Por: Juan Carlos Escudero, Director de desarrollo de negocio de IPSA
Desde lo que podríamos denominar “identidad física” como el conjunto de datos básicos inherentes a una persona que son obligatoriamente registrados (fecha de nacimiento, sexo, lugar de nacimiento, nombre y apellidos…), con la economía digital hemos llegado a la “identidad digital”, entendida como toda aquella información relacionada con una persona que se encuentra distribuida por las redes sociales y otros servicios de Internet, y de la que no somos totalmente conscientes.
Otro fenómeno que se ha producido es la expansión del concepto de Identidad tanto a Personas Jurídicas (empresas, instituciones, …) y a Activos (especialmente con el auge de la Internet de las cosas).
Además de su propia evolución o expansión, la identidad se ve asociada a diferentes marcos regulatorios: unos tratan de preservar derechos de las personas (p.e. leyes de protección de datos), otros regulan transacciones financieras o intentan prevenir actos delictivos (p.e. leyes para evitar fraudes, blanqueo de capitales o financiar el terrorismo).
Este escenario ha convertido a la identidad en una industria en desarrollo que incluye servicios, plataformas, así como elementos de hardware y software que permiten que una persona se identifique y sea autenticada, obtenga los permisos para acceder a determinados recursos y realice transacciones a través de Internet o redes privadas.
En esta creciente industria se revelan con gran incidencia nuevas soluciones tecnológicas (Big Data, Blockchain, …), pero también nuevas problemáticas (como el caso reciente de Facebook y Cambridge Analytica con la utilización de información de más de 50 millones de cuentas para influir en las últimas elecciones en USA).
En este artículo vamos a profundizar en la transcendencia en el momento actual y, sobre todo, en un futuro inmediato de esta industria: la Identidad. También trataremos cuál es la visión de ADDALIA en torno a la “Industria de la Identidad”, su posicionamiento y las soluciones que aporta.
¿Qué es la Identidad?
Para empezar, y dejando fuera las definiciones académicas, podemos decir que la identidad es el hecho de que una persona (o una entidad jurídica o un activo/cosa) es quien es.
Sin embargo, en la práctica, la identidad no es un concepto genérico, sino que está relacionado con el tipo de transacciones que realizamos. Por tanto, la identidad consiste en el conjunto de atributos a verificar por una de las partes de una transacción para que ésta se lleve a cabo. Así podemos decir que la identidad es el hecho de que una persona es quien es y que tiene los atributos necesarios para realizar unas determinadas transacciones. De este modo, una persona podría disponer simultáneamente de varios tipos de identidades (financiera, sanitaria, etc…) que utilizaría convenientemente en sus diferentes transacciones.
El ciclo de uso de la identidad
Una vez establecido el vínculo identidad-transacción, vamos a tratar el ciclo de uso de la identidad: las acciones fundamentales que se realizan sobre la identidad para llevar a cabo una transacción. El primer paso, siempre necesario, será crear la identidad (que constituirá el núcleo de un cierto tipo de transacciones) y sobre las que se podrán llevar a cabo algunas operaciones clave (Verificación, Autenticación y Autorización) en función del tipo de transacción. Veamos en qué consisten estas acciones fundamentales.
TAMBIÉN TE PUEDE INTERESAR
Procesos financieros automatizables con RPA
A. Creación de Identidad – Pregunta: ¿Quién eres?...
Crear una identidad es construir una nueva interpretación de una identidad para ser usada en unas determinadas transacciones. En este proceso se establecen las credenciales de confianza que se podrán usar en futuras transacciones.
Así, la creación de identidad es un proceso autoritativo que demarca un atributo particular o un conjunto de atributos de un individuo, entidad o cosa, de tal manera que los atributos pueden ser usados en transacciones futuras para demostrar la existencia y singularidad de ese individuo, entidad o cosa.
En la introducción ya comentamos que para la mayoría de las personas la creación de una identidad física se lleva a cabo en forma de un registro de nacimientos gubernamental. Sin embargo, este mecanismo de identificación que nos resulta tan familiar no existe en todos los países, cifrándose en unos 1.500 millones las personas que carecen de identidad en el mundo, lo que supone un problema si tenemos en cuenta que la identidad está considerada como un derecho fundamental por la ONU.
Existen otros procesos de creación de identidades por parte de las Administraciones Públicas o entidades autorizadas como el Documento Nacional de Identidad (DNI) o el número de Identificación Fiscal (CIF), el Carnet de Conducir o el Certificado Digital para firma electrónica.
Respuesta:… Ya tienes identidad
B. Verificar la Identidad (Prueba de Identidad) – Pregunta: ¿Cómo probamos quién eres?...
Verificar la identidad consiste en demostrar que los atributos de identidad específicos están realmente conectados a la persona (entidad o cosa) que se supone que deben representar.
Es un proceso de confirmación de al menos un atributo de un individuo o entidad, ya sea a través de la auto-certificación o la confirmación de un tercero. La verificación también se conoce a veces como prueba de identidad.
La acción de verificar la identidad se suele llevar a cabo al comienzo de una transacción con un proveedor de servicios. La Verificación es un requisito exigido en el contexto de los servicios financieros en cumplimiento de los protocolos KYC y AML. El mecanismo más usado para verificar la identidad es la presentación física de un documento de identificación.
En la actualidad hay servicios que no requieren verificación, como por ejemplo en sitios web y redes sociales donde se pueden crear cuentas utilizando pseudónimos sin proporcionar ningún atributo de identidad.
Los procesos para verificar la identidad suelen ser lentos, costosos para los proveedores de servicios y engorrosos para los usuarios. Además, han de cumplir la normativa en cuanto a salvaguardia y protección de la información.
Con la solución IDDILIGENCE de ADDALIA apoyamos a las entidades financieras y empresas “regtech” a automatizar los procesos para verificar la identidad.
IDDILIGENCE realiza un análisis automático de la información sensible de documentación aportada por el cliente en los procedimientos de verificación de lo que podríamos denominar “identidad financiera”, en los que además de comprobar la identidad física (a través de documentos de identidad establecidos como el DNI), también se verifican la capacidad y la voluntad de atender a futuras obligaciones económicas (para ello se utiliza documentación como nóminas, declaraciones de renta, facturas de servicios, extractos bancarios, etc.).
Integrando IDDILIGENCE en sus procesos de análisis y decisión, nuestros clientes realizan los procesos para verificar la
identidad de forma exhaustiva, ágil y eficiente asegurando, además, el cumplimiento de las normativas KYC y AML vigentes.
Respuesta: Vale, tenemos pruebas de tu identidad.
C. Autenticación de Identidad – Pregunta: ¿Cómo sabemos que todavía eres tú?...
La Autenticación demuestra la propiedad y el control de una característica única conectada a una identidad a lo largo del tiempo.
Proporciona, por tanto, una evidencia única de propiedad de una determinada identidad.
La Autenticación realiza además el proceso de determinar que uno está realizando transacciones con la misma entidad iterativamente en el tiempo.
Existen diversos métodos para realizar procedimientos de autenticación en línea, los más eficientes utilizan múltiples factores que se basan en combinar algo que el usuario conoce (p.e. contraseña), algo que el usuario tiene (p.e. smartphone), algo que el usuario es (p.e. huella digital) o algo que hace el usuario (p.e. repetir una frase).
El ejemplo clásico de autenticación en Internet es utilizar el par de datos Usuario y Contraseña. Sin embargo, se considera que entre el 70-80% de los usuarios reutilizan contraseñas en diferentes cuentas lo que supone un alto riesgo en caso de pirateo de alguna de ellas.
Respuesta: Las pruebas que tenemos son auténticas.
TAMBIÉN TE PUEDE INTERESAR
La aportación de las soluciones de Addalia al cumplimiento normativo de las entidades de crédito
D. Autorización de Identidad – Pregunta: ¿Qué obtienes una vez que sabemos que eres tú?...
El proceso de Autorización determina lo que un usuario puede y no puede hacer en función de su identidad.
Es el proceso de determinar qué derechos o privilegios debe otorgarse a un individuo o entidad.
La autorización suele requerir una combinación de verificación y autenticación. Por ejemplo, un servicio de TV on-line nos permite acceder a los canales contratados en un determinado país. Si nos encontramos en otro país puede ser que no podamos ver ciertos contenidos ya que el servicio utiliza como atributo de identidad el país para realizar la verificación correspondiente.
Los procedimientos de autorización requieren gran cantidad de recursos para realizar los procesos de verificación y autenticación asociados. Uno de los mecanismos que se utiliza para simplificar procedimientos se basa en autorizar directamente a los dispositivos (ordenador, smartphone, etc.).