Introducción: tecnología y regulación de la mano gracias a Veridas
España puede considerarse pionera en la regulación de los procesos de verificación digital de la identidad de los ciudadanos. Esto es un hecho. Lo fue ya hace varios años junto con algún otro país de la Unión Europea, como es el caso de Alemania, y lo sigue siendo en la actualidad.
Desde que los seres humanos comenzasen a realizar negocios entre ellos, el hecho de poder confiar en la otra parte de una relación se constituye como el pilar fundamental en esa relación. Y esa confianza empieza por conocer quién es esa persona, para así saber si la operación que estamos realizando con ella entraña un mayor o menor riesgo, o simplemente poder determinar si es posible o no realizar esa operación.
Esto que tan obvio nos ha resultado siempre, cobra aún mayor importancia cuando esas operaciones las realizamos a distancia, con gente que no conocíamos previamente. La confianza en que la otra parte es quien dice ser resulta aún más fundamental, pues no podemos basarnos únicamente en nuestros conocimientos e instintos, sino que necesitamos apoyarnos en otras herramientas para tomar decisiones.
El gran desarrollo que han tenido en los últimos años las herramientas de verificación digital de identidad ha hecho que, en procesos que requieren un alto nivel de seguridad en la identidad de las personas con las que interactuamos, se exija que se incorporen estas tecnologías específicas.
Verificación de identidad para la prevención del blanqueo de capitales
En España, el Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias (SEPBLAC), perteneciente al Banco de España, fue de las primeras instituciones en el mundo en autorizar, ya en 2016, la identificación remota para la iniciación de operaciones con sujetos obligados, como es la apertura de cuentas corrientes en banca.
El artículo 21.1.d) del Reglamento de la Ley 10/2010, de 28 de abril, dispone que los sujetos obligados podrán establecer relaciones de negocio o ejecutar operaciones a través de medios telefónicos, electrónicos o telemáticos con clientes que no se encuentren físicamente presentes cuando la identidad del cliente quede acreditada mediante el empleo de procedimientos seguros de identificación de clientes en operaciones no presenciales, siempre que tales procedimientos hayan sido previamente autorizados por el SEPBLAC.
Primer hito, la autorización de la identificación no presencial
Es así como en febrero de 2016 el SEPBLAC publica la “Autorización de procedimientos de identificación no presencial mediante videoconferencia”, en la que señala que “La innovación tecnológica en el sector financiero tiene el potencial de reducir costes, aumentar la competencia y proporcionar un mejor servicio a los clientes. Consecuentemente, resulta conveniente favorecer el uso de nuevas tecnologías siempre que las mismas proporcionen niveles de seguridad adecuados”. Recoge, a continuación, las características que deben reunir las herramientas para alcanzar ese nivel de seguridad adecuado, entre las que destacan:
- “Implantar los requerimientos técnicos que aseguren la autenticidad, vigencia e integridad de los documentos de identificación utilizados y la correspondencia del titular con el cliente objeto de identificación.”
- Grabación íntegra de la videoconferencia mantenida entre el cliente y un operador con formación específica, “con constancia de fecha y hora”.
- “El cliente objeto de identificación deberá exhibir visiblemente el anverso y reverso del documento empleado para su identificación.”
- Conservar, además de la grabación, una “fotografía o instantánea del anverso y reverso del documento de identificación utilizado” que reúna las “condiciones de calidad y nitidez que permitan su uso en investigaciones o análisis”.
De la verificación asistida a la video-identificación automatizada
Un año después, en mayo de 2017, el SEPBLAC consideró que “El fomento de la innovación tecnológica en el sector financiero aconseja ahora autorizar asimismo procedimientos de video-identificación en los que no medie una interactuación en línea entre el cliente potencial y un agente u operador del sujeto obligado (procesos no asistidos)”, y publicó su “Autorización de procedimientos de vídeo-identificación”. Algunos requisitos son equivalentes a los exigidos para el proceso anterior, mientras que otros son ahora añadidos para ofrecer garantías adicionales y mejorar el proceso mediante videoconferencia:
- “Implantar los requerimientos técnicos que permitan verificar la autenticidad, vigencia e integridad de los documentos de identificación utilizados y la correspondencia del titular del documento con el cliente objeto de vídeo-identificación.
- Realizar el proceso desde un “único dispositivo” y con transmisión “en directo” de imágenes y sonido (es decir, no se permiten archivos pregrabados).
- Grabación de la vídeo-identificación, “con constancia fehaciente de su fecha y hora”, para permitir su posterior reproducción.
- “En el curso del proceso de vídeo-identificación el cliente deberá exhibir visiblemente el anverso y reverso del documento empleado para su identificación.”
- Conservar, además de la grabación, “una fotografía o instantánea del anverso y reverso del documento de identificación utilizado” que reúna las “condiciones de calidad y nitidez que permitan su uso en investigaciones o análisis”. Como novedad, el SEPBLAC indica expresamente que a estos efectos no se considerará “válida la mera captura de fotogramas del proceso de vídeo-identificación”; es decir, se exige que además de una grabación de vídeo, se capture de forma separada una fotografía del anverso y reverso del documento. Tratándose de una apreciación para garantizar la seguridad y la conservación de evidencias, se entiende que debe aplicarse también esta limitación cuando se emplee un proceso con videoconferencia.
- Revisión posterior de todas las evidencias del proceso por un operador con formación específica.
¿Cómo puede ser un proceso de verificación no presencial de identidad en las entidades bancarias y otros sujetos obligados?
En el siguiente gráfico visualizamos cómo debe ser un proceso de verificación no presencial de identidad según SEPBLAC.
Verificación de identidad para los servicios electrónicos de confianza
La experiencia en el sector bancario ha propiciado la adopción de un sistema de verificación digital de identidad para la emisión de certificados electrónicos cualificados.
El artículo 24.1.d) del Reglamento (UE) n° 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE, establece lo siguiente:
“24.1. Al expedir un certificado cualificado para un servicio de confianza, un prestador cualificado de servicios de confianza verificará, por los medios apropiados y de acuerdo con el Derecho nacional, la identidad y, si procede, cualquier atributo específico de la persona física o jurídica a la que se expide un certificado cualificado.
La información a que se refiere el párrafo primero será verificada por el prestador de servicios de confianza bien directamente o bien por medio de un tercero de conformidad con el Derecho nacional:(…)
d) utilizando otros métodos de identificación reconocidos a escala nacional que aporten una seguridad equivalente en términos de fiabilidad a la presencia física. La seguridad equivalente será confirmada por un organismo de evaluación de la conformidad.”
Tras la aprobación de medidas provisionales durante el primer estado de alarma derivado de la crisis sanitaria en España y cuya vigencia se limitó a ese periodo, en noviembre de 2020 se aprobó la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza, cuyo artículo 7.2 indica que:
“2. Reglamentariamente, mediante Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital, se determinarán otras condiciones y requisitos técnicos de verificación de la identidad a distancia y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación como videoconferencia o vídeo-identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física según su evaluación por un organismo de evaluación de la conformidad. La determinación de dichas condiciones y requisitos técnicos se realizará a partir de los estándares que, en su caso, hayan sido determinados a nivel comunitario.
Serán considerados métodos de identificación reconocidos a escala nacional, a los efectos de lo previsto en el presente apartado, aquellos que aporten una seguridad equivalente en términos de fiabilidad a la presencia física y cuya equivalencia en el nivel de seguridad sea certificada por un organismo de evaluación de la conformidad, de acuerdo con lo previsto en la normativa en materia de servicios electrónicos de confianza.”
Esta regulación se materializó en la Orden ETD/465/2021, de 6 de mayo, por la que se regulan los métodos de identificación remota por vídeo para la expedición de certificados electrónicos cualificados, y a nivel técnico se ve complementada por el Anexo F.11 de Herramientas de vídeoidentificación de la Guía de Seguridad de las TIC CCN-STIC-140. Así, los prestadores cualificados de servicios de confianza que desean emitir certificados cualificados comprobando la identidad del solicitante a distancia, deberán cumplir la Orden ETD/465/2021 y emplear una herramienta certificada según la guía CCN-STIC-140-Anexo F.11.
Se establece así un proceso que debe cumplir, entre otros, con los siguientes requisitos:
- Garantizar que el proceso se ejecuta en unidad de acto, de forma que pueda evidenciarse que se trata de un único proceso en un único dispositivo y en un único acto secuencial en el tiempo, con independencia de que se ejecute en varios pasos (GEN.1).
- Realización en tiempo real, obteniéndose las evidencias durante el proceso, no permitiéndose archivos pregrabados (GEN.2).
- Verificar la autenticidad, vigencia e integridad del documento de identidad, debiendo ser capaz la herramienta de realizar una serie de controles específicos (DOC.1 a DOC.6 y DOC.9).
- Comprobar la correspondencia del titular del documento con el solicitante del certificado, mediante tecnologías de reconocimiento facial que hayan sido evaluadas por el NIST alcanzando un nivel de precisión determinado (SOL.2).
- Verificar que el solicitante es una persona viva e implementar mecanismos de detección de ataques de presentación (SOL.3).
- Grabación de un vídeo (o, alternativamente, una videollamada) en la que el solicitante muestre el anverso y reverso de su documento (requisito derivado de la Orden ETD/465/2021).
- Revisión posterior de todas las evidencias del proceso por un operador con formación específica (SOL.1, DOC.7 y DOC.8).
La necesidad de contar con una normativa europea en consonancia
Resulta también reseñable la reciente publicación de la Especificación Técnica del ETSI TS 119 461, que contiene una estandarización del proceso de verificación de identidad.
El ETSI es un organismo europeo de estandarización que se encarga de la normalización regional de las telecomunicaciones, la radiodifusión y otras redes y servicios de comunicaciones electrónicas. Tiene un papel esencial en Europa que incluye el apoyo a la reglamentación y la legislación europeas mediante la creación de normas europeas armonizadas.
Si bien actualmente en España opera el proceso que se ha descrito anteriormente, resulta de interés indicar lo establecido por el ETSI TS 119 461 por lo que pudiere ser de aplicación en otros países de la Unión Europea o, previa reforma normativa, en España.
En este sentido, ETSI establece requerimientos diferentes en función de si la verificación de la identidad se realiza de forma presencial o remota, pudiendo ser ésta última de forma asistida o desasistida.
Para el proceso de verificación remota de la identidad se presentan, entre otros, los siguientes requisitos:
- Emplear un documento de identidad que contenga una foto impresa (COL-8.2.3-02).
- Emplear un documento de identidad en su forma original (COL-8.2.3-05). Es decir, no es posible emplear una fotocopia del documento.
- Establecer una serie de medidas de seguridad en el caso de que el proceso requiera la lectura del chip del documento de identidad, de forma que se asegure que el contenido leído del chip sea auténtico y no haya sido inyectado (VAL-8.3.2.04)
- El proceso de verificación debe incluir un vídeo en el que se vea al usuario mostrando ambas caras del documento (VAL-8.3.3-04). Es importante considerar que la norma establece que el uso exclusivo de una fotografía del documento no es suficiente, pero en ningún caso establece la imposibilidad de emplear fotografías.
- Requiere el uso de algoritmos biométricos evaluados de forma sistemática contra bases de datos de referencia. Un ejemplo de este tipo de evaluaciones es la que ejecuta el NIST FRVT, tal y como señala ETSI (BIN-8.4.3-07)
Establece la necesidad de emplear técnicas de prueba de vida conformes a la norma ISO/IEC 30.107-3 (BIN-8.4.2-06). Este requerimiento va más allá de lo solicitado por SEPBLAC y por la Orden ETD/465/2021.