Aplikacja mObywatel a KYC online? [2]
Na początek – zachęcam do zerknięcia na mój pierwszy tekst o aplikacji mObywatel, gdzie w głównej mierze zastanawialiśmy się, czy dokument mObywatel może posłużyć instytucjom finansowym w weryfikacji klientów online.
Przypomnę, że główny wniosek polegał na tym, że ustawodawca zaprojektował rozwiązanie, wedle którego:
dokument mObywatel z założenia ma być wykorzystywany do stwierdzenia tożsamości i obywatelstwa polskiego na terytorium RP, i w relacjach wzajemnych fizycznej obecności stron.
A to znaczy, że trudno znaleźć podstawy do skutecznego wykorzystania dokumentu mObywatel do weryfikacji tożsamości online. Można powiedzieć, że ustawodawca ograniczył potencjał ukryty w tym dokumencie.
Co zawiera mObywatel i do czego służy?
Dodatkowo warto zapamiętać, że dokument mObywatel zawiera:
1) dane użytkownika aplikacji mObywatel pobrane z rejestru PESEL:
a) nazwisko i imię (imiona),
b) numer PESEL,
c) datę urodzenia,
d) obywatelstwo,
e) imię ojca,
f) imię matki;
2) fotografię użytkownika aplikacji mObywatel pobraną z Rejestru Dowodów Osobistych;
3) numer, serię, datę wydania i termin ważności.
art. 7 ust. 1 ustawy o aplikacji mObywatel
Numer i seria są informacjami innymi niż te, które znajdziesz na swoim dowodzie osobistym.
i służy do:
stwierdzenia tożsamości lub obywatelstwa polskiego na podstawie dokumentu mObywatel – w przypadku gdy z przepisu prawa wynika obowiązek stwierdzenia tożsamości lub obywatelstwa polskiego.
Czyli do czego?
I tutaj musimy przyjrzeć się przepisom AML, które mówią o weryfikacji tożsamości.
🔅 celowo mówię o weryfikacji, bo identyfikacja jest zwykle procesem łatwym i odbywa się na podstawie tego, co podaje przeprowadzającemu KYC sam klient.
Weryfikacja tożsamości klienta, osoby upoważnionej do działania w jego imieniu oraz beneficjenta rzeczywistego polega na potwierdzeniu ustalonych danych identyfikacyjnych na podstawie dokumentu stwierdzającego tożsamość osoby fizycznej, dokumentu zawierającego aktualne dane z wyciągu z właściwego rejestru lub innych dokumentów, danych lub informacji pochodzących z wiarygodnego i niezależnego źródła, w tym, o ile są dostępne, ze środków identyfikacji elektronicznej lub z odpowiednich usług zaufania określonych w rozporządzeniu 910/2014.
Art. 37 ustawy AML
Z tego przepisu wynika obowiązek instytucji obowiązanych do potwierdzenia ustalonych danych klienta – na podstawie dokumentu stwierdzającego tożsamość osoby fizycznej i nie tylko.
To oczywiście otwiera szerszą dyskusję czy to tylko dowód osobisty, czy także paszport służący do “potwierdzania tożsamości” –
Dowód osobisty – na pewno tak. Ustawa o dowodach osobistych mówi:
Dowód osobisty jest dokumentem stwierdzającym tożsamość i obywatelstwo polskie osoby na terytorium Rzeczypospolitej Polskiej oraz innych państw członkowskich Unii Europejskiej
art. 4 ustawy o dowodach
Również paszport, który wedle ustawy o dokumentach paszportowych “poświadcza” tożsamość osoby w nim wskazanej, w zakresie danych, jakie ten dokument zawiera.
Na marginesie: dowód osobisty uprawnia do przekraczania granicy państw, ale dokument mObywatel już nie.
Czy zatem aplikacja mObywatel ma jakikolwiek potencjał w weryfikacji tożsamości online?
Choć wciąż pojawiają się głosy, że szybciej jest okazać dokument plastikowy niż czekać na załadowanie dokumentu w aplikacji mObywatel, to nie zmienia to faktu, że nad potencjałem wykorzystania tej aplikacji do weryfikacji online wciąż warto się zastanawiać i szukać nowoczesnych metod wdrożenia.
Warto zacząć od akcentowanej już przez Tomasz Zalewski koncepcji wykorzystania do weryfikacji online profilu mObywatel.
Wedle ustawy:
profil mObywatel – środek identyfikacji elektronicznej, o którym mowa w art. 3 pkt 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylającego dyrektywę 1999/93/WE, obsługiwany przy użyciu usługi udostępnianej w aplikacji mObywatel;
art. 2 pkt 11 ustawy o aplikacji mObywatel
Jak widzimy definicja ta nie zawiera ograniczenia wykorzystania profilu do wzajemnej fizycznej obecności stron, tak jak zawiera to definicja dokumentu mObywatel.
Pozytywną stroną, jest to, że rozwiązania oparte o używanie środków identyfikacji elektronicznej uwidocznione są w przepisach AML jako jedna z podstaw do potwierdzenia ustalonych danych klienta.
Środki identyfikacji elektronicznej (nie tylko profil mObywatel, ale być może w ogóle całą aplikację mObywatel i dane, które ona dostarcza) możemy więc na gruncie obowiązków przeciwpraniowch wykorzystywać do projektowania rozwiązań weryfikacji online.
Nie jestem jednak przekonany co do możliwości komercyjnego wykorzystania konkretnie profilu mObywatel przez dostawców IT zapewniających usługi KYC online. To wynika z wykorzystania profilu mObywatel do procesów pomiędzy podmiotami publicznymi.
Jeśli macie na ten temat jakieś szersze spojrzenie, to podzielcie się. ; )
Teraz ustawmy się po stronie przedsiębiorcy przeprowadzającego KYC online
Ustawa o aplikacji mObywatel mówi o sposobach weryfikacji dokumentu mobilnego, czyli dokumentu elektronicznego obsługiwanego przy użyciu usługi udostępnionej w aplikacji mObywatel. Przepisy opisują działania, które może podjąć osoba, której jest prezentowany lub przekazywany do weryfikacji dokument mobilny.
I tak osoba taka może potwierdzić: [1] autentyczność, [2] ważność, [3] integralność lub [pochodzenie] i w tym celu może weryfikować, między innymi:
2) zaawansowaną pieczęć elektroniczną ministra właściwego do spraw informatyzacji lub obsługującego ten organ urzędu, weryfikowaną przy użyciu ważnego kwalifikowanego certyfikatu, którą jest opatrzony ten dokument, lub
3) podpis elektroniczny weryfikowany przy użyciu certyfikatu użytkownika aplikacji mObywatel, którym jest opatrzony ten dokument.
art. 9 ust. 2 pkt 2 i 3 ustawy
Współpraca biznesu z ministrem
Zacznijmy od obowiązku ministra z art.19:
1. Minister właściwy do spraw informatyzacji (Ministerstwo Cyfryzacji)
(…)
udostępnia narzędzia, które umożliwiają potwierdzenie autentyczności, ważności, integralności oraz pochodzenia dokumentów mobilnych w sposób, o którym mowa w art. 9 ust. 2 pkt 2 i 3:
a) aplikację na urządzenia mobilne „mWeryfikator”,
b) dedykowaną usługę online, zgodną z ogólnymi warunkami świadczenia usługi, o których mowa w art. 15 ust. 3;
Art. 15 mówi zaś, że minister może opracować i udostępnić w aplikacji mObywatel usługę, której świadczenie pozwala na realizację zadań podmiotu publicznego albo podmiotu niepublicznego lub określonej kategorii tych podmiotów.
Co więcej, minister określa listę oraz ogólne warunki świadczenia tych usług.
OWU dotyczące przekazywania danych z aplikacji mObywatel możemy znaleźć w Biuletynie Informacji Publicznej – tutaj. W BIPie przeczytamy, że:
Aby wdrożyć usługę, podmiot musi złożyć wniosek i zaakceptować OWU.
Z jeszcze kolejnego przepisu wyczytamy, że możemy wnioskować o świadczenie nowych usług w aplikacji mObywatel. W tym przypadku przepisy wymagają wniosku o opracowanie, udostępnienie oraz umożliwienie wnioskodawcy świadczenie takiej usługi.
W mojej ocenie – tylko jeśli minister będzie współpracował z instytucjami finansowymi oraz dostawcami IT w wykorzystywaniu obecnych usług i projektowaniu nowych usług w aplikacji mObywatel, to powstanie ogromny potencjał do rozwoju nowych usług online związanych z cyfrową tożsamością.
Obowiązek respektowania dokumentu mObywatel w placówce
Jeśli idzie o ustawę o mObywatelu, to przypominam, że od 1 września instytucje obowiązane mają obowiązek stosować przepisy w zakresie dokumentu mObywatel w procesach weryfikacji.
I tak jak wspominaliśmy na wstępie dokument mOybywatel stwierdza tożsamość w relacjach wzajemnych fizycznej obecności stron.
Wydawać by się mogło, że taki stan rzeczy całkowicie zabija potencjał aplikacji mObywatel w KYC przeprowadzanym online. Uważam jednak inaczej. To wyklucza oparcie takiej weryfikacji wyłącznie o dokument mObywatel. Jeśli wrócimy do przepisu ustawy AML, który mówi o weryfikacji tożsamości, to zauważymy, że:
potwierdzenie ustalonych danych klienta może opierać się również na:
danych lub informacji pochodzących z wiarygodnego i niezależnego źródła, w tym, o ile są dostępne, ze środków identyfikacji elektronicznej lub z odpowiednich usług zaufania określonych w . eidas
Czy jeśli zatem będziemy korzystać z aplikacji ministerialnej, to będziemy mogli odmówić jej wiarygodności?
Dzisiaj warto, aby instytucje obowiązane rozmawiały z dostawcami IT oraz szukały współpracy z sektorem publicznym. W efekcie w ten sposób można zwiększyć wydajność stosowanych środków bezpieczeństwa finansowego, a także zapewnić klientom nowoczesny i wygodny proces.
Jeśli dość macie już mieszanki rozważań prawniczych połączonych z próbami poszukiwania potencjału dla weryfikacji online, to zajrzyjcie do ostatniego tekstu Informatyk Zakładowy, który mierzył się z ustaleniem czym tak naprawdę dokument mObywatel jest.