¿Estamos listos para lo que viene?
Con la reciente entrada en vigor del reglamento eIDAS2, de obligado cumplimiento en administraciones públicas y en grandes compañías con presencia en internet, surge una oportunidad competitiva de adelantarse e integrar la nueva operativa en los procesos de negocio.
Pero… ¿qué es EIDAS2?
El 20 de mayo de 2024 entró en vigor el reglamento eIDAS2 sobre identidad digital en Europa que, de forma resumida, define la forma en que los ciudadanos y las empresas de la UE se van a poder identificar en los sistemas de las administraciones y de las grandes compañías con presencia en internet.
EL objetivo es que los ciudadanos sean dueños de sus datos.
Y entre otras muchas cosas el reglamento eIDAS2 propone el uso de una cartera digital (denominada EUDI Wallet), capaz de almacenar credenciales de cada ciudadano, para que podamos manejar nuestra identidad de manera segura y confiable en toda la UE.
Esta EUDI Wallet será indispensable y obligatoria tanto en administraciones públicas como en el ámbito privado, en sectores como transporte, energía, banca, financiero…, incluso en grandes plataformas online como Facebook, Amazon, etc.
El plazo que ha dado la UE para que los estados y empresas pongan a disposición de los ciudadanos las EUDI Wallets para identificación digital es de 2 años (noviembre 2026) para los organismos públicos, y 36 meses para las empresas privadas y plataformas online de alto volumen (noviembre de 2027).
¿Y qué podremos hacer con EUDI Wallet?
El gran valor de disponer de EUDI Wallet es que en ella cada ciudadano va a poder almacenar credenciales para diversos fines, con el objetivo de que esas credenciales, proporcionadas por una fuente autorizada y validadas por un prestador cualificado, aporten la suficiente garantía en los procesos de identificación y autenticación, e incluso sirvan como aporte de datos incorporados en las credenciales, lo que evitará el tortuoso “registro” en determinados sistemas.
Uno de los mandatos de la UE en su reglamento eIDAS2 es que las organizaciones y las empresas faciliten el uso de credenciales aportadas desde una EUDI Wallet para el acceso a los servicios que prestan. Con lo cual, el primer gran beneficio que encontraremos es que nos ayudará a identificarnos e incluso acceder a los sistemas simplemente “mostrando” digitalmente la EUDI Wallet con su correspondiente credencial.
Otro importante uso será la firma digital, simplificando el proceso al disponer de un certificado en el EUDI Wallet que nos permita firmar documentos.
En síntesis, va a ser una gran ayuda para promover la identidad digital soberana.
Ya sé lo que es, y ahora… ¿cómo empezar a aplicarlo?
La primera aplicación es la más obvia: facilitando la identificación para la autenticación en nuestros sistemas… Algo que resulta muy conveniente pues nos evita de entrada tener que recordar usuarios y password, al tiempo que nos permite garantizar que quien se identifica con el EUDI Wallet es quien dice.
Una segunda aplicación deseable sería el poder ejecutar determinadas operativas en nuestro sistema estando identificado o no previamente y respondiendo a la exigencia de un proceso al presentar una credencial suficiente (imaginemos una tarea de administración o cualquier otra función ejecutable desde nuestro sistema).
Una tercera operación de gran ayuda sería la capacidad para crear credenciales. Las credenciales van a ser un elemento fundamental en los sistemas… Nos van a otorgar como ciudadanos o como empresas la capacidad de presentar nuestra información a demanda de las organizaciones o las empresas.
Para crear una credencial necesitaríamos que un prestador cualificado, nos genere una credencial válida, por su puesto cualificada, para que se almacene en nuestra EUDI Wallet. La información de la credencial se la deberíamos entregar nosotros como fuente “autentica” de la información. Y nuestro prestador cualificado dará “fe” de que nosotros le entregamos la información y la pondrá a disposición del ciudadano o de la empresa en su EUDI Wallet.
Así, se iría construyendo la identidad del ciudadano en función de hechos verificables: su correo, los datos que aportamos para la credencial…
Y, más allá de la identificación… ¿cómo puedo integrar EUDI Wallet en mis procesos de negocio?
Uno de los procesos de negocio más complejos y de impacto directo en la cuenta de resultados de las empresas, es sin duda la incorporación de nuevos empleados y/o clientes, con todo el flujo de información y procedimientos internos que ello conlleva. En entornos como la banca, los seguros o las telecomunicaciones, suelen ser procesos bastante exigentes y que necesitan de unos datos sólidos y bien verificados.
Hablemos del OnBoarding y de KYC (Know Yor Customer)
En realidad cuando vamos a incorporar un ciudadano, empleado o cliente en nuestros sistemas o aplicaciones… haremos una tarea de identificación y una tarea de conocer su perfil de una manera suficientemente detallada para el fin que perseguimos. EUDI Wallet nos puede ayudar enormemente a facilitar estos procesos…
En organizaciones públicas o privadas que gestionan información de diferentes colectivos, cuando se incorporan nuevas personas (ya sea ciudadanos, clientes, proveedores o cualquier otro rol) es necesario efectuar un proceso de OnBoarding y posteriormente de KYC. En primer lugar, se apoyarían en la nueva funcionalidad de identidad digital para facilitar la identificación, y en segundo lugar en las creación de credenciales específicas para el colectivo, y particularizada para la persona, que recogerá en su EUDI Wallet para su posterior uso.
Imaginemos que somos una universidad o una escuela de negocios privada, que necesita facilitar determinados procesos como por ejemplo, la inscripción de sus “stakeholders” (profesores, asesores, alumnos, antiguos alumnos, profesores externos…, etc).
Para el “OnBoarding” de cada uno de estos colectivos, la credencial sería diferente: datos y atributos (cualificados o no) diferentes, y el objetivo sería que desde nuestro sistema pudiéramos gestionar y coordinar las diferentes credenciales de cada colectivo, aplicando técnicas de gestión de procesos de negocio, facilitando la automatización del proceso en la mayor medida posible y gestionando los atributos cualificados personalizados de cada credencial.
Un sistema así debería contar con:
- Un proceso de identificación basado en el aporte de una credencial cualificada de correo electrónico.
- Un proceso posterior de recopilación de información detallada, específica para el colectivo que estamos gestionando y que una vez validada (proceso KYC) nos permita solicitar a nuestro prestador la emisión de una credencial de dicho tipo, ya que somos la “fuente autentica” de emisión de la información y ellos, los prestadores cualificados que nos emiten la credencial y la ponen a disposición del ciudadano en su EUDI Wallet, (la que previamente usó para identificarse mediante una credencial de correo electrónico).
De este modo, integraríamos nuestra capacidad de gestión de procesos de negocio con la funcionalidad que van a requerir las organizaciones: gestionar la emisión de credenciales y facilitar el uso de estas, para la posterior identificación y trámites a llevar a cabo. Usar los propios procesos de negocio para facilitar este cometido es algo que puede beneficiar mucho a organizaciones con un alto volumen de usuarios que demandarán el uso de EUDI Wallets.
Procesos de negocio y gestión de las credenciales
Las organizaciones necesitarán gestionar de forma eficiente la emisión de sus credenciales. Para ello, lo más eficiente sería basarse en procesos masivos, que permitieran coordinar las actividades individuales de cada receptor de la credencial (un alumno, un profesor, un colaborador, un cliente, etc…) en coordinación con nuestro prestador cualificado.
Esto se traduciría en un importante ahorro de tiempo a la hora de organizar las nuevas capacidades que nos va a exigir el reglamento de eIDAS2, y en una gran agilidad a la hora de elaborar credenciales con datos que ya disponemos.
¿Existe algún BPM en el mercado que integre ya EUDI Wallet?
Sí, y se llama GPN6. Desde Aleph Software, hemos integrado ya EUDI Wallet en nuestro sistema bandera BPM GPN6, no solo para llevar a cabo las tareas de identificación, sino para potenciar procesos de negocio como los mencionados de OnBoarding y KYC.
El reglamento europeo eIDAS2 arbitra unos tiempos que parecen estar lejos (dos años), pero el tiempo vuela y hemos querido adelantarnos para que nuestros clientes obtengan ventajas competitivas reales de cara a la integración necesaria en el nuevo marco de identificación digital que se avecina.