De l’Hospitalet a Europa gràcies a la signatura digital

L’ús de la signatura electrònica (o digital) està en apogeu a Espanya i no obstant està lluny d’assolir un coneixement i adopció generalitzats. Queda molt a fer, malgrat que el país compta actualment amb unes 14.000 seus electròniques a disposició de ciutadans i empreses. L’estadística no ho diu tot sobre l’emergent mercat de certificació de les identitats digitals. De les diverses baules d’aquesta singular cadena de valor, aquest bloc ha volgut aturar-se en un de peculiar: la prestació de serveis de confiança. La primera evidència és que el nou paradigma laboral que ha aparegut amb la pandèmia crea un context propici, que s’uneix a la necessitat de mitigar el risc de frau digital.

El mes passat, l’empresa Víntegris va resultar adjudicatària del concurs convocat pel Congrés dels Diputats pel qual els 350 legisladors utilitzaran la seva tecnologia de signatura electrònica en mode servei, que entre altres característiques ofereix el segellat de temps qualificat, mètode que proporciona un registre de l’hora exacta de la signatura i la seva validació en cas de discrepàncies que no han faltat últimament.

És una referència d’enorme valor per a Víntegris, assenyala Javier Bustillo, el director general des de mitjans de l’any passat. “Formem part del sector T.I. però d’una manera força especial. Una mostra és que, en la majoria dels casos, els nostres interlocutors a les empreses no són els responsables de tecnologia sinó els departaments jurídics”.

És raonable pensar que es deu a la dicotomia entre dues personalitats que coexisteixen a Víntegris. D’una banda, hi ha la condició de prestador qualificat de serveis de confiança; de l’altra, la de fabricant de software. És una dualitat infreqüent, que ens permet oferir al mercat una proposta de valor al voltant d’un producte que es ven com a servei basat en el núvol, per a l’emissió i la centralització de certificacions electròniques amb segellat de temps, signatura qualificada, certificats SSL i altres qualitats que els juristes valoren. En diem nebulaSUITE […]

De fet, Víntegris ha estat l’única empresa convocada a participar en dos subcomitès de gran rellevància. Un, creat pel Centre Criptològic Nacional, al qual ens van convidar en virtut de la nostra condició de fabricant i en el segon, iniciativa del Ministeri d’Economia i Transformació Digital, vam participar com a empresa prestadora qualificada de serveis de confiança. La seva conseqüència seria l’ordre ministerial 465/2021 de 6 de maig, que habilita els prestadors de serveis de confiança a dotar-se d’uns mitjans tecnològics i legals determinats per a l’emissió de certificats mitjançant vídeo identificació remota i amb valor jurídic probatori.

Al meu entendre, no només canviarà la relació dels ciutadans amb les administracions públiques, sinó també els hàbits adquirits de les empreses: en els últims mesos s’ha vist sorgir nombrosos casos d’ús en què aquest doble rol ens col·loca en una posició que m’atreveixo a anomenar privilegiada.

[…] Podem tractar amb prestadors com la FNMT (Fàbrica Nacional de Moneda i Timbre) o amb la mateixa Policia Nacional, sobre la base d’una propietat intel·lectual que nosaltres sí que tenim. De la mateixa manera podem parlar amb fabricants de software que tenen un workflow de signatura, però no un segell com a prestadors qualificats, cosa que vol dir que la seva signatura no té la validesa jurídica probatòria que té la nostra.

Em refereixo a les maneres de gestionar una signatura electrònica, per les quals cal distingir entre tres modalitats de signatura: bàsica, avançada i qualificada. Cadascuna amb un valor jurídic probatori diferent, sent la qualificada la de més valor. Aquí apareix un concepte jurídic de caràcter fonamental, la inversió de la càrrega de la prova, en virtut d’una reforma a la llei d’Enjudiciament Civil de 2007. M’incloc entre els llecs en la matèria, als quals ens va passar per alt en el seu moment. La seva significació és tan gran que, si es presenta davant un jutge una prova amb signatura qualificada, el magistrat l’admet directament com a vàlida. Això, que així es diu de fàcil, canvia radicalment l’eficàcia de molts actes jurídics, perquè a l’altra part li toca demostrar el contrari.

El fonament és que ja no m’he de personar per emetre un certificat, perquè la tecnologia permet la seva emissió amb valor qualificat. Això vol dir que els actes adquireixen la mateixa validesa probatòria que tindrien si el tràmit es fes en persona. Com se sap, hi ha empreses de software que ofereixen la gestió de firmes, però no tenen l’estatus legal que té Víntegris. Hem invertit molt per merèixer i renovar la certificació europea eIDAS, a més d’altres que són necessàries per a la vigència del nostre producte.

La propietat intel·lectual, perquè el que guanyem per l’emissió de certificats no és comparable amb allò que ingressem per l’ús de la IP per a la gestió al núvol de manera centralitzada i segura de tots els certificats que s’emeten […]. Passa que, quan anem a un client nou, aquest té una quantitat de certificats emesos durant els tres darrers anys i, per tant, hem d’integrar-los a la nostra plataforma.

No cal, però creiem que representa un valor competitiu que ens diferencia al mercat. Poques empreses poden dir el mateix i encara menys tenen una projecció internacional comparable a la de Víntegris […] Complim amb la norma de certificació eIDAS amb validesa europea. En aquest moment ja tenim enllestida la traducció de la plataforma, disponible en tres idiomes i aviat en set. A més, estem treballant amb un dels bufets d’advocats més prestigiosos d’Espanya en la revisió dels esquemes legals de cadascun dels països on volem obrir oficines l’any que ve.

La realitat és que, per a un prestador qualificat de serveis de confiança, la legislació de cada país de la UE incorpora matisos que cal respectar i complir rigorosament. No parlo només de la llengua, sinó de factors que cal analitzar amb compte abans de fer un desplegament sistemàtic.

Podríem distingir quatre casuístiques diferents. Dues quant a la segmentació de mercat, sobre les quals no m’estendré. Les altres dues, en virtut dels criteris de validesa jurídica i de seguretat a què aspira una empresa quan emet i empra una signatura electrònica que validi algun procés o un document que ha estat generat pels seus empleats, clients o proveïdors. Hi ha empreses que necessiten la més alta validesa jurídica quan presentaran els seus impostos, però em ve al capdavant una pime amb 25 empleats que, en el seu workflow de gestió documental intern, requereix diverses aprovacions per a les quals resulta suficient amb una firma bàsica.

Hi ha graus, naturalment. Un excel·lent exemple és el del sector salut. Un dels nostres clients emblemàtics és el Consell General de Col·legis de Metges d’Espanya, que potencialment pot emetre signatura qualificada per a 280.000 facultatius.

Hi ha una quantitat de casos d’ús en què es necessita valor probatori de la firma, que abasta molt diferents sectors més enllà de la banca i les assegurances. Però també al nivell dels ciutadans, a conseqüència de necessitats creixents d’identificació remota. Fins ara, Víntegris ha preferit centrar la seva activitat en uns 200 clients grans, però estem veient que, baixant a la piràmide, hi ha molts altres potencials als quals no paràvem atenció. La necessitat de la signatura bàsica s’ha massificat per l’impacte que pot tenir a l’intercanvi de contractes i documentació, a més de les conseqüències de la regulació.

Sobretot, entre aquestes pimes que han estat una mica oblidades per part nostra. Normalment, les atenem a través d’integradors de sistemes, els previsibles – Deloitte, Accenture, KPMG, etc. – a més d’alguns partners de nínxol que solen especialitzar-se en sectors verticals. Per a nosaltres, l’única manera de guanyar quota de mercat en aquest segment és crear una xarxa de partners fidels que adaptin les nostres solucions a una infinitat de casos d’ús que van apareixent.

Els nostres certificats qualificats són vàlids en unes 14.000 seus electròniques. Perquè els certificats d’un prestador funcionin, si voleu que el vostre funcioni en tots, és una tasca i una inversió importants. És veritat que hi ha determinats centres d’agregació, com ara l’Agència Tributària o els òrgans propis d’alguns governs autonòmics, però a la pràctica em puc trobar que el meu certificat hagi deixat de funcionar si una actualització no ha tingut en compte el certificat arrel. I si això és un destorb per a un prestador espanyol, imagineu què passa al d’un altre país que vulgui venir a fer negocis a Espanya […]

[…] Diguem que encara hi ha espai per millorar la interoperabilitat dels certificats electrònics a totes les seus que hi ha a Espanya. Però després, francament, hom mira el que passa als altres 26 països de la UE, i molts estan pitjor que Espanya.

Per la manca de costum. La realitat és que avui és possible fer gairebé qualsevol tràmit amb certificat electrònic […] i amb més raó ara: gràcies a l’habilitació de la vídeo identificació remota, les coses canviaran a marxes forçades.

ls ciutadans estem acostumats a fer ús massiu del reconeixement facial des de fa anys i per a molts usos. Els bancs l’apliquen per a certes operacions amb les limitacions que estableix la directiva de protecció de dades. D’altra banda, pel que fa a nosaltres, el Centre Criptològic Nacional ha establert els requisits tècnics i funcionals que han de complir aquells prestadors de serveis de confiança que vulguin practicar la identificació per vídeo amb validesa probatòria […]

Jo diria que l’experiència actual no canvia gaire per a l’usuari real: 90 segons davant d’una pantalla, prova de vida, reconeixement OCR, moviment aleatori i ja està […] però el que hi ha al darrere és una sèrie de certificacions de seguretat que el CCN audita i, a més, inclou la consulta en temps real a la base de dades de la Policia. Així mateix, cal salvaguardar aquesta informació durant quinze anys en un lloc segur […] I la verificació no es fa només amb el DNI espanyol sinó amb els passaports dels 27 estats membres, una eina que tenim habilitada en la nostra solució.

Salta a la vista i qualsevol entén per què, sempre que es donin les condicions de compliment de la normativa. Per part nostra, estem disposats a la integració de la nostra solució de certificació amb determinades aplicacions que són utilitzades específicament pels serveis de salut i que hagin estat desenvolupades per integradors que coneguin bé el cas d’ús.

Els nostres certificats qualificats són vàlids en unes 14.000 seus electròniques. Perquè els certificats d’un prestador funcionin, si voleu que el vostre funcioni en tots, és una tasca i una inversió importants. És veritat que hi ha determinats centres d’agregació, com ara l’Agència Tributària o els òrgans propis d’alguns governs autonòmics, però a la pràctica em puc trobar que el meu certificat hagi deixat de funcionar si una actualització no ha tingut en compte el certificat arrel. I si això és un destorb per a un prestador espanyol, imagineu què passa al d’un altre país que vulgui venir a fer negocis a Espanya […]

No exactament. El 2016 Víntegris va iniciar la migració de tota la base instal·lada, de manera que només quatre o cinc dels clients no l’han completat, però més del 90% ja han migrat al núvol. Per tant, i perquè quedi clar: allò que venem és un producte que funciona en mode servei. A més, el nostre software pot funcionar amb la resta dels prestadors qualificats, ja que a la nostra plataforma admetem els certificats qualificats de qualsevol altre prestador de confiança. He d’afegir un matís: de conformitat amb la llei, el nivell més alt de signatura, la qualificada, requereix que les claus no abandonin en cap moment el dispositiu segur […]

No crec que el sector públic estigui endarrerit, ni de bon tros. Així, de cop i volta, veig una resposta a la seva pregunta: hi ha prestadors de serveis de confiança que són propis del sector públic tant en l’àmbit estatal, com la FNMT com els autonòmics a València, País Basc i Catalunya. A parer nostre, aquests mecanismes institucionals funcionen molt bé, però així i tot creiem poder fer coses interessants. De fet, als prestadors públics els estem oferint unes tecnologies sofisticades que ells no en tenen.

La companyia en la seva forma original va néixer a Barcelona el 2004, de la mà d’un empresari català, Facundo Rojo, actuant com a integradora de sistemes de tecnologia de tercers i durant uns quants anys va estar molt centrada en quatre grans clients: Generali, BBVA, Catalana Occident , Sabadel i desenvolupar software relacionat amb la seguretat, la gestió d’accessos i la securització d’entorns end-point. El gran encert va ser preservar la propietat intel·lectual fins i tot després de la internalització de personal als clients.

El 2016, després de diversos anys de desenvolupament discret, va procedir a la migració de l’arquitectura a un model SaaS sobre un hyperscaler i ja va estar en condicions de gestionar el reconeixement oficial com a PCSC (Prestador Qualificat de Serveis de Confiança). Finalment, va ser adquirida el 2020 pel grup Euronovate, amb una estratègia que proposava donar una empenta internacional a l’activitat de Vintegris. I en estar controlat pel grup nord-americà Topaz, especialitzat en biometria, aquesta filiació ens confereix una nova rellevància, ja que podem oferir una solució end to end per als projectes de gestió de la identitat: hardware, Software de  certificació, serveis i integració i el 95% ho fem nosaltres.

Contempla quatre geografies: el Regne Unit, Alemanya, França i Itàlia, amb l’objectiu d’obrir oficines el 2023. Això requereix alguna cosa més que la traducció de la plataforma: una adequació tècnic legal de les solucions i, probablement, la compra d’alguna empresa amb arrelament local.

Sí, és cert. Qualsevol ciutadà europeu pot utilitzar la tecnologia de Víntegris amb la mateixa validesa que a Espanya. Actualment, el 5% de la facturació s’origina a algun altre país europeu, però aquesta quota ens sembla residual si la comparem amb les oportunitats que creiem tenir obertes a Europa. En tres anys podríem passar del 5% actual de la nostra facturació total a un 35%.