Autorización y auditoría en la identidad digital tributaria: pilares normativos y operativos para la confianza

Guía de identificación digital para la Administración Tributaria (II)

La digitalización de las administraciones tributarias exige más que portales y formularios en línea: necesita confianza. La Guía de Identidad Digital para la Administración Tributaria plantea que esa confianza se construye con tres pilares integrados: un marco regulatorio sólido que reconozca la validez jurídica de la identidad digital; mecanismos de autorización que gestionen roles a nivel de funcionalidades, objetos y datos; y sistemas de auditoría que garanticen trazabilidad, integridad y evidencia.

¿Cómo articular esos pilares en la práctica y por qué son estratégicos para la eficiencia, la seguridad y la inteligencia tributaria?

 

1. Marco normativo: la base para la equivalencia funcional y la validez probatoria

La Guía enfatiza que la identidad digital debe sustentarse en un marco jurídico que defina conceptos, niveles de seguridad, responsabilidades institucionales y reglas de admisibilidad probatoria.

Las dos ideas clave son:

– Equivalencia funcional: la normativa debe reconocer que la identificación digital puede cumplir la misma función que la identificación presencial (por ejemplo, DNI físico), sin exigir la misma forma técnica. Esto facilita que actos digitales tengan la misma fuerza jurídica que los presenciales.

– Niveles de seguridad y prueba: establecer categorías (bajo, medio, alto) y requisitos mínimos técnicos por nivel (biometría, firma digital, MFA, etc.) permite adaptar controles al riesgo de cada trámite y asegurar la admisibilidad de evidencias en procesos administrativos o judiciales.

Sin este andamiaje legal, las herramientas tecnológicas carecen de fuerza plena. La firma digital, las credenciales verificables o las identificaciones transfronterizas requieren reglas claras que determinen su validez y uso aceptable.

 

2. Delegar la autenticación, concentrar la autorización

La Guía recomienda que, en la medida de lo posible, las administraciones tributarias deleguen la función de autenticación a un sistema o ecosistema nacional, el cual posiblemente esté articulado por un broker de identidades y que la propia administración concentre sus esfuerzos en los procesos de autorización y auditoría.

No obstante, esa delegación exige que la administración domine la autorización es decir,  tiene que poder administrar qué puede hacer cada tipo de usuario (personas físicas o naturales actuando en su nombre o personas físicas o naturales actuando en nombre de empresas) y con qué grado de seguridad.

La Guía propone un modelo de autorización en tres niveles: funcionalidades, objetos y datos. Esto permite, por ejemplo, que un asesor tenga acceso a presentar declaraciones (funcionalidad), pueda operar sobre determinadas declaraciones de un contribuyente (objetos) y solo visualizar ciertos campos sensibles (datos).

 

3. Gestión de roles, delegaciones y principio de mínimo privilegio

La asignación de accesos debe seguir el principio de mínima autoridad. Lo propuesto por la Guía es:

– Roles predefinidos y parametrizables (titular, asesor, contador, gestor, abogado) y posibilitar subdelegaciones controladas.

– Ciclo de vida de permisos: altas, modificaciones y bajas deben registrarse y ejecutarse de forma trazable; las bajas deben provocar revocación en cascada de subdelegaciones.

– Soporte para delegación temporal o por objeto, con vigencias y revocación inmediata.

 

4. Auditoría: trazabilidad, evidencia y gestión de riesgos

En un entorno donde muchas acciones las realizan agentes con roles delegados, la auditoría es esencial. La Guía define los elementos mínimos de una trazabilidad robusta: identificador de usuario, timestamp fiable, origen (IP y fingerprint del dispositivo), descripción estructurada de la acción, y estado anterior del dato.

Los requisitos operativos son:

– Captura automática de eventos y logs estructurados para permitir búsquedas y correlaciones.

– Persistencia inmutable de la traza (uso de hashes y mecanismos que permitan verificar integridad con el paso del tiempo).

– Sistemas de correlación y análisis (SIEM / SOC) para detectar anomalías, accesos atípicos o intentos de fraude en tiempo real.

– Políticas de retención alineadas con la gobernanza de datos y salvaguardas para proteger la confidencialidad de los logs (pues contienen información sensible).

Adicionalmente, la evidencia digital debería ser gestionada según estándares internacionales (ISO/IEC 27001/27002, NIST SP 800-92/137) para asegurar validez probatoria en procedimientos administrativos o judiciales.

 

5. Tecnologías recomendadas: firma digital, credenciales verificables y autenticación continua

La Guía prioriza la evolución hacia métodos basados en firma digital y credenciales verificables (W3C Verifiable Credentials + OIDC4VC/OIDC4VP) por su robustez, descentralización de credenciales y usabilidad en móviles.

Los puntos destacables son:

– Firma en la nube (HSM, FIPS) ofrece seguridad con menor fricción frente a tokens físicos.

– Credenciales verificables permiten que el usuario controle sus credenciales en una billetera móvil y las presente con selección de atributos (minimización de datos), facilitando usos presenciales y digitales.

– Autenticación continua y gestión de dispositivos de confianza agregan una capa de riesgo-adaptativa para solicitar re-autenticación en operaciones sensibles.

Estas tecnologías, si se combinan con una auditoría sólida y reglas de autorización robustas, disminuyen el riesgo de suplantación y aumentan la trazabilidad.

 

6. Impacto en inteligencia tributaria y cumplimiento

La correcta articulación de identidad, autorización y auditoría alimenta la inteligencia tributaria: permite mapear relaciones entre personas y empresas, identificar indicios de  estructuras opacas, identificar accesos anómalos y generar modelos predictivos de riesgo. En particular, la trazabilidad de roles y acciones aporta metadatos valiosos para análisis relacional y detección de patrones atípicos.

En definitiva, la identidad digital por sí sola no basta. Sin regulación que la respalde, sin modelos de autorización que garanticen control y sin auditoría que preserve evidencia, las administraciones no alcanzan la confianza requerida.

La Guía del CIAT sintetiza este enfoque integrador y propone una hoja de ruta flexible para : establecer marcos de equivalencia funcional; integrar a las administraciones tributarias en ecosistemas nacionales (ya sea como consumidores o proveedores de identidad); transitar del binomio usuario/contraseña hacia firmas digitales y, a largo plazo, credenciales verificables; y fortalecer la autonomía de la administración en sistemas de autorización granular y auditoría para alimentar la inteligencia tributaria.

Implementar estos elementos no es solo una mejora tecnológica: es una transformación institucional que reduce fraude, facilita interoperabilidad y potencia la capacidad analítica.

 

Fuente: Guía de Identidad Digital para la Administración Tributaria, página 98

46 total views, 46 views today

Deja un comentario

Tu dirección de correo electrónico no será publicada.

Suscripciones CIAT

Navega en el sitio sin restricciones. Consulta y descarga los contenidos.

Suscríbete a nuestros boletines electrónicos:

  • Blog
  • Oferta Académica
  • Informativo
  • Publicaciones
  • Alerta de Noticias

Activar suscripción

Miembros CIAT

Representantes, Corresponsales y Personas autorizadas (AT)