Identidad Digital en el Reino Unido: ambición, límites y la ruta para que funcione sin invadir

El 26 de septiembre de 2025, el Reino Unido puso la identidad digital en primer plano con un anuncio contundente: un esquema gratuito de ID digital con uso obligatorio para la verificación del derecho a trabajar (Right to Work), desplegado por fases hasta el final del período parlamentario. La jugada busca dos impactos simultáneos: por un lado, ordenar el acceso a servicios y combatir el empleo ilegal; por otro, consolidar la experiencia ciudadana en torno a un acceso único y preparar una wallet gubernamental para credenciales oficiales reutilizables (como la licencia de conducir digital).

La reacción pública y política mostró lo de siempre: adhesiones por la promesa de eficiencia y seguridad, y alertas por el riesgo de exceso de centralización y trazabilidad. Ese tironeo no es un detalle; es el punto neurálgico. La identidad digital no es neutra: o aumenta libertades (si está bien diseñada), o las erosiona (si privilegia el control sobre la privacidad). La diferencia la marcan la arquitectura, los estándares y la gobernanza.

Qué está realmente sobre la mesa (y qué no)

• Obligatoriedad acotada y focalizada. La exigencia “obligatoria” hoy está acotada a la verificación del derecho a trabajar (empleadores y trabajadores). No existe un “carnet universal para todo”. El apodo mediático “BritCard” no es terminología oficial.

• Ruta operativa con horizonte 2027. El objetivo es que el acceso único (la cuenta gubernamental unificada) sea el punto de entrada estándar a los servicios centrales hacia 2027, con integración progresiva de organismos que hoy todavía dependen de portales y sistemas heredados.

• Wallet gubernamental con credenciales reutilizables. La wallet permitirá portar credenciales oficiales —por ejemplo, licencia de conducir digital— y reusarlas en trámites públicos y privados. La premisa: guardar las credenciales en el dispositivo del titular para reducir exposición y fricción.

• Marco de confianza y estándares existentes. El programa se asienta en guías y marcos británicos (como el esquema de confianza para identidad y atributos y los niveles GPG45) y en prácticas de ciberseguridad “secure-by-design” para operaciones sensibles.

Qué resuelve y qué no

Lo que sí resuelve (cuando se ejecuta bien):

1. Reutilización y portabilidad real. Una vez emitida una credencial, el ciudadano puede reutilizarla múltiples veces sin volver a presentar documentos físicamente. Esto reduce costos de verificación, acelera procesos y disminuye el fraude documental.

2. Experiencia unificada y menor fricción. Un acceso único coherente reduce contraseñas, dobles registros y formularios repetidos, y mejora la trazabilidad de procesos del Estado (no de personas), con indicadores de desempeño públicos.

3. Seguridad operativa reforzada. Contar con un pipeline estándar de verificación (documento + prueba de vida cuando corresponde) permite elevar el piso de seguridad, detectar anomalías y profesionalizar la respuesta ante incidentes.

4. Ahorros sistémicos y foco en riesgo. Establecer controles homogéneos donde realmente hay riesgo (p. ej., elegibilidad laboral) evita controles redundantes en trámites de bajo impacto y libera recursos para fiscalización y servicio al ciudadano.

Lo que no resuelve por sí solo (y conviene tener claro):

1. No anula la necesidad de funciones centrales. Aunque la wallet guarde credenciales en el dispositivo, el sistema sigue necesitando capacidades centrales (antifraude, scoring de riesgo, listas negativas, auditoría). La clave está en minimizar datos y limitar propósito en cada verificación.

2. No garantiza, por sí, “privacidad verificable”. Sin divulgación selectiva y pruebas de conocimiento cero (ZKP), la verificación tenderá a sobreexponer datos (por ejemplo, revelar la fecha exacta de nacimiento para demostrar “mayor de 18”). Se necesitan mecanismos criptográficos que prueben atributos sin revelar el resto.

3. No evita lock-in tecnológico si no hay estándares abiertos. Si la emisión/presentación de credenciales depende de integraciones propietarias, un cambio de proveedor puede forzar reemisiones masivas. La interoperabilidad es un requisito estratégico, no una opción.

4. No garantiza inclusión por sí misma. Si el diseño supone “smartphone para todos”, se profundiza la brecha digital. La identidad digital debe ofrecer alternativas sin smartphone (tarjetas NFC, kioscos seguros, asistencia presencial) y recuperación simple ante pérdida o robo.

Lo que falta

Privacidad verificable como política de Estado. Declarar privacidad no alcanza; hay que probarla. Incorporar por defecto credenciales verificables (VC), divulgación selectiva (p. ej., SD-JWT o BBS+) y, gradualmente, ZKP para atributos sensibles (edad, elegibilidad). Objetivo: probar sí/no sin entregar el dato de fondo.

1. Interoperabilidad formal con estándares abiertos. Alinear el esquema británico con W3C VC Data Model, OIDC4VCI (emisión) y OpenID4VP (presentación). Esto garantiza que credenciales y verificaciones viajen entre agencias y sector privado y que un cambio de proveedor no rompa el ecosistema.

2. Resiliencia multi-proveedor y rutas alternativas. El episodio de 2025 (pérdida temporal de certificación por un proveedor biométrico) dejó una enseñanza nítida: nunca un único punto crítico. Hace falta multi-proveedor, ruta no biométrica (presencial/documental), recertificación continua y pruebas de intrusión periódicas.

3. Inclusión como KPI público. Definir y publicar metas de cobertura para poblaciones sin smartphone, personas mayores, zonas rurales y personas con discapacidad. Identidad digital sin exclusión o no es identidad digital.

4. Métricas que importan (y se publican trimestralmente). % de verificaciones resueltas con divulgación selectiva/ZKP. Datos expuestos por transacción (objetivo: 0–1 atributos). Tiempo de recuperación de identidad sin presencialidad (< 48 h). Tasa de cambio de proveedor sin reemisión de credenciales (prueba de interoperabilidad). Hallazgos de auditoría y tiempo de remediación.

Roadmap de 12 meses (síntesis práctica)

• Q1 — Marco y gobernanza. Norma que prohíba la trazabilidad masiva de usos y blinde data minimisation por defecto. Comité multi-actor (Estado, sociedad civil, academia, sector privado) con voz y voto.

• Q2 — Pilotos con valor público. Wallet con VC + divulgación selectiva para edad y Right to Work; UX simple; ruta offline y fallback no biométrico.

• Q3 — Seguridad viva. Red teaming periódico, recertificación y publicación de hallazgos; adopción de estaciones privilegiadas para administración (higiene operativa real).

• Q4 — Escala responsable. Extender a beneficios y licencias con propósito limitado y privacy budgets; programa nacional de inclusión (kioscos, tarjetas NFC, asistencia y recuperación).

Conclusión: infraestructura de derechos, no de vigilancia

Si la identidad digital se diseña como un repositorio central para todo, se volverá un instrumento de control que la sociedad rechazará y que la regulación terminará castigando. Si, en cambio, se diseña como infraestructura de derechos, el Estado verifica pruebas y la persona no entrega su perfil. Ese es el corazón de la SSI moderna: menos extracción, más pruebas.

Llamado a la acción para gobiernos:

1. Hacer vinculante la privacidad verificable. Llevar VC + divulgación selectiva + ZKP al terreno de producción (no solo a PDFs).

2. Estandarizar para competir por calidad, no por cautiverio. Interoperabilidad con W3C/IETF/OpenID para desactivar el lock-in.

3. Medir lo correcto. Publicar métricas de exposición mínima, recuperación, auditorías y cambio de proveedor sin reemisiones.

4. Garantizar inclusión real. “Sin smartphone, igual identidad” como principio operativo.

Quienes adopten este paradigma liderarán la década: conseguirán eficiencia pública y confianza ciudadana a la vez. Quienes insistan en modelos centralizados de alta exposición quedarán atrapados entre deuda técnica, rechazo social y riesgo regulatorio. Es hora de construir identidad digital que funcione… y que respete.