Sandbox de Cadena de bloques Europeo: Lecciones Aprendidas

Construyendo una Solución de Identidad Web3

padding: 12px;

fondo: var(--color-sombra-botón-normal);

border-radius: 8px;

">

Resumen:

El Sandbox Europeo de Blockchain ha concluido su segundo grupo, presentando la solución de Conocimiento del Cliente Tokenizado de la IOTA Foundation junto con IDnow, walt.id y Bloom Wallet. El Sandbox proporcionó lecciones clave sobre la verificación de identidad conforme y que preserva la privacidad en Web3, incluyendo el uso de verificación fuera de la cadena, tokens soulbound, y prácticas de billetera y nodo alineadas con el GDPR.

Hemos completado nuestra participación en el Sandbox Europeo de Blockchain, una iniciativa de tres años de la Comisión Europea que brinda a los proyectos innovadores de ledger distribuido la oportunidad de probar sus soluciones con los reguladores de toda Europa. Cada año, se seleccionan 20 proyectos para unirse, y la Fundación IOTA fue parte de la segunda cohorte, que se desarrolló desde junio de 2024 hasta marzo de 2025.

Nuestra contribución se centró en la Solución de Conocimiento del Cliente Tokenizado (KYC), desarrollada junto con IDnow**, walt.id** y Bloom Wallet. Esta solución de prueba de concepto permite a los usuarios verificar su identidad fuera de la cadena y recibir una prueba tokenizada en su billetera. Esto permite que dApps, intercambios y otros servicios confirmen requisitos de elegibilidad (, como la verificación de edad), sin exponer datos sensibles en la cadena.

El cierre del sandbox está marcado por el Informe de Mejores Prácticas de la Comisión Europea para la segunda cohorte. El informe comparte recomendaciones y mejores prácticas del programa, ofreciendo orientación valiosa para cualquiera que desarrolle soluciones DLT y navegue por sus implicaciones regulatorias.

Claves del Sandbox: Compartir Datos del Cliente

Un enfoque clave en el Sandbox fue cómo las reglas de Anti-Lavado de Dinero (AML) y KYC se aplican en la práctica. Los reguladores enfatizaron que los intercambios de criptoactivos y otros proveedores de servicios tienen la obligación legal de conocer la identidad de sus usuarios. Por eso nuestra Solución de KYC Tokenizado permite que la entidad responsable de realizar un chequeo KYC obtenga acceso a datos personales verificados del proveedor de verificación de identidad (en nuestro caso, IDnow). De manera similar, autoridades como la policía pueden solicitar datos personales vinculados a un token (soulbound) no transferible específico.

Para facilitar el onboarding de clientes, las empresas a veces pueden reutilizar los datos KYC que otra entidad ya ha recopilado. Pero las reglas para hacerlo varían en toda Europa. En algunos países, los datos solo pueden compartirse entre entidades de la misma categoría, mientras que el intercambio más amplio requiere aprobación especial de las autoridades nacionales. Afortunadamente, se espera que la próxima Reglamento de Prevención del Lavado de Dinero (AMLR) armonice estas reglas respecto al uso de la información del cliente recopilada por otras entidades.

Claves del Sandbox: Tokens Soulbound

El Informe también destacó aprendizajes clave sobre billeteras autohospedadas, KYC y cómo se clasifica la información en DLTs públicas y sin permiso como IOTA. En nuestra Solución de KYC Tokenizado, solo se registran tokens vinculados al alma en la cadena. Estos tokens no contienen datos personales en sí, sino que demuestran que el proceso de KYC se completó, con los datos subyacentes de KYC almacenados de forma segura fuera de la cadena. El Sandbox señaló que tales tokens aún pueden ser considerados como datos personales seudonimizados, lo que significa que se aplica el GDPR. Dado que esta clasificación puede evolucionar con nuevos fallos judiciales y directrices, requiere una revisión continua. Para minimizar los riesgos de protección de datos, nuestra solución sigue un enfoque de protección de datos desde el diseño al limitar la cantidad y el tipo de datos compartidos en la cadena. Esto sigue el principio de protección de datos desde el diseño.

Claves del Sandbox: Proveedores de Monederos y Operadores de Nodo

Otro tema importante en el Sandbox fue cómo se clasifican los proveedores de billeteras y los operadores de nodos bajo el GDPR.

• El informe concluye que los proveedores de billeteras autoalojadas no se consideran controladores o procesadores de datos si la billetera funciona únicamente en el dispositivo del usuario sin depender de un backend externo. En nuestra Solución de KYC Tokenizado, los datos de identidad verificados permanecen fuera de la cadena con IDnow, mientras que la billetera autoalojada del usuario solo contiene una atestación de KYC vinculada al alma. Este diseño se alinea con la orientación del GDPR: la responsabilidad por los datos personales recae en las entidades que realmente acceden o los utilizan, por ejemplo, IDnow para la verificación y el almacenamiento de datos fuera de la cadena y, cuando sea aplicable, un servicio de integración como una dApp o un intercambio cuando solicita o utiliza los datos de manera legal.
• La clasificación del GDPR de operadores de nodos necesita una cuidadosa matización. Como comentamos recientemente sobre las directrices de la Junta Europea de Protección de Datos para los datos personales en las cadenas de bloques, los nodos realizan solo funciones técnicas; no determinan ni controlan los propósitos del procesamiento de datos. Tratarles como controladores distorsionaría su papel e impondría obligaciones desproporcionadas. Nuestra Solución de KYC Tokenizado refuerza esta distinción. Los datos de identidad verificados permanecen fuera de la cadena con IDnow, mientras que la cadena solo registra una certificación de KYC no transferible sin atributos personales. Los nodos simplemente reenvían o validan esta certificación seudonimizada y nunca acceden al conjunto de datos de identidad. Incluso si tales certificaciones califican como datos personales, el diseño minimiza la exposición en la cadena y asegura que la responsabilidad recaiga en las entidades que realmente procesan la información de identidad. Esto proporciona un camino viable para cumplir con los requisitos de AML/KYC mientras se respetan los principios de protección de datos.

¿El futuro del KYC tokenizado?

Nuevas regulaciones como el Reglamento de Transferencia de Fondos y el Reglamento de Antilavado de Dinero requieren que entidades como los intercambios de criptoactivos mantengan datos sobre el usuario de una billetera autoalojada e identifiquen al propietario de la billetera autoalojada. Al mismo tiempo, los dApps y los operadores de DeFi buscan cada vez más maneras de habilitar verificaciones de identidad compatibles sin comprometer la privacidad y la seguridad. Hay una necesidad creciente de herramientas de identificación en la cadena para garantizar interacciones fluidas y compatibles en los ecosistemas Web3.

Nuestra solución de KYC tokenizado de prueba de concepto reúne todos los pasos necesarios en una herramienta fácil de usar:

• Una parte de confianza atestigua un proceso de identificación y lo tokeniza como un token vinculado al alma, permitiendo que las dApps y otras entidades tengan confianza en el proceso de identificación, sin revelar la Información Personalmente Identificable real.
• El token soulbound puede ser utilizado para procesos en la cadena, permitiendo interacciones nativas de Web3.
• La parte de confianza puede revelar la información de identidad si así lo solicita una parte autorizada (, por ejemplo, la aplicación de la ley ).
• La parte de confianza también puede revocar el token si se necesita una invalidación (por ejemplo, cambios en la lista de vigilancia).

Tras la finalización de este proyecto, la Mainnet de IOTA rebasada se ha lanzado con una nueva arquitectura basada en la Máquina Virtual Move. Para respaldar casos de uso como la Solución de KYC Tokenizado, hemos desarrollado el Marco de Confianza de IOTA, un conjunto de componentes de infraestructura componibles, cada uno desarrollado con la privacidad, el cumplimiento y la usabilidad en mente.

¡Queremos agradecer a IDnow**,** walt.id**,** y Bloom Wallet por su dedicación y arduo trabajo en este proyecto! La solución mostró con éxito una solución fácil de usar, conforme y que preserva la privacidad para el espacio Web3.