The ideal digital identification solution for citizens

After 15 years of making big investments in electronic government services, the public value outcomes are far from the expected. According to the latest report by Telefonica, 81% of Spanish citizens are internet users to access online services like social networks, travel agencies, shops, banks, etc.

However, in Catalonia, only 30% of procedures are submitted electronically to governments. This index is almost never shown on digital government reports. Many other indicators are published, like the percentage of citizens that have done at least one electronic procedure during a year. This is not a key metric, quite the contrary, and it is a banality metric because it delivers a wrong idea about what is a reality.

Between 81% of internet users and 30% of electronic procedures, there is a huge gap. There are several barriers that could justify the gap: usability, trust, awareness of e-services, etc. But the most important one is the electronic identification (eID) process.

Different user profiles require different eID solutions

We have to bear in mind that different user profiles have different use cases and they may require different eID solutions. There are three basic user profiles:

  • Ordinary citizens: on average, they submit three procedures per year to all public administrations
  • Business people: they submit quite a lot of procedures with governments
  • Official governments and public employees: they do a lot of transactions within governments

Most of the business people, official governments, and public employees of Catalonia and Spain use a digital certificate for electronic identification, authentication, and signature. Digital certificates on a smart card (that provides a high level of assurance) or on software are not easy to use, but all these people have technical support from the IT department.

For the past 15 years, the strategy in Spain for digital identification has been based on providing digital certificates to all citizens integrated within the official Spanish ID card, with a high level of assurance. However, 95% of the procedures they submit have a medium or low risk. Why do we force citizens to use a high level of assurance system if they do not really need it? And when citizens have a problem with the extremely complicated configuration of the ID card, they do not have an IT department to solve their issues at home.

After spending more than 600 million euros (it is an estimation: there are no official figures), there are 40 million of Spanish citizens that have it. Yet, the usage is very low. Again, there are no official figures, but we have a survey conducted by the Orange Foundation about who used the Spanish eID card to submit the income declaration tax, that it is mandatory for all citizens of legal age. Only 0.02% of citizens used the Spanish eID card. My personal estimation is that only 2% have used it, at least once, with all public administrations.

Quite too often, the best is an enemy of the good. This is a very good example.

Kerckhoffs’ principles and Spanish eID card

Why hasn’t the Spanish eID card work? The answer is quite simple. It does not fulfill the Kerckhoffs’ principles. Mr. Kerckhoffs was an expert in cryptography who stated that in order to have a secure and useful cryptosystem, you have to comply with several principles. The most important are:

  • It must be possible to remember the key without using written notes
  • The system must be easy to use

The Spanish eID card does not fulfill any of them. It is not easy to use, at all: you have to be an IT expert in OS, browsers, Java and drivers. And you have to carry with you an eID card reader (most of the PCs don’t have one). Besides, users do not remember their password as they just use it three times per year. After three failed tries, the eID card gets blocked, and you have to go in person to a Police office. The result: there are thousands of eID cards blocked, including mine.

The funny thing about Kerckhoffs’ principles is that they were written down in 1833. It seems we haven’t learned much about this subject for the last 134 years.

Criteria for the ideal identification solution for ordinary citizens

My ideal solution for an ordinary citizen is the following:

  • Available for all ordinary citizens
  • Ready to be used for 95% of e-services
  • There is no need to carry a new device
  • There is nothing new to remember
  • It is not required to do an on-site register
  • The citizen has to do no set-up nor configuration
  • It must be very easy to use
  • It has to be trustworthy
  • It should be broadly used by the public and private services
  • It should follow the latest security recommendations

You may think that all these criteria are wishful thinking, but we believe there is at least one solution that fulfills all of them. This solution is based on three pillars.

1st Based on mobile

There is no need to carry a new device if you use an eID based on a mobile phone.

Besides, it is already available for almost all ordinary citizens. Actually, in Spain, there are 116 mobile phones per 100 people.

And it is very trustworthy because it is a very personal device. We always carry it with us; hence, if we lose it, we realize rapidly, and we can block it in few minutes.

2nd Based on a secure digital enrollment process

For medium and low-risk processes, we can do an online enrollment. Currently, the Consortium AOC (idCAT Mobil) and the Spanish central government (Cl@ve) are doing an online enrollment process based on asking personal information from the citizens, sending an OTP to their mobile phone, and sending a postal mail to the legal residence address. So far, it is working very fine.

We may enhance the online enrollment process using remote identity verification solutions:

  • Scanning official documents and doing a detailed verification process
  • Carrying out a biometric facial recognition between the official ID photo and a selfie, which includes a proof-of-life test: for example, blinking your eyes
  • Doing a short video conference between citizens and a public employee that is recorded as an evidence

After the digital enrollment process, we legally register the personal mobile telephone number and e-mail, which will be used in future for identification, authentication, and signature.

3rd Based on a 2FA system

And finally, the solution is based on a two-factor authentication system (2FA) that complies with the following requirements:

  • There is no nothing new to remember: citizens only have to remember their mobile phone number and ID number.
  • The citizen has to do neither set-up nor configuration. The solution can be based on sending a one-time password by SMS or on Mobile Connect, which send a push notification that is managed by a small application installed automatically by the telecommunications operator in the SIM. In any case, the user does not have to do any configuration. By the way, there are some 2FA solutions based on a mobile APP: they are not working for most of the citizens. Latest reports show that users are not downloading nor using new apps unless they provide a great value and you spend a huge amount of money on advertising because there are more thant 2 million of Apps available on Apple or Android store.
  • It must be very easy to use: just to do a simple action, either click on the URL in the SMS or accept a notification message.
  • Ready to be used for 95% of e-services. According to the eIDAS European regulation, 2FA can be used in online services that have a medium or low risk. The 2FA is based on something you have and something you know. You have to accept the authentication process on your mobile. Hence, you must know your mobile phone number, ID number, and the mobile lock screen password.
  • It should be broadly used by public and private services to take advantage of synergies. In Catalonia, we are using a 2FA solution based on mobile called idCAT Mòbil. In Spain, there is a similar system called Cl@ve pin. Both are excellent solutions, but they currently can only be used partially in the public sector. Using Mobile Connect, in combination with the government’s solutions, can be a good solution to boost synergies between public and private sector.
  • It should follow the latest security recommendations from experts. The latest draft NIST recommendation that is not approved yet is a warning about some risks sending one-time passwords by SMS, and it recommends looking for alternatives in the near future. Using a solution like Mobile Connect provides extra security: it sends push notifications based on encrypted SMS.

Mobile identity: an exciting opportunity

Fostering a digital identity based on mobile, fulfilling all the previous requirements, is an exciting opportunity to increase the digitization index from 30% to 81% or more, and achieve greater benefits for citizens and governments in terms of paperless process savings, time-saving, reducing burden, and providing high-quality public services to citizens.

Digital government transformation is becoming a reality.


Foro Innnovación Pública: Identidad Digital

Intervención en el I Foro de Innovación Pública. Mesa sobre “Identidad Digital y Firma Electrónica”

¿Qué ha de tener en cuenta una administración ante el nuevo marco legal de identidad y firma electrónica?

Las administraciones públicas, especialmente las locales con menos recursos, están absolutamente desbordadas ante tantos cambios y novedades normativas. Desde el Consorci AOC ofrecemos servicios de identidad digital y firma electrónica con un enfoque integral que incluye soluciones tecnológicas, pero también el soporte y acompañamiento a nivel organizativo y jurídico para que los organismos públicos de Cataluña puedan dar cumplimiento a las nuevas obligaciones con el menor esfuerzo posible.

Desde la AOC queremos trasladar tranquilidad y confianza ya que la mayoría de servicios que regula el reglamento europeo de identificación y de firma electrónica (eIDAS) los estamos prestando desde hace años. El excelente trabajo realizado por la Agencia Catalana de Certificación (CATCert)  (ahora integrada en la AOC) permite que estemos en condiciones de ofrecer todos los servicios regulados por eIDAS y que únicamente tengamos que pasar las correspondientes auditorías para garantizar su homologación a nivel europeo.

Me refiero a servicios de emisión de certificados, validación de certificados (Validador), sello de tiempo, archivo electrónico (iArxiu), notificaciones electrónicas (e-Notum), etc. Además, desde la AOC estamos ya en fase de pilotaje para ofrecer el nuevo servicio de “certificado en la nube” (claves centralizadas y firma remota), de acuerdo al reglamento eIDAS y que haga mucho más usable y segura (a efectos prácticos) la firma electrónica con certificado digital.

Recomiendo encarecidamente que, con criterio general, las administraciones utilicen las soluciones que impulsamos organismos supramunicipales. En Cataluña, las administraciones pueden utilizar todos estos servicios que presta la AOC.  En España, el MINHAP ofrece también todos estos servicios.

¿Qué retos y dificultades plantea el nuevo marco legal para impulsar la administración digital?

Lo primero que tenemos que hacer es autocrítica: la estrategia de identidad digital impulsada por todas las administraciones los últimos 15 años basada en promover el uso de los certificados digitales por parte de todos los ciudadanos ha fracasado por su falta de usabilidad a pesar de su gratuidad, de la gran cantidad de servicios disponibles y de su elevada seguridad.

Se han gastado centenares de millones de euros en proyectos como el DNI electrónico y el uso real es minoritario. A día de hoy se han expedido unos 45 millones de DNIe pero se estima que su uso es residual: menos del 2% de los ciudadanos lo utiliza.

El modelo actual de uso de los certificados digitales tiene sentido para los usuarios intensivos que hacen muchas actuaciones de identificación o firma en el uso interno de la administración, por las aplicaciones de administración digital (sellos de órgano) y por los profesionales e intermediarios (gestores, empresas, etc).

Desde la AOC hemos aprendido la lección que la usabilidad es fundamental y queremos sacar el máximo provecho de las oportunidades del nuevo marco con la siguiente estrategia:

  • Para los ciudadanos. Estamos impulsando sistemas de identificación y firma electrónica basados en el teléfono móvil. Por ejemplo, el sistema basado en el envío de códigos de un solo uso por SMS (el idCAT móvil similar al CL@ve pin) que se puede considerar de nivel medio o sustancial según el ENS y eIDAS, que está en disposición de ser utilizado por la mayoría de los ciudadanos que ya disponen de un teléfono móvil y permite iniciar más del 95% de los trámites de una forma muy sencilla, cómoda y con muy bajo coste. Pero también estamos planteando ofrecer una aplicación móvil que podría llegar a incluir un certificado digital, siempre y cuando sea totalmente transparente para el usuario desde la perspectiva de la usabilidad.
  • Para los empleados públicos y cargos electos. Ofreceremos un servicio de certificado digital “en la nube” que será muy fácil de utilizar ya que no depende de sistemas operativos, navegadores o java, utilizando como activador las credenciales que ya utiliza el empleado público en otros servicios (para no tener que recordar nada nuevo) y con las máximas garantías de seguridad que permitirá generar firmas electrónicas cualificadas.

¿Qué recomendarías que tiene que hacer una administración pública?

Para facilitar el cumplimiento de todas las nuevas normas, desde la AOC recomendamos, como criterio general, las siguientes actuaciones para las administraciones catalanas:

  • Utilizar los servicios de confianza de la AOC y no reinventar la rueda. Son servicios consolidados, probados, muy utilizados y que estarán adaptados a las normas técnicas de eIDAS
  • Aprobar el Protocolo de Identificación y Firma Electrónica (PISE). Este protocolo define un marco de trabajo claro, pragmático y muy útil para que los servicios técnicos y jurídicos no tengan que estar discutiendo cuál es el nivel de seguridad de cada actuación de la Administración. Este protocolo propone – de forma justificada en relación a las directrices del reglamento eIDASe, el esquema nacional de seguridad y la ley 39/2015 – que la inmensa mayoría de las actuaciones de los ciudadanos y de las administraciones son de nivel medio o sustancial. El protocolo define tres excepciones: cuando una Ley dice expresamente que la actuación es de nivel alto o requiere firma electrónica cualificada; cuando se acceden a datos personales de nivel alto (ejemplo: carpeta de salud); y en los trámites relativos a la concesión de subvenciones por un importe superior a 60.000€. Éste es el criterio por defecto pero cada administración puede ampliarlo o restringirlo en casos particulares después de hacer un análisis de riesgos específico.
  • Integrarse con el “bróker” de identidades digitales VALid de la AOC. La integración de los portales y aplicaciones de tramitación electrónica con el “bróker” permite a las administraciones catalanas delegar la gestión de los diferentes servicios de identidad digital y, por lo tanto, despreocuparse de todas las problemáticas asociadas a los nuevos servicios de identidad digital. Con la integración con VALid se dispone de un servicio que permite:
    • Identificación, autenticación y firma con certificados digitales
    • Uso del idCAT móvil como sistema de identificación y firma electrónica
    • Integración con los servicios de Cl@ve
      • Uso de Cl@ve PIN y CL@ve permanente
      • Uso de los servicios de identidad digital de otros países de la Unión Europea a través del proyecto Stork
    • Incorporación automática de futuros servicios de identidad digital que se integren con VALid

¿Qué buenas prácticas destacarías de identificación y firma electrónica?

Me gustaría destacar cuatro buenas prácticas que son aplicables en el marco del reglamento eIDAS:

  • “Certificado en la nube”. El ayuntamiento de Terrassa dispone desde hace años de un servicio interno de claves centralizadas para los cargos electos y los empleados públicos que aporta numerosos beneficios. Es mucho más usable, no genera incidencias debido a las configuraciones de PC (sistema operativo, navegador, Java, etc), la gestión de altas y revocaciones de certificados es muy ágil y, lo más importante, la satisfacción y confianza de los usuarios se ha incrementado.
  • Portafirmas electrónico desde el móvil. Desde la AOC ofrecemos un servicio de portafirmas que dispone de una aplicación para dispositivos móviles que incorpora un certificado digital en software y desde la que es muy sencillo y ágil firmar. Sin duda, firmar desde el móvil es una estrategia de futuro para incrementar el uso de la firma electrónica dado la necesidad actual de poder realizar cualquier gestión en cualquier momento y desde cualquier lugar. En Austria, uno de los países europeos más avanzados en administración digital, explican que el uso de una aplicación móvil fue determinante para incrementar sustancialmente el uso de la firma electrónica.
  • Identificación biométrica remota. En algunos sectores privados (banca, alquiler de vehículos, seguros, etc.) ya se están utilizando sistemas de identificación de los usuarios y alta en servicios, mediante una videoconferencia o conexión remota mediante un teléfono móvil inteligente, en la cual el usuario muestra su documento de identidad. El sistema realiza una digitalización del documento de identidad y hace una captura de imagen y/o video de la cara del solicitante. A partir de esta información se realizan una docena de comprobaciones que garantizan con un alto nivel de confianza la autenticidad del documento de identidad y la comprobación que la persona solicitante es la misma que la del documento de identidad.
    Estos servicios son muy interesantes para el sector público para impulsar:

    1. el registro del ciudadano en servicios de identificación, como por ejemplo para entregar un certificado digital de software o para registrar un usuario en los servicios basados en móvil: idcat móvil, cl@ve pin, etc
    2. la tramitación electrónica a distancia
    3. el voto electrónico
  • Firma electrónica biométrica. El Ayuntamiento de Cambrils (entre otros) ofrece a los ciudadanos que se personan en el Ayuntamiento un servicio de firma de las solicitudes de comunicación de domicilio en una tableta, generando una firma manuscrita sobre un soporte electrónico. Se trata de la llamada firma electrónica biométrica que guarda un conjunto de datos biométricos muy fiables del proceso de firma (trazo, velocidad, inclinación, presión, etc.) que son firmados por un sello de órgano o un certificado digital personal para garantizar su integridad. De esta forma no se genera ningún documento en papel, y los documentos electrónicos originales se guardan directamente en el expediente y se ponen a disposición del ciudadano.

El objetivo de la AOC es aprender de estos casos de éxito. Estamos realizando pruebas piloto en todos estos ámbitos para incorporar en nuestra oferta todos estos servicios innovadores que aportan mucho valor en usabilidad, simplicidad de gestión y ahorros económicos.