EST: e-Resident – näita oma nägu!

Netcorp Blog
Netcorp Software Services, Web and mobile application development, Scandinavian outsourcing and near-shoring centre

12 Apr EST: e-Resident – näita oma nägu!

Eesti uutele e-residentsidele teenuseid pakkuda soovivad ettevõtted ja pangad ootavad hetkel ühte seadusemuutust kui Messiase tulekut – nimelt on ettevalmistamisel seaduseelnõu, millega lubatakse pangakonto avamiseks nii residentide, kui ka e-residentide identifitseerimist kaugkanalite kaudu. Täpsemalt tähendab see seda, et inimesi võib seaduslikult hakata tuvastama videopildi vahendusel ja ID-kaardi alusel.

Täna on e-residentidel tarvis sõita pärast oma E-residendi kaardi kätte saamist ikkagi Eestisse, et sooritada terve rida vajalikke toiminguid: avada üle interneti loodud ettevõttele pangakontod, suhelda maksuametiga, vormistada muid lubasid. Hetkel kehtiv seadus eeldab näost-näkku identifitseerimist ehk inimese reisimist Eestisse, mis aga ei ole kuidagi loogilises suhtes Eesti e-residentsuse kontseptsiooniga, kust kõike peaks saama teha hoolimata ajast ja ruumist.

Seadusemuudatuse mõte on hea, aga nagu iga uudse suure muutusega kaasnevad ka siin riskid, hirmud ja pseudoprobleemid. Juba räägitakse e-residentsuse halvast mõjust Eesti mainele ning ärikeskkonnale. Tundub, et hetkel pannakse kõik hirmud ja riskid ühte potti ning nii võibki mittesüvenemisel tekkida arvamus, et see e-residentsus on üks kahtlane asi.

Ettevaatlik peab muidugi olema, kuid paanikaks pole ilmaasjata põhjust. Millised on need olulisemad riskid, mis on seotud e-residentide pangakontode distantsilt avamisega?

Is face to face identity verification secure?

Näost näkku ei taga ilmtingimata turvalisust!

Ühe argumendina pannakse kahtluse alla video vahendusel isiku identifitseerimise turvalisus – kas ja kui kindlalt me saame seda kanalit usaldada? Tegelikkuses kasutavad videoidentifitseerimist mitmed kesk-Euroopa pangad (seal hulgas suur Saksamaa Commerzbank – kasutab Poolas loodud LiveBank lahendust) ning reaalajas toimuvat videotuvastust võib pidada isegi turvalisemaks pangakontoris tehtavast tuvastusest.

Pangakontoris võrdleb teller kliendi nägu ja dokumenti, teeb dokumendist koopia, küsib vajadusel täiendavaid küsimusi ja dokumente. Krüpteeritud videokanalis viiakse läbi kõik samad protseduurid, lisaks sellele salvestatakse kogu protsess panga poolt, kasutatakse tuvastuseks tihti  erinevaid dokumendiandmebaase, emotsioonituvastust ning nägude biomeetriliste andmebaaside võrdlusi. Kui isikutuvastus viiakse läbi reaalajas panga töötaja poolt, siis jääb pangale kahtluse korral alati võimalus protseduuri korrata või kohaldada täiendavaid isikutuvastamise meetodeid.

Seadusekuulekas e-resident?

Kui tehniliselt on isikutuvastamine panga e-kanalites läbi videolahenduste samaväärselt turvaline reaalajas toimuvaga, siis jääb lauale veel üks suur riskikoht – e-residentide endi seadusekuulekus.

Kehva stsenaariumi kohaselt loovad e-residendid Eestis mitmeid ettevõtteid ning neile pangakontod, mille kaudu tegelevad aga näiteks rahapesuga, võtavad laenu seda tagasimaksmata, teevad muid ebaseaduslikke finantstehinguid. Võib eeldada, et mainitud käitumise tõenäosus on kõrgem, kui tehingut teostab puudulikult identifitseeritud inimene.

ACORN-2

Identiteedi vargus on suurim risk

Suurim oht Eesti e-residentidele pangatehingute lubamisel on identiteedivargus – kas teadlik Eesti e-residentsus kaartide ja pin-koodide müük või siis vargus. Võime näiteks spekuleerida teemal, kus 1 000 e-residendist “ärimeest” müüvad pärast Eestis ettevõtete loomist ja pangakontode avamist oma e-residendi ID kaardid ja salasõnad ning kurjategijad teostavad nende ettevõtete nimel neile vajalikke tehinguid. Kas selle vastu on abinõud?

Identiteedivarguse vastu tuleb rakendada sama põhimõtet, mis toimub füüsilises keskkonnas. Pankadel peab olema võimekus klienti identifitseerida enne igat (suuremat) tehingut – samamoodi nagu täna kontoris käies, kus meid tuvastatakse dokumendi ja visuaalvaatluse kaudu. Võrgus peab e-resident, kellel on pangakonto, enne igat suuremat tehingut enda identiteeti uuesti tuvastama. Raske on seda teha pidevalt Eestisse reisides, kergem aga läbi reaalajas toimuva videopanga identifitseerimise.

Näiteks Norras kasutusel olev (Bank ID) sarnane süsteem, kus korra ühes pangas identifitseeritud klient saab selle alusel teha edasised pangakontod ennast identifitseerimata, e-residentide puhul ei sobi. Nii võib pahatahtlik e-resident kasutada ära nõrgemat turvaprotseduuri kasutavate finantsteenusepakkujate identifitseerimisvõimalust ning saada hiljem ligipääsu pangakontode loomisele ja tehingute tegemisele.

Täna nõuab isegi “sein” ehk ATM meilt enne raha väljastamist uuesti pin-koodi sisestamist, et olla kindel tehingu sooritaja identiteedis. Videopank koondab endas kokku tavapärase pangakontori ja ID-kaardi turvaloogika ning lubab sooritada tehinguid igal ajal, igas kohas digitaalselt. Kohtumine pangaga toimub näost näkku läbi ekraanikuma, inimene identifitseeritakse lisaks näole ka ID-kaardi ja vajadusel ka kehtiva reisidokumendi alusel ning kõik tehingud saab sooritada ilma liigse reisimisega.

FinTech tehnoloogiaettevõtetele peab aga jääma võimalus teostada ka automaatset isikutuvastust, mille kulukus on oluliselt väiksem reaalajas toimuvast inimese poolt kontrollitavast videotuvastusest. See on elulise  tähtsusega mitme innovaatilise finantslahenduse ärimudelis. Arvestades aga automaatse isikutuvastussüsteemi turvariske, siis oleks mõistlik kehtestada sellise isikutuvastusele tehingupiirangud, et riski realiseerimise korral ei oleks kahju väga suur.

Autor,
Paavo Pauklin, FinTech’i ekspert, LiveBank Skandinaavia ja Baltikumi juht
Follow me on Twitter @paavopauklin

Paavo Pauklin
info@netcorp.ee
No Comments

Post A Comment