En estos momentos, catorce de los veintisiente miembros de la Unión Europea cuentan con algún sistema de identificación digital. Sirven de poco, en realidad, porque no son válidos fuera de las fronteras nacionales de cada estado. Hay que remontarse a los tiempos de la pandemia y al despliegue del llamado “pasaporte Covid” para encontrar las fuentes de este nuevo impulso de una idea que no es nueva: dotar a cada ciudadano europeo de una identidad digital. Y convencer a los beneficiarios de que con la billetera EUDI (European Union Digital Identity) será posible la apertura de una cuenta bancaria, la matriculación en una universidad, el alquiler de un coche o hacer gestiones fiscales.
Ahí esta su utilidad. La billetera EUDI será un contenedor digital capaz de almacenar y representar electrónicamente documentos civiles, pero a la vez una forma de acceder a servicios online de compañías privadas. Tendrá, según el proyecto, un alto nivel de cifrado de la información y se podrán guardar credenciales como el permiso de conducir o el historial médico e incluso el pasaporte. Esta identidad digital será reconocida en cualquier país de la UE, pero en ningún caso sustituirá a los documentos físicos ni tampoco a sus copias digitales, si las hubiera.
Entre los pilares que sustentan las ambiciones digitales de la UE están la protección de los usuarios y el fomento de la competencia de las empresas locales. Dos factores que confluyen en el proyecto de identidad ciudadana del que hay cuatro proyectos piloto en marcha.
Estos ensayos avanzan a hombros de compañías europeas como Thales, Amadeus o Signicat, con el propósito, que no hay por qué ocultar, de impedir el dominio de las Big Tech que ya ofrecen sus propias soluciones. De fondo está, como es imaginable, la pugna entre las inercias del mercado – los gigantes del Silicon Valley – y el estímulo regulado de Bruselas.
Las grandes compañías tecnológicas como Apple, Google y otras no estadounidenses como Samsung, tienen sus propias wallets, por lo general orientadas a hacer pagos online mediante el móvil. Pero son herramientas que pueden evolucionar más allá de esta función originaria y de hecho varias empresas ya cuentan con sistemas de identificación federada. Hay aplicaciones y páginas web que permiten acceder iniciando una sesión con Google, Apple o Facebook, una práctica discutible pero que, por su sentido práctico, cuenta con una masa aplastante de usuarios.
Frente a esta inercia arrolladora, que facilita la navegación online evitando que el usuario tenga que recordar múltiples contraseñas, el proyecto de la UE es una auténtica alternativa, pese a su lenta maduración. Los orígenes de la iniciativa se remontan a 2014, cuando la UE adoptó su primera norma sobre identificación electrónica y servicios de confianza con la sigla eIDAS. Sobre esa primera piedra se asentará la regulación eIDAS 2, que se presentó en 2021. La Unión obligará a cada estado miembro a crear una identidad digital nacional – cuyo desarrollo podrá delegarse en terceros – conectada con la billetera europea a la que se podrá acceder mediante un smartphone u otro dispositivo móvil.
La iniciativa está pensada para que las personas tengan un control total de sus datos. Las wallets solo compartirán la información necesaria para cada caso de uso en un proceso de desclasificación selectiva de la información. Esto quiere decir que, si una plataforma online necesita verificar la mayoría de edad de un usuario, este podrá garantizarle que tiene más de 18 años sin revelar otros datos del documento nacional de identidad, ni siquiera su edad precisa. No en vano esta identidad digital seguirá los principios de las legislaciones RGPD y Cybersecurity Act, que buscan establecer un marco de trabajo certificado para los productos y servicios online que operen en la UE.
Conviene aclarar que algunos aspectos de la seguridad de la billetera digital aún están por definir, como el uso de la tecnología Secure Element (un chip destinado a impedir el acceso no autorizado a la información), que está lejos de ser un estándar en smartphones y podría acabar sustituyéndose por un cifrado de los datos fuera del móvil, desactivable con un token externo.
El plan de la Comisión Europea contempla que el soporte de la EUDI sea obligado para empresas privadas que necesiten conocer la identidad de sus clientes, como ocurre en las áreas de transporte, energía, banca y servicios financieros, sanidad, educación o telecomunicaciones. Lo mismo tendrán que hacer las llamadas VLOPs (very large online platforms), con independencia de cuál sea su negocio.
A este grupo, que engloba a Meta, Amazon, Apple y Google, ya se alude en las recientes directivas legislaciones Digital Markets Act (DMA) y Digital Services Act (DSA). Se los designa como “guardianes” de Internet y en esa condición son llamadas a garantizar el acceso a funcionalidades de hardware y software para que sus servicios sean compatibles con los de sus rivales. Esta noción de interoperabilidad es la misma en la que se funda el concepto europeo de identidad digital.
Los legisladores europeos se han marcado una meta que es a todas luces ambiciosa: para 2030 quieren que el 80% de la población de la UE tenga la posibilidad de utilizar su identidad digital si así lo desea. Hasta el pasado mes de junio no se había llegado a un acuerdo entre el Parlamento y el Consejo sobre el marco legal que regirá la wallet EUDI. Se prevé un plazo de doce meses para que los 27 estados miembros emitan sus propias billeteras. Se trata de un calendario apretado, teniendo en cuenta que las especificaciones técnicas se definieron en febrero. Pero la UE es consciente de la premura.
En un informe de PwC se expone que el mercado de la identidad digital crecerá hasta los 33.000 millones de dólares en 2025, desde los 16.000 millones de 2020, con una tasa de incremento anual del 16%. Es una oportunidad que no podría pasar inadvertida por las Big Tech. Google o Apple trabajan en sus propias soluciones integrales de identidad digital y se muestran reacias ante la iniciativa europea. En los comentarios públicos al plan de la Comisión, Apple ha sugerido que integrar la wallet de la UE supondrá un coste y un esfuerzo significativos para actores privados, al tiempo que dañará a empresas pequeñas y startups que compitan en el terreno de la identidad digital.
Esa reticencia –previsible – se explica porque, bajo la regulación europea, tanto Google como Apple, Facebook o Amazon, deberán permitir el acceso a sus servicios mediante un inicio de sesión con la wallet EUDI. Ninguno ve con buenos ojos la perspectiva de perder un activo de tanto valor como el manejo del registro de usuarios. Quizá esta sea una de las razones por las que los tan habitualmente competitivos Apple, Google y Microsoft han acordado apoyarse mutuamente compartiendo un estándar de inicio de sesión sin contraseña —la principal comodidad que a primera vista del usuario ofrecerá la wallet europea— desarrollado por la FIDO Alliance y el World Wide Web Consortium.
La disyuntiva para los usuarios oscila entre la comodidad de los servicios optimizados y de uso común que ofrecen las Big Tech y la privacidad que pretende ofrecerles EUDI. Atención: los usuarios no son los únicos que inclinarán la balanza. Desde el momento que se habla de ciudadanos y no solo de usuarios, los estados son remisos a dejar la información civil en manos de compañías privadas. Desde luego, las grandes tecnológicas tienen un interés económico claro detrás de los servicios que prestan, que no pasa precisamente por preservar la integridad de los datos y garantizar que cada persona se conecte a una sola cuenta. No hace falta recordar que el negocio de Google y de Facebook se fundamenta en explotar un perfil de cada usuario. Así generan una base de datos, segmentable de forma muy eficiente para fines publicitarios, pero podría serlo para otras fuentes de negocio.
Por ahora, la Comisión Europea ha dado su apoyo a cuatro proyectos piloto. Invertirá 46 millones de euros en ellos para una financiación total de 90 millones. Estas iniciativas, que ya han dado comienzo y funcionarán durante dos años, reúnen a más de 250 entidades públicas y privadas de todos los estados miembros de la UE.
Está previsto que los estados miembros designen a organizaciones públicas y privadas para desarrollar y certificar la wallet EUDI, cuyos emisores serán directamente los gobiernos o compañías en las que hayan delegado. Telcos o bancos son dos categorías de empresas que bien podrían ejercer como proveedores de la solución. Algunos de los implicados en los pilotos dan una idea del tipo de empresas que tendrán un papel relevante en la identidad digital europea.
Una de las iniciativas, EU Digital Identity Wallet Consortium (EWC), cuenta con el apoyo de Amadeus, Finnair, el proveedor de identidad digital holandés Digidentity y Visa Europe. Entre sus objetivos se encuentra la exploración del almacenamiento de credenciales para viajes así como la organización de los pagos (no olvidar que una de las funcionalidades que se busca asociar a la identidad digital es la de hacer transferencias de dinero, una capacidad que allanará el camino al euro digital).
La francesa Thales participa en dos de los programas: Potential Consortium, destinado a las áreas de servicios gubernamentales electrónicos, registro de tarjetas SIM, almacenamiento de permisos de conducir, firma digital o prescripciones médicas electrónicas y NOBID, que se centrará en facilitar el procesamiento y autorización de pagos. En este último y en EWC participa la noruega Signicat, especializada en soluciones de identidad digital. Por cierto, el restante de los cuatro pilotos, con el dificultoso nombre DC4EU, lo coordina España y se centra en el sector educativo y el ámbito de la seguridad social.
Junto a las compañías privadas, participan en estos proyectos múltiples instituciones públicas, desde universidades a ministerios y agencias gubernamentales. También empresas de menor tamaño, categoría que podría beneficiarse de una solución que pretende unificar la forma de autentificación de los usuarios. Para cualquier empresa pequeña, una identidad digital interoperable reduce la barrera de entrada con la que tropiezan los nuevos usuarios potenciales a la hora de registrarse en sus servicios o comprar en su tienda. Desde luego, la UE espera que este componente avive la competencia general y la competitividad de los agentes locales. Para esto necesita que su iniciativa pase por encima de los gigantes que hoy lo dominan todo en la escena digital.
[informe de Pablo G. Bejerano]