Medidas de guerrilla para mejorar la implantacion del DNIe en el sector privado

Hace unos días Eva Fernández Suarez, Redactora del Diario de Navarra, me pidió que respondiese a unas preguntas para un nuevo artículo que estaban preparando sobre el DNI electrónico. Podéis consultar el artículo, tal y como fue publicado, en la web y en papel (pdf). A continuación, incluyo el texto completo de preguntas y respuestas:

1. ¿Qué relación tienen o han tenido vuestros proyectos profesionales con la implantación del DNIe en España?

Tractis ofrece una plataforma de verificación de identidad y contratación electrónica que permite el uso del DNI electrónico (DNIe) y de más de 70 perfiles de certificados electrónicos de 30 Autoridades de Certificación en 13 países. Que nosotros sepamos es la única plataforma (servicio finalista, no tecnología para implantar) de estas caracterísiticas dirigida al sector privado y disponible actualmente en España.

• Tractis fue seleccionado por el Ministerio de Industria, a través de red.es, para realizar el primer reparto masivo de lectores de DNIe de la historia de España. En total, repartimos más de 320.000 lectores. La campaña fue un éxito de participación. El primer día recibimos más de 32.000 pedidos. El stock se agotó en 9 CC.AA. en 48 horas. Sin ayuda de SEO, sin cobrar (no había presupuesto para la distribución), gracias al apoyo de la comunidad internet, la web recibió más de 1 millón de visitas en 45 días de campaña. En la fase de reparto en tiendas colaboraron más de 70 centros de Carrefour y MediaMarkt.
• Tractis es Prestador de Servicios de Certificación (PSC) acreditado ante el Ministerio de Industria. Que nosotros sepamos, fuímos el primer PSC acreditado especificamente en Validación, Sellado de tiempo y Preservación de evidencias, y no en emisión de certificados. En otras palabras, el primer PSC cuya principal prioridad es, no vender certificados, sino crear servicios finalistas donde estos se pueden utilizar (sacar valor).
• Gracias a Tractis, Caixa Galicia se convirtió en la primera entidad financiera en la historia de España en ofrecer apertura de cuentas con DNIe.
• Gracias a Tractis, Jazztel se convirtió en la primera operadora de telecomunicaciones en la historia de España en ofrecer la contratación de ADSL con DNIe.
• Desde la publicación del Manual de Comandos APDU del DNIe hace 4 meses, Tractis ha sido la primera empresa/servicio del sector privado en dar soporte a dichos comandos (a la semana de su publicación) y, que nosotros sepamos, hasta el momento la única en España y, por tanto, la única en ofrecer una experiencia de autenticación y firma sin necesidad de instalar los drivers del DNIe, pidiendo la contraseña una sola vez, mayor usabilidad/rapidez, etc.
• Tractis ha lanzado varias iniciativas para fomentar la difusión del DNIe como, p.ej, la posibilidad de verificar tu identidad gratis en un blog haciendo uso del DNIe. En el futuro lanzaremos muchas más. A modo de ejemplo, en breve, ofreceremos nuestros servicios con DNIe gratis a start-ups, iniciativas políticas, ONGs y Administraciones púlbicas. Estamos colaborando para lanzar un sitio web que permitirá el lanzamiento de Iniciativas Legislativas Populares haciendo uso del DNIe y otros certificados. Finalmente, estamos a punto de lanzar “Tractis Webservices” una plataforma al estilo de “Amazon Web Services” que expondrá servicios de Infraestructura de Clave Pública a la comunidad de desarrolladores en España, en modo de pago por uso estricto (sin licencias, contratos de larga duración, etc), de forma que se fomente la aparición de servicios innovadores basados en DNIe.

2. Siete años después de su puesta en marcha y con 21 millones de DNIe expedidos, ¿cómo describiríais la situación general de su uso?

Uso muy bajo derivado de múltiples causas que, afortunadamente, poco a poco y con más lentitud de lo deseable para el sector privado, se van subsanando.

A modo de referencia, ¿cómo es posible que durante la última campaña de la declaración de la Renta se presentasen 4.650.000 declaraciones con certificado de la FNMT y solo 46.000 con DNIe? ¿Como es posible que se dé esta diferencia de uso, máxime cuando la FNMT tiene 2 millones de certificados emitidos VS. 19 (durante la campaña) – 21 millones del DNIe? Las razones son las ya explicadas por Alberto López Tallón y Pedro Latasa y de sobra conocidas por todos: falta de lectores, falta de usabilidad, dificultades de instalación, multitud de implementaciones defectuosas en AA.PP. y sector privado,… que hacen que millones de personas huyan del DNIe hacia los certificados tipo software de la FNMT.

3. ¿Cuáles creéis que han sido los principales errores que se han cometido durante estos años (a nivel político, profesional, empresarial, social…) para que la situación actual no cumpla las expectativas de los primeros años?

En mi opinión, todos los errores se resumen en uno solo: la ausencia total en el momento de inicio del despliegue de DNIe de una estrategia de implantación y difusión del DNIe en el sector privado. Tanto en reuniones sectoriales entre AA.PP y sector privado, como en conversaciones uno a uno, este punto ha sido y es dolorosamente evidente de forma reiterada. La Dirección General de la Policía, es decir, los responsables de la implantación del uso del DNIe, no cuentan entre sus objetivos con el éxito en el uso del DNIe en el sector privado. Por favor, te ruego releas la última frase para comprenderla en toda su magnitud. Así la situación, todo (incentivos, objetivos, área de experiencia, casos de uso…) está enfocados al uso del DNIe como herramienta de verificación de la identidad de la población para uso “interno”, es decir, entre AA.PP. Objetivo sin duda necesario y loable en un país organizado y eficiente, pero que nada tiene que ver con su uso en el sector privado.

Dicen que es muy difícil llegar a ningún sitio sino sabes a donde vas. En los momentos iniciales, en el 2006, cuando se emitió el primer DNIe en Burgos, la ciudad piloto, no había ninguna estrategia (presupuesto y como gastarlo) sobre como difundir el uso del DNIe en el sector privado. La Dirección General de la Policía (DGP) se ha centrado desde el principio (y han hecho bien que para eso les pagan), en crear una herramienta de verificación de identidad donde prime la seguridad (que no la conveniencia) y que resuelva sus necesidades (las de la DGP) de verificación de identidad de forma segura y masiva. No hay nadie en la DGP preocupado por la conveniencia, la usabilidad, etc… Solo con el paso del tiempo, al hacerse evidente el problema en el sector privado y aumentar la presión, se han transferido competencias a red.es “para la difusión del uso del DNIe“. El problema es que red.es no tiene las herramientas para cambiar las cosas, pues no le corresponde el control a ellos, sino a la DGP (cuyos objetivos no tienen nada que ver con los de red.es). Es un problema típico y súper-común en gestión de empresas: La persona designada para cambiar las cosas, lanzar un producto, dirigir un equipo, o lo que sea… NO dispone de las herramientas para hacerlo. En estas condiciones, es imposible exigir responsabilidades. Si me contratan para aumentar la visibilidad de Coca-cola y no me dan las herramientas necesarias (presupuesto de marketing, jefatura sobre recursos humanos de marketing, libertad creativa, etc…), no conseguiré mi objetivo y no aceptaré que me echen la culpa por el fracaso en cumplir objetivos. Si me designan para difundir el uso del DNIe en el sector privado y no dispongo de las herramientas necesarias (libertad para modificar los drivers, o para cambiar la Declaración de Prácticas de Certificación del DNIe si es necesario, o el proceso de registro de los usuarios, o el proceso de cambio/actualización de la contraseña/PIN, o para difundir información necesaria para los desarrolladores, etc…), no conseguiré mi objetivo y no aceptaré que me eches la culpa por el fracaso en cumplir objetivos.

Tal como señala Pedro Latasa, la DGP desarrolló los drivers para el sector privado porque alguien se lo pidió, no porque ellos lo necesitaran para cumplir sus objetivos. ¿El resultado? Desarrollos que, en teoría funcionan, pero en la práctica no. Que se han desarrollado una vez pero no se han revisado ni actualizado nunca más (dejando fuera todas las versiones nuevas de sistemas operativos, sobre todo GNU-Linux). ¿Significa eso que es culpa de la DGP? Ni mucho menos. Es culpa del que decidió que el encargado de esa tarea debía ser la DGP (que tiene otras y muy importantes preocupaciones, así como gran conocimiento en diversas áreas, pero no precisamente la usabilidad de aplicaciones en el sector privado). Las consecuencias son evidentes. Por poner un ejemplo, en varias reuniones con miembros de la DGP he oído en numerosas ocasiones la frase “el despliegue de lectores entre la población le corresponde al sector privado. Nosotros ponemos el DNIe, las empresas de banca/seguros/telecomunicaciones/energía deben pagar los lectores pues son las principales interesadas“. Este enfoque choca con el de Estonia, donde con cada electronic ID se entrega un lector, o el de Portugal, donde con cada electronic ID se ofrece la posibilidad de comprar un lector en ese momento. Solo esta decisión (hay muchas otras diferencias, cada país ha hecho el despliegue de distintas maneras) tiene luego consecuencias enormes en el ritmo de adopción de la tecnología.

El DNIe es un “producto” nuevo y la DGP es conocida por muchas cosas (seguridad, seriedad…) pero desde luego, no por su “expertise” en el lanzamiento de productos y su habilidad para “escuchar y reaccionar” al mercado. No porque sean tontos o incompetentes (que, por supuesto, no lo son, al contrario), sino porque su trabajo no les requiere desarrollar esas habilidades. La culpa es de quien designó a la DGP para realizar esta tarea. Si la tarea era crear un nuevo Documento Nacional de Identidad que permitiera identificar a los ciudadanos de forma más eficiente y ahorrar en gestiones con la AA.PP, la DGP fue una buena elección. Si la tarea era crear una infraestructura de verificación de identidad masiva que fuese adoptada masivamente por el sector privado, asignaron la tarea al hombre equivocado.

En España, el proyecto DNIe se asignó a la DGP y, posteriormente, se incluyó a red.es para que hablase con la DGP y ver como podían mejorar el tema en el sector privado (dependiendo de decisiones que ya se habían tomado y que la DGP no deseaba cambiar). Si en vez de eso, se hubiese creado un ente autónomo encargado de la difusión del DNIe y de este se hubiese creado/colgado un comité conjunto DGP-red.es, con continuidad, reuniones periódicas de revisión en el tiempo, áreas de actuación coordinadas pero independientes (red.es depende de la DGP para cualquier cambio importante que desee plantear), otro gallo nos cantaría.

La DGP ha hecho un trabajo extraordinario (para lo que son sus objetivos) y red.es ha hecho un trabajo extraordinario (para el grado de libertad con el que cuenta). El problema no es de ellos, sino de quien decidió que para conseguir el éxito del DNIe en el sector privado, había que encargar la tarea a la DGP.

4. ¿Qué aspectos tienen que cambiar necesariamente para que el DNIe cumpla todo su potencial como dispositivo de autenticación y firma digital?

Como dice Geoffrey Moore en esa “biblia” del marketing que es el libro “Cruzando el Abismo“, muchas empresas cometen el error de pensar que lo que ellos fabrican es “el producto” o, dicho de otra manera, que lo que la gente compra, es lo que tú fabricas. Lo que la gente compra es “the whole product” (el producto completo). En tecnología eso incluye “lo que tu fabricas” más todo lo que le rodea y que es necesario para que el cliente quiera comprar. Esto incluye compatibilidad, lock-in, partners que lo implementan, herramientas de desarrollo disponibles, documentacion, hardware, productos complementarios, entrenamiento, soporte, base de usuarios ya implantada, perspectivas de futuro, posibilidad de participar en el roadmap, compatibilidad con tecnología ya instalada, etc…

Si la empresa “gobierno” (ojo, no la DGP!) quiere que el producto “DNIe” cruce el abismo, debe prestar atención y proponer soluciones en todos estos frentes:

• Despliegue de lectores (producto complementario). El avión es un producto complementario del hotel. A ninguna compañía aérea se le ocurre volar turistas a sitios donde no existen hoteles. Los sistemas operativos son productos complementarios de los ordenadores. A ninguna empresa se le ocurre desarrollar sistemas operativos generalistas para ordenadores que aún no existen…
• Soporte del uso del DNIe.
• Soporte a la implantación del DNIe en empresas e instituciones.
• Manuales y documentación del uso del DNIe.
• Proliferación de herramientas para desarrolladores de DNIe.
• Legislación acorde, coherente y complementaria de la existencia del DNIe y del enorme desembolso que ha supuesto para el bolsillo de los españoles.
• Posibilidad de participar en el roadmap. ¿Se está consultando la versión 2.0 del DNIe con las entidadades financieras?. Si no se está haciendo, ¿de verdad se espera que las entidades financieras abandonen sus infraestructuras de verificación de identidad existentes para sustituirlas por el DNIe?
• etc…

Y todo ello individualmente o con alianzas con las empresas cuya colaboración el gobierno necesita para el éxito del DNIe. ¡Ojo! No me refiero a posiciones tipo “repartir lectores es cosa del sector privado” o a sacar concursos. Me refiero a “Alianzas”.

Permíteme la siguiente reflexión para terminar: Si el lector de DNIe es un “producto complementario” del DNIe, sin el cual el segundo no puede funcionar… ¿cómo es posible que el gobierno gaste más de 300 millones € en el despliegue del DNIe y se quede tranquilo con “el tema de los lectores ya lo arreglará el sector privado“. En mi opinión, esta posición es equivalente a decir que “me gasto más de 300 millones € en comprar trenes AVE y el tema de las vías de tren ya lo arreglará el sector privado“. Por supuesto, sin duda, el gobierno se ha gastado 14 millones € en campañas de difusión del DNIe, lo que es equivalente a decir “me gasto 300 millones € en comprar trenes AVE, más 14 millones € en 100 kms de vías y el tema del resto de vías ya lo arreglará el sector privado“. Por si no queda claro, no estoy diciendo que el gobierno deba regalar un lector de DNIe a cada español, sino que, entre regalar un lector a todos los españoles y esperar a que se encargue el sector privado (menos 100 kms) hay mucho trecho y muchas cosas que se pueden hacer.

5. ¿Cuáles serían los primeros pasos que habría que dar para que la situación comenzara a dar un giro sustancial en España?

A corto plazo, algunas iniciativas “buenas, bonitas y baratas”, o como dirían los ingleses “quick & dirty” son:

1. Despliegue masivo de lectores de DNIe, no necesariamente gratis pero sí facilitando su adquisición. Por ejemplo, en Estonia, el gobierno ha llegado a acuerdos con varios fabricantes de hardware para que se puedan adquirir lectores de DNIe por 6€. Una opción (dura) sería obligar a los fabricantes de ordenadores a incluir lectores de serie en todos los ordenadores en España (en plan “es como la tecla ñ, o la pones o no vendes“). Acuerdos de buenas intenciones con patronales y similares, son solo eso: buenas intenciones y humo. Otra estrategia más suave y menos confrontacional con los fabricantes de ordenadores, sería crear un sello de “Ordenador compatible con DNIe” y a continuación publicitar “no compres ningún ordenador sin este sello”.
2. Publicación del reglamento que desarrolle la Ley de Medidas de Impulso a la Sociedad de la Información (LMISI). Por esta ley, todas las empresas de banca, seguros, telecomunicaciones, energía, transportes, etc… que tengan más de 100 trabajadores o que facturen más de 6 millones €/año (es decir, Telefónica, Vodafone, France Telecom, Jazztel, Gas Natural, Iberdrola, Santander, BBVA, Caja Madrid, Bankinter, ING Direct, etc) están obligadas a soportar el DNIe en las relaciones y contrataciones con sus clientes (altas, bajas, portabilidades, renovaciones…). Y deben hacerlo antes de Diciembre de 2008!!!!. Si todas ellas cumplieran la ley, el ciudadano percibiría muchísimo valor en utilizar su DNIe pues habría centenares de gestiones valiosas que podría realizar desde su casa, en segundos, a cualquier hora. Sin embargo, como no hay un reglamento que desarrolle la ley y especifique las sanciones por incumplir la <abbr title=”Ley de Medidas de Impulso a la Sociedad de la Información”>LMISI</abbr>, ninguna empresa la cumple. Probablemente, el gobierno no considera que, en la situación de crisis actual, sea una buena idea pedir a estas empresas este tipo de gasto. En esta situación, la solución (no entiendo como no lo ha hecho nadie ya) es que un ciudadano se acerque a la Oficina del Consumidor y denuncie a todas las empresas de Banca, Seguros, Telecomunicaciones, etc… por incumplimiento masivo de la legislación y la consiguiente pérdida de derechos que tal incumplimiento le origina.
3. Exigencia del uso de la “firma electrónica reconocida” (equivalente a firma manuscrita, la firma que ofrece el DNIe) para completar aquellos trámites que más éxito de uso telemático demuestran entre los ciudadanos. Traducido al cristiano y de manera menos política: Prohibición del uso del certificado de software de la FNMT (que es “firma electrónica avanzada”, no reconocida y por tanto no equivalente a manuscrita) para realizar la Declaración de la Renta.

Estas medidas “de guerrilla” (baratas y a corto), provocarían (1) que los fabricantes incluyan lectores en sus ordenadores, (2) que las grandes empresas ofrezcan servicios de valor con DNIe (no la tontería de la autenticación) y (3) que los ciudadanos se acostumbren al uso del DNIe.

La solución (no entiendo como no lo ha hecho nadie ya) es que un ciudadano se acerque a la Oficina del Consumidor y denuncie a todas las empresas de Banca, Seguros, Telecomunicaciones, etc… por incumplimiento masivo de la legislación y la consiguiente pérdida de derechos que tal incumplimiento le origina.

6. ¿Qué futuro le auguráis al DNIe a corto, medio y largo plazo?

A corto, auguro estancamiento. En una situación de crisis es muy difícil hacer o pedir/exigir según que cosas.

A medio y largo, auguro un futuro espectacular. Independientemente de que sea conveniente pararse, reflexionar, ver como mejorar, como conseguir más con menos, lo cierto es que estamos en las primeras fases del despliegue de una nueva y potentísima infraestructura que va a transformar como nos relacionamos y comerciamos en Internet. La historia demuestra que lo que le está pasando a los electronic IDs alrededor del mundo es típico de cualquier ola tecnológica disruptora (dificultades de comunicación, usabilidad, compatibilidad, falta de redes y feedback entre los distintos lados del mercado, falta de herramientas para desarrolladores que posibiliten la explotación de servicios innovadores, etc.), todo se andará. No me cabe duda de que el DNIe (y otros electronic IDs) tendrán un impacto enorme a futuro.

El problema es si para llegar a ese futuro tardamos 20 años y 1.000 millones, cuando podíamos haber tardado 5 años y 200 millones.

Por David Blanco
Guardado en: Business, eID | 3 comentarios » | 19 de Abril de 2011