EADTrust se incorpora al Grupo Garrigues

Garrigues ha adquirido una participación del 51% en EAD Trust, compañía especializada en el desarrollo de productos y la prestación de servicios de confianza digital registrada como Prestador Cualificado de Servicios Electrónicos de Confianza en el Ministerio de Asuntos Económicos y Transformación Digital.

De este modo, el prestigioso despacho de abogados se posiciona en un mercado clave como es el de la confianza digital en el contexto del próximo reglamento eIDAS2 (Electronic IDentification, Authentication and Trust Services 2), una iniciativa de la Unión Europea para actualizar la normativa actual de servicios de confianza e identidad digital y conseguir un marco legal más adecuado a las necesidades de empresas y ciudadanos en una sociedad cada vez más conectada y digitalizada.

Con cerca de 15 años de historia, EAD Trust desarrolla servicios y productos digitales y proyectos a medida.

Su compromiso con la calidad y la innovación se refleja en su reconocimiento como Prestador Cualificado de Servicios Electrónicos de Confianza que opera en toda Europa, tras superar exigentes auditorías de cumplimiento, que se suman a sus certificaciones ISO 9001, ISO 27001, ISO 20000-1 y ENS de nivel medio.

La compañía emite certificados cualificados de persona física y jurídica, sellos de tiempo cualificados y certificados cualificados de sitio web, además de dar soporte a sellos y firmas electrónicas cualificadas en la nube y prestar servicios de contratación online y de interposición en las comunicaciones.

La labor de los proveedores de servicios de confianza como EAD Trust cobrará mayor relevancia con la próxima entrada en vigor del nuevo reglamento europeo –previsiblemente, este año–, que redefinirá el mercado. De hecho, este cambio regulatorio supondrá un desarrollo clave de la cartera europea de identidad digital IDUE (EUID Wallet), en la que EAD Trust está trabajando activamente. 

La entrada de Garrigues en su capital supone un reenfoque estratégico para EAD Trust, que se reflejará en los próximos meses en el lanzamiento de nuevos productos y servicios para fortalecer su posicionamiento en el mercado de la confianza digital tanto en España como en el resto de los países en los que está presente el despacho.

La amplia experiencia en economía digital de Garrigues y su visión regulatoria desde todas las perspectivas del derecho de los negocios constituyen una garantía de seguridad jurídica para los nuevos productos y servicios.

Fernando Vives, presidente ejecutivo de Garrigues, destaca que “la economía digital experimenta un crecimiento sin precedentes, lo que conlleva la necesidad de asegurar la seguridad jurídica en cada transacción digital. La inversión en EAD Trust constituye un paso muy relevante en la estrategia del despacho para desarrollar y habilitar infraestructuras digitales legales en los próximos años. Confiamos en que, de la mano de EAD Trust, seremos capaces de brindar soluciones innovadoras y seguras a nuestros clientes, fortaleciendo así la confianza en las transacciones digitales”.

Julián Inza, presidente de EAD Trust, explica que “nuestra misión es impulsar la sociedad del futuro con ideas, productos y servicios capaces de minimizar aquellas transacciones que mantienen el uso de papel por si fuera necesario su valor probatorio, dado que ya es posible generar, custodiar y presentar evidencias digitales de cualquier actividad o relación con las que dar respuesta técnica a todas las necesidades jurídicas. Estamos en un mundo que necesita pasar de un paradigma físico a otro digital y es preciso garantizar la aplicabilidad de las herramientas de seguridad jurídica en ambos. Con el apoyo de Garrigues, estamos listos para pasar al siguiente nivel”. 

Algunos puntos de interés:

• Registrada como Prestador Cualificado de Servicios Electrónicos de Confianza por el Ministerio de Asuntos Económicos y Transformación Digital, EAD Trust es una compañía especializada en el desarrollo de productos digitales y proyectos a medida, con énfasis en su validez legal
• Como resultado de esta alianza, en los próximos meses tendrá lugar el lanzamiento de nuevos productos y servicios relacionados con la confianza digital en el contexto del próximo reglamento europeo sobre identidad digital, eIDAS2
• Formar parte del Grupo Garrigues representa un enorme potencial para difundir las herramientas que permiten la Transformación DIgital de la Sociedad, sin merma del valor probatorio

Grupo de Expertos de la Comisión sobre identificación electrónica y procesos de Diligencia Debida de Identificación a distancia – E03571

Este Grupo de Expertos de la Comisión Europea tenía la siguiente denominación en Inglés: Commission expert group on electronic identification and remote Know-Your-Customer processes – E03571.

Tuve el honor de ser uno de los Expertos de este Grupo, representando a la AUI y el de participar en los trabajos que se desarrollaron entre 2018 y 2019.

Este grupo de expertos lo convocaron forma conjunta 3 direcciones generales de la Comisión Europea:

• CNECT – DG Communications Networks, Content and Technology  (Redes de Comunicaciones, Contenidos y Tecnología)
• FISMA – DG Financial Stability, Financial Services and Capital Markets Union (Estabilidad Financiera, Servicios Financieros y Unión de los Mercados de Capitales)
• JUST – DG Justice and Consumers (Justicia y Consumidores)

El 14 de diciembre de 2017, se adoptó la Decisión C(2017) 8405 final de la Comisión, de 14.12.2017, por la que se creaba el grupo de expertos de la Comisión sobre identificación electrónica y procesos remotos «Conozca a su cliente».

A partir de la primavera de 2018, el grupo de expertos (E03571) exploró las formas de facilitar el uso transfronterizo de la identificación electrónica (eID) y la extensión de las normas bancarias de Debida Diligencia de identificación de clientes (KYC) basada en herramientas de identificación y las de identificación y autenticación bajo eIDAS, Reglamento UE n.º 910/2014, para permitir a las instituciones financieras identificar digitalmente a los clientes con fines de incorporación.

El grupo estaba compuesto por 36 miembros entre reguladores, supervisores, expertos en identidad, entidades financieras implicadas en el cumplimiento de la Directiva contra el blanqueo de capitales, así como organizaciones de consumidores.

21 miembros del grupo procedían de las estructuras consultivas existentes (eIDAS, lucha contra el blanqueo de capitales y Comité Mixto de la AES), mientras que las 15 plazas restantes procedían de candidaturas de instituciones financieras y organizaciones de consumidores.

De España participaban dos personas, D. Julián Inza en representación de la AUI (Asociación de Usuarios de Internet) y D. Félix J. Pérez-Campos, Inspector del Sepblac.

Se crearon 2 Grupos de Trabajo:

• Grupo 1 – Estudio sobre las soluciones de on-boarding a distancia existentes en el sector bancario. Se analizaron 25 normativas europeas de identificación del cliente en contexto de lucha contra el blanqueo de capitales a distancia. Se contemplaron más de 50 procesos de identificación a distancia en 10 países. Se definió una taxonomía que clasificaba los procesos en 7 categorías de experiencia de usuario, denominadas en este contexto “Onboarding Customer Journey· (recorridos de embarque) típicos de alto valor.
• Grupo 2 – Marco para soluciones KYC/CDD reutilizables, en particular en el sector bancario. Se definió un Conjunto mínimo de atributos a efectos de DDC (Debida Diligencia de Clientes) en el sector bancario y nivel adecuado de garantía (LoA) según eIDAS (alto, sustancial y bajo)

Se incluyen a continuación los informes generados por los dos grupos de trabajo.

Grupo 1

Informe sobre soluciones de identificación remota en el sector bancario

published-ekyc-expert-group-report-on-existing-remote-on-boarding-solutions-in-the-banking-sector-december2019_enDescarga

Grupo 2

Estructuraa de datos a gestionar en los procesos de identificación remota

published-ekyc-expert-group-assessing-portable-kyc-cdd-solutions-in-the-banking-sector-december2019_enDescarga

Mientras se llevaban a cabo los trabajos de los dos grupos, la Comisión Europea publicó el documento Study on eID and digital onboarding: mapping and analysis of existing onboarding bank practices across the EU de gran interés:

study_on_eid_digital_onboarding_final_reportDescarga

¿Cabe entender que la Orden ETD/465/2021 solo permite el «onboarding» con herramientas automatizadas de comprobación de identidad ?

Hay debates entre especialistas sobre si la Orden ETD/465/2021 solo permite el «onboarding» con herramientas de comprobación de identidad automatizadas.

Hay quién opina que no, ya que el Artículo 4 establece claramente 2 modalidades de identificación remota por vídeo:

El proceso de identificación remota por vídeo se podrá realizar de forma asistida, con la mediación síncrona de un operador, o de forma no asistida, sin necesidad de interacción en línea entre un operador y el solicitante, con revisión posterior de un operador.

Según esa definición en un proceso atendido por operador no se requeriría una herramienta del tipo de las utilizadas en entornos que favorecen la actuación automatizada.

Sin embargo, hay quien opina que se debe entender que en el proceso asistido o síncrono, el operador es parte activa del proceso pero la toma de decisión de la identificación es realizada a partir de la información suministrada por una herramienta.

Por lo tanto, esta herramienta debería incorporar los medios técnicos para validar los documentos de identificación y verificar la correspondencia del titular de este documento con el solicitante que realiza el proceso y para verificar que es una persona viva que no está siendo suplantada.

Es una idea un poco peregrina, pero quien opina esto hace mención a que el artículo 8 de la Orden ETD/465/2021 indica:

La identidad del solicitante se acreditará mediante los documentos de identidad previstos en la ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza. Los documentos de identidad utilizados deberán incluir una fotografía y disponer de características de seguridad automáticamente comprobables en el proceso de identificación remota por vídeo de forma que se garantice la detección de falsificaciones y manipulaciones.

El hecho de exigir a los documentos de identidad que cuenten con características de seguridad automáticamente comprobables es un requisito que excede lo que la Orden puede imponer, porque no puede ir más allá de lo que indica el artículo 7 de la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza. Dado que este artículo 7 indica «La identificación de la persona física que solicite un certificado cualificado exigirá su personación ante los encargados de verificarla y se acreditará mediante el Documento Nacional de Identidad…», si el documento Nacional de Identidad no tuviera características de seguridad automáticamente comprobables no por ello dejaría de ser obligatoria su comprobación.

Por otro lado, el que los documentos de identidad cuenten con características de seguridad automáticamente comprobables facilita el proceso realizado de forma no asistida pero no lo impone.

Este «disidente» opina que de la lectura del artículo 11 de la Orden ETD/465/2021 hay que deducir que «al no existir personación del solicitante, la herramienta debe proporcionar al operador una comparación automática entre la imagen del rostro extraído del documento de identidad y una imagen de la cara capturada por la herramienta. Esta comparación automática es independiente de la modalidad de identificación remota por vídeo realizada»

Sin embargo, contra ese criterio, otros opinan que el apartado 4 del artículo 11 de la orden indica:

a) Medidas procedimentales que hagan patente dicha manipulación con la introducción de un código único, aleatorio e impredecible y de un solo uso generado al efecto y remitido al solicitante. El código constará de un mínimo de seis caracteres o sistema con entropía equivalente. El prestador comprobará que el dispositivo móvil al que se remite el código se encuentra en posesión del usuario durante el proceso de identificación. El órgano supervisor podrá poner a disposición de los prestadores una plataforma tecnológica de verificación de la asociación del usuario con el dispositivo móvil.

b) En el caso de la identificación remota por vídeo asistida, medidas organizativas que hagan patente dicha manipulación a través de la interacción con el documento de identidad utilizado y con el solicitante, según las indicaciones del operador, a través de interacciones y actuaciones físicas que figurarán en un protocolo que incluirá acciones tanto comunes como aleatorias y diferenciadas.

c) En el caso de la identificación remota por vídeo no asistida, el sistema requerirá al solicitante la realización activa de interacciones y actuaciones físicas, que figurarán en un protocolo que incluirá acciones tanto comunes como aleatorias y diferenciadas.

Y que del texto cabe deducir que en el caso de la identificación remota por vídeo asistida, las medidas son organizativas.

El punto más controvertido del debate es la referencia al apartado 5 del artículo 12 de la Orden ETD/465/2021:

Se conservará, por un periodo mínimo de tiempo de quince años, el resultado automático de la verificación realizada por la aplicación, así como la evaluación y observaciones realizadas por el operador junto a su decisión de aprobación o rechazo de la identificación.

Nuestro amigo dice que esa mención implica que es obligatorio el uso de una aplicación para la verificación. Otros opinamos que es una opción que solo aplica cuando hay una aplicación de verificación pero no en los casos en los que no hay ninguna aplicación.

(Estamos aplazando un nuevo debate para considerar la norma ETSI TS 119 461)

Seminario Internacional Reniec 2022

Hoy comienza a las 16:00 horas de España (y de Europa central) el Seminario Internacional Reniec 2022 con el lema «Identificación para un Perú Digital” en el que participo como ponente. Se extiende del 12 al 14 de julio de 2022 y tiene lugar de 09 a 13 horas, según huso horario de Perú (de 16:00 a 20:00 según horario de España).

Seminario Internacional RENIEC 2022

Este evento ha tenido lugar de forma presencial durante pasadas ediciones en Lima (Perú) y en esta ocasión el formato es «on line».

La inscripción es gratuita (ver formulario en la parte de abajo de la página).

El hashtag del eveneto será #SeminarioReniecDigital2022

El Seminario tiene como objetivo fortalecer los conocimientos previos, compartir las experiencias nacionales e internacionales y construir oportunidades para un intercambio efectivo de buenas prácticas en los temas de identificación y registros civiles.

El Seminario lo organiza el Registro Nacional de Identificación y Estado Civil (RENIEC) y el Banco Interamericano de Desarrollo (BID), y presenta conferencias y paneles. Comienza con una ceremonia inaugural.

Se tratarán diversos temas, “Avances del Sistema de Identificación en el Perú” a cargo de la Jefa Nacional de RENIEC, Carmen Velarde Koechlin, “Arquitecturas Organizacionales Sostenibles o Resilientes” a cargo de Juan Carlos Miranda, Manager Regional de Centro América y VP de Consultoría de Krüger Corporation, “El Valor de la Identificación para el Desarrollo de las Personas” a cargo de Bernard Norvant, “Integración de Sistemas de Registro Civil e Identificación” a cargo de Sharon Sinclair, Directora Nacional del Registro Civil del Tribunal Electoral de Panamá.

El día 13, se expondrá, “Identidad Digital y Estándares Internacionales” a cargo de Stephanie de Labriolle, Gerente de Asuntos Públicos y Relaciones Internacionales, Secure Identity Alliance, “Tecnologías de Identificación Emergentes / Experiencias de la Automatización para la Identificación” a cargo de Jose Luis Hernández, Especialista Senior de Gobierno Digital del Banco Interamericano de Desarrollo y Julián Inza, Consultor Internacional y Especialista en Nuevas Tecnologías, “Gobierno Digital en Países Lideres en Economía Digital” a cargo Jose Clastornik, Ex director general del Proyecto BID en OSCE.

El día 14 de julio se expondrán, “Servicios Digitales del Estado para Ciudadanos” a cargo del representante del Ministerio del Interior de Korea, “La Identificación Electronica como componente clave de la Digitalización de un país” a cargo de Erika Piirmets de Digital transformation adviser en e-Estonia Briefing Centre, “Gestión del Cambio y Transformación Cultural” a cargo de Gabriel Weinstein, “Organizaciones Agiles” a cargo de Jean Barroca, Consultor en Modernización Digital del Sector Publico en Deloite.

Expedición de certificados cualificados sin comparecencia presencial (a distancia)

El Reglamento UE 910/2014 establece en su artículo 24:

1.   Al expedir un certificado cualificado para un servicio de confianza, un prestador cualificado de servicios de confianza verificará, por los medios apropiados y de acuerdo con el Derecho nacional, la identidad y, si procede, cualquier atributo específico de la persona física o jurídica a la que se expide un certificado cualificado.

La información a que se refiere el párrafo primero será verificada por el prestador de servicios de confianza bien directamente o bien por medio de un tercero de conformidad con el Derecho nacional:

1. en presencia de la persona física o de un representante autorizado de la persona jurídica, o
2. a distancia, utilizando medios de identificación electrónica, para los cuales se haya garantizado la presencia de la persona física o de un representante autorizado de la persona jurídica previamente a la expedición del certificado cualificado, y que cumplan los requisitos establecidos con el artículo 8 con respecto a los niveles de seguridad «sustancial» o «alto», o
3. por medio de un certificado de una firma electrónica cualificada o de un sello electrónico cualificado expedido de conformidad con la letra a) o b), o
4. utilizando otros métodos de identificación reconocidos a escala nacional que aporten una seguridad equivalente en términos de fiabilidad a la presencia física. La seguridad equivalente será confirmada por un organismo de evaluación de la conformidad.

El apartado 24-1.b permite la identificación a través de una plataforma de gestión de identidad siempre que se hayan adoptado medidas de seguridad apropiadas. El Reglamento de Ejecución (UE) 2015/1502 de la Comisión de 8 de septiembre de 2015 orienta sobre los aspectos a cumplir.

Para el caso de la opción  24-1.d ya existe en España adecuada cobertura según la Ley 6/2020 (Artículo 7):

(…) 
Podrá prescindirse de la personación de la persona física que solicite un certificado cualificado si su firma en la solicitud de expedición de un certificado cualificado ha sido legitimada en presencia notarial. 
(…) 
2. Reglamentariamente, mediante Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital, se determinarán otras condiciones y requisitos técnicos de verificación de la identidad a distancia y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación como videoconferencia o vídeo-identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física según su evaluación por un organismo de evaluación de la conformidad. La determinación de dichas condiciones y requisitos técnicos se realizará a partir de los estándares que, en su caso, hayan sido determinados a nivel comunitario. 
Serán considerados métodos de identificación reconocidos a escala nacional, a los efectos de lo previsto en el presente apartado, aquellos que aporten una seguridad equivalente en términos de fiabilidad a la presencia física y cuya equivalencia en el nivel de seguridad sea certificada por un organismo de evaluación de la conformidad, de acuerdo con lo previsto en la normativa en materia de servicios electrónicos de confianza.

Este artículo da cobertura legal a la adopción de estas dos normas:

• Orden ETD/465/2021, de 6 de mayo, por la que se regulan los métodos de identificación remota por vídeo para la expedición de certificados electrónicos cualificados. Normativa a cumplir para la identificación a distancia (videoconferencia y videoidentificación) y criterios de auditoría para permitir la evaluación de los sistemas que la implementan. Específica de España
• ETSI TS 119 461 V1.1.1 (2021-07) – Policy and security requirements for trust service components providing identity proofing of trust service subjects. Para uso en toda la Unión Europea. Toca más casos de uso, no solo la videoidentificación remota .

Los CABs (Conformity Assessment Bodies) ya contemplan estas normas en sus auditorías.

Y es algo muy necesario como se pudo comprobar en la fase de confinamiento de la ciudadanía del primer semestre de 2020 provocado por la enfermedad COVID-19.

Proyecto de Orden sobre los métodos de identificación no presencial para la expedición de certificados electrónicos cualificados (OM Telepersonación)

El Reglamento (UE) nº 910/2014, del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE contempla en su artículo 24.1 d) la posibilidad de verificación de la identidad del solicitante de un certificado cualificado utilizando otros métodos de identificación reconocidos a escala nacional que garanticen una seguridad equivalente en términos de fiabilidad a la presencia física.

En España se ha ido consolidando la percepción de la urgencia de contar con una previsión legal para ello, de lo que ya se ha tratado en este blog en diferentes entradas:

• Orden Ministerial para favorecer la identificación a distancia en la expedición de certificados cualificados
• Habilitación para identificación remota en servicios de confianza
• Videoconferencia en gestiones tributarias
• ¿debe admitirse la expedición de certificados cualificados mediante la identificación del firmante por telepersonación?
• Nuevas opciones de identificación a distancia para prestadores de servicios de certificación.

El 4 de noviembre de 2020 el Ministerio de Asuntos Económicos y Transformación Digital remitió un correo electrónico a los prestadores de servicios de certificación y otras entidades interesadas informando sobre la tramitación de la nueva Orden sobre los métodos de identificación no presencial para la expedición de certificados electrónicos cualificados con objeto de desarrollar el artículo 13.6 de la Ley 59/2003, de 19 de diciembre, de firma electrónica, determinando las condiciones y requisitos técnicos aplicables a la verificación de la identidad y, si procede, otros atributos específicos de la persona solicitante de un certificado electrónico cualificado, mediante otros métodos de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física, tal y como prevé el artículo 24.1 d) del Reglamento (UE) 910/2014, del Parlamento y del Consejo, de 23 de julio, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE.

El correo electrónicio citado, de acuerdo con el artículo 26 de la Ley 50/1997, de 27 de noviembre, del Gobierno invitaba a participar en el proceso de audiencia pública recogido en el portal del Ministerio. con el escaso plazo de una semana que concluyó el 11 de noviembre de 2020.

Además del texto propuesto, se acompañaba al borrador de Orden Ministerial de Telepersonación, su Memoria de Anaálisis de Impacto Normativo:

• OM Telepersonación (PDF – 59 KB)
• MAIN OM Identificación Remota (PDF – 335 KB)

Se incluye la copia local de los citados docuementos:

sedia_om_telepersonacion_-audiencia_publicaDescarga

sedia_main_om_identificacion_remota_-audiencia_publicaDescarga

Orden Ministerial para favorecer la identificación a distancia en la expedición de certificados cualificados

Como ya se ha comentado en otras ocasiones en este blog, la identificación a distancia prevista en el apartado d) del artículo 24.1 del Reglamento EIDAS es esencial para lograr la generalización de la posesión y uso de certificados electrónicos, y de manera singular en tiempos de limitaciones de movilidad o indisponibilidad de los servicios presenciales de la administracion, como ha sucedido durante las fases de confinamiento por la pandemia COVID-19 y podría volver a suceder.

Pese a que ya existen diversas normas técnicas y legales que puede utilizar un CAB (Conformity Assessment Body) para valorar si un Prestador de Servicios Electrónicos de Confianza emplea métodos de identificación que aportan una seguridad equivalente en términos de fiabilidad a la presencia física, el hecho de que existiera una norma específicamente diseñada para ello, constituiría una ayuda inestimable, especialmente en cuanto supone una presunción del cumplimiento de la equivalencia de métodos de identificación.

En las semanas pasadas se han ido produciendo diferentes desarrollos legales que animan a pensar que finalmente se publicará en España una norma para ello, posiblemente una Orden Ministerial.

El 28 de febrero de 2020 se inició en el Congreso el trámite parlamentario necesario para la publicación de la futura «Ley reguladora de determinados aspectos de los servicios electrónicos de confianza». En el borrador de la norma remitido al Congreso, el artículo 7.2 indicaba:

Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital se determinarán las condiciones y requisitos técnicos aplicables a la verificación de la identidad y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física.

El texto que pasó al senado reflejaba una enmienda:

Reglamentariamente podrán determinarse otras condiciones y requisitos técnicos de verificación de la identidad a distancia y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física según su evaluación por un organismo de evaluación de la conformidad. La determinación de dichas condiciones y requisitos técnicos se realizará a partir de los estándares que, en su caso, hayan sido determinados a nivel comunitario.

Serán considerados métodos de identificación reconocidos a escala nacional, a los efectos de lo previsto en el presente apartado, aquellos que aporten una seguridad equivalente en términos de fiabilidad a la presencia física y cuya equivalencia en el nivel de seguridad sea certificada por un organismo de evaluación de la conformidad, así como aquellos que se habiliten o se hayan habilitado, por organismos competentes, en cualquier otro ámbito de nuestro ordenamiento jurídico, a los efectos de llevar a cabo una identificación no presencial por medios electrónicos o telemáticos. En especial, serán válidos, a los efectos de la comprobación de la identidad de los solicitantes de un certificado cualificado, los procedimientos autorizados para la identificación no presencial mediante videoconferencia o mediante video-identificación en el ámbito de la Prevención de Blanqueo de Capitales, de acuerdo con sus últimas estipulaciones.

Aunque el término «Reglamentariamente» puede interpretarse en el sentido de «dictar cuantas disposiciones sean precisas para su desarrollo», hay opiniones que inducen a pensar que pudiera ser necesario un Real Decreto para ello, de gestión más compleya y larga que una orden Ministerial.

Por ello, podría ser conveniente modificar el texto en el trámite en el Senado para sustituir «Reglamentariamente» por «Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital» para volver al espíritu de la Orden Ministerial.

Anticipándose a la finalización del proceso del trámite parlamentario de la «Ley reguladora de determinados aspectos de los servicios electrónicos de confianza», que todavía puede requerir algunos meses, se publicó una modificación de la Ley 59/2003 que permitiría la Orden Ministerial, en el Real Decreto-ley 27/2020, de 4 de agosto.

Disposición final cuarta. Modificación de la Ley 59/2003, de 19 de diciembre, de firma electrónica.

Se añade un nuevo apartado 6 al artículo 13 de la Ley 59/2003, de 19 de diciembre, de firma electrónica, con el siguiente tenor:

«6. Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital se determinarán las condiciones y requisitos técnicos aplicables a la verificación de la identidad y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física.»

Sin embargo, la Resolución de 10 de septiembre de 2020, del Congreso de los Diputados, por la que se ordena la publicación del Acuerdo de derogación del Real Decreto-ley 27/2020, de 4 de agosto, de medidas financieras, de carácter extraordinario y urgente, aplicables a las entidades locales dejó sin efecto dicha modificación.

Más recientemente, con la publicación del Real Decreto-ley 28/2020, de 22 de septiembre, de trabajo a distancia se ha incluido una nueva disposición que deja clara la determinación de publicar la Orden Ministerial

Disposición final quinta. Modificación de la Ley 59/2003, de 19 de diciembre, de firma electrónica.

Se añade un nuevo apartado 6 al artículo 13 de la Ley 59/2003, de 19 de diciembre, de firma electrónica, con el siguiente tenor:

«6. Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital se determinarán las condiciones y requisitos técnicos aplicables a la verificación de la identidad y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física.»

Actualización. En el BOE de 14 de mayo de 2021. Orden ETD/465/2021, de 6 de mayo, por la que se regulan los métodos de identificación remota por vídeo para la expedición de certificados electrónicos cualificados.

Videoconferencia en gestiones tributarias

La Disposición final primera del Real Decreto-ley 22/2020, de 16 de junio, por el que se regula la creación del Fondo COVID-19, introduce modificaciones en los artículos 99 y 151 de la Ley General Tributaria, para permitir el uso de sistemas digitales que establezcan una comunicación bidireccional y simultánea de imagen y sonido y una interacción visual, auditiva y verbal entre Administración y obligados tributarios.

La Agencia Tributaria ha adoptado estos sistemas, de los que hará uso previa conformidad del obligado tributario en relación con su uso, fecha y hora.

• Real Decreto-ley 22/2020, de 16 de junio,por el que se regula la creación del Fondo COVID-19 y se establecen las reglas relativas a su distribución y libramiento. Disposición final primera. (BOE, 17-junio-2020)

¿debe admitirse la expedición de certificados cualificados mediante la identificación del firmante por telepersonación?

Entre noviembre y diciembre de 2016 la Subdirección General de Servicios de la Sociedad de la Información, encuadrada en la Secretaría de Estado para la Sociedad de la Información y la Agenda Digital, del Ministerio de Energía, Turismo y Agenda Digital llevó a cabo una consulta pública sobre la adaptación del Ordenamiento jurídico español al Reglamento (UE) 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE.

Tras la consulta se publicó un resumen cualitativo con las respuestas recibidas.

La Pregunta 2 de la consulta era: en relación con el artículo 24.1 d), ¿debe admitirse la expedición de certificados cualificados mediante la identificación del firmante mediante telepersonación? En caso afirmativo, ¿cómo propondría que se verificase que este medio de identificación ofrece una seguridad equivalente en términos de fiabilidad, a la identificación mediante personación?

Según el citado resumen («Respuestas-anteproyecto-Ley-Servicios-Confianza«) la mayoría de los participantes coinciden en la admisión de métodos alternativos a la personación para identificar a los solicitantes de certificados cualificados y la gran mayoría coinciden en proponer al menos el sistema previsto por el SEPBLAC o una solución conforme a la norma ETSI EN 319 411-2.

Por aquellas fechas, el SEPBLAC autorizó adicionalmente los sistemas de videoidentificación para su entrada en vigor el 1 de enero de 2017.

Pese al consenso respecto a la adopción en el ámbito de la identificación remota para la expedición de certificados cualificados definidos en el Reglamento UE nº 910/2014 (EIDAS) de los sistemas de identificación autorizados por el SEPBLAC,  desde el año 2016 no se ha producido ningún avance en la admisión de estos métodos por el Organismo Supervisor español.

Hasta que en el contexto de la pandemia COVID-19 se publicó el Real Decreto-ley 11/2020, de 31 de marzo, por el que se adoptan medidas urgentes complementarias en el ámbito social y económico para hacer frente al COVID-19.

La imposibilidad de personación ante las RAs de los Prestadores de Servicios de Certificación (especialmente ante la Agencia Tributaria, una de las principales redes de RA de la FNMT) estaba dificultando la obtención de certificados electrónicos con los que realizar trámites frente a las administraciones públicas en un momento en el que se tramitaban ERTES y se debían gestionar otros muchos trámites urgentes.

Después de tantos años, después de que en muchos países que aplican el EIDAS esté perfectamente normalizado la obtención de certificados de forma remota, en España esta opción no estaba admitida en la práctica.

En el citado Real Decreto-ley se incluye la disposición adicional undécima que autoriza transitoriamente la videoconferencia:

Durante la vigencia del estado de alarma, decretado por el Real Decreto 463/2020, de 14 de marzo, se permitirá la expedición de certificados electrónicos cualificados de acuerdo con lo previsto en el artículo 24.1.d) del Reglamento (UE) 910/2014, de 23 de julio, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior. A tal efecto, el organismo supervisor aceptará aquellos métodos de identificación por videoconferencia basados en los procedimientos autorizados por el Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias o reconocidos para la expedición de certificados cualificados por otro Estado miembro de la Unión Europea. La equivalencia en el nivel de seguridad será certificada por un organismo de evaluación de la conformidad. Los certificados así emitidos serán revocados por el prestador de servicios al finalizar el estado de alarma, y su uso se limitará exclusivamente a las relaciones entre el titular y las Administraciones públicas.

Esta disposición coincide en el tiempo con el trámite parlamentario del Proyecto de Ley reguladora de determinados aspectos de los servicios electrónicos de confianza.

En estos momentos hay dos documentos publicados en la página web del Congreso de los Diputados en relación con este procedimiento legislativo:

• BOCG. Congreso de los Diputados Núm. A-4-1 de 28/02/2020 Pág.: 1
  Iniciativa     texto íntegro     (PDF)
• BOCG. Congreso de los Diputados Núm. A-4-2 de 30/04/2020 Pág.: 1
  Enmiendas e índice de enmiendas al articulado     texto íntegro     (PDF)

Afortunadamente hay algunas propuestas de enmiendas que tratan del asunto de la identificación a distancia previa a la expedición de certificados cualificados:

El Grupo Parlamentario Plural con la enmienda 17 propone modificar el apartado 2 del artículo 7 sugiriendo el siguiente texto:

Artículo 7. Comprobación de la identidad y otras circunstancias de los solicitantes de un certificado cualificado.

«2. Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital Reglamentariamente se determinarán las condiciones y requisitos técnicos aplicables a la verificación de la identidad y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física. La determinación de dichas condiciones y requisitos técnicos se realizará a partir de los estándares que, en su caso, hayan sido determinados a nivel comunitario.»

JUSTIFICACIÓN

El artículo 24 de ReIdAS establece que «Al expedir un certificado cualificado para un servicio de confianza, un prestador cualificado de servicios de confianza verificará, por los medios apropiados y de acuerdo con el Derecho nacional, la identidad y, si procede, cualquier atributo específico de la persona física o jurídica a la que se expide un certificado cualificado», por lo que estamos de acuerdo con los artículos 6 y 7.

La fase de identificación es la base sobre la que se asienta la prestación de servicios de confianza en general, certificación en particular. En los últimos años están surgiendo algunas cuestiones sobre aspectos relacionados con esta, tanto en lo referente a la operativa (identificación telemática o por videoconferencia) como a la demostración de atributos específicos (como la representación, ya tratado en el artículo el punto 3 del artículo 7).

El punto 2 del artículo establece que «Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital se determinarán las condiciones y requisitos aplicables a la verificación de la identidad y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificados mediante otros medios de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física».

Si el objetivo de ReIdAS era el de garantizar la validez de los Servicios de confianza, en especial la de los certificados de firma, no tiene mucho sentido que estos criterios técnicos aplicables a la verificación de la identidad sean aprobados de forma unilateral por orden ministerial. Pensamos que dichas condiciones y requisitos deberían ser establecidas por otros estamentos a nivel europeo.

Por otra parte, nos gustaría que se estableciera algún tipo de procedimiento para hacer propuestas, o que hubiera algún tipo de vía de colaboración con los diferentes prestadores de servicios para estudiar las alternativas y las novedades existentes.

 

El Grupo Parlamentario Popular con la enmienda 37 propone modificar el apartado 2 del artículo 7 sugiriendo el siguiente texto:

«2. Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital podrán determinarse otras condiciones y requisitos técnicos de identificación a distancia que faciliten la adopción de dichos métodos y su evaluación de conformidad.

Igualmente, serán considerados métodos de identificación reconocidos a escala nacional, que aporten una seguridad equivalente en términos de fiabilidad a la presencia física, aquellos que se habiliten o se hayan habilitado, por Organismos Competentes, en cualquier otro ámbito de nuestro ordenamiento jurídico a los efectos de llevar a cabo una identificación por medios electrónicos y, en especial, la regulada en el ámbito de la prevención del Prevención de Blanqueo de Capitales.»

JUSTIFICACIÓN

La posibilidad de identificar a distancia las personas físicas está contemplada en el Reglamento eIDAS (art. 24.1.b) y no aceptar dicha posibilidad restringe el mercado de los prestadores españoles frente a prestadores de la UE que lo permiten ya.

De manera similar a todos los Estados Miembros, España ya tiene regulación reconocida a escala nacional que prevé la posibilidad de realizar identificación remota. Esta regulación está desarrollada en múltiples sectores (sujetos obligados) incluyendo el sector financiero, coordinada por el SEPBLAC en España y define requisitos técnicos y operacionales en nuestro marco regulatorio en la línea de lo que se ha definido en otros países europeos.

La utilización de una orden ministerial que regule aspectos adicionales, como información a incluir en el certificado, puede ser recomendable, pero la duplicación de regulación no es solo ineficiente, sino que puede dar lugar a problemas de inconsistencia entre el mercado financiero y los servicios de confianza incrementando la exposición al riesgo de usuarios y consumidores que no tendrán una experiencia de uso consistente y no detectarán tempranamente una implementación fraudulenta.

Existen numerosos ámbitos dentro de nuestro ordenamiento jurídico en que el distintos Organismos Públicos han aprobado o deberán aprobar normas, circulares y/o recomendaciones que habiliten mecanismo de identificación electrónica que tengan eficacia equivalente a la identificación de manera física. Por tanto, la Ley de Servicios de Confianza debería dar reconocimiento a todos estos sistemas.

Confiemos en que estas enmiendas se acepten y la identificación a distancia para la expedición de certificados cualificados quede consolidada en nuestro ordenamiento jurídico.

 

Nuevas opciones de identificación a distancia para prestadores de servicios de certificación.

El artículo 24 del Reglamento eIDAS (Reglamento UE nº 910/2014) define varias formas en las que los prestadores de servicios de certificación pueden identificar a sus clientes solicitantes de certificado.  En su apartado 1 se indica:

1. Al expedir un certificado cualificado para un servicio de confianza, un prestador cualificado de servicios de confianza verificará, por los medios apropiados y de acuerdo con el Derecho nacional, la identidad y, si procede, cualquier atributo específico de la persona física o jurídica a la que se expide un certificado cualificado.

La información a que se refiere el párrafo primero será verificada por el prestador de servicios de confianza bien directamente o bien por medio de un tercero de conformidad con el Derecho nacional.

a) en presencia de la persona física o de un representante autorizado de la persona jurídica, o

b) a distancia, utilizando medios de identificación electrónica, para los cuales se haya garantizado la presencia de la persona física o de un representante autorizado de la persona jurídica previamente a la expedición del certificado cualificado, y que cumplan los requisitos establecidos con el artículo 8 con respecto a los niveles de seguridad «sustancial» o «alto», o

c) por medio de un certificado de una firma electrónica cualificada o de un sello electrónico cualificado expedido de conformidad con la letra a) o b), o

d) utilizando otros métodos de identificación reconocidos a escala nacional que aporten una seguridad equivalente en términos de fiabilidad a la presencia física. La seguridad equivalente será confirmada por un organismo de evaluación de la conformidad.

Hoy se ha conocido que la Agencia Tributaria equipara un video selfie a otras modalidades de identificación (entre las que se incluyen la identificación por certificado) para permitir el cambio del número de teléfono móvil asociado a la identificación con sistema Cl@ve gestionada por la propia Agencia Tributaria y que es posible usar en todas las administraciones públicas:

Registro Cl@ve

• Trámites
  • Trámites de registro
    • Registrarse en Cl@veAyuda
    • Registrarse en Cl@ve con certificado o DNI electrónico
    • Renunciar a Cl@veAyuda
  • Otros trámites
    • Regenerar Código de Activación de Cl@ve Permanente Ayuda
    • Modificar el teléfono con certificado o DNI electrónicoAyuda
    • Modificar el teléfono aportando vídeo y documentación relacionadaAyuda
    • Modificar el correo electrónicoAyuda
    • Obtener un nivel de seguridad superior en Cl@ve con certificado o DNI electrónicoAyuda
    • Revocar el certificado de Cl@ve Firma
• Información y Ayuda
  • Información general
  • Normativa, guías y manuales
  • Ayuda técnica
• Ficha

En el epígrafe «Modificación del teléfono aportando vídeo y documentación relacionada» se indica:

Avisos

• Mediante este trámite puede modificar el teléfono móvil asociado a su registro en Cl@ve aportando la información relacionada, que incluye un vídeo utilizado para contrastar su identidad.
• Puede obtener más información sobre este trámite pinchando aquí
• En la documentación deberá presentar:
• Copia del DNI/NIE por las dos caras.
• En el caso de los NIE, copia de la primera hoja del pasaporte.
• Copia de la última factura del nuevo teléfono móvil que quiere dar de alta en Cl@ve, en la que se visualice dicho número. No es necesario que se vean otros datos personales (números de IBAN) ni de consumo.
• Video autorretrato grabado por el solicitante (tipo video selfie) de máximo un minuto de duración en el que se muestre el DNI/NIE por las dos caras y donde el solicitante debe dar esta información:
  • Nombre y apellidos.
  • DNI/NIE.
  • Trámite que quiere realizar.
  • Número de teléfono que quiere registrar.
  • Puede usar esta frase a modo de guion:
    «Me llamo XXXX YYYY ZZZ, mi DNI es el 00000000 y quiero modificar el número de teléfono de mi registro en Cl@ve. El nuevo número es el 66666666» al tiempo que muestra el DNI/NIE por las dos caras.
    El video debe realizarse en una sola toma y sin cortes, en condiciones de luz que permitan identificar claramente al solicitante.

Esto es una gran noticia para los prestadores de servicios de certificación que, además de los procedimientos autorizados por el SEPBLAC podrán adoptar la posibilidad de admitir «Video autorretratos grabados por los solicitantes» tal como lo describe la Agencia Tributaria.

Tenemos, pues, un nuevo método de identificación reconocido a escala nacional de los que recoge el Reglamento Europeo EIDAS.