El Wallet. Consideraciones previas

Hace unos días escribía sobre las distintas facetas del wallet Acceder, pero quizá, arranqué demasiado rápido. Pido disculpas.

Antes debí, debo, sentar determinadas bases que tienen que ver con: A) la cartera en sí misma, B) la identificación como trámite, C) la confianza, D) la voluntad E) a quién se puede emitir y, F) la interoperabilidad del acceso y los contenidos

A.     Del Wallet decir que, como cartera digital, es soporte de identidad básica y acreditaciones en forma de repositorio gestionado en una App que se descarga en el móvil y se activa. Hay una tendencia a que el wallet sea, en sí mismo, una nueva pieza de identidad neutra que se pueda asignar a PF (persona Física), PJ (Persona Jurídica = Institución, Organización o Empresa) y cosas. En tal caso, sin otras adiciones, genera la seudonimación que ofrece su ID ‘de fábrica’ (una especie de número de serie) sin la correspondencia de este con la persona o entidad a quien ha sido emitido. Puede determinarse previo trámite especial, incluido el judicial. Permite un anonimato reversible.

B.     La identificación puede ser nuda (desnuda, simple, básica), a cargo de instituciones de los Estados o ampliada con atributos (ser licenciado). Y estos últimos pueden ser emitidos por las Administraciones Públicas (AAPP) o por el sector privado.

La identificación puede tener la condición de latente o activa. Tiene que ver con lo tratado en el punto anterior. P. Ej. en personas, el recién nacido y su inscripción en el Registro Civil le dota de una identificación latente con un número que será el de su DNI cuando se produzca su primera comparecencia ante la policía, acompañado de sus padres, con una foto ‘estable’ de sus rasgos biológicos, huellas formadas y posibilidad de firma. La identificación se activa con la autenticación ante funcionario. Ej2: para las cosas, el automóvil con su número de chasis y su motor, son un ejemplo. No puede circular, pero existe. Dispone de una identificación base anterior a la matriculación que lo liga a un propietario y se convierte en su ID administrativo.

Por reforzar la idea en analógico, el papel de oficio notarial tiene identidad antes de ser utilizado, por su foliado, que después se referencia en el texto final de antefirma.

C.     Confianza. El Wallet es un contendor, lo vuelvo a exponer, de títulos. En el mundo físico estos son los carnés, las tarjetas, los resguardos o las entradas. La confianza 1) muy básica reside en el wallet que preserva lo que custodia y no permite incluir documentos ‘inventados’ ya que la incorporación requiere de un protocolo. Además , 2) lo importante es la confianza que ofrecen los documentos emitidos que debe ser aceptados por terceros como válidos, en vigor y no falsificados. La confianza digital se puede basar en dos técnicas.

• La primera recurre al sello electrónico en origen, de lo que se afirma-expone (de los datos que constituyen la ‘carga útil’). Mediante este recurso basado en criptografía de clave pública (PKI), el que solicite cualquier pieza de identidad o atributos puede comprobar autoría, autenticidad y no adulteración de lo que obtiene. El sistema matemático que lo consigue es difícil de explicar, pero es sólido, libre, público y auditable. Si se requiere tener confianza en los emisores de sellos electrónicos, llamados ‘servicios de confianza’ que se regulan el reglamento eIDAS 919/2014. Las comprobaciones pueden ser locales y no necesitan del uso de servicio de datos para la consulta de emisores.
• La segunda técnica se fundamenta en la firma en base a evidencias (en las AAPP llamada ‘firma no criptográfica’). Esto da lugar a documentos ‘firmado’ que aporta lo que en la industria se denomina ‘localizador’ y en las AAPP el CSV (Código seguro de verificación). La idea es que el documento original emite y se custodia en el sistema del emisor, en el que hay que confiar. En el Wallet hay un facsímil y con el código recibido se accede al repositorio origen y se obtienen garantías de autenticidad e integridad. Requiere acceso a evidencias generadas por el emisor, por lo tanto acceso a internet y el emisor podría contabilizar usos.

Resumo y amplio. La confianza es piedra angular con cuatro facetas: 1) confiar en el documento que custodia el Wallet, 2) confiar en que la App que lo sustenta no cambia lo recibido o se ‘lo inventa’, 3) confiar en el emisor de ese documento como fuente auténtica y 4) confiar en quien ha asegurado que ese documento es original, integro y cierto (un servicio de confianza que ha emitido un certificado o sello). Hay que añadir que todo esto debe tener alcance supra nacional. P.ej. la tarjeta sanitaria o la historia clínica (doc. administrativo o doc. médico) deben ser adecuados para el utilizador, que confía en el emisor. En analógico, debe tener igual efectos que la anotación que certifica la autenticidad de un documento público conocida como ‘Apostilla de la Haya’ (expedidos por un país firmante del XII Convenio de La Haya, el 5 de octubre de 1961).

D.     A quién se puede emitir. El Wallet es de amplio espectro, si se desea. Es adecuado para su uso por PF, PJ e incluso las cosas. Las PF identificadas pueden representar a otras PF, las PF pueden representar a las PJ y las cosas, simplificando, tienen propietarios en PF o PJ.

E.      Expresión de la voluntad. Esta ha sido aportada tradicionalmente con la firma realizada por trazo humano memorizado, sobre el papel que se desea ‘endosar’. La tecnología permite otras formas de expresión (una video declaración, p.ej.). El wallet básico puede contener un certificado PKI que permite la identificación del usuario y ser instrumento por el que este firma por documentos. Firmar es asegurar y dejar traza de que el identificado es autor-acepta-recusa-conoce un contenido y que se preserva la integridad e irrenunciabilidad (antes, no repudio). Para la firma es de aplicación lo enunciado en el apartado ‘confianza’. La firma puede realizarse mediante certificado o sello electrónico, la tratada, o recurriendo a la no criptográfica, basada en la custodia de original y evidencias del acto.

F.      La interoperabilidad. Los emisores son muchos, los verificadores o solicitantes en número indeterminado. ‘Entenderse’ es tema complejo que tiene que ver con acuerdos de acceso y uso, los formatos o esquemas, el contenido y semántica de las ‘afirmaciones’ o ‘certificaciones’ que se custodian que deben ser comprensibles y legibles por ordenadores. Todo debe esta especificado: la forma de incorporar los datos, la de presentarlos (incluso con código QR o Quick Response) y la de hacerlos útiles y accesibles a quien los solicita, previo permiso. Con certeza de veracidad (ver confianza).

Terminamos con estas ideas, con un resumen:

• El wallet es un contenedor de documentos electrónicos, pero además puede proponer identidad en emisión lo que es muy útil en países que no disponen de ID permanente y estable a cargo del estado.
• Contiene o puede contener: 1) la identificación básica, que en España es el DNI/NIE, 2) los poderes o facultades (ser titulado, colegiado, …) y 3) las pruebas y certificaciones de todo tipo (ser socio, ser cliente de …). Puede permitir portarlas y mostrarlas bajo control sin llevar traza de usos.
• Puede que incluya un certificado electrónico o sello para utilizarlo en firmas.
• La iniciativa europea se denomina EUDI Wallet, prevista para su puesta en operación no antes de 2025. que dispone de un marco técnico (ARF Architecture and Reference Framework). Hay otras iniciativas que se proponen por la industria y los servicios.

Enlace a la descripción de las facetas del Wallet Acceder