El certificat COVID digital va introduir un nou model d’identitat digital en què en lloc de compartir dades es comparteixen proves de la seva existència. Aquesta és la principal tesi que vam exposar a l’article “Reflexions sobre el projecte d’identitat digital europea a la llum del certificat COVID digital i el moviment sobre la Self-Sovereign Identity” (Revista Catalana de Dret Públic, núm. 65, desembre 2022) arran de la proposta de Reglament eIDAS 2.0 amb la creació de la cartera d’identitat digital europea.
Amb el certificat COVID cada persona es trobava en possessió de les seves dades de salut en relació amb la pandèmia, en un format interoperable i estandarditzat en la triple dimensió tècnica, organitzativa i de continguts. La seva validesa es podia comprovar sense la participació de cada autoritat sanitària i no quedava traça de les vegades que s’havia usat ni per a què. Eliminàvem dos dels principals riscos dels sistemes de delegació de l’autenticació: exposar els proveïdors d’identitat centralitzats com a vectors primaris d’atac i l’eventual vigilància del comportament dels usuaris per part d’aquests proveïdors en tenir accés a les metadades emprades per a l’autenticació (Alamillo Domingo, 2019, p. 5). En altres paraules, riscos de ciberseguretat i de privacitat presents en sistemes com el node d’interoperabilitat eIDAS, per a l’accés a serveis públics, i la infraestructura de clau pública vigent per a les transaccions en línia basades en certificats X.509 (Fedrecheski et al., 2020).
D’aquesta manera, començàvem a veure les aplicacions pràctiques dels denominats sistemes d’identitat digital descentralitzada i a entendre com tecnologies com les cadenes de blocs tindrien aplicacions clau en el sector públic com a eina de ciberseguretat. En aquest sentit, el principal punt feble del certificat COVID, que és la denominada “passarel·la” on es recullen de manera centralitzada les claus públiques de les signatures dels emissors, gaudiria de major fortalesa en distribuir-se per redundància entre els estats membres un registre seqüencial i immutable que demanaria pel seu compromís l’atac de més de la meitat dels participants del sistema. Encara amb més nitidesa, aquesta possibilitat s’ha posat en relleu amb l’entrada d’Ucraïna a la Infraestructura de Serveis de Cadenes de Blocs de la Unió Europea.
Com a objecte normatiu, la proposta de Reglament proporciona el marc a partir del qual plantejaments com aquests, o els basats en cadenes de blocs, poden tenir cabuda.
Quant als sistemes d’identitat digital descentralitzada, sintetitzats en l’enfocament que és l’individu qui gestiona les seves dades personals al marge de qualsevol tercer (ENISA, 2020, p. 20), s’ha vist amb certa confusió que la proposta eIDAS 2.0 adopta aquest tipus d’aproximacions, però el cert és que no ho fa. Com a objecte normatiu, la proposta de Reglament proporciona el marc a partir del qual plantejaments com aquests, o els basats en cadenes de blocs, poden tenir cabuda. Tot i això, el problema que va presentar el certificat COVID és el mateix que el present en els sistemes d’identitat digital descentralitzada: no resolen el problema de la identificació.
L’anterior es traduïa en l’obligatorietat de mostrar el DNI o document anàleg cada vegada que s’ensenyava el certificat, cosa que va comportar que l’Autoritat Catalana de Protecció de Dades s’hi pronunciés per dictaminar que era proporcional veure l’anvers del document als sols efectes de la identificació, però no fer-ne còpia. Aquest és el principal problema a què dona resposta la cartera d’identitat digital europea en integrar en un sol instrument un mitjà d’identificació i un magatzem segur de declaracions electròniques d’atributs, de tal manera que es pugui compartir el certificat COVID o una titulació universitària alhora que s’acredita la identitat, i també ofereix la possibilitat d’obrir un compte bancari, matricular-se a una universitat o crear un perfil en una xarxa social.
Tot i això, existeixen carències importants des del punt de vista de la ciberseguretat i de la privacitat dels usuaris que la proposta eIDAS 2.0 i l’arquitectura tècnica i marc de referència de la cartera, publicada el 10 de febrer de 2023, no tracten degudament.
Tot i això, existeixen carències importants des del punt de vista de la ciberseguretat i de la privacitat dels usuaris que la proposta eIDAS 2.0 i l’arquitectura tècnica i marc de referència de la cartera, publicada el 10 de febrer de 2023, no tracten degudament. La previsió mitjançant el considerant vint-i-novè de la proposta eIDAS 2.0, per la qual s’ha de permetre des de la cartera la divulgació selectiva de dades, suposa un pas enrere en el model de no compartir cap dada, com succeïa amb el certificat COVID. Ara per ara, es disposa d’eines no regulades que permeten complir amb el mandat de privacitat des del disseny i per defecte de l’article 25 del Reglament general de protecció de dades, com els protocols criptogràfics de prova de coneixement nul.
Les anteriors són eines que es porten estudiant en el camp de la criptografia des dels anys vuitanta, i que van trobar el seu apogeu en l’ús de la identitat digital a partir del fenomen de les monedes digitals (Babel & Sedlmeir, 2023), ja que, si es pot utilitzar una prova de coneixement nul per emmascarar un estat de dades sense la necessitat de demostrar que s’ha dut a terme satisfactòriament un seguit de computacions, ¿és possible fer el mateix amb atributs com l’edat o una declaració electrònica d’atributs allotjada en la cartera sense revelar les dades? Això és el que permeten els protocols de prova de coneixement nul, de tal manera que es puguin compartir proves de l’existència de dades que només el titular pot posseir, fins i tot la possibilitat de divulgació selectiva, per conjugar en un sol instrument la privacitat més alta quan aquesta sigui necessària i la seva atenuació quan per raó de seguretat pública es demani una menor intensitat en la seva protecció.
Ara bé, aquestes eines no venen sense perills que puguin afectar la seguretat pública, la institució de la prova electrònica i un seguit de principis claus com la tutela judicial efectiva o el dret a defensa (AEPD, 2020). Per això, entitats del sector privat, com la fundació Hyperledger, es troben desenvolupant propostes en aquest sentit, i organismes com el W3C han proposat l’adopció de la recomanació de credencials verificables que permetin la derivació criptogràfica de dades contingudes a la cartera en format de prova de coneixement nul. Propostes com les exposades mostren que hi ha una necessitat, una problemàtica i una oportunitat de negoci que la Unió Europea no pot perdre en bé de la cohesió i la consolidació del mercat únic digital.
Per tant, una vegada que comptem amb tecnologies facilitadores per garantir un ús segur, que siguin fiables i puguin disposar d’efectes legals, el següent pas és establir un marc jurídic que les reguli. D’altra banda, cal que iniciatives com la cartera d’identitat digital europea gaudeixin de l’acceptació de la ciutadania, i en aquest sentit el certificat COVID digital, tot i que dins de les seves limitacions, ha suposat un bon mitjà per validar la possibilitat de coexistència dins de l’entorn comunitari d’un model com el que introdueix la proposta eIDAS 2.0. Caldrà veure com evoluciona el projecte de la cartera i si aquesta permet conciliar en un sol instrument la seguretat pública, la privacitat de la ciutadania i la liberalització del mercat.
Raül Ramos
Advocat en dret penal i les noves tecnologies, president de la Jove Advocacia de Sabadell i doctorand en dret a la Universitat Autònoma de Barcelona
Aquest apunt està vinculat a l’article Reflexions sobre el projecte d’identitat digital europea a la llum del certificat COVID digital i el moviment sobre la self-sovereign identity publicat pel mateix autor al núm. 65 de la Revista Catalana de Dret Públic (desembre 2022).
Bibliografia
Agencia Española de Protección de Datos. (2020, 4 de novembre). Cifrado y Privacidad IV: Pruebas de conocimiento cero.
Alamillo Domingo, Ignacio. (2019). El uso de los sistemas de identidad auto-soberana en el sector público español y en la Unión Europea. Blockchain Intelligence.
Babel, Matthias, i Sedlmeir, Johannes. (2023). Bringing data minimization to digital wallets at scale with general-purpose zero-knowledge proofs. ArXiv. https://doi.org/10.48550/arXiv.2301.00823
European Union Agency for Cybersecurity (ENISA). (2020). eIDAS compliant eID solutions. Security Considerations and the Role of ENISA.
Fedrecheski, Geovane, Rabaey, Jan M., Costa, Laisa C. P., Ccori, Pablo C. Calcina, Pereira, William T., i Zuffo, Marcelo K. (2020). Self-Sovereign Identity for IoT environments: A Perspective. https://doi.org/10.48550/arXiv.2003.05106