Ważne pytania o cyfrowy dowód tożsamości

Karol Mórawski: W ostatnim czasie Sejm uchwalił istotne zmiany, odnoszące się do funkcjonowania aplikacji mObywatel. Jedną z najważniejszych będzie nowa formuła mobilnego dokumentu tożsamości. Co będzie ona oznaczać dla banków oraz ich klientów?

Dariusz Kozłowski: W ramach koncepcji, określanej jako mObywatel 2.0, wprowadzony zostanie nowy, mobilny dokument tożsamości, zasadniczo różny od tego, jakim posługujemy się obecnie w mObywatelu, który jest cyfrowym odzwierciedleniem dokumentu plastikowego.

W mObywatelu 2.0 cyfrowy dokument, tzw. mDowód, będzie kolejnym osobnym bytem, funkcjonującym niezależnie od dowodu tożsamości czy paszportu. To zaś oznacza, że obywatel będzie mógł dysponować aż trzema autonomicznymi dokumentami potwierdzającymi tożsamość.

Generalnie to dobra wiadomość, gdyż nowa, w pełni elektroniczna formuła mobilnego dowodu osobistego stwarza dodatkowe możliwości zarówno dla samych obywateli, jak i dostawców usług finansowych, szczególnie tych prowadzących gros działalności w kanałach zdalnych.

To, co obecnie budzi nasz największy niepokój, to tempo implementacji tego produktu. Nowy mDowód ma być prawnie zrównany z dokumentem „plastikowym” już od 1 września 2023 roku, co oznacza, że od tej daty powinien być już honorowany w bankach.

Tymczasem na tę chwilę brakuje np. ostatecznej wersji specyfikacji tego dokumentu oraz narzędzi umożliwiających jego weryfikację i odłożenie dla celów dowodowych tzw. śladu audytowego, co jest niezbędne do rozpoczęcia w bankach jego implementacji.

Brakuje też swobodnego dostępu do środowiska testowego, do którego banki mogłyby się podłączyć, żeby przetestować funkcjonalności, bo dostęp ten jest dopiero przyznawany po spełnieniu wymagań i przejściu procedury administracyjnej.

Proces legislacyjny się nie skończył i ustawa jeszcze nie obowiązuje. Senat zgłosił poprawki, które są aktualnie procedowane na posiedzeniu Sejmu. Następnie ustawa trafi na biurko Prezydenta RP do podpisu, co najprawdopodobniej powinno mieć miejsce w połowie, albo w końcówce czerwca ‘23. Do tego trzeba doliczyć czas na publikację w Dzienniku Ustaw, co oznacza, że ostateczne informacje o nowym dokumencie pojawią się na rynku mniej więcej w połowie lipca 2023 roku.

Tymczasem wg uchwalanych przepisów wejdzie on do użytku już od 1 września ’23 – i to jest właśnie data, po której wszystkie banki jako podmioty obowiązane będą musiały się dostosować zarówno technologicznie, proceduralnie i procesowo do obsługi mDowodu.

To zaś pociąga za sobą konieczność ukończenia projektów wdrażania stosownych modyfikacji w systemach oraz zmianę obowiązujących lub wdrożenie nowych procedur, umożliwiających akceptację nowego dokumentu we wszystkich  kanałach obsługi klienta i w różnych sytuacjach na styku bank – klient.

Czytaj także: Raport Specjalny | Bezpieczeństwo Banków | Ustawą w złodzieja tożsamości

Przechodziliśmy już przez okres, kiedy banki musiały uwzględniać kilka koegzystujących wzorów dowodów tożsamości. Czy ten problem może się również zmaterializować w przypadku mDowodu, a jeśli nie, to jakie wyzwania mogą się pojawić po wejściu do obiegu nowej wersji dokumentu?

– Co do zasady mDowód stanowić będzie trzeci typ dokumentu służącego do identyfikacji klienta, co oznacza, że nie zastąpi on tradycyjnych dowodów tożsamości, czy też paszportu, który, o czym należy pamiętać, jest również dokumentem akceptowanym przez banki w procesach np. onboardingu klienta czy weryfikacji jego tożsamości.

Każdy z tych dokumentów, zarówno paszport, „plastikowy” dowód osobisty z warstwą elektroniczną, jak też nowy w pełni mobilny dokument tożsamości, będzie posiadał  swój własny odrębny numer dokumentu oraz termin ważności.

Na tę chwilę wiadomo, że nowy mDowód będzie miał dziewięcioznakowy numer, w którym cztery pierwsze znaki stanowić będzie ciąg wielkich liter, zaczynających się od litery M, a kolejne 5 znaków to będą cyfry. Tak więc znamy już samą strukturę numeru tego dokumentu, natomiast nie dysponujemy jeszcze informacjami o możliwościach jego walidacji.

Kolejnym zidentyfikowanym problemem, w szczególności dotyczącym obszaru AML jest prawidłowe udokumentowanie dokonania przez pracownika bankowego czynności weryfikacji tożsamości z użyciem mDowodu.

Nie istnieje jeszcze narzędzie, które po dokonaniu takiej weryfikacji przez pracowników frontoffice-owych dałoby bankowi możliwość zarchiwizowania dowodów takiego działania, chociaż trzeba przyznać, że po zgłoszeniu naszych uwag podczas spotkań uzgodnieniowych – Ministerstwo Cyfryzacji opracowuje takie rozwiązanie.

Brak takiego narzędzia w praktyce oznaczałby niemożność udokumentowania przez bank przeprowadzenia weryfikacji tożsamości klienta z należytą starannością, do której obligują nas przepisy prawa bankowego i innych ustaw, bo nikt z nas chyba sobie nie wyobraża, by pracownik bankowy kładł smartfona klienta z otwartym mDowodem na ksero, by w ten sposób udokumentować tę czynność.

Czytaj także: Nowy sposób onboardingu klienta z użyciem mObywatela? Nie tak szybko

Nasuwa się oczywiście pytanie, co w przypadku, gdy w posiadanie mDowodu wejdą przestępcy. Klasyczny dowód osobisty można  zastrzec, np. w systemie DOKUMENTY ZASTRZEŻONE – czy będzie możliwość analogicznego zgłoszenia mobilnego dokumentu?

– Jeśli chodzi o możliwość wprowadzenia przez bank, na wniosek klienta, zastrzeżenia takiego dokumentu, Związek Banków Polskich planuje wprowadzenie takiej opcji w systemie DOKUMENTY ZASTRZEŻONE, ponieważ obecnie nie znamy jeszcze procedur, które będą obowiązywać w tym zakresie w kanałach administracji publicznej.

Spodziewamy się, że pewnie będzie to związane  z unieważnieniem certyfikatu takiego dokumentu, ale jak to będzie ostatecznie funkcjonowało okaże się w praktyce. My jako sektor musimy i chcemy być przygotowani na taką możliwość i stąd ten pomysł.

Problem z ewentualnym przejęciem tożsamości klienta przez przestępców oczywiście nie zniknie wraz z wprowadzeniem nowego dokumentu mobilnego, choć można pokusić się o stwierdzenie, że ryzyko wykorzystania mobilnego dokumentu może być dla przestępców dużo łatwiejsze.

Mogę sobie wyobrazić sytuację, w której następuje przejęcie przez przestępców credentiali bankowych od osób, szczególnie starszych, zmanipulowanych różnymi socjotechnikami, co w konsekwencji otwiera możliwość założenia profilu zaufanego.

Jeżeli ktoś będzie dysponował profilem zaufanym, jest w stanie uaktywnić mDowód na swoim urządzeniu mobilnym i posługiwać się nim szeroko na rynku bez wiedzy osoby, której tożsamość została skradziona.

Biorąc pod uwagę, że aktywacja takiej tożsamości odbywa się całkowicie w kanale zdalnym, nie trzeba się nigdzie udawać i nikt nie zweryfikuje tożsamości osoby aktywującej mDowód (tak jak to się odbywa w przypadku np. tradycyjnego dowodu osobistego, gdzie osobiście trzeba złożyć wniosek i go następnie odebrać w urzędzie) oraz, że data ważności tego dowodu nie jest w żaden sposób skorelowana z datą ważności tradycyjnego dokumentu, może dojść do sytuacji, w których ludzie nie zamierzający wyrobić sobie mobilnego dokumentu padną ofiarą złodziei tożsamości, a co gorsza – nawet nie będą wiedzieli, że ich tożsamość jest wykorzystywana na rynku przez osoby trzecie.

Czytaj także: Cyfrowa tożsamość, jak to się robi na świecie?

Uważam, że to jest to jedno z najpoważniejszych ryzyk związanych z tym projektem,  choć sam pomysł zmian w mObywatelu, w tym wprowadzenia mDowodów, oceniam bardzo pozytywnie. Tym niemniej  jednak sposób implementacji i jej szybkość wzbudza moje poważne zastrzeżenia.