Fletxa que apunta cap a l'esquerra
Identificació remota del ciutadà utilitzant reconeixement facial – Consorci AOC

Repte

Com podem reforçar el registre i la identificació remota de la ciutadania utilitzant algorismes de reconeixement facial i de reconeixement d’imatges, a fi que sigui més segur, fàcil i generi més confiança?

Problemàtica

Des de 2016 a Catalunya disposem de la identitat digital anomenada idCAT Mòbil basada en un procés de registre presencial o telemàtic, amb certificat digital (2% total registre telemàtic) o bé amb un registre a partir d’informació que només coneix l’Administració i el propi ciutadà (98%).

La ciutadania valora molt positivament el servei d’identificació digital idCAT Mòbil amb registre per internet perquè és útil: ràpid d’obtenir, fàcil d’utilitzar, es poden fer tràmits immediatament després de l’alta i no cal memoritzar res. Ho avalen els cap a 400.000 ciutadans que ja l’utilitzen, més d’un milió d’actuacions realitzades i els excel·lents resultats de les enquestes de satisfacció tant pel que fa al seu ús, com al procés de registre inicial per internet.

Ara bé, aquesta identitat digital té alguns punts a millorar en els que s’està treballant:

  • D’acord a la norma europea d’identificació i signatura electrònica europea i a l’esquema nacional de seguretat, aquest sistema es considera de nivell baix i hi ha algunes actuacions que no es recomana fer. Per exemple, l’accés a les carpetes ciutadanes. Alguns serveis d’administracions catalanes no el fan servir per aquest motiu. Actualment, idCAT Mòbil aplica mètodes d’identificació reconeguts amb temes de fiabilitat equivalents a la presència física, el que fa que el servei pugi a un nivell de seguretat substancial.
  • El procés de registre per internet ja permet l’accés utilitzant el DNI, el TIE o fins i tot el NIE, el que amplia el nombre de ciutadans que poden accedir al servei.

Per aquests motius, estem explorant nous mecanismes que permetin dotar el procés de registre en línia de l’idCAT Mòbil d’encara més seguretat, robustesa i confiança, amb l’objectiu d’ampliar el nombre d’usuaris que el poden obtenir sense desplaçar-se i ampliar els usos a les administracions catalanes.

El sector privat ha avançat molt en la implantació de processos segur d’identificació remota utilitzant algorismes d’intel·ligència artificial, concretament de reconeixement facial i d’imatges. L’àmbit principal d’impuls va ser el sector bancari arran de la Directiva (UE) 2015/849 del Parlament Europeu i del Consell, de 20 de maig de 2015, relativa a la prevenció de la utilització del sistema financer pel blanqueig de capitals i el finançament del terrorisme. Addicionalment, el SEBLAC (El Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias) ha aprovat diverses instruccions de com es pot realitzar la identificació digital d’un usuari mitjançant mecanismes de videoidentificació i videoconferència. Actualment, els principals bancs europeus estan implantant serveis que faciliten el registre remot utilitzant algorismes de reconeixement facial i d’imatge.

Tot i que en general el sector públic va, com és habitual, més enrere en l’adopció d’aquestes tecnologies d’intel·ligència artificial, darrerament i accelerat per l’emergència sanitària del COVID-19, el Ministerio de Asuntos Económicos y Transformación Digital ha publicat l’”Orden ETD/465/2021, de 6 de mayo, por la que se regulan los métodos de identificación remota por vídeo para la expedición de certificados electrónicos cualificados”, on es contempla la possibilitat de verificació de la identitat de manera remota.

El Consorci AOC ja havia analitzat experiències internacionals per a determinar les millor pràctiques a aplicar al sector públic de Catalunya, i disposa del sistema idCAT mòbil, que s’adapta i compleix els requisits indicats en aquesta ordre.

Un dels temes clau és la fiabilitat dels algorismes de reconeixement facial en les diferents situacions i condicions que ens podem trobar, que pot afectar a la qualitat de les imatges capturades. Per sort, disposem dels excel·lents estudis realitzats pel National Institute of Standards and Technology (NIST) sobre la robustesa dels principals algorismes de reconeixement facial del mercat, en diferents situacions i condicionants, que ens ofereixen d’una informació molt valuosa per a determinar la qualitat dels algorimes i els nivells de risc de cadascú, per tal de plantejar mesures mitigadores.

Solució aplicada

El sistema de registre de l’idCAT Mòbil per internet utilitza solucions de reconeixement facial i d’imatge, que aporten evidències en el procés d’alta que donen major robustesa al procés i segueixen les directrius de la normativa establerta per l’Estat (Ordre ETD/465/2021).

Els principals controls són els següents:

  • El reconeixement facial compara la foto de la persona (selfie) que està fent el procés de registre amb la foto del document oficial que la persona escaneja.
  • El reconeixement facial comparar una foto de la persona extreta del video de la gravació del procés procés de registre amb la foto del document oficial que la persona escaneja.
  • El reconeixement d’imatge permet escanejar un document oficial i verificar que és original i no ha estat manipulat.
  • Es realitza una prova de vida de la persona que va el procés, demanant un gest o moviment
  • Es valida (si la persona és resident a l’Estat espanyol) que les dades del document coincideixen amb el registre oficial de la Direcció General de la Policia.
  • Un operador humà valida tot el procés per aconseguir un nivell de garanties substancial del registre.

L’origen d’aquestes solucions corresponen al sector financer de la Unió Europea, a partir de l’aprovació de la Directiva (UE) 2015/849 del Parlament i del Consell, de 20 de maig de 2015, relativa a la prevenció de la utilització del sistema financer per al blanqueig de capitals o el finançament del terrorisme.

Ja el Reglament (UE) 910/2014 del Parlament Europeu i de Consell, de 23 de juliol de 2014, relatiu a la identificació electrònica i els serveis de confiança per a les transaccions electròniques en el mercat interior havia previst la possibilitat de verificació de la identitat de la persona sol·licitant d’un certificat qualificat utilitzant mètodes d’identificació que garanteixin una seguretat equivalent en termes de fiabilitat a la presència física.

Els requisits addicionals que interessa aplicar al sector públic són els següents:

  • Es podrà fer a través d’una aplicació web responsiva o d’una APP de mòbil amb elevada usabilitat.
  • El servei ha d’acceptar els documents d’identitat digital més comuns dels principals països a nivell europeu i mundial.
  • El procés d’escaneig dels documents oficials es realitzarà amb mecanismes de control de la veracitat del document MZ, marques d’aigua, etc i minimització dels riscos de suplantació manipulació, i amb l’extracció de la fotografia de l’usuari.
  • El procés de captura de la fotografia “selfie” de l’usuari incorporarà una prova de vida (gest de la cara: tancar ulls, girar el cap, somriure, …) i un detector de la qualitat de la foto realitzada. En cas de qualitat baixa, es proposarà fer una nova foto.
  • La correlació de la foto extreta del document oficial d’identitat i del “selfie” es realitzarà amb un algorisme analitzat pel National Institute of Standards and Technology (EEUU) (NIST) en el seu darrer informe sobre “Ongoing Face Recognition Vendor Test (FRVT) Part 2: Identification”.
  • S’enregistrarà amb vídeo una part o tota del procés com a evidència per facilitar les tasques de supervisió, validació i control. No es permetrà pujar un vídeo pregravat o que es guardi en local que sigui susceptible de manipulació.
  • Es verificarà que el codi d’un sol ús enviat al telèfon mòbil de l’usuari s’hagi introduït correctament a la solució de registre.
  • S’afegirà informació de la geolocalització del procés de registre i del dispositiu utilitzat, per a poder aplicar mesures de seguretat adaptativa.
  • Els documents enregistrats i les evidències del procés es guardaran, adequadament signades amb un certificat digital i amb segell de temps de l’AOC, durant un període de temps mínim d’un any.
  • L’aplicació de gestió per als empleats públics (back office) facilitirà la supervisió i/o validació dels registres realitzats per la ciutadania.
    • El termini de validació d’un procés de registre per part d’un operador haurà de ser d’un màxim de 10 minuts (des de la finalització del procés d’escaneig i vídeo).
    • El servei de validació estarà disponible, com a mínim, en la següent franja horària: de 9 a 17h.
    • Els operadors que realitzen la validació estaran degudament formats.
  • Es donarà compliment de la normativa del SEPBLAC en relació als procediments de vídeo-identificació de clients en operacions no presencials, en  l’àmbit de la lluita contra el terrorisme i la prevenció de blanqueig de capitals.
  • Els sistemes d’informació associats a aquest servei estaran allotjats a la Unió Europea.

Addicionalment s’estant valorant els següents requisits avançats:

  • Disposar d’una integració amb el SDK del DNI-e 3.0 per a extraure via NFC la foto guardada en el xip del DNI. Aquesta funcionalitat només pot estar disponible via una APP.
  • Verificació que el document oficial d’identitat escanejat disposa d’un holograma.
  • Compliment normatiu en relació a:
    • Informe d’auditoria externa respecte al compliment de l’eIDAs – ENS, amb el seu corresponent Certificat de Conformitat.
    • Solució incorporada al Catàleg de Productes de Seguretat de les TIC del CCNCERT com a producte qualificat o és component certificat segons l’ENS.

Un exemple del procés seria el següent:

L’ús d’algorismes de reconeixement facial i d’imatge es podrà estendre en el futur en molts altres escenaris:

  • Realització de tràmits i actuacions, sense la necessitat de generar cap identitat digital prèvia.
  • Vot electrònic en processos participatius o pels ciutadans a l’estranger. El procés actual és molt farragós i fa que un petit percentatge dels ciutadans amb dret de vot l’exerceixin.

Estat del projecte

  • En producció.
  • Indicadors: més de 21.000 videoidentificacions realitzades (gener 2022)
    • 88% peticions acceptades i 12% rebutjades

Més informació