El artículo de la semana pasada discutió por qué el IRS debería aumentar la transparencia en su desarrollo, adquisición y uso de tecnología que afecta a los contribuyentes. Esta semana veremos qué puede hacer el IRS para que la verificación de identidad respete mejor los intereses de privacidad de los contribuyentes que lo que hizo con la implementación del sistema de reconocimiento facial el año pasado.
Es posible que el Congreso no deje al IRS más remedio que abandonar sus planes de utilizar el reconocimiento facial. Los legisladores llegaron un poco tarde a la mesa, ya que ignoraron en gran medida el importante cambio en la práctica cuando se implementó durante la implementación del verano pasado de los portales de crédito fiscal anticipado para niños. Pero las múltiples cartas recientes de senadores demócratas y republicanos y miembros de la Cámara al IRS sobre el tema indicaron que hay poco apoyo en el Congreso para el uso de la tecnología de reconocimiento facial por parte de la agencia.
El 22 de febrero, los senadores Jeff Merkley, D-Ore., y Roy Blunt, R-Mo., anunciaron la Ley de no reconocimiento facial en el IRS (S. 3668) para prohibir el uso de la tecnología de reconocimiento biométrico por parte del Servicio. El proyecto de ley propuesto prohibiría al IRS usar o contratar para usar tecnología que mida una característica biológica o de comportamiento para el reconocimiento automático. Al centrarse exclusivamente en la tecnología biométrica, la propuesta resuelve el problema inmediato específico de la tecnología.
Sería mejor establecer un principio significativo de divulgación previa a la implementación en el IRS para cualquier tecnología planificada que pudiera afectar los derechos sustantivos o los intereses de privacidad de los contribuyentes. Un proceso público beneficiaría tanto al IRS como a los contribuyentes. Para la agencia, ofrecería protección exactamente del tipo de publicidad que ha experimentado recientemente, y para los contribuyentes, proporcionaría un baluarte importante para los intereses de privacidad.
Pasando del reconocimiento facial
La incursión del IRS en el reconocimiento facial para la verificación de identidad el año pasado fue sorprendente porque parece haber comenzado con poco equilibrio entre los intereses de privacidad de los contribuyentes y los intereses del gobierno.
Una pregunta de los senadores republicanos sobre la elección del IRS es clave: "¿Cómo decidió el IRS exigir a los contribuyentes que envíen su información personal, incluidos los datos biométricos, a un proveedor externo para acceder a ciertos recursos del IRS en línea?"
El proceso para encontrar una manera de proteger tanto los datos de los contribuyentes como los sistemas del IRS, al mismo tiempo que se respetan los intereses de privacidad y los derechos fundamentales individuales, será un tema recurrente a medida que el IRS continúe con sus planes de modernización.
Es probable que nunca haya una única solución técnica para cada problema ahora y a perpetuidad, por lo que el proceso de selección es importante. En cambio, es necesario tener un marco para la consideración continua de los problemas de seguridad junto con los intereses de privacidad. El IRS tiene oficinas que pueden implementar eso.
Desde 2005, las agencias han tenido que designar un alto funcionario para la privacidad, y Hacienda tiene uno. Ese funcionario tiene la responsabilidad general de garantizar la implementación por parte de la agencia de las protecciones de privacidad de la información, incluido el pleno cumplimiento de las leyes, regulaciones y políticas federales relacionadas con la privacidad de la información, como la Ley de privacidad de 1974.
El IRS también tiene una oficina de Privacidad, Enlace Gubernamental y Divulgación , que es responsable de preservar y mejorar la confianza del público “al defender la protección y el uso adecuado de la información de identidad”. También se encarga de proteger la información personal de los contribuyentes del acceso no autorizado, y lo hace a través de políticas de privacidad y registros, y de coordinar la guía de protección de la privacidad en todo el IRS.
En el aspecto técnico, la misión del Dominio de Atención al Cliente de la oficina de TI es permitir el servicio y la comunicación con los clientes internos y externos. El Manual de Rentas Internas explica que el dominio “diseñará, desarrollará, probará, implementará y mantendrá aplicaciones y sistemas que proporcionen . . . acceso a los datos de las cuentas de los contribuyentes”, así como “diseñar, adquirir, desarrollar, probar, implementar y mantener los sistemas de información modernizados que satisfagan las necesidades de los clientes en la investigación, actualización, análisis y gestión de las cuentas de los contribuyentes” (IRM sección 1.1.12.4. 7).
El rol del dominio de servicio al cliente abarca centros de contacto centralizados para consultas telefónicas, escritas y electrónicas; autoservicio por teléfono e internet; asistencia de campo; servicios web; y manejo de las cuentas de los contribuyentes.
Elegir un modelo
Se suponía que el modelo que aparentemente perseguía el IRS cuando seleccionó el programa de tecnología de reconocimiento facial era competitivo en el que los contribuyentes podían elegir entre múltiples servicios de verificación de identidad. Eso no sucedió durante el lanzamiento el año pasado de la iniciativa de identidad digital de acceso seguro (SADI). En cambio, a los contribuyentes se les presentó un solo servicio de verificación de identidad.
El IRS expresó cierta esperanza en septiembre de 2021 de que habría más opciones de proveedores de servicios de credenciales (CSP) disponibles en el futuro, pero no indicó cuándo podría suceder. La Defensora Nacional del Contribuyente Erin Collins mencionó en su informe anual al Congreso en enero que el IRS está investigando otros posibles proveedores. “Confiar en un solo CSP para atender a todos los contribuyentes estadounidenses debe ser un plan a corto plazo, no una solución a largo plazo”, escribió.
Pero un modelo de mercado con múltiples empresas privadas que ofrecen sus alternativas no es la única opción. El programa SADI del IRS “requiere que un CSP de terceros realice pruebas de identidad y gestión de credenciales para el IRS”, según el informe del defensor del contribuyente. Esa es una elección que hizo el IRS al diseñar la iniciativa SADI. Es posible que lo haya hecho porque no pensó que tenía la capacidad tecnológica para desarrollar internamente un programa de verificación de identidad, quizás debido a presiones presupuestarias. El IRS ya tiene un gran déficit de TI, y se informa ampliamente sobre su necesidad de actualizar sus sistemas informáticos y software básicos. El contrato con el CSP que ahora brinda servicios de verificación de identidad es de $86 millones y, según USAspending.gov, ya se han gastado $56,6 millones de esa cantidad acordada.
El IRS también podría haber visto su decisión de depender de contratistas privados como consistente con la Estrategia Nacional para Identidades Confiables en el Ciberespacio de 2011 , basada en la premisa de que “el sector privado liderará el desarrollo y la implementación de este Ecosistema de Identidad, y será el propietario”. y operar la gran mayoría de los servicios dentro de él”. Esa premisa puede no tener el mismo nivel de apoyo hoy que disfrutó hace una década.
Por ejemplo, en una carta del 7 de febrero al IRS, el presidente del Comité de Finanzas del Senado, Ron Wyden, D-Ore., escribió que “además de los graves problemas de privacidad y libertades civiles asociados con el uso de la tecnología de reconocimiento facial, también es alarmante que el IRS y tantas otras agencias gubernamentales han subcontratado su infraestructura tecnológica central al sector privado”. Agregó que “simplemente, la infraestructura que impulsa la identidad digital, particularmente cuando se usa para acceder a sitios web gubernamentales, debe ser administrada por el gobierno”.
Los senadores republicanos expresaron de manera similar su preocupación sobre los contratistas privados como guardianes entre los ciudadanos y los servicios gubernamentales necesarios, particularmente cuando no están sujetos a las mismas reglas de supervisión que una agencia gubernamental, como la Ley de Libertad de Información, la Ley de Privacidad y múltiples controles y equilibrios. .
Una propuesta bipartidista en la Ley de Mejora de la Identidad Digital de 2021 habría establecido un nuevo grupo de trabajo para la identidad digital y le habría encargado desarrollar un marco que considere métodos para proteger la privacidad de las personas, al tiempo que aborda las necesidades de seguridad y las necesidades de los posibles usuarios finales. e individuos que utilizarán los servicios para la verificación de identidad digital. Tenga en cuenta el orden de los elementos que el proyecto de ley quiere que el grupo de trabajo considere.
El proyecto de ley también exige que el marco se actualice periódicamente. Ese tipo de proceso iterativo y evolutivo es un componente necesario de cualquier programa, porque los nuevos desarrollos requerirán cambios para garantizar que se sigan cumpliendo las prioridades de proteger la privacidad, garantizar las libertades civiles y brindar seguridad.
Alternativas
Albert Fox Cahn del Proyecto de Supervisión de Tecnología de Vigilancia dijo que el IRS tiene alternativas para un marco seguro de verificación de identidad. Señaló que la agencia está bien posicionada para identificar a millones de contribuyentes porque ya tiene una relación de confianza con ellos, establecida a través de la correspondencia y la conexión entre las cuentas bancarias de los contribuyentes y la agencia para el pago y devolución de impuestos.
“Excepto en casos extremos de fraude persistente, esa relación existente será difícil de falsificar a largo plazo”, señaló Cahn. Pero podría reforzarse para proteger a los contribuyentes y al IRS contra el fraude al brindarles a los contribuyentes una credencial de acceso digital especializada, dijo.
Una clave criptográfica traduciría la relación entre el IRS y las personas en una identificación segura que podría usarse entre los contribuyentes y los preparadores y el IRS, pero no tendría las mismas ramificaciones de vigilancia amplia, dijo Cahn.
La forma más simple de esto sería enviar a cada contribuyente una carta por correo con una contraseña única que podría usarse para confirmar su identidad en línea. Ese enfoque permitiría al IRS establecer que los contribuyentes son quienes dicen ser cuando inician sesión en el sitio web de la agencia sin extenderse a todas las demás áreas de la vida en línea, dijo Cahn.
O podría ser posible integrar el IRS en login.gov, pero solo con protecciones legales férreas contra las agencias federales encargadas de hacer cumplir la ley que se apoderan de esa información, dijo Cahn. El IRS no debería ponerse en la posición de convertirse esencialmente en un censo policial de las direcciones IP de todos los estadounidenses, agregó.
Otra opción es la inversa del modelo que desplegó SADI. En lugar de que los contribuyentes envíen su información biométrica a un servicio externo, el sistema podría diseñarse para que la biometría, si se usa, nunca abandone sus dispositivos personales. Ese tipo de sistema es defendido por FIDO Alliance, y una de las piezas cruciales del proceso de autenticación es que el dispositivo crea un nuevo par de claves cuando un usuario se registra en un servicio en línea. La clave pública se registra con el servicio, y la clave privada permanece en el dispositivo, para desbloquearse cuando el usuario abre el dispositivo, utilizando datos biométricos o un número de identificación personal, por ejemplo. Ni siquiera se requiere biometría para ese tipo de sistema.
Las opciones disponibles para el IRS presentan una nueva oportunidad. "Realmente no hemos tenido la oportunidad de revisar las suposiciones sobre cómo los usuarios inician sesión en los sistemas durante mucho tiempo", dijo Eric Mill, de la Oficina de Administración y Presupuesto, en un foro en línea del 25 de enero organizado por Better Identity Coalition, FIDO Alliance. y el Centro de recursos de robo de identidad. Señaló que el cambio hacia la verificación de identidad sin contraseña brinda la oportunidad de probar nuevos caminos.
Además de fomentar la creatividad y encontrar nuevas prácticas recomendadas, es importante comunicar las propiedades clave para la autenticación, incluido que la biometría, cuando se use, nunca abandone el dispositivo de un usuario, porque un usuario se autentica en su propio dispositivo y el dispositivo da fe al sitio web. que lo hicieron, dijo Mills. Señaló que las propiedades, que incluyen la elección del usuario sobre formas de desbloquear su dispositivo que no requieren datos biométricos y brindan una experiencia de usuario más simple, no son necesariamente obvias.
Al anunciar que había agregado una nueva opción para que los contribuyentes se registren en cuentas en línea del IRS sin enviar datos biométricos, el IRS dijo el 21 de febrero que trabajará con socios en todo el gobierno para implementar login.gov como una herramienta de autenticación. A pesar de las preferencias anteriores por comprar soluciones tecnológicas desarrolladas de forma privada, el gobierno federal diseña el software internamente y los socios más probables están en la Administración de Servicios Generales.
La misión de los Servicios de Transformación Tecnológica de la GSA es “diseñar y ofrecer un gobierno digital con y para el pueblo estadounidense”. El Tribunal Fiscal utilizó la oficina de consultoría digital de Technology Transformation Services, llamada 18F, para construir el sistema de gestión de casos DAWSON que se implementó a principios de 2021.
18F dice que su posición predeterminada para nuevos proyectos es usar software gratuito y de código abierto, "desarrollar nuestro trabajo al aire libre" y publicar todo el código fuente creado o modificado por la oficina. Hay grandes beneficios de transparencia en el código fuente abierto para proyectos públicos como los que debe emprender el IRS, y no es necesario que supongan ningún gasto para la seguridad. Como explica 18F, el software de código abierto "a menudo se prefiere para su uso en sistemas sensibles, debido en parte a su mayor auditabilidad".
Más allá de la tecnología
El Congreso tiene al menos una opción simple y relativamente económica para ayudar al IRS a combatir el fraude de reembolso por robo de identidad: puede aumentar los costos de ser atrapado por los malos. Aumentar las sanciones no eliminaría el fraude, pero agregaría un elemento disuasorio adicional.
El problema subyacente en los recientes desafíos de verificación de identidad del IRS no es lo que la agencia intentaba lograr, que era administrar las leyes fiscales y garantizar que los malos actores tuvieran menos oportunidades de saquear el sistema o cometer robo de identidad.
El problema es qué presagian sus elecciones sobre la toma de decisiones administrativas en general. El IRS tenía una intención razonable consistente con su mandato legislativo de hacer cumplir la ley, pero la agencia debe perseguir sus objetivos a través de una estrategia más pública que priorice la seguridad técnica, la transparencia y la preservación de la privacidad y otros intereses de los contribuyentes.