Verificación de identidad e innovación, tendencias tecnológicas, regulación y coyuntura, sobre eso versó la conversación que TeleSemana.com mantuvo con Samer Atassi, vicepresidente de Jumio para Latinoamérica. El punto de partida fue la legislación que desde mediados de año rige en Europa y por la que se regula la Identificación electrónica, Autenticación y Servicios de Confianza (eIDAS, por sus siglas en inglés) para las transacciones electrónicas que se realizan en el mercado interno, y que hacia 2026 pondera la obligatoriedad de que los Estados ofrezcan billeteras de identidad digital a sus ciudadanos. El horizonte involucra que para 2027, sectores como banca, telecomunicaciones y salud estarán obligadas a aceptar estas billeteras en sus interacciones con los clientes. ¿En ese contexto, cómo intervienen las regulaciones vinculadas a los datos personales, a los servicios digitales, la ciberseguridad y la inteligencia artificial, por citar tres? ¿Y la cuestión de la soberanía digital y de las infraestructuras críticas? ¿Qué rol ocupan los estándares y cómo pueden prepararse las telcos? Todo eso, y algo más.
¿En qué escenario se encuentra la regulación europea al respecto y cuál es la realidad latinoamericana?
El preámbulo que expusiste es súper adecuado porque está cambiando todo demasiado rápido en algunas cosas, y demasiado lento en otras. Es decir, ves regulaciones de protección de datos o que tengan que ver con los eIDs y los documentos electrónicos, donde el intercambio de información ya está cruzando fronteras. Si vamos a otras latitudes, como Argentina, vemos que las normativas atraviesan cambios, que hay regulaciones de apuestas en línea o tendientes a proteger a los menores. Hay un montón de cosas que están pasando a raíz de lo rápido que está avanzando el mundo digital.
Este hecho de poder hacer diferentes transacciones online, de volcar tu identidad de forma digital y usarla para diferentes procesos virtuales, sean apuestas, aperturas de bancos o procesos oficiales de gobierno, en los que tenés que validar quién sos para algún impuesto o para acceder a beneficios sociales, por ejemplo, avanza súper rápido.
Creo que la Unión Europea dio un paso adelante al tener el beneficio de ser un conglomerado de países que están bajo un mismo paraguas, algo que facilita el intercambio de información. Diferente es Latinoamérica, donde todavía no tenemos algo tan fuerte como la Unión Europea; ojalá lleguemos a eso.
En Europa, el eIDAS permite que la gente pueda transaccionar en diferentes países y trabajar en diferentes países. Aunque cada nación tenga sus particulares obvias, la legislación común facilita mucho la gestión: si un alemán tiene que trabajar en Italia, no debe sacarse un documento italiano para lograr hacer procesos fiscales obligatorios, porque su documento es europeo.
En ese sentido, dio un paso bueno, moderno, avanzado y que recién arranca, que es paulatino y que va a ir progresando. Por ejemplo, para 2026 están los objetivos previstos en torno a procesos gubernamentales, a beneficios sociales, a impuestos y todo lo que tenga que ver con procesos del ciudadano con el gobierno. Para 2027, a su vez, ya se va a implementar más para empresas privadas, bancos, financieras, etcétera. Creo que es el camino correcto; ojalá, hacia donde vayamos en todos los países del mundo y no sólo la Comunidad Europea.
En Europa también está la Ley de Servicios Digitales, con foco en las plataformas y la apertura de sus datos, pero con un abordaje más centrado en la seguridad ciudadana; de que esas plataformas no sean nocivas. También está el tema de cómo se resguarda esa calidad de la información.
Correcto. De hecho, fíjate que todo lo que tenga que ver con privacidad de datos, la Comunidad Europea fue la primera que empezó a enforzar con el GDPR (N. de R: siglas del Reglamento General de Protección de Datos, que data de 2016). Después, en Latinoamérica y en otros lugares del mundo, empezamos a copiarlo. Si agarrás al LGPD (N. de R: siglas de Ley General de Protección de Datos de Brasil, de 2018) de Brasil, es casi que una copia textual del GDPR, al igual que en un montón de países que, con diferentes acrónimos, lo adaptaron. Pero la Comunidad Europea tomó la iniciativa, fue el primero en decir “vamos a cuidar al ciudadano” y ver qué están haciendo las compañías cuando obtienen todos estos datos de los ciudadanos. ¿A dónde va a parar eso? ¿Y cómo te protegen? ¿Qué pasa si los hackean?
Todo esto empezó también porque un montón de compañías que tenían estas bases de datos gigantescas de los ciudadanos, empezaron a vender la data a terceros, con otros propósitos. Entonces, el ciudadano puso un freno porque no dio su información más que para abrir una cuenta pero no para que esa data fuera comercializada. Y ahí avanzó la Comunidad Europea súper bien.
La forma en que se protege, se legisla y hasta se incorporó el tema del consentimiento, avanza. Es decir, para que la empresa tenga que tratar tus datos, vos como ciudadano le tenés que dar consentimiento explícito. Esto es algo que ahora se empieza a ver en Latinoamérica y en Estados Unidos, pero que existe en Europa hace, por lo menos, dos o tres años.
Todo esto hace que avance la protección del ciudadano, que son los desprotegidos, muchas veces, por falta de conocimiento sobre el cuidado de la propia identidad, el bombardeo de información y el abuso, la desinformación, el robo, el fraude, y abre un montón de tangentes enormes alrededor de eso.
¿Y cómo ven la cuestión regulatoria regional? Las normativas de ciberseguridad empiezan a cruzarse con las de datos; pero algunas de datos son arcaicas…
Sin ser un experto regulatorio, creo que las regulaciones están yendo rápido en algunas cosas y se están adaptando, y que en otros aspectos van súper lentas. El mundo digital y la oferta digital avanzan tan rápido, que una regulación de hace un año, puede estar totalmente obsoleta.
Entonces, no sé si es por falta de conocimiento o por falta de recursos humanos, pero los gobiernos y sus entidades regulatorias tienen que actualizarse sobre las diferentes tecnologías y sus procesos para poder adaptar la regulación. Y no es que tienen que cambiar la regulación que existe porque se puede tener una regulación marco y cada seis meses, o cada 12 meses, o cada 18 meses, dependiendo la vertical o el rubro para el cual aplique, ir adaptándola.
Un ejemplo muy claro es el de apuestas. Un menor de 18 años no puede apostar, y en lugares como la Argentina hay un gran problema al respecto. En muchas partes del mundo, para apostar, primero te sacan foto del documento de identidad pero no te piden una selfie. ¿Cómo sabe la operadora de apuestas que no se trata de un nene que apuesta con el documento de su padre? Ahí es donde la regulación se tiene que adaptar y entender que el documento no es suficiente. Falta una prueba de vida, una selfie y, sobre todo, hacer un match con datos oficiales para garantizar que no se trata de un menor.
En términos de protección de datos, también. Sin entrar en un ataque regulatorio específico, sobre todo en el segmento de banca, los organismos piden que proceses la información en el país, y la realidad es que todos trabajamos con Amazon, que está en la nube y cuyos servicios son cloud. Pretender que todos los proveedores de servicios pongan servidores en cada país para que la información no vuele afuera, no es real.
La regulación, en vez de decir que los datos no pueden viajar afuera del país, tiene que velar por cómo se los protege, porque van a salir y van a volver. Ese es un caso en el que me parece que la regulación tiene que ir adaptándose a la tecnología y a los servicios que se están ofreciendo a través de tecnología.
Justamente, en Europa se está haciendo mucho hincapié en la soberanía de las infraestructuras…
Claro, pero es una comunidad. Nosotros, toda nuestra información reside en los servidores de Amazon y tenemos instancias de Estados Unidos para las Américas, en Europa para todos los países de la Comunidad Europea y en Singapur para los países de Asia. Pero imaginate si en Américas tuviéramos que trabajar con cada Amazon, de Argentina, de Brasil, de Ecuador, de Chile, de Perú: es imposible. Entonces, ahí es donde la Comunidad Europea lleva esa ventaja, por ser una comunidad.
Hace poco publicaron un estudio de identidad online ¿qué detectaron?
Es la cuarta o la quinta edición y lo que hacemos es entrevistar a ciudadanos comunes en diferentes partes del mundo: elegimos Singapur para representar a Asia, a Inglaterra para Europa, a Estados Unidos y en Latinoamérica elegimos a México como vocero.
Básicamente, son preguntas sobre qué piensan de los procesos digitales y de cómo se protegen, qué miedos tienen y cuánto confían. Lo que estamos viendo es que el ciudadano común está cada vez más alerta y cada vez más entiende mejor qué es la inteligencia artificial, con sus riesgos y sus beneficios.
Hay un alto nivel de desconfianza, que es malo como primera impresión, pero que puede ser bueno, porque habla de que el ciudadano común está más alerta e informado. Número dos, obliga a empresas como las fintechs, a las entidades financieras y a cualquier entidad que está recolectando datos, a tener procesos mucho más robustos de captura y de resguardo de la información. Y es ahí donde entramos nosotros en juego; porque no todos los proveedores de servicios somos iguales: detrás del telón tenemos un nivel de inteligencia artificial, de back office, muy superior al de cualquier otro. Por eso, siempre le decimos a los reguladores, a las entidades financieras y al ciudadano común: averigüen qué es lo que están usando, qué tecnologías están ahí afuera y cómo se diferencian.
Claro, tanto para el resguardo como para la amenaza…
Hoy, por ejemplo, hay una gran tendencia en Latinoamérica, de inyección de vídeo y de deep link, que es hacer un morphing; es decir, agarro tu rostro con una captura de pantalla y lo pongo en la cara de quien deseo para que se saque una selfie. Así de fácil y en 15 segundos puedo robar tu identidad y abrir una cuenta de banco. Y muchas entidades se quedan con la tranquilidad de que pidieron selfie sin hacer el match con el DNI, y con la base de datos oficial; del Renaper, en el caso de Argentina.
Se puede identificar si yo hice una inyección de vídeo y no me saqué una foto en vivo -para no entrar a nivel técnico-. Hay un montón de cosas en las que el usuario empieza a enterarse y desconfiar.
Es asi. Son empresas de telecomunicaciones que están abriendo fintechs, entonces es un mundo financiero adentro de la telco. Telecom Argentina es un muy buen ejemplo, con su Personal Pay. Ellos usan nuestra tecnología para validar la identidad de las personas cada vez que abren una billetera en Personal Pay, pero no necesariamente trabajamos en la operatoria de la telco.
Entonces ahí también hay diferencias, porque una cosa es validar la identidad de Noelia cuando va a abrir esa billetera con PersonalPay y otra cosa es la identidad de Noelia cuando va a comprar un iPhone en Telecom Argentina y va a hacer su plan de pago, donde el operador puede estar usando otra solución completamente diferente. Puede haber fraude a nivel telco en fuga de información, pero también pueden sufir el fraude por una persona que compra un teléfono con una identidad falsa.
Ahí es donde se usa mucho la autenticación biométrica y del eSIM; suele haber validación cuando se abre la cuenta original del cliente de la telco, pero no cuando se hace un SIM Swap y se va a comprar otro servicio o a cambiar algo. Entonces hay varios procesos y varios puntos en los que se puede validar y otros en los que revalidar .
¿Cómo identificarías o resumirías los desafíos que tienen las telcos en ese sentido?
En America Latina y Caribe, al igual que en Asia-Pacífico, vemos tendencias de fraude mucho mayores que en Estados Unidos o que en Europa. Y lo vemos porque tenemos tráfico de millones de personas, y vemos que los ataques de fraude o las capturas de documentos falsos, de inyecciones de vídeo, de deepfakes, es mayor en Latinoamérica y en Asia. También creo que impacta que hoy se cruzan fronteras digitalmente de una forma muy sencilla: un francés puede cometer fraude en Argentina y un argentino puede cometerlo en Francia, porque se puede inventar un documento en línea.
Respecto a ese incremento de las vulnerabilidades en la región, ¿tienen medido qué países están más expuestos?
Todos los países están expuestos de igual manera, pero vemos que en México y en Brasil hay niveles de fraude más altos que en el resto; que en Colombia también hay un importante nivel de fraude. Depende mucho de los tipos de documentos. Brasil sacó una licencia de conducir digital, que está bastante bien implementada, que es con un código QR y que, para validarlo, tenés que rebotar la información con el gobierno; no es un documento plástico como antes. Era fácil de manipular y de estafar, versus la cédula con holograma, como la de Chile que tiene un chip NFC.
Nosotros, para validar la cédula chilena, podemos extraer la información directamente del chip NFC, como tienen los pasaportes modernos, los e-passports. Entonces, ya no hay estafadores que entran a manipular el chip NFC. La información es más precisa, es más segura.
Más que el país o el estafador, es el tipo de documento. Y ahí es donde estos documentos electrónicos vienen a agregar muchísimo valor, porque son documentos electrónicos emitidos por el gobierno, de forma electrónica y donde hay una forma electrónica de validar su seguridad y su veracidad.
Hay muchos gobiernos que están viendo lo que hace Europa y lo que hizo Brasil. Brasil es uno de los países digitalmente más avanzado del mundo, no sólo de la región, con el PIX, la forma de pago instantáneo que sacó y que también avanza en Colombia. El PIX es, creo, el mejor estándar de pago instantáneo en el mundo, y ahora tomó la delantera con la licencia a conducir electrónica,
Europa está haciéndo el eIDAS y así como muchos países del mundo copiaron un poco la regulación de protección de datos europea, creo que poco a poco todo el mundo está teniendo intención de salir con un documento digital.
Así como la tarjeta crédito reemplazó parte del cash y la billetera digital está reemplazando la tarjeta física, el documento digital va a ir reemplazando el documento plástico también.
En estos procesos de transformación digital está la cuestión cultural, la capacidad de inversión, de disponibilidad de infraestructuras, y otros factores que intervienen. ¿Qué mensaje le darías a quienes están avanzando con ese tipo de transformación o que lo están empezando a ponderar?
La transformación digital acerca esas diferencias, donde no hay un banco en una zona rural, todo el mundo tiene un celular; capaz que no tenés una cuenta de banco o un auto, pero un celular tenés y esta explosión digital, sobre todo para el ambiente financiero, ayuda a la inclusión financiera, a que la gente pueda circular digitalmente, financieramente, sin tener que estar en una zona súper urbana, en Manhattan o en Capital Federal, por decir algo.
Tenemos que comunicarnos y trabajar más en equipo, nosotros, proveedores de servicio, que somos los que implementamos tecnología y mejoramos tecnología y tenemos el mejor conocimiento de la inteligencia artificial, de lo bueno y lo malo; las entidades que usan la tecnología para ofrecersela a los ciudadanos, (fintechs, bancos, telcos, etcétera); los reguladores, que son quienes tienen que actualizarse e implementar la normativa para proteger al ciudadano; y el ciudadano. Si los cuatro no estamos conscientes de cómo avanza la tecnología y sus riesgos, se complica la cosa. Tenemos que trabajar en conjunto, en comunicar, implementar, educar.
Creo que no existe una única solución, un one size fits all,para todo, en todos lados. Es decir, lo que le puede servir a una telco no necesariamente le sirve a un banco, los niveles de riesgo son diferentes, de hecho nuestro motor de decisiones de riesgo permite jugar con eso, porque lo que es riesgo para una telco no es necesariamente riesgo para una casa de apuestas. Lo que sí creo es que esta explosión digital no va a parar; hay que subirse a ese barco, entenderlo y reinventarse.
