El uso de la firma electrónica (o digital) está en auge en España y sin embargo está lejos de alcanzar un conocimiento y adopción generalizados. Queda mucho por hacer, pese a que el país cuenta actualmente con unas 14.000 sedes electrónicas a disposición de ciudadanos y empresas. La estadística no lo dice todo sobre el emergente mercado de certificación de las identidades digitales. De los varios eslabones de esta singular cadena de valor, este blog ha querido detenerse en uno peculiar: la prestación de servicios de confianza. La primera evidencia es que el nuevo paradigma laboral que ha aparecido con la pandemia crea un contexto propicio, que se une a la necesidad de mitigar el riesgo de fraude digital.

Javier Bustillo

El mes pasado, la empresa Víntegris resultó adjudicataria del concurso convocado por el Congreso de los Diputados por el que los 350 legisladores van a usar su tecnología de firma electrónica en modo servicio, que entre otras características ofrece el sellado de tiempo cualificado, método que proporciona un registro de la hora exacta de la firma y su validación en caso de discrepancias que no han faltado últimamente.

Es una referencia de enorme valor para Víntegris, señala Javier Bustillo, su director general desde mediados del año pasada. “Formamos parte del sector T.I. pero de una manera bastante especial. Una muestra de ello es que, en la mayoría de los casos, nuestros interlocutores en las empresas no son los responsables de tecnología sino los departamentos jurídicos”.

¿A qué lo atribuye?

Es razonable pensar que se debe a la dicotomía entre dos personalidades que coexisten en Víntegris. Por un lado, está la condición de prestador cualificado de servicios de confianza; por otra, la de fabricante de software. Es una dualidad infrecuente, que nos permite ofrecer al mercado una propuesta de valor en torno a un producto que se vende como servicio basado en la nube, para la emisión y centralización de certificaciones electrónicas con sellado de tiempo, firma cualificada, certificados SSL y otras cualidades que los juristas valoran. Lo llamamos Nebula Suite […]

Debo entender que esa dualidad es algo positivo

De hecho, Víntegris ha sido la única empresa convocada a participar en dos subcomités de gran relevancia. Uno, creado por el Centro Criptológico Nacional, al que nos invitaron en virtud de nuestra condición de fabricante y en el segundo, iniciativa del Ministerio de Economía y Transformación Digital, participamos como empresa prestadora cualificada de servicios de confianza. Su consecuencia sería la orden ministerial 465/2021 de 6 de mayo, que habilita a los prestadores de servicios de confianza a dotarse de unos determinados medios tecnológicos y legales para la emisión de certificados mediante video identificación remota y con valor jurídico probatorio.

¿Qué ha cambiado con esa orden ministerial?

En mi opinión, no sólo va a cambiar la relación de los ciudadanos con las Administraciones Públicas, sino también los hábitos adquiridos de las empresas: en los últimos meses se ha visto surgir numerosos casos de uso en los que ese doble rol nos coloca en una posición que me atrevo a llamar privilegiada.

¿En qué sentido?

[…] Podemos tratar con prestadores como la FNMT (Fábrica Nacional de Moneda y Timbre) o con la propia Policía Nacional, sobre la base de una propiedad intelectual que nosotros sí tenemos. Del mismo modo podemos hablar con fabricantes de software que tienen un workflow de firma, pero no un marchamo como prestadores cualificados, lo que quiere decir que su firma no tiene la validez jurídica probatoria que tiene la nuestra.

Lo siento, pero necesito entenderlo mejor […]

Me refiero a las maneras de gestionar una firma electrónica, por las que hay que distinguir entre tres modalidades de firma: básica, avanzada y cualificada. Cada una con un valor jurídico probatorio diferente, siendo la cualificada la de más valor. Aquí aparece un concepto jurídico de carácter fundamental, la inversión de la carga de la prueba, en virtud de una reforma en la ley de Enjuiciamiento Civil de 2007. Me incluyo entre los legos en la materia, a los que se nos pasó inadvertida en su momento. Su significación es tal que, si se presenta ante un juez una prueba con firma cualificada, el magistrado la admitirá directamente como válida. Esto, que se dice así de fácil, cambia radicalmente la eficacia de muchos actos jurídicos, porque a la otra parte le toca demostrar lo contrario.

[…] Y sobre ese cimiento se levanta el modelo de negocio de Víntegris

El fundamento es que ya no tengo que personarme para la emisión de un certificado, porque la tecnología permite su emisión con valor cualificado. Esto significa que los actos adquieren la misma validez probatoria que tendrían si el trámite se hiciera en persona. Como es sabido, hay empresas de software que ofrecen la gestión de firmas, pero no tienen el estatus legal que tiene Vintegris. Hemos invertido mucho para merecer y renovar la certificación europea eIDAS, además de otras que son necesarias para la vigencia de nuestro producto.

O sea que Víntegris tiene producto, pero también tiene servicio. ¿Se puede comprar el producto sin contratar el servicio?

No exactamente. En 2016 Vínegris inició la migración de toda su base instalada, de manera que sólo cuatro o cinco de los clientes no la han completado, pero más del 90% ya han migrado a la nube. Por lo tanto y para que quede claro: lo que vendemos un producto que funciona en modo servicio.  Además, nuestro software puede funcionar con el resto de los prestadores cualificados, puesto que en nuestra plataforma admitimos los certificados cualificados de cualquier otro prestador de confianza. Debo añadir un matiz: de conformidad con la ley, el nivel más alto de firma, la cualificada, requiere que las claves no abandonen en ningún momento el dispositivo seguro […]

¿Cuál es el componente más importante para los ingresos de la compañía?

La propiedad intelectual, porque lo que ganamos por la emisión de certificados no es comparable con lo que ingresamos por el uso de la IP para la gestión en la nube de manera centralizada y segura de todos los certificados que se emiten […]. Ocurre que, cuando vamos a un cliente nuevo, este tiene una cantidad de certificados emitidos durante los tres últimos años y, por consiguiente, tenemos que integrarlos en nuestra plataforma.

¿Hasta qué punto es necesario?

No es necesario, pero creemos que representa un valor competitivo que nos diferencia en el mercado. Pocas empresas pueden decir lo mismo y menos aún tienen una proyección internacional comparable a la de Víntegris […] Cumplimos con la norma de certificación eIDAS con validez europea. En este momento ya tenemos terminada la traducción de la plataforma, disponible en tres idiomas y pronto en siete. Además, estamos trabajando con uno de los bufetes de abogados más prestigiosos de España en la revisión de los esquemas legales de cada uno de los países en los que queremos abrir oficinas el año que viene.

La norma eIDAS tiene dimensión europea […]

La realidad es que, para un prestador cualificado de servicios de confianza, la legislación de cada país de la UE incorpora matices que hay que respetar y cumplir a rajatabla. No hablo sólo de la lengua, sino de factores que es necesario analizar con cuidado antes de hacer un despliegue sistemático.

A propósito, ¿cuál es el nivel de adopción en España y en la UE?

Podríamos distinguir cuatro casuísticas diferentes. Dos de ellas en cuanto a la segmentación de mercado, sobre las que no me extenderé. Las otras dos, en virtud de los criterios de validez jurídica y de seguridad a los que aspira una empresa cuando emite y emplea una firma electrónica que valide algún proceso o un documento que ha sido generado por sus empleados, clientes o proveedores. Hay empresas que necesitan la más alta validez jurídica cuando van a presentar sus impuestos, pero me viene a la cabeza una pyme con 25 empleados que, en su workflow de gestión documental interno, requiere varias aprobaciones para las que resulta suficiente con una firma básica.

¿Hay coincidencia entre esas variables y los sectores usuarios?

Hay grados, naturalmente. Un excelente ejemplo es el del sector salud. Uno de nuestros clientes emblemáticos es el Consejo General de Colegios de Médicos de España, que potencialmente puede emitir firma cualificada para 280.000 facultativo.

¿Y qué me dice de la segmentación del mercado?

Existe tal cantidad de casos de uso en los que se necesita valor probatorio de la firma, que abarca muy distintos sectores más allá de la banca y los seguros. Pero también al nivel de los ciudadanos, como consecuencia de necesidades crecientes de identificación remota. Hasta ahora, Víntegris ha preferido centrar su actividad en unos 200 clientes grandes, pero estamos viendo que, bajando en la pirámide, hay muchos otros potenciales a los que no prestábamos atención. La necesidad de la firma básica se ha masificado por el impacto que puede tener en el intercambio de contratos y documentación, además de las consecuencias de la regulación.

¿Sube el número de usuarios y por lo tanto el de clientes potenciales?

Sobre todo, entre esas pymes que han estado un poco olvidadas por nuestra parte. Normalmente, las atendemos a través de integradores de sistemas, los previsibles – Deloitte, Accenture, KPMG, etc – además de algunos partners de nicho que suelen especializarse en sectores verticales. Para nosotros, la única manera de ganar cuota de mercado en ese segmento es crear una red de partners fieles que adapten nuestras soluciones a un sinfín de casos de uso que van apareciendo.

¿Cómo resumiría el estado del mercado español?

Nuestros certificados cualificados son válidos en unas 14.000 sedes electrónicas. Para que los certificados de un prestador funcionen, si quieres que el tuyo funcione en todos, es una tarea y una inversión importantes. Es verdad que existen determinados centros de agregación, como por ejemplo la Agencia Tributaria o los órganos propios de algunos gobiernos autonómicos, pero en la práctica puedo encontrarme con que mi certificado haya dejado de funcionar si una actualización no ha tenido en cuenta el certificado raíz. Y si esto es un engorro para un prestador español, imagine qué pasa al de otro país que quiera venir a hacer negocios en España […]

Bien, hay una normativa europea y una legislación española alineada con ella; hay unos prestadores de confianza. Mi poca experiencia con la firma digital me dice que la atomización funcional incomoda a muchos usuarios. ¿Se prevé hacer más asequible el proceso?

[…] Digamos que todavía existe espacio para mejorar la interoperabilidad de los certificados electrónicos en todas las sedes que hay en España. Pero luego, francamente, uno mira lo que pasa en los otros 26 países de la UE, y muchos están peor que España.

¿Cómo se explica?

Por la falta de costumbre. La realidad es que hoy es posible hacer casi cualquier trámite con certificado electrónico […] y con más razón ahora: gracias a la habilitación de la video identificación remota, las cosas van a cambiar a marchas forzadas.

[…] el reconocimiento facial es una práctica discutida, por distintas consideraciones.

Los ciudadanos estamos acostumbrados al uso masivo del reconocimiento facial desde hace años y para muchos usos. Los bancos la aplican para ciertas operaciones, con las limitaciones que establece la directiva de protección de datos. Por otra parte, en lo que nos concierne, el Centro Criptológico Nacional ha establecido los requisitos técnicos y funcionales que deben cumplir aquellos prestadores de servicios de confianza que quieran practicar la identificación por vídeo con validez probatoria […]

Me refería a la retracción de algunos usuarios

Yo diría que la experiencia actual no cambia demasiado para el usuario real: 90 segundos ante una pantalla, prueba de vida, reconocimiento OCR, movimiento aleatorio y ya está […] pero lo que hay detrás es una serie de certificaciones de seguridad que el CCN audita y, además, incluye la consulta en tiempo real a la base de datos de la Policía. Asimismo, se requiere la salvaguarda de esa información durante quince años en un sitio seguro […] Y la verificación no se hace sólo con el DNI español sino con los pasaportes de los 27 estados miembros, una herramienta que tenemos habilitada en nuestra solución.

Me gustaría volver sobre su mención al sector sanitario. Es notorio que está en auge. ¿También para la firma digital?  

Salta a la vista y cualquiera entiende por qué, siempre y cuando se den las condiciones de cumplimiento de la normativa. Por nuestra parte, estamos dispuestos a la integración de nuestra solución de certificación con determinadas aplicaciones que son utilizadas específicamente por los servicios de salud y que hayan sido desarrolladas por integradores que conozcan bien el caso de uso.

¿Por qué el sector público tiene menos peso en el negocio de Víntegris del que uno podría suponer?

No creo que el sector público esté rezagado, ni mucho menos. Así, a bote pronto, veo una respuesta a su pregunta: hay prestadores de servicios de confianza que son propios del sector público tanto a nivel estatal, como la FNMT como los autonómicos en Valencia, País Vasco y Cataluña. En nuestra opinión, estos mecanismos institucionales funcionan muy bien, pero aun así creemos poder hacer cosas interesantes. De hecho, a los prestadores públicos les estamos ofreciendo unas tecnologías sofisticadas que ellos no tienen.

Llevamos un buen rato hablando, pero todavía no le he preguntado por la historia de Víntegris […]

La compañía en su forma original nació en Barcelona en 2004, de la mano de un empresario catalán, Facundo Rojo, actuando como integradora de sistemas de tecnología de terceros y durante varios años estuvo muy centrada en cuatro grandes clientes: Generali, BBVA, Catalana Occidente, Sabadel y a desarrollar software relacionado con la seguridad, la gestión de accesos y la securización de entornos end-point. El gran acierto fue preservar la propiedad intelectual incluso después de la internalización de personal en los clientes.

[…] Contextualizando la época, el modelo vigente era de cliente-servidor, no la nube.

En 2016, tras varios años de desarrollo discreto, procedió a la migración de la arquitectura a un modelo SaaS sobre un hyperscaler y ya estuvo en condiciones de gestionar el reconocimiento oficial como PCSC (Prestador Cualificado de Servicios de Confianza). Finalmente, fue adquirida en 2020 por el grupo Euronovate, con una estrategia que proponía dar un empujón internacional a la actividad de Vínegris. Y al estar controlado por el grupo estadounidense Topaz, especializado en biometría, esta filiación nos confiere una nueva relevancia, ya que podemos ofrecer una solución end to end para los proyectos de gestión de la identidad: hardware, software, certificación, servicios e integración y el 95% lo hacemos nosotros.

¿Cuál es el plan de internacionalización?

Contempla cuatro geografías: Reino Unido, Alemania, Francia e Italia, con el objetivo de abrir oficinas en 2023. Esto requiere algo más que la traducción de la plataforma: una adecuación técnico-legal de las soluciones y, probablemente, la compra de alguna empresa con arraigo local.

Me queda una duda: el reglamento eIDAS otorga validez en los 27 estados miembros de la Unión Europea […]

Sí, es cierto. Cualquier ciudadano europeo puede utilizar la tecnología de Víntegris con la misma validez que en España. Actualmente, el 5% de la facturación se origina en algún otro país europeo, pero esta cuota nos parece residual si la comparamos con las oportunidades que creemos tener abiertas en Europa. En tres años, podríamos pasar del 5% actual de nuestra facturación total a un 35%.