Nowy sposób onboardingu klienta z użyciem mObywatela? Nie tak szybko
Ponieważ jednym z kluczowych obszarów dla instytucji obowiązanych jest identyfikacja i weryfikacja klienta, to nowe zmiany będą miały też wpływ na to, w jaki sposób te podmioty będą realizowały środki bezpieczeństwa finansowego. Przyjrzyjmy się więc zmianom jakie pojawią się w związku z wejście w życiem tej ustawy i spróbujemy odpowiedzieć sobie na pytanie czy przykładowo nowe wytyczne Europejskiego Urzędu Nadzoru Bankowego w zakresie zdalnego onboardingu klienta (instytucji finansowych) będą tutaj istotne.
Zanim przejdziemy do właściwej analizy, warto zwrócić uwagę na art. 81 ustawy, który wskazuje, że instytucje obowiązane (wszystkie) są obowiązane stosować przepisy ustawy w zakresie wykorzystywania dokumentu mObywatel jako środka bezpieczeństwa finansowego do identyfikacji klienta oraz weryfikacji jego tożsamości, od dnia 1 września 2023 roku. Czasu na dostosowanie jest więc niewiele.
mObywatel – definicje
Zacznijmy od definicji. W art. 2 pkt 1) znajdziemy m.in. pojęcie aplikacji mObywatel, która ma być oprogramowaniem przeznaczonym dla urządzeń mobilnych, w którym są udostępniane usługi świadczone rzez podmioty publiczne oraz podmioty niepubliczne.
Dodatkowo pojawia się tam także „dokument mobilny”, który jest ciekawą konstrukcją prawną, bowiem ma to być dokument elektroniczny obsługiwany przy użyciu usługi udostępnianej w aplikacji mObywatel.
Ważne jest także to, że sam profil mObywatel ma być środkiem identyfikacji elektronicznej w rozumieniu rozporządzenia eIDAS, a więc jest materialną lub niematerialną jednostką zawierającą dane identyfikujące osobę i używaną do celów uwierzytelniania dla usługi online (tutaj jak się okaże będziemy mieli pewne ograniczenia). Tyle tytułem wstępu definicyjnego.
Czytaj także: Rząd przyjął projekt ustawy wprowadzającej e-dowód
Katalog usług
Istotnym elementem samej aplikacji mają być usługi, które będzie można za jej pośrednictwem realizować. Katalog tych usług został wskazany w art. 3 i znajdziemy tam m.in. możliwość pobierania z różnych rejestrów lub systemów IT danych osobowych użytkownika, informacji o jego sytuacji prawnej lub przysługujących mu praw czy takich, które umożliwiają identyfikację rzeczy związanej z użytkownikiem.
Ważne jest też, że jedną z takich usług będzie możliwość przechowywania, prezentacji lub przekazania do weryfikacji, dokumentu mobilnego zawierającego dane dotyczące użytkownika. Będzie to więc coś więcej niż tylko dowód osobisty. To rzeczywiście jakaś forma portfela tożsamości cyfrowej.
Z innych ciekawszych usług warto wskazać także na możliwość dokonywania płatności elektronicznych związanych z konkretnymi usługami świadczonymi na rzecz użytkownika. Będzie to niewątpliwie spore ułatwienie dla obywatela.
Nie chcę tutaj wchodzić w szczegóły dotyczące tego, kto będzie mógł się posługiwać aplikacją, ale zasadniczo będą to osoby fizyczne, które zostały w odpowiedni sposób uwierzytelnione i zweryfikowane. To ważna informacja z perspektywy weryfikacji tożsamości użytkownika.
Dane zawarte w dokumencie
Przejdźmy dalej, pamiętając, że aplikacja mObywatel – to nie to samo co dokument mObywatel. W art. 7 zawarto katalog informacji, które znajdą się w tym drugim rozwiązaniu. Znajdziemy tam więc:
1. Nazwisko i imię (imiona);
2. Numer PESEL;
3. Data urodzenia;
4. Obywatelstwo;
5. Imię ojca i matki;
6. Fotografię użytkownika;
7. Numer, serię, datę wydania i termin ważności.
Jeżeli zderzymy to z wymogami art. 36 ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, to znaczną część informacji tutaj znajdziemy. Zasadniczo brak tylko adresu zamieszkania, który możemy ustalić na innej podstawie. No i nie rozwiązuje się na – na razie – problem jednoosobowej działalności gospodarczej, ale na razie CEiDG musi wystarczyć. Jest więc nieźle.
Bardzo istotne jest tutaj zastrzeżenie, o którym mowa w art. 7 ust. 4 ustawy, który wskazuje, że:
„jeżeli z przepisu prawa wynika obowiązek stwierdzenia tożsamości lub obywatelstwa polskiego na podstawie dokumentu tożsamości, w szczególności na podstawie dowodu osobistego, obowiązek ten uznaje się za spełniony w przypadku stwierdzenia tożsamości lub obywatelstwa polskiego na podstawie dokumentu mObywatel”.
Jednocześnie w ust. 5 przewidziano pewne wyłączenia, które można sprowadzić – poza przekraczaniem granicy RP (tutaj potrzeba będzie wspomnianych przeze mnie Europejskich Portfeli Tożsamości Cyfrowej) – do kwestii uzasadnionych wątpliwości związanych z wykorzystaniem aplikacji oraz dokumentu.
Zasadniczo jest to więc zrównanie dokumentu cyfrowego z jego fizycznym odpowiednikiem. Coś, czego rzeczywiście brakowało jak dotąd w przestrzeni publicznej i prywatnej.
Sam dokument będzie przekazywany do weryfikacji, będzie opatrywany stosownym podpisem elektronicznym, a podmiot „odbierający” będzie miał możliwość dokonania potwierdzenia autentyczności, ważności, integralności lub pochodzenia tego dokumentu w sposób określony w art. 9 ust. 3, co obejmować będzie także weryfikację zabezpieczeń wizualnych.
Czytaj także: Cyfrowa tożsamość, jak to się robi na świecie?
Środki bezpieczeństwa finansowego
Tyle tytułem „wstępu”. Zastanówmy się więc, w jakiej sytuacji będziemy mogli skorzystać z dokumentu mObywatel i czy rozwiązuje to nam problem weryfikacji tożsamości na potrzeby stosowania środków bezpieczeństwa finansowego w kanałach zdalnych.
Do tego potrzeba powrotu do definicji dokumentu mObywatel, która wskazuje, że jest to:
„dokument mobilny (udostępniany w aplikacji) stwierdzający tożsamość i obywatelstwo polskie użytkownika aplikacji mObywatel na terytorium Rzeczypospolitej Polskiej w relacji wzajemnej fizycznej obecności stron”.
Niestety, mamy tutaj dość istotne ograniczenia, które sprowadzają się do prostego stwierdzenia – dokument ten możemy wykorzystywać w naszych placówkach czy oddziałach – oczywiście jeżeli mamy odpowiednie rozwiązania – ale nie skorzystamy z niego w relacjach zdalnych, o których traktują m.in. wspomniane przeze mnie wytyczne EBA w sprawie zdalnego onboardingu klienta.
W rezultacie sposób weryfikacji dokumentów, np. poprzez wideoweryfikację pozostaje bez zmian – przynajmniej na razie. Z drugiej strony takie podejście powoduje, że nie ma potrzeby wprowadzania kosztownych zmian o charakterze technicznym, które mogłyby się pojawić wraz z koniecznością weryfikowania takiego dokumentu bez fizycznej obecności.
Nie zmienia to faktu, że jeżeli korzystamy z dokumentu, np. w placówce, to będziemy musieli mieć odpowiednie rozwiązania pozwalające na potwierdzenie chociażby autentyczności dokumentu. Tutaj czekamy też – poza samym przyjęciem ustawy – na stosowne rozporządzenia, które będą miały uporządkować tę kwestię.
Z tej perspektywy dokument mObywatel jest „ułomny”, choć oczywiście rozwiązuje wiele problemów, w tym te, które mamy dzisiaj, a więc niemożność wykorzystania mObywatela w placówkach pocztowych czy kupując usługi telekomów.
Jest to niewątpliwie progres, choć ja i tak czekam na rozwiązania eIDAS2, które będą ułatwiały także onboarding klienta korporacyjnego.
Poglądy i opinie wyrażone w niniejszym artykule stanowią wyłącznie osobiste poglądy autora i nie mogą być utożsamiane z poglądami lub opiniami instytucji, z którą autor jest lub był związany.