La Red Identrus es un sistema de producción y utilización de contraseñas numéricas electrónicas, de clave pública y de carácter global, para usuarios empresariales (B 2 B), impulsada por entidades financieras que utiliza, a tal efecto, la red Internet (la Red).
Fue fundada en abril de 1.999 por ocho de las mayores instituciones financieras del mundo, mediante un acuerdo de empresa de responsabilidad limitada (acuerdo ERL), sometida a la legislación del Estado de Delaware (EE.UU.). Reclama ser la primera infraestructura mundial de clave pública.
2.- Constitución del Sistema Identrus (el Sistema) y de su compañía gestora.
La constitución del Sistema fue impulsada por el Chase Manhattan Bank y el Barclays P.L.C.. El primero, colocó a su ejecutivo Guy S. Tallent –Vicepresidente del Banco y su responsable de estrategia de comercio electrónico- como Presidente del Comité Directivo (Steering Committee), creado para poner en marcha el Sistema.
El Comité Directivo fue constituido en abril de 1.998 y sus tareas se encaminaron, inicialmente, a definir los sistemas técnicos y de participación precisos para lograr se adhirieran al Sistema un número de entidades financieras suficiente para ofrecer a todas las demás confianza en el éxito del proyecto. Esas negociaciones entre las entidades financieras fundadoras y el Comité Directivo fue configurando, también, los requisitos técnicos del Sistema, apareciendo como característica general la necesaria apertura del mismo y su interoperatividad, para permitir la integración de los programas que las entidades financieras venían ya operando y la conservación de sus proveedores técnicos y tecnológicos.
En febrero de 1.999, se solicitaron las primeras patentes y, en marzo de 1.999, se solicitó la inscripción de una Sociedad de Responsabilidad Limitada (Limited Liability Company/LLC) en el Estado de Delaware, como hemos dicho.
En marzo de 1.999, también, se cambió el nombre de la LLC inicialmente previsto, al de Identrus LLC, formado por las cuatro primeras letras de las palabras inglesas Identity yTrust; poniendo, así, énfasis en lo que se consideraba idea mayor del Sistema: la confianza en la identidad de los interlocutores en las operaciones empresariales dentro de Internet, que se consideraba la barrera técnica más importante para el crecimiento del comercio electrónico.
De los dos pilares legales del Sistema, el primero fue la aprobación por la Cámara de Representantes de Estados Unidos -en una votación de mayoría abrumadora (426 contra 4)- de la Ley de Firmas Electrónicas en el Comercio Nacional y Mundial (Electronic Signatures in Global and National Commerce Act). Esta Ley se consideró por los medios norteamericanos, en su momento, de importancia potencialmente enorme para los negocios en la Red, a la vez que resaltaban la escasa repercusión que, en Europa, había tenido su aprobación.
La Ley promulgada otorgaba a las contraseñas numéricas electrónicas el mismo valor legal que las firmas manuscritas; mientras que especificaba los casos en que sólo estas últimas podían ser empleadas.
Como es bien sabido, las contraseñas numéricas electrónicas utilizadas en la Red son piezas de un código de programa encriptado, personalizadas para un individuo que, a través de una tarjeta, insertada en una máquina lectora, autoriza, con ocasión de las comunicaciones, y valida, después, la comunicación en cuestión, entre las personas a las que se reputa titulares de las contraseñas utilizadas. Designadas con diferentes nombres –firma electrónica, electronic signature, digital signature, digital certificate, etc, etc-, su validación legal, como medio de contraer obligaciones, implica que Internet pueda llegar a ser un medio privilegiado para realizar todo tipo de contratos.
El segundo pilar legal del Sistema lo constituye el régimen fiscal y mercantil del Estado de Delaware.
En octubre de 1.992, ese Estado, conocido en América como la “capital corporativa del mundo” –puesto que más del 50% de las Compañías que cotizan en la Bolsa de Nueva York (NYSE) están registradas en ese Estado-, aprobó una Ley, autorizando la LLC como un nuevo tipo de compañía mercantil, inspirándose en algunas leyes europeas y, especialmente, en la GmbH alemana.
Estas Compañías ofrecen los siguientes beneficios:
a) Escasez de formalidades en su funcionamiento, en relación con las Compañías de Régimen General (General Corporation).
b) Inmunidad del control de los bienes de la Compañía o de los derechos políticos del participante, a las deudas y obligaciones de éste.
c) Régimen fiscal de transparencia y de imposición en la fuente, de forma que, usando una LLC de Delaware, los extranjeros, no residentes en Estados Unidos, pueden, legalmente, evitar todos los impuestos federales, en relación con las actividades de la LLC, siempre que no sean realizadas en Estados Unidos.
d) Las operaciones y la dirección de la LLC se gobiernan por un acuerdo escrito entre los propietarios que no tiene que ser registrado y revelado a la División de Corporaciones del Estado de Delaware (Delaware Division of Corporations). Como resultado, una LLC permite el anonimato y crear una estructura de dirección a gusto de los propietarios. El contrato de sociedad puede escribirse en cualquier lengua y no tiene por qué ser traducido al inglés.
e) Las leyes que rigen el Estatuto de la LLC permiten a las partes definir sus relaciones mercantiles en el contrato de sociedad de la forma que deseen. El Estado de Delaware proporciona reglas legales sólo para aquellas materias sobre las que las partes no han establecido pactos privados. La flexibilidad contractual ofrecida por las Leyes de Delaware son únicas entre todos los demás Estados de la Unión Americana.
f) Expresamente, las Leyes de Delaware expresan que ningún propietario de la Compañía o Director de la misma queda obligado personalmente por cualquier deuda, obligación o responsabilidad, por la sola razón de ser propietario de la Compañía o actuar como un Director. En cualquier caso, la protección contra las obligaciones personales queda limitada por los socios y los Directores a la suma invertida en la Compañía.
En pocas palabras, una Delaware LLC goza de todos los beneficios de una sociedad civil o asociación de interés económico y de una compañía mercantil.
Las características esenciales del ERL son las siguientes:
a) Los accionistas de Identrus tienen un derecho de voto en la Junta de Accionistas que se calcula sobre la base de sus respectivos porcentajes de participación en la Compañía. Ello significa que cada uno de los accionistas fundadores tendrá menos del 10% de los derechos de voto y que cada uno de los accionistas posteriores tendrá menos del 5%.
b) Todos los asuntos que deban ser votados, aprobados o autorizados por los accionistas requerirán una aprobación por mayoría. Cuando en una votación no se alcance esa mayoría, se considerará que no se ha obtenido la aprobación necesaria.
c) No se exigirá a los participantes en el Sistema Identrus que posean acciones en la Compañía; la participación como socio en el Sistema estará abierta a todas las entidades que reúnan los criterios para la admisión como participante.
d) Todos los participantes, incluidas las partes, serán libres de adherirse a otros sistemas que presten servicios de autoridad de certificación.
e) Existe una restricción a la transmisión de los derechos de socio. Tales derechos deben ofrecerse primero a la propia Identrus LLC o a otros socios, antes de ofrecerse a terceros.
f) Aunque los accionistas tienen el derecho de establecer las normas de funcionamiento del Sistema, el porcentaje de representación máxima en los organismos de dirección del Sistema está limitado al 15%.
El contrato de asociación fue otorgado por ABN-AMRO Services Company, Inc., BA Interactive Service Holdings, Inc., Barclays Electronic Commerce Holdings, Inc., Bayerische Hypo-und Vereinsbank AG, The Chase Manhattan Bank, Citibank Strategic Technology, Inc., Deutsche Bank AG y Pyramid Ventures, Inc. (“las partes”).
Las partes aportaron el capital inicial del 50%.
Sería objeto de la Compañía poner a disposición y gestionar la infraestructura necesaria para crear una red mundial e interoperativa entre entidades financieras que ofrezcan servicios de autoridad certificante.
Junto a las partes notificantes, Identrus contará con un número limitado de otros accionistas (“los accionistas”).
Ningún accionista tendrá el control único sobre Identrus.
La participación en el Sistema Identrus estará abierta a entidades financieras cualificadas de todo el mundo (“los participantes”).
No es necesario que los participantes sean accionistas de Identrus, pero todos los accionistas son participantes.
Los grupos empresariales a los que pertenecen las partes pueden describirse del siguiente modo. ABN AMRO Services Company, Inc. es una sociedad de Illinois, cuya matriz en última instancia es AB AMRO Holding NV. de los Países Bajos. BA Interactive Services Holding Company, Inc. es una empresa de Delaware, cuya matriz última es la estadounidense BankAmerica Corporation, de Estados Unidos. Barclays Electronic Commerce Holdings Inc. es una sociedad de Delaware y filial indirecta de Barclays Bank PLC, del Reino Unido. Bayerische Hypo-und Vereinsbank AG (“Hypo Vereinsbank”) es un grupo financiero resultante de la fusión en 1.998 de Bayerische Vereinsbank AG y Bayerische Hypotheken und Wechsel Bank. Chase Manhattan Bank (“Chase”) es una filial al 100% de Chase Manhattan Corporation, de Estados Unidos Citibank, N.A. es una filial al 100% de Citigroup Inc., de Delaware. Deutsche Bank AG, de Alemania, es propietaria directa de su inversión de capital en Identrus. La estadounidense Pyramid Ventures, Inc. es filial indirecta de Bankers Trust New York Corporation, fusionado, actualmente, con Deutsche Bank AG..
Las oficinas centrales de Identrus LLC se encuentran en 330 Fifth Avenue, 5th Floor, New York, NY 10001, Estados Unidos de América.
Además, tiene una oficina internacional en 78 Cannon Street (510), London EC4N 6NQ, Reino Unido de Gran Bretaña.
3.- El contexto técnico y económico que dio lugar a Identrus.
El conjunto de obstáculos generales a las relaciones interempresariales rápidas y seguras por Internet, comprende, destacadamente, los siguientes:
1.- La inseguridad e ineficacia de los sistemas usuales para el consumo, mediante contraseñas verbales (password) y tarjetas de crédito; tanto por la probabilidad de pérdida o utilización indebida de las primeras, como por falta de cobertura de las segundas.
2.- El anonimato inherente a las comunicaciones por Internet; todavía más perturbador en el caso de las personas jurídicas y de las organizaciones empresariales que protagonizan el tráfico interempresarial, en los que la expedición del certificado de identificación (ID) correspondiente a la utilización de la contraseña electrónica precisa evaluar las funciones de representación del empresario social que corresponden al tenedor del certificado. En estos casos, la parte fedataria (CA), ya se denomine Trusted Third Party, Autoridad Certificante, Proveedor de Servicios de Certificación, etc, etc, debe llevar a cabo servicios de identificación afines a las comprobaciones notariales, bancarias o administrativas, cuando la identidad del obligado es un prerequisito del otorgamiento del documento.
3.- La posibilidad de repudiar o rechazar las operaciones contratadas, después de su otorgamiento.
4.- Las CA’s que expiden IDs, como consecuencia de su capacidad tecnológica, no pueden garantizar un sistema de pagos entre los participantes que utilizan sus servicios, por una doble razón: a) En primer lugar, porque no gozan de capacidad de disposición de los fondos de los participantes, a los efectos de garantizar el flujo de pagos del sistema; al contrario de lo que sucede con las entidades bancarias que, mediante ese procedimiento, aseguran la difusión y aceptación comercial de las tarjetas de crédito. b) En segundo lugar, porque no cuentan con la capitalización precisa a tal efecto, y han de recurrir, para manejar el riesgo, a entidades integradas en el sistema financiero. Además, resulta una dificultad añadida las rígidas condiciones de supervisión bancaria de casi todos los países, que dificultan, de esa forma, la intervención en los mercados financieros de entidades no sujetas a su supervisión.
5.- Por esa razón, muchos otros problemas aquejan a las CA’s cuando se trata de ofrecer garantía de ejecución económica del contrato, afines a las que actualmente rigen en la contratación internacional, tales como: cartas de crédito, certificados de garantía, avales, etc, etc.
A nivel mundial, se añaden a éstos otros obstáculos:
1.- Para transacciones rápidas y seguras se precisa que la contraseña electrónica numérica, utilizada en la contratación a través de Internet, tenga eficacia legal reconocida en todos los países en que opere el sistema.
Precisamente por esa razón, ha declarado la Comisión de la UE, en su decisión de 31 de julio de 2.001:
“Hoy por hoy no hay ninguna manera extendida, efectiva y segura de hacer pagos transfronterizos por Internet, y los operadores del mercado desconfían de la seguridad de este tipo de pagos. El marco legislativo actual brinda a los consumidores una cierta protección, pero no resuelve muchos de los problemas que conlleva el comercio en línea con la comunidad. Es necesario mejorar la seguridad técnica y crear una “red de seguridad” legislativa”.
2.- La inexistencia de autoridades o servicios de certificación mundiales o de autoridades o servicios de certificación que expidan certificados intercambiables a nivel internacional.
De la misma manera que un comerciante que acepta una tarjeta de crédito no necesita ser cliente del mismo Banco que la expide, al hallarse integrado el Banco del que el propio comerciante es cliente en una misma asociación de comercialización de tarjetas de crédito, sería preciso, para que una red de contratación interempresarial pudiera operar internacionalmente, que existiera un conjunto de reglas comunes para todos los empresarios que pudieran utilizar dicha red. Esta asociación con el mismo conjunto de reglas comunes no existía al aparecer Identrus y, además, las instituciones financieras se han mostrado generalmente contrarias a las restricciones que suponen estas asociaciones.
Sin embargo, un sistema mundial debe estar regido por un conjunto de normas, aceptadas contractualmente por todos los participantes, lo que exige una red comercial y administrativa muy importante, con una inversión también ingente. Resulta, pues, más práctico utilizar redes comerciales y administrativas existentes, que es la razón por la que las redes bancarias de tarjetas de crédito tienden a desplazar a las redes especialistas, aunque éstas les hayan precedido y hayan creado estructuras comerciales bastante eficientes.
3.- Es evidente la variedad del material y de los sistemas informáticos utilizados por las entidades financieras. Ni siquiera los elementos de software, como las plataformas operativas, son generales, pues se estima que en el 2.004 Windows 2000/XP de Microsoft se encontrará apenas en la mitad de los sistemas profesionales, mercantiles e industriales y sólo en el 37,5% de los mismos sistemas que utilizan redes intraempresariales.
Por otro lado, en materia de hardware, la variedad de los sistemas informáticos es, sin duda, mucho mayor.
Por último, es evidente que resulta imposible imponer internacionalmente unos pocos proveedores que aseguren la uniformidad de los equipos y programas informáticas por razones sociales, económicas, industriales y legislativas.
Por consiguiente, un sistema internacional de autoridad o servicios de certificación de contraseñas electrónicas precisa de un elevado nivel de interoperatividad que ahorre a los que en él participan los costes, esfuerzos y dificultades de ajuste, inherentes a modificaciones sustanciales, a la vez que les permita conservar a sus proveedores habituales de material y servicios informáticos.
4.- La estructura del Sistema Identrus y las formas de participación en el mismo.
4.1.- La autoridad central de identificación.
Aunque el Sistema debe servir a miles de entidades financieras y millones de empresarios, cualquier certificado numérico de identificación será, en última instancia, verificable a través de la Autoridad Central de Identificación del Sistema Identrus (CCA). A causa de su enorme importancia, Identrus ha desplegado las operaciones de la CCA en dos centros de datos, inicialmente ubicados en Canadá –Intria-HP- y Holanda –Roccade Megaplex-, protegidos por sistemas múltiples de calidad militar. Ambos centros se hayan en producción, y su tecnología ha pasado todas las pruebas de interoperatividad.
4.2.- Niveles de participación en el Sistema.
Las empresas participantes podrán adherirse al Sistema dentro de su Nivel Uno o del Nivel Dos.
4.2.1.- Nivel Uno.
Identrus, a través de su CCA, extiende certificados de identificación a sus participantes del Nivel Uno y, de esa forma, permite la validación de la identidad de este tipo de participantes. Esto permite, a su vez, que los participantes del Nivel Uno actúen como autoridades de certificación dentro del Sistema Identrus y extiendan certificados de identificación a sus clientes empresariales. Además, los participantes del Nivel Uno también pueden extender certificados para los participantes del Nivel Dos, actuando como CA’s. Por tanto, en el Nivel Uno, los participantes podrán extender certificados a usuarios finales y a participantes del Nivel Dos. Por lo demás, los participantes de ambos niveles actuarán en el Sistema de la misma manera, compitiendo, entre sí, para servir a los usuarios finales.
En consecuencia, los participantes del Nivel Uno deben encontrarse en una situación que les permita cumplir de manera especial las exigencias de los clientes empresariales, en materia de fiabilidad, reputación y confianza.
Las especificaciones del Sistema Identrus establecen la interoperatividad, para permitir que cada participante desarrolle su propia tecnología de manera independiente. Además, cada participante ofrecerá sus propias aplicaciones, creadas de manera independiente, y desarrolladas sobre la base de servicios numéricos de autoridad de certificación de la infraestructura del Sistema Identrus, en competencia con los demás participantes.
A tal efecto, para actuar en el Sistema, los participantes del Nivel Uno deben instalar un Centro de Datos Identrus Compliant PKI (IC), de la siguiente forma:
1.- Los participantes con inversiones en sistemas de identificación de clave pública (PKI) pueden seguir utilizando dichos sistemas, adaptándolos a las especificaciones y reglas operativas de Identrus. Para las instituciones financieras que no tengan infraestructura PKI, Identrusles ayudará a identificar y evaluar a los proveedores tecnológicos de tales infraestructuras. Identrustambién seguirá de cerca con las instituciones financieras cada estadio de desarrollo e implementación del Sistema.
2.- Para ayudar a las instituciones financieras a instalar su Centro de Datos IC, rápidamente y sin obstáculos, Identrus ha convenido con socios mundiales de tecnología que ofrezcan un centro en tales condiciones, terminado y listo para funcionar, llamado Identrus Express, precertificado por Identrus, a fin de eliminar la necesidad de que las instituciones financieras inviertan en nueva tecnología PKI.
3.- Cada participante podrá fijar libremente las tarifas que aplicará a sus usuarios finales de servicios de autenticación.
4.- Cada participante constituirá, además, un depósito en una cuenta de una entidad financiera designada, que servirá como garantía de las obligaciones asumidas como consecuencia de las operaciones realizadas en el Sistema, conservándose en beneficio de terceros para respaldar las garantías que, a su vez, constituyan las entidades financieras. Las normas de funcionamiento que se aplican al Sistema Identrus establecen el importe de la garantía que debe constituirse, la frecuencia con que debe recalcularse su importe, las obligaciones de los participantes en relación con ella y el momento en el que debe constituirse.
4.2.2.- Nivel Dos.
Los criterios de admisión para los participantes del Nivel Dos son similares a los existentes para los participantes del Nivel Uno. Sin embargo, los requisitos de capital y solvencia son menos severos, lo que permitirá que, también, participen en el Sistema Identrus entidades más pequeñas. Los participantes son libres de participar en el Nivel Uno o en el Nivel Dos, siempre y cuando cumplan los correspondientes requisitos de capital y solvencia.
Los participantes del Nivel Dos ejercerán como CA’s y extenderán certificados a sus clientes empresariales.
Para los clientes de las entidades financieras, la certificación Identrus Ready (IR) homologa programas que se definen como una aplicación informática que contiene todas las funciones que permiten aceptar los IDs e interoperar con el Sistema Identrus, presto para ser implementado por un cliente responsable (Relying Customer) y para ser conectado a una Identrus CA. Cualquier aplicación que contiene la capacidad de interoperar con el Sistema Identrus (DSMS) y que está presto para ser conectado a una Identrus CA, sin requerir software adicional, puede ser considerado un producto Identrus Ready.
4.3.- Proveedores tecnológicos.
Los programas certificados IC e IR son suministrados por una gran variedad de proveedores tecnológicos del Sistema. Estos proveedores son presentados por las propias entidades financieras a las que interesa seguir contando con los servicios o suministros de dichos proveedores. También son homologados como consecuencia de una petición directa de las empresas vendedoras de tecnología de seguridad para el comercio electrónico.
En el primer caso, es usual que esos distribuidores o vendedores de tecnología de seguridad hayan trabajado separadamente con las instituciones financieras que componen el Sistema, para desarrollar infraestructuras de comercio electrónico en esas instituciones.
Utilizando sus propias tecnologías para la prueba de interoperatividad, cada institución ha podido enviar, recibir y validar, a través de Internet, IDs, dentro de la infraestructura internacional piloto de Identrus. De esa forma, la estructura del Sistema pretende permitir a sus participantes actuar como CA’s individuales en un sistema piramidal que vamos a describir, cuyo pináculo lo ocupa la CCA.
Las entidades financieras que desarrollan funciones de CA’s individuales actúan como competidoras en los Niveles Uno y Dos.
Se considera una cualidad inherente al Sistema que la infraestructura operativa sea tan abierta como la propia Red. Se estima que, así, se asegura la adopción de la infraestructura Identrus por los clientes comerciales, las instituciones financieras y los distribuidores de tecnologías.
El Plan de Negocio de Identrusprevé que participen en el Sistema, a este nivel, hasta trescientos Bancos de todo el mundo; y, entre ellos, todos los accionistas de Identrus, en las mismas condiciones aplicables a los terceros que actúen, también, como participantes a este nivel.
Una entidad podrá optar a ser participante del Nivel Uno si, fundamentalmente, ejerce actividades de prestación de servicios financieros, está sujeta a la normativa y supervisión administrativas y reúne determinados requisitos de capital y solvencia, según la definición del Comité de Basilea de Supervisión Bancaria (Basle).
El 28 de abril de 2.000, Identrus anunciaba que dieciocho vendedores de tecnología de comercio electrónico seguro producían programas que interoperaban, impecablemente, en su red piloto, dando lugar al primer ejemplo de una infraestructura mundial de clave pública, utilizando múltiples suministradores de tecnología y múltiples proveedores de servicios de certificación, tecnología de validación de los certificados en tiempo real y tarjetas programadas (smart cards).
Los dieciocho suministradores de tecnología eran Baltimore Technologies, Chrysalis ITS, Computer Associates, CyberTrust, Datakey Inc, EnTrust Technologies, Gemplus, iD2 Technologies, Litronic Inc., nCipher, Oberthur Card Systems, Rainbow Technologies, Schlumberger, Setec, SPYRUS, TC TrustCenter, ValiCert y VerySign Inc..
4.4.- Laboratorios de homologación.
El 22 de agosto de 2.001, IBM Global Services había sido seleccionada por Identrus LLC como operadora de un laboratorio de pruebas para la homologación de los programas IR e IC.
5.- Los servicios de Identrus.
Como hemos dicho, las instituciones financieras que participan en el Sistema Identrus sirven como CA’s en el antedicho Sistema, reconociendo y certificando la identidad de sus clientes empresarios y validando su cualidad de interlocutor comercial de confianza en Internet. Estas entidades financieras, como proveedores de servicios de identificación, emiten Certificados de Identificación Mundial Identrus –Identrus Global ID- consistentes, como hemos dicho, en una contraseña numérica electrónica, a la que sirve de soporte material la correspondiente tarjeta.
La contraseña se emplea en una infraestructura mundial de clave pública, obtenida mediante encriptación, lo que hace su falsificación prácticamente imposible. Cuando las instituciones financieras y sus clientes empresarios se unen al Sistema, un sistema mundial extensivo de relaciones negociales entre empresarios conocidos y certificadores de confianza comienza a tomar forma.
Una vez certificado por una CA de Identrus, un participante en el Sistema puede identificar cualquier otro participante en el Sistema,fácilmente y con seguridad. El hecho de que sea un miembro certificado de Identrus, hace las relaciones negociales a través de Internet viables en el sistema mundial de confianza y, por medio de contratos de participación comunmente aceptados, los que operan a través del Sistema, también saben:
1.- Que sus relaciones negociales son legalmente obligatorias.
2.- Que pueden protegerse de la posibilidad, improbable, de que una identidad electrónica sea defectuosa.
3.- Que existe un sistema establecido de recursos y remedios para el supuesto de que un participante intente defraudarlos.
El esquema mostrado más abajo expresa el curso que sigue una transacción en el Sistema Identrus, en el cual un fabricante contrata con un subcontratista cuando ambos figuran certificados por dos instituciones financieras distintas, afiliadas al Sistema Identrus.
De la forma señalada, los participantes en el Sistema Identrus pueden utilizar su ID para presentarse, formular sus propuestas contractuales, probar su identidad y facultades, negociar los contratos y otorgarlos, dejando evidencia documental de todo ello. Las partes pueden estar seguras de que los términos del contrato, autorizados por su ID, no serán alterados después, o si lo son, será fácilmente detectado el fraude.
Asimismo, los participantes en el Sistema saben, al relacionarse con otro, integrado en Identrus, que la validez jurídica de las operaciones que realicen entre ellos está asegurada, tanto por el ordenamiento jurídico del país donde se haya integrado el participante en cuestión, como por el estándar o marco contractual del Sistema Identrus.
Alcanzar un nivel de confianza parecido al que proporcionan las tarjetas de crédito de utilización internacional es, sin duda, el ideal al que debe tender el régimen contractual del Sistema.
Otro servicio del Sistema consiste en la encriptación de la información contractual jurídicamente protegida, tal como transferencias de datos personales, listas de clientes, planos y proyectos técnicos, etc, etc, que no deben transmitirse, evidentemente, mediante un correo electrónico de acceso no codificado.
Las entidades financieras, integradas en el Sistema, que intervienen como CA’s en las relaciones contractuales entre sus clientes, vienen obligadas a producir documentalmente sobre papel y certificar todas las comunicaciones producidas entre los clientes en cuestión, cuando se produce cualquier contencioso entre ellos; actuando, así, como testigos instrumentales cualificados o fedatarios mercantiles, según el ordenamiento jurídico aplicable.
Por último, la intervención de las entidades financieras como CA’s, en relación con sus clientes, tiene la ventaja importante de permitir unir las garantías jurídicas con las financieras; de forma que las CA’s del Sistema pueden librar, para apoyar la actividad contractual de sus clientes, las siguientes garantías financieras, entre muchas otras:
1.- Avales bancarios que garanticen el cumplimiento de los contratos celebrados a través del Sistema.
2.- Documentos de crédito para instrumentar pagos internacionales, tales como créditos documentarios.
3.- Realizar pagos internacionales directamente, por una de las CA a favor de la otra que, con ella, intervenga en la contratación a través del Sistema, asegurando la relación de conversión de las divisas a través de entidades de gestión del riesgo de conversión, como el Banco Continuous Linked Settlement(CLS Bank).
El conjunto de estas garantías es tan amplio que, con frecuencia, debería dar lugar a un catálogo de servicios financieros, vinculados con la Red Identrus, como el que tiene el Banco ABN-AMRO.
6.- Las alianzas de Identrus.
6.1.- En septiembre de 2.000, la Cooperativa Bancaria SWIFT e Identrus LLC anunciaron que el Sistema incorporaría el servicio de mensajería TrustAct, creado por SWIFT.
TrustAct permite a los Bancos intercambiar mensajes seguros de correo electrónico entre los propios Bancos, entre ellos y sus clientes empresarios y entre esos propios clientes. Dicho servicio conserva un registro de comunicaciones, con texto completo, que evidencia la comunicación y su fecha de recepción.
6.2.- El 29 de noviembre de 2.000, Identrus LLC y Bolero.net anunciaron que esta última Red aceptaría a las CA’s de Identrus como CA’s integradas en su propio Sistema “multiCA”.
El Grupo de Trabajo Bancario (Bank Working Group) lanzó bolero.net, redactando los Protocolos de Calidad para Operaciones Mercantiles Bolero (Bolero Standard Trade Settlement Protocols). Son cotitulares de bolero.net la Cooperativa Bancaria Internacional SWIFT y el TT Club; este último canaliza las inversiones en bolero.net de las administraciones portuarias mundiales y de los operadores de logística.
El propósito de bolero.net es ofrecer un sistema, abierto y común, operando en Internet, por el cual las empresas puedan intercambiar información dirigida a establecer relaciones comerciales entre los suscriptores de bolero.net. Esta Red actúa como un tercero neutral para asegurar el intercambio de documentación, dentro de un convenio entre ella y sus suscriptores, que permite compraventas, suministros y ejecución de obras pactadas a través de Internet, que son legalmente vinculantes.
6.3.- En abril de 2.001, Identrus LLC adquirió el Proyecto Eleanor de pagos internacionales a través de Internet que estaba desarrollando un consorcio de entidades financieras participantes en el Sistema.
6.4.- El 7 de mayo de 2.001, Microsoft e Identrus anunciaron que, a partir de 2.002, la plataforma Windows 2000/XP incorporaría la preinstalación precisa para que los ordenadores que utilicen la plataforma citada puedan servir como terminales en el Sistema Identrus, en base al Programa de Gestión de Contraseñas Electrónicas UniCert de Baltimore Technologies.
Microsoft asegura, también, la compatibilidad de otros programas ofimáticos de red, de correo y de comercio electrónico con el Sistema Identrus.
7.- Identrus en la Unión Europea.
El 6 de abril de 1.999, la Comisión recibió una solicitud de declaración negativa o, en su defecto, una notificación de exención, con arreglo al artículo 4º del Reglamento nº 17 del Consejo, de un conjunto de acuerdos, relativos a la creación de una red de entidades financieras que actuaran como autoridades de certificación de operaciones fiables de comercio electrónico, en un primer momento únicamente de empresa a empresa (business-to-business, B2B). Las partes notificantes eran ABN-AMRO Services Company, Inc., BA Interactive Service Holdings, Inc., Barclays Electronic Commerce Holdings, Inc., Bayerische Hypo-und Vereinsbank AG, The Chase Manhattan Bank, Citibank Strategic Technology, Inc., Deutsche Bank AG y Pyramid Ventures, Inc.
La Comisión estimó que:
“Un marco legislativo coherente y apropiado es esencial para desarrollar el comercio electrónico en la Comunidad. En 1.997, la comunicación de la Comisión al Consejo, al Parlamento Europeo, al Comité Económico y Social y al Comité de las Regiones – Iniciativa europea de comercio electrónico estableció las líneas generales de la política de la Comisión en este ámbito. Desde entonces, se han adoptado diversas Directivas. Entre ellas se incluyen la Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre de 1.999, por la que se establece un marco comunitario para la firma electrónica, que establece normas relativas al reconocimiento legal de la firma electrónica y los procedimientos de certificación electrónica, y la Directiva 2000/46/CE del Parlamento Europeo y del Consejo, de 18 de septiembre de 2.000, sobre el acceso a la actividad de las entidades de dinero electrónico y su ejercicio, así como la supervisión cautelar de dichas entidades, que establece que el dinero electrónico sólo puede ser emitido por entidades supervisadas que cumplan determinadas condiciones legales y financieras que garanticen la seguridad técnica. De importancia capital es la Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2.000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior. Está destinada a garantizar que los servicios de la sociedad de la información puedan prestarse libremente en toda la Comunidad.
...
En lo relativo a la seguridad técnica, la “iniciativa e-Europa”, presentada por la Comisión en diciembre de 1.999, promueve el uso de nuevas tecnologías y prevé el trabajo ulterior sobre técnicas de identificación y autenticación. Como se señala en la Directiva 1999/93/CE, en particular en sus considerandos 4, 5, 10, 21 y 23, el desarrollo del comercio electrónico requiere, como condición previa básica, la existencia de servicios mundiales de autoridad de certificación en redes abiertas. La necesidad de hacer más seguras las operaciones de comercio electrónico está dando lugar a nuevos mercados emergentes de prestación de servicios fiduciarios electrónicos. Los incumplimientos derivados de algunos de los riesgos asociados a la prestación en línea de servicios financieros y de autenticación podían desembocar en importantes riesgos legales y de reputación. Estos riesgos no son nuevos, pero su importancia relativa va en aumento, dada la dependencia creciente de la tecnología”.
En relación al mercado al que se dirige el Sistema, estableció lo siguiente:
“MERCADO DE REFERENCIA.
...
Los acuerdos notificados afectarán al menos a dos mercados separados: 1) el mercado de la prestación de servicios fiduciarios a autoridades de certificación, y 2) el mercado descendente de la prestación de servicios fiduciarios por parte de las autoridades de certificación a usuarios finales, en un primer momento del sector empresarial. En ambos casos, no se han desarrollado suficientemente los mercados, ni se ha verificado la confianza de los consumidores.
1.- Prestación de servicios fiduciarios a autoridades de certificación.
Identrus se ocupará del diseño y el funcionamiento de la infraestructura que permitirá a las entidades financieras gestionar los riesgos que conlleva confiar en la identidad de los autores y en la autenticidad de los mensajes electrónicos.
Ejercerá su papel como autoridad de certificación básica y establecerá una serie de normas de funcionamiento que definan los certificados de identidad extendidos por los participantes, así como su uso.
2.- Servicios de autenticación.
Los participantes del Nivel Uno y Dos del Sistema Identrus prestarán servicios de certificación digital directamente a sus usuarios finales empresariales para permitirles que realicen operaciones comerciales en redes electrónicas abiertas.
Mercados geográficos.
Los servicios de ambos mercados de producto de referencia se ofrecen a escala mundial, permitiendo transacciones internacionales entre empresas. El mercado geográfico de referencia es, por tanto, el mercado mundial de los servicios en cuestión.
ESTRUCTURA DEL MERCADO.
A. La posición de las partes en el mercado.
Como las partes no operan actualmente en los mercados de referencia, no disponen de cuotas de mercado en los segmentos descritos.
B. Competidores de las partes.
Como los mercados en cuestión se encuentran en pleno desarrollo, la Comisión no tiene una visión de conjunto de la situación competitiva en estos mercados ni de la posición competitiva de los futuros competidores de las partes. Con todo, las partes pudieron citar a varios competidores activos y aún no activos entre los que figuran American Bankers Association (ABAecom), SWIFT, VISA y MasterCard.
Además, debido al rápido crecimiento de la demanda de servicios de autenticación y de oportunidades de beneficio conexas, estimulado, entre otras cosas, por la iniciativa e-Europa de la Comisión ... Identrus se enfrentará a numerosos competidores potenciales, como las autoridades postales, proveedores de tecnologías, empresas de telecomunicaciones, así como a iniciativas específicas del sector. Aunque no todos estos sistemas potencialmente competidores tendrán éxito, cuando prosperen ejercerán una presión competitiva notable sobre Identrus.
OBSERVACIONES DE TERCEROS.
Tras la publicación de la Comunicación con arreglo al apartado 3 del artículo 19 del Reglamento nº 17, tres partes interesadas presentaron a la Comisión sus observaciones relativas a Identrus. Estos comentarios se centraban, en particular, en la apertura del sistema de certificación de Identrus a participantes potenciales a otras normas, así como en su interoperabilidad con otros sistemas similares. En líneas generales, los comentarios de los terceros expresaban una inquietud ante un posible proceso de concentración derivado del Sistema Identrus. Las preocupaciones formuladas abarcaban desde el temor a la “creación de un cartel tecnológico” hasta el “peligro de romper el equilibrio competitivo” en el mercado emergente de servicios electrónicos de autenticación”.
La Comisión concluía afirmando:
“Ausencia de riesgo de coordinación.
Identrus operará en un mercado nuevo y en pleno desarrollo. Debido al advenimiento de Internet, a su uso extendido y al gran número de personas que controla el acceso y la utilización del mismo, se hizo necesario desarrollar unos sistemas para prevenir la transmisión de mensajes no autorizados, fraudulentos o corruptos. Los nuevos operadores en los mercados nacientes del comercio electrónico se ven expuestos a una fuerte presión de los clientes empresariales para que les proporcionen la seguridad necesaria para sus operaciones. La cooperación de las partes se limita a la creación del Sistema Identrus en tanto que plataforma común para la prestación de servicios de certificación básica. Las partes no extenderán su cooperación al mercado de la prestación de servicios de certificación y autenticación a usuarios finales ni al sector de servicios financieros y bancarios, en el que seguirán siendo competidores independientes.
El éxito de un sistema de certificación se basa en su interoperabilidad con otros sistemas similares.
En virtud de las normas de funcionamiento, los participantes en el Sistema Identrus pueden crear una infraestructura interoperable que permita desarrollar unas aplicaciones para el comercio electrónico nacional y transfronterizo. Sin embargo, cada participante desarrollará dichas aplicaciones de manera independiente.
Acceso abierto al Sistema.
...
Identrus no tiene ningún incentivo para excluir a participantes potenciales, ya que la atracción del mayor número posible de participantes es una cualidad inherente al Sistema Identrus. Los ingresos de Identrus aumentarán a medida que aumente el número de operaciones de comercio electrónico cubiertas por el Sistema Identrus. Los usuarios finales se beneficiarán de la existencia del sistema adicional que creará Identrus. No deberían subestimarse los amplios beneficios que el sistema implicará para la libre circulación de mercancías en el mercado interior. El sistema de autenticación se utilizará en circunstancias muy diversas, que a su vez crearán otros productos y servicios que aumentarán las competitividad y los niveles de confianza, seguridad y calidad que requiere este mercado en desarrollo.
Presión competitiva.
Como se indicó ..., la seguridad de las transacciones financieras en Internet es una de las principales preocupaciones que afectan al extendido desarrollo del comercio electrónico. Se ha puesto en marcha un gran número de proyectos dirigidos a desarrollar aplicaciones para Internet destinadas a disipar este tipo de preocupaciones. Varios competidores comerciales ya han anunciado la creación de sistemas de certificación similares al proyectado por Identrus.
...
Ausencia de exclusividad.
Los participantes en Identrus son libres de participar en otros sistemas similares, si así lo deciden. Tal decisión se basaría en cuestiones internas que han de ser resueltas exclusivamente por el propio participante. Por tanto, la participación no tiene carácter excluyente. La posibilidad de elección de que disponen los participantes contribuirá potencialmente a fomentar la competencia entre sistemas competidores de autenticación.
Ausencia de efectos negativos sobre los mercados de insumos.
Es improbable que los acuerdos notificados afecten a los mercados de insumos necesarios para las empresas que operan en los mercados de referencia. De hecho, Identrus no se dedicará al desarrollo de programas informáticos, sino que sólo creará las especificaciones que se entregarán gratuitamente a los participantes y a los proveedores de los programas informáticos. ... En la práctica, los participantes podrán recurrir a un gran número de proveedores, a condición de que éstos cumplan las normas de Identrus que se han de desarrollar. Los participantes podrán cambiar de proveedor cuando así lo deseen.
Conclusión.
La creación del Sistema Identrus no implica ningún riesgo de cierre del mercado, dado que la empresa en participación se enfrentará a la presión competitiva de otros sistemas y los participantes serán libres de adherirse a esos otros sistemas. Además, no se observan efectos negativos sobre los mercados de insumos. Por lo tanto, los acuerdos para crear Identrus no entran en el ámbito de aplicación del apartado 1 del artículo 81 del Tratado CE y del apartado 1 del artículo 53 del Acuerdo EEE.
...
El artículo 9.1 del acuerdo ERL (el acuerdo de constitución de Identrus LLC) implica una prohibición general de cesión de derechos de socio. Tales derechos deben ofrecerse primero a la propia Identrus o a otros socios antes de ofrecerse a terceros (véase el artículo 9.3 del acuerdo ERL).
Aunque los accionistas tengan derecho de establecer las normas de funcionamiento del Sistema, ningún miembro puede dominar el Sistema en solitario, ya que el voto máximo está limitado al 15%.
Aunque esta medida constituya una restricción de la competencia en el mercado de intercambio de acciones, la restricción no tiene una incidencia apreciable”.
8.- Entidades financieras participantes en Identrus, el día 1º de marzo de 2.002.
Abbey National PLC
ABN AMRO
AIB Group
Australia and New Zealand Banking Group Ltd. (ANZ)
Banco Bilbao Vizcaya Argentaria, S.A.
Banco Comercial Portugués.
Banco Sabadell
Banco Santander Central Hispano
Banesto
Bank of America
Bank of Ireland
Bank of Montreal
Bank of Scotland
The Bank of Tokyo-Mitsubishi Ltd.
Barclays PLC
BNP Paribas
Canadian Imperial Bank of Commerce (CIBC)
Chohung Bank
Citigroup
The Co-operative Bank
Commerzbank
Commonwealth Bank of Australia
Crédit Agricole France
Crédit Lyonnais
Deutsche Bank
Den Norske Bank
Dresdner Bank
Fleet Bank
HSBC Group
HypoVereinsbank
Industrial Bank of Japan, Limited (IBJ)
ING Group
J.P. Morgan Chase & Co.
Korean Exchange Bank
LBBW
Lloyds TSB
National Australia Bank Limited
Nordea
The PNC Financial Services Group, Inc.
Royal Bank of Canada
Royal Bank of Scotland Group
Sanwa Bank
Scotiabank
SEB Bank
Société Générale
Standard Chartered Bank
Sumitomo Mitsui Banking Corporation
Wells Fargo Wholesale Internet Services
Westdeutsche Landesbank Girozentrale
Westpac Banking Corp.
Realizado el 1 de Marzo de 2002.
