Los flecos pendientes de las carteras digitales que habrá en toda la UE, explicados por Gataca, la startup española que se prepara para competir

Europa tendrá carteras digitales, pero todavía hay muchos flecos por cerrar.

La Comisión, el Parlamento Europeo y el Consejo de la Unión Europea alcanzaron un acuerdo provisional el pasado 8 de noviembre, cuando este último órgano estaba todavía presidido por España, sobre un texto final del reglamento eIDAS 2, una ley que viene a actualizar una regulación comunitaria de 2014.

En diciembre el Comité Permanente de las Regiones (COREPER) del Consejo y la Comisión de Industria, Investigación y Energía del Parlamento Europeo (ITRE) dieron luz verde al texto, que todavía tiene que ser refrendado por ambas instituciones. Se espera que esto suceda entre finales de febrero y principios de marzo: hay pleno en Estrasburgo entre el 26 y el 29 de febrero.

"Es cuestión de semanas para que tengamos el reloj contando". Quien habla es Irene Hernández, la española fundadora y CEO de Gataca, uno de los proveedores tecnológicos más consolidados en este mercado de la identificación digital que apenas ha echado a andar. Gataca es el fruto de un spin off del MIT, el Instituto Tecnológico de Massachusetts (EEUU), donde Hernández investigó.

En una entrevista con Business Insider España, Irene Hernández resume el estado actual de la situación, con este nuevo e incipiente mercado pasando de fase —del cooperar al competir— y los retos y desafíos inmediatos que tendrá el Viejo Continente y el mundo entero para adoptar estos nuevos métodos para identificarse en el ámbito digital.

"Todavía hay mucho sujeto a debate", resume Hernández. Un reglamento europeo no puede permitirse prescribir una tecnología concreta. Pero sobre él se están construyendo consensos, algunos de los cuales todavía tardarán meses en concretarse.

Algunos de ellos se asentarán en los implementing acts o actos de ejecución que la Comisión Europea deberá disponer en un plazo de 6 y de 12 meses una vez el reglamento haya sido aprobado por el Consejo y por el Parlamento y este se haya publicado en el Diario Oficial de la Unión Europea.

España se apunta un tanto en Bruselas al aprobarse el reglamento de las carteras digitales, pero el acento español de esta tecnología va más allá

Estos actos de ejecución incluirán "las especificaciones" de las nuevas carteras digitales comunitarias así como "los requerimientos" para su implementación. Por ejemplo, el documento ARF, siglas en inglés de "arquitectura y marco de referencia", el marco sobre el que se podrán desarrollar las carteras europeas.

La primera versión del ARF, la 1.0.0, se lanzó en febrero del año pasado. Una segunda versión, la 1.1.0, se publicó meses después, en agosto. Se pueden ver los progresos en el repositorio de GitHub sobre el que están trabajando los especialistas. "Es el documento que definirá las especificaciones técnicas que deberá cumplir una cartera que emita un Estado miembro", apunta Hernández.

En él "se definen desde los protocolos de comunicación a usar para compartir y recibir credenciales de identidad hasta los formatos técnicos que se deberán usar para digitalizar dichos documentos". El problema es que el último documento ARF publicado ya está obsoleto, aunque desde Gataca indican que participan en su evolución "en el día a día".

"Todavía hay una gran discusión en cuanto a requerimientos", enfatiza. "Mucho de lo que se dice en ese documento hoy está muy a debate, lo que genera incertidumbre porque la decisión final hará que todas las soluciones que se vienen desarrollando —no solo de proveedores tecnológicos como nosotros, también de los consorcios que han trabajado en pilotos— cambien".

Por esa razón, aunque el acuerdo provisional del pasado 8 de noviembre en torno al reglamento eIDAS 2 fue un enorme paso adelante, lo cierto es que pasará un tiempo hasta que los Veintisiete hayan desplegado sus soluciones:

Una vez se publiquen los implementing acts, que aportará certidumbre al respecto, se abrirá un plazo de 2 años en el que los países tendrán que desplegar sus soluciones en producción. 24 meses, lo que abre una ventana hasta marzo de 2027 para que las carteras digitales europeas sean una realidad tangible.

El marco de confianza y los estándares de formato, los dos grandes debates pendientes

Pero, ¿cuáles son los grandes debates alrededor de las especificaciones técnicas que deberán tener estos sistemas de identificación digital? La CEO de Gataca los sumariza fundamentalmente en dos cuestiones: en la base tecnológica y en el estándar del formato de los datos que utilizarán estas herramientas.

Durante el desarrollo del reglamento eIDAS2, Bruselas impulsó la aparición de cuatro grandes consorcios privados que han ido desarrollando pilotos y demostraciones de esta tecnología a escala. Estos pilotos han explorado hasta 10 casos de uso que las carteras digitales abrazarán: diplomas universitarios, carné de conducir, identificaciones nacionales, apertura de cuentas bancarias...

Estos consorcios son Potential, Nobid, EWC o DC4EU, siendo este último el que más presencia de industria española ha tenido. Además de la propia Gataca, en el consorcio DC4EU han colaborado la Fábrica Nacional de Moneda y Timbre y varias universidades españolas, entre otras tantas instituciones.

"Ahora mismo hay cuatro consorcios y nosotros estamos como observadores en DC4EU", ratifica Irene Hernández. "Fruto del trabajo se están empezando a sacar especifidades" sobre esos requerimientos que deberían tener las carteras digitales, pero "la realidad es que [las carteras] tendrán que trabajar sobre marcos de confianza".

Y ese es el gran melón. "Ahí es donde está el gran debate. Hasta ahora, la Comisión Europea trabajaba junto con los Estados miembros en la Infraestructura Europea de Servicios Blockchain", la EBSI, por sus siglas en inglés. El blockchain es ya una tecnología específica, pero no es todavía la que definitivamente se haya designado para mantener todas las carteras que propone el eIDAS2.

"Es aquí donde de momento hay una discusión bastante activa, hay países que apoyan claramente la EBSI como marco de confianza en al menos ciertos dominios, como en el sector educativo. Pero también hay países que son casi antiblockchain, y otros países que le han dedicado mucho esfuerzo a EBSI". "Esa es un poco la casuística. Luego también hay diferencias a nivel industria".

España, por ejemplo, fue uno de los países pioneros en participar en el marco de la EBSI. Pero "la estructura gubernamental es compleja, hay intereses y evolución, y no pondría la mano en el fuego", apunta Hernández, sobre la eventualidad de que España acabe apostando por el marco EBSI para sus carteras digitales.

El otro gran debate pendiente de resolverse es el que tiene que ver con el formato de los datos en los sistemas de credenciales digitales. "En la última versión del documento Arquitectura y Marco de Referencia, ARF, se establece que el modelo de datos para las credenciales de tipo 1, es decir, los DNI, se deben emitir en dos formatos distintos que defienden la W3C o la ISO". 

"Nosotros venimos muy pegados a los estándares del W3C de cara al modelo de datos en credenciales digitales, mientras que ISO venía trabajando de forma independiente en la digitalización de los carnés de conducir", resume Irene. Es un tema técnico de enjundia, pero esta es un poco la cuestión:

"Cuando todo el mundo empieza a entender que la identificación digital irá mucho más allá de los carnets de conducir, W3C empieza a ganar peso porque su modelo es más agnóstico mientras que ISO empieza a evolucionar su propuesta para que adquiera un carácter más generalista".

La batalla, por ahora, ha terminado en tablas. La última versión del documento ARF —que tiene más de medio año de vida— no se decidió entre W3C o ISO, abrazó ambos modelos. "Mi opinión es que ha habido una batalla y quienes han ido apoyando a ISO vieron que lo hecho hasta ahora se podía ir al traste ante el creciente trabajo del W3C".

"Esta es una opinión estrictamente personal, no tengo certeza de qué sucedió, pero la impresión que me da al ver la última versión del ARF es que se quiso alcanzar un compromiso y en lugar de decidirse por uno u otro modelo se dijo que los dos continuaran", incide.

"Eso traslada más complejidad a los proveedores tecnológicos y a los gobiernos que tendrán que implementar una solución, porque se tendrá que seguir dos estándares con sus consecuentes evoluciones: lo hace mucho más complicado todo". "A nosotros en cierto modo nos da igual, tenemos capacidad de ser flexibles, pero el mantenimiento será más tedioso".

Gataca sigue creciendo tras levantar 1,3 millones: "El mercado se ha formado, es el momento de empezar a competir"

La certeza que sí ha despejado la aprobación provisional del reglamento eIDAS2 es que el mercado ya existe: "Hasta ahora veníamos trabajando en un mercado muy incipiente, la atracción comercial de las empresas a la identidad descentralizada a nivel mundial era limitada".

"No hablamos de empresas que se estén metiendo en un nicho de mercado preexistente, es que estamos creando un nuevo mercado". "En Gataca hemos tenido la suerte de tener clientes muy visionarios y desde muy temprano han pagado por probar nuestra tecnología: hemos vivido de nuestros clientes y de las subvenciones europeas. Hemos hecho bootstraping hasta ahora".

Pero "con el tema de la identidad digital" el mercado "ya se ha formado". "Ahora es el momento de empezar a competir", sonríe Hernández: "Hasta ahora el modelo del mercado ha sido el del co-opetition" —momento en el que la industria coopera—, "y ha sido un estado del mercado muy bonito porque hablábamos y seguimos hablando con nuestros competidores".

"Pero ya se está acabando: ahora hay que empezar a moverse. Por eso hemos decidido dejar de crecer orgánicamente, pero sin volvernos loco, porque no es sano levantar una ronda loca y meter 40 personas en plantilla cuando el mercado tampoco ha llegado a ese punto".

Gataca levantó el pasado mes de diciembre una ronda de financiación de 1,3 millones de euros impulsada fundamentalmente por Signature Ventures. "Es una ronda relativamente pequeña para duplicar nuestras capacidades y poder crecer más rápido, sobre todo en captura de mercado".

"A nivel de desarrollo tecnológico, me atrevería a decir que tenemos una de las soluciones más avanzadas del mercado, tanto en funcionalidad como en compliance con el eIDAS2. Lo que pasa es que ahora hay que ser capaces de ponerla en manos de los clientes, y para eso necesitábamos más personal".

"La interoperabilidad es el reto más grande": así es la carrera en Europa para lanzar las futuras 'carteras digitales' a ciudadanos y empresas

Ahora mismo Gataca tiene en plantilla 14 personas. "Y creo que nos plantaremos pronto, no queremos crecer en exceso, pero sí generar ese crecimiento que hasta ahora hacíamos de forma orgánica". Gataca, por lo demás, sigue teniendo sus principales oficinas en Madrid, a pesar de ser una firma con matriz estadounidense, al ser una spinoff del MIT, en Massachusetts.

"Europa se puede cubrir perfectamente desde aquí, somos una solución de software y no hace falta tener presencia local. Ya a día de hoy servimos a clientes belgas, italianos, portugueses… Tenemos clientes repartidos por Europa. Sí, nacimos con una vocación global y de no limitarnos en Europa, y también creemos que ya es el momento de empezar a ir más allá", avanza.

Durante los últimos tiempos, Gataca también ha estado poniendo en marcha pilotos de forma paralela al gran consorcio europeo en el que participa. Uno de ellos incluye tres universidades españolas: la Universidad de Murcia, la Universidad Carlos III de Madrid y la Universidad Rovira i Virgili, todo de la mano de la FNMT.

"La conclusión principal de todo este proyecto es que hay una curva de aprendizaje y que debe haber mucha comunicación no solo con las instituciones que lo implementen, sino con los usuarios", apunta Hernández. Esa curva de aprendizaje ya la han superado las propias universidades, que están ahora "en fase de ver cómo optimizan la experiencia de usuario".

"Para mí ha sido una experiencia muy positiva, una validación brutal de nuestra tecnología y sobre todo lo que me llevo es que la hemos validado a nivel de seguridad".

Precisamente con la inminente aprobación definitiva del eIDAS2 y la validación de la tecnología de Gataca, una última pregunta era obligada, ahora que el Gobierno de España ha configurado un comité de expertos para proteger a niños y adolescentes en entornos digitales, sobre todo restringiendo el acceso a contenidos "inadecuados" como la pornografía o la violencia extrema.

Una posible solución que podría implementar el Ejecutivo y llevar a Europa sería una app que restringiese a los menores el acceso a esos contenidos. La Agencia Española de Protección de Datos presentó tres pruebas de concepto —en Windows, iOS y Android— a finales del año pasado que demostraban que tecnológicamente viable.

Irene Hernández, de Gataca, sigue con interés todo el debate. "Se debe mantener la seguridad del menor, pero también su privacidad. Cualquiera que sea la solución debe garantizar ambas cosas y con las carteras digitales se podrá conseguir", explica.

Si un proveedor de ese tipo de contenido inadecuado solo necesita saber si una persona es mayor de edad o no, lo único que deberá recibir es un "sí" o un "no". "Con nuestra tecnología se puede hacer eso: está diseñada precisamente para hacer eso. No hay que montar un arco de iglesia si ya estamos trabajando en soluciones de identidad digital garantistas con la privacidad".