Holanda ha bloqueado la adquisición de Solvinity, la empresa que gestiona DigiD, la identidad digital de diecisiete millones de holandeses, por parte de la estadounidense Kyndryl. Lo que a simple vista parece una operación corporativa de cien millones de euros es, en realidad, un pulso entre la inteligencia extraterritorial de Washington y la soberanía tecnológica de Europa. He hablado con fuentes en Bruselas que me confirman que la decisión llega apenas una semana antes de que la Comisión Europea presente su paquete de soberanía tecnológica, y se ha convertido en el ejemplo perfecto de lo que el Viejo Continente quiere evitar.
El CLOUD Act como arma de doble filo: soberanía digital frente a la inteligencia extraterritorial
La ley CLOUD Act (Clarifying Lawful Overseas Use of Data), promulgada por Estados Unidos en 2018, otorga a sus agencias de inteligencia la facultad de obligar a cualquier empresa bajo jurisdicción estadounidense a entregar datos almacenados en servidores situados en cualquier rincón del mundo, sin importar las leyes de privacidad locales. Kyndryl, una compañía con sede en Nueva York, estaría sujeta a esta obligación si se hiciera con Solvinity. Si usted cree que esto es solo una amenaza teórica, permítame que le recuerde que el FBI o la NSA pueden requerir información sobre cualquier ciudadano holandés que haya usado DigiD para acudir al médico, presentar la declaración de la renta o comprar una vivienda, y el gobierno de Países Bajos no podría hacer nada para impedirlo.
La carta de la secretaria de Estado de Economía Digital, Willemijn Aerdts, al Parlamento holandés no deja lugar a dudas: la compra suponía «un posible riesgo para el interés público». No hablamos de un veto antiestadounidense, sino de la aplicación escrupulosa de un marco de inversión que protege lo que el país considera un activo crítico. Y tiene toda la lógica: la identidad digital de un Estado es hoy el sistema nervioso de su administración. Perder el control sobre ella equivale a entregar las llaves de casa a un vecino que, aunque amigable, tiene la obligación legal de abrir la puerta cuando se lo pide su gobierno.
Kyndryl, Solvinity y DigiD: la anatomía de una compra que desnuda la vulnerabilidad de la identidad digital europea
La operación anunciada en noviembre de 2025 era sencilla en los papeles: Kyndryl, un gigante de servicios de infraestructura de TI escindido de IBM, ponía sobre la mesa cien millones de euros por Solvinity, una firma neerlandesa especializada en entornos de cloud seguro que, entre otros clientes, sostiene el sistema DigiD. En el oficio de la inteligencia, esto tiene un nombre: adquisición de un activo estratégico por parte de una empresa sujeta a una legislación que permite el acceso remoto a datos clasificables. Y aquí no hablo de secretos militares, sino de la vida íntima de millones de personas, procesable masivamente gracias a las herramientas de SIGINT (inteligencia de señales) que Estados Unidos tiene a su alcance.
La reacción de Kyndryl ha sido de una decepción «extrema». La empresa señala que la politización del proceso ha eclipsado los beneficios que la operación habría traído a los ciudadanos. En mi opinión, se equivocan de plano: no es politización, es contrainteligencia preventiva. Cualquier servicio con un mínimo de visión estratégica habría hecho lo mismo. El error es creer que la confianza se compra con un contrato, cuando en realidad se labra con marcos legales que ningún consejo de administración puede garantizar.
Dossier Moncloa: Ojos en la Sombra
El vector de amenaza que ha llevado a Países Bajos a decir «no» es claro: una infiltración legal en infraestructura crítica a través de la inversión extranjera, con capacidad de exfiltración de datos a gran escala por imperativo legislativo. No necesita agentes durmientes, ni exploits de día cero; le basta con la letra de una ley federal para que los datos fluyan hacia Fort Meade. La agencia atacante no es Kyndryl, sino el entramado de inteligencia de Estados Unidos amparado por la CLOUD Act. La defensora es el sistema de seguridad nacional holandés, apoyado en su autoridad de revisión de inversiones. Y en la sombra, mirando con detenimiento, están el INTCEN europeo, el CNI español y todos los servicios de contrainteligencia del continente que ven en este precedente una señal inequívoca de cómo actuar ante futuros intentos similares.
El nivel de clasificación estimado de la información que circula por DigiD, a mi juicio, alcanza sin duda la categoría de Confidencial en cualquier escalafón nacional. No son secretos militares, pero la agregación de datos personales, financieros y sanitarios de toda una población ofrece un poder de inteligencia sin precedentes. He escrito en alguna ocasión, en ‘El quinto elemento’, que «el próximo 11S empezará con un clic». Y ese clic podría darse en un servidor de identidad digital bajo control extranjero si Europa no blinda sus infraestructuras. La decisión holandesa no es un caso aislado: es la primera aplicación práctica de una doctrina que Bruselas está a punto de codificar en un paquete legislativo. Me consta por fuentes en La Moncloa que el CNI sigue con atención este precedente, porque España gestiona sistemas como Cl@ve o los registros de la Seguridad Social, y cualquier intento de adquisición similar sería analizado con la misma lupa.
Le adelanto que el debate no ha hecho más que empezar. Los últimos movimientos en la OTAN sobre el control de infraestructuras críticas y la cada vez mayor tensión con proveedores de cloud estadounidenses anticipan un escenario en el que la confianza ya no es un activo intangible, sino una mercancía que se audita con la misma contundencia que un certificado de seguridad. El precedente holandés, silencioso pero firme, demuestra que el oficio de la contrainteligencia también se juega en los consejos de administración y en los despachos de los reguladores. Y no en todos los países hay un Willemijn Aerdts dispuesto a decir que no.
Europa ha empezado a entender que la soberanía digital no se defiende con discursos, sino vetando compras que ponen sus sistemas de identidad al alcance de una orden judicial extranjera.
