Avances Hacia la Verificación de Edad Sin Fricciones en Europa: El Proyecto euConsent
Reguladores Europeos Buscan la Verificación de Edad Sin Obstáculos e Interoperabilidad
La Comisión Europea, a través del financiamiento del proyecto euConsent, ha publicado un estudio de viabilidad que explora cómo posibles modificaciones en su arquitectura podrían permitir la interoperabilidad entre los proveedores de verificación de edad (AVPs, por sus siglas en inglés). Actualmente, euConsent emplea un “modelo interoperable distribuido”, fundamentado en la arquitectura eIDAS para el intercambio seguro de información entre nodos, facilitando así que los AVPs reutilicen verificaciones de edad previas realizadas por otros proveedores, siempre que ambos pertenezcan a la red euConsent.
El estudio titulado “Estudio de Viabilidad para la Interoperabilidad de AVP entre Aplicaciones Móviles Nativas” se enfoca en mejoras que ampliarían esta capacidad a las aplicaciones móviles. “Este objetivo no es trivial”, señala el informe, “dado que la compartición de datos entre diferentes aplicaciones enfrenta numerosas restricciones, y los dos principales sistemas operativos móviles (Android e iOS) presentan distintas limitaciones”.
Funcionalmente, el sistema propuesto debe ser capaz de reconocer cuando un usuario no ha iniciado sesión previamente en una aplicación con restricción de edad que forma parte de la red euConsent, y por ende, requiere una solicitud de verificación de edad. Una vez que un usuario ha iniciado sesión en una aplicación de la red, otras aplicaciones que requieran verificación de edad reconocerán ese inicio de sesión y lo aplicarán. La autenticación del usuario en un dispositivo mediante PIN, contraseña o autenticación biométrica puede proporcionar límites condicionales al acceso, o la transferencia de permiso puede ser sin interrupciones.
Las nuevas aplicaciones descargadas que utilizan otros AVPs de euConsent para la verificación deben ser capaces de reconocer que ya se ha realizado una verificación de edad por el usuario en otro AVP de euConsent. Para que todo esto funcione, los diferentes AVPs deben poder comunicarse.
Soluciones a Restricciones Conflictivas a través de Enlaces Profundos
Los desafíos para la implementación son significativos, dadas las restricciones específicas de diferentes aplicaciones móviles y sistemas operativos. El informe destaca que “iOS impone una estricta segmentación y previene el acceso no autorizado a datos. Las aplicaciones solo pueden compartir datos si ambas están explícitamente diseñadas para trabajar juntas usando uno de los mecanismos soportados”. Esto significa que el sistema de token basado en cookies de euConsent – “un token de cadena que incluye información de una verificación de edad previa”, que “incluye un ID único del AVP que realizó la verificación de edad” y una puntuación de aseguramiento sobre el método – no puede facilitar la compartición directa de datos de verificación entre aplicaciones móviles.
El sistema funciona mejor para Android, pero aún es imperfecto. Para euConsent, esto genera demasiada fricción.
El estudio completo incluye desgloses técnicos y diagramas de secuencia para cada escenario de negocio relevante, y una explicación más detallada de soluciones técnicas aprovechando vistas web – “un contenedor dentro de la aplicación que muestra páginas web o contenido basado en la web sin lanzar un navegador web separado” y enlaces profundos, hiperenlaces que llevan a los usuarios “directamente a una ubicación o contenido específico dentro de una aplicación móvil, potencialmente evitando la pantalla de inicio o página de aterrizaje de la aplicación”.
Concluye con dos observaciones clave sobre estas soluciones potenciales. Una, “la verificación de edad debe ser iniciada por una llamada al navegador web móvil y no dentro de la aplicación móvil nativa o en una vista web alojada por la aplicación. Esto es de suma importancia, para que la información de verificación de edad (cookies) pueda ser compartida entre diferentes aplicaciones y nodos AVP”. Dos, es importante que “las URL de retorno no sean URL http, sino enlaces profundos definidos y manejados por la propia aplicación”.
En resumen, existen obstáculos para la interoperabilidad de AVP para aplicaciones móviles pero es factible, dadas ciertas condiciones, y el trabajo continuo de euConsent.
Autor: Raul Machado