I D E N T I T A T M Ò B I L

ID_MProporcionant serveis segurs, accessibles

i de confiança a la ciutadania

L'informe ha estat elaborat per un equip internacional i multidisciplinari, liderat per la Fundació

Barcelona Mobile World Capital Foundation.

Per a la realització d’aquest informe, l'equip de treball s'ha basat en el profund coneixement dels experts que l'integren, en l'anàlisi

detallada de les millors experiències a Europa i en sessions i entrevistes amb actors clau, públics i privats, locals i internacionals.

Una iniciativa de:

3

re

su

m e

xe

cu

tiu

La identitat d’una persona és única –les característiques que la defi-neixen, que no posseeix ningú altre i per les quals és reconeguda– i constant, no canviant en el temps. Com a societat és necessari dis-posar de les eines per tal d’assegurar que una persona és qui diu ser abans d'autoritzar el seu accés a quelcom protegit o reservat– per exemple a un espai fí-sic o a un servei digital.

Històricament han existit els document físics (offline) d’identitat pels quals una persona és reconeguda, des dels salconduits de l’època del Rei Artaxerxes (465aC) fins al DNI, la llicèn-cia de conduir o el carnet de salut dels nostres dies. Cadascun d’aquests documents són garants de la identitat d’una persona segons el que es vulgui fer (una transferència a una sucursal bancària, accedir a un edifici, embarcar a un avió, etc...).

Amb la proliferació d’Internet i dels serveis online, apareix el concep-te d’identitat digital, qualsevol de les dades que d’una manera única descriuen una persona i que contenen informació sobre les relacions d’aquesta persona en la seva activitat online o digital. Un individu disposa de diferents identitats digitals, tals com comptes de correu electrònic, perfils a les xarxes socials o comptes de banca electrònica.

Els reptes associats a la identitat digital són dos. En primer lloc, la gestió correcta de les contrasenyes, ja que habitualment l’usuari no és prou disciplinat i conscient de la necessitat de mantenir segures les seves identitats. I, en segon lloc, evitar la usurpació de la iden-titat digital i les conseqüències negatives que suposa en termes econòmics, emocionals i pràctics.

En aquest context el telèfon mòbil com a dispositiu connectat, per-sonal i multifuncional que sempre acompanya l’individu, es con-verteix en un dispositiu segur i còmode per contenir la credencial d’identitat de la persona, i per tant integra de forma segura els atributs que la identifiquen unívocament en el món físic i/o digital. El dispositiu mòbil és l’element clau de la convergència entre la identitat física i la digital.

Donades les seves possibilitats el dispositiu mòbil pot actuar com a credencial física o smartcard, la smartcard inclou informació asso-ciada a la identitat en un xip, i es pot allotjar a dins del mòbil en les mateixes condicions, com a dispositiu d’autenticació (per exemple l’enviament de contrasenyes d’un sol ús en banca online) o com a contenidor segur de la identitat (per exemple per signatura digital de documents).

El ciutadà com agent clau de la demanda, vol i exigeix més i millors serveis però alhora demana nivells de control, privacitat i seguretat. Els serveis d’identitat mòbil ofereixen comoditat a l’usuari per acce-dir de forma segura i privada a serveis online i offline però cal afron-

tar reptes associats a la seva implementació.

Els principals reptes són la creació d’un marc legal i regulatori que ofereixi el mateix valor jurídic que els processos tradicionals, i un model de negoci que permeti el desplega-ment del servei d’identitat mòbil de manera transversal als proveïdors de serveis públics i privats, reduint la fragmentació actual. Pel

que fa als dispositius, el repte és normalitzar un parc molt hete-rogeni per aconseguir compatibilitzar les diferents plataformes i finalment el desenvolupament de serveis atractius pel ciutadà que realment facilitin l’adopció massiva.

A nivell europeu, cinc països ofereixen serveis de referència d’iden-titat mòbil, aquests són:

· Estònia, un referent mundial gràcies a una oferta àmplia de serveis finals que utilitzen la identitat mòbil i gràcies a la com-

plicitat entre proveïdors, operadors i administració pública. Estònia és reconeguda com una de les societats digitalment més avançada del planeta.

· Finlàndia, un exemple en interoperabilitat, propiciat per un acord entre els operadors mòbils nacionals per oferir un

servei interoperable que autentica als usuaris per accedir a serveis de tercers. Finlàndia disposa d’un dels índexs més elevats del món pel que fa a la penetració de la telefona mòbil.

· Noruega, liderat per la banca per accedir a serveis de ban-ca mòbil i a operacions financeres.

· Turquia, un referent en signatura mòbil facilitat pel marc le-gal existent que requereix signar per poder realitzar moltes

operacions que en altres països no requereixen signatura.

· Suïssa, prioritzar l’experiència d’usuari com a element clau per a l’adopció i ús massiu de serveis finals.

· I finalment el cas del Regne Unit, en pilotatge, que es foca-litza en la privacitat. És un servei impulsat pel Govern on s’ha

convidat a participar a tota la indústria, garantint una transparència absoluta amb el ciutadà a partir del seu consentiment.

El dispositiu mòbil és l'element clau de la convergència entre la identitat física i la digital.

resum executiu

«En l’àmbit de Catalunya existeixen les condicions necessàries per impulsar

fermament els serveis d’identitat mòbil.»

4

re

su

m e

xe

cu

tiu

De les lliçons apreses de l’estudi dels sis casos anteriors, destaca la demanda per part de la ciutadania d’un procés únic i fluid per ope-rar a través del mòbil, especialment per accedir a propostes atrac-tives i convincents de serveis finals i sobretot la necessitat que els serveis d’identitat mòbil es promoguin des de les administracions, defensant obertament l’adopció dels serveis d’identitat mòbil en els seus processos.

En l’àmbit de Catalunya existeixen les condicions necessàries per impulsar fermament els serveis d’identitat mòbil. Catalunya té un teixit productiu rellevant en el sector de les TIC, disposa d’un ecosistema de constant innovació, a través de les universitats, els centres de recerca i sectors altament innovadors. A més a més el reconeixement de Barcelona com a Smartcity de referència, com a capital europea de la Innovació o com a Mobile World Capital, contribueixen a la creació d’un model de col·laboració públic-privat que facilita el desenvolupament de nous serveis i oportunitats.

Avui existeixen a Catalunya tres iniciatives destacades ja operati-ves entorn a la identitat mòbil: servei de l’Administració Oberta de Catalunya (AOC) de validació de credencials d’identitats digitals (Val-ID), servei de l’Ajuntament de Barcelona per l’accés a serveis electrònics municipals (mobileID) i un servei en pilotatge del De-partament de Salut de la Generalitat de Catalunya en col·laboració de la Mobile World Capital Barcelona per l’accés mòbil a la carpeta personal de salut.

Per Catalunya, com a país que disposa d’equipaments, cultura i un ecosistema de constant innovació, és l’oportunitat d’oferir a la ciu-tadania un nou model de relació a través de la identitat mòbil, pro-moure serveis d’administració electrònica, i a la vegada contribuir a donar un impuls al sector privat.

Les recomanacions per tal d’aprofitar les oportunitats que en aquest àmbit se’n deriven, s’emmarquen en tres dominis diferenciats:

1. Convergència dels serveis públics i privats de gestió de la identitat i consolidació en un únic model transversal, facilitador de la identitat del ciutadà per qualsevol proveïdor de serveis (públic o privat).

A curt termini es proposa establir aliances amb sectors com la ban-ca o els operadores mòbils per donar un impuls i dimensió al servei d’identitat mòbil, i nodrir el cens amb les dades de contacte elec-trònic dels ciutadans (correu electrònic i número de mòbil), a partir del seu consentiment.

2. Desenvolupar experiència en la gestió de la identitat mòbil op-tant per diferents solucions en funció del context, abans de prendre decisions sobre models definitius a mig termini.

També es proposa posar en marxa diversos pilots: el servei Mobile Connect de la GSMA amb algun servei intern de la Generalitat de Catalunya, la promoció d’un servei d’autenticació basat en SMS per tràmits com la instància genèrica als ajuntaments i l’impuls del ser-vei mobileID de l’Ajuntament de Barcelona.

3. Oferir serveis finals que facilitin el procés d’adopció massiva per part de la ciutadania, considerant serveis d’ús massiu en el dia a dia del ciutadà (per exemple el transport o els micro pagaments) o bé serveis especialitzats en determinats segments de ciutadans que fan un ús molt intensiu de determinats serveis digitals (profes-sionals com els notaris, metges, gestors o bé malalts crònics per l’accés a les dades de salut,...).

Per últim, es proposa accelerar el servei T-Mobilitat de l’ATM a tra-vés del telèfon mòbil com a element de transmissió per l’adopció massiva.

No hi ha dubte que el dispositiu mòbil s’erigeix com el mecanisme més adequat per l’autenticació del ciutadà o consumidor. I tot i que existeixen diferents opcions tecnològiques en funció del nivell de seguretat exigit, és important començar a provar diferents models, d’acord als diferents serveis públics i privats per tal d’acompanyar al ciutadà i reforçar-ne la relació, aprendre en un entorn nou on cal l'experiència, i posicionar-se al capdavant del canvi social i econò-mic que suposa l’entorn d'identitat mòbil.

2.1. Estònia, un referent mundial 33

2.2. Finlàndia, interoperabilitat 39

2.3. Noruega, el lideratge bancari 45

2.4. Turquia, referència en signatura mòbil 51

2.5. Suïssa, la millor experiència d’usuari 57

2.6. Regne Unit, primer la privacitat 63

2.7. Lliçons apreses 69

INTRODUCCIÓ 10

RESUM EXECUTIU 3

1.1. Identitat funcional 12

1.2. Internet i el telèfon mòbil 13

1.3. Identitat digital 14

1.4. Identitat mòbil 16

1.5. Principals agents de l’ecosistema 18

1.6. Gestió de la identitat 19

1.7. Mapa de serveis 20

1.8. Comunicacions segures 21

1.9. Exemples de casos d’ús 22

1.10. Reptes globals de la identitat mòbil 25

1.11. Conclusions 30

1. Identitat 2. Referents europeus

continguts

Glossari 87

Referències 88

3.1. Introducció 72

3.2. El context de Catalunya 74

3.3. Catalunya i els serveis digitals 77

3.4. Catalunya avui: iniciatives destacades 78

3.5. Recomanacions 81

3. Catalunya, OPORTUNITATS I REPTES 4. annex

7

1.IDE

NT

ITA

T

Comerç online Connectivitat a la xarxa Elements segurs Càmera

Prova pilotSolucióDescobriments Propòsit

AtributsBob L'emissor Alice La receptora Eve El lladre

Ambaixada

NFC

Factor diferencial

Bluetooth

ICONES PRINCIPALS

ICONES SECUNDÀRIES

Passaport

Credencials d’identitat Entitats / InstitucionsPolicia /Autoritat Smartphone Oficina de tributs

Ubicació GPS

SMS

llegenda

8

1.IDE

NT

ITA

T

Document Avió

ICONES PRINCIPALS

ICONES SECUNDÀRIES

Els serveis d’InternetOperador mòbil Proveïdors de serveisUniversitatCompanyia de serveis públics

Carnet d’identificació de salut / social Xarxes socialsBanc Targeta intel·ligent Identitat mòbil

Organismes de la indústria BotigaPIB nominalCompanyia

privada Membre

Trucada Pantalla / PCCompanyia d’assegurancesPIB Certificat IdiomesContrasenya

3. CatalUNYA

Descripció de la situació actual de la identitat digital-mòbil a Catalunya, citant quins són els principals agents involucrats i quines iniciatives destaquen en aquest àmbit. L'estudi inclou suggeriments i consideracions per aplicar el servei d’identitat mòbil a l'ecosistema català, alhora que identifica iniciatives susceptibles de posar-se en marxa a Catalunya a curt-mig termini.

1. IDENTITAT

Introducció al concepte d'identitat des d'una perspectiva funcional, incidint en com aquest concepte ha experimentat una enorme transformació arran del gran impacte generat per la irrupció d'Internet i els smartphones. Descripció dels principals agents que intervenen en aquest ecosistema, així com l’anàlisi de les relacions que s’estableixen entre ells i els possibles serveis que se’n deriven. Finalment, el capítol descriu diferents casos d’ús que faciliten una millor comprensió del potencial de la tecnologia mòbil en clau d’identitat alhora que es formulen uns primers reptes a tenir presents i unes conclusions generals.

2. REFERENTS EUROPEUS

Anàlisi de cinc països europeus que són referents en la implementació de serveis d’identitat mòbil, es descriuen els antecedents i el context que ha afavorit la seva posada en marxa, la cartera de serveis que s'ofereixen i els factors determinants del seu èxit. Els països analitzats són Estònia, Finlàndia, Noruega, Turquia i Suïssa. Un darrer objecte d’anàlisi és el Regne Unit, un exemple de país que llança una prova pilot com a primer pas per a la implementació del servei d’identitat mòbil.

Capítols

10

int

ro

du

cC

IÓ

Introducció

Actualment, donada l'evolució de la tecnologia digital, el concepte d’identitat esdevé més complex i adquireix més vessants. Avui una persona disposa d’una identitat personal constituïda per la seva identitat física i per múltiples identitats digitals o virtuals associades a totes les seves relacions dins l’univers online o digital.

La progressiva democratització de les noves tecnologies ha incor-porat milers de milions de ciutadans al món digital, un accés massiu a la informació i al coneixement propiciat, principalment, per la uni-versalització de la capacitat de comunicar i interactuar, d'accedir a la informació des de qualsevol lloc i en qualsevol moment.

El factor principal que ha generat aquest accés massiu a informa-ció i coneixement, ha estat l’aparició de la tecnologia mòbil i dels anomenats smartphones: dispositius intel·ligents, d’alta capacitat i permanentment connectats. No en va, i en paraules del guru Ray Kurzweil (eminència mundial en computació i intel·ligència artifi-cial), «avui un adolescent africà amb un smartphone disposa de més informació que el president dels EUA quinze anys enrere».

La identitat és un concepte complex, polièdric, amb múltiples vessants. El fet d’identificar una persona i poder assegurar que realment és qui diu ser, ha estat una qüestió principal, bàsica i necessària, per poder garantir la convivència i les relacions humanes, tant econòmiques com personals.

Tenint en compte aquests fets, i tornant al concepte d’identitat, resul-ta evident que en aquesta era digital les necessitats i requeriments per demostrar que una persona és qui diu ser, adquireixen un caire molt més urgent i transcendent. En aquest sentit, els dispositius mò-bils, adaptats a tots els països i classes socials, són una de les plata-formes més potents i flexibles per a la gestió de la identitat digital.

Aquest informe consta de tres parts centrals en què, d'una manera didàctica i entenedora, s'explica la definició de la identitat digital, la seva aplicació a l'ecosistema mòbil, i com aquest servei d'identitat mòbil pot ésser implementat amb èxit.

11

«La identitat de cada persona és única–característiques que la defineixen i que

no posseeix ningú altre-  i constant, no sotmesa a condicions variables i aspectes

canviants com, per exemple, el temps.»

12

1.IDE

NT

ITA

T

La identitat és l'element que habilita i permet als individus tenir ac-cés a determinats llocs, serveis, documents o drets. D'una manera o una altre, la identificació és necessària quan un individu accedeix a fer coses en l'àmbit digital.

Aquest enfocament emmarca el concepte en l'àmbit individual —identitat personal—, permetent definir la identitat com aquelles ca-racterístiques individuals per les quals una persona és reconeguda. Aquesta definició enllaça directament amb el concepte d'indi-vidualitat: la identitat de cada persona és úni-ca —característiques que la defineixen i que no posseeix ningú altre— i constant, no sotmesa a condicions variables i aspectes canviants com, per exemple, el temps.

En el marc de la identitat funcional, un dels objectius principals és dotar-se de les eines necessàries per de-mostrar que una persona és qui diu ser i, en conseqüència, autorit-zar-li l'accés a quelcom protegit o reservat —per exemple, a un espai o a determinats documents.

Els primers exemples d’identitat funcional els trobem en forma de documents personals d'identitat anomenats salconduits o creden-cials laissez-passer. Existeixen documents històrics que contenen la paraula identitat ja en l’època del Rei Artaxerxes (465 aC) el qual lliurava salconduits als seus súbdits autoritzant-los a creuar el riu Eufrates. Altres referències a documents d'identitat daten del 1414, també com salconduits, usats durant el regnat d'Enric V a Anglaterra.

No és, però, fins a principis del segle XX que els governs veuen la necessitat d’avançar en l’adopció de documents d’identitat per

El concepte d'identitat és molt ampli i els seus significats varien segons la perspectiva des de la qual s'abordi —filosòfica, matemàtica, social—, o si es parla d'individus, col·lectivitats o coses.

part dels ciutadans. I no és fins a la dècada dels 80 que les entitats reguladores i els governs comencen a estandarditzar les caracterís-tiques, les mides i les formes d’aquests documents.

Més recentment, les tecnologies digitals s’han incorporat als do-cuments relacionats amb la identitat, smartcards o targetes intel- ·ligents que inclouen un xip de seguretat i que són la credencial

de l’individu. Aquests xips es troben en docu-ments expedits pels governs, com els docu-ments electrònics d'identitat o els passaports digitals, i també en documents relacionats amb altres serveis públics i privats: títols de transport nominals, targetes d'accés corpora-tives, clubs esportius.

Les smartcards incorporen tecnologies que garanteixen una comunicació segura entre els

agents que participen en la gestió de la identitat. Mantenir comuni-cacions o transaccions segures i confidencials, no modificables ni alterables per tercers ha estat sempre una qüestió rellevant en les relacions entre persones.

La comunicació entre dos personatges ficticis, l’Alice i el Bob, és segura quan es garanteix que el missatge privat que el Bob envia a l’Alice només el rebrà ella, i a l'inrevés, quan l’Alice té la seguretat que el missatge rebut d’en Bob realment l’ha enviat ell i no ha estat manipulat per tercers. En aquest context, els conceptes de confi-dencialitat, integritat, autenticitat i no repudiació / acceptació estan íntimament relacionats amb el d'identitat.

1.1. Identitat funcional

1. identitAT

«No és, però, fins a principis del segle XX que els governs veuen la necessitat d’avançar en l’adopció de documents d’identitat per part

dels ciutadans.»

13

1.IDE

NT

ITA

T

Principals fites a la història de la Identitat

Figura 1: Seqüència cronològica amb les fites més importants de la història dels documents d'identitat.

1.2. Internet i el telèfon mòbilActualment, amb la proliferació d'Internet i l'exponencial creixe-ment dels serveis online i les connexions a través de xarxes socials, la identitat ha adquirit noves dimensions propiciant el sorgiment d'un nou concepte: la identitat digital.

El Rei Artaxerxes entrega salconduits. Primer document d’identitat

Primer document salconduit d’Enric V en Acta del Parlament

Primer cop que s’utilitza el concepte “passaport” en un text

Creació de l’ARPANET, l’inici d’Internet

Primera trucada des d’un telèfon mòbil en el laboratori tecnològic d’AT&T. Comença la tecnologia mòbil

Els atributs de seguretat, la forma i mida dels documents d’identitat s’especifiquen per primer cop per part d’un organisme d’estandardització

Neix el servei de Facebook

Primer smartphone

Primera adopció massiva d’un document d’identitat després de la Primera Guerra Mundial

De la mateixa manera, l'extraordinària tendència a l'alça en l'adop-ció d'smartphones —dispositius que per un costat permeten la con-nexió permanent de les persones i per l’altre són l’enllaç entre el món físic (de les coses) i el món virtual (Internet)— obliga, de manera gairebé natural, a introduir el concepte d’identitat mòbil com el següent repte en l'àmbit de la identitat.

14

1.IDE

NT

ITA

T

La possibilitat d’un individu d'establir interaccions personalitzades amb un sistema informàtic remot —i de ser reconegut per aquest sistema— ha fomentat la innovació, convertint els serveis d'Internet en serveis omnipresents, cada cop més essencials en la vida quoti-diana des del comerç electrònic fins al govern digital, passant per tot un seguit d’interaccions online relacionades amb la salut, l’apre-nentatge online, les xarxes socials, etc.

Una diferència clau entre les identitats del món físic (el món real) i les identitats digitals és el volum. Mentre un individu, habitualment, només disposa de tres o quatre documents físics d'identitat (un DNI, una llicència de conduir, un passaport o una targeta de soci d'un club esportiu, per exemple), les persones disposen d’un nom-bre més gran i creixent de perfils d'identitat digital, al voltant de 20, per exemple múltiples comptes de correu electrònic, diversos accessos a xarxes socials o diferents usuaris per accedir a serveis de banca online, entre molts altres casos.

El ràpid creixement del comerç online que ha portat a un increment de l'ús de credencials individuals, els nous models de negoci i els reptes de la hiperconnectivitat en termes de seguretat i privacitat són, tots ells, assumptes de gran interès per als legisladors.

1.3. Identitat digital

1.3.1. Identitat multidimensional i online

En l'era d'Internet, els individus tenen diferents identitats digitals. La identitat digital és allò que un individu diu que és quan està en línia, a la xarxa.

Habitualment no es parla d'una identitat única i específica, sinó de diverses identitats en funció del que es vulgui fer. Així, i per posar un exemple, la identitat d’un individu— qui és, i per fer què— es com-plementa amb els seus interessos socials, empresarials i comercials

entre d'altres que conformen el món de les seves relacions online.

Certament, res diferent de l'aplicable al món físic (offline): la seva família, la seva feina, els seus amics, les seves aficions, etc.

En un món tan connectat com l'actual, la identitat digital és un as-pecte principal per poder garantir tota mena de transaccions se-gures i privades.

1.3.2. La identitat digital i l'economia a Internet

En aquest sentit, els governs i l'administració pública, normal-ment volen:

· Augmentar el volum de serveis digitals, amb l’ànim d’incrementar l’eficiència i millorar l’experiència d’usuari del ciutadà.

· Desenvolupar serveis nous i innovadors en l'àmbit de l'Adminis-tració pública.

· Reforçar la ciberseguretat, entesa com una de les principals prio-ritats dels governs: protecció dels actius nacionals i de la ciutadania davant l'amenaça d'activitats terroristes o criminals en l’àmbit digital.

Tradicionalment, els governs i les administracions tenen atribuït un rol capdavanter en la prestació de serveis segurs d’identitat als ciuta-dans. En l’àmbit digital, però, cal trencar un cercle viciós: els proveï-dors de serveis esperen tenir una massa crítica de consumidors per incorporar serveis robusts d’identitat digital, en termes de confiança, seguretat i privacitat, i, mentrestant, els consumidors esperen nous serveis finals d’interès abans d’adoptar mètodes d’autenticació.

La solució sembla que passa per oferir serveis que realment si-guin beneficiosos per als ciutadans i que en desencadenin una adopció massiva.

La identitat digital és qualsevol de les dades que d'una manera única descriuen una persona i que contenen informació sobre les relacions d'aquesta persona en la seva activitat online o digital.

1.3.3. Reptes de la identitat digital

El món connectat que suposa Internet i les barreres associades a les contrasenyes que compliquen l'experiència d'usuari provoquen que hi hagi un esgotament de l’usuari en la gestió correcta d'aques-tes contrasenyes i, per tant, un augment dels casos d’usurpació de la identitat digital.

Esgotament en la gestió correcta de les contrasenyes

El nombre de combinacions tradicionals d’usuari/contrasenya creix de tal manera que resulta difícil gestionar. Al mateix temps, l'usuari no sempre és prou disciplinat i conscient de la necessitat de mante-nir segures les seves identitats. Noms d'usuari simples i fàcils de re-

cordar, i les mateixes contrasenyes o números personals (Personal Identification Number, PIN) per a diferents serveis obren les portes a pirates i criminals informàtics.

És necessari trobar una solució accessible, segura i de confiança, tant per als consumidors finals com per als proveïdors de serveis, que doni resposta a aquesta necessitat creixent de gestionar dife-rents manifestacions d'identitat, relacionades amb els serveis onli-ne i les operacions virtuals.

15

1.IDE

NT

ITA

T

Usurpació de la identitat digital

La usurpació de la identitat digital s’ha convertit en un assumpte crí-tic per als individus, les empreses i les institucions, el cost de la qual —en termes econòmics, emocionals i pràctics— creix any rere any. Les estimacions varien, però és evident que el cost de la usurpació sobrepassa la xifra de milers de milions d'euros. I és important re-marcar que les tècniques d'usurpació de la identitat són cada cop més diverses i enginyoses.

Figura 2: Cada any, SplashData publica les pitjors contrasenyes triades pels usuaris.

La lluita contra aquest fenomen és complexa i la seva solució no és única. Ara bé, les capacitats i les característiques dels smartphones com dispositius estretament vinculats a l’individu i a la seva identi-tat, són, sens dubte, una de les solucions més adients per afrontar aquest repte.

Pitjors contrasenyes del 2014

baseball

qwerty

password

Canvis respecte al 2013

17

9

dragon

football

ContrasenyaPosició

16

1.IDE

NT

ITA

T

1.4.1. L'smartphone: el dispositiu connectat, personal i multifuncional

1.4.2. Smartphone: el nou dispositiu d'identitat

Els telèfons mòbils provoquen un gran impacte en la vida quotidia-na de les persones. L'smartphone és un potent dispositiu el qual, a més de fer trucades, també permet enviar missatges de text, co-rreus electrònics o accedir a Internet i als seus continguts. Incorpora càmera de fotos i gravació de vídeo. L’smartphone és el nou centre d’entreteniment i consum mòbil de continguts com música, jocs o vídeos. Per a molts individus, és el dispositiu que utilitzen per defec-te per fer cerques a Internet, accedir a serveis de banca electrònica, fer reserves, consultar i actualitzar les xarxes socials, etc.

Pot semblar un tòpic, però és cert que molta gent, quan surt de casa, s'assegura abans de portar el seu telèfon mòbil que no pas les claus o la cartera. Els smartphones s’han convertit en companys inseparables, són veritables dispositius personals connectats i de relació entre les persones.

La identitat mòbil és la integració segura al mòbil dels atributs que identifiquen únivocament a una persona en el món físic i/o digital.

L’smartphone, entès com un dispositiu multifuncional, extremada-ment versàtil i connectat en xarxa, que sempre acompanya l’indi-vidu es pot convertir en un dispositiu segur i còmode per contenir les credencials d'identitat dels individus, permetent la realització d’operacions, transaccions i comunicacions tant en el món físic com en el virtual.

1.4. Identitat mòbil

El nombre d'smartphones i tablets augmenta dia rere dia d'una manera inexorable, sense distinció de geografies, cultures, edats o capacitats adquisitives. Dues dades il·lustren aquesta afirmació: du-rant el 2015 es preveu la fabricació i l'entrada al mercat de més de 1.200 milions de telèfons intel·ligents; així mateix, molts fabricants de telèfons ja estan comercialitzant smartphones a preus per sota dels 80 euros, amb l’ànim d’estendre i democratitzar encara més el parc de telefonia mòbil, fent que arribi arreu del planeta.

L'smartphone ja fa temps que ha superat àmpliament el PC com a plataforma de connexió a Internet. Actualment, es comptabilitzen més de 2.000 milions d'usuaris connectats a la xarxa a través dels seus telèfons intel·ligents i s'espera que els propers anys la xifra arribi als 4.500 milions d'usuaris.

El telèfon intel·ligent, és un equipament electrònic molt sofisticat que integra diverses funcions i capacitats en un únic dispositiu.

Connectivitat a la xarxa

Tecnologies rellevants per la identitat

Internet, Apps i Dades

Elements segurs (Secure Element, SE) per protegir

les dades de l’usuari

El concepte d’identitat digital amplia i estén l’àmbit d’aplicació en el moment que s’integra amb l’smartphone, el nou concepte d’identi-tat mòbil ofereix més aplicacions i recorregut.

Figura 3: La figura mostra algunes de les tecnologies, els recursos i les capacitats més destacades dels smartphones que l’habiliten per ser un dispositiu d’identitat.

3G

4G

Wifi

CàmeraGPSPantalla

NFCBluetoothSensors biomètrics

SIM (Subscriber Identity Module)Micro SD (Micro

Secure Digital)eSE (Embedded Secure Element)

17

1.IDE

NT

ITA

T

L'smartphone com a credencial física

Donades les seves possibilitats, l'smartphone pot actuar com a con-tenidor dels documents d'identitat digital que ja existeixen en el món físic. Les smartcards, les quals inclouen informació associada a la identitat en un xip, es poden allotjar a dins del mòbil en les mateixes condicions de seguretat, convertint-se en quelcom que es podria anomenar smartcards immaterials o virtuals.

Un exemple d’aquesta aplicació és la virtualització de les targetes de crèdit amb xips que contenen les dades de l’individu i la seva informació bancària. L’smartphone també pot allotjar aquestes da-des de forma segura i amb tecnologia Near Field Communication (NFC) per permetre fer pagaments a botigues a través del terminal del punt de venda, per proximitat. En aquest cas, l’smartphone ha substituït la targeta de crèdit.

L’smartphone com a dispositiu per autenticar (en transaccions online)

L'smartphone es pot utilitzar en el context d’Internet per poder ac-cedir a serveis, en concret per autenticar l’usuari. Existeixen dues possibilitats.

A. Com a factor d’autenticació: l’smartphone actua com un canal alternatiu que facilita l’autenticació de l’usuari per poder accedir a un servei online. Diferents exemples d’aquesta aplicació són les contrasenyes d’un sol ús per missatges curts (Short Message Servi-ce, SMS), el lector biomètric de l’individu, etc.

B. Com un contenidor segur de factors d’autenticació com les cre-dencials privades. El certificat digital n'és un exemple: permet la signatura electrònica de documents o d’altres tipus de transaccions.

És per aquests motius que l'smartphone es converteix en el dis-positiu central on convergeixen les identitats online i offline, és a dir, la digital i la física. L’smartphone es pot utilitzar en aquests dos contexts i, a més, gràcies a la possibilitat d’incorporar informació sobre el posicionament, els sensors biomètrics o la integració amb les xarxes socials, s’incrementa la consciència de l’usuari sobre el servei i es reforça la seguretat i l'accessibilitat.

Fins aquí, l’informe posa de manifest que l’smartphone pot ser el nou dispositiu d'identitat per a un accés senzill, pràctic i segur a serveis del món físic i online.

A partir d’ara, i tenint en compte que l’informe se centra en la uti-lització més funcional de la identitat, en els següents apartats es presenten els principals agents, els seus interessos i els potencials serveis físics i digitals que es poden oferir als ciutadans quan es disposa d'identitat mòbil. Així mateix, es presenta el procés i les tècniques requerides per fer funcionar el model.

En aquesta anàlisi apareixen aspectes fonamentals relatius a la con-fidencialitat, la privacitat i la seguretat, els quals són tractats d'una manera especial en l’informe, atès que són factors claus des d’una perspectiva funcional.

Figura 4: El dispositiu mòbil és l’element clau de la convergència entre la identitat física i la digital.

Identitat Personal

Xarxes Socials

Credencials d'identitat

Tarjeta de crèdit

Contrasenyad'usuari

Correu electrònic

Identitat Digital Identitat Física

IdentitatMòbil

18

1.IDE

NT

ITA

T

18

1.5.1. La ciutadania 1.5.2. Els proveïdors de serveis

1.5.3. El sector públic

Per al ciutadà, la proliferació dels dispositius connectats ha impulsat nous serveis i capacitats que utilitza cada cop més a través d’eines que li resulten tan familiars com

l’smartphone i la tablet.

Avui, el ciutadà espera estar connectat i informat permanentment. En aquest sentit, gràcies a la hiperconnectivitat el ciutadà se sent més fort i capaç per afrontar el seu dia a dia.

L’accés permanent i des de qualsevol lloc a informació sobre el trànsit, les notícies, la previsió del temps, els mapes, les guies, la música, els calendaris, l'agenda, els vídeos... així com l’efecte de compartir informació i col·laborar online a través de les xarxes so-cials han amplificat la tendència d’accedir a Internet a través del dispositiu mòbil.

El ciutadà troba en el mòbil comoditat i facilitat d'accés a serveis i continguts. És, per tant, l’agent principal de la demanda: vol i exi-geix més i millors serveis i continguts. El ciutadà, alhora, considera un factor clau i determinant disposar de nivells adients de control, privacitat i seguretat.

1.5. Principals agents de l’ecosistema

Els proveïdors de serveis són un agent que cada dia creix més en l’ecosistema, a causa de l’aparició de nous serveis en el món d’Internet i al creixent protagonisme

de l’smartphone en el món físic. Aquests agents, per exemple els bancs, depenen molt (d’una manera o d’una altra) del nivell de seguretat de la interacció amb el seu usuari per poder dur a terme la seva activitat de la manera més adient i profitosa, tant en el món online com en el físic, com s'ha vist anteriorment.

Les funcions del sector públic en aquest àmbit són vàries, per una banda establir el marc i la normativa jurídica per impulsar el desplegament d’aquests tipus de serveis

(tant públics com privats), també fomentar les iniciatives i les inversions necessàries perquè ajudin a l’adopció dels serveis per part de la ciutadania i, finalment, com a proveïdors de serveis d’una administració oberta al ciutadà.

«El concepte d’identitat digital amplia i estén l’àmbit d’aplicació en el moment que s’integra amb l’smartphone, el nou concepte d’identitat mòbil ofereix més aplicacions i recorregut.»

19

1.IDE

NT

ITA

T

L’establiment d’un servei d’identitat es basa en l’aplicació de prin-cipis i processos que garanteixin la relació de confiança entre l’or-ganització que presta el servei i l’individu que vol accedir a serveis, físics o digitals.

La gestió de la identitat contempla quatre processos clau associats al cicle de vida de la identitat: el registre, l’autenticació, l’autoritza-ció i la revocació.

1. Registre | Per tal de ser reconegut pel sistema, l'individu pri-mer s'hi ha de registrar, i s’han de comprovar les condicions relati-ves a la seva identitat i/o als seus atributs. Després de la comprova-ció s’entreguen les credencials a l’individu.

2. Autenticació | Per accedir a determinats serveis o recursos, l'individu reclama la verificació de la seva identitat introduint (en serveis online) o presentant (en serveis físics) les credencials que li han facilitat durant el procés de registre. Aquest procés d'autenti-cació determina la confiança en la identitat que presenta l'individu.

Donada la importància de l’autenticació, qualsevol persona creu que val la pena anar més enllà en la verificació de la seva identitat i, per tant, la confirmació que és qui diu ser per accedir a transaccions segures físiques o online. L'entitat verificadora pregunta a la perso-na pels factors d’autenticació que típicament són:

· Quelcom que es posseeix: com un document, el telèfon mòbil amb l'element segur o un token. Un token és un dispositiu físic que serveix per autenticar-se; els més habituals són els que generen contrasenyes dinàmiques.

· Quelcom que es coneix: com un PIN o una contrasenya.

· Quelcom que s'és: atributs biomètrics, com l’empremta dactilar.El principi d'autenticació múltiple és fonamental quan les persones

1.6. Gestió de la identitataccedeixen a serveis online que requereixen un grau més alt de seguretat. També aquí, el telèfon mòbil i la identitat mòbil entren en joc d'una manera natural —el telèfon mòbil pot oferir qualsevol dels 3 factors d'autenticació indicats (inclosos els lectors d’atributs biomètrics).

3. Autorització | Un cop l’individu ha estat autenticat, se li as-signen els permisos i els privilegis necessaris que li permetin acce-dir al servei o als recursos de l'organització.

4. Revocació | Finalment, quan l'individu deixa d'estar associat al sistema, es rescindeixen les seves credencials a través del procés de revocació.

Aquests quatre processos ja existeixen en el món físic. En moltes ocasions, però, no s’hi presta atenció. Alguns exemples quotidians són l’obertura d’un compte bancari, en què es demana mostrar el carnet d’identitat per demostrar la identitat, quan es mostra un do-cument d'identitat per votar en unes eleccions o quan es vol com-prar alcohol i s’ha de provar la majoria d’edat.

La gestió de la identitat en el món físic ajuda a mitigar els riscs associats a les interaccions entre persones o entre persones i en-titats, i augmenta la confiança entre les parts que participen en la interacció. És, doncs, una qüestió fonamental per a la vida econò-mica i social.

El mateix succeeix en el món online, en el qual la manca de vincles demostrables entre una persona física i una identitat digital encara crea més incerteses i dubtes que en el món físic.

La imatge següent il·lustra un cas real dels quatre processos des-crits en aquesta secció:

En resum, aquests quatre processos clau determinen el cicle com-plet de la gestió d’un servei segur, i garanteixen les relacions de confiança entre l'usuari i el proveïdor del servei.

Figura 5: Seqüència de passos que segueix en Bob que il·lustren els processos descrits, garantint la seguretat i la confiança entre les parts que hi participen.

1. Registre

En Bob va a la comissaria de policia per obtenir el

passaport, prèvia acreditació de la seva identitat física.

En Bob presenta les seves credencials i la policia verifica

que és qui diu ser.

Després de l'autenticació, en Bob és autoritzat a accedir a la porta d'embarcament del vol.

Un cop arribat al destí, en Bob s'adona que li han robat el passaport. Ho comunica a

l'ambaixada perquè li revoquin el passaport.

3. Autorització2. Autenticació 4. Revocació

Cicle de vida de la identitat

20

1.IDE

NT

ITA

T

El principal objectiu funcional d’utilitzar la identitat mòbil és accedir a serveis segurs, tant en el món online com en el físic. Els serveis que requereixen acreditar la identitat de l’usuari poden incorporar, en funció del nivell de seguretat, qualsevol de les formes d’autenti-cació que ofereix l’smartphone.

Per entendre millor quins serveis tenen més potencial gràcies a la identitat mòbil, es presenta un mapa en el qual s’indiquen els serveis online i els físics, i també els públics i els privats. El mapa estableix quatre categories diferents de serveis.

Registre d’identitats | Serveis associats a la gestió del cicle de vida de les credencials d’identitat d’una persona. Inclou el registre i la renovació, però també l’autenticació i l'autorització a altres serveis.

1.7. Mapa de serveis

Figura 6: Mapeig entre serveis i les funcions de la identitat.

Control d’accessos | Serveis d’accés a recursos un cop l’usuari ha estat validat i autenticat. Els recursos als quals s’accedeix poden ser digitals, com un document, o bé físics, com un edifici.

Transaccional | Serveis en els quals, en algun moment, hi ha una transacció financera o de pagament entre l’usuari i el pro-veïdor del servei.

Validació legal de la identitat | Serveis que normal-ment requereixen una signatura (física o digital) de l’usuari, la qual implica un acord legalment vinculant entre l’usuari i l’organització.

1

2

3

4

21

1.IDE

NT

ITA

T

Establir i gestionar una identitat digital robusta no és suficient per prestar un servei de forma segura.

Un cop la identitat ha estat validada i s’autoritza l’accés a un servei prestat per un tercer es produeix, en molts casos, un intercanvi d’in-formació entre l’usuari i el proveïdor, com en qualsevol procés de comunicació entre dos elements.

En aquest moment l’usuari necessita tenir la certesa que aquesta comunicació és segura i està fortament protegida. I també, en rela-

1.8. Comunicacions segures

La informació està a recer de ser accessible per persones no au-toritzades.

La no repudiació és la manera de garantir que l'emissor i el recep-tor d'un missatge no podran negar, posteriorment, que l'han remès i rebut respectivament.

La informació no por ser modificada per algú no autoritzat.

Figura 7: La confidencialitat s'assegura que el missatge enviat per Bob només

és rebut per Alice. Ni l'Eve ni ningú més pot llegir-lo.

El missatge, la transacció o l'intercanvi d'informació procedeix de la font d'on es diu que prové.

Figura 9: L'autenticitat assegura que el remitent del missatge, en Bob, és qui

pensem que és. Així, Alice pot estar segura que el missatge rebut ve de Bob i

no de l'Eve.

Figura 10: El no repudi assegura que el remitent Bob no pot negar que va

enviar el missatge a Alice.

Figura 8: La integritat assegura que el missatge enviat per Bob no ha estat

modificat per un usuari maliciós, com l'Eve, en el camí cap al receptor Alice.

És possible espiar?

Confidencialitat

Autenticitat No repudiació

Integritat

L'emissor, pot negar que ha enviat el missatge?

El missatge, ha estat modificat?

El remitent, és qui ha de ser?

ció amb el primer punt, l’usuari ha d’estar segur que la seva priva-citat està preservada; aquesta necessitat és especialment rellevant quan es tracta d’informació personal molt sensible, com les dades de salut o d’altres similars.

Quan es parla de seguretat en una comunicació entre dos ele-ments, habitualment es fa referència a quatre conceptes clau, ca-dascun dels quals aporta un nivell diferent de seguretat i confiança en el canal de comunicació.

Bob

Bob

Bob

Bob

Bob

Alice

Alice

Alice

Alice

Alice

Eve

Missatge

Missatge

Missatge

Hello!

Hello!

Hello!

Hdllr!

Missatge

Missatge

MissatgeBob

Eve

22

1.IDE

NT

ITA

T

Tal com s'ha vist, un smartphone pot actuar com un dispositiu per-sonal d'identitat proporcionant un accés segur a diferents serveis. Depenent del nivell de seguretat requerit i de les característiques específiques de l’smartphone, es poden oferir diferents solucions i maneres d’accedir a aquests serveis.

1.9. Exemples de casos d’ús

En el món físic, la gent està familiaritzada amb les targetes intel·li-gents, les quals s’utilitzen per accedir a instal·lacions corporatives i oficines, o al club esportiu del qual s'és soci, per posar només alguns exemples. Moltes persones també usen tecnologia sense contacte (contactless) amb targetes que incorporen un xip o una antena (invisibles per a l'usuari), i amb un lector físic a l’accés, es controla l'obertura de la porta o el torniquet.

Considerant el cas d’accessos corporatius, quan una empresa con-tracta un nou treballador, el procés s’inicia amb el registre del nou empleat al sistema de control d'accessos de la companyia. El nou usuari rep autorització per accedir a les instal·lacions. Tot seguit, es genera una targeta física d'accés personalitzada amb aquestes dades i, al mateix temps, l'smartphone (que disposa d'NFC) del

1.9.1. L'smartphone com a targeta intel·ligent d'accés

nou empleat també es personalitza d'una manera molt semblant. L’smartphone es converteix en una acreditació «virtual» d'accés.

Quan el nou empleat accedeix a les instal·lacions de l'empresa, el lector físic que controla els accessos no és capaç de diferenciar si la credencial d’accés és una targeta física o un smartphone; ambdós actuen exactament de la mateixa manera.

Aquestes operacions requereixen seguretat. En el cas de les targe-tes físiques intel·ligents, la credencial segura és allotjada en el xip de seguretat de la targeta; en el cas dels smartphones, es necessita una ubicació igualment segura, que en molts casos és l’element segur del dispositiu.

Figura 11: Un telèfon mòbil pot allotjar les credencials d'una identitat per garantir l'accés a determinats recursos, com per exemple un edifici.

A continuació, s'expliquen alguns casos reals d’ús en què el dispo-sitiu mòbil és l’instrument que gestiona la identitat.

En Bob s'acredita i es dóna d'alta al registre de persones

que tenen dret d'accés a determinats edificis.

L'edifici incorpora l'equipament (lector) que llegeix les credencials del telèfon mòbil d'en Bob i verifica la seva identitat.

Després d’autenticar-se, s'autoritza a en Bob a accedir

a l'edifici.

En Bob ha perdut el seu dispositiu mòbil i per tant la manera d’autenticar-se.

Demana que es revoqui el seu telèfon.

Cicle de vida de la identitat

1. Registre 3. Autorització2. Autenticació 4. Revocació

23

1.IDE

NT

ITA

T

Figura 12: En aquest cas, l'individu utilitza el telèfon mòbil per obtenir la informació que li permet accedir al servei.

Un segon cas d’ús presenta el telèfon mòbil com a dispositiu d'au-tenticació (quelcom que es posseeix) en un procés d'autenticació segura. Se suposa que prèviament s’ha realitzat el procés de re-gistre que relaciona el número de telèfon amb la identitat de la persona que l’utilitza.

El cas és l’accés a una aplicació de banca electrònica. Per facilitar la comprensió del cas, se suposa que l’usuari accedeix a l’aplicació de banca electrònica a través d’un dispositiu diferent de l’smartphone, per exemple una tablet.

En primer lloc l’usuari introdueix el seu nom d'usuari i la seva con-trasenya al formulari d’accés —procés habitual que utilitza un primer factor d’autenticació, quelcom que es coneix. Un cop fet aquest pri-mer pas, el sistema d’autenticació, a través de la xarxa envia un SMS o una notificació automàtica (Internet-push) a l'aplicació del telèfon de l’usuari (prèviament registrat).

A partir d’aquí, hi ha diferents opcions; l’smartphone pot mostrar un missatge del banc amb què es demana a l’usuari que confirmi que vol accedir al servei de banca electrònica, o bé s’entrega a l'usua-

1.9.2. L'smartphone com a dispositiu d'autenticació

ri una contrasenya d'un sol ús (One Time Password, OTP) que ha d’introduir (a la tablet) com a clau d'accés secundària per accedir al servei de banca electrònica.

Es poden definir variants del procés, però essencialment totes es basen en l'existència d'una entitat de verificació que posseeix les dades de l'usuari i del seu número de telèfon. Aquestes dades d’identitat combinades es vinculen unívocament en un procés de registre rigorós.

En aquest cas el telèfon actua com un segon factor d'autenticació, quelcom que es posseeix, i es fa a través d’un dispositiu diferent de l'emprat per accedir al servei de banca electrònica. El canal de verificació és diferent del canal per accedir al servei, i aquesta dife-renciació del canal (out of band) és una bona manera de protegir-se de certs atacs, com el phishing o suplantació de la identitat.

Tots els telèfons mòbils són capaços d'implementar un servei OTP —mitjançant un SMS o una notificació automàtica d’una App prèvia-ment instal·lada—, convertint aquesta opció en una de les més ac-cessibles i d'abast més ampli per als ciutadans i les organitzacions.

En Bob presenta les seves credencials per registrar-se al servei de banca online i poder

accedir-hi.

En Bob s’ha d’autenticar. El proveïdor del servei utilitza

un segon factor d’autenticació enviant un missatge OTP (One

Time Password) a en Bob.

Després d’autenticar-se, en Bob accedeix al seu compte.

En Bob ha perdut el seu dispositiu mòbil i per tant la manera d’autenticar-se.

Demana que es revoqui el seu telèfon.

1. Registre 3. Autorització2. Autenticació 4. Revocació

Cicle de vida de la identitat

24

1.IDE

NT

ITA

T

Figura 13: En aquest cas d'ús, el telèfon mòbil és utilitzat per allotjar un certificat digital personal que és necessari per signar documents en diferents processos.

Tornant a l’entorn corporatiu, es detalla el cas d’una organització que emmagatzema les credencials dels seus empleats en l’element segur del dispositiu i, addicionalment, incorpora un certificat digital únic per a cadascun d’ells. Aquest certificat és necessari per signar documents (per exemple: contractes, projectes, pressupostos...) associats a diferents processos interns de la companyia.

A més, a l’smartphone de l’empleat s’hi instal·la una App per gestio-nar la comunicació entre l’smartphone i el sistema central de regis-tre d’empleats de la corporació.

El procediment perquè l’empleat accedeixi als serveis online corpo-ratius contempla diferents passos.

· L’empleat introdueix el seu usuari i contrasenya.

· La corporació inicia un diàleg amb l’App instal·lada a l’smartphone de l’empleat.

1.9.3. L'smartphone com el contenidor de la identitat

· L’empleat confirma a través de l’smartphone que vol accedir al servei online corporatiu.

· Un cop ha accedit al servei, i d’acord amb el seu rol i la seva res-ponsabilitat, necessita aprovar o signar diferents documents; per exemple, com a director del Departament d’Enginyeria, ha de sig-nar un projecte tècnic.

· L’empleat, que accedeix al servei a través d'un ordinador amb un lector NFC, aproxima l’smartphone al lector per recuperar el seu certificat personal de l’element segur del mòbil i signar el document.

En Bob presenta les seves credencials per registrar-se al servei corporatiu. Les seves

credencials i el seu certificat es carreguen al dispositiu mòbil.

En Bob introdueix usuari i contrasenya i el sistema

corporatiu es comunica amb l’App del mòbil per confirmar

l’OK d’en Bob.

El mòbil, a través d’un lector NFC, informa al PC del

certificat per poder signar els documents.

Si el dispositiu mòbil es perd, en Bob informa perquè les

seves credencials es revoquin i no es pugui fer un ús

fraudulent.

1. Registre 3. Autorització2. Autenticació 4. Revocació

Cicle de vida de la identitat

25

1.IDE

NT

ITA

T

Fins a aquest punt, el lector coneix el potencial i l'ampli abast de les diferents solucions d’identitat mòbil. Els serveis d’identitat mò-bil ofereixen comoditat a l’usuari per accedir d'una forma segura i privada a serveis online i offline.

1.10. Reptes globals de la identitat mòbil

En relació amb les transaccions que tenen lloc en el món físic, els usuaris han adoptat i s’han familiaritzat amb l’ús de les smartcards en la seva vida quotidiana: pagaments a través de terminals en el punt de venda, accés segur a edificis corporatius i oficines, accés al transport públic com s'ha vist al capítol 1.4, l'smartphone, emprat com una cartera virtual, és el contenidor perfecte per a tot tipus de targetes intel·ligents immaterials.

Perquè l'smartphone pugui fer les funcions d’una targeta intel·li-gent, són necessàries dues condicions:

1. Disposar de la funcionalitat NFC. Els principals fabricants de mò-bils ja han incorporat aquesta tecnologia als seus dispositius i que, durant els pròxims anys, s'espera que més del 70% dels smartpho-nes la incorporin.

2. L’existència d’un espai o un contenidor segur a l’smartphone per allotjar-hi les credencials sensibles per fer les transaccions; és l'element segur del dispositiu.

Un procés clau en la gestió de la identitat mòbil és el registre. Per al gestor del servei d’identitat, el registre pot ser car i a la vega-da, per a l’usuari, pot resultar farragós, especialment quan es re-quereix un nivell alt de seguretat. Per a molts serveis online, és més senzill optar per processos d’autoregistre, si no es disposa de punts físics d’atenció des d'on dur a terme un procés de verificació més estricte.

La manca de consciència dels usuaris sobre la importància de crear claus d’accés sòlides i robustes, fet que es veu agreujat en proces-sos d'autoregistre, i el gran volum de serveis online que demanen un nom d’usuari i contrasenya fan que l’usuari reutilitzi les mateixes combinacions en molts serveis diferents, facilitant que els cibercri-minals hi puguin accedir.

En aquest context, quan el nivell de seguretat ho requereix, té sentit l'existència d'un organisme a l'hora de garantir un procés sòlid i robust de registre, i d'oferir el servei d'identitat als proveïdors de serveis. Aquesta funció es podria prestar des dels governs, així com des d'altres entitats, a través de models d'identitat federada.

L’element segur pot ser la SIM de l’operador de xarxa mòbil (Mo-bile Network Operator, MNO), un microcontrolador de seguretat instal·lat en el mateix hardware del dispositiu (eSE) o una targeta SD externa. La indústria també ha plantejat l’opció d’allotjar aques-tes credencials al núvol, tal com proposa la tecnologia Host Card Emulation (HCE).

En aquesta línia, el mercat ha de superar els diferents posiciona-ments sectorials: els operadors de la xarxa mòbil (MNO), els fabri-cants dels terminals (Original Equipment Manufacturer, OEM) i els proveïdors de serveis, com els bancs o les autoritats del transport, cadascun d'ells amb interessos i motivacions diferents.

El repte és superar els debats tècnics i comercials, i orientar-se a aconseguir solucions que fomentin l’adopció massiva de serveis segurs per al dispositiu mòbil. Per això, avui cal proposar models senzills i viables econòmicament que garanteixin els nivells de se-guretat requerits en cada cas.

Els models d'identitat federada no són un concepte nou; s'usen habitualment en xarxes socials i altres recursos, quan un proveïdor de serveis, per autenticar els seus usuaris, estableix una relació de confiança amb un altre proveïdor i utilitza el seu procés d’au-tenticació per als usuaris que comparteixen; per exemple, quan s’accedeix a Spotify utilitzant les credencials de Facebook. És un nou mercat emergent per als serveis relacionats amb la prestació d'identitats segures.

Usar l’smartphone com a targeta intel·ligent

Facilitar el procés de registre de la identitat mòbil

A mesura que creixi l’adopció massiva del servei d’identitat mòbil i s’incrementi l’oferta de serveis online i offline, caldrà afrontar reptes associats a la implementació d'aquest servei.

26

1.IDE

NT

ITA

T

Com a norma general, es parla d’èxit en el llançament d’un nou producte o servei quan el nivell d’acceptació i ús que en fan els usuaris és alt.

En el cas d’un servei d’identitat mòbil, el nivell d’adopció per part dels usuaris també és un indicador per mesurar-ne l’èxit, però aquest èxit depèn en gran mesura de l’atractiu del servei final al qual s’accedeix a través del servei d’identitat mòbil.

En l'àmbit privat, són molts els casos d’èxit de serveis i aplicacions mòbils utilitzats massivament: WhatsApp, Candy Crush o Twitter, entre d'altres. Aplicacions o solucions mòbils per comunicar-se i entretenir-se solen aconseguir un nombre significatiu d’usuaris.

En el món dels serveis públics per al ciutadà, i des de la perspectiva de les administracions públiques, el debat se centra a trobar el ser-vei i determinar la millor implementació per aconseguir un nombre significatiu d’usuaris.

La pregunta que cal fer-se és, per què un ciutadà es plantejaria l’ús del telèfon mòbil com un instrument per a la gestió de la seva iden-titat, en la seva relació amb l’administració? El repte i el debat al voltant d’aquesta pregunta és ampli.

Aquest debat porta a la paradoxa del cercle viciós, els proveïdors de serveis no llancen nous productes o serveis al mercat fins a comptar amb una massa crítica d’usuaris i, d'altra banda, els usua-ris no utilitzen serveis d’identitat mòbil si no hi ha serveis atractius disponibles en el mercat.

Tot i així, si existeixen serveis atractius i, a més, gràcies a l’ús del dispositiu mòbil es genera un estalvi de temps, recursos i sobretot es millora substancialment l’experiència de l’usuari, s'aconseguirà l’adopció massiva per part de la ciutadania. Un àmbit propici per començar és el que ateny a la mobilitat del ciutadà, i en concret el servei de transport públic.

Desenvolupar serveis atractius

«L'ecosistema dels dispositius mòbils és cada cop més variat i heterogeni: de totes maneres, és d'esperar que la diversitat de plataformes i funcionalitats es normalitzi.»

27

1.IDE

NT

ITA

T

L’estandardització de la identitat digital i mòbil no té el nivell de maduresa de l’estandardització de la identitat en el món físic, en què els organismes de normalització, com l'Organització Inter-nacional de Normalització (International Standard Organization, ISO) han fet un gran esforç per especificar les normes per a l'expe-dició de documents d'identitat.

En el món digital, hi ha alguna iniciativa rellevant i amb èxit en l’establiment d’estàndards dins de la indústria dels pagaments com Europay, Mastercard and Visa (EMVco), i Global Platform. Amb tot, no són suficients encara per al desplegament de serveis d’identitat mòbil.

L'ecosistema dels dispositius mòbils és cada cop més variat i he-terogeni: tot i que la revolució dels telèfons intel·ligents ha pro-porcionat certa homogeneïtat, segueix existint un volum molt important de dispositius amb funcionalitats diferents. Es tracta d'una situació inherent a la indústria dels dispositius mòbils i de l’electrònica de consum.

Una especificació aplicable a iniciatives d’identitat digital i mòbil és OpenID Connect. Aquesta especificació compta amb el su-port dels principals agents d’Internet i dels operadors de telefo-nia mòbil (MNO). Tots ells recomanen i utilitzen OpenID Connect en els seus serveis d’identitat mòbil. Un altre avantatge d’utilitzar OpenID Connect és la interoperabilitat amb altres especificacions ja en funcionament, com les de l’ETSI (European Telecommunica-tion Standards Institute), quelcom que evita l’esforç d’integració amb serveis ja existents.

Sembla raonable que en un futur proper s'avanci en l’estandardit-zació i la definició d’especificacions per als serveis d’identitat mòbil, atesa la creixent demanda d'aquests serveis.

Tot i això, a causa de l'adopció massiva d'aquests dispositius, és d'esperar que la diversitat de plataformes i funcionalitats es nor-malitzi, un fet que reduiria les moltes combinacions existents i faria factible implementar solucions d'identitat mòbil més homogènies, contribuint així a la seva adopció massiva.

Establir estàndards i especificacions

Compatibilitzar plataformes i dispositius

Els beneficis i els avantatges que representa l'ús del telèfon mòbil com a dispositiu per acreditar la identitat són indiscutibles. Però només algunes solucions d’identitat mòbil, d'entre totes les possi-bles, s’estan impulsant actualment.

L'ús del telèfon mòbil com un dispositiu d'autenticació per realitzar accessos online i operacions segures és una pràctica creixent, espe-cialment quan la seguretat és una qüestió crítica; per exemple, en les transaccions bancàries online. Totes les solucions que hi ha avui al mercat són propietàries.

En el cas dels bancs, el model de negoci és força clar: confiança i seguretat són aspectes clau en els serveis que presten, i aquests serveis online els ajuden a diferenciar-se de la competència.

Però, què succeeix amb molts altres serveis privats online en què un robust procés de registre no és viable econòmicament? O, pitjor encara, quan no tenen la possibilitat de contactar físicament amb el seu client?

En el cas de serveis públics online, el retorn és proporcional a la satisfacció del ciutadà, al nivell d’informació, a la comunicació que s’estableix amb el ciutadà i, sobretot, a la reducció dels recursos destinats als serveis d'atenció presencial.

L'existència de diferents administracions i serveis, sovint indepen-dents i a vegades sense una estratègia compartida, pot complicar l'adopció d'un model únic d'identitat mòbil. Si cada institució pro-posa serveis propis, orientats només a satisfer les seves necessitats, hi haurà fragmentació, poca eficiència i, per al ciutadà, l'escenari creat serà incòmode.

Trobar el model de negoci

28

1.IDE

NT

ITA

T

Els governs i els reguladors d’arreu estan avançant en el marc on desenvolupar el serveis d’identitat mòbil.

S’espera que algunes iniciatives en marxa tinguin un impacte a nivell global:

Regulation on Electronic Identification and Trust Services for Elec-tronic Transactions in the Internal Market, eIDAS (EU) – Llançada al setembre de 2014, la regulació és aplicable a tots els països de la Unió Europea. És el primer cop que la Unió Europea intenta regu-lar el procés d'identitat digital.

La regulació persegueix dos objectius bàsics:

1. Garantir un reconeixement mutu i acceptació de la identificació electrònica entre fronteres dels països de la Unió Europea.

2. Dotar d’efectes legals i reconèixer mútuament serveis de con-fiança, incloent la millora de les lleis actuals sobre signatura digital en substitució de la Directiva de signatura electrònica 93/1999/EC (e-Signature Directive 93/1999/EC), que ha estat en vigor des de l’any 1999, i alhora proporcionant el marc legal per altres serveis de confiança com e-Seals, segellat de temps, registre d’entrega elec-trònica (e-Delivery) i autenticació de llocs web.

La Regulació eIDAS permet l’ús de la identificació electrònica i ser-veis de confiança per part de ciutadans, negocis i administració pú-blica per accedir a serveis online o gestionar transaccions electrò-niques en altres estats membres de la UE. En aquest sentit, eIDAS resoldrà una sèrie de qüestions tant del sector públic com del sector privat al voltant de la identitat. Aquestes qüestions inclouen l’actual manca de reconeixement legal de les identitats electròniques nacio-nals a tota la Unió Europea, així com la manca de seguretat jurídica en el reconeixement dels serveis de confiança transfronterers.

Així, la Regulació eIDAS crea un mercat intern Europeu pels serveis electrònics de confiança, aportant els següents beneficis principals:

· Les empreses es beneficiaran de menys burocràcia - els guanys poden ser molt considerables i donar lloc a una reducció significa-tiva de les despeses generals.

· Els ciutadans podran realitzar transaccions electròniques trans-frontereres segures i treure el màxim profit dels seus drets a tota la UE, des de la inscripció a una universitat estrangera fins a l'accés als registres electrònics de salut.

· Les persones que es desplacen a un altre Estat membre seran ca-paços de gestionar el registre i la resta de gestions administratives pel canal online, eliminant els tràmits en paper.

A la pràctica, la regulació crea un cercle de confiança entre tots els estats membre de la Unió Europea.

Identity Assurance Programme, IDAP (Regne Unit) – desenvolupa un nou servei d'identitat orientat a l'usuari que oferirà a la ciutada-nia una manera segura i accessible de signar documents en serveis governamentals. (Veure el cas d'estudi del Regne Unit, al capítol 2).

Altres països també estan desenvolupant marcs legals i normatius, com és el cas de USA, d'Austràlia, Nova Zelanda, l'Índia, Bangla-desh i els Emirats Àrabs Units, entre d'altres.

«S’espera que algunes iniciatives en marxa provoquin un impacte sobre els requeriments legals i de regulació dels serveis de govern electrònic.»

Avançar el marc legal i regulatori

29

1.IDE

NT

ITA

T

30

1.IDE

NT

ITA

T

Aquest estudi és testimoni del creixent canvi sociològic i paradig-màtic que afecta la manera com les persones interaccionen entre elles i amb l’entorn. L'imparable augment en l'ús de tablets i telè-fons mòbils intel·ligents, està transformant la ciutadania en consu-midors hiperconnectats.

Els consumidors esperen estar permanentment en contacte i contínuament informats, tant si són a casa com en itinerància, gràcies al seu dispositiu més personal: el telèfon mòbil. Evidentment, la hiperconnectivitat va acompanyada del desplegament massiu de serveis d'Internet, públics o privats, i l'smartphone també és el dispositiu de connexió protagonista i preferit.

Des del punt de vista del govern, és fonamental invertir temps i esforços a entendre com aquests canvis poden tenir un efecte positiu en les relacions entre la ciutadania i els serveis públics, tal com la gent espera trobar, en els serveis privats, més eficiència i una millora del seu nivell de vida.

Existeix un gran nombre de serveis d'Internet, i això és positiu; però encara hi ha algunes limitacions especialment relacionades amb la seguretat, la privacitat i la protecció quan s’utilitzen aquests serveis.

1.11. ConclusionsCal trobar una manera més adient de proveir una protecció de la privacitat i seguretat quan s'accedeix a serveis online, i aquí és on entra en escena, novament, el telèfon mòbil. Aquest dispositiu electrònic sofisticat que sempre acompanya la persona, com si en fos gairebé una extensió més, proporciona moltes opcions a l'hora d'abordar aquestes qüestions d'una manera efectiva: com un dispositiu d'autenticació per a tota mena d'accessos lògics a serveis, a més de millorar la comunicació i les interaccions.

D'altra banda, el telèfon mòbil també es pot convertir en un con-tenidor de credencials físiques d'accés i tokens, normalment en forma de targetes smart, actuant en el món físic com un dispositiu d'autenticació.

Com s'ha vist, és possible trobar diferents models de solucions als reptes plantejats, tot i que no cal desenvolupar-los ni solucionar-los tots a la vegada. Aquesta situació es repeteix cada vegada que s’adopten nous models i noves tecnologies.

Segons l’opinió dels experts responsables d'aquest estudi, la decisió més important que cal prendre és començar. Cal identificar els primers àmbits on poder realitzar accions concretes que aportin beneficis tangibles i, sobretot, que augmentin el nivell de confiança i satisfacció dels consumidors.

«L’objectiu principal és garantir que un individu és qui diu ser per autoritzar que accedeixi a un recurs protegit o reservat.»

Turquia

Noruega

Regne Unit

Suïssa

Finlàndia

Estònia

32

2. R

EF

ER

EN

TS

EU

RO

PE

US

2. Referents europeus

Les pàgines següents presenten l’estudi dels cinc països més rellevants a Europa pel que fa a la implementació de serveis d'identitat mòbil. S’ana-litza, en cada cas, el context que ha propiciat el sorgiment i la consolidació de serveis mòbils relacionats amb la identitat digital. Els països analitzats són Estònia, Finlàndia, Noruega, Turquia i Suïssa. Un darrer apartat del capítol tractarà el cas del Regne Unit, país que ha esdevingut exemple en el desplegament d'un projecte pilot de serveis d'identitat mòbil.

2.1.estònia 2.2.finlàndia 2.3.noruega 2.4.turquia 2.5.suïssa 2.6.regne unit

. Visió general

. Antecedents del servei d’identitat mòbil

. Descripció del servei d'identitat mòbil

. Oferta de serveis

. Procés de subscripció / registre

33

2. R

EF

ER

EN

TS

EU

RO

PE

US

2.1.Estònia

45.230CAPITAL

TERRITORI

Tallinn

POBLACIÓ PIB (en US $) MILERS DE MILIONS

PIB (Nominal) RÀNQUINGIDIOMA

OTAN, UE – Eurozona, OCDE

Llars amb accés a Internet83%

52%Són fetes electrònicament92%

PENETRACIÓ D’INTERNET

PENETRACIÓ D'SMARTPHONESTRANSACCIONS BANCÀRIES

Fonts: e-estonia.com, uudised.err.ee, world bank, statista

MEMBRE DE

24,88Milions1,318

Estonià

Un referent mundial

33

2. R

EF

ER

EN

TS

EU

RO

PE

US

/ es

tÒ

nia 102 è

Km2

34

2. R

EF

ER

EN

TS

EU

RO

PE

US

2.1.1. Visió general

Estònia és una república democràtica parlamentària. La seva capital, Tallinn, és també la ciutat més gran del país. Amb 1,3 milions d'habitants, esdevé un dels estats membre menys poblats de la Unió Europea, la zona euro i l'Organit-zació del Tractat de l'Atlàntic Nord (OTAN) —també pertany a l'espai Schengen, i és membre de l'Organització per a la Cooperació i el Desenvolupament Econòmic (OCDE). Estònia és un país desenvolupat, amb una economia avançada i un nivell d'ingressos alt. Ocupa un lloc destacat en l'Índex de Desenvolupament Humà (IDH), i els seus nivells de llibertat econòmica, llibertats civils, educació i llibertat de premsa (obtingué el tercer lloc mundial el 2012) gaudeixen d'un gran reconeixement internacional. Estònia és descrita sovint com una de les nacions més connectades d'Europa, ostentant el 15è lloc en l'e-Government Readiness Index —l'Índex de Preparació per al Govern Electrònic elaborat per l'Organització de les Nacions Unides (ONU).

2.1.2. Antecedents del servei d’identitat mòbil

Des del 2002, Estònia ha equipat amb xips els documents nacionals d'identitat de la seva ciutadania i els documents de les persones amb residència permanent al país. Aquestes targetes han estat inte-grades en una infraestructura de clau pública (Public Key Infrastructure, PKI) i han esdevingut un motiu més perquè avui Estònia sigui reconeguda com una de les societats digitalment més avançades del planeta. Els ciutadans d'Estònia poden accedir a un ampli ventall de serveis i realitzar tràmits en línia o des dels seus dispositius mòbils com accedir als seus historials de salut, pagar impostos o signar contractes legals. Estònia també compta amb un dels sistemes de signatura digital més avançats del món, amb un índex d'operacions diàries que supera les 80.000 signatures. El 92% de les transaccions bancàries del país es realitzen per via electrònica i, el 2012, prop del 94% de la població ja declarava els seus ingressos electrònicament. A més, el 2011 es va convertir en el primer país del món on es va poder votar a través del mòbil —un 3% del total de l'escrutini en les eleccions al parlament nacional es va recollir per aquesta via.

El servei d’identitat mòbil, o ID-Mòbil (Mobiil-ID en estonià) es va començar a implementar l'any 2007 com una extensió del sistema d'identificació digital gràcies a la qual, actualment, la ciutadania pot acce-dir a dades i informació personal, i autenticar-se amb seguretat per realitzar tota mena de tràmits online emprant la tecnologia basada en infraestructura de clau pública amb el seu document d'identitat. Avui, la ID-Mòbil pot ser usada per operar amb més de 300 organitzacions de l'àmbit públic i privat; des de transaccions bancàries fins a sol·licituds de llicències de conduir, demanar l'accés a graus universitaris o modificar plans de subsidi, tot es pot fer a través de la funció de signatura electrònica que incorporen els dispositius mòbils la qual legalment equival a una signatura manual. Segons e-Estonia.com, els usuaris del servei ID-Mòbil poden registrar legalment una nova empresa en només 15 minuts.

2.1.3. Descripció del servei d'identitat mòbil

La imatge següent destaca les principals característiques i les dades bàsiques del servei d'identitat mòbil a Estònia: els requisits d'adscripció al servei per als ciutadans que en vulguin fer ús, les entitats involucrades en la prestació del servei (proveïdors de serveis i gestors d'identitat), i dades rellevants relacionades amb alguns dels seus aspectes més remarcables.

/ es

tÒ

nia

35

2. R

EF

ER

EN

TS

EU

RO

PE

US

Tenir vigents la targetad'identificació o el

passaportEstonians

1 2 3

Contracte amb un operador mòbil

(EMT, Elisa, Tele2)

requeriments del ciutadà

ecosistema

model de negoci

L'usuari final paga 10 euros a l'operador mòbil per la substitució de la targeta SIM i el lliurament del certificat d'identitat. Addicionalment es paga una quota mensual d'entre 95 cèntims i 1 euro. En alguns casos, el servei ID-Mòbil s'ofereix gratuïtament com incentiu; en d'altres, l'operador carrega el cost d’expedir els certificats d'identitat al Govern. Per exemple, des del 2012, l'operador mòbil EMT ha estat oferint gratuïtament als seus clients el servei ID-Mòbil. Per part dels operadors, el servei d’ID-Mòbil no és vist com una font important d'ingressos, sinó que es considera un mitjà per a la innovació en serveis en l'àmbit de la Mobiil-ID.

2.1.4. Oferta de serveis

La cartera de serveis vinculada a l'ús i la gestió de la identitat mòbil a Estònia inclou una llarga i àmplia llista de prestacions de tota mena, amb un gran ventall de proveïdors de serveis. Encara que els serveis electrònics governamentals siguin els que hi tenen més presència, la cartera Mobiil-ID també inclou la possibilitat de realitzar compres online, accedir als serveis de salut i, fins i tot, abonar els rebuts dels subministraments. El següent quadre resumeix els principals serveis disponibles.

proveïdors de serveis, públics i privats

/ es

tÒ

nia

Govern Operadors Mòbils

Govern Universitats

Agència de salut Oficina de tributs

Bancs

Empreses de serveis públics

Bancs

agents clau del servei, públics i privats

Any de llançament

Tecnologia

36

2. R

EF

ER

EN

TS

EU

RO

PE

US

serveis

control d'accés

Accés i processament de dades i documents de béns immobles

Accés a comptes d'estudiants, qualificacions, informació de classes a la Universitat de Tallinn

Accés a informació personal de l'Agència Estatal de Sistema d'Informació: assegurança de salut, assistència de discapacitat, beneficis i ajuda escolar, qualificacions educatives, sol·licituds per participar a esdeveniments públics

signatura legal

Sol·licitar un préstec personal

Registrar un vehicle de motor a l'Administració de Carreteres

Registrar una nova empresa

Complimentació de casos judicials, l'accés i control dels procediments judicials en els processos civils, administratius, penals i delictes menors amb el Centre de Registres i Sistemes d'Informació

Sol·licitar i supervisar les pensions personals i corporatives

Votar a les eleccions nacionals

Presentar declaracions d'impostos electrònicament (impost sobre la renda, impostos municipals locals, impostos de negocis i propietats) a l’Oficina Nacional d’impostos i la Junta de Duanes

transaccions financeres

Compra de bitllets en línia per a viatges de tren, esdeveniments esportius, museus, zoològic, drets de pesca esportiva, etc

Pagament de factures d’aigua, electricitat i gas, control del consum i canvi d’informació de contractes amb empreses de serveis públics

Compra i administració d'assegurances per a la llar, motor, accidents, viatges i per animals de companyia

/ es

tÒ

nia

37

2. R

EF

ER

EN

TS

EU

RO

PE

US

2.1.5. Procés de subscripció / registre

Per poder accedir al servei Mobiil-ID, l'usuari l'ha de demanar, primer, a l'operador mòbil i signar un contracte Mobiil-ID. Aquest acord es pot rubricar a les oficines d’atenció dels operadors de xarxes mòbils (MNO) presentant un document nacional d'identitat en vigor (preferentment), o un passaport, també, amb validesa. Per usar el servei Mobiil-ID, l'operador ha de facilitar a l'usuari una targeta SIM que suporti el servei, permetent-li conservar el número de telèfon i l'accés a la resta de serveis que gaudia anteriorment.

Abans de començar a utilitzar el servei Mobiil-ID, l'usuari l'ha d'activar a la pàgina web de la policia i la guàrdia fronterera després d'haver signat el contracte amb l'operador —alguns operadors també ofereixen la possibilitat d'activar el servei a les seves oficines. Per activar-lo es necessita un document d'identitat vàlid o una credencial digital d'identitat, un lector de targetes i un ordinador amb connexió a Internet. Després d'activar-la, ja es pot utilitzar la Mobiil-ID.

La imatge següent descriu el procés que ha de seguir l'usuari per subscriure's al servei.

/ es

tÒ

nia

El ciutadà demana la subscripció al servei ID-Mòbil

El ciutadà s’acredita a l’oficina de l’operador (és necessari el DNI /

passaport)

L’operador emet la identitat al dispositiu mòbil

El ciutadà pot usar el servei ID-Mòbil

subscripció

proveïdor de serveis gestor d’identitats

inici

fi

Assegurament de la Identitat

Petició

Emissió

Activació

Ús

Banc(il·lustratiu) Operador

Administració Pública (Policia)

El ciutadà demana l’activació del servei a la policia (és necessari el

DNI / passaport)

38

2. R

EF

ER

EN

TS

EU

RO

PE

US

«Estònia té l’oferta mès àmplia de serveis

utilitzant identitat mòbil.»

/ es

tÒ

nia

39

2. R

EF

ER

EN

TS

EU

RO

PE

US

338.420TERRITORI

Km2

2.2.FINLÀNDIAInteroperabilitat entre operadors

POBLACIÓ

IDIOMA

Finès, Suec

Milions5,439

60%PENETRACIÓ D'SMARTPHONES

MEMBRE DE

PIB (en US $) MILERS DE MILIONS

PIB (Nominal) RÀNQUING

267,3

OTAN, UE-Eurozona, OCDE

Llars amb accés a Internet80%

PENETRACIÓ D’INTERNET

42è

Fonts: stat.fi, world bank, statista

39

2. R

EF

ER

EN

TS

EU

RO

PE

US

/ FIN

LÀ

ND

IA

CAPITAL

Helsinki

40

2. R

EF

ER

EN

TS

EU

RO

PE

US

2.2.1. Visió general

Finlàndia —oficialment, República de Finlàndia —és una de-mocràcia parlamentària amb una població —90% de la qual és finesa, i parla finès— de prop de 5,5 milions d'habitants, la majoria dels quals es concentren a les regions del sud. En termes de superfície, és el vuitè país més gran d'Europa i l'estat membre de la Unió Europea que té la població més dispersada pel seu territori.Finlàndia ocupa el segon lloc, després dels Estats Units, en el rànquing de l'informe Benchmarking IT Industry Competitiveness, publicat el setembre del 2011 per Economist Intelligence Unit i elaborat amb sis indicadors clau: context general de negoci, infraestructura tecnològica, capital humà, marc legal, suport públic al desenvolupament de la indústria, i context d'investigació i desenvolupament.

2.2.2. Antecedents del servei d’identitat mòbil

Finlàndia és un mercat on els operadors de telefonia mòbil van copsar relativament aviat la importància de la identitat i, en aquest sentit han estat treballant coordinadament per oferir un servei d'identitat mòbil que permeti als usuaris autenticar-se d'una manera efectiva i segura a través d'un ampli ventall de serveis. Finlàndia posseeix un mercat avançat, la implantació del sector de la telefonia mòbil ha fet que la població gaudeixi d'uns dels índex més alts del món —més del 90% posseeix un dispositiu mòbil dels quals, el 60% són smartphones) i, de mitjana, cada client disposa de dues targetes SIM.

A Finlàndia, més del 90% dels habitants ja disposa de connexió a Internet. Els tres principals operadors de telefonia mòbil (TeliaSonera, DNA i Elisa) ofereixen Mobiilivarmenne (ID-Mòbil, en finès), un servei d'identitat mòbil que disposa d'una plataforma compartida per autenticar els usuaris de terceres parts proveïdores de serveis, independentment de l'operador de xarxa al qual pertanyin.

D'una manera excepcional, els tres grans operadors finesos han arribat a un acord pel qual s'accepten les identitats creades per altres, permetent que circulin sense cap dificultat a través de la seva xarxa i gaudeixin dels acords signats entre els operadors i les terceres parts proveïdores de serveis.

/ FIN

LÀ

ND

IA

41

2. R

EF

ER

EN

TS

EU

RO

PE

US

/ FIN

LÀ

ND

IA

Any de llançament

Tecnologia

És necessari tenir vigent la targeta d’identificació, la llicència de conducció

o el passaport

Finlandesos i residents

1 2 3

Contracte amb un operador mòbil

agents clau del servei, públics i privats

ecosistema

model de negoci

El model de negoci del servei d'identitat mòbil a Finlàndia està clarament dirigit als proveïdors de serveis. El proveïdor de serveis signa un acord amb un únic operador, en virtut del qual es deriven l'estructura de pagaments i la generació d'ingressos. Els tres grans operadors competeixen amb els paquets de preus que ofereixen als proveïdors de serveis, mentre s'ofereixen gratuïtament les prestacions d'ID-Mòbil als consumidors.

proveïdors de serveis, públics i privats

Operadors Mòbils

Govern Oficina de policia

Botigues online Oficina de tributs

Botigues

Asseguradores Agència de salut

Bancs

2.2.3. Descripció del servei d'identitat mòbil

La imatge següent destaca les principals característiques i les dades bàsiques del servei d'identitat mòbil a Finlàndia: els requisits d'adscripció al servei per als ciutadans que en vulguin fer ús, les entitats involucrades en la prestació del servei (proveïdors de serveis i gestors d'identitat), i dades rellevants relacionades amb alguns dels aspectes més remarcables.

Govern

requeriments del ciutadà

42

2. R

EF

ER

EN

TS

EU

RO

PE

US

/ FIN

LÀ

ND

IA

2.2.4. Oferta de serveis

Com succeeix a Estònia, les solucions d'identitat mòbil a Finlàndia ofereixen una cartera de serveis diversificada, orientada a una gran varietat de proveïdors: Govern, entitats bancàries i, fins i tot, oferta de jocs online.

Contractació de serveis financers

Presentació de denúncies a la policia per robatori de bicicletes

Reclamació d’assegurances amb Mobile-ID

Banca online

Serveis de tributació a través de govern electrònic

Utilització de Mobile-ID a botigues online

Accés als serveis socials del govern

Ús dels serveis d’auto-ajuda

Accés als serveis de pensions

Utilització dels serveis nacionals de salut

Gaming

serveis

signatura legal

control d'accés

transaccions financeres

43

2. R

EF

ER

EN

TS

EU

RO

PE

US

2.2.5. Procés de subscripció/registre

Per poder subscriure’s i registrar-se al servei ID-Mòbil, l'usuari s'ha de dirigir a la botiga física d'algun operador, sol·licitar-lo presentant el seu document d'identitat (passaport, llicència de conducció o do-cument nacional d'identitat) i signar un contracte de serveis d'ID-Mòbil. Un cop formalitzat el contracte es facilita una nova targeta SIM PKI al client i es generen els certificats necessaris, els quals seran allotjats a la SIM.

També es disposa d'un mètode de registre alternatiu online que encara és més accessible. L'usuari es pot autenticar en línia emprant una contrasenya OTP facilitada per una entitat bancària. El servei de registre utilitza aquesta informació i accedeix a altres fonts de dades per verificar la identitat de l'usuari abans de facilitar-li les seves credencials.

La imatge següent descriu el procés que ha de seguir l'usuari per subscriure's al servei.

/ FIN

LÀ

ND

IA

El ciutadà demana la subscripció al servei

El ciutadà demana el registre en línia utilitzant credencials

OTP emeses pel banc

El procés de registre utilitza aquesta informació i altres

fonts per verificar la identitat

El ciutadà demana la validació a l’operador (és necessari el

document d'identitat, el passaport o el permís de conduir)

L’operador emet la identitat al dispositiu mòbil

El ciutadà demana l’activació del servei a l’operador

El ciutadà pot usar el servei

subscripció

proveïdor de serveis gestor d’identitats

Banc(il·lustratiu) Operador

Administració Pública (Policia)

fi

iniciiniciPetició

Emissió

Activació

Ús

Assegurament de la Identitat

44

2. R

EF

ER

EN

TS

EU

RO

PE

US

«A Finlàndia l'acord entre els operadors ha estat un dels

factors clau pel llançament del servei d'identitat mòbil.»

/ FIN

LÀ

ND

IA

45

2. R

EF

ER

EN

TS

EU

RO

PE

US

2.3.NorUEGA

385.178TERRITORI

Km2

CAPITAL

Oslo

El lideratge del sector bancari

POBLACIÓ

IDIOMA

67,5%PENETRACIÓ D'SMARTPHONES

MEMBRE DE

PIB (en US $) MILERS DE MILIONS

PIB (Nominal) RÀNQUING

512,6

PENETRACIÓ D’INTERNET

Fonts: ssb.no, world bank, statista

45

2. R

EF

ER

EN

TS

EU

RO

PE

US

/ NO

RU

EG

A

5,08 Milions

Noruec

OTAN, OCDE 93% Llars amb accés a Internet

25è

46

2. R

EF

ER

EN

TS

EU

RO

PE

US

2.3.1. Visió general

Noruega —oficialment, Regne de Noruega— és una monar-quia constitucional escandinava que manté estrets lligams amb la Unió Europea i els seus països membres. És membre fundador de les Nacions Unides, l'OTAN, el Consell d'Euro-pa, el Tractat Antàrtic i el Consell Nòrdic; també és membre de l'Espai Econòmic Europeu, l'OMC i l'OCDE; i és part de la zona Schengen.Noruega gaudeix d’uns indicadors de desenvolupament social que la situen entre les nacions més avançades en l’àmbit europeu (també pel que fa a la implantació de les tecnologies mòbils i Internet). D'una manera especialment destacada, els operadors i les entitats bancàries noruegues gaudeixen d'unes qualificacions que les situen entre les més avançades del planeta: és un bon exemple el fet que el país funcioni gairebé sense diners en efectiu.

2.3.2. Antecedents del servei d’identitat mòbil

El mercat noruec ha estat el primer a fer arribar al públic massiu una solució d'ID-Mòbil d'alta segu-retat. L'èxit d'implantació de la identitat mòbil bancària (servei ID-Bank mòbil) es deu a la primerenca col·laboració entre Telenor i el Den Norske Bank, un exemple seguit per la resta d'operadors i entitats bancàries, i que ha fet créixer ràpidament el volum d'usuaris i serveis.

L'espectacular creixement del servei ID-Bank mòbil rau en l'aposta per unir accessibilitat, seguretat i control per part de l'usuari. Els consumidors han confiat en el procés simplificat d'identificació electrò-nica que els ha permès autenticar-se i accedir a comptes segurs d’un gran ventall de sectors i serveis.

Poc després que la banca electrònica fes les primeres passes, la identitat mòbil es va consolidar ràpida-ment com un element clau per al desenvolupament de la indústria bancària del país, avui més de tres milions d'usuaris de mòbil noruecs poden realitzar totes les seves operacions bancàries a través d'un sòlid sistema d'autenticació mòbil basat en la signatura digital proporcionat pel servei d'identitat mòbil.

Ja existia, abans d'implantar-se aquesta solució mòbil, un sistema facilitat pels bancs noruecs per iden-tificar els usuaris a través d'Internet i proporcionar-los connexions segures d'accés a serveis de banca electrònica: un sistema d'identitat bancària basat en l'ús de codis de seguretat i contrasenyes d'un sol ús. Ateses les dificultats d'accessibilitat i l'escassa eficiència del sistema en relació amb el seu cost, s'implantà el servei d'ID-Bank mòbil per respondre a les necessitats dels consumidors; en només uns mesos el 10% dels usuaris del sistema d'identitat bancària es van passar al servei d'identitat mòbil, el qual ofereix als seus subscriptors canals segurs d'autenticació per accedir a serveis de banca mòbil i online, amb el telèfon mòbil com l'únic dispositiu d'autenticació requerit.

La ID-Bank mòbil representa una solució d'identificació mòbil que relaciona amb un equilibri perfecte els usuaris, les entitats bancàries i els operadors de telefonia mòbil —els quals s'encarreguen de distri-buir la targeta SIM i de mantenir el canal de comunicació SMS. Mitjançant la ID-Bank mòbil, els bancs gestionen tot el procés de registre d'usuaris, d'emissió de certificats digitals i de verificació de signatu-res electròniques. Avui, els cinc principals operadors noruecs (Tele2, TDC, NetCom, Ventelo i Telenor) formen part del programa d'ID-Banca mòbil.

/ NO

RU

EG

A

47

2. R

EF

ER

EN

TS

EU

RO

PE

US

/ NO

RU

EG

A

Titular d’un compte bancari

El Banc posseeix tota la informació necessària per al

registre

1 2 3

Contracte amb un operador mòbil

requeriments del ciutadà

agents clau del servei, públics i privats

ecosistema

proveïdors de serveis, públics i privats

Govern Bancs

Govern BancsBotigues online

Operadors Mòbils

model de negoci

En el cas de Noruega, els proveïdors de serveis han d'elaborar contractes diferents per a cada ope-rador mòbil i cada entitat bancària.

2.3.3. Descripció del servei d'identitat mòbil

La imatge següent destaca les principals característiques i les dades bàsiques del servei d'identitat mòbil a Noruega: els requisits d'adscripció al servei per als ciutadans que en vulguin fer ús, les entitats involucrades en la prestació del servei (proveïdors de serveis i gestors d'identitat), i dades rellevants relacionades amb alguns dels seus aspectes més remarcables.

Any de llançament

Tecnologia

48

2. R

EF

ER

EN

TS

EU

RO

PE

US

2.3.4. Oferta de serveis

A Noruega, les solucions d'ID-Bank mòbil han estat desenvolupades i implementades principalment per les corporacions bancàries, fet pel qual la seva cartera de serveis està fortament orientada a aquesta mena de prestacions, oferint un ampli ventall de serveis de banca electrònica i operacions financeres.

/ NO

RU

EG

A

Licitació de béns immobles

Compra de fons de capital

Utilització de tots els serveis de banca

Serveis de pagament per compres online

Accés als serveis electrònics municipals

Inici de sessió (autenticació i autorització) a portals de banca electrònica

serveis

signatura legal

control d'accés

transaccions financeres

49

2. R

EF

ER

EN

TS

EU

RO

PE

US

2.3.5. Procés de subscripció/registre

A Noruega, el procés de subscripció al servei d'ID-Bank mòbil s’inicia amb la informació que lliura el client quan obre un compte en qualsevol sucursal. Com que el banc ja disposa de tota la informació necessària, l'usuari es pot registrar a través d'un telèfon mòbil sense haver de personar-se a cap sucursal o punt de servei dels diferents operadors de telefonia mòbil. A través de l’organització BankID, els bancs controlen tot el procés de registre d'usuaris i emissió de certificats digitals —l'usuari només cal que es posi en contacte amb la seva entitat i demanar que se'l doni d'alta al servei d'ID-Bank mòbil.

Un cop l'usuari ha estat registrat al servei, l'operador mòbil lliura al client una targeta «SIM ID-Bank mòbil» equipada amb els certificats necessaris i preparada per ser utilitzada en el servei Bank-ID mòbil.

La imatge següent descriu el procés que ha de seguir l'usuari per subscriure's al servei.

/ NO

RU

EG

A

El ciutadà demana la subscripció al servei (via

telèfon)

El banc valida la identital de l’usuari usant les seves dades

L’organització BankID, emet la identitat al dispositiu mòbil

L’organització BankID activa el servei

El ciutadà pot usar el servei

subscripció

proveïdor de serveis gestor d’identitats

Banc(il·lustratiu) Operador Administració

Pública (Policia)

inici

fi

Petició

Emissió

Assegurament de la Identitat

Activació

Ús

50

2. R

EF

ER

EN

TS

EU

RO

PE

US

«A Noruega el compromís del sector bancari ha estat un element

clau per al desenvolupament de serveis d'identitat mòbil.»

/ NO

RU

EG

A

51

2. R

EF

ER

EN

TS

EU

RO

PE

US

TERRITORI

783.560CAPITAL

Ankara

2.4.TURQUIAUn referent en signatura mòbil

POBLACIÓ

IDIOMA

74,93

29,6% 88%PENETRACIÓ D'SMARTPHONES PENETRACIÓ DE TELÈFONS MÒBILS

MEMBRE DE

PIB (en US $) MILERS DE MILIONS

PIB (Nominal) RÀNQUING

822,1

46,3%PENETRACIÓ D’INTERNET

Fonts: tuik.gov.tk, imf, world bank

51

2. R

EF

ER

EN

TS

EU

RO

PE

US

/ TU

RQ

UIA

Milions

Turc

ONU,OTAN,OCDELlars amb accés a Internet

17 è

Km2

52

2. R

EF

ER

EN

TS

EU

RO

PE

US

2.4.1. Visió general

Turquia és una república democràtica i constitucional, amb una herència cultural diversa. La llengua oficial del país és el turc. És membre de l’Organització de les Nacions Unides (ONU), l’Organització del Tractat de l’Atlàntic Nord (OTAN), l’Organització per a la Cooperació i el Desenvolupament Econòmic (OCDE), l’Organització per a la Seguretat i la Coo-peració a Europa (OSCE), l’Organització de la Conferència Islàmica (OCI) i el G-20.

Després de ser un dels primers estats membre del Consell d’Europa, el 1949, Turquia esdevingué mem-bre associat de la Comunitat Econòmica Europea (CEE) el 1963, ingressà a la Unió Duanera de la Unió Europea (EUCU) el 1995, i emprengué negociacions per esdevenir membre de ple dret de la Unió Eu-ropea el 2005. El creixement econòmic de Turquia i les seves gestions diplomàtiques n’han propiciat el reconeixement internacional com a potència regional.

2.4.2. Antecedents del servei d’identitat mòbil

L'any 2007 i per mà de Turkcell —principal operador de telefonia mòbil al país—, Turquia va ser el primer país a implementar un servei de signatura mòbil: MobilImza. Des de llavors el servei ha evolucionat incrementant el nombre de prestacions disponibles i multiplicant per cinc el seu ús per subscriptor. Turkcell és avui un referent per a altres operadors que ofereixen serveis de signatura mòbil similars (com, per exemple, els operadors de telefonia mòbil finesos i estonians).

Per tal de comprendre perquè aquesta tecnologia sorgí i s'implantà amb èxit a Turquia, és important entendre el paper que juga la signatura al país per als ciutadans turcs. Així com en altres països les signatures són necessàries bàsicament per formalitzar contractes, a Turquia es necessita signar per poder realitzar moltes operacions que en altres països no requereixen signatura, per exemple per obrir comptes bancaris, fins i tot amb entitats online es requereix una signatura tradicional.

El motiu que impulsa el servei MobilImza de Turkcell és oferir un sistema remot que permeti realitzar operacions —com signar documents o autenticar usuaris— a través d'un telèfon mòbil, mitjançant una fórmula segura, senzilla, accessible i aprovada legalment, equivalent a una signatura «original» estam-pada sobre una còpia impresa.

/ TU

RQ

UIA

53

2. R

EF

ER

EN

TS

EU

RO

PE

US

/ TU

RQ

UIA

TurcTargeta

d'identificació vigent

1 2 3

Contracte amb l’operador mòbil

(Turkcell)

requeriments del ciutadà

Any de llançament

Tecnologia

2007

model de negoci

En el cas de Turquia, el model de negoci construït entorn del servei d’identitat mòbil té dues aproximacions diferents:· Subscripció mensual: els subscriptors paguen 5 lires al mes (1,81 euros aproximadament) i poden realitzar un nombre il·limitat de signatures.· Preu per signatura: els proveïdors de serveis paguen una petita quantitat per transacció. Les empreses públiques i les institucions educatives n'estan exemptes, per la seva condició de serveis públics. Es preveu que els proveïdors de serveis que facin una promoció activa de la signatura digital també puguin gaudir de l'exempció d'aquesta taxa.

2.4.3. Descripció del servei d'identitat mòbil

La imatge següent destaca les principals característiques i les dades bàsiques del servei d'identitat mòbil a Turquia: els requisits d'adscripció al servei per als ciutadans que en vulguin fer ús, les entitats involucrades en la prestació del servei (proveïdors de serveis i gestors d'identitat), i dades rellevants relacionades amb alguns dels seus aspectes més remarcables.

Govern Universitats

Agència de salut Oficina de tributs

Empreses de serveis públics

Bancs

agents clau del servei, públics i privats

ecosistema

proveïdors de serveis, públics i privats

Operadors Mòbils

Govern

54

2. R

EF

ER

EN

TS

EU

RO

PE

US

2.4.4. Oferta de serveis

A Turquia, la solució d'identitat mòbil, tal com s'ha constatat en les seccions anteriors, va ser dissenya-da per facilitar el procés de signatura legal tan implantat en la vida quotidiana de la ciutadania turca. Per aquest motiu, el servei està bàsicament orientat a oferir una alternativa a la «signatura original», i les prestacions incloses a la cartera de serveis cobreixen la majoria de les necessitats sorgides arran d'aquest paper preponderant de la signatura en la vida turca. Els serveis que requereixen signatura, doncs, són accessibles a través de la solució d'identitat mòbil adoptada per Turquia.

/ TU

RQ

UIA

Sol·licitud online de préstecs

Obertura online d'un compte bancari

Compravenda d'accions a la Borsa d'Istanbul

Licitació online

Sol·licituds de registre de matrimoni

Sol·licituds d'obertura d'una entitat comercial

Sol·licitud de llicències / exàmens / permisos, etc.: Militar, certificat de naixement, canvi de domicili, sol·licitud per a un lloc de treball de l'estat

Signatura de PDF (Portable Document Format) i correu electrònic

Declaració d’impostos locals

Realització de transaccions bancàries de forma segura

Utilització de pagaments electrònics, comerç electrònic, comerç mòbil, pagament mòbil, transferència de diners

Reintegrament en caixers automàtics sense una targeta financera

Accés als portals de govern electrònic

Accés segur pels metges als registres mèdics

Xarxa privada virtual (Virtual Private Network, VPN) d'accés remot segur per a les empreses

serveis

signatura legal

control d'accés

transaccions financeres

55

2. R

EF

ER

EN

TS

EU

RO

PE

US

2.4.5. Procés de subscripció/registre

A Turquia, el procés de subscripció al servei d'identitat mòbil s'inicia quan l'usuari es persona físicament en un centre de Turkcell o en una sucursal bancària, on ha de presentar les seves credencials d'identitat i signar un contracte perquè se li faciliti una targeta SIM compatible amb el servei, lliurada per l’operador de telefonia mòbil. Per tal de validar-ne la identitat, Turkcell o l'entitat bancària compara la credencial presentada per l'usuari amb la base pública de dades. El procés de validació finalitza demanant a l'usuari que respongui algunes preguntes per confirmar-ne definitivament la identitat.

A partir d’aquí, l'usuari ha d'activar el servei. Al seu telèfon mòbil hi apareix una finestra emergent de-manant-li un codi d'activació. Un cop introduït el codi, la signatura mòbil queda activada i el subscriptor serà informat, via SMS, quan la pugui utilitzar.

La imatge següent descriu el procés que ha de seguir l'usuari per subscriure's al servei.

/ TU

RQ

UIA

El ciutadà demana a l’operador la subscripció al

servei

El ciutadà demana al banc la subscripció al servei

El ciutadà demana la validació al banc (control físic + targeta d'identificació i respostes a

preguntes personals)

El ciutadà demana la validació a l’operador (control físic + targeta

d'identificació i respostes a preguntes personals)

L’operador emet la identitat al dispositiu mòbil

El ciutadà demana l'activació del servei

El ciutadà pot usar el servei

subscripció

proveïdor de serveis gestor d’identitats

Banc(il·lustratiu) Operador Administració

Pública (Policia)

inici inici

fi

Petició

Emissió

Assegurament de la Identitat

Activació

Ús

56

2. R

EF

ER

EN

TS

EU

RO

PE

US

«Turquia ha posat èmfasi en la signatura digital, com a proposta clau del servei d’identitat mòbil.»

/ TU

RQ

UIA

57

2. R

EF

ER

EN

TS

EU

RO

PE

US

41.285CAPITAL

TERRITORI

Berna

2.5.SuïssaLa millor experiència per a l'usuari

POBLACIÓ

Milions

IDIOMA

Francès, Italià, Alemany, Romanx

8,088

54%PENETRACIÓ D'SMARTPHONES

MEMBRE DE

PIB (en US $) MILERS DE MILIONS

PIB (Nominal) RÀNQUING

685,4

OTAN, OCDE

Fonts: bfs.admin.ch, world bank

57

2. R

EF

ER

EN

TS

EU

RO

PE

US

/ SU

ÏSS

A 20è

86,7% Llars amb accés a Internet

PENETRACIÓ D’INTERNET

Km2

58

2. R

EF

ER

EN

TS

EU

RO

PE

US

2.5.1. Visió general

Suïssa —oficialment, Confederació Suïssa— és una república federal parlamentària conformada per 26 cantons, les auto-ritats federals de la qual es concentren a Berna.

Segons el grup Credit Suisse, Suïssa posseeix l'índex de riquesa nominal per adult més alt del món, i ocupa el vuitè lloc en el rànquing de països per producte interior brut per capita del FMI. Suïssa també es considera el país més car del món per viure-hi, segons els resultats obtinguts mesurant-ne l'índex del nivell de preus. Els ciutadans suïssos gaudeixen d'una esperança de vida que se situa en el segon lloc més alt de la llista DESA de l'ONU. A més, ha estat considerat el país més capdavanter en competitivitat econòmica i turística, segons l'Informe de Competitivitat Global i l'Informe de Viatges i Competitivitat Turística, ambdós elaborats pel Fòrum Econòmic Mundial. Zuric i Ginebra han estat catalogades entre les ciutats del món amb millor qualitat de vida —segons Mercer, Zuric ocuparia el segon lloc a l'escala. Amb tot, Mercer també les situa en el cinquè i el sisè lloc, respectivament, en el rànquing de les ciutats més cares del planeta.

2.5.2. Antecedents del servei d’identitat mòbil

A principis del 2013, l'operador líder suís, Swisscom, va introduir un servei d’identitat mòbil, una solució d'autenticació sòlida, i un paquet integral de serveis per a empreses, negocis i usuaris particulars.

Des del llançament del servei d'identitat mòbil el 2013, la taxa de creixent d'adopcions se situa prop del 10% al mes. L'aposta decidida de Swisscom per posicionar la identitat mòbil entre el teixit empresarial altament sensible davant dels problemes de seguretat és un exemple important per al sector de les telecomunicacions, ja que adopta i explora nous rols de confiança en el des-envolupament de l'economia digital. Així mateix, l'èxit de Swisscom atraient ràpidament usuaris i clients de terceres empreses revela informació clau sobre la importància del desenvolupament d'un servei d'autenticació segura i de les operacions que es realitzen a través d'aquest servei per integrar-lo com un element fonamental de l’oferta de productes. Aquest fet permet crear un mercat potencial en el qual els operadors mòbils poden tenir un paper central.

La identitat mòbil és un servei d'autenticació segura basat en tecnologia PKI que permet als usua-ris d'aplicacions comercials accedir a comptes, plataformes, aplicacions i serveis d'emmagatze-matge al núvol mitjançant un mecanisme fiable, únic i unificat.

El servei, alhora, simplifica l'experiència de l'usuari i protegeix la identitat de l'individu.

/ SU

ÏSS

A

59

2. R

EF

ER

EN

TS

EU

RO

PE

US

agents clau del servei, públics i privats

ecosistema

proveïdors de serveis, públics i privats

Govern

El model de negoci de la identitat mòbil a Suïssa es basa en una diferenciació del cost del servei per a l'usuari final, en funció de si es tracta d'una companyia o un consumidor particular. En un esquema B2B, el preu de la identitat mòbil per a l'usuari és de 3,70 euros al mes; en canvi, en una relació B2C, el preu se situa en 0,80 euros al mes.

Les empreses que desitgen utilitzar el servei d'identitat mòbil amb els seus empleats pa-guen 1.875 euros per l'activació, l'alta i la prestació del servei (independentment del nombre d'usuaris), més un càrrec fix per la provisió de la interfície, el suport, els acords de nivell de serveis (Service Level Agreements, SLA) i la provisió d’informes, de 1.875 euros anuals.

A les empreses que ofereixen la identitat mòbil als seus propis clients com un servei d'auten-ticació segura, Swisscom els permet establir les seves pròpies tarifes perquè les apliquin als clients.

/ SU

ÏSS

A

Titular d’un compte bancari

El banc posseeix tota la informació necessària per al

registre

1 2

Govern Bancs

Bancs

Operadors Mòbils

model de negoci

requeriments del ciutadà

2.5.3. Descripció del servei d'identitat mòbil

La imatge següent destaca les principals característiques i les dades bàsiques del servei d'identitat mòbil a Suïssa: els requisits d'adscripció al servei per als ciutadans que en vulguin fer ús, les entitats involucrades en la seva prestació (proveïdors de serveis i gestors d'identitat), i dades rellevants relacio-nades amb alguns dels seus aspectes més remarcables.

Any de llançament

Tecnologia

2013

60

2. R

EF

ER

EN

TS

EU

RO

PE

US

2.5.4. Oferta de serveis

Els serveis disponibles per a la solució d'identitat mòbil a Suïssa se centren bàsicament en el control d'accessos. L'objectiu principal de Swisscom era desenvolupar una solució d'autenticació segura, fet pel qual la cartera de serveis d'identitat mòbil està orientada a oferir un nivell addicional de seguretat en els controls d'accés a recursos (públics, corporatius o privats).

/ SU

ÏSS

A

Ús de MobileID al bancs

Inici de sessions per a plataformes B2C i de portals de serveis del govern al ciutadà

Protecció de les transaccions financeres electròniques

Inici de sessió per a portals d'Internet per a la banca, salut, compres, sector públic, educació, etc.

Accés a aplicacions mòbils

Protecció dels serveis en el núvol (per exemple, en models Software As a Service)

Protecció d'accés VPN a xarxes d’empreses

Inici de sessions per a portals B2B i portals d'intranet

Protecció d'aplicacions web i serveis single sign-on

Integració de dispositius mòbils en fluxos de treball de CRM i ERP

Protecció de terminals d’usuari i d'escriptori remot

serveis

control d'accés

transaccions financeres

61

2. R

EF

ER

EN

TS

EU

RO

PE

US

2.5.5. Procés de subscripció/registre

Els clients de Swisscom poden iniciar el procés de registre directament des de la pàgina web de l'ope-rador. Per sol·licitar la ID-Mòbil, el client primer ha de verificar el seu número de telèfon mòbil a la base de dades CRM de Swisscom. Un cop verificades l'adreça i les dades del compte del client, se li envia directament a l'adreça registrada i per correu postal una nova targeta SIM ID-Mòbil.

Quan rep la nova targeta SIM, es demana al client que activi el seu compte. Després d'això, l'usuari ja pot utilitzar el servei d'identitat mòbil.

La imatge següent descriu el procés que ha de seguir l'usuari per subscriure's al servei.

/ SU

ÏSS

A

subscripció

proveïdor de serveis gestor d’identitats

Banc(il·lustratiu) Operador Administració

Pública (Policia)

inici

fi

El ciutadà pot usar el servei

El ciutadà demana la subscripció al servei (web de

Swisscom )

El ciutadà demana la validació a l’operador (a través del número de

mòbil)

L’operador emet la identitat al dispositiu mòbil

(SIM enviada per correu ordinari)

El ciutadà demana l’activació del servei a l’operador

Petició

Emissió

Assegurament de la Identitat

Activació

Ús

62

2. R

EF

ER

EN

TS

EU

RO

PE

US

«Suïssa ha prioritzat en primer lloc l'experiència de l'usuari,

entenent que aquest és un element clau per a l’adopció.»

/ SU

ÏSS

A

243.610

CAPITAL

TERRITORI

Londres

2.6.REGNE UNITPrimer, la privacitat

POBLACIÓ

IDIOMA

Anglès

Milions64,11

80%PENETRACIÓ D'SMARTPHONES

MEMBRE DE

PIB (en US $) MILERS DE MILIONS

PIB (Nominal) RÀNQUING

2.678

PENETRACIÓ D’INTERNET

OTAN, UE, OCDE 89% Llars amb accés a Internet

Fonts: ons.gov.uk, imf, world bank, kantar

63

2. R

EF

ER

EN

TS

EU

RO

PE

US

/ RE

GN

E U

NIT

6è

Km2

64

2. R

EF

ER

EN

TS

EU

RO

PE

US

2.6.1. Visió general

El Regne Unit és actualment la sisena potència econòmica mundial per PIB nominal, amb una economia considerada d'alts ingressos i una posició molt destacada en l'Índex de Desenvolupament Humà. Va ser el primer país industrialit-zat del planeta i la primera potència del món al segle XIX i la primeria al segle XX —i segueix essent, avui, una gran potèn-cia, amb una influència econòmica, cultural, militar, científi-ca i política d'abast internacional.

És un estat membre de la Unió Europea (UE), la Commonwealth, el Consell d'Europa, el G-7, el G-8 i el G-20, l'Organització del Tractat de l'Atlàntic Nord (OTAN), l'Organització per a la Cooperació i el Desenvolupament Econòmic (OCDE) i l'Organització Mundial del Comerç (OMC).

2.6.2. Antecedents del servei d’identitat mòbil

Actualment, al Regne Unit hi ha més dispositius mòbils que no pas habitants: més del 90% dels adults britànics disposen, almenys, d'un smartphone. L'auge dels mòbils ha tingut lloc paral·lelament a la ràpida emergència d'Internet i la digitalització de molts aspectes de la vida quotidiana. Amb l’evolució de la digitalització, la qüestió de la identitat ha esdevingut central. Com ha succeït en altres mercats, la possibilitat de crear, gestionar i usar les identitats digitals per accedir a un ventall de serveis cada cop més ampli, de manera segura per als particulars i els proveïdors de serveis, s’ha convertit en un assumpte cada vegada més important.

Com un pas més en el desenvolupament de l'estratègia de digitalització engegada pel Govern britànic, el 2013 l'Oficina del Gabinet de Govern va contractar cinc empreses —conegudes amb el nom d'IDP, Identity Assurance Providers o proveïdors de serveis d'identificació segura— perquè dissenyessin una oferta de serveis sota el paraigua del programa governamental IDAP (Identity Assurance Programme). Aquests serveis, quan siguin oferts al públic, permetran a cada particular (ciutadà) crear una identitat única i segura amb la qual podran accedir a un ampli ventall de portals governamentals.

Cada vegada més, els telèfons mòbils són el dispositiu predilecte per realitzar operacions digitals. Per aquest motiu, l'Oficina del Gabinet de Govern volia entendre quin podia ser el rol dels operadors a l'hora d’establir confiança en aquestes operacions. Amb aquesta intenció, es va convidar l'Open Iden-tity Exchange (OIX) i l'associació GSMA a treballar amb els quatre principals operadors britànics i les empreses IDP contractades, per tal de dissenyar i desenvolupar solucions que poguessin beneficiar totes les parts implicades, centrant-se en l'ús dels dispositius mòbils com a mitjans per incrementar l'accessibilitat i la seguretat dels usuaris de serveis digitals.

En la imatge següent es mostra un breu resum de les principals característiques de servei del pilot d'identitat mòbil dut a terme al Regne Unit entre un nombre limitat d’usuaris.

/ RE

GN

E U

NIT

65

2. R

EF

ER

EN

TS

EU

RO

PE

US

2.6.3. Descripció de la prova pilot

La Prova | D'una manera experimental, es va dissenyar una prova per avaluar el paper que els dispositius mòbils, les targetes SIM, les xarxes i les dades dels clients que posseeixen els opera-dors podrien tenir en l'ecosistema emergent de la identitat digital—en el context específic definit per l'accés als serveis governamentals online previstos en el programa IDAP. Els operadors van

ser convidats a treballar amb els IDP per dissenyar un prototip de servei que millorés els serveis d'iden-tificació segura desenvolupats pels IDP. Els resultats obtinguts amb la prova alpha van ser tan rellevants com instructius. Treballant sobre les solucions que ja estaven desenvolupant les empreses IDP contrac-tades, els operadors van dissenyar una nova «capa» d'identificació segura, la qual emprava el mòbil com a mitjà per autenticar les identitats dels usuaris, i per facilitar o verificar-ne dades.

La solució | Aquesta nova capa d'identificació segura s'articula al voltant de dues premisses fonamentals: l'aplicació de dades dinàmiques de l'usuari, i la millora de la seguretat. Els IDP disposen d'accés a informació detallada pertanyent als individus, principalment a dades històri-ques com, per exemple, les relacionades amb els historials de crèdit. Els operadors, en canvi,

disposen de dades històriques i, a més, de dades dinàmiques, actualitzades en temps real —des de la localització del telèfon mòbil fins a possibles denúncies de pèrdua o robatori del telèfon. La prova, doncs, estava pensada per saber si les dades que els operadors posseïen sobre els seus clients podien ser útils per millorar els serveis d'identificació segura dels IDP, validant les dades estàtiques dels clients o proporcionant altres dades addicionals i dinàmiques —en ambdós casos, comptant amb el consenti-ment exprés del client.

Gràcies a la utilització de les dades dels clients que posseïen els operadors, es va demostrar que els processos de validació-resposta en les operacions de registre i accés als serveis proporcionats pels

/ RE

GN

E U

NIT

Tecnologia

Assaig en fase alfa Actualment 33 participants

1 2

gestors d’identitat

proveïdors de solucions

Oficina del Gabinet del Govern Britànic

Proveïdors que verifiquen la identitat: Verizon, Experian, oficina de

correus, Mydex, DigID

Organismes de la indústria: OIX, GSMA

Valimo, UnboundID, IMImobile

Operadors Mòbils (EE, O2, 3, Vodafone)

usuaris actuals

ecosistema

66

2. R

EF

ER

EN

TS

EU

RO

PE

US

IDP es podrien millorar utilitzant validacions dinàmiques i a mida. Qüestions com ara «A quin import pujava la teva darrera factura de mòbil?» podrien ser emprades per augmentar les probabilitats que l'usuari realment sigui qui diu ser.

A més, es van perfeccionar les capacitats de la targeta SIM per proporcionar més seguretat. Els IDP van desenvolupar un mecanisme consistent en l'enviament de codis de quatre o sis dígits al mòbil de l'usuari, perquè aquest els introdueixi a l'ordinador o la tablet després de proporcionar el seu nom d'usuari i la seva contrasenya. Al seu torn, els operadors van dissenyar una solució amb la qual el nom d'usuari i la contrasenya són reemplaçats pel número de telèfon (que cal introduir a l'ordinador), i un PIN secret i únic —miPIN—, que ha de ser introduït al mòbil. L'objectiu de la prova no era simplement determinar si aquesta primera solució oferia millores a la seguretat, sinó també determinar si millorava l'accessibilitat i el control per part de l'usuari, i si oferia més garanties als IDP. Durant tot el procés es van emprar dades fictícies.

Els resultats | Els resultats de la prova, la qual va tenir lloc al llarg de quatre sessions diferents realitzades en laboratoris independents, suggerien que la solució podia ser veritablement atractiva per als consumidors. Els participants formats en matèria tecnològica, no només van entendre com utilitzar la solució sinó, també, la seva importància a l'hora de preservar les

seves identitats digitals. Sorprenentment, en la majoria dels casos, els participants no eren conscients de la possibilitat d’ús que podien tenir les dades que els operadors tenien d’ells per a verificar la seva identitat. En general, els participants en la prova entenien que, si les seves dades només s'empraven amb la finalitat de verificar la seva identitat, el risc que fossin usades il·legítimament era mínim. El con-text propiciat pel programa IDAP, i la implicació clara del govern també van contribuir a minimitzar la percepció del risc.

El propòsit | La prova pretenia demostrar que és possible dissenyar —en un espai de temps relativament breu— una solució mòbil que permeti afegir valor als serveis d'iden-tificació segura desenvolupats pels IDP. La solució no només proporciona maneres elegants de «repartir» el procés d'autenticació entre dos dispositius (un ordinador, un

portàtil o una tablet d'una banda, i de l'altra un mòbil), sinó que també dificulta molt més la possibilitat de piratejar o interferir d'alguna manera en aquest procés i a més de facilitar maneres perquè els IDP puguin accedir a dades dinàmiques i actualitzades en temps real, les quals podrien tenir un paper de-terminant com a complements importants d'informació de tipus més estàtic, com ara les dades sobre els historials de crèdit.

/ RE

GN

E U

NIT

67

2. R

EF

ER

EN

TS

EU

RO

PE

US

El factor diferenciador | Els cinc principis rectors sobre els quals es basava la prova són es-pecialment importants. Totes les interaccions amb els usuaris finals comptaven amb el seu consentiment previ, és a dir, que no es podia sol·licitar cap informació als operadors sense comptar amb el consentiment explícit de l'usuari. En un món en el qual les dades d'identifi-

cació dels usuaris són emprades per companyies online sense que se n'hagi autoritzat l'ús o se'n tingui cap mena de control, aquesta qüestió representa un punt de partida nou i positiu, i un factor evident de diferenciació. Facilitant el control de les seves dades a l'usuari final i apel·lant a una transparència absoluta, la prova alpha va mostrar maneres especialment beneficioses d'utilitzar les dades personals per facilitar accessos segurs a serveis governamentals, evitant invocar el fantasma del «Gran Germà».

1. accessibilitat | L'accessibilitat és un assumpte cabdal: tot i que és possible dissenyar i desenvolupar una solució complexa i resistent fins i tot als atacs més sofisticats i decidits, per definició i degut a la seva complexitat, una solució així podria esdevenir inservible. Perquè una solució d'identitat digital segura sigui usable, ha de ser accessible i senzilla d'usar —d'una altra manera, perdria tota la seva utilitat.

2. control | El control té una rellevància similar: bona part dels problemes que presenta l'ús de la identitat digital online és que els usuaris, la majoria de les vegades, perden el control sobre les seves dades personals. Un individu que crea un perfil en una xarxa social o al lloc web d'un comerç electrònic, per exemple, veurà —sovint amb perplexitat— que els seus atributs són compartits i usats com a moneda de canvi àmplia i indiscriminadament.

3. consentiment | El consentiment és una extensió lògica del principi de control: actualment, pocs proveïdors de serveis online demanen activament el consentiment abans de compartir o vendre les dades dels seus clients. No infringeixen la llei, perquè la majoria dels usuaris «cliquen» sobre l'opció d'acceptar els acords sobre polítiques de privacitat, i els termes i les condicions de servei quan es registren —sovint, a més, sense llegir-se'ls amb deteni-ment. Un cop s'accepten els termes i les condicions del servei, l'ús de les dades d'identificació de l'usuari esdevé pràcticament lliure per a tothom. Aquesta situació preocupa cada vegada més els consumidors.

4. transparència | La transparència està íntimament relacionada amb la confiança: en lloc d'animar els usuaris a acceptar els termes i les condicions del servei —una única vegada, en el moment de registrar-se—, les parts implicades prefereixen establir un diàleg obert entre usuaris i prestadors de serveis en cada moment rellevant.

5. confiança | La confiança és més una conseqüència que no pas un component: es deriva del comportament mantingut per les parts i s'obté amb el temps. És quelcom que la majoria de les parts implicades en la prova alpha han construït durant dècades i que, òbviament, desitgen conservar.

Es pot ampliar la informació sobre la prova pilot del Regne Unit a l'apartat de Referències [1-4].

/ RE

GN

E U

NIT

68

2. R

EF

ER

EN

TS

EU

RO

PE

US

«Al Regne Unit, apel·lant una transparència absoluta, la prova alpha va mostrar maneres

especialment beneficioses d'utilitzar les dades personals per facilitar accessos

segurs a serveis governamentals.»

/ RE

GN

E U

NIT

69

2. R

EF

ER

EN

TS

EU

RO

PE

US

2.7. lliçons apresesAnalitzant els casos dels països estudiats, es podrien extreure algunes lliçons valuoses que les orga-nitzacions interessades a presentar solucions d'identitat mòbil podrien considerar abans de formular les seves propostes.

Implantació de l'smartphone

Comptar amb un mercat en què hi hagi un nombre creixent d'usuaris d'smartphones és un bon punt d'inici per a qualsevol iniciativa o servei que requereixi connectivitat, i les solucions d'identitat mòbil no en són cap excepció. Amb tot, disposar d'un nivell alt d'adopció d'aquests dispositius no és una con-dició imprescindible atès que, com s'ha vist, la seva taxa d'usuaris creix exponencialment. Així doncs, s'espera que el nivell d'implantació necessari s'assoleixi en un temps raonable. Es preveu que els usua-ris apostin massivament pels telèfons intel·ligents, quelcom que incrementarà el consum de dades i de serveis basats en dades (a través d'aplicacions o el navegador web del mòbil). La conseqüència d'això serà que els usuaris d'smartphones esperaran poder accedir als mateixos serveis —i, fins i tot, a d'altres de nous— dels quals en poden gaudir amb els seus ordinadors personals (ara ja és possible navegar des de qualsevol lloc i en qualsevol moment a través d'una connexió WiFi o GSM).

Reconeixement del canal mòbil

El canal mòbil no és simplement un canal a través del qual es poden compartir serveis: s'ha convertit en el canal i la pantalla predilectes dels usuaris, els primers als quals recorren quan es posa en funciona-ment un nou servei. Les empreses orientades a oferir serveis i productes als consumidors reconeixen, cada vegada més, la importància del canal mòbil per arribar i accedir als seus nínxols de consumidors, fet pel qual busquen constantment oferir més serveis i continguts a través dels dispositius mòbils. És fo-namental en aquest sentit reconèixer que els consumidors demanden un procés únic i fluid per operar a través del mòbil, des d'accedir i explorar els continguts oferts fins a realitzar pagaments.

Serveis de valor afegit

Quan es pensa en un nou servei d'identitat mòbil, un dels principals objectius que cal tenir presents és oferir una proposta de valor clara per als consumidors i els proveïdors de serveis que conformen l'eco-sistema. En aquest sentit, les entitats bancàries i les administracions públiques tenen una gran respon-sabilitat a l'hora de dirigir, impulsar i dinamitzar aquest procés. Per tant, els proveïdors de serveis han de crear propostes atractives i convincents que la ciutadania vulgui realment utilitzar, i les administracions públiques han d'ajudar a conformar un marc que permeti un desplegament òptim d'aquests serveis.

Que els serveis d'identitat mòbil s’incorporin al mercat, essent compatibles amb els serveis d'identi-ficació bancària, augmenta les garantíes d'èxit. Els serveis d'identitat mòbil han de ser vistos com una solució complementària a les ja existents, tal com succeeix amb la solució noruega d'identitat bancària.

Un altre punt a destacar és la promoció que el sector públic ha fet, a diferents països i amb avidesa, de les targetes d'identificació amb xip per accedir a serveis públics i de signatura digital. Els serveis d'iden-titat mòbil necessiten una promoció oficial. Governs d'arreu del món estan començant a reconèixer els beneficis i els avantatges que ofereix la identitat mòbil a l'hora d'autenticar els ciutadans i accedir per exemple a serveis públics entre altres serveis. Aquesta promoció la poden realitzar entitats del sector públic defensant obertament l'adopció de serveis d'identitat mòbil en els seus processos.

Marc legal propici

Disposar d'un marc legal i regulatiu clar ha estat fonamental a l'hora d'oferir una solució d'identitat mòbil al mercat. Són particularment il·lustratius els casos d'Estònia i Finlàndia on, gràcies a l'adapta-ció del marc legal per permetre que els operadors de xarxes mòbils actuïn com entitats facilitadores d'identificacions segures, els governs respectius han obert el camí perquè la identitat mòbil s'hi pugui implantar i instal·lar amb comoditat.

70

2. R

EF

ER

EN

TS

EU

RO

PE

US

Interoperabilitat entre els operadors

Quan els operadors treballen conjuntament i són capaços d'aportar solucions plegats amb una pro-posta de valor única per als consumidors i els proveïdors de serveis, la solució d'identitat mòbil té més possibilitats d'èxit, i inspira més confiança i credibilitat entre el públic. Aquest model de col·laboració, en què els operadors presenten una solució unificada, no interfereix en la competitivitat. Això és clara-ment observable en el cas finès, en el qual els operadors han estat capaços de posar en funcionament una solució conjunta mantenint la competència entre ells a l'hora d'aconseguir un major nivell d'im-plantació entre els proveïdors de serveis.

Facilitat d'ús

En la prestació i ús d'un servei és molt important que l'experiència de l'usuari es consideri des del principi. Tenir molt present l'experiència de l'usuari pot marcar la diferència entre l'èxit o el fracàs d'una iniciativa, una qüestió que en l'entorn mòbil esdevé encara més sensible —els usuaris estan acostumats a tractar amb aplicacions que ofereixen i estableixen expectatives d'usabilitat a nivells molt elevats. Per aconseguir que l'experiència de l'usuari sigui de primer nivell, cal tenir present les necessitats dels administradors de les infraestructures IT i dels desenvolupadors de programari, especialment quan es prova d'integrar el producte en plataformes tècniques ja existents. Subestimar les especificitats tècniques que intervenen en aquest procés d'integració, o deixar de banda el client per fer front a aquests aspectes de l'aplicació pot implicar retards i dificultats, sovint significatius, per a l'experiència de l'usuari. Per exemple, disposar d'una interfície estandarditzada per connectar aplicacions i portals en línia de tota mena al servei d'identitat mòbil es considera una bona manera d'afrontar els reptes que planteja aquest factor clau. En el nostre estudi, Suïssa és el país que més ha invertit per proporcionar a l'usuari la millor experiència possible.

Tecnologia

Revisant els casos estudiats, és senzill de veure que l'aposta tecnològica comuna en tots ells ha estat la selecció conjunta de SIM, infraestructures PKI i PIN de verificació com a components principals de l'arquitectura tècnica. Això no hauria de sorprendre atès que, des de bon començament, els operadors s'han encarregat de la gestió dels seus subscriptors. Les característiques de la seguretat proporcionada per les SIM les converteix en bones candidates per allotjar i gestionar la identitat mòbil. Amb tot, cal reconèixer que hi ha altres opcions viables i a l'abast, que poden ser complementàries a les ja existents. Definitivament, encara és massa aviat per decidir quina seria, de facto, la millor de les eines tècniques disponibles per implementar una solució d'identitat mòbil.

Model de negoci

La conclusió principal és que hi ha molts models de negoci diferents, i a mesura que els mercats madu-ren, també els models de negoci evolucionen. Un model de negoci depèn d'un gran nombre de varia-bles, com per exemple les regulacions econòmiques locals o les relacionades amb l'adopció del servei; tal com s'ha vist, hi ha molts models viables, en alguns dels quals els proveïdors de serveis ofereixen gratuïtament un servei d'identificació segura que facturen en funció dels usuaris actius inscrits al servei. Des de la perspectiva de la ciutadania, en termes generals hi ha costos relacionats amb el servei si, per exemple, es necessita substituir la targeta SIM, uns costos que poden ser diferits i assumits parcialment per l'administració pública com una part de la seva inversió en la posada en marxa de la identitat mòbil.

«És l'oportunitat d'oferir a la ciutadania un nou model de relació, i promoure serveis d'administració electrònica, contribuent a donar un impuls al sector privat.»

72

3. c

at

al

un

ya

, op

or

tu

nit

at

s i r

ep

te

s

3.1. Introducció Es presenta una introducció general de Catalunya com a societat i territori, emfatitzant les seves capacitats, els seus actius tecnolò-gics i el seu teixit empresarial TIC. S’analitzen i descriuen les expe-riències i casos d’èxit a Catalunya en la implementació de serveis digitals i, el recorregut de les administracions en la creació dels primers serveis d’identitat mòbil.

Primers serveis en identitat mòbil a Catalunya

· Administració Oberta de Catalunya (AOC), en l’àmbit de l’autenti-cació i la signatura al mòbil.

· Ajuntament de Barcelona, pensat per facilitar l’accés a tràmits mu-nicipals online i així descongestionar l’atenció presencial.

3.CATALUNYA, OPORTUNITATS I REPTES

Aquest tercer capítol valora l’aplicabilitat del servei d’identitat mòbil en el context de Catalunya i suggereix recomanacions per al seu desplega-ment. Un cop entès el concepte i conegudes les experiències rellevants en el marc d’Europa, cal reflexionar sobre el full de ruta a Catalunya per oferir serveis d’identitat al mòbil que afavoreixin la implementació i posada en marxa de serveis de valor afegit beneficiosos per al ciutadà.

· Departament de Salut, per accedir a la Carpeta Personal de Salut.

· I la GSMA, els operadors de telefonia mòbil nacionals i altres membres del sector privat, que en un futur pròxim, oferiran “Mobile Connect”, una solució segura i de fàcil ús en l’autenticació digital, in-corporant un nivell de protecció de la privacitat sense precedents pel ciutadà. Inicialment aquest servei d’autenticació serà ofert a Espanya per Orange, Telefònica i Vodafone, Patrons de la Funda-ció Barcelona Mobile World Capital Foundation, i evolucionarà per incloure un servei d’autorització i compartició d’atributs.

32.000

CAPITAL

TERRITORI

Barcelona

Km2

POBLACIÓ

Milions

IDIOMA

Català i Castellà

7,50

74,4%

23%PENETRACIÓ D'SMARTPHONES

COMPRES

PIB (en US $) MILERS DE MILIONS

ECONOMIA: PIB (Per Càpita)

199,8

74,9%

26.996 €PENETRACIÓ D’INTERNET

Llars amb accés a Internet

Són fetes electrònicament

Fonts: Idescat, comscore.com

73

3. C

AT

AL

UN

YA

. OP

OR

TU

NIT

AT

S I R

EP

TE

S

catalunya

74

3. c

at

al

un

ya

, op

or

tu

nit

at

s i r

ep

te

s

En el territori català habiten actualment 7,5 milions de persones en un total de 947 municipis dels quals 64 superen els 20.000 habi-tants (que concentren el 70% de la població catalana). Dos terços de la població viu a la Regió Metropolitana de Barcelona.

Més enllà de les dades demogràfiques i geogràfiques esmentades, el potencial de Catalunya ve donat pel conjunt d’actius qualitatius de caire econòmic, cultural, social i tecnològic que disposa i de la concentració dels mateixos en la seva gran àrea metropolitana, la cinquena més poblada d’Europa.

Aquesta àrea metropolitana constitueix un territori molt dens i altament industrialitzat, liderant el sector industrial i econòmic a Espanya i essent l’economia més important d'entre les comunitats autònomes en generar el 19% del PIB espanyol. Pel que fa al PIB per càpita, Catalunya se situa en quarta posició en el rànquing de co-munitats espanyoles, després del País Basc, la Comunitat de Madrid i Navarra amb una renda per càpita propera als 27.000€.

Respecte als factors i actius tecnològics rellevants, destacar els més de 81.000 professionals ocupats en el sector TIC, un sector que fac-tura més de 18.000 milions d’euros/any, amb més de 12.000 com-panyies, amb inversions superiors als 500 milions d’euros en R+D anual i amb l’atracció de 50 companyies TIC internacionals per any que trien Catalunya com a destinació per ubicar les seves seus. Cal sumar a aquestes xifres, els 214.000 estudiants de les 8 universitats catalanes a l’àrea de Barcelona, dels quals cada any es llicencien 6.000 nous enginyers.

3.2. El context de Catalunya Contribueixen positivament a aquest posicionament, l’existència d’una àmplia xarxa d’equipaments formada per centres de recerca bàsica i aplicada que faciliten la transferència tecnològica i propicien un ecosistema de constant innovació a Catalunya (Institut de Cièn-cies Fotòniques, Sincrotró ALBA, Centre de Supercomputació, etc.).

Per últim, i per donar una visió relativa a la penetració de la tecno-logia mòbil i de la banda ampla, afegir que Catalunya te un índex de penetració de telefonia mòbil superior al 76% (amb més de 5,7 milions de línies donades d’alta) i una penetració de banda ampla fixa superior al 30% (amb més de 2,2 milions de connexions). (Da-des CMT DATA 2013).

Aquest ecosistema, a més, té el reconeixement de Barcelona com a Smartcity de referència a nivell mundial, la designació de la ciutat com a Mobile World Capital fins al 2018 i la condició de Capital Europea de la Innovació, iCapital, designada per la Comissió Eu-ropea. A més a més diferents esdeveniments d’àmbit tecnològic i internacional posicionen Barcelona a escala mundial: SMART CITY EXPO World Congress i el Mobile World Congress, amb més de 90.000 assistents i 1.500 companyies internacionals que exposen al Congrés de referència mundial en telecomunicacions i solucions mòbils. Barcelona és, de fet, la ciutat europea més atractiva segons diversos rànquings per a l’organització d’esdeveniments.

«L'existència d'una àmplia xarxa d'equipaments, formats per centres de recerca bàsica i aplicada, faciliten la transferència tecnològica i propicien un ecosistema en constant innovació a Catalunya.»

75

3. c

at

al

un

ya

, op

or

tu

nit

at

s i r

ep

te

s

76

3. c

at

al

un

ya

, op

or

tu

nit

at

s i r

ep

te

s

En producció científica Atractives per fer events esportius

CIUTAT DEL MÓN

12a Top 10Cities for Citizens,

Ernst & Young 2011Portalhotels.com 2014

A nivell qualitatiu, Barcelona, la seva àrea metropolitana i, per ex-tensió, el conjunt de territori català, destaquen a nivell internacio-nal en un seguit d’indicadors que confirmen la seva capacitat per

atraure talent i inversions, i que la descriuen com a un territori molt ben posicionat per iniciatives i projectes capdavanters que poden esdevenir exemple i referent internacional, alguns exemples són:

Per fer negocis Model de desenvolupament urbà

Atractiva per organitzar events

CIUTAT EUROPEA

6a 1a 1aCities for Citizens, Ernst & Young 2011

Universitat Politècnica de Catalunya, informe anual 2013

Pro Sky Destination Report 2014

Ciutat del món Ciutat europea Ciutat espanyola

SMART CITY

10a 4a 1aBoyd Coen, Co-exist, IDC 2012,

FastCo. EXIST 2013European Cities Marketing Benchmarking Report 2012

European Cities Monitor 2011, Cushman & Wakefield

BARCELONA EN ELS RÀNQUINGS

77

3. c

at

al

un

ya

, op

or

tu

nit

at

s i r

ep

te

s

Més enllà dels actius econòmics, socials, culturals i tecnològics que té Catalunya i que contribueixen a posicionar-la com una regió amb alt potencial de creixement, d’atracció de talent i inversions, cal afegir que l’administració pública catalana té antecedents re-llevants pel que fa a l’adopció tecnològica per millorar la qualitat de vida dels seus ciutadans i oferir serveis digitals de valor afegit.

Catalunya, doncs, no comença de zero en el repte d’adoptar tec-nologia per promoure l’administració electrònica i altres serveis online. Com a Administració Autonòmica, el principal referent es troba al Consorci Administració Oberta de Catalunya (AOC) que inclou l’Agència Catalana de Certificació (CATCERT), la missió del qual és col·laborar amb les administracions públiques catalanes en l'adopció i desenvolupament de polítiques per millorar els serveis públics, mitjançant l'impuls i promoció d'iniciatives, el desenvolu-pament de productes i la gestió de serveis d'ús intensiu de les TIC. En concret, l’AOC porta més de 13 anys treballant per:

· Promoure la interoperabilitat dels sistemes d'informació catalans amb la resta d'administracions.

· Crear i prestar serveis comuns d'administració electrònica.

A títol il·lustratiu, els certificats més consultats durant l’any 2013 són el títol de família nombrosa i el padró municipal d’habitants.

3.3. Catalunya i els serveis digitals· Reutilitzar les aplicacions i els serveis d'administració electrònica que es desenvolupin.

· Garantir la identitat i acreditar la voluntat en les actuacions dels ciutadans i el personal del sector públic, així com la confidencialitat i el no-rebuig en les comunicacions electròniques.

El desenvolupament de la missió es concreta en una cartera de ser-veis principalment en l’àmbit de relacions amb la ciutadania, en la gestió interna de l’Administració i entre les Administracions i en la signatura electrònica i la seguretat.

Un exemple representatiu dels serveis prestats per l’AOC que ha contribuït a incrementar el nombre de tràmits electrònics, és el cer-tificat digital per a treballadors públics (T-CAT) i per a ciutadans (idCAT), que garanteixen respectivament la identitat dels treba-lladors dels organismes públics i dels ciutadans a Internet. Les funcionalitats que ofereixen són la identificació, la signatura i xifrat de documents i poder dur a terme tràmits telemàtics amb plenes garanties jurídiques i tècniques.

Pel que fa a l’administració local, l’AOC ofereix eines i serveis digi-tals als Ajuntaments perquè ofereixin als seus ciutadans o empreses un catàleg de serveis amb tramitació electrònica que els permeti millorar l’eficiència de la comunicació, el cost i el temps associats. El més estès és l'e-TRAM per la gestió municipal de sol·licituds i tràmits per Internet, aquest servei ha esdevingut un estàndard de tramitació al territori català, amb una índex de penetració als ajuntaments del 85%. El servei fomenta l’autenticació i signatura.

Respecte al sector privat, a Catalunya també existeixen agents de diferents sectors acostumats a la gestió i tramitació de documen-tació en format digital amb serveis d’autenticació i signatura. Un

els 10 certificats més consultats

Títol de família nombrosa 2.915.373

Nombre de consultes

Adreça electrònica viària (DEV) 1.202.268

Renda 1.751.945

Deutes amb la Seguretat Social i situació d'alta 536.547

Padró municipal d'habitants 1.849.479

Identitat 1.137.243

Registre de vehicles i conductors 1.713.582

Deutors de l'IVTM 395.461

Dades tributàries 389.797

Titulacions 71.718

exemple il·lustratiu són els col·legis professionals on la certificació electrònica, la signatura de documents que garanteixi la identitat de qui signa, amb plenes garanties legals i tècniques, és una pràc-tica estesa. Aquests agents demanen l’adaptació a models d’auten-ticació i signatura molt més àgils, ràpids, còmodes i amigables per l’usuari, en definitiva en l’entorn mòbil.

Arquitectes, enginyers, advocats, notaris, metges, etc. són profes-sionals preparats per adoptar massivament solucions dirigides a facilitar el seu dia a dia sempre que es compleixin els nivells de seguretat i privacitat exigits.

78

3. c

at

al

un

ya

, op

or

tu

nit

at

s i r

ep

te

s

3.4. Catalunya avui: Iniciatives destacadesAvui a Catalunya existeixen diferents iniciatives disponibles pel ciutadà. Per cadascuna d’elles es presenta informació de detall del servei.

· AOC – Servei de validació de credencials d’identitats digitals (Val-ID) basades en dispositius mòbils, anomenat Val-ID que actua com a broker d’identitats: Aquest servei està pendent de posar-se en pro-ducció fins que no finalitzin els aspectes jurídics associats a la base de dades dels ciutadans, titularitat del Departament de Presidència de la Generalitat de Catalunya que donarà suport a aquest servei.

S’utilitza per transaccions que requereixen un nivell mig de seguretat dins l’Esquema Nacional de Seguretat (ENS) i es consideren dues modalitats, codis temporals d’un sol ús per SMS o bé per notifica-cions a través d’una App.

· Ajuntament de Barcelona – Servei mobileID: servei operatiu que va néixer a l’Ajuntament de Barcelona amb l’objectiu de reduir el nombre de ciutadans a les oficines d’atenció per realitzat tràmits que són possibles pel canal d’administració electrònica. És un servei que ofereix doble factor d’autenticació de manera segura per accedir a llocs web, així com a serveis prestats a través d’altres canals, com ara el telefònic o el presencial de l’Ajuntament de Barcelona.

· Departament de Salut – Pilot d’accés mòbil a la Carpeta Personal de Salut: servei en pilotatge amb 25 ciutadans que habilita de ma-nera segura l’accés i consulta de les dades personals sanitàries dels ciutadans a la Carpeta Personal de Salut. El servei ofert per Orange, està basat en la seguretat de l’element segur SIM.

· GSMA – Mobile Connect: Dins el marc de la Mobile World Capital Barcelona existeix l’oportunitat d’implementar el servei Mobile Con-nect, servei d’autenticació amb el telèfon mòbil per accedir de mane-ra remota i segura a serveis digitals. Els principals avantatges d’aquest servei són la seguretat (basada en l’element segur SIM) i la interope-rabilitat del servei entre els operadors Orange, Telefònica i Vodafone. Aquesta iniciativa està liderada a nivell mundial per la GSMA.

Les millor pràctiques en solucions d’identitat a Europa mostren que els serveis financers, i els bancs en particular, tenen un rol clau com agents de canvi cap a la identitat mòbil. Primer perquè la ciutada-nia ja utilitza els serveis de banca online de forma estesa, així com l’ús dels dispositius mòbils per accedir a aquests serveis. I segon, perquè és essencial per la indústria de serveis financers garantir la seguretat i privacitat com a part intrínseca del seu servei.

Cal destacar que els ciutadans són els principals beneficiaris dels serveis digitals públics i privats que existeixen a Catalunya, a excepció dels que van dirigits a professionals, especialment als col·legiats. Un element comú a tots els ciutadans, és el Document Nacional d'Identitat Digital que conté, entre d'altres, aspectes digitalitzats com ara les empremtes dactilars, la signatura elec-trònica de la persona titular,.... tot i així, el seu ús no s’ha estès, precisament perquè l’operativa no és fàcil ni amigable i els serveis finals són poc atractius pel ciutadà.

En definitiva, a Catalunya, els sectors amb més potencial en l’adop-ció de solucions d’identitat mòbil fa temps que operen en l’entorn digital, i per tant existeix un context suficientment madur per im-pulsar solucions d’aquests tipus, probablement en col·laboració entre agents públics i privats.

Aquesta situació és molt semblant a la d’altres regions i països, exis-teix una primera proposta de serveis digitals públics però no és prou atractiva al ciutadà o bé s’utilitza en comptades ocasions, a excepció d’aquells que per la seva condició, tenen una relació intensa amb l’administració. En el sector privat, els serveis d’autenticació acostu-men a ser propis de cada proveïdor, per exemple els bancs, i per tant obliga a gestionar moltes contrasenyes i solucions diferents.

Els serveis que utilitzen certificats o signatura, generalment funcio-nen sobre plataforma PC i l’operativa és complexa, limitant la seva adopció massiva. El repte és impulsar la integració de manera sim-ple, còmoda i atractiva d’aquests serveis digitals a l’smartphone.

79

3. c

at

al

un

ya

, op

or

tu

nit

at

s i r

ep

te

s

3.4.2. Ajuntament de Barcelona Servei mobileID

Degut al propòsit de l’Ajuntament de Barcelona de facilitar l’accés al ciutadà a serveis electrònics municipals per facilitar la seva tramitació i també reduir el nombre de peticions de ciutadans a les oficines d’atenció presencial, es crea un servei d’identitat digital al mòbil.

És un servei en funcionament de l’Ajuntament de Barcelona per als ciu-tadans que ofereix un servei d’identitat al mòbil per accedir a serveis d’Administració electrònica i potencialment a d’altres serveis de tercers.

Aquest servei és accessible des de l’smartphone del ciutadà i ser-veix per autenticar al ciutadà per accedir a serveis telemàtics des-plegats a la web municipal així com realitzar tràmits des del seu dispositiu. També garanteix a l’Ajuntament de Barcelona la identitat del ciutadà que accedeix a les dades i que sol·licita la tramitació.

Per la prestació d’aquest servei es crea un Registre d’Identitat Digi-tal al Mòbil (RIDM) que associa un número de telèfon mòbil a cada ciutadà i una aplicació al mòbil que permet l’autenticació contra el RIDM i l’accés a uns determinats tràmits, alguns d’ells només accessibles des del mòbil.

Amb el nou servei, s’habilita un nou mètode d’autenticació per ac-cedir a la Carpeta Ciutadà, que utilitza una notificació a l’App mobi-leID com a segon factor d’autenticació.

El sistema tècnic que dóna suport a aquesta identitat compleix els estàndards tècnics i jurídics nacionals i internacionals de manera transparent per als ciutadans, que només interactuen amb l’apli-cació del seu telèfon. Aquest sistema es pot utilitzar per accedir de manera segura a llocs web, així com a serveis prestats a través d’altres canals, com ara el telefònic o el presencial.

Barcelona és la primera ciutat que implementa un sistema d’aquest tipus per als seus ciutadans, i el posa en marxa per accedir als ser-veis telemàtics municipals.

En una segona fase, l'Ajuntament de Barcelona oferirà l'ús del servei d'identitat digital mòbil a altres administracions públiques i empre-ses que vulguin fer-ne ús per identificar digitalment els seus usuaris.

El Consorci Administració Oberta de Catalunya és el principal re-ferent en l'adopció i potenciació de l’e-Administració a Catalunya.

L’AOC treballa en la posada en marxa del servei de validació de cre-dencials d’identitat de ciutadans per realitzar actuacions de nivell mig i baix dins l’ENS.

El servei Val-ID, de fàcil ús i accessible per tota la població, utilitza el telèfon mòbil com a doble factor d’autenticació a través de SMS o App i està pensat per donar servei al 90% dels tràmits que els ciutadans realitzen habitualment amb l’administració.

En aquests moments al servei Val-ID ja s’hi ha integrat l’idCAT SMS, servei del Consorci AOC d’autenticació i signatura de doble factor mitjançant un codi d’un sol ús enviat per SMS amb registre previ del número de mòbil. S’utilitza per transaccions que reque-reixen un nivell mig de seguretat dins l’ENS. L’idCAT SMS s’utilitza des del 2011 en el servei de notificacions electròniques eNotum del Consorci AOC i durant el 2014 es van generar 260.000 notifi-cacions amb aquest sistema.

El servei Mobile ID de l’Ajuntament de Barcelona també està inte-grat al Val-ID, i està pendent la seva posada en funcionament a la resolució dels aspectes jurídics i institucionals.

Per altra banda, Val-ID està en procés d’integració amb el servei PIN24h Cl@ve desenvolupat per l’Administración General del Es-tado (AGE), basat principalment en un sistema de codi d’un sol ús per SMS. Aquest servei és especialment rellevant ja que a dia d’avui disposa de més de 1.000.000 usuaris registrats a tot l’Estat, i amb un volum de fins a 20.000 transaccions al dia.

Val-ID també preveu integrar-se amb altres aplicacions en disposi-tius mòbils d’autenticació i signatura que hi ha al mercat.

Per tal que el servei validador d’identitats s’estengui i tingui èxit cal el registre previ del número de mòbil, aquest registre s’ha de

fer amb la garantia que el número de mòbil es podrà utilitzar per qualsevol administració, sense necessitat de consentiments addi-cionals del ciutadà. Per poder-ho fer és necessari demanar al ciu-tadà, quan es relacioni amb qualsevol administració catalana, que autoritzi incorporar el número de mòbil a la base de dades que fa referència la Llei 29/2010.

Aquesta llei regula la creació d’una base de dades per mantenir les dades dels ciutadans i empreses de Catalunya per permetre la comu-nicació dels diversos òrgans de la Generalitat de Catalunya. S’inclou com a informació rellevant de contacte les dades necessàries per a establir comunicacions electròniques, el número de mòbil entre elles.

En aquest context, el principal objectiu de l’AOC és recollir el telè-fon mòbil dels ciutadans amb una clàusula de consentiment que permeti la seva utilització per qualsevol administració.

El registre del número de mòbil és possible presencialment, a les ofi-cines d’atenció al ciutadà, mitjançant formulari amb signatura manus-crita o bé per Internet amb certificat digital, amb claus concertades o amb codi segur de verificació enviat prèviament per correu postal.

Els serveis que l’AOC està considerant a partir del registre de nú-meros de mòbil dels ciutadans contemplen diferents casos d’ús.

1. El ciutadà s’autentica mitjançant un codi d’un sol ús enviat per SMS al mòbil.

2. El ciutadà s’autentica mitjançant l’App idCAT mòbil. El servei en-via una notificació a l’App que implementa un segon factor d’au-tenticació. El ciutadà prèviament s’ha donat d’alta al servei en un acte presencial (o electrònicament amb certificat digital) davant una entitat de registre idCAT. El servei idCAT mòbil també inclou un certificat digital de CATCert.

3. El ciutadà s’autentica mitjançant l’App mobileID de l’Ajuntament de Barcelona. És la mateixa funcionalitat que el cas anterior.

3.4.1. Serveis de l’AOC Servei de validació de credencials d'identitats digitals

80

3. c

at

al

un

ya

, op

or

tu

nit

at

s i r

ep

te

s

3.4.3. Departament de Salut Pilot d’accés mòbil a la Carpeta Personal de Salut

El Departament de Salut, en col·laboració amb la Mobile World Capital Barcelona i l’operador Orange, ha llançat un pilot d’accés mòbil a la Carpeta Personal de Salut (CPS). La carpeta és l’espai digital, personal i intransferible, de consulta que permet a la ciuta-dania disposar de la seva informació personal de salut i utilitzar-la d'una forma segura i confidencial, a més de facilitar-li la realització de tràmits electrònics.

La solució proposada pel pilot ha de servir per validar que es ga-ranteix la seguretat i la confidencialitat de les dades cada vegada

que s’accedeixi a la CPS des del mòbil i que la interfície d’usuari i la funcionalitat proposada sigui idònia i útil per part dels ciutadans i dels professionals sanitaris.

El pilot també servirà per conèixer la capacitat d’escalar el servei a tots els ciutadans de Catalunya, en un futur.

En aquest servei participen 25 ciutadans que proven la solució d’ac-cés segur (basada en l’element SIM) a la CPS des d’un dispositiu mòbil durant quatre mesos.

3.4.4. GSMA Mobile Connect

Mobile Connect és un sistema d’autenticació simple i segur que permet a les persones accedir als seus comptes online amb només un click -o fins hi tot sense cap click-, de forma anònima -quan apli-qui-, proporcionant diferents nivells de seguretat segons cada ne-cessitat, des de l’estàndard requerida en un accés web d’Internet, fins al d’una autenticació bancària d’alta seguretat.

Els usuaris del servei, que són clients d’un operador mòbil, saben que quan es prem el botó d’autenticació “Mobile Connect” a la web, mai més necessiten introduir usuari o contrasenya per accedir al servei final, excepte si s’utilitza com a segon factor d’autenticació per major seguretat.

Mobile Connect és una proposta entre els operadors que permet als usuaris autenticar-se a serveis de tercers, on el compte d’usuari està vinculat al seu número de telèfon mòbil. L’autenticació pro-porcionada per Mobile Connect l’atorga l’operador de xarxa mòbil de l’usuari, fent el procés d’autenticació més segur que l’esquema típic d’usuari i contrasenya, ja que l’accés al servei es realitza a través del dispositiu mòbil de l’usuari.

Proveïdors de serveis, com els comerços digitals, institucions finan-ceres o governs, poden utilitzar el servei de Mobile Connect en les seves webs per autenticar usuaris que desitgin accedir i també per realitzar transaccions segures online.

Les directrius de privacitat incloses a les condicions del servei Mo-bile Connect garanteixen que la informació personal del ciutadà no serà compartida amb tercers sense el seu consentiment previ, fent la seva vida digital més fàcil i més segura.

Mobile Connect ofereix un conjunt de beneficis als proveïdors de serveis: una millor experiència d’usuari (que es tradueix en una me-nor taxa d’abandonament de clients), una reducció del cost en la gestió de credencials, i la validació d’atributs importants de consu-midor, com pot ser l’edat.

Els operadors mòbils mantenen una posició diferencial en l’ecosis-tema gràcies als actius que ofereixen, com és el cas de la targeta SIM o el seu procés rigorós de registre, autenticació, detecció de frau i mitigació de riscos. Mobile Connect és una proposta atractiva pel sector públic i per les empreses privades interessades en oferir serveis segurs basats en la identitat digital.

El full de ruta de Mobile Connect, més enllà del servei d’autentica-ció, millora l’experiència d’usuari i l’accés a l’oferta de serveis dels proveïdors. A més, desenvolupa una manera segura de compartir informació personal on l’usuari té el control total. Mobile Connect, recolzat per la GSMA, està operat per una xarxa global d’operadors mòbils, posicionats de forma única per proveir autenticacions i au-toritzacions per identitat de forma segura i de confiança.

Mobile Connect ofereix, a la base de clients de tots el operadors mòbils a nivell mundial, accés a aplicacions o serveis a través d’una API (Application Program Interface). Aquesta API està basada en l’estàndard OpenID Connect, que garanteix la interoperabilitat en-tre operadors mòbils i proveïdors de serveis.

Mobile Connect està tècnicament implementat i el servei en fase de prova ja està funcionant a Espanya.

81

3. c

at

al

un

ya

, op

or

tu

nit

at

s i r

ep

te

s

3.5.1. Cap un nou model

En general, en l’àmbit de les solucions d’identitat mòbil, és reco-manable que l’administració disposi d’un broker d’identitats que accepti diferents models públics i privats. En definitiva que es creï la interconnexió entre sistemes públics i privats, en base a un model federat de confiança, d’aquesta manera l’administració i el ciutadà també són beneficiaris de la innovació i valor que aporta el mercat i en poc temps permet incorporar serveis ja operatius.

En aquesta línia, una aproximació inicial més tàctica pot ser la fede-ració amb bancs o operadors de telefonia mòbil per facilitar que l’autenticació del ciutadà es produeixi al costat de l’entitat privada a través del servei que ja té operatiu. En aquest procés, i un cop autenticat, es demana al ciutadà, que és client del banc o de l’ope-rador, si es vol inscriure al servei públic i per tant donar el consen-timent per facilitar els mitjans electrònics de contacte (bàsicament número de mòbil i correu electrònic) a l’administració per poder oferir una comunicació i servei personalitzat i actualitzar les dades del cens.

Amb aquest plantejament l’administració obté el consentiment del ciutadà més ràpidament i pot completar el registre del cens amb els mitjans electrònics.

A la vegada també ofereix diferents serveis d’identitat mòbil en fun-ció del nivell de seguretat que el ciutadà utilitza per autenticar-se i accedir a serveis digitals que li faciliten el seu dia a dia, en l’àmbit de la salut, els pagaments, el transport públic o l’administració elec-trònica entre d’altres.

En el mig i llarg termini, la consolidació dels serveis d’identitat mò-bil es produirà de manera natural quan hi hagi una adopció massiva per part de la ciutadania dels serveis digitals finals. La tendència serà que els serveis públics i privats de gestió d’identitat es conso-lidin en un model transversal. Aquest fet, conceptualment, signifi-ca l’aparició d’un nou agent, facilitador de la identitat del ciutadà per qualsevol proveïdor de serveis, públic o privat.

Aquest nou model podria contemplar serveis bàsics gratuïts i d’al-tres més avançats en modalitat de pagament que serien clau en el model de negoci del nou servei. L’administració és un candidat per la prestació d’aquest servei, que a la vegada ajudaria a la racionalit-zació dels serveis d’identitat mòbil que hi ha al mercat.

3.5. RecomanacionsUn cop entès el concepte d’identitat al mòbil i els seus beneficis, d’analitzar els millors casos d’implantació a Europa i de conèixer l’experiència i capacitats de Catalunya en la promoció de serveis digitals des de l’Administració, es presenten un conjunt de recoma-nacions per afavorir-ne el desplegament.

Aquestes recomanacions són una proposta d’actuació davant del nou paradigma que provoca la transformació digital i mobile. Són aspectes a valorar en l’elaboració de l’estratègia per part dels agents que correspongui.

El canvi provocat pels dispositius mòbils té un impacte en la mane-ra com les persones es relacionen i està transformant a la ciutadania en individus hiperconnectats. Una conseqüència d’aquest fet és la demanda creixent de serveis digitals per l’smartphone, el dispositiu preferit, de moment.

El servei d’identitat mòbil és un facilitador clau per promoure que els agents públics i privats responguin a la demanda de la ciuta-dania i llancin al mercat serveis finals, especialment en àmbits del dia a dia del ciutadà on s’aportin beneficis tangibles. És important considerar serveis d’alt impacte, que s’utilitzin molt freqüentment i que ho facin molts ciutadans. Per exemple els pagaments o el trans-port públic.

Per l’administració és l’oportunitat d’oferir a la ciutadania un nou model de relació i promoure serveis d’administració electrònica a la vegada que es contribueix a donar un impuls al sector privat, especialment pel que fa a la gestió de la identitat mòbil.

La potencialitat de millora de l’eficiència del sector públic és gran. Tot i l’enorme inversió en serveis d’administració electrònica rea-litzat als darrers 10 anys per totes les administracions catalanes i pel sector de la salut, el nivell de digitalització de la relació dels ciutadans amb l’administració pública és encara baix i està per sota del 15%, tot i que el 75% dels ciutadans ja són internautes habituals. La principal barrera a l’increment de la utilització del tràmits elec-trònics disponibles és la manca d’un sistema d’identificació digital senzill i usable.

Caldrà desenvolupar aliances amb els sectors més punters i amb major capacitat, per exemple el sector de la banca i dels operadors de telefonia, però no únicament.

No hi ha dubte que l’smartphone s’erigeix com el dispositiu més adequat per l’autenticació del ciutadà o consumidor i que per ofe-rir aquesta funcionalitat existeixen diferents opcions tecnològi-ques en funció del nivell de seguretat exigit, és important provar diferents models, d’acord als diferents serveis i públics. Aquesta aposta de provar diferents opcions es pot fer sense necessitat en-cara d’escollir una única solució o tecnologia.

La velocitat d’aquest procés de canvi que ha iniciat el ciutadà és elevada, és important que el sector públic actuï amb celeritat i amb propostes concretes per diferents motius; primer per acompanyar al ciutadà i reforçar-ne la relació, segon per aprendre en un entorn nou on cal experiència i tercer per posicionar-se al capdavant dels canvi social i econòmic que suposa l’entorn d’internet i el mòbil.

82

3. c

at

al

un

ya

, op

or

tu

nit

at

s i r

ep

te

s

3.5.2. Solucions d’identitat mòbil

En el context actual, prendre una decisió definitiva respecte a la solució tecnològica no sembla el més adequat. Considerant l’ampli ventall de possibles serveis, els diferents requeriments sobre nivells de segure-tat i privacitat i la diversitat del públic objectiu, del ciutadà genèric fins a grups molt específics en àmbits com la salut, empleats públics... la recomanació és optar per diferents solucions en funció del context i desenvolupar experiència en la seva gestió, previa a la decisió de models definitius a mig termini.

Pel que fa a serveis dirigits al ciutadà genèric on prevalen criteris com la senzillesa i la usabilitat, els codis d’un sol ús com a factor d’autenticació basat en SMS poden ser molt beneficiosos, tant pel ciutadà com per la pròpia Administració. El ciutadà s’ha de familiaritzar amb aquests nous serveis, i per tant en la presa de decisions ha de prevaldre la utilitat, la simplicitat del que es proposi i l’experiència diària pel ciutadà.

En canvi, en un context com la salut, pensant en serveis per malalts crònics, amb intercanvi d’informació tant sensible com les dades de la malaltia, les solucions basades en element segur són recomanables, per oferir la màxima confiança al ciutadà.

En aquest escenari és important ressaltar que la tecnologia no és el principal condicionant, és més, en aquest moment la convivència de solucions és recomanable per poder donar la resposta més adequada en cada cas. No es pretén trobar una solució universal, sinó recomanar accions pràctiques sobre la base del que avui ja existeix.

Destacar però un parell de consideracions importants, per un costat la interoperabilitat en els casos que existeixin diferents prestadors del servei i on l’experiència del ciutadà ha de ser transparent a aquest fet i no ha de dependre del seu proveïdor. I per l’altre costat la diversitat del parc de terminals mòbils que té el ciutadà obliga a pensar en solucions senzilles que funcionin en tots els casos o quasi tots, un exemple clar és l’ús de SMS, com a servei fàcil i universal.

Una possible estructuració dels serveis de gestió d’identitat mòbil pot ser d’acord als nivells de seguretat de l’ENS, com més elevat és el re-queriment de seguretat i privacitat més exigent i robusta és la solució que presta el servei d’identitat mòbil.

seguretat nivell baix seguretat nivell mig seguretat nivell alt

El model regulatori que estableix eIDAS és especialment rellevant per aquest nivell de seguretat. La neces-sitat de signatura digital qualificada o avançada determina la solució tec-nològica a escollir en cada cas.

Solucions de doble factor d’autenticació amb tecnologies diverses que reque-reixen un registre previ del número de mòbil del ciutadà.

Solucions basades en dispositius mòbils però sense registre previ del número de mòbil

· Solucions amb certificat digital basat en programari.· Solucions amb certificat digital a l’element segur.· Solucions amb la signatura al núvol.

· SMS, d’implantació universal i d’ús molt senzill > Codis temporals d’un sol ús.· Notificacions al mòbil del ciutadà utilit-zant Apps com mobileID o idCAT mòbil. · Sensors biomètrics > Autenticació del ciutadà a partir d’informació biomètrica intrínseca a la seva persona física, per exemple l’empremta dactilar.

Un exemple de servei que compleix el nivell alt de requeriments de seguretat dins l’ENS és Mobile Connect de la GSMA. Aquesta solució es basa en la SIM com a element segur i funciona tant per smartphones com pel telèfon mòbil de funcions tradicionals. Un dels seus factors diferencials és la interoperabilitat del servei inde-pendentment de l’operador de telefonia mòbil del ciutadà.

Mobile Connect encara no és un servei comercial al mercat, però en el context de la Mobile World Capital Barcelona i com a servei interoperable entre Orange, Telefónica i Vodafone existeix una oportunitat en col·laboració amb la industria que pot contribuir a posicionar Barcelona a nivell internacional en aquest espai. Res-pecte a aquest servei caldrà veure l’evolució i el model que final-ment es proposi al mercat, s’haurà d’analitzar el cas que es proposi a Barcelona i compartir les conclusions amb GSMA.

83

3. c

at

al

un

ya

, op

or

tu

nit

at

s i r

ep

te

s

3.5.3. Els serveis finals pel ciutadà

L’adopció massiva per part de la ciutadania de serveis d’identitat mòbil depèn directament del beneficis que el ciutadà obtingui pel seu ús.

En aquest sentit, els serveis més estesos i amb major potencial d’in-tegració al telèfon mòbil són els relatius als pagaments, les transac-cions bancàries o l’accés al transport públic. Qualsevol ciutadà, en al-gun moment del seu dia a dia, fa pagaments, la major part d’imports petits en comerços i establiments, sovint accedeix a serveis de banca electrònica i també utilitza regularment el transport públic prèvia va-lidació del títol de transport.

Aquests serveis són de caràcter transaccional i necessiten garantir la identitat del ciutadà, a excepció del transport públic on el model tradicional no ha requerit la titularitat nominal. Tot i així, hi ha una tendència progressiva de canvi on el títol de transport requereix la identitat per personalitzar el servei. Per tant, es recomana prioritzar el desplegament de serveis mobile al transport públic, sobretot, per l’efecte d’adopció massiva per part de la ciutadania.

A Catalunya, en l’àmbit del transport públic, està en marxa el nou pro-jecte de mobilitat, la T-Mobilitat liderat per l’Autoritat del Transport Metropolità de Barcelona i pel Departament de Territori i Sostenibi-litat de la Generalitat de Catalunya. La T-Mobilitat transforma la gam-ma actual de títols de transport en una única targeta més atractiva, més moderna, més còmoda i per a totes les persones. La T-Mobilitat és un projecte tractor de la Barcelona Smartcity que proposa una solució contactless NFC.

Accelerar la implantació en el mòbil de la T-Mobilitat és molt relle-vant per l’adopció massiva de la ciutadania i pel propi transport pú-blic, tenint en compte tots els serveis mòbils que s’oferiran: accés al transport, consulta del saldo de la targeta, recàrrega de la targeta, utilitzar el dispositiu mòbil per obtenir feedback per part del viatger i per oferir informació personalitzada al viatger sobre el seu itinerari en transport públic en temps real (previsions d’arribades, disrupcions del servei o rutes alternatives ). Una veritable proposta de valor al ciutadà.

Aquesta primera corona de serveis agrupa els potencials candidats a liderar el procés d’adopció per part de la ciutadania. La seva in-tegració a l’smartphone fa molt més còmodes les transaccions per proximitat, per exemple pagar a través d’un Terminal Punt de Venda (TPV) o accedir a una estació de metro, i també utilitzen el telèfon com a factor d’autenticació del ciutadà, per exemple en banca elec-trònica.

Els aspectes que determinen la viabilitat d’una solució d’aquest tipus i que són rellevants per la presa de decisió són el volum de ciuta-dans beneficiaris del servei, la freqüència d’ús i el cost total del servei d’identitat mòbil, en concret:

El valor de referència l’ha de decidir cada administració en funció de la seva experiència en altres serveis.

A partir d’aquesta relació, és raonable pensar en una segona coro-na de serveis, generalment en àmbits molt específics on un nombre més reduït de ciutadans fa un ús molt freqüent de serveis digitals, per exemple gestors professionals que es relacionen sovint amb l’ad-ministració, o bé per grups específics de malalts crònics en relació amb el servei de salut, o empleats públics pel desenvolupament de la seva funció.

En aquesta segona corona, en general, hi ha serveis de poc ús pel ciutadà genèric. En l’àmbit de l’administració electrònica un possible servei a oferir amb autenticació mòbil podria ser la instància genèri-ca a Ajuntaments, que és el document normalitzat que s’utilitza per presentar demandes, tràmits o comunicats de forma genèrica.

Criteri:Volum de ciutadans * Frequència d’ús

Cost del servei Valor de referència

84

3. c

at

al

un

ya

, op

or

tu

nit

at

s i r

ep

te

s

85

3. c

at

al

un

ya

, op

or

tu

nit

at

s i r

ep

te

s

3.5.4. Pla d’accions a curt termini

La proposta d’accions que es recomana realitzar en el curt termini s’estructura en quatre àmbits d’actuació.

Crear els elements estructurals bàsics del nou model: pla-taforma de validació d’identitats i cens estès dels ciutadans,

desenvolupament de les aliances amb els agents clau del sector privat i consentiment del ciutadà.

· Impulsar la creació de la plataforma del servei validador d’identi-tats, que ha d’incloure el cens estès de ciutadans amb la informació rellevant per establir contactes electrònics personalitzats.

· Addicionalment cal establir les aliances necessàries amb sectors com la banca i els operadors mòbils, agents clau per poder donar un impuls i dimensió als serveis d’identitat mòbil.

Per a promoure un servei d’identitat digital basat en dispositius mòbils és fonamental el registre previ dels ciutadans. En aquest àmbit, a més de les administracions públiques i la xarxa pública de salut, els operadors privats en mercats de confiança, per exemple la banca i els operadors de telecomunicacions, poden jugar un paper molt important facilitant el procés de registre en un marc regulat de gestió.

· En el marc d’aquestes aliances és recomanable incloure els acords per obtenir fàcil i ràpidament el consentiment del ciutadà i les da-des de contacte com el correu electrònic i el número de telèfon mòbil a incloure al cens estès.

Per a combinar els factors anteriors en un projecte d’èxit cal:

· Un lideratge institucional fort per a implicar i alinear tots els orga-nismes públics i privats en un projecte comú.

· Garantir la governança i interoperabilitat entre els agents públics i privats.

· Adaptar el marc legal per a facilitar el rol dels operadors privats del mercat de confiança.

Posar en marxa els serveis transversals que faciliten la iden-titat mòbil. Es recomana implementar diferents serveis de

gestió d’identitat mòbil en funció del nivell de seguretat exigit i del tipus d’usuari.

· Les propostes concretes són el servei Mobile Connect, a conside-rar dins l’acord amb els operadors de telefonia, també un primer servei d’autenticació per SMS com a servei més universal amb alta penetració a la ciutadania, un tercer servei basat en App que es recomana neixi de la convergència dels serveis mobileID i idCAT mòbil per unificar la proposta a la ciutadania, i finalment esperar les conclusions del pilot d’accés a la Carpeta Personal de Salut per veu-re si és recomanable un servei d’identitat mòbil específic en l’àmbit de la sanitat pública.

Desenvolupar serveis pel ciutadà. El valor pel ciutadà dels ser-veis finals determinarà el nivell d’adopció massiva. En la mesura

que el ciutadà percebi més beneficis, més gran serà l’adopció que farà dels nous serveis digitals.

· La recomanació es centra per un costat a promoure serveis d’e-ad-ministració, per exemple la instància genèrica a un Ajuntament uti-litzant el codi d’un sol ús enviat per SMS com a factor d’autentica-ció. Respecte al servei Mobile Connect, es proposa utilitzar-lo per autenticació a personal propi de la Generalitat de Catalunya per accedir a serveis interns, poden ser accessos físics o serveis digitals associats a tramitacions.

Accelerar la implementació del servei T-Mobilitat a través del telèfon mòbil. Es recomana, considerant el transport pú-

blic com a servei quotidià i d'ús intensiu per part de la ciutadania, i per tant, palanca de primer nivell per l'adopció masiva.

· Aquest fet contribuirà significativament a la sensibilització de la ciutadania sobre els beneficis que les noves tecnologies suposen per la seva qualitat de vida i tindrà un efecte molt important de sensibilització i adopció.

1

2

3

3

86

3. c

at

al

un

ya

, op

or

tu

nit

at

s i r

ep

te

s

Els serveis que es proposa impulsar en el curt termini es mostren sobre el mapa de serveis de referència:

Sector públic

Registre del ciutadà

Serveis de salut

Valid

ació

lega

lde

la id

entit

atTr

ansa

ccio

nal

Cont

rol

d’ac

cess

osRe

gist

re

d’id

entit

ats

Renovació de la credencial del

ciutadà

Registre de companyies

Vot electrònic

Justícia electrònica

Pagament de tributs

Pagament de multes

Serveis de pagament online

Pagaments de proximitat

Portal de serveis al ciutadà /

empleat públic

Accés a edificis governamentals

Tiquets per events

Registre del consumidor

Renovació de la credencial del

consumidor

Portal de serveis pel consumidor /

empleat

Contractació de serveis

Servei postal electrònic

Banca electrònica

Accés Accés lògiclògic

Accés corporatiu

Sol·licitud de serveis

Instància Genèrica

Títol de transport públic

T-Mobilitat

Accés Carpeta Personal de Salut

Federació d’identitatsamb bancs i operadors

Signatura de projectes

Sector privat

87

4. A

NN

EX

API − Application Program Interface

CPS − Carpeta Personal de Salut

CRM − Customer Relationship Management

eIDAS − Electronic Identification and Trust Services

EMVco − Europay, Mastercard and Visa

ENS − Esquema Nacional de Seguretat

ERP − Enterprise Resource Planning

eSE − embedded Secure Element

ETSI − European Telecommunication Standards Institute

GPS − Global Positioning System

HCE − Host Card Emulation

IDAP − Identity Assurance Programme

IDP − Identity Assurance Providers

ISO − International Standard Organization

Micro SD − Micro Secure Digital

MNO − Mobile Network Operator

NFC − Near Field Communication

OEM − Original Equipment Manufacturer

OIX − Open Identity Exchange

OTP − One Time Password

PC − Personal Computer

PDF − Portable Document Format

PIN − Personal Identification Number

PKI − Public Key Infrastructure

SE − Secure Element

SIM − Subscriber Identity Module

SLA − Service Level Agreement

SMS − Short Message Service

TPV − Terminal Punt de Venta

VPN − Virtual Private Network

GLOSSARI

88

4. A

NN

EX

[1]. Kizzi Nkwocha (2014). UK mobile market penetration at 92 per cent de http://www.mobiletoday.co.uk/news/industry/28014/uk_mobile_market_penetration_at_92_per_cent_.aspx

[2]. Government Digital Service (GDS) of UK government. Digital by Default Service Standard de https://www.gov.uk/service-manual/digital-by-default

[3]. Government Digital Service (GDS) of UK government. Cabinet Office de https://www.gov.uk/government/organisations/cabinet-office

[4]. Open Identity Exchange (OIX). http://openidentityexchange.org

REFERÈNCIES

Una iniciativa de:

Amb el suport de: