piątek, Wrzesień 25

Cyfrowa tożsamość oparta o e-Dowody i węzeł krajowy? Jakie wyzwania?

Google+ Pinterest LinkedIn Tumblr +

Rozmawiając, myśląc, pisząc o rozwoju fintechów czy cyfryzacji usług finansowych często odnosimy się do barier, które należałoby zlikwidować, aby „popchnąć” technologiczną (r)ewolucję do przodu. Jedną z takich barier, która została również uwzględniona przez stosowną grupę roboczą przy UKNF (więcej w tym artykule) jest brak efektywnych rozwiązań w zakresie identyfikacji cyfrowej, czyli eID (zarówno dla osób fizycznych, jak i prawnych, a może i sztucznej inteligencji). Choć mamy „namiastkę” tego typu rozwiązań w tzw. węźle krajowym (e-administracja), jak i prywatnym (KIR i mojeID), to jednak daleko im do ideału, choć powody, dla których ich użyteczność w sektorze finansowym są zupełnie odmienne. Dzisiaj zajmę się identyfikacją niektórych wyzwań prawno-regulacyjnych, które mogą stać na przeszkodzie. Zaczynamy!

Czym w ogóle jest eID lub DigitalID? Pisałem o tym przy okazji tego artykułu, gdzie posiłkując się projektowanymi wytycznymi FATF, które sugerowały, że to całokształt rozwiązań, które identyfikują osobę fizyczną na bazie unikalnych cech charakterystycznych pozwalających na jednoznaczne przypisanie ich tej osobie oraz która jest uznawana przez państwo dla celów regulacyjnych (prawnych) oraz innych „oficjalnych spraw” (przykładem może być tutaj nasz e-Dowód oraz Profil Zaufany).

Ok, jest to uproszczona definicja, która adresuje zasadniczo aspekt publicznoprawny, ale może być wykorzystywana dla celów komeracyjnych, jak np. onboardingu klienta czy w połączeniu z innymi elementami jak podpis kwalifikowany – do podpisywania oświadczeń woli, w tym umów. Przyjmijmy więc, że są to po prostu rozwiązania, które w sposób (prawie) bezsprzeczny identyfikują osobę fizyczną (o osobach korporacyjnych innym razem).

Zacznijmy od EIDAS…

No alt text provided for this image

…czyli Rozporządzenia 910/2014, który musi nam posłużyć za punkt wyjścia dla tworzenia Digital ID. Rozporządzenie określa wiele istotnych elementów odnoszących się do szeroko rozumianej identyfikacji elektronicznej realizowanej w ramach systemu identyfikacji elektronicznej. Przykładem takiego systemu jest krajowy węzeł identyfikacji elektronicznej utworzony w związku z ustawą o usługach zaufania oraz identyfikacji elektronicznej.

Jest to rozwiązanie organizacyjno-techniczne, które ma umożliwiać identyfikowanie się w ramach usług online. Jego wadą, przynajmniej na tym etapie, jest brak szerszego komercyjnego wykorzystania (można podpiąć się pod węzeł, ale zyskamy przy tym tylko dostęp do usług publicznych). Przez www.login.gov.pl można korzystać z usług e-administracji, ale już nie dla celów np. identyfikacji użytkownika w celu otwarcia rachunku płatniczego. To rozwiązanie jest o tyle pożądane z punktu widzenia sektora prywatnego, że podpisywanie dokumentów z użyciem np. profilu zaufanego stanowi prawnie wiążący podpis użytkownika (oczywiście w stosunku do organu administracji).

I ustawy o usługach zaufania i identyfikacji elektronicznej

Abstrahując od możliwości skorzystania z rozwiązań opartych o węzeł krajowych w usługach prywatnych, użyteczność tej formy identyfikacji może być niewystarczająca ze względu na ograniczenia wskazane art. 21q ustawy o usługach zaufania oraz identyfikacji elektronicznej, czyli ograniczony zakres danych osobowych, które mogą być przetwarzane w takim systemie.

No alt text provided for this image

Jeżeli skonfrontujemy zakres tych danych z art. 36 ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu, to okaże się, że niektórych elementów tam po prostu nie ma, a są one niezbędne do wykonania identyfikacji klienta na potrzeby procesów AMLowych. Brakuje przykładowo informacji dowodzie osobistym (czy innym dokumencie indentyfikującym) czy obywatelstwie, a dla osób fizycznych prowadzących działalność gospodarczą informacji dot. tej działalności (m.in. NIP czy REGON). Jeżeli mielibyśmy te dane, to z punktu widzenia art. 37 ustawy o AML mielibyśmy chyba zapewnioną odpowiednią weryfikację.

Nie ma również możliwości wykorzystania danych biometrycznych, jak np. odcisku palca czy weryfikacji „twarzy”, co ma istotne znaczenie np. w procesie onboardingu. Oczywiście możemy też przyjąć, że jeżeli te „brakujące” elementy znalazłyby się w nowym Digital ID, to mogłyby „wyprzeć” wideoweryfikację, ale jeżeli myślimy o tym rozwiązaniu jako czymś więcej (np. w kontekście podpisywania umów), to te elementy powinny się tam znaleźć.

A co z e-Dowodami? 

No alt text provided for this image

To kolejna opcja, która mogłaby posłużyć za punkt wyjścia dla eID. Takie e-dowody, czyli dowody osobiste z warstwą cyfrową są czymś nowym i reguluje je ustawa o dowodach osobistych. Ich przewagą nad ww. rozwiązaniami opartymi o węzeł krajowym jest to, że są one kwalifikowanymi urządzeniami do składania podpisu elektronicznego, tyle tylko, że wymagają stosownego czytnika (chyba, że coś mi umknęło i już się to zmieniło).

Taki dowód osobisty umożliwia zasadniczo dokonywanie trzech czynności:

1.     Uwierzytelnianie się w usługach online za pomocą profilu osobistego;

2.     Składanie podpisu osobistego oraz

3.     Potwierdzanie obecności w określonym czasie i miejscu.

Fair enough. Generalnie podpis z użyciem e-dowodu jest równoważny podpisowi własnoręcznemu w stosunkach z podmiotami publicznymi, a w przypadku relacji prywatno-prawnych, jeżeli strony się na to zgodzą. Zakładając, że za kilka lat wszyscy powinniśmy mieć takie dowody, to jest to chyba dobry kierunek.

Zakres danych też jest dużo szerszy (art. 12 wspomnianej ustawy) i obejmuje m.in. te elementy, które „wymaga” AML oraz zawiera wizerunek twarzy. Oczywiście w przypadku zawierania umowy z użyciem takiego e-Dowodu nadal pozostaje pytanie o konieczność stosowania wideoweryfikacji, bo przecież i osoba trzecia może takim dowodem się posługiwać.

No alt text provided for this image

Problemem jest jednak to, że na dzień dzisiejszy, żeby korzystać z takiego e-dowodu musimy mieć odpowiedni czytnik i odpowiednie rozwiązania po stronie „odbiorcy” dowodu, ale tego akurat nie unikniemy, jeżeli chcemy pełnej cyfryzacji. Tym co byłoby korzystne w kontekście tych rozwiązań byłoby umożliwienie uwierzytelniania z użyciem stosownego oprogramowania, co można oprzeć o rozwiązania przewidziane przez Rozporządzenie 2018/389 i silne uwierzytelnianie użytkownika. Znacznie upowszechniłoby to e-dowody i jednocześnie mogłoby otworzyć wiele nowych dróg dla innowacji finansowych.

Przyszłość eID?

W kontekście osób fizycznych jest coraz lepiej, bo wspomniane e-Dowody mogą nam pomóc w stworzeniu prawdziwego e-ID, choć wiele zależy od tego jak szybko będziemy upowszechniać dostęp do nich. To jest jeden z warunków dla rozwoju czegoś co moim zdaniem jest jeszcze pilniejsze – stworzenia cyfrowej „tożsamości” korporacyjnej, ale o tym przy innej okazji, bo temat trudniejszy. 

Nie możemy też zapominać o wyzwaniach po stronie instytucji finansowych, w tym rozwiązaniach pozwalających na utrwalanie wszystkich zdarzeń związanych z identyfikacją, np. na wzór tych, które są wymagane przez art. 7 Prawa bankowego (pisałem o tym tutaj) oraz kwestiach związanych z bezpieczeństwem.

Udostępnij.

Zostaw komentarz