Há já algum tempo que as soluções de identificação online que permitem a verificação através da captura de imagens dos documentos de identidade e selfie ID deixaram de cumprir as normativas de prevenção de branqueamento de capitais e financiamento do terrorismo (AML, Anti-Money Laundering), especialmente no sector financeiro.
Neste artigo, vamos elencar porque é que este tipo de soluções de selfie ID KYC com imagens de documentos de identificação para verificação de utilizadores não obedecem aos procedimentos KYC e regulamentos AML de onboarding e autenticação de clientes.
Descubra a única forma de onboarding digital juridicamente vinculativa válida em toda a Europa, totalmente fiável e globalmente segura.
OS 3 NÍVEIS DE SEGURANÇA PARA REGISTRO E PROVA DE IDENTIDADE NO KYC
Para entender porque é que a verificação com selfie ID e a autenticação por selfie não são aceites como soluções seguras para operações de alto risco, devemos entender os três níveis de segurança para registo e prova de identidade.
Dados os inúmeros casos de fraude nos processos KYC/AML, o Departamento de Comércio dos Estados Unidos, através do National Institute of Standards and Technology (NIST) definiu linhas base para a confirmação de identidade digital (NIST SP 800-63A), que estabelecem três níveis de segurança para o registo e provas na confirmação de identidade: baixo (IAL1), médio (IAL2) e alto (IAL3).
O nível alto (IAL3) equivale à identificação presencial e está indicado para a criação de contas online/a distância. Este nível exige intervenção humana e precisa de uma transmissão contínua de vídeo em alta resolução. Portanto, a verificação com selfie ID não é permitida.
As soluções com captura de imagens e/ou selfies ID enquadram-se no nível médio de segurança (IAL2) se combinadas com outras provas de alto nível da identidade da pessoa, para além das capturas do documento de identidade comprovativo e da gravação da cara da pessoa. Essas outras evidências podem ser faturas, comprovativo de moradas, ou verificação de antecedentes de informação sobre a identidade da pessoa.
Este segundo nível é inseguro, ineficiente e pouco fiável. Na União Europeia, por motivos de privacidade e segurança, estes métodos não estão permitidos por inúmeros motivos em nenhum nível de risco. Além disso, a dificuldade no tratamento de dados de pessoais, incluídos os de caráter público, representam um problema quanto ao seu processamento pelas entidades mesmo com o consentimento expresso dos interessados.
Para concluir, o nível mais baixo (IAL1) não requer recolha de evidências, validação, verificação ou leitura biométrica. Isso significa que no IAL1, não é necessário vincular o utilizador a uma identidade específica em tempo real, e os atributos autoapresentados não são validados nem verificados. Por outras palavras, o IAL1 não exige a verificação de declarações e atributos que o utilizador faculta ao prestador de serviços de credenciais; significa que só é adequado para operações de baixo risco.
2 MOTIVOS PELOS QUAIS AS IDENTIFICAÇÕES com IMAGENS E SELFIES ID não MOSTRAM CONFORMIDADE COM A VERIFICAÇÃO DE IDENTIDADE E OS PADRÕES KYC
Por um lado, pelo seu baixo nível técnico de segurança, a fragilidade das provas eletrónicas disponibilizadas no processo KYC (Know Your Customer) e a pouca fiabilidade do desempenho das soluções de verificação com selfie ID, relativamente à sua falta de integridade, fazem com que este tipo de soluções não se ajuste aos requisitos exigidos pela legislação e pelas diversas normativas.
Por outro lado, o nível de segurança proporcionado na identificação e verificação de identidade através das soluções com selfie ID KYC é insuficiente, e está longe dos padrões exigidos para a identificação formal do cliente de acordo com as regulamentações mais exigentes nesta área. Além disso, são necessários mais requisitos técnicos em processos KYC/AML do que em soluções baseadas em selfie ID.
A AML E O EIDAS EXCLUEM A SELFIE ID KYC COMO UMA SOLUÇÃO PARA VERIFICAÇÃO FORTE DE IDENTIDADE
Como referimos anteriormente, não existem procedimentos de identificação não presencial na Europa que permitam o uso de soluções de selfie ID para KYC, especialmente em entidades altamente regulamentadas pela AML e o eIDAS.
A Diretiva AML5 e o Regulamento eIDAS de serviços de confiança estabelecem o quadro regulamentar para os processos KYC/AML na Europa. O primeiro conta com a estrutura de segurança eIDAS para identificação remota de clientes.
A combinação de ambos cria um marco regulamentar único que condena a selfie ID e possibilita a adoção de soluções de identificação por vídeo para processos de nova contratação de serviços e abertura de contas de forma totalmente online e segura, uniformizando assim o Mercado Único Digital europeu.
No entanto, mesmo antes da entrada em vigor da AML5 e do eIDAS, muitos estados-membros da União Europeia já tinham reguladores sobre autorizações de identificação não presencial que permitiam a tecnologia de streaming de vídeo.
Neste sentido, a Comissão Europeia trabalha há mais de doze anos na qualificação de soluções adequadas que cumprem o eIDAS e cumprem os corretos níveis de segurança na identificação e assinatura eletrónicas.
Ao mesmo tempo, o eIDAS também estabelece diferentes níveis de segurança (de baixo a substancial e alto) na identificação e assinatura eletrónicas, semelhantes aos declarados pelo NIST.
Da mesma forma, conta com órgãos de normalização locais e Organismo de Avaliação da Conformidade (OAC). Para garantir que uma solução de Vídeo IDentificação é válida, os OAC realizam uma auditoria e emitem um relatório Avaliação de Conformidade (AC), ara garantir que uma solução de identificação por vídeo é válida. Por exemplo, deseja adotar uma solução KYC/AML; nesse caso, é preciso solicitar a fornecedor de software um CAR que confirme que a sua solução está auditada, certificada e é compatível com o eIDAS e a AML.
Além disso, alguns países, como a Alemanha, desenvolveram diretrizes adicionais. Por exemplo, a primeira Diretriz Técnica denominada TR-03147. Este Manual Técnico Alemão estabelece medidas de segurança para a identificação a distância de clientes exclusivamente por vídeo e documentos de identidade.
COMO EVITAR A SELFIE ID PARA KYC E IMPLEMENTAR UMA SOLUÇÃO DE IDENTIFICAÇÃO POR VÍDEO SEGURA
O streaming de vídeo está-se a transformar no padrão para identificação de clientes online, graças à sua segurança, UX impecável e automação digital. Consequentemente podemos encontrar dois tipos de soluções:
- Soluções síncronas: videoconferência com um agente que realiza a entrevista online ao cliente, confirma a sua identidade e confirma a documentação.
- Soluções assíncronas: todo o processo de identificação é realizado através de uma gravação de vídeo em streaming, de forma automática para o utilizador e para a empresa, garantindo o controlo e integridade do processo de gravação do vídeo pela pessoa que tem de ser identificada e uma verificação posterior offline por um agente qualificado.
Ambas as soluções podem ser combinadas dependendo do objetivo de utilização.
Normalmente, a videoconferência (síncrona) é utilizada para uma venda consultiva da qual resulta um novo cliente e o vídeo assíncrono (Vídeo IDentificação) é mais comum em processos de captação de clientes que exigem agilidade no processo e na qual se oferece uma experiência rápida e fluida, mas tão segura como a identificação presencial (abertura de contas bancarias online, por exemplo). Um exemplo de solução segura e simples é o VideoID.
O VideoID também permite a emissão de um Certificado Eletrónico Qualificado. Isso permite que o utilizador e a empresa realizem todos os processos de alto risco a distância, desde a assinatura de uma hipoteca até à abertura de uma conta bancária, com o mesmo nível de exigência legal da assinatura manuscrita.