Índice
El mejor contenido en tu bandeja de entrada
eIDAS ha transformado por completo la forma en la que usuarios y empresas se relacionan ya no sólo en Europa, si no en todo el mundo. Este estándar normativo y técnico permite que las transacciones electrónicas se realicen con total confianza y seguridad dentro del mercado único europeo.
El resto de regiones miran a Europa tomando como referencia sus normas en identidad digital para establecer sus marcos legales en relación a las actividades y transacciones electrónicas.
Qué es eIDAS
eIDAS, electronic IDentification, Authentication and trust Services, y, oficialmente, Reglamento 910/2014 de la Unión Europea, es la regulación por la que se establece un sistema europeo de reconocimiento de identidades electrónicas. Fue aprobado por el Parlamento Europeo y el Consejo el 23 de julio de 2014 y está en vigor en todos los países de la Unión.
Este conjunto de normas deroga la Directiva 1999/93/CE, que fue la pionera en la estandarización y normativización de la firma electrónica. Esta primera regulación otorgaba validez jurídica total a la firma electrónica y equiparaba su reconocimiento a la firma manuscrita tradicional. Aunque cada estado de la UE implementaba e interpretaba la norma de formas diferentes.
eIDAS entró en vigor el 1 de julio de 2016 como reglamento, no como directiva, debiéndose aplicar directamente en los estados miembros. Se crea entonces, por primera vez, un espacio seguro y concreto para el ejercicio de la firma electrónica y la prestación de servicios de confianza.
electronic IDentification, Authentication and trust Services, estableciendo un marco único
La nueva norma no sólo regula todo lo relativo a la firma electrónica y lo amplía con respecto a su predecesora si no que, del mismo modo, concreta específicamente los siguientes aspectos y el desarrollo de los mismos:
- Marcas y sellos de tiempo.
- Documentación electrónica y sus características técnicas.
- Comunicaciones certificadas a través de correo electrónico y otros medios equivalentes con prueba de entrega registrada.
- Certificados para autenticación segura.
Con estas delimitaciones y concreciones se abrió un mundo nuevo de posibilidades para poder operar con total seguridad a través de servicios y canales digitales de todo tipo siempre y cuando se cumpliera con las características detalladas en la regulación.
De esta forma, el reglamento eIDAS establece las condiciones concretas para que los medios de identificación de personas tanto físicas como jurídicas sean válidos, se amplía el marco legal en relación a la firma electrónica y evidencias asociadas al mismo tiempo que permite nuevos tipos de transacciones y operaciones de forma remota.
Finalmente, se crea y desarrolla un régimen en el que aparecen nuevos actores que actuarán como supervisores y proveedores para proporcionar el nivel de seguridad necesario para que los servicios electrónicos puedan prestarse.
Qué son los servicios electrónicos de confianza
La implantación y el desarrollo de eIDAS propició entonces el nacimiento del concepto TSP (Trust Services Provider) o Prestador de Servicios de Confianza, también conocido previamente como Tercero de Confianza.
Estos agentes actúan como emisores y conservadores de certificados digitales que permiten la creación de las firmas electrónicas así como la autenticación de los firmantes y la confirmación de los sitios web en los que se ejecutan las operaciones.
Los proveedores de servicios de confianza son los encargados de garantizar la integridad del proceso de firma electrónica y de prestación de servicios en internet, incluyendo, como comentábamos anteriormente, la autenticación de usuarios y la emisión de certificados.
Del mismo modo, estos actores custodian la información durante un tiempo concreto para garantizar el no repudio de la transacción u operación: se ofrece un servicio de evidencias electrónicas, encriptación de extremo a extremo y pruebas del origen de los datos, así como trazabilidad para cada fase del proceso.
Cómo aprovechar eIDAS: Beneficios, ventajas y posibilidades para las empresas
Más allá de la obligatoriedad de cumplir con eIDAS para poder operar en los mercados afectados, adaptarse a la norma conlleva una serie de beneficios, ventajas y posibilidades que impulsarán a las organizaciones.
La implementación y utilización de los servicios de confianza regulados por eIDAS se da en procesos y operaciones cruciales para los negocios. Estos modifican totalmente las relaciones usuarios-organizaciones agilizándolas y asegurándolas. Ahora, las empresas pueden crear nuevos servicios y transformar sus modelos de negocio además de ofrecer los que ya venían trabajando de forma totalmente digitalizada y en remoto.
El ahorro en materiales supone cifras realmente importantes en determinadas organizaciones. Se prescinde de la necesidad de contar con espacio físico de almacenamiento para la documentación, se elimina el riesgo de pérdida de documentación original válida y se cumple con los objetivos en materia sostenible y de RSE (impacto ambiental).
Así mismo, el marco europeo permite que cualquier empresa que se adapte a eIDAS pueda operar en todos los países de la unión sin complicaciones y sin necesidad de realizar grandes inversiones, puesto que puede ofrecer sus productos y servicios en remoto gracias al marco eIDAS.
Implementar procesos adaptados a eIDAS implica un aumento exponencial de la productividad, ahorrando tiempo en todas las operaciones (de semanas a minutos) y horas de trabajo de los empleados, reduciendo la burocracia.
Adicionalmente, la digitalización de procesos resultante implicará la reducción de fricciones en las relaciones con clientes, proveedores, usuarios y colaboradores de tal forma que se les dé la mejor experiencia y evitando el abandono en mitad de los procesos, optimizando la conversión.
Contratación, firma, comunicación y transacciones electrónicas
Son múltiples los casos de uso en los que eIDAS aplica. No sólo mejora la seguridad, la confianza y la agilidad en los procesos que ya conocíamos, si no que abre un nuevo mundo de posibilidades para que las organizaciones y empresas puedan prestar sus servicios.
He aquí unos cuantos ejemplos, de entre los cientos que hay, de procesos afectados:
- Burofax electrónico para comunicaciones como, por ejemplo, altas o bajas de servicio, modificaciones en cambios de tarificación, etc.
- Cualquier transacción u operación electrónica del sector bancario, financiero, FinTechs, aseguradoras, criptoexchanges o plataformas similares.
- Contrataciones, acuerdos comerciales, suscripciones, compromisos, etc.
- Aceptación de condiciones, firmas de consentimientos informados.
- Firma de contratos laborales, partes de jornada, despidos.
- Entrega de materiales, compras, partes de reparación.
Estos, por nombrar algunos, son procesos que se han transformado completamente y que, gracias a eIDAS y las soluciones aportadas por los Trust Services Providers (Prestadores de Servicios de Confianza), ya no suponen ni burocracia, ni trabas, procesos burocráticos o bloqueos en las organizaciones, realizándose de forma ágil, rápida y barata.
Firma Electrónica: tipos establecidos en eIDAS
La Directiva 1999/93/CE ya reguló la firma electrónica, pero no fue hasta qué eIDAS entró en vigor, que esta despegó, se oficializó jurídicamente en todos los estados de la unión y se implementó como estándar para todo tipo de procesos que incluyan una firma, como las contrataciones, la aceptación de condiciones o el alta de usuarios y sus trámites asociados.
Los tres tipos de firma electrónica recogidos en el reglamento son:
- Firma Electrónica Simple: Es la firma electrónica más básica. Deben anexarse datos en formato electrónico de forma lógica al documento, así el firmante puede aceptar el contenido de este.
- Firma Electrónica Avanzada: Es la firma más versátil, utilizada y extendida. Su creación debe realizarse habiendo utilizado datos que el firmante puede utilizar y que están bajo su uso y control exclusivos. Para más legitimidad, la firma de la documentación debe estar vinculada al firmante de forma inequívoca y permitir su identificación y esta debe estar sellada y vinculada con los datos en una forma en la que si el documento se alterase o se realizara cualquier mínimo cambio este sea registrado.
- Firma Electrónica Cualificada: También conocida como aquella basada en un certificado reconocido, es utilizada básicamente para los trámites con las organizaciones públicas. Contiene todas las especificaciones de la avanzada y se diferencia de ella en que es expedida por una autoridad de certificación y está creada por un dispositivo cualificado.
Otras normas vinculadas con eIDAS
eIDAS, por sí sola, establece el marco necesario para ofrecer servicios electrónicos de confianza, sin embargo, una serie de estándares adicionales complementan al reglamento para que las compañías puedan operar en internet con total seguridad, garantías y de la forma que necesitan sus modelos de negocio:
AML5 (Anti-Money Laundering)
AML5, o 5AMLD, es la quinta directiva de prevención del blanqueo de capitales. Esta norma estandariza la forma en la que compañías, como por ejemplo del sector bancario y financiero, pueden ofrecer servicios en remoto. Gracias a AML5, se puede realizar un onboarding digital o la apertura de cuenta bancaria totalmente en remoto si se cumplen los requerimientos y procesos en ella establecidos (proceso KYC).
KYC (Know Your Customer)
Pese a no ser un estándar regulatorio como tal, KYC (Know Your Customer) se corresponde con el proceso de verificación de identidad de un sujeto que aún no es cliente para que pase a serlo con garantías y seguridad. Por ejemplo, Tecalis incluye el proceso KYC de forma previa a la firma electrónica para garantizar que la persona que firma el documento es quien dice ser, otorgando a la firma la mayor validez posible y equiparándolo de forma jurídica y legítima a un proceso presencial.
PSD2 (Payments Services Directive)
eIDAS y PSD2 están estrechamente vinculadas ya que para el cumplimiento de los requisitos expuestos en la segunda se requiere contar con certificados digitales basados en eIDAS. Estos certificados permiten identificar PSP y bancos, validar sus funciones y sellar las comunicaciones, transacciones o los datos. Las NTR (Normas Técnicas de Regulación) fijadas en PSD2 establecen que son los Proveedores de Servicios de Confianza los encargados de expedir certificados eIDAS para las transacciones financieras.
Adáptate a PSD2 con seguridad y el respaldo de un experto.
SCA (Strong Customer Authentication)
SCA es uno de los requerimientos exigidos por PSD2. Se corresponde con una serie de estándares concretos que deben realizarse en relación a la autenticación. Exige un mínimo de 2 factores y se solicitan para realizar compras online o en cualquier momento en el que se introducen datos bancarios.
Conoce los servicios de autenticación Tecalis aquí.
El futuro del Reglamento 910/2014
El Reglamento 910/2014 cumplió 7 años el 23 de julio de 2021 y pese a que está actualizado y funciona correctamente, el 6 de mayo de este mismo año se aprobó la Orden ETD/465/2021, que estandariza las formas de identificación en remoto a través de vídeo para expedir certificados electrónicos cualificados (estrechamente vinculado con el proceso KYC).
Tras este hecho, se está planteando la inclusión de la Orden dentro del Reglamento eIDAS, lo que daría lugar a una modificación del mismo de cara a establecer un marco aún más amplio para la Identidad Digital Europea. Esta propuesta, aún en estudio por la Comisión, no es definitiva y se basa en objetivos como el que persigue que para 2030 el 80% de la población europea cuente con su identificación electrónica particular.
Esta misma propuesta de actualización de eIDAS (coloquialmente conocida como “eIDAS 2”) también ampliaría el catálogo de servicios de confianza incluyendo el archivo de documentación electrónica, la atestación de atributos o la creación de los libros de contabilidad electrónicos.
Dada esta situación y viendo que el sector ha respondido muy favorablemente ante esta propuesta, que no haría más que crear valor tanto para los ciudadanos y usuarios como para la administración pública y las compañías mejorando el actual entorno de seguridad y privacidad, es crucial que las empresas cuenten con partners RegTech expertos que estén previamente preparados para que sus soluciones de firma electrónica y operaciones digitales se adapten fácilmente a los nuevos cambios normativos y aprovechen sus oportunidades.
Adáptate a eIDAS con Tecalis
Tecalis, como partner RegTech consolidado, acompaña a sus clientes con soluciones 100% adaptadas a eIDAS así como a sus futuras modificaciones. Como Terceros de Confianza (Trust Services Provider) aseguramos y digitalizamos cualquier operación o actividad independientemente de la industria a la que pertenezca la compañía.
Gracias a eIDAS, Tecalis ha hecho despegar decenas de negocios y ha impulsado la productividad y el ahorro en cientos al mismo tiempo que ha transformado las organizaciones para hacerlas más seguras, eficientes y escalables. Ampliar el alcance comercial, multiplicar los cierres de operaciones y reducir el abandono en las últimas fases es ahora posible y está al alcance de cualquier organización.
