Czy automatyczna weryfikacja tożsamości jest bezpieczna?

15 lutego 2023
Czy automatyczna weryfikacja tożsamości jest bezpieczna?

Chęć coraz szybszego i bardziej efektywnego weryfikowania tożsamości powoduje, że rośnie popularność rozwiązań pozwalających sprawdzić wiarygodność użytkownika na odległość. Takich narzędzi używają dziś nie tylko banki. Coraz częściej wykorzystują je inne firmy działające w branży finansowej.

Otwieranie konta bankowego na odległość, możliwość wzięcia pożyczki albo skorzystania z jakiegokolwiek produktu finansowego w formule online nie jest dziś niczym dziwnym. Wyzwaniem staje się zapewnienie bezpieczeństwa, zarówno klientowi, jak i instytucji finansowej, bo nie dość, że przekazujemy wrażliwe dane, to proces weryfikacji jest dość mocno sformalizowany i wymaga dokładnego sprawdzenia tożsamości.

Na rynku możemy spotkać kilka popularnych metod potwierdzania tożsamości online. To między innymi przelew weryfikacyjny, Profil Zaufany, eDO App, mojeID, wideoweryfikacja, czy rozwiązania z zakresu otwartej bankowości. Przyjrzyjmy się ich działaniu.

Przelew weryfikacyjny i wideoweryfikacja

Najbardziej tradycyjnym sposobem weryfikacji tożsamości jest wspomniany przelew weryfikacyjny. Klient dokonuje transakcji na niewielką kwotę (zazwyczaj 1 PLN), aby potwierdzić swoje dane osobowe z wykorzystaniem zabezpieczonych systemów bankowych. W ten sposób kontrahent ma pewność, że tożsamość klienta jest zgodna z tą przez niego deklarowaną. To rozwiązanie nie cechuje się szczególnym poziomem innowacyjności, ale wciąż jest jednym z najpopularniejszych na rynku.

Wraz z postępem cyfryzacji zaczęły pojawiać się jednak coraz to nowsze metody zdalnego potwierdzania tożsamości. Dobrym przykładem jest tutaj wideoweryfikacja, potocznie nazywana otwieraniem konta „na selfie”. Weryfikacja tożsamości odbywa się na podstawie biometrii twarzy i porównania selfie lub krótkiego nagrania ze zdjęciem z dowodu osobistego. Można wyróżnić kilka form wideoweryfikacji – czasem konieczne jest połączenie się na żywo z konsultantem, a innym razem wystarczy przesłanie selfie ukazującego twarz pod odpowiednim kątem.

W zeszłym roku wideoweryfikacja znalazła się pod lupą Urzędu Komisji Nadzoru Finansowego, który opublikował swoje stanowisko w tym zakresie. Chodzi tutaj o bezpieczeństwo zakładania rachunków bankowych online oraz przeciwdziałanie praniu pieniędzy (AML).

Z opublikowanego stanowiska Urzędu wynika między innymi, że podczas wideorozmowy odpowiedzialność za rozpoznanie leży po stronie sprawdzającego. Bank zobowiązany jest więc przeprowadzić obserwację klienta jak i przedstawianych przez niego dokumentów, np. pod kątem ich oryginalności. Istotne będzie także wzięcie pod uwagę czynników behawioralnych i upewnienie się, że klient nie jest pod wpływem środków odurzających i jest w pełni świadomy prowadzonego procesu.

Podmiot nadzorowany powinien przeprowadzić analizę ryzyka w odniesieniu do wprowadzanej przez siebie metody wideoweryfikacji. Pod uwagę należy brać m.in. model jej funkcjonowania, możliwe do zastosowania technologie i dostosowane do nich mechanizmy kontrolne zapewniające odpowiedni poziom bezpieczeństwa. Dotyczy to w szczególności mitygowania ryzyk związanych z nieprawidłową identyfikacją i weryfikacją tożsamości klienta lub osoby upoważnionej.

To wszystko sprawia, że wideoweryfikacja nie jest najwygodniejszym sposobem weryfikacji tożsamości dla banków i fintechów. Istnieje sporo ryzyk oraz wyzwań, z którymi muszą mierzyć się podmioty nadzorowane. W takim razie z jakich jeszcze metod można skorzystać?

Profil Zaufany, mojeID i open banking

Na rynku istnieje jeszcze kilka metod weryfikacji tożsamości, które opierają się na danych z bankowości elektronicznej. Pierwszym tego typu rozwiązaniem był Profil Zaufany, który służy przede wszystkim to potwierdzania danych osobowych w kontaktach z administracją publiczną.

Co prawda PZ można założyć osobiście w wybranych punktach, ale najwygodniejszą formą zdobycia Profilu jest uwierzytelnienie się za pomocą bankowości elektronicznej. Profil Zaufany to potwierdzony zestaw danych, które jednoznacznie identyfikują jego posiadacza w usługach podmiotów publicznych w Internecie. Te dane to imię (imiona), nazwisko, data urodzenia oraz numer PESEL. Obecnie jest to rozwiązanie nie do końca skomercjalizowane, służące głównie do załatwiania spraw urzędowych online.

Kolejną metodą weryfikacji tożsamości jest mojeID od Krajowej Izby Rozliczeniowej. To metoda zdalnego potwierdzenia tożsamości w oparciu o bankowość elektroniczną. mojeID jest udostępniane przez dostawców usług z różnych branż – ubezpieczeniowej, ochrony zdrowia, telekomunikacyjnej, finansowej, energetycznej czy rozrywkowej. Usługa umożliwia też logowanie do serwisów administracji publicznej, a także uwierzytelnienie w procesie zakładania i używania Profilu Zaufanego.

W celu weryfikacji tożsamości klient wybiera mojeID na stronie dostawcy usług, a następnie weryfikuje się za pomocą logowania do swojego banku. Obecnie rozwiązanie to jest dostępne dla klientów z ponad 10 banków komercyjnych i kilku grup banków spółdzielczych.

Tożsamość można także zweryfikować online za pomocą otwartej bankowości. Stało się to możliwe dzięki implementacji unijnej dyrektywy PSD2 do prawa krajowego – chodzi o nowelizację ustawy o usługach płatniczych. Dzięki otwartej bankowości fintechy i inne podmioty z rynku finansowego mogą uzyskać dostęp do bankowych baz danych – na przykład w celu potwierdzenia tożsamości lub historii kredytowej klienta. W tym celu użytkownik musi wydać odpowiednią zgodę, po czym wystarczy zalogować się do serwisu bankowości elektronicznej w celu zdobycia pożądanych informacji.

Wszystkie trzy powyższe metody weryfikacji tożsamości mają jednak pewne wady. O ile ich bezpieczeństwo nie podlega wątpliwości, o tyle Profil Zaufany wciąż jest słabo skomercjalizowany, a w przypadku mojeID i open bankingu problemem może być niepełne pokrycie banków dostawców cyfrowej tożsamości – nie wszystkie banki w Polsce oferują tego typu rozwiązania. Wymagają one również logowania do serwisu bankowości elektronicznej w momencie potwierdzania tożsamości. Niestety wielu klientów – szczególnie w segmencie mikro i małych przedsiębiorców – ma wciąż stosunkowo małe zaufanie do tego typu operacji.

eDO App – potwierdzanie tożsamości za pomocą e-dowodu

Ciekawym rozwiązaniem służącym do potwierdzania tożsamości online jest aplikacja eDO App od Polskiej Wytwórni Papierów Wartościowych. W tym przypadku dane klienta potwierdzane są za pomocą dowodu z warstwą elektroniczną, czyli tak zwanego e-dowodu. Do korzystania z aplikacji niezbędne jest posiadanie e-dowodu z aktywną warstwą elektroniczną oraz smartfonu z modułem NFC, tym samym, który umożliwia dokonywanie płatności zbliżeniowych telefonem.

eDO App eliminuje konieczność posiadania zewnętrznych urządzeń w celu korzystania z e-dowodu osobistego. Przed wdrożeniem aplikacji, aby móc weryfikować tożsamość w ten sposób konieczne było nabycie specjalnego czytnika, za pomocą którego można było przekazać dane dostawcy online.

Przy okazji konferencji Fintech Summit Poland 2022, która odbyła się w październiku zeszłego roku, można było wysłuchać prelekcji Jerzego Judyckiego, product ownera eDO App. Zdradził on, że tylko w administracji publicznej e-dowód został wykorzystany już 3 mln razy, a sama aplikacja może pochwalić się ponad 2 mln pobrań. To oczywiście dane aktualne na październik 2022 roku.

Jak to działa? Klient wybiera opcję weryfikacji e-dowodem, a następnie skanuje widoczny kod QR przy użyciu aplikacji eDO App. W następnym kroku użytkownik przykłada telefon tylną stroną do e-dowodu w celu odczytu danych z warstwy cyfrowej dokumentu i akceptuje operację 4-cyfrowym PIN-em (nadanym w urzędzie przy odbiorze dokumentu). Po poprawnej weryfikacji tożsamość zostaje potwierdzona.

eDO App stopniowo pojawia się u kolejnych wymagających dostawców usług finansowych. Dobrym przykładem jest tutaj wdrożenie tej metody weryfikacji tożsamości przez fintech mikrofaktoringowy Monevia.

– Zdecydowaliśmy się na udostępnienie rozwiązania eDO App jako pierwszy fintech z branży faktoringu, ponieważ uważamy je za jedno z najbardziej przyszłościowych. Obecnie wydano już prawie 11 mln dowodów z warstwą elektroniczną. Jest to opcjonalne, ale bardzo bezpieczne rozwiązanie w naszym onboardingu. Jego udostępnienie wpisuje się w naszą strategię stałego usprawniania i uatrakcyjniania procesów UX – mówi Tomasz Gąsiorowski, dyrektor handlowy w Monevii.

Dzięki aplikacji eDO App klienci Monevii otrzymują narzędzie do zdalnego potwierdzania tożsamości z gwarancją pełnego zabezpieczenia ich danych. To alternatywne rozwiązanie w stosunku do innych wykorzystywanych w Monevii metod pozwala na znaczne uproszczenie procesu rejestracji na platformie transakcyjnej Monevii.

eDO App to nie jedyna metoda weryfikacji oferowana przez Monevie. Do tej pory fintech zintegrował swoje usługi z systemem OCR – Scanye oraz udostępnia rozwiązanie Autenti w zakresie e-podpisu.

Fundamentem rozwiązań z zakresu weryfikacji tożsamości online musi być bezpieczeństwo. Wymagają tego nie tylko rynkowi regulatorzy i nadzorcy, ale może przede wszystkim klienci. Dostawcy tego typu rozwiązań dokładają wszelkich starań, aby algorytmy spełniały najbardziej wymagające normy bezpieczeństwa. Czym powinny kierować się firmy wybierając narzędzie do weryfikacji klienta w Internecie? Analiza pod kątem bezpieczeństwa to na pewno jedno z głównych kryteriów. Nie trzeba jednak ograniczać się do wyboru jednego rozwiązania. Użytkownik doceni możliwość wyboru – tak jak ma to miejsce w przypadku udostępniania różnych metod płatności.

5/5 - (2 votes)
Sprawdź jakim Faktorem będzie dla Ciebie Monevia!
NATYCHMIASTOWA gotówka na Twoim koncie
Szybki proces on-line
Wszystko w JEDNEJ opłacie
100% faktury brutto wypłacane
Dowiedz się więcej