Pod koniec 2020 roku już 12 instytucji finansowych w Polsce oferowało zdalne zakładanie kont z wykorzystaniem różnych mechanizmów weryfikacji tożsamości. W styczniu tego roku Pekao zapowiedziało kolejny sposób – wczytywanie potrzebnych bankowi danych z dowodu osobistego poprzez zbliżenie go do smartfona z funkcją NFC. Czy to pierwsze takie rozwiązanie w Polsce i do czego będzie wykorzystywane?

Jest to jedno z pierwszych rozwiązań z wykorzystaniem polskiego e-dowodu. Pozwala ono na użycie podstawowej funkcji dowodu elektronicznego: pobrania i sprawdzenia danych osobowych oraz potwierdzenie obecności, bez konieczności podawania PIN-u. Na rynku funkcjonuje też aplikacja eDO App autorstwa PWPW, która pozwala na korzystanie z innych funkcji dokumentu.

Podejście, które wypracowaliśmy wspólnie z Pekao, umożliwia potwierdzenie tożsamości przez każdą osobę, która posiada e-dowód oraz smartfon z aktywnym czytnikiem NFC, nawet jeżeli nie aktywowała ona warstwy elektronicznej dokumentu, czyli nie nadała PIN-u podczas odbierania dowodów.

Wydawałoby się, że nic prostszego, niż odczytać przez NFC dane z karty lub dowodu. Czy rzeczywiście tak jest, czy też to jest jednak nieco bardziej skomplikowane, a jeśli tak, to dlaczego?

Wypracowanie tego rozwiązania wymaga specjalistycznej wiedzy i kompetencji - m.in. w zakresie odtworzenia schematów kryptograficznych po stronie smartfona czytającego warstwę elektroniczną dowodu i komunikacji z nim za pomocą specjalnych standardów ICAO oraz ISO. Nie bez znaczenia jest tutaj współpraca i skorzystanie z doświadczenia inżynierów z banku Pekao. Wspólnymi siłami udało nam się dostarczyć narzędzie odczytu i potwierdzania danych przez dotarcie do danych z warstwy elektronicznej dokumentu.

Jak to działa z punktu widzenia klienta, a jak ten proces przebiega od strony banku?

Z punktu widzenia użytkownika proces jest wyjątkowo prosty i intuicyjny. Wystarczy, że poda numer CAN umieszczony na awersie dokumentu, przyłoży dowód do telefonu i kamerą smartfona nagra kilka gestów (ruchów głową) wylosowanych przez system. Rozwiązanie będzie dostępne zarówno na platformie iOS, jak i Android, a do przejścia procesu nie będzie wymagana aktywacja warstwy elektronicznej dowodu. Każda osoba, która posiada dokument wydany po marcu 2019 r., będzie mogła korzystać z aplikacji.

Użycie danych zapisanych w dowodzie, w zintegrowanym procesie sprawdzenia dokumentu przy wykorzystaniu rozwiązania dostarczanego przez Identt pozwala na potwierdzenie, że dokument, którym posługuje się klient, jest oryginalny. Mówimy tutaj nie tylko o pobraniu danych osobowych dostępnych w warstwie elektronicznej, ale także o sprawdzeniu poprawności podpisów elektronicznych. Dodatkowym, istotnym elementem jest możliwość sprawdzenia w centralnej bazie udostępnionej publicznie przez administrację państwową, czy certyfikat odczytany z danego dokumentu jest prawidłowy, jak również czy dany dokument nie został zawieszony lub zastrzeżony. Poprzez weryfikację żywotności osoby i porównanie jej wizerunku pobranego z dowodu z wykonanym zdjęciem “na żywo”, w wiarygodny sposób potwierdzamy jej tożsamość.

Czy takie przekazywanie danych osobowych jest bezpieczne?

Nasze rozwiązania są poddawane licznym audytom zarówno zewnętrznym, jak i wewnętrznym przez instytucje, z którymi współpracujemy, a bezpieczeństwo jest dla nas wyjątkowo istotne zarówno w trakcie prac nad systemem, jak i w czasie jego utrzymania.

Obecnie w wielu miejscach jest wymagane przekazanie zdjęć dowodu tożsamości np. poprzez przesłanie ich mailem, co jest rozwiązaniem znacznie mniej bezpiecznym niż wykorzystanie sprawdzonego i odpowiednio do tego przygotowanego kanału wymiany danych. Należy także pamiętać, że stosowanie rozwiązań zwiększających poziom wiarygodności potwierdzenia tożsamości np. przez banki pozwala minimalizować ryzyko, że ktoś dokona przestępstwa w oparciu o fałszywą tożsamość, wykorzystując skradzione dane osobowe.

Nie znam dokładnych danych dotyczących nowych dowodów, ale ich liczba nie jest na razie imponująca. Na dodatek niewiele osób aktywuje czipy, na których zapisuje się dane. Czy nie jest to istotny czynnik ograniczający funkcjonalność tego narzędzia?

Z roku na rok kończy się ważności dowodów osobistych milionom Polaków, a spora liczba osób wchodzi w wiek pełnoletności, zatem zdominowanie rynku przez e-dowody to tylko kwestia czasu. Liczba wydanych tego typu dokumentów przekroczyła już 4,5 miliona. E-dowody mają kilka różnych funkcji, które wymagają różnego poziomu uwierzytelnienia. Jak już powiedziałam wcześniej, rozwiązanie, które oferujemy, opiera się na podstawowych funkcjach dokumentu, jest dostępne dla każdego obywatela posiadającego nowy dowód i nie wymaga specjalnej aktywacji warstwy elektronicznej.

Czy poza Pekao tym rozwiązaniem zainteresowane są inne firmy, jeśli tak to jakie?

Rozwiązanie z odczytywaniem warstwy elektronicznej z e-dowodów opracowaliśmy razem z Pekao i to właśnie ten bank jako pierwszy z niego skorzysta. Muszę przyznać, że od momentu ogłoszenia, że takie rozwiązanie istnieje, otrzymujemy dużo zapytań od różnych instytucji i firm. Na razie nie możemy zdradzić więcej szczegółów. Kontynuujemy także prace nad kolejnymi rozwiązaniami w zakresie potwierdzania tożsamości. Zainteresowanych wdrożeniem innowacyjnego i bezpiecznego procesu zachęcamy do kontaktu.

Dziękuję za rozmowę.

Artykuł powstał we współpracy z partnerem serwisu.