Alexander Heichlinger (AT)Expert & Head EPSA, EIPA Barcelona
[email protected] www.eipa.eu; www.epsa2009.eu
La e-Identificación como innovación multi-faceta: Tendencias, progresos y experiencias innovadores en Europa
La e-Administración: Una administración más La e-Administración: Una administración más cercana a la ciudadaníacercana a la ciudadanía
11-12 de mayo 2010 Vitoria-Gasteiz
eIdentidad en la Unión Europea
Universal Service Directive (2002/22/EC)
Framework Directive (2002/21/EC)Authorisation Directive (2002/20/EC)Access Directive (2002/19/EC)Directive 1999/93/ECDirective 2002/58/ECeIdentidad
eFirma
“i” “ii”
“iii”
comunicaciones de banda ancha
servicios digitales
Servicios Públicos eficientes
rich media
content
innovación e inversión en investigación
nanoelectrónica microsistemas...
... ...
...
http://eur-lex.europa.eu/en/index.htm
Contexto de la analisis sobre el eIDContexto de la analisis sobre el eID Son muchos los
temas que se encuentran actualmente en debate :
• temas técnicos: seguridad, codificación, certificados
• temas políticos y sociales: seguridad, privacidad, comodidad, vigilancia
• temas filosóficos: cambio de identidad
• Existen recopilaciones descriptivas, pero ninguna investigación ni comparativa ni científica
Selección de países por comparaciónSelección de países por comparaciónBélgica ya contaba con una amplia difusión y su aceptación era prometedora. Pero el eID belga no incluía ninguna autenticación biométrica, mientras que en Alemania sí que estaba planeado incluirla.
España, Portugal e Italia decidieron incluir la autenticación biométrica. Entre estos tres países es España el que más ha avanzado.
El eID al no tener que utilizarse exclusivamente en un solo documento puede establecerse en otro tipo de tarjetas como podemos ver en el interesante caso de Austria.
Principales funciones de los cuatro ejemplos de tarjetas eID
Documento europeo para viajar (inspección visual +
electrónica)
Firma electrónica de documentos
Autenticación Online
Documento Nacional de Identidad (inspección visual y electrónica)
Diferencias entre las tarjetas eIDAT BE GE ES
Tarjeta de
información
Idéntica al documento nacional de
identidad
– X X X
Carácter de la tarjeta Obligatoriedad/edad – < 12 <16 <14Función de la tarjeta autenticación
(online) X X X Xautentificación (visual) - X X X
Firma electrónica X X* X** XCaracterísticas de la
tarjeta
*opt-out solución ** opt-in-solucion *** depende de la tarjeta de información
Numero nacional de registro ssPIN X – XDatos del usuario:
o direccióno Fotografía
X***X***
–X
XX
XX
Chip de contacto / sin contacto contacto contacto RFID contacto
Código PIN para protección de
Datos
X X X X
Biometría facial
Huellas dactilares
––
––
XX**
XX
Diferencias entre los cuatro eIDMSPersonalización y distribución
BE ES AT GE
Uno/Varias Tarjetas = 1 =1 > 1 = 1Personalización Central Local Central Central
Solicitud y recogida Municipios locales
256 oficinas en comisarías de policía
Diferentes agencias
Municipios locales
Fuente de información ID Registro central
Registro central
Registro central
Registro local
Firma electrónicaNum. de CAsNum. de RAs
Modo en tarjetas eID
1Igual que para eID
opt out
> 1Agencias diferentes
opt in
1Agencias diferentes
opt in
> 1Agencias diferentes
opt in
Solicitud de certificado de acceso
No No Si Si
Diferencias entre los cuatro eIDMS El proceso de autentificación
BE ES AT GE
Posesión y conocimiento (tarjeta y PIN)
X X X X
Longitud PIN (núm. dígitos)
6 6
PIN cambiable por el usuario
Sí Sí
Autenticación una/dos caras
Una cara Una cara Dos caras Dos caras
Acceso a la información
Información completa
Información completa
ssPIN Información de acceso seleccionada para certificar los derechos de acceso
Sistema de interacción:Duración del proceso
1999 20102000 2001 2002 2003 2004 2005 2006 2007 2008 2009
BE
DE
ESAT
Timeline of Development and Rollout
Rollout
Rollout
= Interruption
Renewal
EJEMPLO DE AUSTRIA
LA TARJETA VIRTUAL DE LOS CIUDADANOS LA TARJETA VIRTUAL DE LOS CIUDADANOS AUSTRIACOSAUSTRIACOS
Documento nacional de identidad(inspección visual y electrónica)
Documento europeo para viajar (inspección visual y electrónica)
Firma electrónica de documentos
Autenticación Online
Proceso de innovación – Cambios en la relevancia de la tarjetas electrónicas
Conexión deseada
Impugnado en debate pre-parlamentario; términos legales por conexión resueltos
eCard disponible como CCAumento de importancia
Concepto“Tarjeta
ciudadana”
Vínculos
inicio proyecto tarjeta
inteligente eSalud No realizado (preocupaciones por
privacidad, poca adecuación de identificador)
Puesta en marcha de CRR
Conexión explícita por la ley de Seg. Soc
Conexión física realizada
Concepto “ Tarjeta eSalud”
Early90ies
2000
2001
2002
2003
2004
2005
2006
Enmendación Ley de
Seguridad Social
Primera idea de “Tarjeta
ciudadana”
Modelo ID con CRR-no
encriptado., ssPINs
Ley E-Gov : especificación
legal CC
El caso Austriaco1990s
2000
2002
2004
2005
10/2001
11/2001
2006,2007
06/2001
1999
Prueba del sistema de chip en la seguridad social
Primera ley que pone las bases para la eIdentificación
Creación del contexto legal para el eGobierno
Amplia distribución del eID
Bajo uso del eID
Renovación de la estrategia de las ICT del Gobierno
Surge la idea de un eID para la identificación ciudadana
Ley austriaca de Signatura electrónica
Proyecto piloto de distribución de eIDs
Se adopta la decisión de proceder con la eID ciudadana
El caso AustriacoCaracterísticas y factores clave:
• Existencia previa de la tarjeta electrónica para la sanidad y la seguridad social (eCard).
• El eID se desarrolla como elemento clave para la implementación del eGobierno.
• Competencias de expedición muy centralizadas, con muy buena comunicación/coordinación con las entidades locales y regionales
El caso AustriacoPerspectivas:• Uso muy bajo, proporción mínima de certificados
activados: Demasiados requisitos técnicos para los usuarios (instalación
software, lector de tarjetas, proceso de activación). Falta de interés por parte del sector empresarial.
• Resistencia/descontento de los Länder y los municipios: necesidad de realizar grandes inversiones, falta de los
elementos técnicos y organizacionales requeridos
EJEMPLO DE BÉLGICA
El caso Belga 2000: Acuerdo sobre la integración de 2 funciones
(eIdentidad y eFirma) en el e-ID. 2001: Consejo de Ministros aprueba el concepto de
tarjeta de e-ID. 2002: Diseño y asignación del proceso de producción. 2003: Municipio piloto empieza a emitir los documentos
de Identidad electrónica (e-ID). 2004: Empieza la emisión de tarjetas e-ID a nivel nacional. 2007: Proyecto piloto de la identificación de niños (Kids-
ID) e inmigrantes (Foreigners-ID) 2008: Emisión de los documentos de identificación para
niños e inmigrantes.
Source: Prof. Leo Van Audenhove, Interdisciplinary Institute on Broadband Technology (IBBT)-Studies on Media, Information and Telecommunication (SMIT), Vrije Universiteit Brussels
EJEMPLO DE BÉLGICA
Ausencia de referente histórico.
Problemas de conciliación con la normativa de protección de datos y con ciertos derechos constitucionales.
Largo debate político sobre la creación de un documento de identidad basado en el “single identification number”.
El caso Alemán
El caso alemán
Fuente: Torsten Noack, Institut für Informationsmanagement Bremen
El caso alemán
El caso español: el DNI electrónico
Fuente: www.dnielectronico.es
2000 2001 2005 20062002 200920082007 2010
60 million €: equipment, setting up..
The launch of an eID is included in the Plan Info XXI
Definition of concepts, design of the eID
Elections – Government change
Arrival of the Socialist Party (2004)
First official assessmentsCoordination Committee - High level
Group chaired by Fernandez de la Vega
Pilot project (Burgos)
first eID issuances
20042003
Law on Electronic Access to Public Services
Elections
Without Government change
Finalized territorial
implementationPublic Procurement
July 2005
Directive 2002/58/EC on Privacy and Electronic Communication
All public services must be available through the Internet
8 million eID issued (est.)
first eIDs will expire
1.5 million eID issued
Plan Avanza
European Commission i2010 Initiative
120 million € allocated to eID project
Law on the Impulse of the Information Society
Budgetary problems, discussions among Ministries
Directive 1999/93/EC: Community framework for electronic signatures
Universal Service Directive (2002/22/EC)
Framework Directive (2002/21/EC)
Authorisation Directive (2002/20/EC)
Access Directive (2002/19/EC)
PROVEEDORES PÚBLICOS PROVEEDORES PRIVADOS
A nivel nacional A nivel regional
Ministerio del Interior
Fábrica Nacional de Moneda y Timbre
- CERES -
Region of
Valencia
Cataluña
- CATCERT-
País Vasco-IZENPE-
Camerfirma S.A. expide certificados para las Cámaras de Comercio
Firmaprofesional S.A.
expide certificados para colegios profesionales
Autoridad de Certificación de la Abogacía (ACA)
Agencia Notarial de Certificación
(ANCERT)
Servicio de certificación de los Registradores de
la Propiedad
Todos ellos aceptados por la Agencia Tributaria
Andalucía, GaliciaEntidades de Registro
de CERES
Clasificación de los medios de eIdentidad en España
...
- eDNI -
ENTIDADES DE CERTIFICACIÓN Y REGISTRO
ENTIDADES DE VALIDACIÓN
Ministerio del Interior
Sólo para Administraciones Públicas
Ciudadanos, empresas, también Administraciones Públicas
Sector privado, empresas
eID: Documento Nacional de Identidad electrónico – DNI electrónico –
Dirección General de la Policía
ComisaríasEl ciudadano debe dirigirse a la comisaría para solicitar el DNI electrónico
Se comprueba la concordancia de los datos biométricos actuales y anteriores en la base de datos de la Policía
(1)
(2) Si todo es correcto, el funcionario expide el DNI electrónico
(3)
(4)
El ciudadano recibe el DNI electrónico aprox. 15 minutos después de solicitarlo.
(5) El servicio de validación es clave para garantizar la seguridad de las transacciones.
Fábrica Nacional de
Moneda y Timbre
Ministerio de Administraciones
PúblicasMinisterio de Industria,
Turismo y Comercio
Distribución de Competencias
Ministerio del Interior
Dirección General de la Policía
Ministerio de Administraciones
Públicas
Dirección General para el Impulso de la
Administración Electrónica
Ministerio de Industria, Turismo y
Comercio
Dirección General para el desarrollo de la Sociedad de
la Información
Fábrica Nacional de Moneda y
Timbre
Diseño y definiciones del DNI electrónico
Competences exclusivas para la identificación de ciudadanos
Base de datos con los datos de todos los ciudadanos como mayor activo
Impresión y entrega
Coordinación de iniciativas de eGobierno
Servicio de validación para administraciones públicas
Introduce the eID card in the private sector
Impulso de la SIC (Plan Info XXI, Plan de Choque, Plan Conecta, Plan Avanza, Plan Moderniza)
Servicio de validación para empresas
Producción del DNI electrónico
Servicios de validación
(1) (2) (3)
Evolución y situación actual
Distribución del DNI electrónico
01.000.0002.000.0003.000.0004.000.0005.000.0006.000.0007.000.0008.000.0009.000.000
Mar
-06
May
-06
Jul-0
6
Sep
-06
Nov
-06
Jan-
07
Mar
-07
May
-07
Jul-0
7
Sep
-07
Nov
-07
Jan-
08
Mar
-08
May
-08
Jul-0
8
Sep
-08
Nov
-08
Jan-
09
núm
ero
de e
DN
I exp
edid
os
Actualmente se ha sobrepasado la cifra de los 13 millones de DNI electrónicos (12/2009). Se espera llegar a los 20 millones finales de 2010 y a una cobertura total en 2012.
eGobierno y el DNI electrónico 01-jul-2005 01-jul-2006 03-jul-2007 29-jul-2008
Entidad Certificadora Declaraciones de RentaFNMT 2.483.410 2.815.121 3.139.763 3.681.193
AC Firmaprofesional 5.928 9.692 12.678 13.976
Autoridad de Certificación de la Abogacía 600 3.172 6.702 11.208
ANF CA 793 2.554 5.143 9.012
ACCV-CA2 General 1.522 8.261
CAGVA Generalitat Valenciana 2.961 4.198 6.146 4.350
AC Camerfirma Certificados Camerales 730 1.423 2.426 3.192
AC DNIE 56 390 2.833EC-IDCat Agencia Catalana de Certificacio 193 507 1.139 2.308
PSC Banesto Clientes 181 820 1.366 1.816
Herritar eta erA - Izenpe SA 3 1 11 226
ANCERT 47 87 161 163
EC-AL Agencia Catalana de Certificacio 2 2 18 33EC-SAFP Agencia Catalana de Certificacio 2 10 20 20
EC-UR Agencia Catalana de Certificacio 4 3 3
Total 2.494.850 2.837.647 3.177.488 3.738.594Fuente: Agencia Tributaria
Factores clave
• Gran aceptación por parte de la población.• Niveles más altos de seguridad; muy difícil la
falsificación.• Ayuda a la mejora significativa de los Servicios
Públicos en el marco del eGobierno: Más accesibilidad para los ciudadanos, aumento de la
eficiencia de los trámites administrativos• Aumentar la seguridad en las transacciones
hechas en la web: Especial importancia para las transacciones comericales de la
PYMEs, a quienes puede ayudar a aumentar la productividad
TENDENCIAS EN eIDM:
CONCLUSIONES CLAVES DEL ANÁLISIS COMPARATIVO
Las iniciativas provenían de los programas de eGobiernos, pero fueron otros los que se
hicieron cargo
BE ES AT GE
Programa inicial e-gobierno
“The way to 21st
century 1999” Ministerio de Administraciones Públicas
Info XXI, 2000, Ministerio de Administraciones Públicas
e-gobiernoCancillería federal
e-gobierno 2.0, 2005. Ministerio del interior
Especificación FEDICTAgencia nacional para el e-gobierno
Dirección General de la Policía en el Ministerio de Interior
IKTCancillería federal
Ministerio del Interior
Marco legal 2003 Ley del Documento Nacional de Identidad
Decreto real sobre tarjetas ID en 2005
e-gobiernoLey 2005Revisión 2007
Ley sobre tarjeta personal eID y autenticación. 2009
Diferencias según la influencia de los diferentes campos políticos
Importancia de los demás campos políticos
(1=baja, 3=alta)
En los 4 países:
La autenticación en los servicios online del eGobierno fue una de las motivaciones iniciales, pero en algunos países los actores de otros campos políticos intentaron aprovecharse e influenciar en el desarrollo para el beneficio de su campo político (ej. seguridad)
Campo político BE ESAT
GE
Administración pública 3
2
3 2
Seguridad pública 1 3 1 3
Industria/Comercio 1 2 1 1
Economía y financias 1 1 1 1
Social/Salud 2 1 2 1
Gobierno/Ministerios 1 2 3 1
La tarjeta ID no era la primera opciónLa tarjeta ID no era la primera opción para la función de autenticación eID. Pero los intentos
por adoptar otra tarjeta, en particular las tarjetas de la seguridad social, fracasaron.
BE ES AT GE
Tarjeta seguridad social disponible
Desde 1996 ? Desde 2005 Aun no
Intentos de utilizar la tarjeta de la seguridad social como tarjeta para el eID
Si, 1999 No Si, en 2001 fracasó. Desde 2005 es una opción
Consideración de integración de la tarjeta ID en 2005
Validez de la tarjeta ID
10 10 - 10 años
Motivo de fracaso Diferentes responsabilidadesMinisterio de Asuntos Sociales Esperaban problemas de aceptación
Diferentes responsabilidadesMinisterio de Asuntos Sociales
Estructura de poder político• Si el eIDMS propuesto sigue los recorridos
tecnológicos, organizativos e institucionales ya establecidos, es improbable que haya desacuerdo con el partido mayoritario en el parlamento.
• Los cambios en las oficinas de gobierno debido a las elecciones durante el proceso de desarrollo influencian tanto en la duración como en el resultado de los procesos.
• Los partidos conservadores tienden a dar mayor prioridad a la seguridad pública, mientras que los gobiernos de izquierda y liberales se declinan por los requisitos de privacidad y las disposiciones.
Influencia de la Industria de las TI (Chip y e-comercio)
• La industria de las TI intentó involucrarse en las especificaciones de las tarjetas con chip para asi estar preparada para el diseño y producción de chips eID, pero no lo consiguió al aceptarse los requisitos funcionales según preferencias políticas que provocaron que no tuviera éxito en la harmonización de los chips eID.
• La industria del e-comercio mostró poco interés durante el proceso de desarrollo. Las grandes tiendas online no ofrecieron una autenticación eID y tampoco lo hicieron los bancos para su sistema online.
Ley de privacidad Explica las diferencias entre las disposiciones de privacidad
BE ES AT GELey de Regulación legal aprobada por el Parlamento directiva/decreto
Ley Decreto Ley Ley
Consulta de autoridad privada-Informal-Consulta formal-Acuerdo formal ?
? xx
Control de aplicaciónConcesión legalCertificado técnico
X-
- -
-X
-X
PrivacidadAutenticación doble caraControl de registro
-X
--
--
Xplaneado
Distribución de la informaciónVs.Fuente fiable
-
X
-
-
X
-
X
-
Identificador personal único X X - -
Huellas dactilares digitales - X - X
Difusión y uso (ritmo de adaptación)BE ES AT DE
Difusión en 2009 8 milliones, 90% de la población belga autorizada
13 milliones, 33%de los españoles con derecho a tarjeta ID
8.4 milliones de tarjetas electrónicas, 100%de todos los ciudadanos
Aún no
Función eID activada
No necesario No necesario Approx. 74000, 0.9% de los que aprox 20000 oficinas para tarjetas ID
Aún no
Tasa de uso en la declaración de la renta electrónica
24% 21% 25.7% Aún no
Tasa de uso de eID en la declaración de la renta electrónica
3.6% de las aplicaciones electrónicas
0.1% de las aplicaciones electrónicas
0.7% de las aplicaciones electrónicas
Aún no
Difusión de lectores de tarjetas
15% de usuarios de Internet, 50% lo utilizan
Aún no
Barreras para la aplicación desde la perspectiva de los usuarios
• El proceso técnico de autenticación es complejo y difícil de entender.
• La ventaja de una seguridad mayor no es ni visible ni observable.
• Los componente técnicos son difíciles de instalar y de usar.
Barreras para la aplicación desde la perspectiva de distribución
• Existe un círculo vicioso: mientras que los métodos de autenticación existentes se ofrezcan en paralelo, no habrá necesidad de adoptar la autenticación eID. Los proveedores que normalmente utilicen los servicios de e-gobierno no podrán usar otros tipos de autenticación mientras que los usuarios potenciales no instalen un equipo para la autenticación eID
• La autoridad encargada de la distribución en diferentes niveles del gobierno responsables de qué servicios públicos se ofrencen online y qué tipo de autenticación se requiere, crea una barrera estructural para el uso del eIDMS. Los gobiernos locales tampoco tendrían grandes ganancias si cambian los procesos ya existentes.
• Los gobiernos nacionales no pueden obligar a los gobiernos locales a que ofrezcan autenticación via eIDs. Podrían ofrecer iniciativas económicas, pero esta medida aún no la han tomado. Parece como si el e-gobierno no fuera un campo político de gran importancia a nivel nacional.
Conclusión
• El tipo y el grado de cambios y efectos es aún muy moderado y seguirá en esta línea al menos durante los próximos diez años
• Ningún país ha aprovechado la introducción de el eID para cambiar el ID nacional oficial.
• Cuando la anterior tarjeta ID fue elegida como modelo para el eID, la mayoría de los ciudadanos la consideraron y utilizaron como medio para la autenticación visual interpersonal.