Arquitectura y marco de referencia de la Cartera europea de identidad digital en EIDAS 2 – documento en español

Hoy se ha publicado la versión 1 del documento «European Digital Identity Wallet Architecture and Reference Framework» que llevábamos algún tiempo esperando.

El objetivo de este documento es proporcionar un conjunto de especificaciones necesarias para desarrollar una solución interoperable de Cartera Europea de Identidad Digital (IDUE) basada en normas y prácticas comunes.

La versión anterior (llamésmosle v0.9, aunque no consta ninguna) se publicó el 22 de febrero de 2022.

De aquel documento me permití realizar una traducción al español (un poco libre porque me tomé la licencia de aclarar conceptos que en el documento original no se entendían bien).

Uno de los aspectos que cuidé es la traducción de términos acuñados en inglés a otros que pudieran considerarse términos acuñados en español, huyendo de «falsos amigos» (palabras que se escriben de forma parecida en español pero que significan cosas diferentes). Por ejemplo «Relying Parties» por «Partes Informadas» considerando que son las que reciben los testimonios de las «Partes informantes». Me parece mejor traducción que «Partes que confían»

Este fue uno de los documentos que se entregaron a los participantes en los cursos de formación organizados por TCAB para especialistas en servicios de confianza (nivel 1), responsables de gestión de servicios de confianza (nivel 2) y auditores de servicios de confianza (nivel 3) y en el que tuve el honor de participar como profesor.

arf-arquitectura-marco-de-referencia-de-la-identidad-digital-europea-esquema-cartera-idue-de-eidas2Descarga

El Consorcio POTENTIAL uno de los seleccionados por la Agencia HaDEA para impulsar su Cartera IDUE

El Consorcio «POTENTIAL«, ha sido seleccionado por la Comisión Europea a través de la Agencia HaDEA para que lleve a cabo su proyecto de Cartera de Identidad Digital de la Unión Europea.

Este es uno de los consorcios citados en el artículo «Proyectos Piloto a gran escala para impulsar la adopcion de la cartera de identidad europea EUDIWallet«.

El 14/12/2022, la Comisión Europea anunció los resultados de la licitación para el desarrollo de granes proyectos piloto de Cartera de Identidad Digital de la Unión Europea. El Consorcio POTENTIAL es uno de los seleccionados por la Comisión Europea.

Forman parte del Consorcio POTENTIAL un total 148 participantes de 19 Estados miembros de la UE, así como de Ucrania, apoyados por sus gobiernos, para acometer uno de los Grandes Proyectos Piloto que permita comprobar el nuevo prototipo de Cartera Europea de Identidad Digital en seis casos de uso («servicios de administración electrónica», «apertura de cuentas», «registro de tarjetas SIM», «permiso de conducir móvil», «firma electrónica remota cualificada» y «receta electrónica»). El Consorcio POTENCIAL se compromete a desplegar estos proyectos piloto con ambición y determinación.

La ANTS (Agence nationale des titres sécurisés, de Francia), coordinadora del consorcio, ha anunciado la concesión , y ha mostrado su orgullo, junto con todos los miembros de POTENTIAL, de que la Comisión Europea les haya confiado la realización de estos casos de uso pioneros de la identidad digital europea, que serán objeto de pruebas transfronterizas.

La entidad está ahora comprometida con la DG CONNECT de la UE con vistas a la firma del acuerdo de subvención y para preparar el lanzamiento del proyecto, previsto a principios de mayo de 2023.

Registro de electrodomésticos, luminarias y otros aparatos en EPREL con certificados cualificados

Desde el 1 de enero de 2019, los proveedores (fabricantes, importadores o representantes autorizados) deben registrar los aparatos que requieren una etiqueta energética en el registro europeo de productos para el etiquetado energético (EPREL) antes de comercializarlos en el mercado europeo.

Las primeras categorías de productos disponibles en la base de datos desde marzo de 2021 fueron las siguientes: frigoríficos y congeladores, lavavajillas, lavadoras y pantallas electrónicas. 

En mayo se añadieron los neumáticos, y en septiembre de 2021, las bombillas y las lámparas. Se irán añadiendo más categorías de productos.

La información sobre el producto que los proveedores deben introducir en la base de datos está relacionada con la etiqueta energética, la documentación técnica y el control de la conformidad.

Antes de empezar a registrar sus productos, los proveedores tienen que inscribirse en el sistema. Previamente deben adquiri un certificado cualificado de persona jurídica basado en un dispositivo seguro como el suministrado por EADTrust (llamar al +34 91 7160555)

Para inscribirse, tienen que crear una cuenta en el sistema ECAS (EU Login) de la Unión Europea. Ya expliqué como hacerlo en el artículo Cómo tramitar en EPREL las etiquetas de eficiencia energética con certificados cualificados de persona jurídica. Para elegir una de las opciones de autenticación conviene descrgarse e instalar la App «EU Login Mobile»,

Una vez creada la cuenta, acceden a la plataforma EPREL con el enlace https://energy-label.ec.europa.eu/

Al acceder, salta el sistema de autenticación ECAS (EU Login) en el que hay que teclear la clave y la modalidad de autenticación (por ejemplo con la App «EU Login Mobile») según la variante que se eligió al darse de alta.

Si es la primera vez que se accede, el sistema va guiando al usuario para ayudarle a inscribir su entidad en la plataforma EPREL.

Una vez inscrita, ya se accede a la interfaz de manejo:

Volviendo al momento en el que se produce el acceso a EPREL por primera vez, la persona que accede es inicialmente el Administrador de Proveedores (Admin/Supplier Admin) de una Organización EPREL por lo que se le va guiando de forma que cree ese perfil de usuario en la plataforma. Más adelante podrá delegar esta función en otro Supplier Admin.

El siguiente paso es definir la Organización EPREL: En esta fase se le pide al usuario que indique si la Organización que está creando es una Persona Jurídica o una Persona Física. Lo normal será indicar persona jurídica (Legal Entity) aunque excepcionalmente las personas físicas podrían tambien constituirse en proveedores.

A continuación hay que definir las marcas comerciales propias que se inscribirán en EPREL: Los Administradores de Proveedores son los únicos usuarios con un perfil que permite establecer las marcas comerciales que se utilizarán en el registro de los modelos. Es obligatorio definir al menos una marca, para poder empezar a registrar modelos de productos. Se pueden añadir marcas en cualquier momento, más adelante en el proceso.

Al registrar los modelos, se selecciona la marca adecuada de una lista desplegable de marcas ya inscritas en pasos anteriores.

Las operativas de una entidad se pueden repartir entre varias personas, de modo que el primer usuario puede invitar a otros miembros a su organización.

Por ejemplo, los «Administradores de Proveedores» pueden invitar a otros usuarios para que se conviertan en «Administradores de Proveedores», «Usuarios de Proveedores» y «Lectores de Proveedores» de su Organización y gestionen el registro de modelos. Una organización puede tener varios administradores de proveedores, todos ellos con un perfil de usuario que les permite editar el perfil de la organización.

Es necesario verificar la organización EPREL. Así se garantiza que la organización está autorizada a actuar como proveedor, con respecto a las obligaciones derivadas del Reglamento (UE) 2017/1369 por el que se establece un marco para el etiquetado energético («el Reglamento marco»). Y también que el usuario que actúa como administrador de proveedores, está habilitado para registrar modelos en nombre de su organización. Antes de registrar cualquier modelo, la organización debe ser un proveedor «verificado «.

Para el proceso de verificación es necesario disponer del certificado cualificado de persona jurídica de EADTrust. En el caso de entidades españolas el Identificador de Organización (Organisation Identifier) es el CIF (Código de Identificación Fiscal)

Una vez llegados a este punto, ya es posible registrar modelos de productos para la organización. Normalmente, el registro de productos lo realizan los «usuarios de los proveedores», pero el «administrador de los proveedores» también puede hacerlo.

Contacte con EADTrust en el +34 91 716 0555 si necesita más información sobre los certificados cualificados de persona jurídica para EPREL.

Vea en el Blog de EADTrust información sobre EPREL

Dispositivo cualificado de protección de claves

Llevamos desde 2014, fecha de aprobación de reglamento EIDAS, llamando a las tarjetas chip, a los tokens criptográficos y a los HSM (Hardware Security Module) «Dispositivo cualificado de creación de firma» .

Si nos remontamos a la Directiva 93/1999, la denominación sería «Dispositivo seguro de creación de firma«.

Pero es un error.

Los certificados cualificados (como los demás tipos de certificado) tienen un campo denominado «Key Usage» y en ese campo se indica si el certificado se usará para «firma electrónica» (ContentCommitment) o para «autenticación» (DigitalSignature), por ejemplo, con la opción de autenticación de cliente del protocolo TLS.

Además caben otros usos e, incluso, podrían combinarse, activando estos dos, «ContentCommitment» y «DigitalSignature» simultáneamente.

Desde el punto de vista del alcance de la regulación, ni la Directiva 93/1999, ni el Reglamento 910/2014, han definido de forma expresa la posibilidad de autenticar al titular de los certificados cualificados. Pero esa posibilidad siempre ha estado ahí. Aunque solo se ha considerado la firma electrónica (y, a partir del Reglamento, el sello electrónico) los certificados que incluyen activo el bit «DigitalSignature» en el campo «Key Usage» son certificados de autenticación.

Así lo recogía la norma técnica ETSI TS 102 280 y lo recoge en la actualidad la norma técnica ETSI EN 319 412-2.

Por tanto, si concluimos que los certificados pueden ser de autenticación, y no solo de firma electrónica el hecho de que residan en el mismo dispositivo seguro de protección de claves privadas tanto para un uso como para el otro, debería determinar que el dispositivo se denominara «Dispositivo cualificado de protección de claves» y no «Dispositivo cualificado de creación de firma«

Por cierto, también creo que los bits del «Key Usage» deberían tener denominaciones distintas. Ya hubo un avance cuando quedó obsoleta la denominación «Non repudiation» en diversas normas técnicas y fue sustituida por «Content Commitment«, lo que en verdad significa «firma» porque en la firma el firmante se vincula con el contenido firmado. Pero la vieja denominación «Digital Signature» todavía persiste porque justifica técnicamente que en un protocolo de reto-respuesta, la respuesta se calcula realizando la operación criptográfica de la firma digital sobre el reto. Pero, en realidad esto es un proceso de Autenticación, y llamarlo «Digital Signature» es equívoco para expertos y legos. Los términos adecuados seguramente son «Signature» (en vez de «Content Commitment«) y «Authentication» (en vez de «DigitalSignature«), pero pueden pasar años antes de que estos términos los veamos en la normas técnicas o en la legales.

Digital por diseño

Va llegando el momento de abandonar el término «transformación digital» que transmite la idea de que hay que cambiar los procesos de las organizaciones, conforme avanza la digitalización de la sociedad y la adopción masiva de las tecnologías de la información.

Con el estado actual de la tecnología y de la legislación, no tiene sentido diseñar procesos de información, contratación o mero trámite que no estén diseñados desde el principio pensando en el valor probatorio de los registros digitales administrados con ayuda de la criptografía.

En todo caso, cualquier concesión a procedimientos o actuaciones arcaicos debe ser en atención a la experiencia de usuario.

Uno de los aspectos claves del nuevo paradigma es la gestión de la identidad digital de las personas con las que se relacionan las entidades que debería tener en cuenta la posibilidad de acceso de personas de diversa procedencia y medios de identificación.

Las «piezas de lego» que facilitan la gestión digital por diseño de los procedimientos preservando la seguridad jurídica son componentes como las firmas electrónicas de persona, los sellos electrónicos de empresa, los sistemas de conservación digital de documentos electrónicos (incluso con códigos seguros de verificación) y evidencias electrónicas, los sellos de tiempo electrónicos, los sistemas de gestión de información de representación (de otras personas o de empresas) los sistemas que permiten comprobar la validez de las firmas y de los sellos, los que permiten gestionar mecanismos de identificación y de firmas y sellos «en la nube», los que permiten realizar la digitalización certificada de documentos, los que permiten la identificación remota co y los que permiten acreditar las notificaciones electrónicas.

En la actualidad. el Reglamento (UE) Nº 910/2014, de 23 de julio, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (eIDAS), ofrece una buena base para construir sistemas digitales con valor legal admisibles en todos los países miembros, sea cual sea el país de origen, de entre los europeos.

Un aspecto clave en la digitalización por diseño es que la experiencia de usuario debe ser una de las principales prioridades en el diseño de los procesos, para evitar repetir errores de usabilidad  que en el pasado no contribuyeron a poner en valor tecnologías como el DNI electrónico, que se expide desde 2006.

El despliegue de sistemas digitales de gestión debería preservar principios esenciales como el «soporte duradero» o la «simetría probatoria» (igualdad de armas) para que los usuarios de las plataformas cuenten con la misma posición respecto a la prueba digital que los promotores de las plataformas.

El conocimiento técnico y legal de estos principios de despliegue digital ayudará a las entidades a diseñar sistemas digitales eficientes, sencillos y con valor probatorio por lo que es útil contar con especialistas a los que consultar.

Los sistemas de gestión de identidad disponibles ya contemplan la interoperabilidad entre países con «nodos eIDAS» como el español que se instancia a través del sistema «Cl@ve«.

 

Las criptoinversiones se las llevan las ballenas

«¡Pero qué velocidad! ¿Esto qué es?» es lo que decimos todos los que estamos haciendo nuestros pinitos como inversores en criptodivisas y estamos pendientes de las ICO «Initial Coin Offering».

En un breve lapso de tiempo bitcoin pasó de $ 2200. a $ 1700, y el éther pasó de $ 203 a $ 150. Después, el éther pasó de $ 150 a $ 220, y el bitcoin subió $ 2400. Y ahora está a 6666 euros. Todo muy rápido.

No hace mucho, cuando salió al mercado el Token de atención básica (BAT) del nuevo navegador Brave, un error en la programación del contrato inteligente de la ICO la lió con el tope de admisión de compras de la ICO. Como consecuencia, en lugar de recaudar $ 25 millones terminaron recaudando $ 35 millones. En 30 segundos. Eso sí que fue rápido.

¿Que esta pasando?

Pues que está floreciendo un mercado de iniciativas de creación de empresas y proyectos de gente con talento que enriquece el ecosistema creado alrededor de las criptodivisas. Y, por cierto, también un mercado de fraude disfrazado de ICO que solo quiere llevarse nuestro dinero.

Hace menos de un año  el éther era aproximadamente el 5 por ciento del mercado y todas las otras altcoins tenían otro 5 por ciento, en un contexto dominado por bitcoin. Ahora hemos llegado a que  bitcoin supone el 50% de la actividad en torno a criptomonedas (incluyendo las ICO) y el otro 50 por ciento es ya un mercado de altcoins y tokens de ICOS. El valor total de todas las monedas y tokens se ha cuadruplicado. Todo muy rápido.

Las ballenas de Bitcoin se alimentan de tokens

Cualquier minero o inversor tempranero que apostó al principio por Bitcoin tiene ahora miles de bitcoins. Los llamamos ballenas y la mayoría son chinas.  Estas «ballenas de bitcoin» son ahora muy ricas. Quieren reducir su exposición al bitcoin, pero no quieren convertirlos en moneda de curso legal porque perderían rentabilidad y tendrían que pagar impuestos.  De hecho, lo que les gustaría hacer es sacar su dinero de China sin que el gobierno lo sepa. Así que están buscando altcoins, especialmente tokens representativos de valor.

¿Por qué? Porque si sale un token que probablemente suba en valor, será más seguro que tener toda su «patrimonio» en bitcoins. Los chinos están comprando cualquier token de salidas de empresas que tenga buena pinta y pueda incrementar valor.

Esperan de 3 a 9 meses con la expectativa de duplicar el valor de su inversión y pasar al siguiente token. Esto diversifica su cartera al tiempo que mantiene sus obligaciones tributarias y de notificación a las autoridades tributarias en el mínimo.

Por lo tanto, las ballenas están efectivamente absorbiendo  tokens como si fuera plancton e impidiendo que los compradores naturales (los que apoyan el proyecto) compren tokens en la oferta inicial. Efectivamente tienen una pistola gigante cargada de efectivo. No hace mucho, una ballena pagó alrededor de $ 2,000 solo en comisiones de éther para confirmar su operación de  7 millones de dólares por cerciorarse de confirmar su operación con preferencia a las demás. Probablemente 1,000 veces más de lo que normalmente se paga en comisiones, para tener la certeza de ser de los primeros.

Si una ballena cierra la compra de tokens en un salida y fuerza la emisión de nuevos tokens, lo hace solo para tener cerrado el precio de bitcoin durante varios meses. A la ballena no le importa de qué va el proyecto, siempre que no tenga aspecto de fraude.

¿Hasta qué punto es malo? De momento, se puede decir que estos inversores no tienen ningún interés real en el proyecto.  No hacen muchos deberes para valorarlo. Buscan comentarios y opiniones en redes sociales de inversores  y aprietan el gatillo.

Pero se puede considerar que son entidades que respaldan la emisión, como los bancos de inversión en las salidas a bolsa, que se comprometen a adquirir lo que no haya absorbido el mercado. En cierta forma se convierten , a su vez en entidades colocadoras que redistribuyen los token (pensemos en ellos como si fueran acciones) a oros comparadores. Y la entidad que hizo la ICO consigue su objetivo de financiación.

La estrategia de estos inversores no contempla vender con pérdidas, por lo que durante el siguiente año o más ven como evoluciona el valor de sus tokens y los venden cuando han aumentado su valor.

En cierto modo, la excepción ha sido el caso de la ICO del navegador Brave, cuyos tokens ya estaban cambiando de manos a 4 veces su precio inicial pocas horas después del cierre de la ICO. Pero siempre es una apuesta en favor del crecimiento del valor.

En esa estrategia a largo plazo, tras unos meses, cuando el proyecto alcanza ciertos hitos descritos en su plan, el precio del token aumenta, y los compradores naturales de esa entidad acuden para respaldar el precio, y hacerse con unos token que todavía pueden subir más, con lo que se consolidan las ganancias para todos. Los primeros compradores asumen la mayor parte del riesgo, y los segundos compradores consolidan el valor del token al cabo del tiempo.

Pero como en todos los aspectos de la vida, hay especuladores que pueden intentar manipular el valor del token con diferentes intereses.

Y un mismo inversor puede especular al alza o a la baja. Al comprar todos los tokens el precio subirá. Y tras especular al alza comprando grande volúmenes el inversor empieza a vender, también con grandes volúmenes lo que crea presión a la baja que puede llevar a otros inversores a vender, y causando al final un colapso de valor del token. Sin que haya realmente un motivo para ello en el proyecto.

Afortunadamente, este enfoque es minoritario, contando con que a los inversores no les gusta perder dinero, de modo que solo si tienen problemas de liquidez en su cartera, venderán con pérdidas.

Por otro lado muchas ICO  no alcanzan el límite previsto por sus promotores. De 158 ICO reconocidas, 118  no han completado la financiación. Más de la mitad no alcanza su máximo al cierre. Con lo que se puede concluir que los inversores están siendo selectivos. Claro que son noticias más significativas las relativas a las ventas rápidas.

En el contexto de la sostenibilidad de la valoración de los tokens a largo plazo, sin despreciar el efecto de los grandes compradores, tienen un papel definitivo los compradores naturales que van entrando y tomando posiciones conforme los primeros inversores  van recogiendo beneficios.

Ya que las Criptoinversiones se están haciendo populares en los medios de comunicación, se empiezan a publicar las gráficas de evolución de los valores de las DAO y sus ICO, con enormes subidas y muchos inversores convencionales se plantean sumarse a esta fiebre del oro. De modo que fluyen inversores de diversas procedencias a este nuevo «eldorado» de la criptoeconomía  a alimentar el frenesí comprador.

Hasta qué punto este afluencia crea un riesgo de burbuja no está del todo claro, ya que entre todos los inversores están los que aspiran a consolidar valores y permanecen estables con sus inversiones.

Los nuevos inversores tienen que lidiar con la fricción de aprender primero sobre criptodivisas como Bitcoin y Ether, hacerse con sus wallets correspondientes, encontrar los Exchanges mejores y mas baratos para convertir el dinero de curso legal en cibermonedas y después encontrar las plataformas de inversión y los pools de inversores (a veces hay que agruparse para competir con las ballenas).

La mayoría de las burbujas aparentes no son burbujas en este contexto. Cuando explotan, dejan víctimas en el proceso, pero luego los precios vuelven a subir y los que no se han puesto nerviosos recuperan el valor.

En este entorno de criptoeconomía tantos los especuladores como los inversores, una vez logran beneficios no suelen retornar a las monedas de curso legal

En todo caso la criptoeconomía está en sus inicios y hay mucho dinero convencional que observa atentamente lo que sucede, y que probablemente experimentará con el nuevo entorno, dando lugar a crecimientos llamativos por la mera demanda.
Hay incertidumbre con las noticias negativas que se publican en relación con los reguladores de diferentes países, pero con altibajos en las valoraciones, las tendencia subyacente es de crecimiento en Bitcoin, BitcoinCash, Ether, los tokens (de las ICO) y las altcoins (el resto de ciberdivisas). Seguiremos viendo crecimientos y correcciones.

El consejo general es no invertir en lo que no se entiende. Ni siquiera está claro como se debe producir la tributación. ¿Cual es la inversión, la ciberdivisa o el token? Hasta la fecha, las ganancias (o pérdidas) se producen al convertir dinero convencional en criptodivisas y al volver de las criptodivisas (y lo demás que se pueda hacer con ellas) al dinero convencional. ¿Y si solo convierto a dinero una pequeña parte y el resto sigue generando beneficios? (no me atrevo a llamarlo dividendos).

Para quienes quieran experimentar, la recomendación es que no inviertan en la criptoeconomía dinero que necesiten. Solo el dinero que estén dispuestos a perder. Con suerte, y análisis pueden llegar a ganar bastante dinero a medio plazo.