Intervención en el I Foro de Innovación Pública. Mesa sobre “Identidad Digital y Firma Electrónica”

¿Qué ha de tener en cuenta una administración ante el nuevo marco legal de identidad y firma electrónica?

Las administraciones públicas, especialmente las locales con menos recursos, están absolutamente desbordadas ante tantos cambios y novedades normativas. Desde el Consorci AOC ofrecemos servicios de identidad digital y firma electrónica con un enfoque integral que incluye soluciones tecnológicas, pero también el soporte y acompañamiento a nivel organizativo y jurídico para que los organismos públicos de Cataluña puedan dar cumplimiento a las nuevas obligaciones con el menor esfuerzo posible.

Desde la AOC queremos trasladar tranquilidad y confianza ya que la mayoría de servicios que regula el reglamento europeo de identificación y de firma electrónica (eIDAS) los estamos prestando desde hace años. El excelente trabajo realizado por la Agencia Catalana de Certificación (CATCert)  (ahora integrada en la AOC) permite que estemos en condiciones de ofrecer todos los servicios regulados por eIDAS y que únicamente tengamos que pasar las correspondientes auditorías para garantizar su homologación a nivel europeo.

Me refiero a servicios de emisión de certificados, validación de certificados (Validador), sello de tiempo, archivo electrónico (iArxiu), notificaciones electrónicas (e-Notum), etc. Además, desde la AOC estamos ya en fase de pilotaje para ofrecer el nuevo servicio de “certificado en la nube” (claves centralizadas y firma remota), de acuerdo al reglamento eIDAS y que haga mucho más usable y segura (a efectos prácticos) la firma electrónica con certificado digital.

Recomiendo encarecidamente que, con criterio general, las administraciones utilicen las soluciones que impulsamos organismos supramunicipales. En Cataluña, las administraciones pueden utilizar todos estos servicios que presta la AOC.  En España, el MINHAP ofrece también todos estos servicios.

¿Qué retos y dificultades plantea el nuevo marco legal para impulsar la administración digital?

Lo primero que tenemos que hacer es autocrítica: la estrategia de identidad digital impulsada por todas las administraciones los últimos 15 años basada en promover el uso de los certificados digitales por parte de todos los ciudadanos ha fracasado por su falta de usabilidad a pesar de su gratuidad, de la gran cantidad de servicios disponibles y de su elevada seguridad.

Se han gastado centenares de millones de euros en proyectos como el DNI electrónico y el uso real es minoritario. A día de hoy se han expedido unos 45 millones de DNIe pero se estima que su uso es residual: menos del 2% de los ciudadanos lo utiliza.

El modelo actual de uso de los certificados digitales tiene sentido para los usuarios intensivos que hacen muchas actuaciones de identificación o firma en el uso interno de la administración, por las aplicaciones de administración digital (sellos de órgano) y por los profesionales e intermediarios (gestores, empresas, etc).

Desde la AOC hemos aprendido la lección que la usabilidad es fundamental y queremos sacar el máximo provecho de las oportunidades del nuevo marco con la siguiente estrategia:

  • Para los ciudadanos. Estamos impulsando sistemas de identificación y firma electrónica basados en el teléfono móvil. Por ejemplo, el sistema basado en el envío de códigos de un solo uso por SMS (el idCAT móvil similar al CL@ve pin) que se puede considerar de nivel medio o sustancial según el ENS y eIDAS, que está en disposición de ser utilizado por la mayoría de los ciudadanos que ya disponen de un teléfono móvil y permite iniciar más del 95% de los trámites de una forma muy sencilla, cómoda y con muy bajo coste. Pero también estamos planteando ofrecer una aplicación móvil que podría llegar a incluir un certificado digital, siempre y cuando sea totalmente transparente para el usuario desde la perspectiva de la usabilidad.
  • Para los empleados públicos y cargos electos. Ofreceremos un servicio de certificado digital “en la nube” que será muy fácil de utilizar ya que no depende de sistemas operativos, navegadores o java, utilizando como activador las credenciales que ya utiliza el empleado público en otros servicios (para no tener que recordar nada nuevo) y con las máximas garantías de seguridad que permitirá generar firmas electrónicas cualificadas.

¿Qué recomendarías que tiene que hacer una administración pública?

Para facilitar el cumplimiento de todas las nuevas normas, desde la AOC recomendamos, como criterio general, las siguientes actuaciones para las administraciones catalanas:

  • Utilizar los servicios de confianza de la AOC y no reinventar la rueda. Son servicios consolidados, probados, muy utilizados y que estarán adaptados a las normas técnicas de eIDAS
  • Aprobar el Protocolo de Identificación y Firma Electrónica (PISE). Este protocolo define un marco de trabajo claro, pragmático y muy útil para que los servicios técnicos y jurídicos no tengan que estar discutiendo cuál es el nivel de seguridad de cada actuación de la Administración. Este protocolo propone – de forma justificada en relación a las directrices del reglamento eIDASe, el esquema nacional de seguridad y la ley 39/2015 – que la inmensa mayoría de las actuaciones de los ciudadanos y de las administraciones son de nivel medio o sustancial. El protocolo define tres excepciones: cuando una Ley dice expresamente que la actuación es de nivel alto o requiere firma electrónica cualificada; cuando se acceden a datos personales de nivel alto (ejemplo: carpeta de salud); y en los trámites relativos a la concesión de subvenciones por un importe superior a 60.000€. Éste es el criterio por defecto pero cada administración puede ampliarlo o restringirlo en casos particulares después de hacer un análisis de riesgos específico.
  • Integrarse con el “bróker” de identidades digitales VALid de la AOC. La integración de los portales y aplicaciones de tramitación electrónica con el “bróker” permite a las administraciones catalanas delegar la gestión de los diferentes servicios de identidad digital y, por lo tanto, despreocuparse de todas las problemáticas asociadas a los nuevos servicios de identidad digital. Con la integración con VALid se dispone de un servicio que permite:
    • Identificación, autenticación y firma con certificados digitales
    • Uso del idCAT móvil como sistema de identificación y firma electrónica
    • Integración con los servicios de Cl@ve
      • Uso de Cl@ve PIN y CL@ve permanente
      • Uso de los servicios de identidad digital de otros países de la Unión Europea a través del proyecto Stork
    • Incorporación automática de futuros servicios de identidad digital que se integren con VALid

¿Qué buenas prácticas destacarías de identificación y firma electrónica?

Me gustaría destacar cuatro buenas prácticas que son aplicables en el marco del reglamento eIDAS:

  • “Certificado en la nube”. El ayuntamiento de Terrassa dispone desde hace años de un servicio interno de claves centralizadas para los cargos electos y los empleados públicos que aporta numerosos beneficios. Es mucho más usable, no genera incidencias debido a las configuraciones de PC (sistema operativo, navegador, Java, etc), la gestión de altas y revocaciones de certificados es muy ágil y, lo más importante, la satisfacción y confianza de los usuarios se ha incrementado.
  • Portafirmas electrónico desde el móvil. Desde la AOC ofrecemos un servicio de portafirmas que dispone de una aplicación para dispositivos móviles que incorpora un certificado digital en software y desde la que es muy sencillo y ágil firmar. Sin duda, firmar desde el móvil es una estrategia de futuro para incrementar el uso de la firma electrónica dado la necesidad actual de poder realizar cualquier gestión en cualquier momento y desde cualquier lugar. En Austria, uno de los países europeos más avanzados en administración digital, explican que el uso de una aplicación móvil fue determinante para incrementar sustancialmente el uso de la firma electrónica.
  • Identificación biométrica remota. En algunos sectores privados (banca, alquiler de vehículos, seguros, etc.) ya se están utilizando sistemas de identificación de los usuarios y alta en servicios, mediante una videoconferencia o conexión remota mediante un teléfono móvil inteligente, en la cual el usuario muestra su documento de identidad. El sistema realiza una digitalización del documento de identidad y hace una captura de imagen y/o video de la cara del solicitante. A partir de esta información se realizan una docena de comprobaciones que garantizan con un alto nivel de confianza la autenticidad del documento de identidad y la comprobación que la persona solicitante es la misma que la del documento de identidad.
    Estos servicios son muy interesantes para el sector público para impulsar:

    1. el registro del ciudadano en servicios de identificación, como por ejemplo para entregar un certificado digital de software o para registrar un usuario en los servicios basados en móvil: idcat móvil, cl@ve pin, etc
    2. la tramitación electrónica a distancia
    3. el voto electrónico
  • Firma electrónica biométrica. El Ayuntamiento de Cambrils (entre otros) ofrece a los ciudadanos que se personan en el Ayuntamiento un servicio de firma de las solicitudes de comunicación de domicilio en una tableta, generando una firma manuscrita sobre un soporte electrónico. Se trata de la llamada firma electrónica biométrica que guarda un conjunto de datos biométricos muy fiables del proceso de firma (trazo, velocidad, inclinación, presión, etc.) que son firmados por un sello de órgano o un certificado digital personal para garantizar su integridad. De esta forma no se genera ningún documento en papel, y los documentos electrónicos originales se guardan directamente en el expediente y se ponen a disposición del ciudadano.

El objetivo de la AOC es aprender de estos casos de éxito. Estamos realizando pruebas piloto en todos estos ámbitos para incorporar en nuestra oferta todos estos servicios innovadores que aportan mucho valor en usabilidad, simplicidad de gestión y ahorros económicos.

Anuncis