En aquesta FAQ plantegem les respostes a diversos qüestions que poden plantejar-se, de forma recurrent, a l’hora de definir criteris a seguir per decidir quins mecanismes d’identificació i signatura electrònica pot emprar la ciutadania per relacionar-se amb una Administració pública (AP).
Els mecanismes d’identificació i signatura electrònica que, resumidament, poden utilitzar els interessats són:
- Certificats electrònics qualificats de signatura electrònica expedits per prestadors inclosos a la Llista de confiança de prestadors de serveis de certificació.
- Certificats electrònics qualificats de segell electrònic expedits per prestadors inclosos a la Llista de confiança de prestadors de serveis de certificació.
- Qualsevol altre sistema que les AP considerin vàlid, sempre que tinguin un registre previ de l’usuari que permeti garantir la seva identitat.
Respecte d’aquest llistat, s’indica que l’acceptació -per part de l’AP- dels mecanismes basats en certificats qualificats (punts 1 i 2 anteriors) és preceptiva en compliment del Reglament UE núm. 910/2014 del Parlament Europeu i del Consell, de 23 de juliol, relatiu a la identificació electrònica i els serveis de confiança (REIDAS); en canvi, l’acceptació dels mecanismes basats en el registre previ de l’usuari (punt 3 anterior) és potestativa.
L’Esquema Nacional de Seguretat preveu tres nivells de seguretat (baix, mitjà i alt) per als mecanismes d’identificació i signatura electrònica; alhora, també defineix els principis bàsics i requisits mínims per assignar un nivell de seguretat a cada mecanisme.
En resum, la relació entre els mecanismes d’identificació i cada nivell de seguretat és la següent:
- Nivell baix: qualsevol mecanisme d’identificació admès per la normativa, com per exemple, els sistemes de clau concertada basats en el registre previ d’usuaris; l’usuari i contrasenya també és un mecanisme d’identificació de nivell baix, si bé només està admès en casos puntuals.
- Nivell mig: aquell mecanimse d’identificació que requereix, com a mínim, l’ús d’un segon factor d’autenticació, que consisteix en una contrasenya d’un sol ús.
- Nivell alt: aquell mecanisme que reuneix els mateixos requisits que per al nivell mig (l’ENS no estableis mesures addicionals).
Respecte els mecanismes de signatura electrònica, la relació amb els nivells de seguretat és la següent:
- Nivell baix: qualsevol mecanisme de signatura electrònica acceptat per la legislació vigent.
- Nivell mig: aquell mecanisme de signatura electrònica avançada basat en un certificat electrònic que, a més, ha de ser qualificat; en aquest sentit, és necessari que s’utilitzin algoritmes i paràmetres autoritzats pel Centre Criptològic Nacional (o el que resulti d’aplicació).
- Nivell alt: aquell mecanisme de signatura electrònica avançada basat en un certificat electrònic qualificat que, a més, empri un segon factor d’autenticació per l’activació de la seva clau privada.
Cada AP ha de seleccionar els mecanismes d’identificació i signatura admesos per a cada actuació concreta.
Malgrat l’anterior, la normativa no delimita quina signatura electrònica cal utilitzar per a cada cas; hagués estat d’utilitat que una llei on, part del seu àmbit subjectiu d’aplicació són les AP, hagués fet un esforç de concreció de criteris per a la selecció d’aquests mecanismes (sobretot per a l’àmbit municipal).
Per prendre aquesta decisió, l’AP ha valorar aspectes com:
- El nivell de seguretat que requereixen els seus sistemes d’informació.
- El tipus de credencial admissible per a la identificació i signatura electrònica de l’actuació de què es tracta.
- El nivell de risc assumible per a cada actuació.
- Els requisits de l’ENS abans descrits.
- Altres aspectes establerts a la normativa concreta, si n’hi ha.
Aleshores, quin mecanisme selecciono pel meu procediment?
Una bona pràctica és aquella que permet trobar l’equilibri entre la seguretat i la usabilitat i que, en darrer terme, permeti a la ciutadania relacionar-se electrònicament amb les AP.
En aquest sentit, optar pel nivell baix d’identificació i signatura com a mecanisme “universalment” admès per tots els procediments d’una AP (o la majoria), suposa:
- Flexibilitzar els requisits per a la tramitació electrònica amb garanties i,
- Facilitar l’accés de les persones interessades als serveis públics digitals.
Sigui com sigui, els serveis AOC permeten a les AP usuàries la selecció d’aquests mecanismes d’una manera àgil i senzilla (s’amplia a l’apartat següent).
Per últim, fem esment al procés de selecció dels mecanismes d’identificació i signatura electrònica que ha realitzat la Generalitat de Catalunya, mitjançant l’Ordre VPD/93/2022, de 28 d'abril, per la qual s'aprova el Catàleg de sistemes d'identificació i signatura electrònica, i en especial per l’Ordre PRE/158/2022, de 30 de juny, per la qual s'aprova la Guia d'ús dels sistemes d'identificació i signatura electrònica en l'àmbit de l'Administració de la Generalitat.
Així, aquestes dues disposicions estableixen, amb caràcter general, l’admissió de tots els mecanismes del Catàleg per a realitzar tots els tràmits i serveis en l’àmbit de l’Administració de la Generalitat; mentre que les restriccions a l’ús de determinats mecanismes tenen caràcter excepcional.
La pròpia Guia estableix el procediment per exceptuar l’aplicació del criteri general i limitar l’ús d’algun dels mecanismes per a tràmits concrets. D’aquesta manera, es preveu la possibilitat de limitar l’ús d’alguns mecanismes d’identificació i signatura, quan s’aprecia l’existència dels següents riscos (sempre, en relació amb un procediment concret):
- Jurídic: quan s’aprecia la possible existència d'un risc que impedeix garantir la viabilitat i seguretat jurídica del procediment, que tingui com a origen la manca de robustesa dels sistemes d'identificació o de signatura electrònica; per exemple, possibles fraus en la signatura del document o suplantacions d'identitat de les persones interessades.
- Ciberseguretat o protecció de dades: quan són necessàries mesures específiques més restrictives pel nivell de risc o classificació de la informació, del servei (o tràmit) o bé, pel possible tractament de dades personals del servei (o tràmit) respecte al qual es prevegi utilitzar el sistema d'identificació o de signatura electrònica.
Com es comentava, la normativa estableix els nivells de seguretat a tenir en compte a l’hora de configurar l’accés al procediment o tràmit. Però davant l’absència de criteris de selecció dels mecanismes que ajudin a concretar-lo, sobretot en l’àmbit municipal, pot ser d’utilitat el següent:
- Ser usuari del servei VALid de l’AOC, perquè permet validar les credencials d’identitat i informa el nivell de seguretat emprat.
- Adoptar un Protocol o Guia d’identificació i signatura electrònica propis on s’estableixin criteris per triar. Si t'interessa, disposes d’un model de Protocol d’identificació i signatura electrònica.
Per a més informació, t'adrecem a l’entrada del blog Selecció dels mecanismes d’identificació i signatura electrònica.
El Servei VALID permet la comprovació de les credencials d’identitat de la persona (conegut com autenticació), en virtut dels criteris i nivells de seguretat previstos a l’ENS.
D’aquesta manera, l’AP usuària de VALID pot seleccionar els mecanismes d’identificació i signatura admesos per a cada procediment, d’acord amb el previst a la normativa: admet la identificació amb l’idCAT Mòbil, Cl@ve i certificats qualificats en processos i ofereix un mecanisme de signatura electrònica vinculat al mecanisme emprat.
És a dir, pot decidir si accepta tots o només alguns d’aquests mecanismes, i disposar de diferents configuracions per fer-ho d’acord amb cada necessitat concreta d’identificació electrònica.
Per a més informació, podeu consultar aquestes entrades:
REIDAS: art. 25
Llei 39/2015: art. 9 a 11
ENS: Annex I (punt 3), Annex II (punt 4 4.2.5 Mecanisme d’autenticació (usuaris externs [op.acc.5]) i Annex II Punt 5. Mesures de protecció [mp] 5.7.3 Firma electrònica [mp.info.3].