3 cosas que echamos de menos en el reglamento eIDAS

eIDAS

El reglamento eIDAS proporciona un marco jurídico y técnico para la identificación electrónica y los servicios de confianza en las transacciones electrónicas del mercado interno. Todo ello con el fin de permitir interacciones electrónicas seguras y sin fisuras entre las empresas, los ciudadanos y las autoridades. Estos marcos aportan importantes ventajas a las organizaciones y a los usuarios finales. La UE introdujo el eIDAS en 2014 y el reglamento ha ido evolucionando desde entonces. Hace poco, del 24 de julio al 2 de octubre de 2020, la Comisión Europea realizó una consulta abierta para recabar información sobre los factores que impulsan u obstaculizan al desarrollo y a la adopción de los servicios de identificación electrónica y de confianza en Europa. Además, quiso conocer las repercusiones de cada opción para la creación de una identidad digital a nivel de la UE. Para este artículo, hemos entrevistado a Wim Coulier, Jérôme Bordier y Guillaume Forget, tres expertos en eIDAS que tienen algo que decir al respecto.

 

«Nos encanta el eIDAS. Ha demostrado ser un verdadero éxito, sobre todo para los TSP (proveedores de servicios de confianza). Hoy en día, la cualificación es la norma y finalmente podemos comparar los TSP entre sí. Pero el mundo digital sigue evolucionando, de modo que la reglamentación también deberá hacerlo».

– Jérôme Bordier, director de SEALWeb

 

De las entrevistas, sacamos tres importantes lagunas que requieren algún que otro cambio en la reglamentación.

 

1. ¿Qué ocurre con el sector privado?

Sin duda, la adopción del reglamento eIDAS ha supuesto un gran paso adelante en lo que respecta a la armonización, la interoperabilidad y la creación de un reconocimiento mutuo de los sistemas de identidad electrónica (eID) entre los Estados miembros. Y aunque abundan las opiniones discordantes, lo probable es que todavía dependeremos durante mucho tiempo del gobierno como el auténtico emisor de la identidad electrónica oficial (eID). Así que, es bueno que esté regulada.
Pero vemos una tendencia importante en muchos países: cada vez más, los sistemas de identificación electrónica a nivel nacional están siendo impulsados por el sector privado (p. ej., SPID en Italia, itsme® en Bélgica, etc.). Esto demuestra que no solo el sector público, sino también el privado, desempeñan un papel fundamental en la construcción de una Europa que reconoce los sistemas de identificación electrónica nacionales a través de sus fronteras internas. Y eso podría ser precisamente lo que falta en el eIDAS; un marco regulado para los emisores privados de identidad.

Wim Coulier, experto en eIDAS de Itsme® afirma:

«Creo que al reglamento eIDAS le falta la certificación y los diferentes niveles de garantía aplicados al sector privado, al igual que los que ya tenemos en el sector público. Es decir, el nivel de garantía bajo, sustancial y alto. La emisión de una identidad es algo que también pueden hacer perfectamente las empresas privadas certificadas, del mismo modo como lo estarían para otros servicios de confianza».

 

2. Las auditorías claramente no son coherentes

En la actualidad, el problema no es que haya una falta de experticia. El problema radica en los procedimientos de auditoría. La forma en que se audita un TSP en los Países Bajos, por ejemplo, no es necesariamente la misma en Italia o en otro país. Esto implica que dos TSP pueden ser auditados de forma completamente distinta pero que la auditoría aun así arroje el mismo resultado. No es coherente con la razón por la que se estableció el reglamento, que es la de crear armonización, transparencia, interoperabilidad. Los expertos convinieron en que es necesario crear un procedimiento homogéneo de auditoría y cualificación en toda la Unión Europea, aplicado en todas partes con la misma transparencia y claridad.

 

«Una medida que podría introducirse sería limitar el poder del órgano supervisor local, pero tal vez tener un grupo de trabajo mundial en la Comisión Europea. Para que las normas que se establecen realmente a nivel central se apliquen de la misma manera en todos los Estados miembros de la UE. Se hace en otros sectores, como el farmacéutico, así que ¿por qué no en el nuestro?»

Añade Guillaume Forget, director general de Cryptomathic.

 

3. Necesidad de certificar los servicios de creación de firmas electrónicas

Hoy en día, uno puede ser auditado para convertirse en un proveedor de servicios de confianza cualificado con el fin de prestar servicios de validación, de creación de firmas electrónicas y certificados de sitios web, de sellos de tiempo y de preservación, además de servicios de entrega registrados.
Pero si realmente queremos que alguien se sienta seguro al pasarse a las firmas digitales, tendremos que demostrar que son fiables. Por ello es necesario que se incluya un servicio oficial de creación de firmas electrónicas en el reglamento eIDAS.

 

Jérôme Bordier afirma:

«En la lista de servicios, que precisamente se elaboró para el reglamento, debería haberse indicado claramente que un servicio de firmas electrónicas puede ser cualificado».

 

Conclusión

Por ahora, nos toca esperar y ver qué hará la Comisión Europea con las recomendaciones. Los expertos coinciden unánimemente en que habrá una nueva versión del reglamento eIDAS en el futuro. La pregunta principal es cuándo. ¡En Connective, ya estamos a la espera!

 

Sobre los expertos

Wim Coulier

Wim es el experto en eIDAS de la empresa Belgian Mobile ID, más conocida por su innovadora iniciativa de servicios de identidad en Bélgica llamada itsme®”. Wim tiene experiencia contrastada en la implementación de proyectos y programas de gran envergadura. Tiene habilidades empresariales demostradas en lo que respecta a la alineación de la tecnología de la información. Además, es capaz de integrar los conocimientos técnicos en una visión global. También tiene mucha pericia en servicios de confianza (certificados PKI, firmas e identificación electrónicas, el reglamento eIDAS, etc.).

 

Jérôme Bordier

Jérôme BORDIER es el fundador y director de SEALWeb. Jérôme es un experto reconocido en identidad digital, firmas electrónicas, gestión de contratos digitales y servicios de confianza digitales. Además es el Secretario General de la asociación ClubPSCo (www.clubpsco.fr), una organización institucional que reúne a más de 30 proveedores franceses de servicios de confianza cualificados por el eIDAS, y experto de ENISA (la Agencia Europea de Ciberseguridad) para estos temas.

 

Guillaume Forget

Guillaume es el director general de Cryptomathic GmbH y dirige las operaciones de la filial alemana. Guillaume también es un evangelista global de la firma electrónica y lleva el departamento del mismo nombre, donde dirige las iniciativas de Cryptomathic en torno a la firmas remotas eIDAS y lo que uno ve es lo que firma. Guillaume tiene más de 15 años de experiencia en el despliegue y la integración de tecnología y servicios de firma al más alto nivel de garantía.

 

¿Preguntas? No dude en contactarnos!

Connective eSignatures ahora es Nitro Sign Premium

¡Connective se ha unido a la familia de Nitro! Este dominio se desactivará en breve. Visita gonitro.com y mantente informado sobre las últimas actualizaciones y características de Nitro Sign Premium (anteriormente Connective eSignatures).