La e-Identificación como innovación multi-faceta: Tendencias, progresos y experiencias innovadores en Europa La e-Administración: Una administración más cercana a la ciudadanía 11-12 de mayo 2010 Vitoria-Gasteiz Alexander Heichlinger (AT) Expert & Head EPSA, EIPA Barcelona a.heichlinger@eipa-ecr.com www.eipa.eu; www.epsa2009.eu
eIdentidad en la Unión Europea “ii” “i” comunicaciones de banda ancha rich media content innovación e inversión en investigación nanoelectrónica microsistemas... servicios digitales ... ... “iii” Universal Service Directive (2002/22/EC) Framework Directive (2002/21/EC) Authorisation Directive (2002/20/EC) Access Directive (2002/19/EC) Directive 1999/93/EC Directive 2002/58/EC ... Servicios Públicos eficientes eFirma eIdentidad http://eur-lex.europa.eu/en/index.htm
Contexto de la analisis sobre el eID Son muchos los temas que se encuentran actualmente en debate : temas técnicos: seguridad, codificación, certificados temas políticos y sociales: seguridad, privacidad, comodidad, vigilancia temas filosóficos: cambio de identidad Existen recopilaciones descriptivas, pero ninguna investigación ni comparativa ni científica
Selección de países por comparación Bélgica ya contaba con una amplia difusión y su aceptación era prometedora. Pero el eID belga no incluía ninguna autenticación biométrica, mientras que en Alemania sí que estaba planeado incluirla. España, Portugal e Italia decidieron incluir la autenticación biométrica. Entre estos tres países es España el que más ha avanzado. El eID al no tener que utilizarse exclusivamente en un solo documento puede establecerse en otro tipo de tarjetas como podemos ver en el interesante caso de Austria.
Principales funciones de los cuatro ejemplos de tarjetas eID Autenticación Online Firma electrónica de documentos Documento Nacional de Identidad (inspección visual y electrónica) Documento europeo para viajar (inspección visual + electrónica)
Diferencias entre las tarjetas eID AT BE GE ES Tarjeta de información Idéntica al documento nacional de identidad – X Carácter de la tarjeta Obligatoriedad/edad < 12 <16 <14 Función de la tarjeta autenticación (online) autentificación (visual) - Firma electrónica X* X** Características de la tarjeta *opt-out solución ** opt-in-solucion *** depende de la tarjeta de información Numero nacional de registro ssPIN Datos del usuario: dirección Fotografía X*** Chip de contacto / sin contacto contacto RFID Código PIN para protección de Datos Biometría facial Huellas dactilares
Diferencias entre los cuatro eIDMS Personalización y distribución BE ES AT GE Uno/Varias Tarjetas = 1 =1 > 1 Personalización Central Local Solicitud y recogida Municipios locales 256 oficinas en comisarías de policía Diferentes agencias Fuente de información ID Registro central Registro local Firma electrónica Num. de CAs Num. de RAs Modo en tarjetas eID 1 Igual que para eID opt out Agencias diferentes opt in Solicitud de certificado de acceso No Si
Diferencias entre los cuatro eIDMS El proceso de autentificación BE ES AT GE Posesión y conocimiento (tarjeta y PIN) X Longitud PIN (núm. dígitos) 6 PIN cambiable por el usuario Sí Autenticación una/dos caras Una cara Dos caras Acceso a la información Información completa ssPIN Información de acceso seleccionada para certificar los derechos de acceso
Sistema de interacción: Duración del proceso
EJEMPLO DE AUSTRIA LA TARJETA VIRTUAL DE LOS CIUDADANOS AUSTRIACOS Documento nacional de identidad (inspección visual y electrónica) Documento europeo para viajar (inspección visual y electrónica) Firma electrónica de documentos Autenticación Online
Proceso de innovación – Cambios en la relevancia de la tarjetas electrónicas Concepto “ Tarjeta eSalud” Vínculos Concepto “Tarjeta ciudadana” Early 90ies inicio proyecto tarjeta inteligente eSalud Conexión deseada Primera idea de “Tarjeta ciudadana” 2000 No realizado (preocupaciones por privacidad, poca adecuación de identificador) 2001 2002 Puesta en marcha de CRR Modelo ID con CRR-no encriptado., ssPINs 2003 Enmendación Ley de Seguridad Social Conexión explícita por la ley de Seg. Soc 2004 Ley E-Gov : especificación legal CC Impugnado en debate pre-parlamentario; términos legales por conexión resueltos 2005 Conexión física realizada 2006 eCard disponible como CC Aumento de importancia
El caso Austriaco 1990s Prueba del sistema de chip en la seguridad social 1999 Ley austriaca de Signatura electrónica 2000 Surge la idea de un eID para la identificación ciudadana 06/2001 Renovación de la estrategia de las ICT del Gobierno 10/2001 Se adopta la decisión de proceder con la eID ciudadana 11/2001 Primera ley que pone las bases para la eIdentificación 2002 Proyecto piloto de distribución de eIDs 2004 Creación del contexto legal para el eGobierno 2005 Amplia distribución del eID 2006,2007 Bajo uso del eID
Características y factores clave: El caso Austriaco Características y factores clave: Existencia previa de la tarjeta electrónica para la sanidad y la seguridad social (eCard). El eID se desarrolla como elemento clave para la implementación del eGobierno. Competencias de expedición muy centralizadas, con muy buena comunicación/coordinación con las entidades locales y regionales
El caso Austriaco Perspectivas: Uso muy bajo, proporción mínima de certificados activados: Demasiados requisitos técnicos para los usuarios (instalación software, lector de tarjetas, proceso de activación). Falta de interés por parte del sector empresarial. Resistencia/descontento de los Länder y los municipios: necesidad de realizar grandes inversiones, falta de los elementos técnicos y organizacionales requeridos
EJEMPLO DE BÉLGICA
El caso Belga 2000: Acuerdo sobre la integración de 2 funciones (eIdentidad y eFirma) en el e-ID. 2001: Consejo de Ministros aprueba el concepto de tarjeta de e-ID. 2002: Diseño y asignación del proceso de producción. 2003: Municipio piloto empieza a emitir los documentos de Identidad electrónica (e-ID). 2004: Empieza la emisión de tarjetas e-ID a nivel nacional. 2007: Proyecto piloto de la identificación de niños (Kids-ID) e inmigrantes (Foreigners-ID) 2008: Emisión de los documentos de identificación para niños e inmigrantes. Source: Prof. Leo Van Audenhove, Interdisciplinary Institute on Broadband Technology (IBBT)-Studies on Media, Information and Telecommunication (SMIT), Vrije Universiteit Brussels
EJEMPLO DE BÉLGICA
El caso Alemán Ausencia de referente histórico. Problemas de conciliación con la normativa de protección de datos y con ciertos derechos constitucionales. Largo debate político sobre la creación de un documento de identidad basado en el “single identification number”.
El caso alemán El proceso alemán se caracteriza por un larguísimo proceso de debate político. Cada decisión se discutió de modo exhaustivo. Así, en primer lugar se debatió el modelo de eGobierno que se quería implementar y la necesidad/oportunidad de introducir un documento de identidad electrónica. Así, en 2002 se aprobó la decisión de incluir la firma digital en el documento de identificación estatal. Se requirieron dos años más para que el Ministerio del Interior presentara su proyecto sobre los datos biométricos que tal documento debía incluir. Cabe señalar que la preocupación era doble: además de los motivos de seguridad nacional, había una gran preocupación por el respeto a las bases constitucionales y de protección de datos alemanas. En 2005 el Comité encargado del e-ID presentó su estrategia para su introducción. Finalmente a finales del 2006 y principios del 2007 se aprobó la Ley que hacía posible comenzar de facto su proceso de distribución. Fuente: Torsten Noack, Institut für Informationsmanagement Bremen
El caso alemán El gráfico nos muestra las muchas implicaciones que tiene la introducción de un documento de identidad electrónica estatal y los numerosos actores que toman parte en ello. La preocupación alemana en el proyecto del e-ID era conciliar los intereses de muy diversos actores. No obstante, el papel central lo ostenta el Ministerio del Interior.
El caso español: el DNI electrónico Fuente: www.dnielectronico.es
Budgetary problems, discussions among Ministries Elections – Government change Arrival of the Socialist Party (2004) Elections Without Government change First official assessments Coordination Committee - High level Group chaired by Fernandez de la Vega The launch of an eID is included in the Plan Info XXI All public services must be available through the Internet Law on Electronic Access to Public Services Budgetary problems, discussions among Ministries Definition of concepts, design of the eID 60 million €: equipment, setting up.. Finalized territorial implementation Public Procurement July 2005 Pilot project (Burgos) first eID issuances 1.5 million eID issued 8 million eID issued (est.) first eIDs will expire 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 Law on the Impulse of the Information Society Las franjas significan ámbitos de actuación: Azul claro: MAP Salmón: Ministerio del Interior y Policía Verde: MITyC Amarillo: Unión Europea 120 million € allocated to eID project Plan Avanza Directive 2002/58/EC on Privacy and Electronic Communication Directive 1999/93/EC: Community framework for electronic signatures Universal Service Directive (2002/22/EC) Framework Directive (2002/21/EC) Authorisation Directive (2002/20/EC) Access Directive (2002/19/EC) European Commission i2010 Initiative 22
... Clasificación de los medios de eIdentidad en España PROVEEDORES PÚBLICOS PROVEEDORES PRIVADOS A nivel nacional A nivel regional Ministerio del Interior Region of Valencia Camerfirma S.A. expide certificados para las Cámaras de Comercio - eDNI - Servicio de certificación de los Registradores de la Propiedad Cataluña - CATCERT- Fábrica Nacional de Moneda y Timbre - CERES - Firmaprofesional S.A. expide certificados para colegios profesionales País Vasco -IZENPE- Agencia Notarial de Certificación (ANCERT) Autoridad de Certificación de la Abogacía (ACA) Andalucía, Galicia Entidades de Registro de CERES ... Todos ellos aceptados por la Agencia Tributaria
ENTIDADES DE CERTIFICACIÓN Y REGISTRO eID: Documento Nacional de Identidad electrónico – DNI electrónico – ENTIDADES DE CERTIFICACIÓN Y REGISTRO Ministerio del Interior Se comprueba la concordancia de los datos biométricos actuales y anteriores en la base de datos de la Policía (3) (2) Dirección General de la Policía Si todo es correcto, el funcionario expide el DNI electrónico El ciudadano recibe el DNI electrónico aprox. 15 minutos después de solicitarlo. El ciudadano debe dirigirse a la comisaría para solicitar el DNI electrónico Comisarías (1) (4) ENTIDADES DE VALIDACIÓN (5) El servicio de validación es clave para garantizar la seguridad de las transacciones. The concept “validation” is understood as the verification of eID card’s state (i.e. expiration date, specific prohibitions of access to a service...). Ministerio de Administraciones Públicas Fábrica Nacional de Moneda y Timbre Ministerio de Industria, Turismo y Comercio Sólo para Administraciones Públicas Ciudadanos, empresas, también Administraciones Públicas Sector privado, empresas
Distribución de Competencias Ministerio del Interior Dirección General de la Policía Ministerio de Administraciones Públicas Dirección General para el Impulso de la Administración Electrónica Ministerio de Industria, Turismo y Comercio Dirección General para el desarrollo de la Sociedad de la Información Fábrica Nacional de Moneda y Timbre Diseño y definiciones del DNI electrónico Competences exclusivas para la identificación de ciudadanos Base de datos con los datos de todos los ciudadanos como mayor activo Impresión y entrega Coordinación de iniciativas de eGobierno Servicio de validación para administraciones públicas Introduce the eID card in the private sector Impulso de la SIC (Plan Info XXI, Plan de Choque, Plan Conecta, Plan Avanza, Plan Moderniza) Servicio de validación para empresas Producción del DNI electrónico Servicios de validación (1) (2) (3)
Evolución y situación actual Actualmente se ha sobrepasado la cifra de los 13 millones de DNI electrónicos (12/2009). Se espera llegar a los 20 millones finales de 2010 y a una cobertura total en 2012.
eGobierno y el DNI electrónico 01-jul-2005 01-jul-2006 03-jul-2007 29-jul-2008 Entidad Certificadora Declaraciones de Renta FNMT 2.483.410 2.815.121 3.139.763 3.681.193 AC Firmaprofesional 5.928 9.692 12.678 13.976 Autoridad de Certificación de la Abogacía 600 3.172 6.702 11.208 ANF CA 793 2.554 5.143 9.012 ACCV-CA2 General 1.522 8.261 CAGVA Generalitat Valenciana 2.961 4.198 6.146 4.350 AC Camerfirma Certificados Camerales 730 1.423 2.426 3.192 AC DNIE 56 390 2.833 EC-IDCat Agencia Catalana de Certificacio 193 507 1.139 2.308 PSC Banesto Clientes 181 820 1.366 1.816 Herritar eta erA - Izenpe SA 3 1 11 226 ANCERT 47 87 161 163 EC-AL Agencia Catalana de Certificacio 2 18 33 EC-SAFP Agencia Catalana de Certificacio 10 20 EC-UR Agencia Catalana de Certificacio 4 Total 2.494.850 2.837.647 3.177.488 3.738.594 Fuente: Agencia Tributaria
Factores clave Gran aceptación por parte de la población. Niveles más altos de seguridad; muy difícil la falsificación. Ayuda a la mejora significativa de los Servicios Públicos en el marco del eGobierno: Más accesibilidad para los ciudadanos, aumento de la eficiencia de los trámites administrativos Aumentar la seguridad en las transacciones hechas en la web: Especial importancia para las transacciones comericales de la PYMEs, a quienes puede ayudar a aumentar la productividad
CONCLUSIONES CLAVES DEL ANÁLISIS COMPARATIVO TENDENCIAS EN eIDM: CONCLUSIONES CLAVES DEL ANÁLISIS COMPARATIVO
Las iniciativas provenían de los programas de eGobiernos, pero fueron otros los que se hicieron cargo BE ES AT GE Programa inicial e-gobierno “The way to 21st century 1999” Ministerio de Administraciones Públicas Info XXI, 2000, Ministerio de Administraciones Públicas e-gobierno Cancillería federal e-gobierno 2.0, 2005. Ministerio del interior Especificación FEDICT Agencia nacional para el Dirección General de la Policía en el Ministerio de Interior IKT Ministerio del Interior Marco legal 2003 Ley del Documento Nacional de Identidad Decreto real sobre tarjetas ID en 2005 Ley 2005 Revisión 2007 Ley sobre tarjeta personal eID y autenticación. 2009
Diferencias según la influencia de los diferentes campos políticos Importancia de los demás campos políticos (1=baja, 3=alta) En los 4 países: La autenticación en los servicios online del eGobierno fue una de las motivaciones iniciales, pero en algunos países los actores de otros campos políticos intentaron aprovecharse e influenciar en el desarrollo para el beneficio de su campo político (ej. seguridad) Campo político BE ES AT GE Administración pública 3 2 Seguridad pública 1 Industria/Comercio Economía y financias Social/Salud Gobierno/Ministerios
La tarjeta ID no era la primera opción La tarjeta ID no era la primera opción para la función de autenticación eID. Pero los intentos por adoptar otra tarjeta, en particular las tarjetas de la seguridad social, fracasaron. BE ES AT GE Tarjeta seguridad social disponible Desde 1996 ? Desde 2005 Aun no Intentos de utilizar la tarjeta de la seguridad social como tarjeta para el eID Si, 1999 No Si, en 2001 fracasó. Desde 2005 es una opción Consideración de integración de la tarjeta ID en 2005 Validez de la tarjeta ID 10 - 10 años Motivo de fracaso Diferentes responsabilidades Ministerio de Asuntos Sociales Esperaban problemas de aceptación Ministerio de Asuntos Sociales
Estructura de poder político Si el eIDMS propuesto sigue los recorridos tecnológicos, organizativos e institucionales ya establecidos, es improbable que haya desacuerdo con el partido mayoritario en el parlamento. Los cambios en las oficinas de gobierno debido a las elecciones durante el proceso de desarrollo influencian tanto en la duración como en el resultado de los procesos. Los partidos conservadores tienden a dar mayor prioridad a la seguridad pública, mientras que los gobiernos de izquierda y liberales se declinan por los requisitos de privacidad y las disposiciones.
Influencia de la Industria de las TI (Chip y e-comercio) La industria de las TI intentó involucrarse en las especificaciones de las tarjetas con chip para asi estar preparada para el diseño y producción de chips eID, pero no lo consiguió al aceptarse los requisitos funcionales según preferencias políticas que provocaron que no tuviera éxito en la harmonización de los chips eID. La industria del e-comercio mostró poco interés durante el proceso de desarrollo. Las grandes tiendas online no ofrecieron una autenticación eID y tampoco lo hicieron los bancos para su sistema online.
Ley de privacidad Explica las diferencias entre las disposiciones de privacidad BE ES AT GE Ley de Regulación legal aprobada por el Parlamento directiva/decreto Ley Decreto Consulta de autoridad privada Informal Consulta formal Acuerdo formal ? x Control de aplicación Concesión legal Certificado técnico X - Privacidad Autenticación doble cara Control de registro planeado Distribución de la información Vs. Fuente fiable Identificador personal único Huellas dactilares digitales
Difusión y uso (ritmo de adaptación) BE ES AT DE Difusión en 2009 8 milliones, 90% de la población belga autorizada 13 milliones, 33%de los españoles con derecho a tarjeta ID 8.4 milliones de tarjetas electrónicas, 100%de todos los ciudadanos Aún no Función eID activada No necesario Approx. 74000, 0.9% de los que aprox 20000 oficinas para tarjetas ID Tasa de uso en la declaración de la renta electrónica 24% 21% 25.7% Tasa de uso de eID en la declaración de la renta electrónica 3.6% de las aplicaciones electrónicas 0.1% de las aplicaciones electrónicas 0.7% de las aplicaciones electrónicas Difusión de lectores de tarjetas 15% de usuarios de Internet, 50% lo utilizan
Barreras para la aplicación desde la perspectiva de los usuarios El proceso técnico de autenticación es complejo y difícil de entender. La ventaja de una seguridad mayor no es ni visible ni observable. Los componente técnicos son difíciles de instalar y de usar.
Barreras para la aplicación desde la perspectiva de distribución Existe un círculo vicioso: mientras que los métodos de autenticación existentes se ofrezcan en paralelo, no habrá necesidad de adoptar la autenticación eID. Los proveedores que normalmente utilicen los servicios de e-gobierno no podrán usar otros tipos de autenticación mientras que los usuarios potenciales no instalen un equipo para la autenticación eID La autoridad encargada de la distribución en diferentes niveles del gobierno responsables de qué servicios públicos se ofrencen online y qué tipo de autenticación se requiere, crea una barrera estructural para el uso del eIDMS. Los gobiernos locales tampoco tendrían grandes ganancias si cambian los procesos ya existentes. Los gobiernos nacionales no pueden obligar a los gobiernos locales a que ofrezcan autenticación via eIDs. Podrían ofrecer iniciativas económicas, pero esta medida aún no la han tomado. Parece como si el e-gobierno no fuera un campo político de gran importancia a nivel nacional.
Conclusión El tipo y el grado de cambios y efectos es aún muy moderado y seguirá en esta línea al menos durante los próximos diez años Ningún país ha aprovechado la introducción de el eID para cambiar el ID nacional oficial. Cuando la anterior tarjeta ID fue elegida como modelo para el eID, la mayoría de los ciudadanos la consideraron y utilizaron como medio para la autenticación visual interpersonal.