Technologia cyfrowa zmienia układ sił i zwiększa zagrożenie, wskazuje w komentarzu dla ISBtech dyrektor ds. zarządzania dokumentami i oszustwami, ARIADNEXT by IDnow Lovro Persen.
Weryfikacja tożsamości online, polegająca na przechowywaniu i wykorzystywaniu danych z fizycznych dokumentów tożsamości, zdjęć lub nagrań wideo (dokumentu lub twarzy), ułatwia korzystanie z technologii cyfrowych, ale niesie za sobą nowe zagrożenia. Wraz z pojawieniem się tożsamości cyfrowej konieczna jest zmiana naszej wizji, aby zapobiegać oszustwom.
Od czasu tragicznego wydarzenia z 11 września 2001 r. dokumenty tożsamości i ich kontrola stały się kluczowymi elementami bezpieczeństwa państw oraz ich obywateli. Paszporty i dowody osobiste muszą w pełni spełniać swoją rolę: zapewniać, że osoba posiadająca dokument tożsamości jest tym, za kogo się podaje. Aby to osiągnąć, wprowadzono wiele zabezpieczeń elektronicznych (MRZ, NF, chipy, 2D-Doc) oraz dane biometryczne osoby (odciski palców, tęczówka, głos, twarz, a nawet chód).
Mimo to zjawisko fałszowanie tożsamości nigdy nie osłabło, a nawet nasiliło się w czasie pandemii COVID-19. Według danych FTC (Federalnej Komisji Handlu) w 2020 roku liczba przypadków kradzieży tożsamości wzrosła o około 45%. Jak można to wyjaśnić? Jakie zmiany wprowadza technologia cyfrowa w posługiwaniu się dokumentami tożsamości?
Kontrole tożsamości twarzą w twarz są uznawane przez organy regulacyjne za złoty standard weryfikacji KYC (Know Your Customer), umożliwiając firmom weryfikację tożsamości klientów zgodnie z wymogami prawnymi. Platformy rozwiązań muszą naśladować metody weryfikacji stosowane w świecie fizycznym i powielać je w świecie cyfrowym, wykorzystując możliwości sztucznej inteligencji i głębokiego uczenia się. Weryfikacja tożsamości online stała się zatem znacznie bardziej złożona, począwszy od automatycznej weryfikacji atrybutów (nazwisko, imię, data urodzenia itp.), po odczytywanie zabezpieczeń (NFC) oraz analizę zdjęć i filmów (twarzy i/lub dokumentu).
W ciągu kilku sekund rozwiązania te przeprowadzają dziesiątki kontroli elektronicznych, w tym analizę porównawczą zdjęć i nagrań wideo dokumentów tożsamości ze zdjęciami lub nagraniami wideo twarzy użytkowników przekazanymi przez nich. Naśladując weryfikację tożsamości w świecie fizycznym, platformy umożliwiają użytkownikom i firmom przechodzenie z jednego świata do drugiego i stanowią część głębokiej cyfryzacji naszych aplikacji. Jednak przechowywanie i wykorzystywanie danych dotyczących tożsamości pobranych z fizycznych dokumentów niesie ze sobą nowe zagrożenia i otwiera nowe możliwości dla oszustów.
Jak zatem możemy się przed nimi chronić i wyprzedzać ich postęp technologiczny?
Oszustwo proteańskie i przemysłowe
Kradzież tożsamości to czynność polegająca na zbieraniu danych osobowych osoby fizycznej i wykorzystywaniu ich do popełniania czynów, mniej lub bardziej przestępczych, poprzez symulowanie jej tożsamości. Istnieje kilka rodzajów oszustw, w tym oszustwa dotyczące dokumentów, polegające na podrabianiu, fałszowaniu lub kradzieży czystych dokumentów w celu ich spersonalizowania. Innym zjawiskiem jest deepfake, polega ono na odwzorowaniu twarzy (deep face) lub głosu (deep voice) wybranej osoby na zdjęciach lub nagraniach wideo by obejść zabezpieczenia stosowane w procesie zdalnej weryfikacji tożsamości.
Oszustwa dokonywane zza ekranu lub zdalnie również stały się cyfrowe, a praca oszustów została znacznie ułatwiona. Nie muszą oni już fizycznie wytwarzać fałszywych dokumentów – zasoby niezbędne do cyfrowego przywłaszczenia (zdjęcia lub nagrania wideo dokumentów tożsamości, skradzione dokumenty urzędowe) są obecnie dostępne i osiągalne za pomocą kilku kliknięć w darknecie. Oszuści mogą również z łatwością przeprowadzać ataki o każdej porze dnia i nocy.
W okresie od marca do czerwca 2021 r., w okresie całkowitego lockdownu spowodowanego pandemią, zaobserwowano wzrost liczby oszust związany z dokumentami o prawie 180%. Aby się bronić, musimy przyjąć wspólną wizję, której zdecydowanie broni Komisja Europejska.
Na szczeblu wspólnotowym realizowanych jest kilka projektów, w tym projekt ETSI (Europejski Instytut Norm Telekomunikacyjnych), który pracuje nad standardem wymagań mających zastosowanie do dostawców usług zdalnej weryfikacji tożsamości i który ma na celu standaryzację weryfikacji tożsamości oraz zagwarantowanie takiego samego bezpieczeństwa wszystkim: obywatelom i firmom. W tym samym duchu Francja, pionier w Europie, przyjęła zestaw wymogów mających zastosowanie do dostawców usług zdalnej weryfikacji tożsamości (PVID).
Zmiana paradygmatu
Te nowe zagrożenia związane z technologią cyfrową należy w jak największym stopniu ograniczyć za pomocą technologii. Aby sprostać wyzwaniom jutra, konieczne staje się przejście od podejścia skoncentrowanego na dokumencie tożsamości i zawartych w nim informacji do podejścia skupiającego się na użytkowaniu i środowisku, w którym się rozwija.
Sprawdzenie dokumentu jest tylko jednym z etapów weryfikacji tożsamości, do którego należy dodać weryfikację dodatkowych elementów identyfikacyjnych, takich jak zachowanie użytkownika w środowisku cyfrowym oraz weryfikację urządzeń elektronicznych. Oznacza to nie tylko skupienie się na elementach tożsamości danej osoby, ale także na urządzeniu, którego ona używa: jaki to smartfon, rozmiar ekranu, rozdzielczość – czy jest taki sam jak zwykle?
Jeśli używane narzędzie wygląda inaczej, wysłana jest wiadomość e-mail z potwierdzeniem lub prośbą o bezpieczne połącznie. Tylko zwielokrotnienie warstw zabezpieczeń, zintegrowanie kilku rodzajów kontroli w jednym procesie i w tym samym czasie, pozwala przeciwdziałać atakom.
Kwestia ochrony jest istotna w czasie, gdy Europa zapowiada przyspieszenie prac nad Portfelem UE i jego standaryzacją we wszystkich krajach Unii. Celem jest umożliwienie obywatelom wybierania danych, które są im potrzebne w danym momencie i nieujawniania innych.