Nowe dowody osobiste wyzwaniem dla banków

Jak w dzisiejszym świecie prawidłowo sprawdzać tożsamość klienta – i jak w tym niełatwym zadaniu wspomóc nas może nowoczesna technologia? Tym zagadnieniom poświęcona była kolejna sesja Forum Technologii Bankowości Spółdzielczej.

Jednym z rozwiązań, które może przyjść w sukurs bankowcom jest… nawigacja satelitarna. O zastosowaniach systemów nawigacyjnych – na razie głównie GPS, a już niebawem również tworzonego w krajach Unii Europejskiej, niezależnego projektu Galileo – mówił Krzysztof Kanawka, R&D Manager w Black Pearls VC. – Świat staje się coraz bardziej mobilny. Coraz częściej zaczyna używać różnych zastosowań, które wymagają autoryzacji w ruchu, w różnych pozycjach – powiedział. I podkreślił, że od 3 do 6 proc. europejskiego PKB. może w sposób pośredni lub bezpośredni zależeć od nawigacji satelitarnej. Dziś znaczna część tego wykorzystania przypada na różnorakie formy transportu – co nie znaczy, że i bankowość nie skorzysta z szans, jakie daje GPS. Geolokalizacja telefonu komórkowego w połączeniu z coraz częstszym korzystaniem z bankowości mobilnej może pozwolić na skuteczne wychwycenie zagrożenia zanim jeszcze użytkownik zdoła powiadomić bank o kradzieży np. smartfona. Wystarczy wychwycić podejrzaną lokalizację urządzenia i podjąć odpowiednie kroki, przewidziane już w standardowej procedurze banku.

Na wystąpienie kolejnego prelegenta czekali chyba wszyscy bankowcy – a w szczególności ci, którym wizja identyfikacji klienta przy użyciu nowych dowodów tożsamości spędza sen z oczu. Marcin Malicki, dyrektor Pionu Rozwoju Produktów i Usług Centralnego Ośrodka Informatyki Ministerstwa Spraw Wewnętrznych opowiedział o tym, co zmieniło się w dziedzinie identyfikacji i ewidencji ludności od 1 marca 2015 r. Wbrew pozorom, nowy dowód osobisty to zaledwie jedna ze zmian – i być może wcale nie ta najważniejsza. Po licznych perypetiach związanych z próbą wprowadzenia elektronicznego dowodu osobistego odstąpiono od tej koncepcji.

– Przy okazji zrobiono rzecz znacznie bardziej fundamentalną – powstał system rejestrów państwowych, który zintegrował w całość podstawowe rejestry w gestii MSW. Bez tego fundamentu nie ma o czym mówić jeśli chodzi o wdrażanie elektronicznego dowodu osobistego – powiedział Malicki.

Czym jest system rejestrów państwowych? To połączenie w zintegrowaną całość rejestru PESEL, rejestru dowodów osobistych i zupełnie nowego narzędzia, jakim jest rejestr aktów stanu cywilnego. – Od 1 marca (…) aktem stanu cywilnego jest rekord w bazie danych, nasza tożsamość jest już cyfrowa. Ma to również wpływ na PESEL i dowody osobiste – zaznaczył prelegent.

Rewolucją jest nie tyle utworzenie nowych baz danych, ile pełna wymiana informacji pomiędzy nimi. Wcześniej pomiędzy poszczególnymi ewidencjami występowały luki, ułatwiające działanie przestępcom. – Do 1 marca nie było wymiany danych między bazą PESEL a ewidencją dowodów – tu następowała rozbieżność. Akta stanu cywilnego funkcjonowały zupełnie niezależnie. Gminy nawzajem się „nie widziały”, nie miały tez dostępu do bazy PESEL – podkreślił przedstawiciel MSW.

Zadaniem nowego projektu było w pierwszej kolejności przejście z modelu, gdzie funkcjonuje oddzielnie baza lokalna, proces personalizacji i baza centralna, w kierunku jednolitego systemu, w którym nie da się wydać bez zapisania danych w rejestrze. Ważnym zadaniem była również synchronizacja z bazą PESEL. Przy okazji wyszła na jaw skala niespójności i niekompletności danych w rejestrach gminnych – zdaniem prelegenta, sięgała ona nawet 40-50 proc. wszystkich rekordów.

Wyzwaniom, jakie dla banków stanowi usunięcie niektórych danych z nowego wzoru dowodów osobistych poświęcił swoje wystąpienie Dariusz Kozłowski, wiceprezes zarządu Centrum Prawa Bankowego i Informacji. Przypomniał on o tym, że do 1 marca również funkcjonowały na rynku dwie różne edycje dokumentów tożsamości – a w pewnym momencie nawet trzy, jeśli uznać za odrębną edycję pierwsze wydanie, zawierające błędy. To było duże wyzwanie dla bankowego pracownika obsługi klienta – musiał on bowiem pamiętać o tym, jakie wyróżniki cechują kolejne edycje, aby z jednej strony nie zaakceptować fałszywki, z drugiej zaś nie odrzucić wniosku kredytowego klienta, którego dokumenty nie powinny budzić zastrzeżeń.

Jak na tym tle wygląda nowy dokument tożsamości? Z jednej strony został ona wyposażony w nowe elementy utrudniające życie fałszerzom, jak mikrodruki, grawery czy znany z banknotów element recto-verso. Również wizerunek osoby jest na tym dokumencie pokazany aż 3 razy. Rozwiązania te sprawią, że przestępcy będą mieć spore problemy z podrabianiem tych dokumentów, co niestety niesie za sobą również efekt uboczny w postaci zwiększonego zainteresowania kradzieżami dokumentów tożsamości. Niestety, doszło również do tak karygodnych nadużyć, jak kradzież dokumentów jeszcze przed wydaniem ich mieszkańcom.

Jeśli chodzi o kwestię dla bankowców najważniejszą, czyli zmniejszenie liczby informacji zawartych w dowodzie osobistym – prelegent ocenił te zmiany jednoznacznie negatywnie. – Nowy dowód osobisty nie załatwił kompletnie nic – powiedział, wskazując na podstawowe zagrożenia pojawiające się, gdy dokument wpadnie w ręce złodzieja. Przykładem może być usunięcie takich danych,jak choćby kolor oczu posiadacza i jego podpis. – Jeśli dokumenty zostaną skradzione, mogą się nimi posługiwać osoby wizerunkowo podobne – stwierdził prezes Dariusz Kozłowski. Każdy czynnik dodatkowy ograniczał ryzyko wykorzystania przez osoby niepowołane – również zawarty w dawnym wzorze dokumentu tożsamości podpis.

Najwięcej problemów spowodować może jednak usunięcie adresu zamieszkania – i nie chodzi tu tylko o możliwość łatwiejszego wyłudzenia kredytu, ale przede wszystkim o ryzyka prawne dla samego banku. Kiedy można oprzeć się na oświadczeniu kredytobiorcy o miejscu zamieszkania, a kiedy potrzebny będzie dodatkowy dokument potwierdzający ten fakt? Przepisy na ten temat milczą, a interpretacje dokonywane przez takie organy, jak GIODO tylko dodatkowo zaciemniają sprawę.

Lukę tę w pewnym stopniu uzupełnić może wykorzystanie nowych rejestrów. Od 1 marca 2015 r. banki mogą korzystać z bazy PESEL, a 29 kwietnia br. otrzymały również dostęp do rejestru dowodów osobistych. – Dziś w systemie Dokumenty Zastrzeżone mamy oprzyrządowany dostęp zarówno do PESEL,jak i RDO – zaznaczył Dariusz Kozłowski. Usługi dostępne dla sektora finansowego to:

• weryfikacja danych osobowych
• weryfikacja imienia i nazwiska
• weryfikacja PESEL.

Niestety, w niektórych przypadkach korzystanie z rejestrów bywa problematyczne – w przypadku usługi Weryfikuj dane osoby należy ręcznie przepisać wszystkie dane z dowodu osobistego – co w oczywisty sposób wydłuża oczekiwanie na rozpatrzenie wniosku. Dostęp zarówno do bazy PESEL, jak i RDO jest ponadto płatny – każde zapytanie kosztuje 30 gr.

Jak sobie z tymi problemami poradzono na szczeblu unijnym? Kwestii tej poświęcone było wystąpienie Michała Tabora, eksperta w zakresie identyfikacji uwierzytelnienia i podpisu elektronicznego Polskiej Izby Informatyki i Telekomunikacji. Prelegent omówił kwestie związane z wprowadzeniem EIDAS, czyli rozporządzenia UE w sprawie identyfikacji elektronicznej. Wprowadzenie nowych mechanizmów w zakresie e-autentykacji symbolicznie zamknęło rozdział obejmujący 16 lat, czyli okres obowiązywania unijnej dyrektywy o podpisach elektronicznych – wśród aktów implementujących tę dyrektywę należy wskazać również naszą polską ustawę o podpisie elektronicznym. Nowy akt prawa wspólnotowego implementacji nie będzie wymagać – jako rozporządzenie stosowany jest w sposób bezpośredni.

Co reguluje EIDAS? – Rozporządzenie ustala przede wszystkim międzynarodowe zasady korzystania z instrumentów elektronicznych w zakresie identyfikacji – powiedział Michał Tabor. Jego zdaniem, to podstawowy instrument ku temu, żeby we wszystkich krajach UE zaczęło obowiązywać jednolite podejście do tych zagadnień. EIDAS obejmuje dwa ramowe obszary – elektroniczną identyfikację i tzw. usługi zaufania. Usługa zaufania ma w ostatecznym rozrachunku dostarczyć dowód zaufania – co oznacza zebranie w jednym dokumencie elektronicznym dowodów z określonego procesu biznesowego.

Kogo będziemy identyfikować w ramach elektronicznej identyfikacji? Prelegent wskazał na następujące podmioty:

• osoby fizyczne
• osoby prawne
• osoby fizyczne reprezentujące osoby prawne.

Zgodnie z EIDAS, każdy kraj UE może stworzyć własny mechanizm elektronicznej identyfikacji, może również notyfikować któryś z komercyjnych systemów elektronicznej identyfikacji – ale równocześnie będzie musiał akceptować w zakresie usług publicznych zagraniczne systemy identyfikacji. Na dostosowanie przepisów wewnętrznych do nowych wymogów kraje członkowskie dostały czas do 2018 r. – w tym czasie urzędy będą obowiązane do implementacji rozwiązania. Przedsiębiorcy, w tym sektor bankowy, będą mogli wprowadzać rozwiązania wynikające z EIDAS na zasadzie dobrowolności.

Po przerwie konkretne zagadnienia administracyjne zastąpiła tematyka z pogranicza science-fiction, która – wbrew pozorom – staje się powoli naszym chlebem codziennym. Prof. Jarogniew Rykowski z Uniwersytetu Ekonomicznego we Wrocławiu poświęcił swe wystąpienie wyzwaniom związanym z tzw. Internetem Rzeczy (IoT)

Czym jest IoT? – W ostatnich latach urządzenia, które nas otaczają mają coraz więcej inteligencji – stwierdził prof. Rykowski. Ważniejsza od wielofunkcyjności jest jednak zdolność nowych sprzętów do współpracy między sobą i wymieniania się informacją. Prelegent wskazał tu na wykorzystanie IoT w przypadku problemów z dostępem do energii elektrycznej – poszczególne pralki w bloku mieszkalnym mogą „dogadać się” z urządzeniami sąsiadów tak, aby nie dopuścić do włączenia zbyt dużej liczby urządzeń w jednym czasie. Wiele wskazuje na to, że niedługo będziemy musieli dać pewną samodzielność naszym urządzeniom również w zakresie… płatności. Dzięki temu telewizor sam ściągnie nam ulubiony film, a smartfon – zamówi taksówkę, jeśli wie, że następnego dnia jedziemy na lotnisko.

Jest i druga, „brzydsza” twarz IoT: inteligencja tych urządzeń bywa niezauważalna dla przeciętnego człowieka. W konsekwencji może to prowadzić do permanentnej inwigilacji. – Czy dobra jest dla nas wszechwiedza urządzeń, czy lepiej nadzorować umiar – pozostać dla urządzeń anonimowym? – zapytał prof. Rykowski. Jego zdaniem, problem leży gdzie indziej – z przyzwyczajenia łączymy autentykację (np. potwierdzanie prawidłowości dokonanej płatności) z identyfikacją (przypisaniem tej płatności do konkretnej osoby). Tymczasem anonimowość dałoby się pogodzić z płatnością za usługi w kanale IoT – choć nie jest to łatwe. Dziś jedynym instrumentem płatniczym dającym pełną anonimowość jest gotówka. Aby umożliwić analogiczny poziom anonimowości w opartym na gromadzeniu informacji środowisku elektronicznym, należałoby wprowadzić tzw. pikopłatności – czyli formy przekazywania płatności za usługi rozdrobnione na pojedyncze operacje, na podstawie których nie da się sprofilować użytkownika. Czy to się opłaci? Zdaniem prelegenta, jest to po prostu niezbędne. – Jeśli IoT nie stanie się przedsięwzięciem biznesowym nie będzie się rozwijał, dołączy do grona ciekawostek – dodał Jarogniew Rykowski.

Ostatnia sesja forum poświęcona była problematyce centrum usług wspólnych (CUW) dla banków spółdzielczych. Swoje doświadczenia w tworzeniu tego typu rozwiązań zaprezentował ze strony sektora bankowego Robert Hegmit, dyrektor Centrum Operacyjnego i IT SGB-Banku, który omówił model CUW przyjęty w grupie. W jego opinii, różnorodność banków nie musi stanowić przeszkody dla przekazywania pewnych funkcjonalności do centrum usług wspólnych. Opinie na ten temat dostawców technologii IT można było poznać słuchając wystąpień Michała Niedzielskiego z Fiserv Polska oraz Andrzeja Nowakowskiego, reprezentującego Asseco Poland. Przedstawiciel Fiserv wskazał jako przykład model brytyjski, gdzie podstawowym problemem bankowości spółdzielczej były swego czasu wysokie koszty operacyjne, motywowane rozproszeniem dostawców usług informatycznych.

Centrum usług wspólnych było również wiodącym motywem panelu, prowadzonego przez Andrzeja Kawińskiego – prezesa Instytutu Analiz i Prognoz Rynkowych. W debacie udział wzięli: Piotr Wcisło, dyrektor Departamentu Informatycznego Banku Polskiej Spółdzielczości, Robert Hegmit, dyrektor Centrum Operacyjnego i IT SGB-Banku, Dariusz Olkiewicz, wiceprezes zarządu Banku Polskiej Spółdzielczości, Michał Niedzielski, Pre-sales Manager w Fiserv Polska, Tomasz Schmidt, prezes Elektronicznej Giełdy Kapitału, Zbigniew Pomianek, wiceprezes zarządu Asseco Poland oraz Andrzej Data, prezes zarządu SoftNet Sp. z o.o.

Czy zintegrowanie określonego rodzaju działań wykonywanych przez wszystkie banki w jednym ośrodku jest w ogóle realne? – Jeśli chodzi o sam model usług wspólnych, jest to oczywisty kierunek – powiedział Andrzej Data. Jego zdaniem katalog usług wspólnych jest dosyć obszerny, należy jednak pamiętać o specyfice bankowości spółdzielczej.

– Różnorodność w każdym obszarze branży istnieje (…) CUW musi uchwycić to, co wspólne, co można robić powtarzalnie – ocenił Piotr Wcisło z BPS. Jego zdaniem, CUW warto tworzyć przede wszystkim po to żeby przekazywać do niego wszystkie działania o charakterze powtarzalnym, a tam gdzie się da – zuniwersalizować procesy. – Biznesowo się różnimy – operacyjnie działamy podobnie – zaznaczył przedstawiciel BPS. Czego to wymaga? Zdaniem Piotra Wcisło, przede wszystkim zmiany mentalności. – Połączmy nasze doświadczenia, potencjał, możliwości – zarówno finansowe jak i merytoryczne – zaznaczył prelegent. W jego opinii, należałoby oprzeć się na następującej strategii: po pierwsze – zmienić mentalność, po drugie – wykorzystać to, co gotowe, i wreszcie po trzecie – wspólnie finansować rozwiązania. – Czasami trzeba zainwestować w przyszłość, żeby z tej przyszłości korzystać – dodał Wcisło.

– Wyzwaniem dla bankowości spółdzielczej jest różnorodność – zauważył Michał Niedzielski. Według niegho, należy rozpoczynać budowę CUW od uwzględnienia specyfiki klienta docelowego. – To staje się fundamentem dla stworzenia elastycznej infrastruktury IT – stwierdził przedstawiciel Fiserv.

Czy można pójść jeszcze jeden krok dalej i stworzyć jeden CUW dla całej bankowości spółdzielczej? Dariusz Olkiewicz z BPS uważa, że jest to możliwe – jednak po spełnieniu pewnych kryteriów. – Musimy się określić jako zrzeszenie, czego chcemy. Jak to określimy, to będziemy mogli rozmawiać z SGB – ocenił. Przedstawiciel BPS przypomniał również, że w Europie mamy już przykłady takiej unifikacji – w Niemczech jest obecnie jeden CUW, wcześniej były dwa, a jeszcze wcześniej każdy region dysponował własnym centrum.

– Kolejna sprawa – koszty – powiedział Dariusz Olkiewicz. Jego zdaniem, CUW zmienia proporcje jeśli chodzi o koszty – a to przekłada się na rozwój zarówno poszczególnych banków, jak i wzrost znaczenia całej grupy na rynku. – Rozwój generują duże banki, które są w stanie wyznaczyć osoby, które tym rozwojem się zajmą. Małe banki nie. W bankach komercyjnych 70 proc. kosztów idzie na utrzymanie a 30 proc. na rozwój – podkreślił przedstawiciel BPS.

– Jeden CUW dla obu zrzeszeń jest możliwy – to nie są potrzeby SGB czy BPS – stwierdził również przedstawiciel drugiego ze zrzeszeń, Robert Hegmit. Jego zdaniem, podstawą jest świadomość, że trzeba coś takiego budować. Jeszcze dalej poszedł Robert Wcisło z BPS, wskazując, że ofertę można wzbogacać nie tylko produktami zrzeszeniowymi, ale i zewnętrznymi.

Obrady Forum zakończył wiceprezes Centrum Prawa Bankowego i Informacji Andrzej Wolski. Podziękował on organizatorom, partnerom i wszystkim uczestnikom wydarzenia, wyrażając jednocześnie nadzieję, ze problemy akcentowane podczas forum znajdą swoje rozwiązanie w praktyce.

Karol Jerzy Mórawski