Suwerenna Tożsamość - kiedy założymy konto w banku przy pomocy SSI?

Czy i kiedy SSI będzie mogło zostać wykorzystane do potwierdzenia tożsamości przy zawieraniu umowy rachunku bankowego czy też założenia konta w portalu społecznościowym albo zakupów w sklepie internetowym?

Sas Michał

Opublikowano 21 stycznia 2020, 16:04

SSI a prawo

W poprzednim artykule przedstawiłem ogólne założenia funkcjonowania i potencjał wykorzystania Suwerennej Tożsamości (Self Sovereign Identity – SSI). Wskazałem jednocześnie, że jednym z głównych wyzwań, z jakimi należy się zmierzyć w celu umożliwienia rozwoju SSI, jest odpowiedź na pytanie czy wykorzystywanie tego rozwiązania do uwierzytelnienia się u dostawców określonych usług podlega regulacjom i jest w ich świetle dopuszczalne. Z uwagi na wielość dostawców, a tym samym regulacji, w niniejszym artykule skupiłem się na próbie odpowiedzi na pytanie czy i kiedy SSI będzie mogło zostać wykorzystane do potwierdzenia tożsamości przy zawieraniu umowy rachunku bankowego czy też założenia konta w portalu społecznościowym albo zakupów w sklepie internetowym.

Czy SSI będzie mogło być wykorzystywane do założenia konta w portalu społecznościowym albo zakupów w sklepie internetowym?

Mówiąc o tego typu usługach online, w odniesieniu do których polski ustawodawca nie przewidział szczegółowych wymogów dot. identyfikacji, decyzja co do możliwości potwierdzenia swojej tożsamości przy wykorzystaniu SSI podejmowana jest przez dostawcę usługi online.

Podmiot taki powinien oszacować ew. ryzyko identyfikacji klienta przy wykorzystaniu SSI, biorąc pod uwagę w szczególności wiarygodność Wydawcy Twierdzenia, jak i samego systemu, w ramach którego wydawane i “utrzymywane” jest Twierdzenie (uwzględniając zarówno uczciwość podmiotów utrzymujących system, jak i odporność samego systemu na ewentualne manipulowanie potwierdzonymi przez niego danymi).

Przy założeniu, że zidentyfikowane ryzyko zostanie zaakceptowane przez danego dostawcę, SSI będzie mogło być wykorzystane do uwierzytelnienia tożsamości klienta.

Jak SSI można wykorzystać w bankowości i wśród innych podmiotów obowiązanych?

W przypadku działalności bankowej (jak i szeregu innych działalności finansowych), nawiązywanie relacji z klientem i świadczenie na jego rzecz usług wymaga stosowania szczególnych środków identyfikacji klienta.Jedną z kluczowych regulacji mających znaczenie dla SSI są przepisy dotyczące przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, w tym obowiązek przeprowadzenia identyfikacji i weryfikacjiklienta dla instytucji obowiązanych. Proces ten polega (zgodnie z polską ustawą implementującą dyrektywę AML 4) na ustaleniu określonych danych identyfikacyjnych (minimalnie: imię i nazwisko, obywatelstwo, numer PESEL lub data urodzenia, numer dokumentu stwierdzającego tożsamość osoby) oraz ich potwierdzeniu na podstawie dokumentu stwierdzającego tożsamość osoby fizycznej (…) lub innych dokumentów, danych lub informacji pochodzących z wiarygodnego i niezależnego źródła.

Ponadto, ryzyko prania pieniędzy oraz finansowania terroryzmu uważa się za podwyższone w przypadku nawiązywania albo utrzymywania stosunków gospodarczych lub przeprowadzania transakcji okazjonalnej bez fizycznej obecności klienta – w przypadku gdy związane z tym wyższe ryzyko prania pieniędzy lub finansowania terroryzmu nie zostało ograniczone w inny sposób, w tym przez użycie notyfikowanego środka identyfikacji elektronicznej adekwatnie do średniego poziomu bezpieczeństwa (…) lub wymóg stosowania kwalifikowanego podpisu elektronicznego lub podpisu potwierdzonego profilem zaufanym ePUAP.

W świetle powyższych przepisów można postawić następujące pytania:

czy Twierdzenia (lub inne formy potwierdzenia atrybutu) przechowywane w ramach SSI mogą zostać notyfikowane jako środki identyfikacji elektronicznej o poziomie bezpieczeństwa średnim lub wyższym oraz czy w ramach SSI może zostać implementowane rozwiązanie spełniające wymogi stosowania kwalifikowanego podpisu elektronicznego?

Motyw 27 rozporządzenia eIDAS wskazuje, że powinno być ono neutralne pod względem technologicznym, a określone w nim skutki prawne powinny być osiągalne za pomocą dowolnego środka technicznego, o ile spełnione zostaną wymogi niniejszego rozporządzenia. Samo więc wykorzystanie technologii DLT czy przechowywanie danych identyfikujących bezpośrednio na własnym urządzeniu mobilnym osoby identyfikowanej nie powinno uniemożliwiać zachowania zgodności z wymogami rozporządzenia. Jednocześnie, zarówno samo rozporządzenie, wydane do niego rozporządzenie wykonawcze, jak i implementująca przepisy wspólnotowe ustawa, zawierają szereg wymogów, jakie spełnić musi podmiot wydający środki identyfikacji o określonym poziomie bezpieczeństwa. Z uwagi na rozległość zagadnienia, w tym miejscu nie sposób udzielić wyczerpującej odpowiedzi na postawione pytanie i pozostaje ograniczyć się do stwierdzenia, że temat wymaga dalszej analizy i – w optymalnym modelu – interpretacji organów nadzoru.

czy Twierdzenia (lub inne formy potwierdzenia atrybutu) przechowywane w ramach SSI można uznać za inne dokumenty, dane lub informacje pochodzące z wiarygodnego lub niezależnego źródła oraz czy Twierdzenia (lub inne formy potwierdzenia atrybutu) przechowywane w ramach SSI mogą zostać uznane za inny sposób ograniczenia ryzyka prania pieniędzy lub finansowania terroryzmu?

Ustawodawca (zarówno wspólnotowy, jak i unijny) nie zdefiniował żadnego z wymienionych pojęć, nie wskazał również bardziej szczegółowych wymagań jakie musi spełnić instytucja obowiązana (bank lub inny podmiot) identyfikując klienta lub ograniczając ryzyko prania pieniędzy. Analizując sprawdzone i powszechnie stosowane “inne” sposoby identyfikacji klienta (jak wymóg wykonania przelewu z rachunku prowadzonego przez inną instytucję obowiązaną czy wideoweryfikację), można zaryzykować twierdzenie, że ich powstanie było wynikiem kreatywności instytucji obowiązanych, a odpowiedź na pytanie “czy taki sposób identyfikacji jest dopuszczalny i pod jakimi warunkami” powstawała (i zmieniała się) w toku obserwacji efektów ich stosowania przez organy administracji i samych uczestników rynku.

W tym miejscu należy wskazać na stanowisko Generalnego Inspektora Informacji Finansowej, który w dwóch komunikatach (z 22.08.2018 r. oraz jego korekcie z dnia 18.04.2019 r.) wskazał, że to od zidentyfikowanego przez instytucję obowiązaną ww. ryzyka i przeprowadzonej przez nią jego oceny ma zależeć, w jakim zakresie i jak szczegółowo instytucja obowiązana zastosuje środki bezpieczeństwa finansowego oraz że fakt braku fizycznej obecności klienta w przypadku nawiązywania stosunków gospodarczych lub przeprowadzania transakcji okazjonalnej nie stanowi przesłanki świadczącejautomatycznie o istnieniu wyższego ryzyka prania pieniędzy oraz finansowania terroryzmu, a jedynie może wskazywać na wystąpienie takiego ryzyka. Wynika to z faktu, że ustalenie, czy w danym przypadku występuje wyższe ryzyko prania pieniędzy lub finansowania terroryzmu, spoczywa jednak zawsze na instytucji obowiązanej, która rozpoznaje i ocenia ryzyko prania pieniędzy oraz finansowania terroryzmu.

Tym samym, wydaje się, że to instytucje obowiązane powinny przeanalizować czy Twierdzenie przechowywane w ramach SSI zapewnia odpowiedni poziom wiarygodności i niezależności lub też czy w odpowiedni sposób ogranicza ryzyko prania pieniędzy lub finansowania. Pewną wskazówką może być tu zastosowanie na zasadzie per analogiamczęści wymogów dla określonych poziomów bezpieczeństwa środków identyfikacji (przynajmniej tych, których spełnienie nie wydaje się niemożliwe przy zastosowaniu technologii DLT). Oczywiście, podobnie jak przy odpowiedzi na poprzednie pytanie, wynik takiej analizy różnić się będzie w zależności od rodzaju podmiotu wydającego Twierdzenie (czy np. sam jest instytucją obowiązaną), jego wiarygodności, odporności systemu itd.

W mojej opinii, Twierdzenie potwierdzające tożsamość klienta w zakresie wszystkich wymaganych danych, wydane przez Wydawcę będącego instytucją obowiązaną, przechowywane w ramach SSI w systemie zapewniającym integralność i niezmienność oraz wymagającym uwierzytelnienia przez klienta (np. na zasadach analogicznych do silnego uwierzytelnienia klienta opisanego w PSD2) może zostać uznane za informację zapewniającą podobny poziom bezpieczeństwa co np. wideoweryfikacja). SSI spełniającewyżej określone wymagania będzie więc mogło posłużyć do otwarcia rachunku bankowego bez wychodzenia z domu. Co więcej, wiarygodność takiego Twierdzenia wydanego przez instytucję obowiązaną może być wzmocniona poprzez wykorzystanie Twierdzeń wydanych przez inne podmioty, jak np. dostawców świadczących usługę informacji o rachunku (AISP), operatorów telekomunikacyjnych czy portale społecznościowe.

Odpowiedzialność

Odrębną, ale niezwykle istotną dla rozwoju SSI kwestią jest ustalenie zasad odpowiedzialności poszczególnych uczestników danego systemu SSI, a więc podmiotu uwierzytelniającego się przy pomocy SSI, Wydawców poszczególnych Twierdzeń oraz pozostałych podmiotów uczestniczących w systemie. Kwestia ta – ze względu na jej rozległość – zostanie poruszona w kolejnym artykule.