niedziela, Listopad 17

Digital ID, czyli tożsamość cyfrowa jako przyszłość sektora płatności elektronicznych. FATF rozpoczyna konsultacje. Co z nich wynika? Cz. 1. Definicja i podstawowe wymogi

Google+ Pinterest LinkedIn Tumblr +

Transformacja cyfrowa niejako wymusza wiele zmian prawno-regulacyjnych, infrastrukturalnych i operacyjnych czy kulturowych. Jednym z „objawów” tej transformacji jest zmiana sposobu w jaki płacimy za usługi czy produkty. Coraz częściej wykorzystujemy do tego telefon wyposażony w czytniki danych biometrycznych, a płatność wyłącznie „twarzą” staje się powoli pewnym standardem w niektórych zakątkach Azji. Zauważamy również gwałtowny rozwój Internet of Things (nieco więcej w tym artykule). Jednym z wyzwań przed którym stoi nasz świat jest stworzenie globalnego systemu obsługi cyfrowej tożsamości (Digital ID).

Wprowadzenie możliwości weryfikacji tożsamości z użyciem bezpiecznych sposobów i za pomocą odpowiednio zabezpieczonych kanałów może przyczynić się do wzrostu financial inclusion, a także ułatwić nawiązywanie relacji gospodarczych przez internet. FATF (Financial Action Task Force) przyjrzała się temu zjawisku, dostrzegająca że jest to właściwy czas, aby prawodawcy, instytucje finansowe i regulatorzy przygotowali się na rozwój Digital ID. Efektem jest dokument „Draft Guidance on Digital Identity”, który jest obecnie w fazie publicznych konsultacji. Choć skupia się on na możliwości wykorzystania tożsamości cyfrowej do AML/KYC, wiele wskazówek ma charakter uniwersalny. Przyjrzymy się tym rekomendacjom. Na marginesie można również wskazać, że duże znaczenie w kontekście tożsamości cyfrowej ma Rozporządzenie 910/2014 (eIDAS), jednakże nie będzie ono przedmiotem analizy.

Na marginesie warto wskazać, że rekomendacje FATF mogą być wykorzystywane zarówno do przygotowania się do „zaczytywania” cyfrowej tożsamości, ale również budowy własnych systemów obsługi.

Zacznijmy od definicji

Czym w ogóle jest tożsamość cyfrowa? W dokumencie identyfikuje się ją jako tożsamość oficjalną, która identyfikuje:

  1. Osobę fizyczną na bazie unikalnych cech charakterystycznych pozwalających na jednoznaczne przypisanie ich tej osobie oraz
  2. Która jest uznawana przez państwo dla celów regulacyjnych (prawnych) oraz innych „oficjalnych spraw” (przykładem może być tutaj nasz e-Dowód oraz Profil Zaufany).

FATF zwróciła uwagę na fakt, że o ile dotychczas tego typu systemy były zazwyczaj prowadzone przez agendy rządowe, tak obecnie zauważalny jest trend do tworzenia partnerstw publiczno-prywatnych, czego przykładem są ww. profile zaufane.

To co wyróżnia tożsamość cyfrową to weryfikacja z użycie elektronicznych kanałów transmisji danych, choć nie można wykluczyć, że Digital ID może mieć również częściowo formę dokumentu, a częściowo cyfrową (dane zapisane na chipie). Kluczem do zakwalifikowania danego rozwiązania jako cyfrowego będzie dokonywanie przypisania (binding), weryfikacji i uwierzytelniania w sposób cyfrowy.

W jaki sposób?

Systemy „zaczytywania” cyfrowej tożsamości mogą wykorzystywać różne technologie, w tym:

  1. elektroniczne bazy danych (w tym wykorzystujące DLT), które pobierają, potwierdzają i przechowują stosowne dane;
  2. cyfrowe dane dostępowe, np. na smarftonie, ale również w aplikacjach offline;
  3. biometrię (tutaj świetnym przykładem jest silne uwierzytelnianie klienta w ramach pakietu PSD2) – tutaj warto zwrócić uwagę na fakt, że jest to jedna z najbezpieczniejszych i „niezaprzeczalnych” metod weryfikacji tożsamości;
  4. API, czyli interfejsy dostępowe, które ułatwiają integrację z różnymi platformami, co zwiększa znacząco skalę dostępu do Digital ID.

Jakie warunki musi spełniać system?

Zasadniczo te, które zostały wskazane w Wytycznych NIST w sprawie systemów identyfikacji cyforowej. Wytyczne wskazują na dwa podstawowe i obowiązkowe elementy oraz jeden dodatkowy. Co istotne, za realizację konkretnych elementów mogą być odpowiedzialne różne instytucje/podmioty (np. bank-ministerstwo lub inna agenda).

Pierwszym elementem jest potwierdzenie tożsamości oraz pierwsza rejestracja ID (enrolment) – tutaj warto wskazać na ryzyko związane z możliwością stworzenia „fejkowego” ID. Jak wskazuje FATF na tym etapie mamy do czynienia z weryfikacją tego kim jest osoba posługująca się tożsamością cyfrową (tworzoną w systemie). Znaczenie ma tutaj weryfikacja danych personalnych i rejestracja, która stanowi punkt wyjścia dla możliwości wykorzystania „narzędzia” w praktyce. Zdarza się jednak, że taka stuprocentowa weryfikacja może być trudna do osiągnięcia, np. w przypadku wideoweryfikacji (o czym pisałem tutaj w kontekście komunikatu KNF).

Etap ten powinien składać się zasadniczo z 4 kroków:

  1. Zgromadzenie danych niezbędnych do ustalenia tożsamości (np. „ściągnięcie” wzorca biometrycznego);
  2. Walidacja, np. w systemach rządowych lub w inny sposób – również poprzez zweryfikowanie danych poprzez system OCR;
  3. Weryfikacja, że dane Digital ID należy do tej konkretnej osoby;
  4. Przypisanie i zbindowanie (na wzór bindowania urządzenia dostępowego w ramach SCA) – np. ustalenie hasła dostępowego do aplikacji czy inna forma przypisania (np. z użyciem infolinii).

Spójrzmy na konkretny przykład, a mianowicie mojeID oferowane przez Krajową Izbę Rozliczeniową. Środek identyfikacji elektronicznej jest w tym przypadku wydawany na podstawie wniosku użytkownika. Takie Digital ID po wydaniu jest dostarczane i podlega aktywacji. Wydawane są one przez dostawców tożsamości pełniących rolę wydawcy środków – w praktyce są to banki jako instytucje zaufania publicznego. To one też określają szczegóły procesu wydania mojeID.

Drugim elementem wymaganym przez NITS i FATF jest prawidłowy proces uwierzytelniania (autentykacji), który odpowiada na pytanie „Czy jesteś tym za kogo się podajesz?”. Jest więc nic innego jak porównanie żądania z danymi pierwotnymi, czyli potwierdzenie, że jest ono wykonywane przez osobę do tego uprawnioną. Opiera się to na wykorzystaniu jednego (lub więcej) z trzech czynników: 1) wiedzy; 2) posiadania lub 3) cechy (biometria). Jak więc widać, jest to bardzo podobny sposób autentykacji jak ma to miejsce w przypadku SCA. Ten „moment” jest szczególnie narażony na zagrożenia typu phising, man-in-the-middle czy credential stuffing.

Trzecim (nieobligatoryjnym) elementem jest coś co zostało określone jako portability and interoperability. FATF rozumie to jako możliwość wykorzystania Digital ID do nawiązania nowej relacji kontraktowej przy jej użyciu bez konieczności „pobierania” i weryfikowania danych osobowych za każdym razem, co może mieć zastosowanie np. w przypadku usług powtarzalnych.

Wymogi techniczne

Niezwykle istotne w kontekście tworzenia systemów wymiany Digital ID będzie zapewnienie odpowiedniego poziomu efektywności i bezpieczeństwa. Jednym ze standardów, które powinny one spełniać jest specjalny standard ISO/IEC 29003:2018, który wprost odnosi się do kwestii potwierdzania tożsamości (towarzyszy jemu inna norma ISO/IEC 2915:2013). Ważne będzie również dostosowanie rozwiązań do wymagań wspomnianego już Rozporządzenia eIDAS czy aktów prawnych regulujących kwestię cyberbezpieczeństwa (co ma szczególne znaczenie w kontekście możliwości uzyskania nieuprawnionego dostępu do Digital ID.

Co w kolejnej odsłonie?

Będziemy kontynuowali podróż przez meandry wytycznych FATF, w tym w kontekście KYC.

Grafiki pochodzą z raportu FATF.

Udostępnij.

Zostaw komentarz