Las carteras de identidad digital europeas dependen de los servicios de seguridad de Google y Apple

Dependencia de Google/Apple y la “soberanía digital” de la UE

  • Muchos consideran que vincular las carteras EUDI a Google Play Integrity / la attestation de Apple contradice las afirmaciones de la UE sobre soberanía digital.
  • Los críticos sostienen que esto entrega de hecho una función estatal central (identidad y acceso a servicios) a dos corporaciones estadounidenses y, indirectamente, al gobierno de EE. UU.
  • Algunos señalan que la UE prohíbe legalmente exigir smartphones, pero temen que las alternativas no digitales sean lentas, inferiores o, de facto, inutilizables.

Attestation remota y modelo de seguridad

  • La objeción técnica central: la seguridad de la cartera basada en attestation remota a nivel de sistema operativo permite que los proveedores de la plataforma decidan qué sistemas operativos son “legítimos”.
  • Quienes se oponen lo consideran inherentemente hostil al usuario y una herramienta para el encierro en la plataforma y futuras puertas traseras.
  • Otros sostienen que la attestation puede ser útil (por ejemplo, en banca o antifraude), pero admiten que se usa habitualmente como un binario rígido, no como un control de riesgo matizado.

Impacto en sistemas operativos alternativos e inclusión digital

  • Usuarios de GrapheneOS, derivaciones de AOSP, e/OS, Sailfish, teléfonos Linux, etc. informan o prevén exclusión cuando las apps exigen attestation de Google/Apple.
  • Algunos piden demandas, quejas ante la DMA y presión coordinada de los usuarios sobre los proveedores de apps.
  • Preocupa que las personas sin smartphones —o que rechazan los TOS de Big Tech— queden efectivamente fuera de los servicios.

Regulación, monopolios y política

  • Debate sobre si la regulación tiende a afianzar a los incumbentes al elevar los costes de cumplimiento, frente a ser la única vía realista para frenar los monopolios.
  • Varios ven esto como un caso clásico de captura regulatoria que beneficia a grandes empresas tecnológicas estadounidenses; otros culpan a la inercia, la incompetencia o la falta de financiación de la UE para alternativas.

Alternativas propuestas y críticas de diseño

  • Las sugerencias incluyen:
    • Attestation controlada por la UE separada de Google/Apple.
    • Soporte obligatorio para tarjetas inteligentes y tokens hardware.
    • Protocolos abiertos, centrados en lo local, en los que el gobierno firme credenciales y cualquier cliente pueda revelar selectivamente atributos (por ejemplo, “mayor de 18”) sin seguimiento completo.
  • Algunos critican el diseño de OpenID4VP/EUDI por ser demasiado complejo, no anónimo y centrado en que el verificador llame a casa.

Temores más amplios sobre libertades civiles y vigilancia

  • Muchos ven la identidad digital, la verificación de edad y los impulsos de control de chats como parte de una tendencia coordinada para eliminar el anonimato y ampliar el control estatal/corporativo.
  • Las preocupaciones incluyen la exclusión bancaria, la exclusión de la sociedad y el seguimiento detallado de lo que los ciudadanos acceden, compran y ven.