La Comisión Europea ha publicado un borrador de Reglamento de Ejecución basado en el Artículo 5a(23) del Reglamento (UE) No 910/2014, que establece normas detalladas para garantizar la integridad y definir las funcionalidades principales de las Carteras de Identidad Digital Europea (European Digital Identity Wallets, EUDIW). Este borrador de reglamento, que ha estado sometido a comentarios hasta el 9 de septiembre, forma parte de un conjunto de cuatro Reglamentos de ejecución que abordan diversos aspectos de las EUDIW, centrándose específicamente en la integridad y las funcionalidades principales.
Para comprender el alcance y las implicaciones de este borrador de reglamento, es esencial familiarizarse con algunos términos clave. El «Wallet User» es la persona física o jurídica sujeta a los datos de identificación personal asociados con la unidad de cartera que controlan. La «Wallet Unit» es una configuración única de una solución de cartera que incluye instancias de cartera, aplicaciones criptográficas seguras y dispositivos criptográficos seguros. La «Wallet Solution» es la combinación de software, hardware, servicios y configuraciones gestionados por un proveedor de EUDIW. La «Wallet Instance» es la aplicación instalada y configurada en el dispositivo o entorno del usuario. La «Wallet Secure Cryptographic Application» es una aplicación que gestiona activos críticos utilizando funciones criptográficas, mientras que el «Wallet Secure Cryptographic Device» es el entorno que aloja esta aplicación y proporciona funciones criptográficas. Los «Critical Assets» son información que pondría a una unidad de cartera en estado crítico si se comprometiera.
El borrador de reglamento establece medidas estrictas para garantizar la integridad de las Carteras de Identidad Digital Europea. Las unidades de cartera no deben realizar ninguna funcionalidad listada en el Artículo 5a(4) del Reglamento (UE) No 910/2014 hasta que hayan autenticado con éxito a los usuarios. Los proveedores de EUDIW deben firmar o sellar al menos una atestación de unidad de cartera para cada unidad de cartera. Las instancias de cartera deben utilizar al menos un dispositivo criptográfico seguro para almacenar y gestionar activos críticos, y la comunicación entre las instancias de cartera y las aplicaciones criptográficas seguras debe realizarse a través de canales seguros. Para la identificación electrónica de nivel alto, las operaciones criptográficas deben cumplir con requisitos específicos establecidos en el Reglamento de Implementación (UE) 2015/1502 de la Comisión.
Las aplicaciones criptográficas seguras deben realizar operaciones criptográficas de cartera solo después de autenticar a los usuarios. Deben ser capaces de generar nuevas claves criptográficas, realizar borrado seguro de activos críticos y generar pruebas de posesión de claves privadas. Cada unidad de cartera debe contener atestaciones que describan sus componentes, permitan su autenticación y validación, y estén criptográficamente vinculadas a los dispositivos criptográficos seguros. Los proveedores de EUDIW deben establecer cuentas para los usuarios, informarles de sus derechos y obligaciones, y proporcionar mecanismos seguros de autenticación.
En cuanto a la revocación, solo los proveedores de EUDIW pueden revocar las atestaciones de las unidades que han proporcionado. Deben establecer una política pública que especifique las condiciones y plazos para la revocación, e informar a los usuarios afectados sin demora sobre la revocación de sus unidades de cartera.
El borrador de reglamento también define las funcionalidades principales que deben ofrecer las Carteras de Identidad Digital Europea. Las soluciones de cartera deben soportar formatos específicos para datos de identificación personal y atestaciones electrónicas de atributos, como se detalla en el Anexo I del reglamento. Estos incluyen el estándar ISO/IEC.18013-5:2021 y el Modelo de Datos de Credenciales Verificables 1.1 de W3C.
Las unidades de cartera deben registrar información detallada de todas las transacciones, incluyendo fecha, hora, nombre de la parte confiante, datos personales presentados y razones de transacciones no completadas. Los proveedores de EUDIW deben permitir a los usuarios acceder y exportar estos registros. Además, las unidades de cartera deben poder almacenar y procesar atestaciones electrónicas de atributos con políticas de divulgación integradas comunes. Las instancias de cartera deben verificar si la parte confiante cumple con los requisitos de la política de divulgación integrada e informar al usuario del resultado.
Los proveedores de EUDIW deben asegurar que los usuarios puedan recibir certificados cualificados vinculados a dispositivos de creación de firmas o sellos cualificados. Además, deben proporcionar acceso gratuito a aplicaciones de creación de firmas para personas físicas con fines no profesionales. Estas aplicaciones de creación de firmas pueden ser proporcionadas por proveedores de EUDIW, proveedores de servicios de confianza cualificados o partes confiantes. Deben tener funciones específicas como firmar o sellar datos proporcionados por el usuario o la parte confiante, y soportar al menos uno de los formatos de firma especificados en el Anexo III del borrador de reglamento.
Las soluciones de cartera deben soportar la copia de seguridad y recuperación de los datos del usuario para permitir la migración gratuita a otra unidad de cartera de la misma solución. También deben soportar la portabilidad de datos para permitir la migración a una solución de cartera diferente. Además, las soluciones de cartera deben soportar la generación de seudónimos específicos para las partes confiantes, cumpliendo con las especificaciones técnicas del Anexo IV del borrador de reglamento, que se basa en la recomendación WebAuthn de W3C.
El borrador de reglamento incluye varios anexos que proporcionan especificaciones técnicas detalladas. Estos abarcan estándares para datos de identificación personal y atestaciones electrónicas de atributos, políticas comunes de divulgación integrada (que incluyen «sin política», «solo partes confiantes autorizadas» y «raíz de confianza específica»), formatos de firma y sello (incluyendo PAdES, XAdES, JAdES, CAdES y ASiC), API para aplicaciones de creación de firmas integradas (basada en la especificación del Cloud Signature Consortium), y especificaciones técnicas para la generación de seudónimos.
Este artículo forma parte de una serie de cinco que exploran los diferentes aspectos del marco técnico y operativo de la EUDIW, siendo este el cuarto tras los anteriores: “Trust Framework del EUDIW. Las cinco implementing acts del eIDAS2”, “Protocolos e interfaces de la Cartera de Identidad Digital Europea: Un paso hacia la interoperabilidad” y “Reglamentos de ejecución del reglamento eIDAS2: personal identification data (PID) y atestaciones electrónicas de atributos (EAA)”.