La creació d’una identitat digital es troba en l’imaginari de tot país. Però també en el d’Europa, que ja pels volts del juny del 2021 va donar forma al primer reglament que fixava les bases d’aquest DNI comunitari juntament amb el moneder digital per gestionar-lo. Tot just aquest mes de març s’ha aprovat al Parlament, però el camí que queda al davant encara és llarg. Estan en marxa quatre projectes pilot amb la participació de més de 250 empreses privades i diferents autoritats públiques dels estats membres, però els països més avançats ja han assegurat que no tindran un sistema prou madur, sòlid i segur fins al 2027.

En l’horitzó de la normativa, el següent pas és l’aprovació del text per part del Consell de Ministres de la UE; tot seguit, es publica i es dona un termini de 20 dies per a la seva aplicació. El compte enrere es podria engegar, segons l’advocat expert en dret i tecnologia, Nacho Alamillo, “abans de l’estiu”. A partir d’aquí, caldrà comptar dos anys i mig com a termini màxim per a l’arribada del moneder i les credencials que han de permetre la identitat digital europea. El resultat final ha de ser un mecanisme comunitari digital que faciliti la comunicació entre autoritats dels estats membres de la UE. Ha de ser una via útil per a l’administració i per a la ciutadania, que actualment veu com la burocràcia és una trava, motivada per la duplicitat de gestions i la manca d’uns procediments estandarditzats.

eIDAS 2, el marc per a la identitat digital

La base sobre la qual es treballa és el projecte eIDAS 2 (electronic IDentification, Authentication and trust Services), que és el marc de referència amb les característiques tècniques de l’arquitectura. Els resultats presentats fins ara sorgeixen de la feina feta els últims cinc anys entre un grup de treball conformat pels estats i la Comissió Europea per identificar una tecnologia descentralitzada i aplicar-la seguint els paràmetres establerts. “Ara tenim un esborrany tècnic per discutir de forma transparent i donar-lo a conèixer a escala d’estàndards i protocols”, assenyala el també doctorat en el reglament eIDAS, “el grup finalitzarà el treball pròximament amb una visió de mínims per a la implementació, però continuarà treballant-hi durant dos anys més”.

Fins ara, una de les línies de treball més madures és la creació d’unes credencials que permeten tenir un equivalent de DNI en format digital. Es treballa amb l’estàndard ISO 1813-5, anomenat Mobile Driver’s License (MDL), i permet a una persona identificar-se presencialment amb unes garanties elevades de l’autenticitat del document. “Et puc compartir el meu document d’identificat equivalent al mòbil en persona a través d’un codi QR o simplement mostrant-lo. Aquí la part bona que tenim és que jo puc triar quina part t’ensenyo, no cal que et mostri tota la informació que conté el document. Això es coneix com a divulgació selectiva”, explica l’advocat.

Existeix un pilot de moneder digital que permet l’autenticació de la identitat presencialment i ja es treballa en una proposta en remot

Pel que fa a la verificació a distància, es troba en una fase més incipient. “Estem fent proves amb altres estàndards ISO d’internet diferents del MDL, però amb llenguatge JSON, que és més potent”, comenta Alamillo, “són equivalents i permeten identificar-te remotament, i aquí Espanya lidera el projecte”. Es diferencia d’altres protocols com el que utilitza, per exemple, Facebook, que pot agafar el rol de tercer que s’encarrega d’encreuar dades per autenticar un usuari. En el cas del projecte europeu, es busca deixar de banda actors intermediaris i per donar la màxima privacitat i que sigui la ciutadania qui s’identifiqui amb garanties a través de credencials vàlides. “Els proveïdors d’identitat són al mig i poden veure coses que no ens interessa perquè accedeixen a una base de dades centralitzada. El model que proposa la cartera de la UE elimina aquesta delegació d’autenticació que sovint no segueix al 100% la normativa del Reglament General de Protecció de Dades”, insisteix.

Eliminar el risc d’exclusió

La implementació de la identitat digital és obligatòria a escala estatal, però voluntària a la ciutadania. Això vol dir que els governs dels estats membres han d’oferir per llei un moneder on gestionar en línia les credencials autoritzades, on hi pot haver, a més del DNI, el carnet de conduir, el títol universitari o la targeta sanitària, entre altres. Tanmateix, cada persona pot escollir individualment si utilitza l’eina o continua amb els documents físics. La decisió ve motivada pel risc de generar discriminacions en unes societats digitalitzades a mig gas i on la manca de competències i d’accés als dispositius electrònics adequats és un problema. Segons l’advocat, “ara mateix no funciona de forma universal ni en tots els terminals, per això no serà obligatori a escala personal, ja que un dels Objectius de Desenvolupament Sostenible és que tothom al planeta tingui una identitat per evitar discriminacions”.

El moneder i la identitat digitals seran voluntaris per a la ciutadania per evitar una discriminació per falta de competències i accés a la tecnologia

Aquest mateix escenari ja és el que es dona a Espanya i a Catalunya amb l’administració electrònica. Hi ha l’opció d’utilitzar-la, però també de recórrer a l’atenció presencial. En ambdós casos, l’autenticació de la identitat es troba en mans dels governs estatal o territorial, “sigui amb una empresa externa sigui el cos públic”, recorda Alamillo, també amb una capa de seguretat que garanteix que només accedeixen a la informació necessària l’emissor i el receptor dels documents. A Europa, a més a més, s’ha previst la possibilitat d’utilitzar pseudònims per primera vegada sense la possibilitat de correlacionar-lo amb un ciutadà. “Ens podríem relacionar amb tercers amb ells, però no serviria en casos determinats com obrir un compte bancari, on hi ha l’obligació legal d’identificar-se”, apunta.

A la cerca de la millor tecnologia

La clau de tot es troba en les tecnologies descentralitzades, que no suposa passar obligatòriament per les cadenes de blocs. El projecte espanyol es basa en blockchain, però hi ha alternatives que ofereixen garanties igual de vàlides i que sustenten altres de les iniciatives internacionals que estan en marxa en el marc de recerca de l’eIDAS 2.

Aquest pilot de cartera europea basat en l’arquitectura de blocs, del qual Alamillo forma part, ha mobilitzat aproximadament 20 milions d’euros de despesa i és el banc de proves per verificar les fortaleses i debilitats de la tecnologia per tal de concloure si és adequada. “És un bon lloc per publicar universalment les entitats autoritzades a emetre credencials i les que els poden rebre perquè és un sistema altament distribuït i fiable”, explica l’expert, “així un actor s’hi podria connectar i prendre la decisió de si un document és veraç o no, sense necessitat fer un camí més llarg per preguntar si el pot acceptar”. “Ara per ara, creiem que és una solució molt bona per fer un gran registra descentralitzat on publicar les dades de totes les entitats que estan autoritzades pels governs pes emetre documents”, conclou. El projecte està integrat per més d’una seixantena d’entitats i s’està posant a prova en més de 20 països.

El pilot basat en ‘blockchain’ garanteix la consulta a una base de dades descentralitzada i a la informació seleccionada, però encara no s’ha consensuat una tecnologia com a única i vàlida per al projecte europeu

L’ús del blockchain també podria solucionar l’entrada de serveis privats com pòlisses de salut al moneder digital europeu. Així ho defensa Alamillo, que participa directament en la formulació de la identitat digital catalana descentralitzada, l’identiCAT, que les autoritats espanyoles van tombar el 2019. “Ens vam trobar amb els problemes de com connectar empreses a un servei públic, la relació jurídica que hi hauria d’haver o el pressupost dimensionat que caldria per implicar-hi tants actors; o els problemes de responsabilitat patrimonial si el sistema cau i es reclamen danys i d’espiar els catalans”, recorda a tall de resum, “al final, la idea es va abandonar”. “Després es va veure que posant una cadena de blocs com a suport, desapareixia la necessitat de les empreses d’anar a la Generalitat per fer l’autenticació perquè l’usuari ja tindria al mòbil un document vàlid i que acredita la seva identitat. Així és com em vaig enamorar del blockchain”, continua. Aquest exemple, també viscut en altres entorns territorials i altres països de l’entorn comunitari, ha de servir de reflexió prèvia per a una formulació europea que contempli tots els escenaris cobrint qualsevol possible escletxa.

El núvol és un altre dels entorns proposats com a susceptible de ser utilitzat pel moneder digital. La proposta sorgeix també de la necessitat de no posicionar el mòbil com a dispositiu clau per accedir-hi. Sigui quina sigui la tria definitiva, l’advocat té clar que serà una tecnologia que ja està en marxa i que es triarà després de passar “un procés de selecció d’opcions diferents que portarà a un col·lapse fins a tenir un consens internacionalment únic”.