El Reglamento eIDAS (por sus siglas en inglés, Electronic IDentification, Authentication and Trust Services) es un reglamento de la UE cuyo objetivo declarado es regular la identificación electrónica y los servicios de confianza para las transacciones electrónicas . Se aprobó en 2014 y sus disposiciones entraron en vigor entre 2016 y 2018. [1] [2]
En 2023, un cambio propuesto a la ley permitiría a cualquier gobierno de la UE realizar ataques de intermediarios y espiar todos los mensajes de Internet , incluidas las comunicaciones cifradas. [3] La propuesta fue condenada por grupos de investigadores de ciberseguridad, ONG y la sociedad civil, como una amenaza a los derechos humanos, la privacidad y la dignidad. [4] [5] [6]
El eIDAS supervisa la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior de la Unión Europea . Regula las firmas electrónicas , las transacciones electrónicas, los organismos implicados y sus procesos de incorporación para proporcionar a los usuarios una forma segura de realizar negocios en línea, como transferencias electrónicas de fondos o transacciones con servicios públicos . Tanto el firmante como el destinatario pueden disfrutar de una mayor comodidad y seguridad . En lugar de depender de métodos tradicionales, como el correo postal o el fax , o presentarse en persona para presentar documentos en papel, ahora pueden realizar transacciones transfronterizas, como la tecnología " 1-Click ". [2] [7]
eIDAS ha creado estándares para que las firmas electrónicas, los certificados digitales cualificados , los sellos electrónicos , las marcas de tiempo y otros mecanismos de prueba de autenticación permitan las transacciones electrónicas, con el mismo valor legal que las transacciones que se realizan en papel. [8]
El reglamento entró en vigor en julio de 2015 como una forma de facilitar transacciones electrónicas seguras y sin problemas dentro de la Unión Europea. Los Estados miembros deben reconocer las firmas electrónicas que cumplan con los estándares del eIDAS. [2] [9]
La ley fue establecida en el Reglamento (UE) 910/2014 del 23 de julio de 2014 sobre identificación electrónica y derogada la 1999/93/CE del 13 de diciembre de 1999. [1] [2]
Entró en vigor el 17 de septiembre de 2014 y se aplica desde el 1 de julio de 2016, excepto ciertos artículos, que se enumeran en su artículo 52. [10] Todas las organizaciones que prestan servicios digitales públicos en un estado miembro de la UE deben reconocer la identificación electrónica de todos los estados miembros de la UE a partir del 29 de septiembre de 2018. Se aplicó a todos los países del Mercado Único Europeo . [11] [12]
En julio de 2024, la asociación go.eIDAS lanzó el primer banco de pruebas eIDAS con varias empresas tecnológicas y fundaciones alemanas para emitir credenciales PID para billeteras compatibles con la arquitectura y el marco de referencia (ARF). [13]
El eIDAS es el resultado de la atención que presta la Comisión Europea a la Agenda Digital de Europa. Bajo la supervisión de la Comisión, el eIDAS se implementó para estimular el crecimiento digital dentro de la UE. [14]
El objetivo del eIDAS es impulsar la innovación. Al adherirse a las directrices establecidas para la tecnología en virtud del eIDAS, las organizaciones se ven impulsadas a utilizar niveles más elevados de seguridad de la información e innovación . Además, el eIDAS se centra en lo siguiente: [9] [15]
El Reglamento establece el marco regulatorio para los siguientes aspectos importantes relacionados con las transacciones electrónicas: [2]
El Reglamento eIDAS evolucionó a partir de la Directiva 1999/93/CE, que estableció un objetivo que se esperaba que los estados miembros de la UE alcanzaran con respecto a la firma electrónica. Los países europeos más pequeños estuvieron entre los primeros en comenzar a adoptar firmas digitales e identificación, por ejemplo, la primera firma digital estonia se dio en 2002 y la primera firma digital letona se dio en 2006. Su experiencia se ha utilizado para desarrollar un reglamento ahora de alcance europeo , que se convirtió en ley vinculante en toda la UE desde el 1 de julio de 2016. [19] La Directiva 1999/93/CE hizo que los estados miembros de la UE fueran responsables de crear leyes que les permitieran cumplir el objetivo de crear un sistema de firma electrónica dentro de la UE. La directiva también permitió que cada estado miembro interpretara la ley e impusiera restricciones, impidiendo así la interoperabilidad real y conduciendo a un escenario fragmentado. [20] A diferencia de la directiva de 1999, eIDAS garantiza el reconocimiento mutuo del eID para la autenticación entre los estados miembros, [21] logrando así el objetivo del Mercado Único Digital .
El eIDAS ofrece un enfoque escalonado del valor jurídico. Exige que no se pueda negar a ninguna firma electrónica efecto jurídico o admisibilidad en los tribunales únicamente por no ser una firma electrónica avanzada o cualificada. [22] Las firmas electrónicas cualificadas deben tener el mismo efecto jurídico que las firmas manuscritas. [23]
En el caso de los sellos electrónicos (versión de las firmas de las personas jurídicas), se aborda explícitamente el valor probatorio , ya que los sellos deben gozar de la presunción de integridad y de la exactitud del origen de los datos adjuntos. [24]
En junio de 2021, la Comisión propuso una modificación y publicó una recomendación. [25] [26] [27]
En 2023, se propuso un cambio a eIDAS que permitiría a cualquier gobierno de la UE vigilar todas las comunicaciones de Internet , incluso cuando estén cifradas. [5] [3] La propuesta funcionó a través del mismo mecanismo que un intento de vigilancia masiva de 2019 en Kazajstán .
La propuesta obligaría a los proveedores de navegadores a colocar una puerta trasera en los navegadores web para permitirles realizar un ataque de intermediario , engañando a los usuarios haciéndoles creer que se están comunicando con un servidor que han solicitado, cuando, de hecho, se estarían comunicando directamente con un servidor del gobierno. El servidor del gobierno podría entonces leer y cambiar sus mensajes antes de pasar el mensaje posiblemente modificado al destinatario previsto. [28]
De aprobarse, los gobiernos de la UE podrían, en principio, interceptar cualquier información transmitida en forma encriptada por esos navegadores, leer cualquier contenido sensible o encriptado sin el conocimiento del usuario y cambiar la información a voluntad. [29] [30] Esto se consideró particularmente preocupante en países con un Estado de derecho más débil, donde el Estado y los actores conectados con el Estado podrían usar la ley para espiar a sus propios ciudadanos con fines de represión política y beneficio personal. Existía la preocupación adicional de que esto permitiera a actores privados con conexiones con el Estado obtener acceso y hacer un mal uso del poder de vigilancia masiva para sus propios fines. [4] [6]
Si bien el texto principal de ese texto se mantiene en el borrador final, se han incluido disposiciones en el texto que permiten a los proveedores de navegadores seguir implementando disposiciones de seguridad que en la práctica dificultarían la realización de este tipo de interceptación sin ser descubiertos. [31] En concreto, el borrador final del texto establece lo siguiente:
lo que se ha interpretado como que permite a los proveedores de navegadores seguir utilizando mecanismos como la transparencia de certificados para mantener la seguridad del navegador. [31]
La información de una base de datos debe estar vinculada a algún tipo de número de identidad . Para certificar que una persona tiene derecho a acceder a cierta información personal se requieren varios pasos.
El sistema eIDAS tiene como concepto mínimo de identidad el nombre y la fecha de nacimiento . Pero para acceder a información más sensible se necesita algún tipo de certificación de que los números de identidad emitidos por dos países se refieren a la misma persona. [32]
En octubre de 2019, investigadores de seguridad descubrieron dos fallas de seguridad en eIDAS-Node (una implementación de muestra del perfil eID eIDAS proporcionado por la Comisión Europea [33] ); ambas vulnerabilidades fueron parcheadas para la versión 2.3.1 de eIDAS-Node. [34]
La Unión Europea comenzó [ ¿cuándo? ] a crear un Marco Europeo de Identidad Autosoberana (ESSIF) compatible con eIDAS, [ cita requerida ] pero en muchos países los usuarios deben ser clientes de Google o Apple para utilizar los servicios eIDAS.
Las Listas de Confianza de la Unión Europea (EUTL) son una lista pública de más de 200 proveedores de servicios de confianza (TSP) activos y antiguos que están específicamente acreditados para ofrecer los más altos niveles de cumplimiento con la regulación de firma electrónica eIDAS de la UE. [35]
El software eIDAS-Node contiene los módulos necesarios para ayudar a los Estados miembros a comunicarse con otros homólogos que cumplen con el eIDAS de forma centralizada o distribuida.
La vulnerabilidad habría permitido a los atacantes hacerse pasar por cualquier ciudadano o empresa de la UE.