Grupo de Expertos de la Comisión sobre identificación electrónica y procesos de Diligencia Debida de Identificación a distancia – E03571

Este Grupo de Expertos de la Comisión Europea tenía la siguiente denominación en Inglés: Commission expert group on electronic identification and remote Know-Your-Customer processes – E03571.

Tuve el honor de ser uno de los Expertos de este Grupo, representando a la AUI y el de participar en los trabajos que se desarrollaron entre 2018 y 2019.

Este grupo de expertos lo convocaron forma conjunta 3 direcciones generales de la Comisión Europea:

• CNECT – DG Communications Networks, Content and Technology  (Redes de Comunicaciones, Contenidos y Tecnología)
• FISMA – DG Financial Stability, Financial Services and Capital Markets Union (Estabilidad Financiera, Servicios Financieros y Unión de los Mercados de Capitales)
• JUST – DG Justice and Consumers (Justicia y Consumidores)

El 14 de diciembre de 2017, se adoptó la Decisión C(2017) 8405 final de la Comisión, de 14.12.2017, por la que se creaba el grupo de expertos de la Comisión sobre identificación electrónica y procesos remotos «Conozca a su cliente».

A partir de la primavera de 2018, el grupo de expertos (E03571) exploró las formas de facilitar el uso transfronterizo de la identificación electrónica (eID) y la extensión de las normas bancarias de Debida Diligencia de identificación de clientes (KYC) basada en herramientas de identificación y las de identificación y autenticación bajo eIDAS, Reglamento UE n.º 910/2014, para permitir a las instituciones financieras identificar digitalmente a los clientes con fines de incorporación.

El grupo estaba compuesto por 36 miembros entre reguladores, supervisores, expertos en identidad, entidades financieras implicadas en el cumplimiento de la Directiva contra el blanqueo de capitales, así como organizaciones de consumidores.

21 miembros del grupo procedían de las estructuras consultivas existentes (eIDAS, lucha contra el blanqueo de capitales y Comité Mixto de la AES), mientras que las 15 plazas restantes procedían de candidaturas de instituciones financieras y organizaciones de consumidores.

De España participaban dos personas, D. Julián Inza en representación de la AUI (Asociación de Usuarios de Internet) y D. Félix J. Pérez-Campos, Inspector del Sepblac.

Se crearon 2 Grupos de Trabajo:

• Grupo 1 – Estudio sobre las soluciones de on-boarding a distancia existentes en el sector bancario. Se analizaron 25 normativas europeas de identificación del cliente en contexto de lucha contra el blanqueo de capitales a distancia. Se contemplaron más de 50 procesos de identificación a distancia en 10 países. Se definió una taxonomía que clasificaba los procesos en 7 categorías de experiencia de usuario, denominadas en este contexto “Onboarding Customer Journey· (recorridos de embarque) típicos de alto valor.
• Grupo 2 – Marco para soluciones KYC/CDD reutilizables, en particular en el sector bancario. Se definió un Conjunto mínimo de atributos a efectos de DDC (Debida Diligencia de Clientes) en el sector bancario y nivel adecuado de garantía (LoA) según eIDAS (alto, sustancial y bajo)

Se incluyen a continuación los informes generados por los dos grupos de trabajo.

Grupo 1

Informe sobre soluciones de identificación remota en el sector bancario

published-ekyc-expert-group-report-on-existing-remote-on-boarding-solutions-in-the-banking-sector-december2019_enDescarga

Grupo 2

Estructuraa de datos a gestionar en los procesos de identificación remota

published-ekyc-expert-group-assessing-portable-kyc-cdd-solutions-in-the-banking-sector-december2019_enDescarga

Mientras se llevaban a cabo los trabajos de los dos grupos, la Comisión Europea publicó el documento Study on eID and digital onboarding: mapping and analysis of existing onboarding bank practices across the EU de gran interés:

study_on_eid_digital_onboarding_final_reportDescarga

Resuelto uno de los frenos a los certificados cualificados de PSD2

El CAB Forum ha aprobado una modificación del documento «Extended Validation Guidelines» para permitir incluir guiones en el campo organizationIdentifier (OID 2.5.4.97) de los certificados EV (Extended Validation), con lo que los certificados expedidos en el contexto de la norma ETSI TS 119 495 ya no serán incompatibles con las comprobaciones que realizan los navegadores. De esta forma se podrán expedir certificados QWAC compatibles con EV para entidades financieras y otras entidades que operan en aplicación de la Directiva (UE) 2015/2366 llamada Segunda Directiva de Pagos (PSD2).

La propuesta SC17 se ha aprobado con 23 votos favorables de entidades emisoras de certificados y 6 de las entidades desarrolladoras de navegadores (comprobadores de certificados).

Votos a favor:

• Emisores:  Actalis, Buypass, Camerfirma, Certigna (DHIMYOTIS), Certum (Asseco), Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, DigiCert, eMudhra, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy,  SHECA, SSC, SecureTrust (anteriormente Trustwave), TurkTrust.
• Comprobadores: Apple, Cisco, Google, Microsoft, Mozilla, 360

1 Abstención (Emisores): TrustCor

Con este resultado, se permite la inclusión de información adicional en los certificados EV para cumplir con ciertas regulaciones de la Unión Europea.

La motivación argumentada que dio lugar a la solicitud que se ha votado fue:

• El Reglamento de la Unión Europea Nº 910/2014 (eIDAS)  define ciertos requisitos reglamentarios para los certificados con un nivel de calidad acordado denominado «Cualificado». Este reglamento especifica en el Anexo IV los requisitos específicos para «Certificados cualificados para la autenticación de sitios web», incluida la declaración de que el certificado contendrá: «para personas jurídicas: al menos el nombre de la persona jurídica a la que se expida el certificado y, cuando proceda, el número de registro, tal como se recojan en los registros oficiales;
• Se entiende que este requisito se relaciona con los atributos validados para la identificación del sujeto del certificado y, por lo tanto, se ajusta mejor al nombre distinguido del sujeto (subject’s distinguished name).
• En línea con el marco regulatorio, ETSI ha definido una estructura general para llevar «números de registro» en la norma TS 119 412-1 (en la actualidad EN 319 412-1). Ver cláusula 5.1. 4. En ella se utiliza el identificador de organización (organizationIdentifier) de la norma  X.520 dentro del nombre distinguido del  sujeto el propósito de servir como «identificación de una organización diferente del nombre de la organización». Esto se utiliza para los requisitos de ETSI para llevar los números de registro para certificados, cualificados o de otro tipo.
• Se considera que este uso de organizationIdentifier es compatible con el propósito principal de los certificados de EV como se indica en la sección 2.1.1 de las Directrices de EV como «otra información desambiguadora».
• Un reciente Reglamento delegado de la UE 2018/389 sobre comunicaciones seguras para servicios de pago establece en el artículo 34.2 que para los Certificados de sitio web cualificados (QWAC), el número de registro requerido en eIDAS «será el número de autorización del proveedor de servicios de pago (…) o equivalente [referencia hecha a regulaciones anteriores relacionadas con entidades financieras]».
• ETSI ha especificado los requisitos de la norma TS 119 495 para incluir los números de registro relacionados con PSD2 en la estructura general para los números de registro definidos en la citada norma TS 119 412-1 en su cláusula 5.1 .4
• ETSI se ha esforzado por garantizar y siempre ha intentado que los requisitos relacionados con los certificados de sitios web en el nivel Cualificado estén en línea con las pautas de Extended Validation de CA / B Forum.
• Esta propuesta solo incluye algunos de los Esquemas de registro utilizados en la norma ETSI TS 119 412-1, que tienen reglas de validación claras (NTR, VAT, PSD) que brindan una seguridad razonable de acuerdo con las «EV Guidelines«. Se propone que los IPR (intellectual property rights) para la semántica de este esquema se cedan al CA / B Forum, lo que le permitirá extender aún más el uso del Identificador de la organización (organizationIdentifier) para incluir otros Esquemas de registro (por ejemplo, LEI, Legal Entity Identifier) y las reglas de validación correspondientes, a discreción del CA / B Forum.  Además, cualquier cambio futuro realizado por ETSI a la norma ETSI TS 119 412-1 ya no tendrá impacto adicional en CA / B Forum.
• Al tomar conciencia de que la interpretación del CA / B Forum de los «Requisitos de EV» en la sección 9.2.8 “Otros Atributos” no estaba en línea con la forma de entenderlos por los expertos de ETSI, este organismo desearía armonizar su interpretación con la de CA / B Forum para reflejar en los certificados diferentes formas de establecer números de registro para PSD2 y otros esquemas de identificación alfanumérica de entidades.

Por otro lado, las preocupaciones específicas del CA / B Forum eran:

• Los requisitos con respecto a los atributos que se han de incluir en el DN (Distinguished Name) del sujeto deben recogerse de forma explícita en el apartado 9.2.
• Las organizaciones pueden desear identificar las unidades organizativas dentro de su organización. No está claro si esto está permitido actualmente en las Directrices de EV (ambigüedad similar a la de la sección 9.2.8).
• Se han argumentado objeciones al uso específico de ETSI del campo Distinguished Name.
• Los procedimientos para la validación del atributo deben estar claramente establecidos.
• Puede haber otros usos del campo organizationIdentifier  en varias PKI, sin embargo, no se considera un problema. dado que la semántica única que se está especificando para cada identificador, las aplicaciones deben ser capaces de comprender los diferentes usos del campo organizationIdentifier  por diferentes emisores y usuarios. Hay muchas «PKI» diferentes que pueden usar todos los atributos de X.500 de manera diferente y con una validación diferente o sin ninguna validación. Según parece, el WebPKI no ha usado anteriormente este atributo de subjectDN antes para los Certificados de confianza pública (Publicly-Trusted Certificates). Por lo tanto, no hay «conflicto» al usar este atributo en las Directrices EV para Certificados SSL / TLS, y tal vez más adelante para Certificados de Firma de Código EV.
• Este uso de organizationIdentifier debe ser extensible para permitir el uso de otros números de registro asignados por diferentes esquemas de registro. Algunos miembros de CAB Forum han expresado interés en incluir números de registro que no sean para identificar el tipo de sociedad dentro de Certificados EV. Esto está previsto en la propuesta actual.
• Algunos miembros del CA / B Forum tienen interés en incluir las identificaciones LEI dentro de los certificados del CA / B Forum, pero hasta ahora el esquema de registro LEI no se considera lo suficientemente extendido como para ser reconocido explícitam como un esquema de numeración de registro para ser aceptado por el CA / B Forum. Por lo tanto, esta propuesta solo introduce un conjunto limitado de esquemas de registro (a saber, NTR, IVA, PSD) que tienen reglas de validación razonablemente sólidas.
• Algunos miembros del CA / B Forum han indicado la posible necesidad de múltiples identificadores en el campo «nombre del sujeto». Sin embargo, esto no se puede lograr utilizando el campo definido en la norma X.520 organizationIdentifier que definió este atributo como «SINGLE VALUE».

Los cambios aprobados, que se reflejarán el documento «EV Guidelines» son:

• Agregar a la sección 4 las siguientes definiciones:
  “Entidad legal: una organización privada, entidad gubernamental, entidad comercial o entidad no comercial.
  Referencia de registro: un identificador único asignado a una entidad legal (persona jurídica).
  Esquema de registro: un esquema para asignar una referencia de registro que cumple con los requisitos identificados en el Apéndice H. «
• Cambiar el título de la Sección 9.2 para indicar»Campos de Nombre Distinguido del Sujeto» (Subject Distinguished Name Fields).
• Eliminar la Sección 9.2.2 y renumerar las secciones 9.2.3 a 9.2.8 como 9.2.2 a 9.2.7.
• Insertar una nueva sección 9.2.8:
  “9.2.8. Campo identificador de organización del sujeto
  ** Campo de certificado **: organizationIdentifier (OID: 2.5.4.97)
  ** Requerido / Opcional **: Opcional
  ** Contenido **: Si está presente, este campo DEBE contener una referencia de registro para una entidad legal asignada de acuerdo con el Esquema de registro identificado.
  El organizationIdentifier DEBE estar codificado como PrintableString o UTF8String (ver RFC 5280).
  El Esquema de Registro DEBE identificarse utilizando la siguiente estructura en el orden presentado:
  * Identificador de esquema de registro de 3 caracteres;
  * Se utilizará el código de país ISO 3166 de 2 caracteres para la nación en la que opera el Esquema de Registro, o si el esquema se opera globalmente, se utilizará el código ISO 3166 “XG”
  * Para el identificador del Esquema de Registro NTR, si es requerido bajo la Sección 9.2.4, un identificador ISO 3166-2 de dos caracteres para la subdivisión (estado o provincia) de la nación en la que opera el Esquema de Registro, precedido por el signo más “+” ( 0x2B (ASCII), U + 002B (UTF-8));
  * un guión (signo menos) «-» (0x2D (ASCII), U + 002D (UTF-8));
  * Referencia de registro asignada de acuerdo con el Esquema de Registro identificado.Nota: las Referencias de Registro PUEDEN contener guiones, pero los Esquemas de Registro, los códigos de país ISO 3166 y los identificadores ISO 3166-2 no PUEDEN contenerlos. Por lo tanto, si aparece más de un guión en la estructura, el guión más a la izquierda es un separador, y los guiones restantes forman parte de la Referencia de Registro.Como en la sección 9.2.4, la información de ubicación especificada DEBE coincidir con el alcance del registro al que se hace referencia. Ejemplos:
  * NTRGB-12345678 (esquema NTR, Gran Bretaña, cuyo identificador único a nivel de país es 12345678)
  * NTRUS + CA-12345678 (Esquema NTR, Estados Unidos – California, cuyo identificador único a nivel estatal es 12345678)
  * VATDE-123456789 (Esquema de IVA o CIF, Alemania, cuyo Identificador único a nivel de país es 12345678)
  * PSDBE-NBB-1234.567.890 (Esquema de PSD2, Bélgica, con identificador de la NCA (National Competent Authority) por sus siglas NBB, y con identificador único del sujeto asignado por la NCA formado por la secuencia 1234.567.890)Los esquemas de registro enumerados en el Apéndice H se reconocen actualmente como válidos bajo estas pautas («Guidelines»).

  La CA DEBE:
  1. confirmar que la organización representada por la Referencia de Registro es la misma que la organización nombrada en el campo de organización como se especifica en la Sección 9.2.1 dentro del contexto de la jurisdicción del sujeto según se especifica en la Sección 9.2.4;
  2. Verificar además que la Referencia de registro coincida con otra información verificada de acuerdo con la sección 11;
  3. Tomar las medidas adecuadas para desambiguar entre diferentes organizaciones como se describe en el Apéndice H para cada Esquema de Registro;
  4. Aplicar las reglas de validación relevantes al Esquema de Registro como se especifica en el Apéndice H. «

• Insertar nueva sección 9.8 (renumerar las siguientes secciones según sea necesario):
  “9.8. Extensiones de Certificado
  Las extensiones enumeradas en la Sección 9.8 se recomiendan para la máxima interoperabilidad entre los certificados y los navegadores / aplicaciones, pero no son obligatorias en las CA, excepto cuando se indica como «Requerido». Las CA pueden usar otras extensiones que no están enumeradas en esta Sección 9.8, pero se les recomienda que propongan su inclusión en esta sección de vez en cuando para ayudar a aumentar la estandarización de la extensión en toda la industria.Si una CA incluye una extensión en un certificado que tiene un campo de Certificado que se menciona en esta Sección 9.8, la CA debe seguir el formato especificado en esa subsección. Sin embargo, ninguna extensión o formato de extensión será obligatorio en una CA a menos que se indique específicamente como «Requerido» en la subsección que describe la extensión.9.8.1. Extensión del nombre alternativo del sujeto (Subject Alternative Name Extension)
  ** Campo del certificado: ** _subjectAltName: dNSName_
  ** Requerido / Opcional: ** Requerido
  ** Contenido: ** Esta extensión DEBE contener uno o más nombres de dominio de host que sean propiedad o estén controlados por el sujeto y que estén asociados con el servidor del sujeto. Dicho servidor PUEDE ser propiedad y operado por el Sujeto u otra entidad (por ejemplo, un servicio de alojamiento). Los certificados comodín no están permitidos para los certificados EV.9.8.2. Campo de identificador de organización del foro de CA / navegador
  ** Nombre de la extensión **: _cabfOrganizationIdentifier_ (OID: 2.23.140.3.1)
  ** OID detallado **: {joint-iso-itu-t (2) international-Organizations (23) ca-browser-forum (140) extensiones de certificado (3) cabf-organization-identifier (1)}
  ** Requerido / Opcional **: Opcional (pero ver más abajo)
  ** Contenido **: Si el asunto: organizationIdentifier está presente, este campo DEBE estar presente.

  A partir del 31 de enero de 2020, si está presente el campo sujeto: organizaciónIdentificador, este campo DEBE estar presente.
  Si está presente, este campo DEBE contener una Referencia de Registro para una entidad legal asignada de acuerdo con el esquema de registro identificado.

  El esquema de registro DEBE estar codificado como se describe en la siguiente gramática ASN.1:

  id-CABFOrganizationIdentifier OBJECT IDENTIFIER ::= 
  { joint-iso-itu-t(2) international-organizations(23) 
  ca-browser-forum(140) certificate-extensions(3) 
  cabf-organization-identifier(1) }
  
  ext-CABFOrganizationIdentifier EXTENSION ::= 
  { SYNTAX CABFOrganizationIdentifier IDENTIFIED BY 
  id-CABFOrganizationIdentifier }
  
  CABFOrganizationIdentifier ::= SEQUENCE {
  
  registrationSchemeIdentifier   PrintableString (SIZE(3)),
  
  registrationCountry            PrintableString (SIZE(2)),
  
  registrationStateOrProvince    [0] IMPLICIT PrintableString OPTIONAL (SIZE(0..128)),
  
  registrationReference          UTF8String
  
  }
  

  donde están los subcampos y tienen los mismos significados y restricciones descritos en la Sección 9.2.8. La CA DEBE validar el contenido utilizando los requisitos de la Sección 9.2.8 «.

• Añadir nuevo Apéndice H – Esquemas de registro
  “Los siguientes esquemas de registro se reconocen actualmente como válidos según estas pautas:** NTR **: La información incluida en este campo será la misma que se guardó en el campo Número de registro del sujeto como se especifica en 9.2.5 y el código de país utilizado en el identificador del esquema de registro coincidirá con el de la jurisdicción del sujeto según se especifica en la Sección 9.2.4.
  Cuando la Jurisdicción de constitución de la entidad o el Campo de Registro en 9.2.4 incluya más que el código del país, la información de localidad adicional se incluirá como se especifica en las secciones 9.2.8 y / o 9.8.1.** IVA **: Referencia asignada por las autoridades fiscales nacionales a una entidad jurídica. Esta información se validará utilizando la información provista por la autoridad fiscal nacional contra la organización identificada por el campo Nombre de la organización del sujeto (ver 9.2.1) y el campo del número de registro del sujeto (ver 9.2.5) dentro del contexto de la jurisdicción del sujeto según se especifica en la Sección 9.2.4.

  ** PSD **: Número de autorización especificado en ETSI TS 119 495, cláusula 4.4, asignado a un proveedor de servicios de pago y que contiene la información especificada en ETSI TS 119 495 cláusula 5.2.1. Esta información SE DEBE obtener directamente del registro de la autoridad nacional competente para servicios de pago o de una fuente de información aprobada por una agencia gubernamental, organismo regulador o legislación para este propósito. Esta información DEBE validarse comparándola directa o indirectamente (por ejemplo, haciendo coincidir un número de registro único global) con la organización identificada por el campo Nombre de la organización del sujeto (ver 9.2.1) y el Campo del número de registro del sujeto (ver 9.2.5). ) dentro del contexto de la jurisdicción del sujeto según se especifica en la Sección 9.2.4. La dirección indicada de la organización combinada con el nombre de la organización NO SERÁ la única información utilizada para desambiguar la organización «.

Formación y certificación de auditores #EIDAS

TCAB (Trust Conformity Assessment Body) está preparando un evento formativo que tendrá lugar del 4 al 8 de mayo de 2020  y que está destinado a formar especialistas del mundo de la firma electrónica y de los servicios de confianza.

Se estructura en tres niveles:

1. Usuarios avanzados de servicios de confianza digital (1 día)
2. Prestador de servicios de confianza digital (2 días)
3. Auditor de servicios de confianza digital  (2 días)

Tras la formación completa se puede optar a realizar un examen que dará acceso a la certificación profesional de Auditor EIDAS y posteriormente a la realización de auditorias como auditor junior, en el marco de las evaluaciones de conformidad desarrolladas por TCAB.

El temario tentativo es el siguiente:

Nivel 1. Formación para desarrolladores, empresas de servicios y para empleados del sector Público.

Proporciona una introducción a los sistemas de identificación y firma electrónica.

Se tratan los siguientes temas:

• Conceptos de identificación electrónica
• Breve historia de la criptografía
• Algoritmos de Hash
• Criptografía de clave simétrica y criptografía de clave asimétrica
• Elementos de las Infraestructuras de clave pública. RA, OCSP, CA, Root, Entidad final, CRL, Timestamping, custodia digital. Listas de confianza
• Estructura de los certificados. Normas X.509, X.520
• SSL TSL. OCSP Stapling
• Autenticación mediante certificados
• Firma electrónica. Tipos de firma electrónica
• Certificados cualificados
• Dispositivos cualificados de Creación de Firma
• Drivers de dispositivos. Estándares MS-CAPI y PKCS#11
• Normativa de firma electrónica. Reglamento EIDAS
• Firma electrónica en las administraciones públicas y en el ámbito de la Justicia. Consideraciones sobre la Ley 39/2015 y la Ley 18/2011.
• Firmas avanzadas especiales. Firma biométrica
• Configuración de servidores para SSL. Como solicitar certificados

Nivel 2. Formación para profesionales de Prestadores de Servicios de Confianza

Se describen los sistemas utilizados por los PSCD, los documentos a elaborar y las medidas de seguridad en el ámbito de los Prestadores de Servicios de Confianza Digital y la forma de prepararse para una auditoría EIDAS

Se tratan los siguientes temas:

• Normativa relacionada con la gestión de identidades. Reglamento 1501/2015 y Reglamento 1502/2015
• Normativa general para Prestadores: EN 319 401:
  • Evaluación de riesgos,
  • Políticas y prácticas: Declaración de práctica de servicio de confianza, Términos y condiciones, Política de seguridad de la información,
  • Gestión y operación de Prestadores de Servicios Electrónicos de confianza: Organización interna (Confiabilidad de la organización, Segregación de funciones), Recursos humanos, Gestión de activos (Requisitos generales, Manejo de medios), Control de accesos, Controles criptográficos , Seguridad física y ambiental, Seguridad de las operaciones, Seguridad de la red, Gestión de incidentes, Recogida de información probatoria, Gestión de la continuidad del negocio, Terminación de las actividades de Prestadores de Servicios Electrónicos de confianza y planes terminación de actividades, Cumplimiento legal.
• OID. Como solicitar OID. Como diseñar una estructura organizada de OID para facilitar la gestión de políticas de firma
• Perfiles de certificados. Identificación de políticas. OID necesarios según CAB Forum, OID necesarios según las normas ETSIT. Normas EN 319 412. Certificados PSD2
• Documentación necesaria que se comprobará para expedir certificados de persona física, certificados de persona física representante de persona jurídica, certificados de persona física empleado público, certificados de persona jurídica.
• Herramientas de parseo y de comprobación de la calidad de certificados.
• Certificate transparency. Repositorios e integración
• Normativa relativa a la expedición de certificados: EN 319 411-1. Recorrido detallado del contenido de una Declaración de Prácticas de Servicios de Confianza
• Normativa relativa a la expedición de certificados cualificados en el marco de EIDAS: EN 319 411-2. Recorrido detallado del contenido de una Declaración de Prácticas de Servicios de Confianza. Certificados EIDAS: QCP-n, QCP-l, QCP-n-qscd, QCP-l-qscd, QCP-w.
• Normativa relativa a la expedición de sellos de tiempo cualificados en el marco de EIDAS: EN 319 421 y EN 319 422
• Normativa relativa a la prestación de servicios cualificados de notificaciones electrónicas y correo electrónico certificado cualificado (Servicio cualificado de entrega electrónica certificada) en el marco de EIDAS: EN 319 521 y EN 319 531
• Servicio cualificado de validación de firmas electrónicas cualificadas y sellos electrónicos cualificados en el marco de EIDAS: TS 119 101 y EN 319 102-1
• Servicio cualificado de conservación de firmas electrónicas cualificadas y sellos electrónicos cualificados en el marco de EIDAS: TS 102 573 y EN 319 102-1
• Seguro de Responsabilidad civil. Responsabilidad contractual y extracontractual.
• Dispositivos cualificados de creación de firma. Normas de aplicación para la evaluación de dispositivos: FIPS-140-2, CWA 14167-1, CWA 14167-2, CWA 14169, CWA 14170, EN 419 241-1, EN 419 241-2, EN 419 221-5.
• Listas de dispositivos de creación de firma: NIST, Common Criteria Portal, Lista del artículo 31 (Compilation of Member States notification on SSCDs and QSCDs). Procedimientos especiales del art. 30-2-b. Vigencia de dispositivos anteriores al EIDAS por art. 51.1
• Aspectos a tener en cuenta para la expedición de certificados de sitio web y firma de código ejecutable en contextos de CAB Forum: Baseline Requirements, Extended Validation (EV) Guidelines.
• Criterios de verificación de identidad en las actividades de RA según el artículo 24-1-b y 24-1-d. Criterios de videoidentificación publicados por SEPBLAC en el marco de la Ley 10/2010.
• Listas TSL (Trusted Lists). Norma TS 119 612. Información que se refleja en las listas. Comprobación de validez de certificados cualificados emitidos en fase válida de prestadores a los que se les ha retirado la cualificación.
• Reglas de uso del signo distintivo europeo de cualificación EIDAS

Nivel 3. Formación para Auditores y evaluadores de conformidad de Servicios de Confianza

Se describe el marco de evaluación de la conformidad, los organismos de acreditación, los requisitos para los organismos de evaluación de conformidad y los requisitos para los auditores.

Los estudiantes que hayan asistido a la formación de los 3 niveles podrán presentarse a un examen de certificación profesional que los habilitará como auditores EIDAS en el Esquema de Trust Conformity Assessment Body. Los alumnos que superen el examen obtendrán un nivel de cualificación profesional para participar como auditores junior en auditorías de evaluación de conformidad y podrán optar a acompañar a auditores senior en auditorías de TCAB. Tras participar en 3 auditorías recibirán la cualificación de auditores senior.

En la formación el tercer nivel se utilizarán el inglés y el español como lenguas vehiculares a lo largo de las exposiciones.

Se tratan los siguientes temas:

• Evolución del marco de evaluación de conformidad para servicios de confianza. Orden de 21 de febrero de 2000 por la que se aprueba el Reglamento de acreditación de prestadores de servicios de certificación y de certificación de determinados productos de firma electrónica.
• Modelo de supervisión EIDAS. Lista de supervisores de los Estados miembros.
• Modelo de acreditación EIDAS. Lista de organismos de acreditación de los Estados miembros.
• Modelo de evaluación EIDAS. Lista de organismos de evaluación de los Estados miembros.
• Requisitos aplicables a los CAB para lograr la acreditación. EN 319 403, ISO 17065, Criterios y proceso de acreditación específico para la certificación de servicios electrónicos de confianza regulados en el Reglamento (UE) nº 910/2014 (eIDAS) (Norma ENAC RDE-16)
• Recomendaciones para planificar una auditoría: Fase de revisión documental, fase presencial, identificación de evidencias, pautas de información a reflejar en el informe de Evaluación (CAR, Conformity Assessment Report).
• Procedimiento de evaluación. Revisión del informe, aprobación de la certificación.
• Seguimiento de las entidades evaluadas. Ampliación de alcances de evaluación.
• Requisitos generales para los auditores y condiciones previas para la acreditación. Principios éticos para los auditores. Criterios de independencia e imparcialidad.
• Partes involucradas y pautas de interacción.
• Curso típico de un proyecto de auditoría.
• Recomendación para la acción y el enfoque durante las auditorías.
• Requisitos y esquema de informes de evaluación.
• Modelo de CAR para auditores
• Condiciones para la Emisión de Certificado. Fases del proceso de certificación.
• Reglas de uso del signo distintivo europeo de cualificación EIDAS, y de otras marcas asociadas a la evaluación, ENAC, CAB,…
• Estructura general de aprobación de certificaciones. Organización de TCAB para la aprobación de certificaciones. Comité de partes interesadas.

Para más información llamar a TCAB al +34 91 3880789

Invitación abierta – Grupo de Trabajo de AMETIC – Buenas prácticas en el campo de la video-identificación y el video onboarding

El próximo lunes 12 de noviembre se celebrará a las 12:00 una reunión en AMETIC para constituir un Grupo de Trabajo de Identidad Digital que yo presido y que excepcionalmente está abierto a entidades que no sean miembros de AMETIC.

El objetivo del grupo es elaborar un documento titulado provisionalmente «Guidelines o buenas prácticas en el campo de la video-identificación y el video onboarding» orientado a prestadores de servicios de certificación en el marco del EIDAS y a entidades financieras y otras de los ámbitos FinTech e Insurtech que vean útil contar con un procedimiento consensuado que refleje las mejores prácticas en identificación remota de usuarios, alineadas con la normativa de Prevención de Blanqueo de Capitales y Financiación del Terrorismo.

En el Grupo de Trabajo de Identidad Digital de AMETIC se compartirá la información pública difundida en el marco de las actividades del Grupo de Expertos de la Comisión Europea sobre técnicas de «Conoce a tu Cliente», del que formo parte y del que se puede ver más información en este enlace:

• http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3571&NewSearch=1&NewSearch=1

Este grupo de expertos europeo ha tenido varias reuniones los pasados meses (9 de abril y 10 de julio) y un Taller (Workshop with providers of remote on-boarding solutions) el 28 de septiembre. La tercera reunión formal del grupo tiene lugar mañana 9 de noviembre en Bruselas, por lo que en la reunión del lunes 12 de noviembre podremos trabajar con la información más reciente en lo que se refiere a los avances en Europa.

  El objetivo de este artículo es invitar a las entidades interesadas a participar en este Grupo de Trabajo. Si lees este artículo y piensas que alguien pueda estar interesado, házselo llegar. Esta invitación se puede hacer extensiva a otras personas y entidades.

Para confirmar la asistencia, llamar lo antes posible a AMETIC (Madrid: 915 90 23 00, Barcelona: 93 241 80 60).

La dirección de AMETIC es:

• Principe de Vergara, 74, 4ª planta – 28006 Madrid.

Para los que os vaya mejor Barcelona:

• Avda. Sarriá, 28, 1º- 1ª – 08029 Barcelona.

Ambas sedes están conectadas por un sistema de videoconferencia

PSD2, Thrid Party Payment Service Providers, directiva antiblanqueo y #eIdAS

El 23 de diciembre de 2015, se publicó en el Diario Oficial de la Unión Europea la nueva Directiva UE 2015/2366  de 25 de noviembre de 2015 sobre servicios de pago en el mercado interior (PSD2, por sus siglas en inglés), tras el acuerdo alcanzado con el Parlamento Europeo en los trílogos  en mayo de 2015. La PSD2 conlleva cambios fundamentales en la industria de pagos al dar a los proveedores de servicios de pago terceros (TPP, por las siglas en inglés de Thrid Party Payment Service Providers) acceso a la infraestructura de los bancos.

Según la PSD2, los TPP (proveedores de servicios de pago terceros, básicamente, servicios iniciadores de pagos «payment initiation services – PIS» y agregadores de información «account information services – AIS«). ), deberán tener acceso a las cuentas de clientes bancarios a través de mecanismos de programación (APIS y Servicios Web), lo que les permitirá ofrecer sus servicios como extensiones de la funcionalidad que ofrecen las propias entidades financieras, haciendo uso de la infraestructura de los bancos, a petición de sus clientes que sean también clientes de estos bancos.

Todavía están pendiente de clarificación  aspectos de la relación entre los bancos y los TPP, pues el texto determina explícitamente que no se requerirá un contrato entre las partes, pero los bancos deberán proporcionar el acceso a terceros sin discriminación, una vez autorizados por el cliente. Por tanto, los TPP se beneficiarían de la infraestructura de pagos de los bancos sin contraprestaciones, al tiempo que ofrecen servicios que mejoran la oferta que los clientes reciben de sus entidades. El resultado puede suponer una simbiosis en algunos casos, pero las entidades temen que se trate más frecuentemente de un actividad parásita que saque provecho de la infraestructura que a ellas les suponen costes, sin contribuir a su sostenimiento.

Ya están surgiendo las primeras soluciones técnicas del sector a través de las API (Interfaz de Programación de Aplicaciones), aunque no hay unos estándares fijos que garanticen la interoperabilidad.

La Autoridad Bancaria Europea (ABE, EBA por sus siglas en inglés: European Banking Authority) se ha comprometido a proporcionar directrices y establecer estándares técnicos relacionados con la autorización de entidades de pago, protocolos de seguridad y comunicación entre las partes, así como relaciones empresariales y cuestiones de responsabilidad.

Para septiembre de 2018, la ABE actualizará las guías que ha publicado recientemente sobre la seguridad de los pagos en Internet (guías que se desarrollaron antes de la PSD2 y que se aplican a partir del 1 de agosto de 2015), ampliando su alcance a las nuevas entidades y cubriendo los nuevos requerimientos de la PSD2.

La autorización como entidad de pagos, otorgada por las autoridades competentes del estado miembro de origen, permitirá la provisión de servicios de pago en toda la Unión Europea, en virtud del «Pasaporte Comunitario«.

En lo que respecta a la supervisión, en la práctica las entidades de pago están sujetas a la supervisión  tanto de las autoridades competentes del país de origen como las del país en el que pretende prestar servicios, pues la directiva permite a estas últimas exigir informes periódicos sobre las actividades llevadas a cabo en su territorio.

En caso de incumplimiento normativo, será responsabilidad de los organismos supervisores del país de origen la adopción de las medidas apropiadas, incluidas las sancionadoras, aunque también los del país de prestación de servicios  pueden adoptar medidas cautelares en situaciones perentorias.

Dado el régimen de cooperación entre los organismos de supervisión nacionales, el correcto funcionamiento del mercado único para los pagos electrónicos dependerá de cómo se desarrolle esa cooperación. Las directrices y estándares de la ABE jugarán un papel fundamental a este respecto.

En España, el Banco de España y el Ministerio de Economía no acaban de ponerse de acuerdo sobre la forma de gestionar la adopción de directrices que en bastante casos tendrán carácter técnico.

Lo que sí parece que está fuera de toda duda, es que los servicios de gestión de identidades y los conexos Servicios Electrónicos de Confianza definidos en el Reglamento UE 910/2014 (EIDAS) serán de importancia capital en el marco de los servicios Thrid Party Payment Service Providers, tal como evidencia un documento de trabajo publicado el 8 de diciembre de 2015 por la EBA, sobre los futuros desarrollos técnicos previstos en la PSD2, en relación con la autenticación fuerte de clientes («Discussion Paper on future Draft Regulatory Technical Standards on strong customer authentication and secure communication under the revised Payment Services Directive -PSD2-«).

La necesidad de autenticación fuerte de clientes que resuelve EIDAS también queda patente en la Directiva UE 2015/849 de 20 de mayo de 2015 relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales o la financiación del terrorismo publicada el 5 de junio del 2015 en el Diario Oficial de la Unión Europea.

De momento los desarrollos sobre sistemas de identificación mediante videoconferencia han quedado expéditos para el sector financiero por la Autorización de procedimientos de identificación no presencial mediante videoconferencia del SEPBLAC, que como servicios proporcionados por terceros caen directamente en la categoría de los sistemas sometidos a la supervisión de la SESIAD (Secretaria de Estado de Sociedad de la Información y Agenda Digital) del MINETAD (Ministerio de Energía, Turismo y Agenda Digital).

La esperada publicación de una nueva Ley que derogue la Ley 59/2003 sobre firma electrónica contemplará la normativa nacional sobre sistemas de identificación mediante videoconferencia y otros que el Reglamento UE 910/2014 menciona en su artículo 24.

En efecto, en este artículo se indica que «Al expedir un certificado cualificado para un servicio de confianza, un prestador cualificado de servicios de confianza verificará, por los medios apropiados y de acuerdo con el Derecho nacional, la identidad y, si procede, cualquier atributo específico de la persona física o jurídica a la que se expide un certificado cualificado.

Y entre las formas de verificar la identidad, se admite que esta verificación puede hacerse utilizando otros métodos de identificación reconocidos a escala nacional que aporten una seguridad equivalente en términos de fiabilidad a la presencia física. La seguridad equivalente será confirmada por un organismo de evaluación de la conformidad.

Algunos de los aspectos que podría cubrir la nueva Ley de Servicios de Confianza Digital (si se confirma un mayor uso del término «digital» en detrimento del término «electrónico«) se dejan entrever en la reciente consulta realizada por el MINETAD, y reflejados en este documento: Ley de servicios de confianza digital

La Comisión Europea refuerza las normas de transparencia para combatir la financiación del terrorismo, la elusión fiscal y el blanqueo de capitales

La Comisión adoptó el pasado 5 de julio de 2016 una propuesta para reforzar las normas de la Unión Europea contra el blanqueo de capitales con el objetivo de combatir la financiación del terrorismo y aumentar la transparencia sobre la titularidad real de las sociedades y los fondos fiduciarios.

 

La Comisión Juncker ha priorizado la lucha contra la elusión fiscal, el blanqueo de capitales y la financiación del terrorismo. Los cambios incluidos en la propuesta abordarán los nuevos medios de financiación del terrorismo, incrementarán la transparencia para combatir el blanqueo de capitales y ayudarán a reforzar la lucha contra la elusión fiscal.

Esta propuesta de la Comisión es la primera iniciativa para llevar a la práctica el Plan de Acción para intensificar la lucha contra la financiación del terrorismo, de febrero de 2016, y forma parte de una iniciativa más amplia para incrementar la transparencia fiscal y combatir el fraude fiscal.

Frans Timmermans, vicepresidente primero, ha declarado que «las propuestas realizadas ayudarán a las autoridades nacionales a localizar a las personas que ocultan sus finanzas a fin de cometer delitos como el terrorismo. Los Estados miembros podrán conseguir y compartir información vital sobre quién es el titular real de las sociedades y los fondos fiduciarios, quién negocia divisas en línea y quién emplea tarjetas de prepago. La publicación de la información sobre quién está detrás de las sociedades y los fondos con representantes opacos debe tener también un importante efecto disuasorio para los posibles evasores fiscales.»

Vĕra Jourová, comisaria de Justicia, Consumidores e Igualdad de Género de la UE, ha declarado:

«Hoy presentamos normas de transparencia más estrictas para cortar la financiación del terrorismo e intensificar nuestra lucha contra el blanqueo de capitales y la elusión fiscal. La actualización de la cuarta Directiva contra el blanqueo de capitales colmará las lagunas existentes en Europa que permiten a los terroristas, a los delincuentes o a los que intentan eludir la normativa fiscal financiar sus actividades. La mejora de la cooperación para combatir estas cuestiones cambiará la situación.»  

La adopción del cuarto paquete de lucha contra el blanqueo de capitales en mayo de 2015 representó un paso importante para mejorar la eficacia de los esfuerzos de la UE en la lucha contra el blanqueo de capitales procedentes de actividades delictivas y contra la financiación de las actividades terroristas. Dicho paquete fija normas estrictas para impedir el blanqueo de capitales, como la obligación de que los Estados miembros establezcan registros nacionales de titularidad real de las sociedades y algunos fondos fiduciarios. Los Estados miembros se han comprometido a aplicar el paquete más rápidamente de lo previsto inicialmente, a más tardar a finales de 2016.  

Lucha contra la financiación del terrorismo

Según lo anunciado en el Plan de Acción para intensificar la lucha contra la financiación del terrorismo, la Comisión propone una serie de cambios para impedir la utilización del sistema financiero para financiar actividades terroristas:

• Reforzar las competencias de las unidades de información financiera de la UE y facilitar su cooperación: Se ampliará la información accesible a las unidades de información financiera, que tendrán acceso a la información de los registros centralizados de cuentas bancarias y cuentas de pago y de los sistemas centrales de búsqueda de datos, que los Estados miembros deberán poner en marcha para identificar a los titulares de cuentas bancarias y de cuentas de pago.
• Afrontar los riesgos de financiación del terrorismo relacionados con las monedas virtuales: A fin de evitar la utilización indebida de las monedas virtuales para blanquear dinero y financiar el terrorismo, la Comisión propone incluir las plataformas de cambio de monedas virtuales y los proveedores de servicios de custodia de monederos electrónicos en el ámbito de aplicación de la Directiva contra el blanqueo de capitales. Estas entidades tendrán que aplicar controles de diligencia debida con respecto al cliente a la hora de intercambiar monedas virtuales por reales, poniendo fin al anonimato asociado a dichos intercambios.
• Afrontar los riesgos vinculados a los instrumentos de prepago anónimos (por ejemplo, tarjetas de prepago): La Comisión también propone minimizar el uso de pagos anónimos con tarjetas de prepago, mediante la rebaja de los umbrales para la identificación de 250 € a 150 € y la ampliación de los requisitos de verificación de la identidad de los clientes. Se ha tenido en cuenta la proporcionalidad, especialmente en lo que se refiere a la utilización de esas tarjetas por los ciudadanos económicamente vulnerables.
• Reforzar los controles en terceros países de alto riesgo: Tal y como establece la cuarta Directiva contra el blanqueo de capitales, la Comisión propone armonizar la lista de controles aplicables a los países con deficiencias en sus sistemas de lucha contra el blanqueo de capitales y la financiación del terrorismo. Los bancos tendrán que realizar controles adicionales («medidas de diligencia debida») en relación con los flujos financieros procedentes de estos países. Por razones de procedimiento, la lista de países, que reproduce la elaborada por el GAFI, será aprobada formalmente el 14 de julio.
  

Normas de transparencia más estrictas para evitar la elusión fiscal y el blanqueo de dinero

La propuesta del pasado mes de julio reforzará las medidas introducidas por la cuarta Directiva contra el blanqueo de capitales, con las siguientes modificaciones:

• Acceso público pleno a los registros de titularidad real: Los Estados miembros harán pública determinada información de los registros de titularidad real de las sociedades y fondos fiduciarios vinculados a empresas. La información sobre todos los demás fondos fiduciarios se incluirá en los registros nacionales y estará a disposición de quienes acrediten un interés legítimo. Se incluirán en los registros los titulares reales que tengan el 10 % de la titularidad en determinadas sociedades que presenten un riesgo de utilización para fines de blanqueo de capitales y evasión fiscal. El umbral permanecerá en el 25 % para todas las demás sociedades.
• Interconexión de los registros: La propuesta prevé la interconexión directa de los registros para facilitar la cooperación entre los Estados miembros.
• Ampliación de la información accesible a las autoridades: La Comisión ha propuesto que tanto las cuentas existentes como las de nueva creación deben ser objeto de controles de diligencia debida. Esto impedirá que las cuentas que puedan ser utilizadas para actividades ilícitas escapen a la detección. Las sociedades y los fondos fiduciarios pasivos, como los mencionados en los papeles de Panamá, también estarán sujetos a un mayor control y a unas normas más estrictas.

Antecedentes:

La cuarta Directiva sobre el blanqueo de capitales se adoptó el 20 de mayo de 2015. La Comisión Europea, en el marco de su Plan de Acción contra la financiación del terrorismo, instó a los Estados miembros a adelantar la fecha de transposición efectiva de la Directiva a finales de 2016.

Las modificaciones presentadas en julio de 2016 para hacer frente a la financiación del terrorismo y a las cuestiones de transparencia no son desproporcionadas y están dirigidas a introducir algunos cambios en el marco existente. La Comisión anima a los Estados miembros a tener en cuenta las modificaciones concretas incluidas en la propuesta, en la transposición de la cuarta Directiva contra el blanqueo de capitales.

El Parlamento Europeo y el Consejo de Ministros aprobarán la actualización propuesta de las normas jurídicas con arreglo al procedimiento legislativo ordinario.

En lo que respecta a la lista de terceros países de alto riesgo con deficiencias estratégicas en sus sistemas de lucha contra el blanqueo de capitales y la financiación del terrorismo, la cuarta Directiva contra el blanqueo de capitales ha encargado a la Comisión su elaboración tres veces al año. La Comisión tendrá en cuenta los trabajos realizados a nivel internacional por el Grupo de Acción Financiera Internacional (GAFI). La UE seguirá colaborando en todos los ámbitos políticos pertinentes con los territorios en cuestión, en particular a través de la cooperación al desarrollo, con el objetivo último de que cumplan la normativa y poder retirarlos de la lista. La lista es un acto delegado que también se presentará al Consejo y al Parlamento Europeo con arreglo al procedimiento habitual.

Ambas iniciativas son parte de la aplicación del Plan de Acción para intensificar la lucha contra la financiación del terrorismo, aprobado por la Comisión el 2 de febrero de 2016.