No es ninguna novedad que uno de los problemas recurrentes, graves y aún pendientes de solución en la transformación digital y la digitalización completa de procesos pasa por la atribución a personas reales de lo que sus «avatares» hacen en internet. Sin que haya una identificación inicial que ponga en relación de manera unívoca e inequívoca la identidad legal de la persona física con la digital, con los medios de identificación y autenticación digitales que les proporcionemos, no podremos atribuir a una persona en concreto, sin riesgo y afectación de la seguridad jurídica, las acciones que esa identidad lleve a cabo en los entornos virtuales.
En el mundo físico, el cotejo de la persona física o jurídica se efectúa de manera presencial, incluso en entornos donde todo el negocio es digital, lo que es poco eficiente y contraintuitivo. La Covid-19 y sus confinamientos extremos demostraron, además, que la identificación presencial puede ser peligrosa e imposible de llevar a efecto, frenando la actividad de las empresas y la emisión de certificados de firma esenciales para realizar las nuevas actividades y gestiones completamente digitales consecuencia, también, del cambio de paradigma que ha traído la pandemia.
Por este motivo, los proyectos de identidad digital y de verificación de la identidad de manera remota se han acelerado trayendo cambios al Reglamento eIDAS con la aprobación de la propuesta de Reglamento eIDAS2 y la aprobación de la Orden de Telepersonación ETD/465/2021, de 6 de mayo, cuyo comentario completo encontrará el lector en esta obra.
Abreviaturas
Introducción
I. ¿Qué es la identidad?
1. Aproximación biológica, social y psicológica
1.1. Identidad social
1.2. Identidad personal
1.3. Identidades de actores corporativos
2. El derecho a la identidad: identidad legal y monopolio del estado
2.1. De la identidad familiar al monopolio de la identificación por el estado
2.2. La identidad legal
2.3. El cambio de los atributos de la identidad legal a lo largo de la vida
II. Identidad digital
1. Modelos de sistemas de identificación digital
1.1. Identidad autosoberana
2. Diseño y gobernanza de los sistemas de identidad
2.1. Diseño de los sistemas de identidad
2.2. Gobernanza de los sistemas de identidad
3. Ciclo de vida de la identidad digital
3.1. Roles en la gestión del ciclo de vida
3.2. El proceso de verificación de la identidad o «Identity Proofing»
3.3. La autenticación en la regulación europea e internacional
4. Sistemas nacionales de identidad notificados bajo el Reglamento eIDAS
4.1. Niveles de aseguramiento e interoperabilidad de los sistemas notificados
4.2. Digitalización de los documentos nacionales de identidad o eIDs
4.3. La modificación del Reglamento eIDAS y el esquema europeo de identidad digital (EUid)
5. Reconocimiento mutuo de sistemas de identidad: el modelo UNCITRAL
6. La US Improving Digital Identity Act
III. El proceso de verificación de la identidad
1. Definición del proceso
2. Riesgos inherentes al proceso de verificación de la identidad
2.1. Metodología para la identificación del riesgo
3. Descripción del proceso: pasos y requisitos
3.1. Iniciación
3.2. Recogida de atributos
3.3. Validación de atributos
3.4. Vinculación con el solicitante
3.5. Emisión del resultado de la prueba de identidad
4. Tipología de los procesos de verificación de la identidad remota
4.1. Videoconferencia
4.2. Medios de identificación electrónica e uso de la identidad bancaria
5. Las medidas de seguridad de mitigación del riesgo
5.1. Potencial de ataque y niveles de seguridad
5.2. Controles organizativos
5.3. Controles técnicos
5.4. Controles de proceso
5.5. Testeo de seguridad
IV. El proceso de verificación remota de la identidad en España
1. Procedimientos de videoidentificación del SEPBLAC
2. La Orden sobre telepersonación
2.1. Requisitos de Outsourcing
2.2. Requisitos de evaluación acreditada
2.3. Requisitos del proceso de verificación de la identidad propuesto por la Orden
2.4. Requisitos procedimentales
2.5. Requisitos de seguridad de los productos o sistemas
3. La verificación de la identidad en el gambling online
V. Identificación remota en Europa
1. Alemania
1.1. Circular BaFin 03/2017 sobre video-identificación
1.2. Technical Guideline TR-03147: Assurance Level Assessment of Procedures for Identity Verification of Natural Persons
1.3. BNetzA 126/2017
1.4. BNtAg 208/2018 de implantación del Reglamento eIDAS
2. Austria
3. Bélgica
3.1. National Bank of Belgium Object of the identification and identity verification: Comments and recommendations
4. Estonia
5. Francia
5.1. ANSSI: Prestataires de vérification d’identité à distance – Référentiel d’exigences
6. Grecia
7. Países Bajos
8. Italia
8.1. Instrucción del Banco de Italia sobre la verificación apropiada del cliente para combatir el blanqueo de capitales y la financiación del terrorismo
8.2. Reglamento IVASS (Instituto de Supervisión de Seguros) 44/2019
9. Luxemburgo
10. Noruega
10.1. Bits: Requisitos para la verificación digital segura de la identidad
11. Portugal
12. Reino Unido
12.1. Guidance on Identity proofing and authentication
12.2. BS 8626: 2020. Design and operation of online user identifica- tion systems
13. Rumanía
VI. Estándares e informes sobre verificación de la identidad y eID
1. Estándares y buenas prácticas
1.1. Estándares CEN/ETSI
1.2. ISO
1.3. EEUU
2. Informes
2.1. ENISA Report — eIDAS compliant eID solution
2.2. G20 Digital Identity Onboarding
2.3. EC Report on Existing Remote On-Boarding Solutions in the Banking Sector
2.4. EU commission eID/KYC expert group «assessing portable kyc/cdd solutions in the banking sector» report ('report2»)
2.5. FATF digital identity guidance
2.6. Libro blanco de la Alianza FIDO: Uso de FIDO con servicios eIDAS
2.7. SSI eIDAS Legal Report. How eIDAS can legally support digi- tal identity and trustworthy DLT-based transactions in the Digital Single Market
2.8. ILNAS White Paper on Blockchain and distributed ledgers technology, economic impact and technical standardization
Bibliografía