Cloud Híbrida
Ciberseguridad
Data & AI
IoT y Conectividad
Industria
Salud
Banca y Finanzas
Sector Público
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Ciudades Inteligentes
El ROI de la confianza: ¿es posible crear modelos de negocio sostenibles con la tecnología de la identidad soberana?
Las 'wallets' de identidad cada vez están más presentes en las noticias tecnológicas. Tanto administraciones públicas como grandes empresas están preparándose para este nuevo cambio de paradigma en la identidad digital.
En los dos últimos artículos que publicamos en el blog de Telefónica Tech nos pusimos el traje de arquitectos digitales. Primero hablábamos del EUDI Wallet, esa aplicación donde almacenaremos nuestra identidad digital y que tendremos disponible en diciembre de este año. Sí, diciembre, ya que por la todos los Estados Miembro de la Unión Europea deben proporcionar una wallet de identidad a sus ciudadanos antes de que termine este año. Entre todas sus ventajas, una de ellas es cómo nos va a ahorrar el calvario de rellenar los mismos formularios una y otra vez gracias al KYC reutilizable o cómo podremos demostrar nuestra identidad y que somos mayores de cierta edad, sin dar más datos de los necesarios.
Después de ese artículo, ampliamos la foto a la European Business Wallet para ver cómo las empresas tendrían un equivalente a la wallet ciudadana y simplificaría el papeleo en sus cadenas de suministro, firmando contratos corporativos con la misma facilidad con la que hoy enviamos un Bizum.
La teoría nos la sabemos, los estándares técnicos están listos y la ley europea (eIDAS2) ya viene de camino con el calendario bajo el brazo. Pero si algo aprendemos quienes nos dedicamos a lanzar productos digitales al mercado, es que la tecnología y las leyes no bastan para que algo tenga el máximo éxito. Podríamos hacernos la pregunta del millón, esa que se hace cualquier director financiero al mirar los presupuestos: ¿cómo hacemos para que este ecosistema sea rentable, sostenible y un buen negocio para todos?
■ El informe de la GSMA, Enabling scalable operating and business models in the EU Digital Identity ecosystem, marca un punto de inflexión en el debate sobre la identidad digital. Con los beneficios tecnológicos y el marco normativo ya definidos, el análisis se centra ahora en la sostenibilidad.
El objetivo actual es diseñar modelos de negocio atractivos y escalables que impulsen la adopción voluntaria y masiva de la tecnología de la identidad soberana y las wallets, integrando desde grandes compañías hasta comercios locales.
La identidad digital no despegará solo por regulación: necesitará modelos de negocio sostenibles para todos los actores del ecosistema.
La tecnología del EUDI Wallet no debe quedarse en una 'obligación'
Según la regulación eIDAS 2.0, las entidades privadas que necesitan verificar la identidad de sus clientes de forma robusta, como bancos, aseguradoras, energéticas o telecos, estarán obligadas, para finales de 2027, a aceptar el EUDI Wallet en su papel de "Parte Usuaria" (Relying Party).
Así que, por ejemplo, pensemos por un momento en una entidad financiera o en una gran compañía de luz. Integrar el EUDI Wallet en sus aplicaciones, convertirse en Relying Party, preparar sus sistemas para recibir credenciales digitales que emitan los gobiernos, como el ya famoso PID, Personal Identification Data. Esto tiene unas implicaciones, formar a sus equipos no es gratis; requiere tiempo, análisis, tecnología y dinero.
Cumplir con eIDAS2 será obligatorio; convertir esa obligación en valor de negocio será la verdadera oportunidad.
Si estas empresas solo ven el EUDI Wallet como una casilla más que marcar para cumplir con la regulación y evitar una multa, el proyecto cumplirá, pero perderá todas las ventajas que le podría dar tecnología de la identidad soberana y las credenciales verificables a su negocio. Y te preguntarás, ¿qué ventajas se estaría perdiendo?, veámoslo con algunos ejemplos:
Emitir credenciales sobre datos ya verificados
Un banco ya ha hecho un trabajo costoso de verificación de identidad de sus clientes (el famoso KYC). Con el EUDI Wallet, puede emitir a ese cliente una credencial de 'identidad verificada' que el usuario guarda en su wallet y reutiliza donde quiera.
La comercializadora de energía, por su parte, puede emitir una credencial de 'titular del suministro' o 'punto de suministro asociado a esta dirección', que el cliente luego presenta ante una administración, una aseguradora o una empresa de reformas sin tener que pedir certificados una y otra vez. O, incluso, una empresa de telecomunicaciones emitiendo una credencial de que un número de teléfono está verificado.
Identificar a clientes con un solo clic
En lugar de pedir al usuario que rellene formularios, suba fotos del DNI y espere a una verificación manual, el alta se resuelve compartiendo una credencial desde el wallet. Para el banco, abrir una cuenta o contratar un producto financiero pasa de tomar días a resolverse en segundos.
Para la energética, dar de alta un nuevo suministro o cambiar la titularidad de un contrato, procesos hoy llenos de fricción y documentación, se simplifica a una sola interacción simplemente pinchando en un enlace o escaneando un código QR.
Agilizar el papeleo y reducir fricción
El banco puede simplificar la actualización periódica de datos del cliente o la concesión de un préstamo, recibiendo cada dato ya validado en origen en lugar de reclamar nóminas, recibos y justificantes en papel. La energética puede automatizar la justificación de requisitos para acceder a un bono social o a tarifas reguladas: el cliente presenta solo el dato necesario (por ejemplo, 'cumplo el umbral de renta' o 'soy familia numerosa') sin tener que aportar montañas de documentación, y la empresa lo recibe ya verificado.
■ No obstante, no podemos perder de vista que uno de los pilares de la innovación es que la parte económica también es necesaria para que el ecosistema funcione. Si no hay un retorno claro en la cuenta de resultados, los nuevos negocios no avanzan.
El verdadero volumen está en las cosas del día a día
Si miramos nuestra rutina diaria, ¿cuántas veces al año nos abrimos una cuenta bancaria, compramos una casa o pedimos una beca? Una, dos... a lo sumo tres veces.
El éxito real, la masa crítica, llegará cuando usemos la wallet para las cosas cotidianas, esas que hacemos casi sin pensar. El informe de la GSMA pone el foco precisamente ahí, en el consumidor y en sus hábitos diarios:
- Alquilar un coche en las vacaciones: Imagina llegar al aeropuerto tras tres horas de vuelo, saltarte la cola infernal del mostrador porque ya enviaste tu carné de conducir verificado desde el móvil, y recoger las llaves directamente en una taquilla automática.
- Hacer el check-in en un hotel: Registrarte en la recepción simplemente acercando el teléfono para demostrar quién eres, compartiendo solo los datos estrictamente necesarios para la tasa turística, ni un dato de más, sin que se lleven tu DNI para hacerle una fotocopia.
- Comprar una entrada con descuento: Demostrar que eres estudiante, menor de 25 años o miembro de un club de fidelización para conseguir una tarifa reducida en el cine o en un festival, sin tener que enseñar tu DNI físico ni dejar una fotocopia de tu carné universitario en una base de datos desconocida.
- Comercio electrónico más seguro: Validar que eres el titular real de la tarjeta de crédito en un solo clic, reduciendo a cero los fraudes y los dolores de cabeza tanto para ti como para la tienda online. A esto, además, le podríamos sumar que podríamos demostrar la mayoría de edad para en compras online de artículos restringidos a menores.
■ Ahí es donde está el volumen de transacciones que dinamiza una economía. El reto es que, detrás de cada una de estas escenas tan comunes, ocurre un milagro criptográfico que complica las cosas a la hora de pasar la factura.
La adopción masiva llegará cuando la wallet resuelva gestos cotidianos con menos fricción, más seguridad y menos datos expuestos.
La paradoja de invitar a un café a ciegas
La gran joya de la corona y una de las cosas más importantes que debe tener la Identidad Auto-Soberana (SSI) es la privacidad por diseño. Para proteger a las personas a las que identifica, el sistema debe utilizar un principio técnico llamado no-observabilidad.
Llevado a la vida real, funciona de le la siguiente manera: imagina que tu banco te emite una credencial digital que certifica que eres mayor de edad, simplemente porque ya se lo demostraste en su momento. El viernes por la noche vas a un lugar de ocio y usas esa credencial para entrar demostrando que eres mayor de edad. Gracias a la magia de la descentralización, el lugar comprueba que el dato es real y de total confianza, pero tu banco no tiene ni la más remota idea de dónde, cuándo ni para qué has usado esa credencial de identidad. No hay rastreo, no hay huella.
Esto, claramente, es una maravilla para nuestros derechos como ciudadanos, pero se podría llegar a convertir en auténtico rompecabezas para los negocios. Si el banco (el emisor) no sabe que el lugar de ocio (el verificador) se ha beneficiado de su infraestructura y de la confianza de sus datos... ¿le podría cobrar por ese servicio?
Ahí es donde puede venir la paradoja de esta tecnología de identidad digital: ¿podría el emisor de un dato cobrarle a la entidad que lo consume si, por motivos de privacidad, el emisor no puede ver la transacción?
El reto es monetizar la confianza sin reconstruir los mecanismos de vigilancia que la identidad soberana quiere superar.
El informe de la GSMA nos avisa que este enigma debe de ser resuelto si se quisieran crear nuevos modelos de negocio. Afortunadamente, el sector tecnológico está diseñando ingeniosas alternativas para que esto suceda sin romper la privacidad de las personas.
La idea común a todas ellas se basa en el mismo fundamento: separar el flujo del dinero del flujo de los datos. El emisor podrá cobrar por el uso de sus credenciales, pero sin recuperar por la puerta de atrás la capacidad de vigilancia que tanto nos ha costado eliminar. Estas son algunas de las líneas en las que se está trabajando:
Pruebas de conocimiento cero (Zero-Knowledge Proofs)
Permiten demostrar que algo es cierto sin revelar el dato que hay detrás. Siguiendo el ejemplo, tú podrías probar al local que eres mayor de edad sin enseñar tu fecha de nacimiento, y el sistema podría acreditar que esa credencial se ha usado sin desvelar dónde ni para qué. Sirven para construir esquemas de facturación que cuentan usos, pero no espían contextos. Si quieres profundizar más sobre este tipo de criptografía, te lo explico en el siguiente artículo.
Liquidación por contadores agregados
En lugar de registrar cada entrada al local del viernes, los verificadores van acumulando cuántas validaciones han hecho y, periódicamente, liquidan con el banco. El emisor cobra por volumen, ve un número total, pero nunca las transacciones concretas que hay detrás. Algo así como una factura de la luz: pagas por el consumo agregado, no por cada vez que enciendes una bombilla.
Intermediarios y marcos de gobernanza
En otros diseños, un tercero de confianza o un conjunto de reglas comunes del ecosistema se encarga de cuadrar las cuentas entre emisores y verificadores, actuando como una cámara de compensación que mantiene el dinero y los datos personales en circuitos deliberadamente separados.
Vales de uso anónimos (firmas ciegas)
Esta es quizá la solución más ingeniosa, y la forma más fácil de entenderla es con un sobre. Imagina que metes un documento dentro de un sobre forrado de papel calco y se lo das a alguien para que firme por fuera: al presionar, su firma se calca sobre el documento de dentro, que queda firmado de forma totalmente válida, pero el firmante nunca ha visto lo que había escrito.
—Si lo llevamos a nuestro ejemplo, el local de ocio (verificador) le compra al banco (emisor) una serie de 'vales de uso' prepagados, que el banco firma y cobra sin ver su contenido. Cada vez que el local valida una credencial, gasta uno de esos vales. Al liquidarlos, el banco reconoce su propia firma y confirma que es legítimo, así que sabe que le corresponde cobrar; pero le resulta imposible saber a qué cliente o qué noche corresponde cada vale. El dinero le llega; el rastro, no.
■ Todas persiguen el mismo objetivo: emitir y consumir credenciales debe ser un negocio sostenible sin que la privacidad de las personas sea el precio a pagar. Resolver esta paradoja es, probablemente, una de las claves para que el ecosistema del EUDI Wallet despegue de verdad y no se quede en un mero ejercicio de cumplimiento normativo.
De los pilotos a los proyectos en producción
El EUDI Wallet está madurando a pasos agigantados, pero ha llegado el momento de sacarlo del laboratorio de ingeniería y llevarlo a la calle.
El llamamiento final de la GSMA no puede ser más oportuno para los grandes proyectos piloto que se están desarrollando en Europa: no encontramos en el momento de dar el siguiente paso con los pilotos e ir más allá.
El siguiente salto no es demostrar que la tecnología funciona, sino validar que puede operar, escalar y generar retorno en entornos reales.
En el ecosistema, ya hemos demostrado que la tecnología tiene todo el sentido del mundo y que tiene un grandísimo potencial. Ahora, el verdadero examen consiste en probar los modelos comerciales, los contratos de servicios y los flujos financieros.
El gran objetivo como gestores de producto es lograr que la tecnología sea útil, intuitiva y económicamente viable. Y para eso ayudaría que los Gobiernos y las empresas se sentaran a diseñar estas reglas del juego financiero con la misma empatía y cercanía con la que diseñamos las aplicaciones. Quizá sea ahí, cuando la privacidad de los ciudadanos empiece a rimar con la rentabilidad de las empresas, donde el EUDI Wallet pueda dejar de ser una bonita directiva europea para acercarse a algo más parecido al motor de nuestra vida digital diaria.
