantes de un certificado cualificado, los procedimientos autorizados para la identificación no presencial mediante videoconferencia o mediante video-identificación en el ámbito de la Prevención de Blanqueo de Capitales, de acuerdo con sus últimas estipulaciones.

Aunque el término «Reglamentariamente» puede interpretarse en el sentido de «dictar cuantas disposiciones sean precisas para su desarrollo», hay opiniones que inducen a pensar que pudiera ser necesario un Real Decreto para ello, de gestión más compleya y larga que una orden Ministerial.

Por ello, podría ser conveniente modificar el texto en el trámite en el Senado para sustituir «Reglamentariamente» por «Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital» para volver al espíritu de la Orden Ministerial.

Anticipándose a la finalización del proceso del trámite parlamentario de la «Ley reguladora de determinados aspectos de los servicios electrónicos de confianza», que todavía puede requerir algunos meses, se publicó una modificación de la Ley 59/2003 que permitiría la Orden Ministerial, en el Real Decreto-ley 27/2020, de 4 de agosto.

Disposición final cuarta. Modificación de la Ley 59/2003, de 19 de diciembre, de firma electrónica.

Se añade un nuevo apartado 6 al artículo 13 de la Ley 59/2003, de 19 de diciembre, de firma electrónica, con el siguiente tenor:

«6. Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital se determinarán las condiciones y requisitos técnicos aplicables a la verificación de la identidad y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física.»

Sin embargo, la Resolución de 10 de septiembre de 2020, del Congreso de los Diputados, por la que se ordena la publicación del Acuerdo de derogación del Real Decreto-ley 27/2020, de 4 de agosto, de medidas financieras, de carácter extraordinario y urgente, aplicables a las entidades locales dejó sin efecto dicha modificación.

Más recientemente, con la publicación del Real Decreto-ley 28/2020, de 22 de septiembre, de trabajo a distancia se ha incluido una nueva disposición que deja clara la determinación de publicar la Orden Ministerial

Disposición final quinta. Modificación de la Ley 59/2003, de 19 de diciembre, de firma electrónica.

Se añade un nuevo apartado 6 al artículo 13 de la Ley 59/2003, de 19 de diciembre, de firma electrónica, con el siguiente tenor:

«6. Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital se determinarán las condiciones y requisitos técnicos aplicables a la verificación de la identidad y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física.»

Actualización. En el BOE de 14 de mayo de 2021. Orden ETD/465/2021, de 6 de mayo, por la que se regulan los métodos de identificación remota por vídeo para la expedición de certificados electrónicos cualificados.

¿debe admitirse la expedición de certificados cualificados mediante la identificación del firmante por telepersonación?


Entre noviembre y diciembre de 2016 la Subdirección General de Servicios de la Sociedad de la Información, encuadrada en la Secretaría de Estado para la Sociedad de la Información y la Agenda Digital, del Ministerio de Energía, Turismo y Agenda Digital llevó a cabo una consulta pública sobre la adaptación del Ordenamiento jurídico español al Reglamento (UE) 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE.

Tras la consulta se publicó un resumen cualitativo con las respuestas recibidas.

La Pregunta 2 de la consulta era: en relación con el artículo 24.1 d), ¿debe admitirse la expedición de certificados cualificados mediante la identificación del firmante mediante telepersonación? En caso afirmativo, ¿cómo propondría que se verificase que este medio de identificación ofrece una seguridad equivalente en términos de fiabilidad, a la identificación mediante personación?

Según el citado resumen («Respuestas-anteproyecto-Ley-Servicios-Confianza«) la mayoría de los participantes coinciden en la admisión de métodos alternativos a la personación para identificar a los solicitantes de certificados cualificados y la gran mayoría coinciden en proponer al menos el sistema previsto por el SEPBLAC o una solución conforme a la norma ETSI EN 319 411-2.

Por aquellas fechas, el SEPBLAC autorizó adicionalmente los sistemas de videoidentificación para su entrada en vigor el 1 de enero de 2017.

Pese al consenso respecto a la adopción en el ámbito de la identificación remota para la expedición de certificados cualificados definidos en el Reglamento UE nº 910/2014 (EIDAS) de los sistemas de identificación autorizados por el SEPBLAC,  desde el año 2016 no se ha producido ningún avance en la admisión de estos métodos por el Organismo Supervisor español.

Hasta que en el contexto de la pandemia COVID-19 se publicó el Real Decreto-ley 11/2020, de 31 de marzo, por el que se adoptan medidas urgentes complementarias en el ámbito social y económico para hacer frente al COVID-19.

La imposibilidad de personación ante las RAs de los Prestadores de Servicios de Certificación (especialmente ante la Agencia Tributaria, una de las principales redes de RA de la FNMT) estaba dificultando la obtención de certificados electrónicos con los que realizar trámites frente a las administraciones públicas en un momento en el que se tramitaban ERTES y se debían gestionar otros muchos trámites urgentes.

Después de tantos años, después de que en muchos países que aplican el EIDAS esté perfectamente normalizado la obtención de certificados de forma remota, en España esta opción no estaba admitida en la práctica.

En el citado Real Decreto-ley se incluye la disposición adicional undécima que autoriza transitoriamente la videoconferencia:

Durante la vigencia del estado de alarma, decretado por el Real Decreto 463/2020, de 14 de marzo, se permitirá la expedición de certificados electrónicos cualificados de acuerdo con lo previsto en el artículo 24.1.d) del Reglamento (UE) 910/2014, de 23 de julio, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior. A tal efecto, el organismo supervisor aceptará aquellos métodos de identificación por videoconferencia basados en los procedimientos autorizados por el Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias o reconocidos para la expedición de certificados cualificados por otro Estado miembro de la Unión Europea. La equivalencia en el nivel de seguridad será certificada por un organismo de evaluación de la conformidad. Los certificados así emitidos serán revocados por el prestador de servicios al finalizar el estado de alarma, y su uso se limitará exclusivamente a las relaciones entre el titular y las Administraciones públicas.

Esta disposición coincide en el tiempo con el trámite parlamentario del Proyecto de Ley reguladora de determinados aspectos de los servicios electrónicos de confianza.

En estos momentos hay dos documentos publicados en la página web del Congreso de los Diputados en relación con este procedimiento legislativo:

  • BOCG. Congreso de los Diputados Núm. A-4-1 de 28/02/2020 Pág.: 1
    Iniciativa     texto íntegro     (PDF)
  • BOCG. Congreso de los Diputados Núm. A-4-2 de 30/04/2020 Pág.: 1
    Enmiendas e índice de enmiendas al articulado     texto íntegro     (PDF)

Afortunadamente hay algunas propuestas de enmiendas que tratan del asunto de la identificación a distancia previa a la expedición de certificados cualificados:

El Grupo Parlamentario Plural con la enmienda 17 propone modificar el apartado 2 del artículo 7 sugiriendo el siguiente texto:

Artículo 7. Comprobación de la identidad y otras circunstancias de los solicitantes de un certificado cualificado.

«2. Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital Reglamentariamente se determinarán las condiciones y requisitos técnicos aplicables a la verificación de la identidad y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física. La determinación de dichas condiciones y requisitos técnicos se realizará a partir de los estándares que, en su caso, hayan sido determinados a nivel comunitario

JUSTIFICACIÓN

El artículo 24 de ReIdAS establece que «Al expedir un certificado cualificado para un servicio de confianza, un prestador cualificado de servicios de confianza verificará, por los medios apropiados y de acuerdo con el Derecho nacional, la identidad y, si procede, cualquier atributo específico de la persona física o jurídica a la que se expide un certificado cualificado», por lo que estamos de acuerdo con los artículos 6 y 7.

La fase de identificación es la base sobre la que se asienta la prestación de servicios de confianza en general, certificación en particular. En los últimos años están surgiendo algunas cuestiones sobre aspectos relacionados con esta, tanto en lo referente a la operativa (identificación telemática o por videoconferencia) como a la demostración de atributos específicos (como la representación, ya tratado en el artículo el punto 3 del artículo 7).

El punto 2 del artículo establece que «Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital se determinarán las condiciones y requisitos aplicables a la verificación de la identidad y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificados mediante otros medios de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física».

Si el objetivo de ReIdAS era el de garantizar la validez de los Servicios de confianza, en especial la de los certificados de firma, no tiene mucho sentido que estos criterios técnicos aplicables a la verificación de la identidad sean aprobados de forma unilateral por orden ministerial. Pensamos que dichas condiciones y requisitos deberían ser establecidas por otros estamentos a nivel europeo.

Por otra parte, nos gustaría que se estableciera algún tipo de procedimiento para hacer propuestas, o que hubiera algún tipo de vía de colaboración con los diferentes prestadores de servicios para estudiar las alternativas y las novedades existentes.

 

El Grupo Parlamentario Popular con la enmienda 37 propone modificar el apartado 2 del artículo 7 sugiriendo el siguiente texto:

«2. Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital podrán determinarse otras condiciones y requisitos técnicos de identificación a distancia que faciliten la adopción de dichos métodos y su evaluación de conformidad.

Igualmente, serán considerados métodos de identificación reconocidos a escala nacional, que aporten una seguridad equivalente en términos de fiabilidad a la presencia física, aquellos que se habiliten o se hayan habilitado, por Organismos Competentes, en cualquier otro ámbito de nuestro ordenamiento jurídico a los efectos de llevar a cabo una identificación por medios electrónicos y, en especial, la regulada en el ámbito de la prevención del Prevención de Blanqueo de Capitales

JUSTIFICACIÓN

La posibilidad de identificar a distancia las personas físicas está contemplada en el Reglamento eIDAS (art. 24.1.b) y no aceptar dicha posibilidad restringe el mercado de los prestadores españoles frente a prestadores de la UE que lo permiten ya.

De manera similar a todos los Estados Miembros, España ya tiene regulación reconocida a escala nacional que prevé la posibilidad de realizar identificación remota. Esta regulación está desarrollada en múltiples sectores (sujetos obligados) incluyendo el sector financiero, coordinada por el SEPBLAC en España y define requisitos técnicos y operacionales en nuestro marco regulatorio en la línea de lo que se ha definido en otros países europeos.

La utilización de una orden ministerial que regule aspectos adicionales, como información a incluir en el certificado, puede ser recomendable, pero la duplicación de regulación no es solo ineficiente, sino que puede dar lugar a problemas de inconsistencia entre el mercado financiero y los servicios de confianza incrementando la exposición al riesgo de usuarios y consumidores que no tendrán una experiencia de uso consistente y no detectarán tempranamente una implementación fraudulenta.

Existen numerosos ámbitos dentro de nuestro ordenamiento jurídico en que el distintos Organismos Públicos han aprobado o deberán aprobar normas, circulares y/o recomendaciones que habiliten mecanismo de identificación electrónica que tengan eficacia equivalente a la identificación de manera física. Por tanto, la Ley de Servicios de Confianza debería dar reconocimiento a todos estos sistemas.

Confiemos en que estas enmiendas se acepten y la identificación a distancia para la expedición de certificados cualificados quede consolidada en nuestro ordenamiento jurídico.

 

Nuevas opciones de identificación a distancia para prestadores de servicios de certificación.


El artículo 24 del Reglamento eIDAS (Reglamento UE nº 910/2014) define varias formas en las que los prestadores de servicios de certificación pueden identificar a sus clientes solicitantes de certificado.  En su apartado 1 se indica:

1. Al expedir un certificado cualificado para un servicio de confianza, un prestador cualificado de servicios de confianza verificará, por los medios apropiados y de acuerdo con el Derecho nacional, la identidad y, si procede, cualquier atributo específico de la persona física o jurídica a la que se expide un certificado cualificado.

La información a que se refiere el párrafo primero será verificada por el prestador de servicios de confianza bien directamente o bien por medio de un tercero de conformidad con el Derecho nacional.

a) en presencia de la persona física o de un representante autorizado de la persona jurídica, o

b) a distancia, utilizando medios de identificación electrónica, para los cuales se haya garantizado la presencia de la persona física o de un representante autorizado de la persona jurídica previamente a la expedición del certificado cualificado, y que cumplan los requisitos establecidos con el artículo 8 con respecto a los niveles de seguridad «sustancial» o «alto», o

c) por medio de un certificado de una firma electrónica cualificada o de un sello electrónico cualificado expedido de conformidad con la letra a) o b), o

d) utilizando otros métodos de identificación reconocidos a escala nacional que aporten una seguridad equivalente en términos de fiabilidad a la presencia física. La seguridad equivalente será confirmada por un organismo de evaluación de la conformidad.

Hoy se ha conocido que la Agencia Tributaria equipara un video selfie a otras modalidades de identificación (entre las que se incluyen la identificación por certificado) para permitir el cambio del número de teléfono móvil asociado a la identificación con sistema Cl@ve gestionada por la propia Agencia Tributaria y que es posible usar en todas las administraciones públicas:

Registro Cl@ve

En el epígrafe «Modificación del teléfono aportando vídeo y documentación relacionada» se indica:

Avisos

  • Mediante este trámite puede modificar el teléfono móvil asociado a su registro en Cl@ve aportando la información relacionada, que incluye un vídeo utilizado para contrastar su identidad.
  • Puede obtener más información sobre este trámite pinchando aquí
  • En la documentación deberá presentar:
  • Copia del DNI/NIE por las dos caras.
  • En el caso de los NIE, copia de la primera hoja del pasaporte.
  • Copia de la última factura del nuevo teléfono móvil que quiere dar de alta en Cl@ve, en la que se visualice dicho número. No es necesario que se vean otros datos personales (números de IBAN) ni de consumo.
  • Video autorretrato grabado por el solicitante (tipo video selfie) de máximo un minuto de duración en el que se muestre el DNI/NIE por las dos caras y donde el solicitante debe dar esta información:
    • Nombre y apellidos.
    • DNI/NIE.
    • Trámite que quiere realizar.
    • Número de teléfono que quiere registrar.
    • Puede usar esta frase a modo de guion:
      «Me llamo XXXX YYYY ZZZ, mi DNI es el 00000000 y quiero modificar el número de teléfono de mi registro en Cl@ve. El nuevo número es el 66666666» al tiempo que muestra el DNI/NIE por las dos caras.
      El video debe realizarse en una sola toma y sin cortes, en condiciones de luz que permitan identificar claramente al solicitante.

Esto es una gran noticia para los prestadores de servicios de certificación que, además de los procedimientos autorizados por el SEPBLAC podrán adoptar la posibilidad de admitir «Video autorretratos grabados por los solicitantes» tal como lo describe la Agencia Tributaria.

Tenemos, pues, un nuevo método de identificación reconocido a escala nacional de los que recoge el Reglamento Europeo EIDAS.