Nou impuls a la eAdministració catalana amb “sistemes alternatius al certificat digital”

El Govern de la Generalitat, a la reunió d’ahir, va decidir donar un nou impuls a l’Administració Electrònica, i preveu un estalvi d’uns 1.000 milions d’euros amb una inversió de tres.

Sens dubte cal felicitar-se de la iniciativa, però hi ha un tema que segur que portarà debat. Quan parla dels “sistemes alternatius al certificat digital”. Transcric:

Alternatives als certificats digitals: Obrir el món de la signatura digital als ciutadans i les empreses, oferint-los sistemes alternatius al certificat digital, amb menys requeriments. Aquests sistemes, si bé no són vàlids per a tots els casos, sí que ho són per a la majoria de tràmits que actualment es duen a terme amb l’Administració. Amb aquesta actuació es preveu incrementar significativament l’ús de l’administració electrònica per part de col·lectius poc familiaritzats amb les tecnologies de la informació.

He de reconèixer que tinc un sentiment contradictori amb aquest acord en funció de com finalment es desenvolupi.

Soc dels que he defensat (i defenso) que els certificats digitals no són un bon sistema d’autenticació. Tenen diversos problemes d’usabilitat que ha portat a que els usuaris no en facin ús. És per això que fa anys que participo en iniciatives com OpenID i segueixo força d’aprop les iniciatives nordamericanes de la ICAM i del NSTIC. Es a dir, crec que la identidad digital no passa (o no passa només) pels certificats digitals, tot i que aquests ens poden ajudar a donar seguretat a d’altres identitats que avui utilitzem diàriament (google, microsoft live, facebook, twitter …)

Ara bé, que els certificats digitals no siguin un bon sistema d’autenticació no significa que no siguin adequats per a la signatura. No és el mateix autenticació que signatura. Els models basats en criptografia asimètrica s’han demostrat els més eficaços per a garantir la seguretat jurídica dels documents signats. Cal facilitar-los i fer camins més usables (en això hi ha força gent que estem treballant i avui tenim solucions adequades) però el “joc dels barquets” (les targetes de coordenades de la banca electrònica) no pot ser una alternativa.

Conclusió: Espero que es separi clarament l’autenticació de la signatura i, que a l’autenticació ens apropem a les tendències internacionals d’identitat digital sense renunciar a sistemes que facin us de models PKI per a la signatura electrònica.

Empieza la obligatoriedad de la eFactura en Catalunya

El pasado 30 de diciembre de 2011 se publicó en el DOGC la Llei 10/2011, del 29 de desembre, de simplificació i millorament de la regulació normativa que formaba parte del paquete denominado lleis òmnibus que tanto debate generaron. El intenso debate no permitió ver a primera vista una perla que descubrí gracias a los tuits de Joan Anton Olivares i Oriol Bausà.

La perla en cuestión la encontramos en la disposición adicional cuarta, cuando dice:

… es decir, que la factura electrónica es condición de ejecución de los contratos del sector público.

Sin duda, una gran noticia desde todos los ámbitos (medioambiental, productividad, impulso de las TICs ….)

Temps de Canvis (i III). El canvi professional.

Porto més de 10 anys treballant en temes de PKI, de seguretat jurídica de les TIC, de signatura electrònica i de les seves aplicacions (com la factura electrònica). Pràcticament el 40% de la meva carrera professional.

Vaig començar a tocar aquests temes a IBERNET Telemàtica, vaig aprofundir a Doc On Time i a ANCERT, i als darrers quatre anys he estat desenvolupant aquest negoci al Grup Interactiva (ALBALIA, Atenea i EADTrust).

Crec que en general, en aquest sector hem estat massa “fundis”, el que ha provocat que els usuaris no estiguin fent ús de les solucions que em posat al seu abast i que ofereixen “tanta” seguretat jurídica. El desenvolupament de les xarxes socials i, l’impacte que te sobre els conceptes d’identitat digital fa que calgui repensar moltes coses i definir nous models.

En això estic. Deixo de formar part “orgànicament” del Grup Interactiva (tot i que seguiré col·laborant com a consultor extern) i arrenco un nou camí com a “freelance” que em permetrà col·laboracions més flexibles amb diverses entitats (pel moment amb ALBALIA, PIMEC, Red.es, NJOI.it …) , i anar construint models i solucions de seguretat jurídica a les TIC pels anys que venen.

Agrair a totes les persones amb que col·laborat a aquesta etapa a ALBALIA Interactiva, especialment al Julián, el Fernando, la Maria Luisa i l’Iván, pel molt que he aprés d’ells. També als clients, col·laboradors i amics. Se segur que amb tots seguirem fent coses plegats en el futur.

Fotocopia compulsada del DNI

Este es un “post de servicio”, dado que para un determinado trámite administrativo me han requerido una fotocopía compulsada de mi DNI y lo he conseguido 😉

Lo primero que quiero decir es que es poco justificable que, casí 20 años después de la aprobación de la Ley de Procedimiento Administrativo (Ley 30/1992), se sigan solicitando en muchos procedimientos fotocopias de DNI y, en algunos casos, fotocopias compulsadas, sin considerar que las AAPPs no deben pedir datos que ya tienen, y, deben considerar criterios de “proporcionalidad” …. Pero bueno, esto es otra guerra …
A lo que vamos, ¿donde y como se puede conseguir una fotocopia compulsada del DNI?
Como regla general la “compulsa” (cotejo según la Ley 30/1992) la realiza el registro de entrada donde se realiza el procedimiento. No era mi caso ya que yo estoy en Terrassa y el organismo receptor (y su registro) estaba en Madrid, y yo tenía que mandar la documentación por correo certificado …
En consecuencia, la alternativa es que el “cotejo” lo realice el organismo emisor del documento, en este caso la Dirección General de la Policia, que tenemos la “suerte” que dispone de comisarias distribuidas por todo el territorio …
Dado que no he encontrado en Internet ningún sitio de la policia donde explique como solicitar la compulsa, explico como lo he conseguido yo en la Comisaria de Terrassa.
  • La compulsa la realizan en la “mesa 1”, que en Terrassa es la mesa donde se van a recoger los documentos (NIE, etc ..). Es decir, que no hay que “meterse” en las colas del DNIe, ni otras … (a mí me han hecho hacer la cola por pardillo …).
  • A la “mesa 1” hay que llevar DOS fotocopias (una para tí y una para ellos). Si llevas una sola, te mandan a hacer otra (mi caso ….)
  • Las fotocopias deben tener el anverso y el reverso del DNI en linea, en la misma página arriba del todo (en las mias el DNI estaba en medio, y no les ha gustado ….)
Con todo esto, conseguir la compulsa de la fotocopia es algo inmediato.
Claro, la pregunta es … y ¿donde está la Administración Electrónica?. Cada vez que me acerco a hacer trámites con AAPP me doy cuenta lo lejos que estamos …

Seminario de Identidad Digital 2.0 – Abril 2010 (Madrid)

Después de diversos seminarios (eAdministración, eFactura, …) en que hemos incluido temas de Identidad Digital, desde Atenea Interactiva se ha decidido hacer una seminario específico, el próximo 14 de abril en Madrid.

Me apetece especialmente este seminario, que compartiré con Julián Inza, al ser uno de los grandes temas a resolver para el desarrollo de la Sociedad de la Información y el Conocimiento; y en el que estoy trabajando e investigando en los últimos tiempos (como puede verse en las entradas de este blog).
En concreto, intentaremos explicar como vemos la inevitable convergencia entre los sistemas de certificación digital (como el DNI electrónico) y las iniciativas internacionales de identidad digital (como OpenID). Para ello hemos puesto en marcha en EADTrust un IdP Testing Service de OpenID que utiliza el DNIe para reforzar el registro.
Ya hay inscritos diversos profesionales expertos en Certificación Digital, DNIe y Gestión de Identidades, por lo que preveo un debate muy interesante y enriquecedor.

Translate to EnglishTraduir al català

Notificaciones electrónicas. Hagámoslo fácil.

No hay duda que, en el procedimiento administrativo, las notificaciones son uno de los elementos de más alto coste, tanto económico como medioambiental (papel, energía fósil para la entrega, etc …). En un momento en el que una gran mayoría de personas disponemos de acceso a internet y de teléfonos móviles, que las notificaciones sigan siendo en papel a un domicilio donde, demasiadas veces ya no vivimos, no tiene ningún sentido.
En el 2003, participé en el desarrollo del sistema de notificaciones electrónicas impulsado por la FNMT y Doc On Time, al amparo del recién aprobado Real Decreto 209/2003. La posterior aprobación de la Orden PRE/1551/2003 significó, de facto, que el sistema desarrollado por Correos se convirtiera en el sistema “oficial” en el ámbito de la AGE. La realidad, hasta la fecha, es que las notificaciones electrónicas han sido algo testimonial.
A mi entender, tres han sido los motivos del poco uso de las notificaciones electrónicas:
  • Primero, no se ha sabido explicar las ventajas para la ciudadanía y dado que, habitualmente recibimos “malas noticias” mediante notificaciones, no nos sentimos motivados a agilizar el trámite. La realidad es que nos interesa recibir las notificaciones, y recibirlas lo antes posible, ya que lo contrario significa que se consideren rechazadas (art 59.4 de la Ley 30/1992)
  • Por otra parte, la puesta en marcha de la DEU (Dirección Electrónica Única) generó “de facto” que el sistema oficial fuera el de Correos, impidiendo la libre competencia, y en consecuencia la mejora constante de los posibles sistemas.
  • Y finalmente, el requerir más garantías en el sistema electrónico que en el convencional, lo hizo poco funcional y operativo.
La aprobación de la Ley 11/2007 siguió manteniendo dudas sobre los modelos de notificación electrónica. Personalmente, creo que no se debía haber desarrollado una nueva ley, que puede entrar en contradicciones con la Ley 30/1992 de Procedimiento Administrativo, y que al ser del mismo rango, puede generar inseguridad jurídica. Hubiera sido más adecuado reformar la Ley 30/1992 en lo que fuera necesario.
En el caso concreto de las notificaciones, entre ambas leyes se producen contradicciones ya que, según la Ley 30/1992 “Las notificaciones se practicarán por cualquier medio que permita tener constancia de la recepción por el interesado…”, e incluso “Cuando la notificación se practique en el domicilio del interesado, de no hallarse presente éste en el momento de entregarse la notificación podrá hacerse cargo de la misma cualquier persona que se encuentre en el domicilio y haga constar su identidad”.

En cambio, según la Ley 11/2007 “El sistema de notificación permitirá acreditar la fecha y hora en que se produzca la puesta a disposición del interesado del acto objeto de notificación, así como la de acceso a su contenido. Es decir, el concepto “constancia de la recepción” se convierte en dos: “puesta a disposición” y “acceso al contenido”. Estos conceptos fueron heredados del modelo definido por el Real Decreto 209/2003, entiendo que, para mantener su validez.
Mi sensación, con la aprobación de la Ley 11/2007 es que habíamos avanzado poco, y que seguíamos con un sistema, que en función de su desarrollo reglamentario, podía ser poco operativo y, en consecuencia poco utilizado. En cualquier caso, la Ley 11/2007 introducía algunas cosas que permitían un cierto optimismo:
  • Art 27.5: Los requisitos de seguridad e integridad … se establecerán … con criterios de proporcionalidad.
  • Art. 27.6: … las AAPP podrán establecer la obligatoriedad de comunicarse con ellas utilizando solo medios electrónicos …
  • Art. 28.5: Producirá los efectos propios de la notificación por comparecencia el acceso electrónico por los interesados al contenido …
La reciente aprobación, en el ámbito de la AGE, del Real Decreto 1671/2009, de desarrollo parcial de la Ley 11/2007, supone un cambio de rumbo hacia el camino del uso generalizado de las notificaciones electrónicas. Estable cuatro mecanismos para la práctica de las notificaciones:
  • El primero, regulado por el artículo 38, se refiere al modelo clásico (el del Real Decreto 209/2003), pero eliminando el concepto de DEU (es decir, incorporando competencia) y sin requerir específicamente el uso de certificados digitales (“Poseer mecanismos de autenticación para garantizar la exclusividad de su uso y la identidad del usuario”).
  • El segundo, regulado por el artículo 39, mediante sistemas de correo electrónico con acuse de recibo. El modelo anterior surgió debido, fundamentalmente, a la poca seguridad del correo electrónico convencional. Si ponemos en marcha sistemas de correo electrónico que ofrezcan dicha seguridad, es suficiente.
  • El tercero, regulado por el artículo 40, mediante comparecencia electrónica en la sede del interesado, debidamente identificado. Es decir, la notificación electrónica deja de ser de un modelo de “todo en uno”, y permite separar la “puesta a disposición” (por ejemplo, mediante la publicación en la “carpeta del ciudadano” y en envío de un aviso por correo electrónico, o incluso por SMS) y “el acceso al contenido”, a través de la sede electrónica.
  • Y finalmente, establece un mecanismo de extensión, para otros sistemas que puedan aparecer, siempre que cumplan con los requisitos establecidos.
Aplaudo el modelo definido por dicho Real Decreto que, aunque solo afecta a la AGE, debería ser seguido por el resto de AA.PP. Quiero resaltar además un aspecto de la Ordenanza reguladora de la Administración Electrónica del Ayuntamiento de Barcelona, que también puede tomarse como modelo. En su artículo 30.2 dice “En los procedimientos administrativos electrónicos iniciados a instancia de parte, se presumirá la existencia de la aceptación…”.

La conclusión es que la regulación de las notificaciones electrónicas debe facilitar su definitivo despliegue y permitir reducción del uso de recursos y un aumento de la productividad e incluso de la seguridad jurídica de la ciudadanía.

Translate to EnglishTraduir al català

Próximas charlas de eAministración y eFactura

En los próximos días me toca dar algunas charlas. Pongo aquí los enlaces para quien le interese asistir:

Se están programando más charlas y conferencias que iré puntualmente avisando.
Nos vemos.

Translate to EnglishTraduir al català

¿Será Twitter LA Red Social? ¿Sólo eso?


Debo reconocer que mi llegada a twitter ha sido tardía. Mi alta y mi primer tweet se produjeron en diciembre de 2008, pero no fue hasta el mes de Julio que empecé a usarlo con cierta asiduidad. No conseguía verle el valor frente a redes como Facebook o Linkedin tal como comenté en el blog de Enrique Dans. Sé que mi sensación era compartida por otros (como Héctor Sánchez describe en su blog).

En estos momentos mi opinión ha cambiado (soy durillo, pero termino entendiendo las cosas .. :), e incluso el tema me empieza a preocupar.
Twitter es KISS y tiene elementos que le aportan un gran valor:
  • Las APIs que permiten desarrollar aplicaciones de todo tipo y que hace que los “tweets” procedan de todo tipo de herramientas distintas (yo suelo usar TweetDeck, PockeTwit, TwitterFeed, TwitPic) que permite enlazarlo con prácticamente todo (por otra parte, gracias a un buen nivel se seguridad que ofrece OAuth).
  • El modelo SMS, con un uso muy extendido entre determinados grupos de población, y donde seguramente más se han mezclado Internet y los teléfonos móviles. La gran mayoría de Tweets que leo provienen de móviles (sobre todo de los málditos iPhones con su Echofon) y ofrecen el seguimiento en tiempo real de cualquier actividad (con fotos incluidas).
  • Haber generado un lenguaje propio (tweets, retweets, hashtags, trending topics, followers …), que tanto nos gusta a los frikies que nos ofrece sensación de formar parte de un grupo “especial” ..
  • Utilizar el modelo de seguidores (followers) en lugar del modelo de amigos. De esta forma el modelo de red crece sin necesidad de aceptación mutua. Además esto acaba dando un gran valor a los retweets (el “pásalo” del los SMSs), que ofrece un efecto multiplicador para muchas iniciativas (se vio en Irán, en Haití o en la famosa ley de descargas …).
  • Los hashtags, que permiten facilitar el seguimiento de los temas de interés y que por otra parte han aumentado el modelo de lenguaje propio (#ff, #recomendar ..)
Sinceramente creo que Twitter no va a competir en las redes sociales (en los modelos de Facebook, Linkedin o Tuenti). En mi modesta opinión Twitter va a competir en un modelo de comunicación global, especialmente con aquellos que quieren sustituir a nuestro antiguo modelo de correo electrónico (p.e. Google Wave).
El correo electrónico, pieza fundamental en el desarrollo de Internet, siempre fue a la vez la pieza más débil. No es ni fiable ni seguro (la mayoría de ataques se aprovechan de la debilidad del modelo de correo electrónico que usamos), y somos muchos los que creemos que tarde o temprano deberá superarse.
Sinceramente creo que Twitter está muy bien situado para ello. Damos nuestra dirección de twitter (por si alguien todavía no sabe la mia es @santicasas 🙂 de la misma forma que antes dábamos nuestra cuenta de correo. Mentalmente vamos haciendo esta asociación pero, como diría Alejandro Sanz: “No es lo mismo” (no se si por citarlo deberé pagar a la SGAE…).
No es lo mismo, por un motivo fundamental. El sistema de correo electrónico es un sistema distribuido, donde nadie tiene el control sobre todo el sistema (aunque es cierto que Google y Microsoft acaparan un buen número de cuentas de correo electrónico). Twitter es un sistema centralizado en el que todos dependemos del Señor Twitter ….
Sinceramente, me preocupa …

Translate to EnglishTraduir al català

¿OpenID en la eAdministración norteamericana?


El pasado 10 de agosto se realizó el Open Government Identity Management Solutions Privacy Workshop, donde responsables TIC del govierno de los EEUU se reunieron con representantes del sector de los prestadores de identidad digital, para hablar de los planes del gobierno de evaluar a las entidades del sector privado de OpenID e InfoCard, y que sus sistemas sean usados para acceder a los servicios de las “sedes electrónicas” de los organismos gubernamentales. Si dichos planes avanzan, en el futuro será posible acceder a dichas sedes electrónicas mediante las credenciales favoritas de los usuarios de OpenID. Google, Microsoft, Facebook u otras cuentas deberán considerarse como nuevos elementos claves en la eAdministración norteamericana.

En general, dichos sistemas de identidad digital se están considerando como mecanismos para procedimientos que no requieran una alta seguridad en la autenticación (NIST level 1). La certificación de los prestadores correrá a cargo de los llamados “Trust Framework Providers” y sus procedimientos están recogidos en el borrador “Trust Framework Provider Adoption Process for Levels of Assurance 1, 2, and non-PKI 3”. La OIDF (OpenID Foundation) y la ICF (Information Card Foundation) redactaron conjuntamente un documento previo titulado “Open Trust Frameworks for Open Government” muy clarificador y de recomendable lectura.
Es un modelo similar al utilizado en la normativa europea respecto a los Prestadores de Servicios de Certificación en el ámbito de la firma electrónica, donde en España, ASIMELEC ha creado el Esquema de Certificación de Prestadores de Servicios de Certificación, que preside mi colega y amigo Julián Inza.
El gobierno estadounidense ha creado un programa (ICAM – Federal Identity, Credential, and Access Management) específico donde quiere hacer convivir el modelo federal de PKI con los sistemas de identidad digital del mercado. Los borradores de la ICAM incluyen en su resumen ejecutivo la siguiente declaración de intenciones:

Es objetivo prioritario del gobierno impulsar los recursos de la industria siempre que sea posible. Para apoyar la administración electrónica, la ICAM tiene como objetivo potenciar la industria basada en las credenciales que los ciudadanos ya tienen para otros fines.

Espero sinceramente que los responsables en el desarrollo de la Administración Electrónica española y en el despliegue de la Ley 11/2007 y el proyecto STORK europeo tomen buen ejemplo.

Translate to EnglishTraduir al català

Registro Civil, en el siglo XIX


Justo estaba pensando con escribir este post, cuando he visto el publicado por Félix Serrano en su blog titulado: “La Administración de los garbanzos“. Da risa pensar que el Registro Civil será capaz de cumplir, el próximo mes de enero, con el nuevo derecho que tenemos los ciudadanos a relacionarnos telemáticamente con las administraciones públicas (Ley 11/2007 dixit).

Como algunos sabeis, con Carme, hemos decidido casarnos este año. No soy experto en el tema (es la primera vez que me caso), y me enteré que tenia que iniciar el expediente en el registro civil donde alguno de los conyugues esté domiciliado. Yo estoy domiciliado en Terrassa, así que me fui tranquilamente a iniciar el expediente (que yo consideraba un puro trámite) al Registro Civil de Terrassa (presencialmente, por supuesto ni me planteé la posibilidad de hacerlo telemáticamente).
La sorpresa fue mayúscula. Los plazos: iniciando el trámite a principios de mayo, la amable funcionaria me comentó que no esperara tener finalizado el mismo (y en consecuencia podernos casar) antes de Diciembre … absolutamente increible.
Y por otra parte, el papeleo. La mayoría de documentación, certificados literales de nacimiento o matrimonio (en caso de divorcio), son documentos de los que dispone el propio Registro Civil, pero te los piden a ti (¡¡¡ para que el expediente sea más rápido !!!). No creo que en el siglo XIX las cosas fueran más dificiles.
Finalmente conseguiremos casarnos en fecha gracias a seguir dos estrategias:

  • Iniciar el expediente de matrimonio en el Juzgado de Paz de Badia del Vallés, que al ser más pequeñitos parece que son más ágiles.
  • Convertirnos en los aportadores oficiales de documentación al Registro Civil, realizando no menos de diez trámites entre registros civiles y ayuntamientos para ir montando el expediente.
¿Hay alguien en el Registro Civil que sepa que les aplican las leyes 30/1992 y 11/2007?
¿O es una una estrategia para asegurarse que uno solo se casa una vez?

Translate to EnglishTraduir al català