eID, desafíos para los estados y privados!
Hace unos días me tocó participar en un seminario Gestión de Identidad y su impacto en la Economía Digital, convocado y desarrollado el Banco Interamericano de Desarrollo (BID) en Washington.
Con el advenimiento de la economía digital, interacciones y transacciones que previamente se realizaban presencialmente pasaron a ejecutarse en forma creciente a través de sistemas de información interconectados y la web. Esto ha hecho surgir la necesidad de considerar la identidad digital de cada persona, entendida como los elementos de hardware o software que permiten que una persona se identifique y sea autenticada, obtenga los permisos para acceder a determinados recursos de información y realice transacciones a través de internet o redes privadas
A efectos de preparar los temas del seminario junto a un colega del BID, Alejandro Pareja desarrollamos un Position Paper, que buscaba poner en contexto los desafíos que enfrentan los países respecto de la gestión de identidad, entre los desafíos analizados, podemos mencionar:
- Procesos de enrolamiento y biometría, ¿es necesaria la biometría?, ¿Huellas dactilares, iris, reconocimiento facial, de voz otro?
- Cédulas de Identidad, ¿qué tan necesarias son?, ¿se requiere de una tarjeta, será reemplazada por los celulares?
- Identificación obligatoria, ¿deben los ciudadanos tener una cédula nacional de identidad? ¿es necesario un sistema nacional de identidad? estas preguntas no son obvias, en varios países, especialmente anglosajones)
- Firma Digital, ¿cuándo es realmente necesaria?, Sus problemas de usabilidad han sido resueltos?
- Fraude y suplantación, ¿cuáles son los mayores riesgos de fraude y suplantación que pueden afectar el proceso de identificación de las personas? ¿Cómo se mitigan?
- Modelo de identidad, ¿qué modelo de gestión de identidad es el adecuado para su país? ¿cuál es la relación de costo-beneficio del modelo de gestión?
- Sector privado, ¿qué rol deben jugar los privados en los procesos de identificación y autenticación?
- Nuevos negocios, ¿cómo va a afectar los modelos de negocios la identificación digital?
- Futuro, ¿qué va a pasar en 10 años?, ¿cómo van a nuevas tecnologías en los procesos de identificación (internet de las cosas, big data, móvil, cloud)? ¿el blockchain jugará algún rol en esto?
Con todas estas preguntas en mente, arrancamos nuestro seminario el día martes 18 de octubre. Pudimos escuchar las experiencias de Canadá, Estonia y España, las cuales entregan una visión bastante amplia de lo que está ocurriendo en el mundo, en particular los países que más han avanzado en el tema. Adicionalmente tuvimos una presentación con la mirada desde el sector privado, la cual fue desarrollada por MasterCard, los principales elementos de esos países que me parece relevante desatacar son:
Canadá
- Cuentan un sistema federado de identificación digital, la cual puede ser provista por el estado o bien por un conjunto de bancos, que están acreditados para proveer dichos servicios. A la fecha el 30% de las transacciones de autenticación se hacen con las credenciales bancarias.
- Desde hace muchos años desarrollaron un framework (Pan-Canadian Trust Framework – PCTF) que define las bases del modelo de identificación y su uso, así como de los estándares técnicos que deben cumplir.
- El modelo de alianza público privado es muy profundo y esperan profundizarlo aún más, han establecido un consejo para la gestión de Identidad (Joint Councils of Canada Identity Management Sub- Committee) el cual trabaja en conjunto con la autoridad en la materia DIACC (Digital ID and Authentication Council of Canada)
- El modelo canadiense no contempla el uso al menos por el momento de factores biométricos, ya que los ven riesgosos desde el punto de vista de la privacidad.
- No tienen contemplado un modelo de cédula nacional de identidad, ya que eso afecta algunos principios de privacidad. El modelo que tienen se sustenta en un criterio de diseño: Privacy by design
Estonia
- Uno de los países más desarrollados en materias de gobierno digital, y en particular en esta área tampoco se queda atrás.
- Cuentan con un modelo de eID muy robusto, el cual contempla tres modelos de identificación, i) DNI electrónicos con todos los atributos de los DNI modernos (incluye certificado digital), ii) DNI Digital (DigiID) es una credencial más simple y de menor costo y iii) Identificación móvil
- Prácticamente todos los ciudadanos lo tienen y son elementos fundamentales para interactuar con el estado
- Se usan credenciales bancarias como mecanismos de autenticación
- Al momento de nacer cada persona recibe un código único que lo identifica, denominado Personal Identification Code (PIC)
- Modelo de identificación centralizado, el estado tiene los atributos de identificar a las personas (base única de información).
España
- Tiene una larga tradición del uso de un sistema nacional de identidad, DNI, en 2006 inicia su proyecto de DNI electrónico, una Smartcard con chip que contiene dos certificados, uno autenticación y otro de firma.
- Hoy casi el 100% de la población cuenta con su DNI electrónico
- Su uso es obligatorio por parte del sector público y voluntario por parte del sector privado
- Con su marco jurídico de gobierno electrónico se hace una pieza importante a la hora de potenciar las interacciones electrónicas con la administración
- Adicionalmente cuentan con un modelo de firma en la cual los certificados son provisto por privados (25) y públicos
- Desde el 2014 iniciaron un proyecto de autenticación digital centralizado, @clave que ya cuenta con 3 millones de usuarios
- El estado es el que provee los mecanismos de identificación
MasterCard
- Mostró el rol que ha jugado el sector privado en particular MasterCard en procesos de identificación de personas que debían recibir beneficios sociales.
- Otro elemento destacado es que en la medida que se pueden establecer mejores mecanismos de identificación de las personas, se reducen los riesgos asociados a fraudes y se hace más eficiente la entrega de servicios por parte de privados y públicos.
Producto del análisis de estas experiencias, las principales lecciones aprendidas y compartidas por los panelistas son:
- Rol fundamental de los privados en el proceso autenticación, fundamentalmente de la industria financiera
- Identificar servicios que aprovechen el soporte eID
- Establecer un marco normativo que facilite el proceso y la transición
- No amarrarse a modelos tecnológico rígidos, ya que la evolución es muy rápida
- Contar con varios mecanismos sobre distintos dispositivos y plataformas (elección del ciudadano)
- Los cuidados hay que tenerlos en el proceso de enrolamiento de las personas al momento de otorgarles su eID
- Adoptar estándares internacionales en las tecnologías, protocolos y métodos y una arquitectura que sea interoperable.
- Utilizable en cualquier interacción, tanto al interior del Estado como con los ciudadanos y/o personas jurídicas.
Excelente resumen del seminario, Alejandro.
Felicitaciones
Muchas gracias Raimundo