Qué es EUDI y cómo encaja Citadel de Dusk Network…

El 10 de febrero de 2023, la Unión Europea publicó un documento emocionante, pero con un nombre increíblemente complicado, específicamente The Common Union Toolbox for a Coordinated Approach Towards a European Digital Identity Framework: The European Digital Identity Wallet Architecture and Reference Framework, o ARF. Nos sumergiremos en este documento y lo que significa para Europa y para Dusk Network aquí, y para ser breve, seguiremos las abreviaturas sugeridas por la UE para este documento: EUDI y ARF.

¿Qué es EUDI?

El concepto de una Identidad Digital Europea (EUDI) se viene gestando desde hace un tiempo. El 3 de junio de 2021, la Comisión Europea anunció su intención de liderar el camino para que este producto esté disponible para todos los ciudadanos europeos. Ahora, casi dos años después, la UE está lista para comenzar a pasar a la fase piloto. ¿Pero pilotar qué?

En efecto, EUDI es una forma de identificación que puede ser utilizada por cualquier ciudadano de cualquier estado miembro de la Unión Europea, por cualquier empresa que opere en la Unión Europea y aceptada por cualquier empresa o agencia gubernamental en la Unión Europea. En lugar de reemplazar los mecanismos de identidad preexistentes (es decir, tarjetas de identificación nacionales), EUDI se sienta junto a ellos como un sistema de identidad digitalizado auxiliar. Por ejemplo, un banco en los Países Bajos continuaría aceptando la tarjeta de identidad holandesa para la apertura de nuevas cuentas, pero también aceptaría EUDI para los no residentes holandeses, lo que significa que solo necesitarían admitir dos formas de verificación de identidad. Este es un paso adelante de las opciones actuales de los bancos para aprender cómo admitir una gran cantidad de certificados de identidad O para restringir los servicios solo a personas con identificaciones holandesas.

EUDI no estaría limitado, sin embargo, solo por los servicios para los que se utiliza la tarjeta de identidad de un estado miembro, sino que también se extendería a cualquier interacción en la que se deban probar los atributos de una persona. Los casos de uso que la propia UE identificó son muy amplios, incluidos:

• Identificación segura y confiable para acceder a servicios en línea
• Movilidad y carné de conducir digital
• Certificaciones comerciales profesionales.
• Pagar por cosas en las que se producen precios diferentes, como las carreteras de peaje
• Registros de salud, como resúmenes de patentes o recetas electrónicas
• Credenciales educativas y cualificaciones profesionales.
• Productos de finanzas digitales
• Credenciales de viaje digitales (como pasaportes y visas)

Actualmente, probar la identidad y las credenciales en la Unión Europea es confuso y propenso a errores. De hecho, se necesita una gran cantidad de certificaciones diferentes para lo que sea que un ciudadano esté tratando de hacer, que también difieren en número y estilo de un estado miembro a otro. Fieles a la misión europea de armonizar a todos los estados miembros en un área única de comercio y viajes, desean resolver este problema con una única EUDI para todos.

¿Qué es ARF?

ARF es un documento reciente que marca el comienzo de la fase piloto de EUDI. Es esencialmente una lista de verificación para que cada estado miembro acuerde y armonice antes de que pueda comenzar la prueba piloto. Esto incluye:

• Definición de roles y responsabilidades de cada actor en el proceso EUDI.
• Esbozar los requisitos funcionales y no funcionales de la billetera EUDI.
• Identificar bloques de construcción potenciales.

Dado que la implementación de EUDI de cada estado miembro debe ser interoperable con todos los demás, es fundamental que todos comiencen construyendo sobre el mismo conjunto de estándares y utilizando una terminología coherente. Esto es importante cuando se trata de detalles como certificar la validez de una identificación o documento. Por ejemplo, si un certificado tiene una fecha de caducidad, debería dejar de ser válido automáticamente a partir de esa fecha. Pero, ¿debería el emisor también tener la capacidad de revocar el certificado en cualquier momento antes de que caduque de forma natural? Y si algo es válido 'hasta que sea revocado', ¿necesita fecha de caducidad por si acaso? El ARF establece pautas sobre cómo se deben configurar todas estas cosas, cómo fluiría la información entre las partes involucradas y quién debería tener acceso a qué.

Esto es crucial, dado que múltiples partes están involucradas incluso en una transacción simple como la emisión de un boleto de tren con descuento para un estudiante. En este ejemplo, las partes incluyen:

• El estudiante. 
• El operador ferroviario.
• La universidad (que verifica el estado del estudiante).
• Un cuerpo estudiantil nacional (que también puede tener que verificar al estudiante).
• El operador de la estación de tren (si es diferente del operador).
• El sitio web de boletos de tren que vendió el boleto.

Como puede ver, incluso una transacción aparentemente simple como comprar un boleto de tren para un estudiante puede involucrar hasta seis partes diferentes. ¿Te imaginas qué tipo de complejidad podría estar involucrada en el manejo de instrumentos financieros sofisticados?

¿Por qué Dusk Network da la bienvenida a esto?

En Dusk Network creemos que las especificaciones ARF son un paso importante para mejorar la privacidad y la seguridad en el proceso EUDI: dos de nuestras principales prioridades. El ejemplo anterior (bastante simple) de un estudiante que compra un boleto de tren destaca la necesidad de divulgaciones selectivas. Permitirían que las personas compartan solo la información necesaria, al mismo tiempo que realizan prácticas inseguras como compartir copias de identificaciones o solicitar datos personales completamente obsoletos. Puede pensar en divulgaciones selectivas como mostrarle a alguien su licencia de conducir, pero con los dedos cubriendo toda la información excepto su foto, ya que eso es todo lo que realmente se necesita.

Las fugas de datos son cada vez más comunes en la sociedad, y en Dusk estamos alarmados de que incluso las transacciones más simples tengan un gran potencial de fuga de datos. La forma más sencilla de proteger a los usuarios y las organizaciones es almacenar los datos en un formato cifrado seguro o no exponerse a ellos.

Para abordar esta preocupación, las especificaciones de ARF apuntan a un EUDI que debe tener características tales como emisión y revocación de certificados, encriptación, transferencia segura de identidad y otra información personal, y una gama de opciones de divulgación selectiva. 

Eso suena un poco familiar, ¿no?

¿Por qué utilizar Citadel para EUDI?

Ciudadela es la solución de identidad digital que preserva la privacidad de Dusk que permite la privacidad, el cumplimiento, la descentralización y un enfoque único para KYC. Como tal, sería una excelente opción para EUDI por múltiples razones, pero principalmente por privacidad, cumplimiento y eficiencia.

La privacidad es una preocupación clave para todos los involucrados en el proceso de EUDI. Citadel se construye utilizando pruebas de conocimiento cero (ZKP), lo que significa que no es necesario revelar datos privados para confirmar que una persona tiene acceso legítimo a un servicio, está autorizada para ingresar a un país o tiene derecho legítimo a estar en algún lugar. Este enfoque de la privacidad y la identidad es nuevo y revolucionario y permite una solución que preserva la privacidad al mismo tiempo que proporciona una verificación de identidad segura. En ese sentido, va más allá de la ambición actual de la EUDI de emitir una versión digital de lo que ya existe. 

Los ZKP tienen el poder de probar que algo es cierto sin ninguna otra divulgación y, en el caso de la EUDI, eso se traduciría en dar a las personas el poder de probar la elegibilidad sin tener que compartir su identidad. Ya sea que ingresen a un país, abran una cuenta bancaria o incluso accedan a un servicio, Citadel garantizaría que sus datos permanezcan privados y reduciría drásticamente cualquier posibilidad de ataques de piratas informáticos.

El cumplimiento es otra ventaja que ofrece Citadel, específicamente el cumplimiento programable. La UE puede programar sus reglamentos en Citadel, lo que no solo garantiza el cumplimiento, sino que también facilita la actualización de los reglamentos a medida que cambian las cosas. 

Por ejemplo, durante el Brexit, Citadel como EUDI podría haberse utilizado para actualizar el sistema y cambiar lo que estaba y no estaba permitido, simplificando el mantenimiento del cumplimiento. Presumiblemente, los EUDI de los ciudadanos del Reino Unido se habrían invalidado. 

Finalmente, la eficiencia es una ventaja crucial de Citadel. A diferencia de los sistemas tradicionales que requieren amplios departamentos de cumplimiento y almacenamiento de datos, Citadel elimina la necesidad de estos costos. Con Citadel, no habría necesidad de mantener copias redundantes de bases de datos que almacenan las identidades digitales de aproximadamente 450 millones de personas, junto con departamentos completos de legal, cumplimiento y ciberseguridad. Solo se transmitiría la prueba de elegibilidad, mientras que los datos no. Si no hay nada que piratear, no hay necesidad de todos estos gastos generales. 

En conclusión, Citadel tiene el potencial de proporcionar tanto a la UE como a sus ciudadanos la privacidad, el cumplimiento programable y la eficiencia que necesitan para que las identidades digitales sean un éxito. Gracias a su uso de criptografía de conocimiento cero y cumplimiento programable, Citadel ofrece un nuevo enfoque para la identidad digital que es seguro y eficiente y tiene el potencial de revolucionar la forma en que abordamos la verificación de identidad.