Tarjetas inteligentes en Europa: Introducción

Hoy iniciamos una serie de posts titulada “Tarjetas inteligentes en Europa”.

Nuestra intención es describir la avalancha de tarjetas que se avecina en Europa en los próximos 5 años, alertar de la magnitud de un fenómeno que promete/amenaza con transformar literalmente la forma en que hacemos comercio electrónico y proponer una estrategia realista para evitar que este cambio corrompa el internet que todos amamos.

¿Qué es una tarjeta inteligente?

Una “tarjeta inteligente” (en inglés, “SmartCard”) es una tarjeta, similar a una tarjeta de crédito, que incluye un chip/miniordenador capaz de ejecutar distintos tipos de aplicaciones, entre ellas “autenticación” y “firma electrónica”.

Esta es una tarjeta inteligente emitida por el gobierno portugués:

Esta es una tarjeta inteligente emitida por un banco belga:

Esta es una tarjeta inteligente emitida por una telco alemana:

La idea principal: Un montón de organismos distintos en un montón de países están emitiendo un montón de tarjetas inteligentes.

Hay 2 tipos de tarjetas inteligentes, dependiendo del tipo de chip:

• Tarjeta inteligente con chip de memoria: Más baratas. Contienen solo memoria no volátil, realizan una sola función y no procesan datos. No son capaces de realizar firma electrónica. Su uso predomina en tarjetas de Transporte, PayTV, Seguridad corporativa, Prepago teléfono, Fidelización, etc. Las tarjetas memoria se están haciendo obsoletas. Representa el 4% del valor del mercado y su demanda sigue creciendo pero solo a un dígito.
• Tarjeta inteligente con chip microprocesador: Más caras. Son una especie de mini-ordenador que incluye procesador, memoria y sistema operativo dentro del chip. Pueden ser uni-aplicación o multi-aplicación, en cuyo caso, el microprocesador es capaz de ejecutar distintas aplicaciones, incluída la autenticación y la firma electrónica. Su uso predomina en tarjetas del gobierno (“e-IDs”), banca (“EMV”), telco (“SIM”), sanidad, etc. Las tarjetas microprocesador representan el futuro de las tarjetas inteligentes. Son aplicables a un amplio conjunto de sectores, la mayor parte de los cuales están en las primeras fases de desarrollo. Representan 96% del valor de mercado y su demanda sigue aumentando.

¿Por qué debería importarme?

Porque una tarjeta inteligente con chip microprocesador puede permitir autenticación fuerte (verificación de identidad) y firma electrónica. Ambas (autenticación y firma) son herramientas extremadamente poderosas y pronto serán ubícuas. El despliegue masivo de tarjetas inteligentes con autenticación y firma electrónica tienen el potencial para cambiar la forma en que interactuamos en internet, hacemos comercio electrónico o nos enfrentamos al anonimato y la privacidad online.

Aún hay más. Europa, tanto por tecnología como por legislación, es el epicentro del tsunami:

1. Tecnología: Europa es el lugar que concentra y concentrará el mayor número de “tarjetas inteligentes capaces de firma electrónica” del mundo. No es que Europa ya posea más del 50% de tarjetas inteligentes del mundo (300 millones, según el “Deutsche Bank Smart Cards report 2007″) sino que, además, como demostraremos en esta serie de posts, está a punto de recibir 1.000 millones de tarjetas inteligentes con chip microprocesador provenientes de gobiernos y bancos.
2. Legislación: La Directiva europea 1999/93/CE de firma electrónica denomina “firma electrónica cualificada” a la firma electrónica más avanzada posible y le atribuye la misma eficacia que la firma manuscrita. Para que una firma electrónica tenga el status de “cualificada” debe ser generada por un “Dispositivo Seguro de Creación de Firma” como por ejemplo (sí, lo has adivinado) el chip de una tarjeta inteligente. Y sí, has oído bien: “misma eficacia que la firma manuscrita“. Así las cosas, las discusiones sobre si la tecnología utilizada es segura son irrelevantes. La ley, por defecto, presume que lo es. Si una de las partes denuncia la firma, le corresponde a esa parte la carga de la prueba, es decir, demostrar que la tecnología y procesos utilizados en esa firma electrónica cualificada en concreto no fueron seguros. (pssst, dejadme que os ahorre el suspense: nadie lo va a hacer). Una tecnología bendecida por la ley. Jaque mate. Fin de la discusión. Hemos estudiado 30 países (EU-27 más Croacia, Turquía y Liechtenstein) y todos han implantado la Directiva. En resumen, Europa disfruta de una legislación uniforme de “firma electrónica cualificada” que equipara firma electrónica a firma manuscrita.

El despliegue masivo de tarjetas inteligentes con firma electrónica respaldada por ley promete grandes beneficios (relaciones más ágiles con la administración, comercio electrónico seguro, menores comisiones bancarias…) pero también serias implicaciones en tus derechos y libertades como ciudadano y consumidor. Sorprendentemente, ya sea por desconocimiento, incredulidad o ceguera voluntaria, este tema no está recibiendo la atención que merece por parte de la comunidad internet.

Todos sabemos lo que pasa cuando te niegas tomar una decisión; la realidad decide por tí.

¿Por qué nadie habla de esto?

Hay tres razones:

1. Nos guste o no, la “conciencia” de internet, los A-list bloggers, los principales pensadores y analistas de la red están en EE.UU. Nos guste o no, los europeos solemos hacernos eco de los movimientos, iniciativas y debates que se generan en EE.UU y allí no conocen, no entienden o no les interesa lo que pasa en Europa.
2. La mayoría de europeos piensa que esto no es nada nuevo. Las tarjetas inteligentes llevan dando vueltas muchos años y no ha pasado nada. No se dan cuenta de que se refieren a tarjetas “con chip de memoria”, no a tarjetas “con chip microprocesador”. Por fuera parecen lo mismo, por dentro no lo son.
3. Mucha gente duda que la “firma electrónica” vaya a ser un éxito de adopción. La firma electrónica y las infraestructuras de clave pública (PKI) llevan dando vueltas muchos años y no ha pasado nada. No se dan cuenta de que, si no ha triunfado antes, no ha sido por un problema de tecnología, sino de negocio. Antes no había “business case“: ningún empresa estaba dispuesta a asumir el coste de emitir tarjetas con firma a sus empleados, proveedores y clientes. Ahora que los costes han caído en picado, los gobiernos europeos han decidido asumirlos y obligar a los bancos a hacer lo mismo.

Esta vez va en serio. La pelota está en nuestro tejado.

Próximo post: “Tarjetas inteligentes en Europa: Avalancha de e-ID“.

Por David Blanco
Guardado en: Firma digital, Identidad, Internet | 1 comentario » | 25 de Marzo de 2008