Identificació digital utilitzant Mobile Connect (GSMA)

Repte

Com podem impulsar un servei d’identificació digital que es pugui utilitzar en el sector públic i privat, i que reforci la seguretat dels codis d’un sol ús enviats per SMS.

Problemàtica actual

L’ús de sistemes d’autenticació anomenats de dos factors (quelcom que saps i quelcom que tens) que envien codis d’un sol ús per SMS està molt extès al sector privat (banca, xarxes socials, etc) i també al sector públic (idCAT Mòbil. Cl@ve PIN).

La ciutadania valora molt positivament els serveis d’identificació digital basat en el mòbil, com és el cas d’idCAT. Ho avalen els més de 400.000 ciutadans que ja l’utilitzen, més d’un milió d’actuacions realitzades i els excel·lents resultats de les enquestes de satisfacció pel que fa al seu ús.

Ara bé, l’ús d’aquests serveis planteja algunes problemàtiques:

1. El SMS no es considera un canal prou segur d’acord a les recomanacions del National Institute of Standards and Technology dels Estats Units (organisme públic referent a nivell mundial en temes de seguretat) i a les recomanacions de la Comissió Europea per al sector financer. Aquests organismes recomanen buscar alternatives al SMS que siguin més robustes i segures.
2. El 80% dels ciutadans són internautes habituals però només el 35% de les actuacions amb l’administració es fan per mitjans electrònics per manca d’una identitat digital fàcil, segura, usable i útil que es pugui fer servir de forma global al sector públic i privat.
3. Per a l’administració aquest és un greu inconvenient perquè els ciutadans fan només 3 tràmits a l’any amb totes les administracions i no tenen l’hàbit o necessitat de disposar d’una identitat digital pública. En canvi, els ciutadans fan decenes d’actuacions cada dia amb el sector privat.
4. De mitjana, un usuari té 70 identitats digitals amb diferents proveïdors públics o privats. Per al sector privat, això suposa un greu problema perquè és molt costós de gestionar i garantir la seguretat de tantes identitats.

Solució proposada

Impulsar un pilot amb la solució d’identificació digital Mobile Connect, desenvolupada per GSMA (associació de les principals operadores de telecomunicacions del món) i amb el suport Mobile World Capital.

Aquest servei, tal com s’exposava a la sessió Mobile Connect in local governments of Catalonia, del Mobile World Congress 2018, plantejava les següents avantatges:

1. Substitueix els missatges SMS per notificacions push a aplicacions guardades a la SIM dels mòbils, que són encriptats i més segurs.
2. Té el suport de les principals operadores de telecomunicacions per a fer el seu desplegament al sector privat. A l’Estat espanyol l’estan impulsant Movistar, Vodafone i Orange.
3. Proposa unes sinergies en la identificació digital en el sector privat i públic, molt interessants per a l’Administració.
4. Cada notificació push té un cost reduït.

Desenvolupament d’un pilot amb ajuntaments

El setembre de 2017 iniciem un projecte pilot d’identificació digital amb la solució Mobile Connect , desenvolupat als ajuntaments de Manlleu, Esparraguera i Castellar del Vallès. Els resultats de seguretat, usabilitat i satisfacció per la ciutadania han estat positius. El seu ús és actualment baix perquè no aporta actualment cap valor substancial als missatges SMS i perquè Mobile Connect s’utilitza poc al sector privat: únicament a les pròpies operadores.

Per altra banda les dures recomanacions inicials del NIST i de la Comissió Europea sobre la cerca d’alternatives als missatges SMS, s’han estovat i no hi ha tanta urgència per a buscar altres solucions.

A Europa, hi ha l’experiència de França que està funcionant força bé. S’anomena Mobile Connect et Moi, i està impulsat per Orange. Es pot utilitzar en molts serveis públics i també en serveis privats.

S’està plantejant la continuïtat del projecte a Catalunya per la baixa implantació al sector privat que fa que el servei no aporti valor diferencial als missatges SMS actuals. D’altra banda, les operadores no han complet el seu pla de millores i la solució actual té mancances que no fan recomanable el seu desplegament a tot Catalunya.

Estat del projecte

Discontinuat. Des de GSMA ens comuniquen que han decidit discontinuar la plataforma d’integració que ens permetia prestar aquest servei i, per tant, ens veiem obligats a discontinuar-lo. Segons la informació proporcionada, el servei de Mobile Connect no ha complert les expectatives de desplegament al sector privat. En conseqüència, procedim a desactivar  l’opció d’identificació digital amb la solució Mobile Connect del servei VALID per als ajuntaments col·laboradors en el pilot.

Innovar comporta riscos i no totes les iniciatives tenen èxit. Ara bé, creiem que l’aprenentatge de l’experiència ha estat enriquidor per a futures iniciatives de col·laboració amb empreses.