Digital ID: przyszłość sektora płatności elektronicznych ?
Coraz częściej wykorzystujemy do tego telefon wyposażony w czytniki danych biometrycznych, a płatność wyłącznie „twarzą” staje się powoli pewnym standardem w niektórych zakątkach Azji. Zauważamy również gwałtowny rozwój Internet of Things. Jednym z wyzwań przed którym stoi nasz świat jest stworzenie globalnego systemu obsługi cyfrowej tożsamości (Digital ID).
Wprowadzenie możliwości weryfikacji tożsamości z użyciem bezpiecznych sposobów i za pomocą odpowiednio zabezpieczonych kanałów może przyczynić się do wzrostu financial inclusion, a także ułatwić nawiązywanie relacji gospodarczych przez internet.
FATF (Financial Action Task Force) przyjrzała się temu zjawisku dostrzegając, że jest to właściwy czas, aby prawodawcy, instytucje finansowe i regulatorzy przygotowali się na rozwój Digital ID.
Efektem jest dokument „Draft Guidance on Digital Identity”, który jest obecnie w fazie publicznych konsultacji. Choć skupia się on na możliwości wykorzystania tożsamości cyfrowej do AML/KYC, wiele wskazówek ma charakter uniwersalny.
Przyjrzymy się tym rekomendacjom. Można tu również wskazać, że duże znaczenie w kontekście tożsamości cyfrowej ma Rozporządzenie 910/2014 (eIDAS), jednakże nie będzie ono przedmiotem analizy.
Natomiast rekomendacje FATF mogą być wykorzystywane zarówno do przygotowania się do „zaczytywania” cyfrowej tożsamości, ale również budowy własnych systemów obsługi.
Zacznijmy od definicji
Czym w ogóle jest tożsamość cyfrowa? W dokumencie identyfikuje się ją jako tożsamość oficjalną, która identyfikuje:
− osobę fizyczną na bazie unikalnych cech charakterystycznych pozwalających na jednoznaczne przypisanie ich tej osobie
oraz
− która jest uznawana przez państwo dla celów regulacyjnych (prawnych) oraz innych „oficjalnych spraw” (przykładem może być tutaj nasz e-Dowód oraz Profil Zaufany).
FATF zwróciła uwagę na fakt, że o ile dotychczas tego typu systemy były zazwyczaj prowadzone przez agendy rządowe, tak obecnie zauważalny jest trend do tworzenia partnerstw publiczno-prywatnych, czego przykładem są ww. profile zaufane.
Tym, co wyróżnia tożsamość cyfrową, to weryfikacja z użyciem elektronicznych kanałów transmisji danych. Choć nie można wykluczyć, że Digital ID może mieć również częściowo formę dokumentu, a częściowo cyfrową (dane zapisane na chipie).
Kluczem do zakwalifikowania danego rozwiązania jako cyfrowego będzie dokonywanie przypisania (binding), weryfikacji i uwierzytelniania w sposób cyfrowy.
Technologie zaczytywania czyli w jaki sposób?
Systemy „zaczytywania” cyfrowej tożsamości mogą wykorzystywać różne technologie, w tym:
− elektroniczne bazy danych (w tym wykorzystujące DLT), które pobierają, potwierdzają i przechowują stosowne dane;
− cyfrowe dane dostępowe, np. na smarftonie, ale również w aplikacjach offline;
− biometrię (świetnym przykładem jest silne uwierzytelnianie klienta w ramach pakietu PSD2) – warto zwrócić uwagę na fakt, że jest to jedna z najbezpieczniejszych i niezaprzeczalnych metod weryfikacji tożsamości;
− API, czyli interfejsy dostępowe, które ułatwiają integrację z różnymi platformami, co zwiększa znacząco skalę dostępu do Digital ID.
Jakie warunki musi spełniać system?
Zasadniczo te, które zostały wskazane w Wytycznych NIST w sprawie systemów identyfikacji cyfrowej. Wytyczne wskazują na dwa podstawowe i obowiązkowe elementy oraz jeden dodatkowy.
Co istotne, za realizację konkretnych elementów mogą być odpowiedzialne różne instytucje/podmioty (np. bank, ministerstwo lub inna agenda).
Pierwszym elementem jest potwierdzenie tożsamości oraz pierwsza rejestracja ID (enrolment) – tutaj warto wskazać na ryzyko związane z możliwością stworzenia „fejkowego” ID.
Jak wskazuje FATF na tym etapie mamy do czynienia z weryfikacją tego, kim jest osoba posługująca się tożsamością cyfrową (tworzoną w systemie). Znaczenie ma tutaj weryfikacja danych personalnych i rejestracja, która stanowi punkt wyjścia dla możliwości wykorzystania narzędzia w praktyce.
Zdarza się jednak, że taka stuprocentowa weryfikacja może być trudna do osiągnięcia, np. w przypadku wideoweryfikacji.
Etap ten powinien składać się zasadniczo z 4 kroków:
− zgromadzenie danych niezbędnych do ustalenia tożsamości (np. „ściągnięcie” wzorca biometrycznego);
− walidacja, np. w systemach rządowych lub w inny sposób – również poprzez zweryfikowanie danych poprzez system OCR;
− weryfikacja, że dane Digital ID należą do tej konkretnej osoby;
− przypisanie i zbindowanie (na wzór bindowania urządzenia dostępowego w ramach SCA) – np. ustalenie hasła dostępowego do aplikacji czy inna forma przypisania, m.in. z użyciem infolinii.
Spójrzmy na konkretny przykład, a mianowicie mojeID oferowane przez Krajową Izbę Rozliczeniową.
Środek identyfikacji elektronicznej jest w tym przypadku wydawany na podstawie wniosku użytkownika. Takie Digital ID po wydaniu jest dostarczane i podlega aktywacji. Wydawane są one przez dostawców tożsamości pełniących rolę wydawcy środków – w praktyce są to banki jako instytucje zaufania publicznego. To one też określają szczegóły procesu wydania mojeID.
Drugim elementem wymaganym przez NITS i FATF jest prawidłowy proces uwierzytelniania (autentykacji), który odpowiada na pytanie „Czy jesteś tym za kogo się podajesz?”.
Jest więc nic innego jak porównanie żądania z danymi pierwotnymi, czyli potwierdzenie, że jest ono wykonywane przez osobę do tego uprawnioną. Opiera się to na wykorzystaniu jednego (lub więcej) z trzech czynników: 1) wiedzy; 2) posiadania lub 3) cechy (biometria).
Jak więc widać, jest to bardzo podobny sposób autentykacji jak ma to miejsce w przypadku SCA. Ten „moment” jest szczególnie narażony na zagrożenia typu phising, man-in-the-middle czy credential stuffing.
Trzecim (nieobligatoryjnym) elementem jest coś, co zostało określone jako „portability and interoperability”.
FATF rozumie to jako możliwość wykorzystania Digital ID do nawiązania nowej relacji kontraktowej przy jej użyciu bez konieczności „pobierania” i weryfikowania danych osobowych za każdym razem, co może mieć zastosowanie np. w przypadku usług powtarzalnych.
Wymogi techniczne Digital ID
Niezwykle istotne w kontekście tworzenia systemów wymiany Digital ID będzie zapewnienie odpowiedniego poziomu efektywności i bezpieczeństwa. Jednym ze standardów, które powinny one spełniać jest specjalny standard ISO/IEC 29003:2018, który wprost odnosi się do kwestii potwierdzania tożsamości (towarzyszy temu standardowi inna norma ISO/IEC 2915:2013).
Ważne będzie również dostosowanie rozwiązań do wymagań wspomnianego już Rozporządzenia eIDAS czy aktów prawnych regulujących kwestię cyberbezpieczeństwa, co ma szczególne znaczenie w kontekście możliwości uzyskania nieuprawnionego dostępu do Digital ID.
Michał Nowakowski, https://pl.linkedin.com/in/michal-nowakowski-phd-35930315, Counsel w Citi Handlowy, założyciel www.finregtech.pl
Opinie wyrażone w artykule są osobistymi opiniami Autora i nie mogą być utożsamiane z jakąkolwiek instytucją, z którą Autor jest lub był związany.
Grafiki pochodzą z raportu FATF.