Què és la identitat digital?
Sovint es confon l’identificador amb la identitat. La identitat és el conjunt de totes aquelles coses que ens identifiquen. A l’àmbit digital aquesta informació és per exemple el nostre correu electrònic, el perfil en xarxes socials, fotos... però també les nostres dades bancàries, certificat de vacunació... El gran repte d'Internet continua sent com garantir que les nostres dades siguin privades i confiables, i que les institucions i empreses estiguin segures enfront de la suplantació d'identitat i les bretxes de seguretat, per esmentar alguns dels problemes que encara comporta.
A dia d’avui tenim moltes identitats digitals... Quina confiança mereix la identitat digital que es publica a internet i l’acreditada oficialment?
Excepte l'acreditada per un prestador de serveis de confiança qualificat, la identitat continua sent un gran problema. Per exemple, el cost global de les bretxes de seguretat en les empreses va ser de gairebé 5 bilions d'euros l'any passat. Un de cada cinc europeus ha sofert un robatori d'identitat digital en els últims dos anys.
El model ha estat captiu durant molts anys per part de grans operadors d'Internet i sovint és molt difícil provar qui està darrere d'una identitat a Internet. Pot ser fins i tot un bot.
Estem col·laborant amb la Comissió Europea en la construcció del model que ha de permetre que això canviï. Però a part també, com a prestador de serveis de confiança qualificat per la normativa europea, ens interessa especialment tenir un model d’identitat digital confiable que alhora permeti un desplegament universal.
Els Governs han d’acreditar d’una forma oficial la nostra identitat digital?
Els governs són una part imprescindible. La CE estableix que per a 2030, tots els serveis públics clau hauran d'estar disponibles en línia i el 80% dels ciutadans hauran d'utilitzar una solució d'identificació electrònica. Donat que almenys una vegada a l'any cada ciutadà es relaciona amb l'Administració Pública, això significa més de 250 milions d'usuaris digitals.
Una identitat segura són els Certificats Digitals AAPP però no estan gaire desplegats entre la ciutadania, hi pot haver un model universal fàcil pels ciutadans i segur?
Efectivament, l’actual model basat en certificats digitals ha demostrat els seus problemes d’usabilitat que han impedit un desplegament universal. Ara bé, la base tecnològica és molt potent i ha estat un gran aprenentatge. El canvi en el paradigma s’està produint amb el model d’identitats descentralitzades (també anomenat SSI – Self-sovereign identitites). Per exemple, el nostre servei VIDchain es basa en un aplicació mòbil (wallet-cartera) on cada ciutadà pot gestionar les credencials que formen la seva identitat: el nostre DNI, permís de conducció, dades bancàries, de salut, professionals, amb la garantia de poder compartir amb tercers únicament les parts de la identitat que són necessàries segons la situació. Per exemple, es pot demostrar que som majors d'edat, sense haver de mostrar totes les dades que apareixen al nostre DNI.
Aquest model d’Identitat Digital Sobirana serà universal?
Aquest model es pot aplicar a tots els entorns i sectors. Alguna de les indústries que més ràpidament ho està incorporant, per raons òbvies, és l'àrea de la salut i els viatges. Es necessita la fluïdesa de la informació sanitària (passaport de vacunació) per a poder restablir l'economia amb seguretat. Bancs, sector públic o l'àrea de recursos humans, són també alguns dels entorns que estan pilotant i que més ràpidament es poden beneficiar d'aquests processos. És per això que per a que sigui universal (com per exemple ha estat el correu electrònic) és fonamental que el model sigui interoperable independentment de la tecnologia o producte concret que cada persona utilitzi. Aquesta feina s’està fent al diversos organismes d’estandardització globals com el W3C, DIF, ISO, en els que estem participant.
Quines tecnologies es poden arribar a fer servir?
Hi ha com 3 grans àrees en les quals estem treballant: D'una banda, una cartera d'identitat digital que qualsevol pot utilitzar en el seu telèfon intel·ligent. Per un altre, un emissor de credencials d'identitat que permeti a les companyies i a les institucions no sols emetre sinó també revocar una credencial per a major seguretat. I finalment un servei que permeti consumir i verificar les credencials. En aquest sentit, i per a garantir que les aplicacions actuals en puguin fer un ús senzill, hem desenvolupat un connector basat en l’estàndard OpenID Connect.
Seria menys vulnerable als ciberatacs?
Sí, gràcies a la descentralització i a que la gestió d’usuaris d’una aplicació ja no es basa a tenir una base de dades centralitzada amb les seves identitats.
Què està fent la Comissió Europea en aquest nou model d’identitat?
El moment és ara. La Unió Europea està treballant perquè s'adopti el model d'identitat descentralitzada. D’una banda, gràcies al projecte EBSI, en el que hi estem treballant, que ha permès fer proves de concepte en diversos casos d’ús entre els estat membres, i d’altre la publicació de l’esborrany de la revisió del no reglament eIDAS (reglament d’identitat digital i serveis de confiança) en el qual es comencen a establir les bases de com funcionarà aquest model d’identitat descentralitzada que es preveu que entri en vigor cap a finals de 2022.
Esteu treballant en casos d’ús concrets?
Estem treballant en casos d'ús per a Sanitat, Administració Pública, Bancs i RH. Hi ha molt interès per part de tothom ja que és clar que es un model que permetrà superar el problema històric de la identitat a Internet i que per tant es podran oferir molts serveis que aportin valor.
Semblaria que el control de les dades personals ha de tornar als usuaris... però Governs i grans empreses ho deixaran fer?
És que aquest és un dels valors fundacionals de la UE. Per això tenim el GDPR que te una gran influència a tot el món. Si la UE no ens serveix per això, ja ens direu per a que serveix. És a dir, per descomptat, des de la Unió Europea i les empreses estan fent molts esforços a implantar el model, i les Institucions i governs locals van en la mateixa direcció. I no oblidem que a més, és una gran oportunitat per a que la industria dels serveis de confiança europea lideri aquesta transformació a nivell mundial.
Per contactar amb Santi Casas, faci la seva petició AQUÍ