Fernidentifikation von Bürgern durch Videoidentifikation

Herausforderung

Wie können wir die Registrierung und Fernidentifizierung von Bürgern mithilfe von Gesichts- und Bilderkennungsalgorithmen stärken, sodass es sich um einen einfacheren, sichereren und vertrauenswürdigeren Prozess handelt?

problematisch

Seit 2016 verfügen wir in Katalonien über die digitale Identität namens idCAT Mòbil, die auf einem persönlichen oder Online-Registrierungsprozess basiert, mit einem digitalen Zertifikat (2 % der gesamten Online-Registrierung) oder mit einer Registrierung auf der Grundlage von Informationen, die nur der Verwaltung bekannt sind der Bürger selbst (98 %).

Bürger schätzen den digitalen Identifikationsdienst idCAT Mobile mit Internet-Registrierung sehr positiv, weil er nützlich, schnell erhältlich und einfach zu bedienen ist, Vorgänge sofort nach der Registrierung durchgeführt werden können und man sich nichts merken muss. Dies wird durch die fast 400.000 Bürger, die es bereits nutzen, mehr als eine Million durchgeführter Aktionen und die hervorragenden Ergebnisse von Zufriedenheitsumfragen sowohl hinsichtlich der Nutzung als auch der anfänglichen Online-Registrierung bestätigt.

Diese digitale Identität weist jedoch einige Verbesserungspunkte auf:

• Gemäß dem europäischen Standard für Identifizierung und elektronische Signatur und dem nationalen Sicherheitssystem wird dieses System als niedriges Niveau angesehen und es gibt einige Maßnahmen, die nicht empfohlen werden. Zum Beispiel Zugriff auf öffentliche Ordner. Einige Dienste der katalanischen Verwaltungen verwenden es aus diesem Grund nicht. 
• Der ursprünglich implementierte Online-Registrierungsprozess verlangte nur nach Ausweis- und Gesundheitskarteninformationen, die mit den entsprechenden amtlichen Aufzeichnungen abgeglichen werden mussten. Aber es gibt Bürger, die entweder keinen Personalausweis oder keine Gesundheitskarte haben (öffentliche Angestellte, die eine Muface-Versicherung auf Gegenseitigkeit haben oder Katalanen im Ausland)

Aus diesen Gründen haben wir darüber nachgedacht Erforschung neuer Mechanismen, die es ermöglichen würden, dem Online-Registrierungsprozess des mobilen idCAT mehr Sicherheit, Robustheit und Vertrauen zu verleihen, mit dem Ziel, die Zahl der Nutzer zu erhöhen, die es ohne Umzug erhalten können, und die Nutzungsmöglichkeiten in den katalanischen Verwaltungen zu erweitern.

Als Ergebnis dieser Untersuchung ist seit Mai 2020 das mobile idCAT-Online-Registrierungssystem:

• wendet anerkannte Identifizierungsmethoden an, deren Zuverlässigkeit der physischen Anwesenheit entspricht, wodurch der Dienst auf ein erhebliches Sicherheitsniveau gehoben wird;
• ermöglicht den Zugang zum Online-Registrierungsprozess mit DNI, TIE oder sogar NIE, was die Zahl der Bürger erweitert, die auf den Dienst zugreifen können.

Bei der durchgeführten Erkundung wurde Folgendes festgestellt:

Der Privatsektor hat große Fortschritte gemacht Implementierung sicherer Fernidentifizierungsprozesse mithilfe von Algorithmen der künstlichen Intelligenz, insbesondere Gesichts- und Bilderkennung. Der wichtigste Impulsbereich war der Bankensektor gemäß der Richtlinie (EU) 2015/849 des Europäischen Parlaments und des Rates vom 20. Mai 2015 zur Verhinderung der Nutzung des Finanzsystems zur Geldwäsche und Finanzierung des Terrorismus. Darüber hinaus hat die SEBLAC (Exekutivdienst der Kommission zur Verhinderung von Geldwäsche und Geldwäsche) mehrere Anweisungen zur Durchführung der digitalen Identifizierung eines Benutzers durch Videoidentifizierung und Videokonferenzmechanismen genehmigt. Die wichtigsten europäischen Banken implementieren derzeit Dienste, die die Fernregistrierung mithilfe von Gesichts- und Bilderkennungsalgorithmen ermöglichen.

Ein zentrales Thema ist die Zuverlässigkeit von Gesichtserkennungsalgorithmen in den verschiedenen Situationen und Bedingungen, in denen wir uns befinden können, was sich auf die Qualität der aufgenommenen Bilder auswirken kann. Glücklicherweise verfügen wir über die hervorragenden Studien des National Institute of Standards and Technology (NIST) zur Robustheit der wichtigsten Gesichtserkennungsalgorithmen auf dem Markt in verschiedenen Situationen und Bedingungen, die uns sehr wertvolle Informationen zur Bestimmung der Qualität liefern die Algorithmen und die jeweiligen Risikostufen, um Abhilfemaßnahmen vorzuschlagen.

Obwohl der öffentliche Sektor wie üblich bei der Einführung dieser Technologien der künstlichen Intelligenz im Allgemeinen weiter zurückliegt, hat das Ministerio de Asuntos Económicos y Transformación Digital kürzlich und beschleunigt durch den Gesundheitsnotstand von COVID-19 die veröffentlicht„Verordnung ETD/465/2021 vom 6. Mai zur Regelung der Methoden der Fernidentifizierung per Video für die Ausstellung qualifizierter elektronischer Zertifikate“, wo die Möglichkeit einer Identitätsüberprüfung aus der Ferne in Betracht gezogen wird.
Es ist erwähnenswert, dass das AOC-Konsortium bereits internationale Erfahrungen analysiert hat, um die besten Praktiken für die Anwendung im öffentlichen Sektor in Katalonien zu ermitteln, und dass es bereits seit Mai 2020 über das mobile idCAT-System verfügt, das sich an die darin genannten Anforderungen anpasst und diese erfüllt Befehl

Angewandte Lösung

Das mobile idCAT-Online-Registrierungssystem verwendet Gesichts- und Bilderkennungslösungen, die im Registrierungsprozess Beweise liefern, die dem Prozess eine größere Robustheit verleihen und den Richtlinien der vom Staat festgelegten Vorschriften (ETD-Verordnung /465/2021) folgen.

Els Hauptkontrollen implementiert sind:

• Die Gesichtserkennung vergleicht das Foto der Person, die den Registrierungsprozess durchführt (Selfie), mit dem Foto des offiziellen Dokuments, das die Person scannt.
• Die Gesichtserkennung vergleicht ein Foto der Person aus der Videoaufzeichnung des Registrierungsprozesses mit dem Foto des offiziellen Dokuments, das die Person scannt.
• Mit der Bilderkennung können Sie ein offizielles Dokument scannen und überprüfen, ob es original ist und nicht manipuliert wurde.
• Es wird ein Lebenstest der Person, die sich dem Prozess unterzieht, durchgeführt und um eine Geste oder Bewegung gebeten
• Es wird bestätigt (sofern die Person in Spanien ansässig ist), dass die Daten im Dokument mit dem offiziellen Register der Generaldirektion der Polizei übereinstimmen.
• Ein menschlicher Bediener validiert den gesamten Prozess, um ein erhebliches Maß an Datensicherheit zu erreichen.

Beispiel für den Prozess:

Parallel dazu wurden mehrere umgesetzt Sicherheitsmaßnahmen, um rechtliche Anforderungen zu erfüllen und Vertrauen aufzubauen:

• Datenschutz: Bürger haben alternative Möglichkeiten, eine digitale Identität (eID) zu erhalten, ohne ihre biometrischen Daten weiterzugeben.
• Datenschutz-Grundverordnung (DSGVO): Die Zustimmung des Benutzers ist obligatorisch und personenbezogene Daten werden gemäß der DSGVO verwaltet. Biometrische Daten werden nicht gespeichert: Es wird ein biometrischer Vektor (eine lange numerische Zeichenfolge) generiert und es ist nicht möglich, das Gesicht aus dem Vektor zu rekonstruieren.
• Zertifizierungen: Das System erfüllt die Anforderungen der spanischen Vorschriften und verfügt über die erforderlichen Zertifizierungen zur Einhaltung.
• Unvoreingenommene Algorithmen: Regelmäßige Qualitätsprüfungen stellen die Genauigkeit sicher und vermeiden Verzerrungen.
• Aufsicht: Alle Transaktionen werden von Mitarbeitern des öffentlichen Dienstes überwacht.
• Auswirkungen: Zur Gewährleistung der Grundrechte der Nutzer wurde eine Datenschutz-Folgenabschätzung durchgeführt.

Anforderungen an die eingesetzte Lösung

Der Ursprung sicherer Fernidentifizierungsverfahren mithilfe von Algorithmen der künstlichen Intelligenz liegt im Finanzsektor der Europäischen Union nach der Verabschiedung der Richtlinie (EU) 2015/849 des Parlaments und des Rates vom 20. Mai 2015 zur Prävention der Nutzung des Finanzsystems zur Geldwäsche oder Terrorismusfinanzierung; und die Anweisungen von SEBLAC zur Durchführung der digitalen Identifizierung eines Benutzers durch Videoidentifizierung und Videokonferenzmechanismen.

Die Verordnung (EU) 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt hatte bereits die Möglichkeit der Überprüfung der Identität der Person, die ein qualifiziertes Zertifikat anfordert, mit Identifizierungsmethoden, die eine gleichwertige Sicherheit in Bezug auf die Zuverlässigkeit wie die physische Präsenz gewährleisten.

Heutzutage gibt es viele Gesichts- und Bilderkennungslösungen auf dem Markt. Die vom AOC-Konsortium gewählte Lösung war die von DELOITTE ADVISORY SL angebotene Lösung, die Teil der VERIDAS-Lösungsfamilie ist (siehe Ausschreibung für den Fernidentifizierungsdienst)

Els zusätzliche Anforderungen Um sicherzustellen, dass die Anwendung für den öffentlichen Sektor geeignet ist, haben wir folgende Fragen gestellt:

• Dies kann über eine responsive Webanwendung oder eine mobile APP mit hoher Benutzerfreundlichkeit erfolgen.
• Der Dienst muss die gängigsten digitalen Identitätsdokumente der wichtigsten europäischen und globalen Länder akzeptieren.
• Das Scannen offizieller Dokumente erfolgt mit Mechanismen zur Kontrolle der Richtigkeit des MZ-Dokuments, der Wasserzeichen usw. und zur Minimierung des Risikos von Identitätsdiebstahl und Manipulation sowie mit der Extraktion des Fotos des Benutzers.
• Der Prozess der Aufnahme des „Selfie“-Fotos des Benutzers umfasst einen Lebensbeweis (Gesichtsgeste: Augen schließen, den Kopf drehen, lächeln, ...) und einen Detektor für die Qualität des aufgenommenen Fotos. Bei schlechter Qualität wird vorgeschlagen, ein neues Foto aufzunehmen.
• Die Korrelation des Fotos aus dem amtlichen Ausweisdokument und dem „Selfie“ wird mit einem Algorithmus durchgeführt, der vom National Institute of Standards and Technology (USA) (NIST) in seinem neuesten Bericht zum Thema „Laufender Face Recognition Vendor Test (FRVT), Teil 2: Identifizierung".
• Ein Teil oder der gesamte Prozess wird als Beweis per Video aufgezeichnet, um Überwachungs-, Validierungs- und Kontrollaufgaben zu erleichtern. Es ist nicht gestattet, ein zuvor aufgezeichnetes oder lokal gespeichertes Video hochzuladen, das anfällig für Manipulationen ist.
• Es wird überprüft, ob der an das Mobiltelefon des Benutzers gesendete Einmalcode korrekt in die Registrierungslösung eingegeben wurde.
• Informationen über die Geolokalisierung des Registrierungsprozesses und das verwendete Gerät werden hinzugefügt, damit adaptive Sicherheitsmaßnahmen angewendet werden können.
• Aufgezeichnete Dokumente und Nachweise des Prozesses werden für einen Zeitraum von mindestens einem Jahr aufbewahrt, ordnungsgemäß mit einem digitalen Zertifikat signiert und vom AOC mit einem Zeitstempel versehen.
• Die Verwaltungsanwendung für öffentliche Bedienstete (Backoffice) erleichtert die Überwachung und/oder Validierung der von den Bürgern erstellten Aufzeichnungen.
  • Der Validierungszeitraum eines Registrierungsvorgangs durch einen Bediener darf maximal 10 Minuten (ab Ende des Scan- und Videovorgangs) betragen.
  • Der Validierungsdienst wird mindestens im folgenden Zeitfenster verfügbar sein: von 9 bis 17 Uhr.
  • Die Bediener, die die Validierung durchführen, werden entsprechend geschult.
• Die SEPBLAC-Vorschriften werden in Bezug auf Verfahren zur Videoidentifizierung von Kunden bei nicht-persönlichen Einsätzen, im Bereich der Terrorismusbekämpfung und der Verhinderung von Geldwäsche eingehalten.
  • https://www.sepblac.es/wp-content/uploads/2018/02/Autorizacion_video_identificacion.pdf
• Die mit diesem Dienst verbundenen Informationssysteme werden in der Europäischen Union gehostet.

Darüber hinaus wurden folgende Punkte bewertet erweiterte Anforderungen:

• Verfügen Sie über eine Integration mit dem DNI-e 3.0 SDK, um das auf dem DNI-Chip gespeicherte Foto über NFC zu extrahieren. Diese Funktionalität kann nur über eine APP verfügbar sein.
• Überprüfung, ob das gescannte amtliche Ausweisdokument ein Hologramm aufweist.
• Einhaltung gesetzlicher Vorschriften in Bezug auf:
  • Externer Prüfbericht zur Einhaltung der eIDAs – ENS, mit zugehörigem Konformitätszertifikat.
  • Die Lösung ist als qualifiziertes Produkt im CCNCERT ICT-Sicherheitsproduktkatalog enthalten oder eine zertifizierte Komponente gemäß ENS.

Hauptvorteile der angewandten Lösung

1. Mehr Sicherheit: Der von VERIDAS bereitgestellte Gesichts- und Bilderkennungsalgorithmus hat sich als sehr genau erwiesen. Die Ausschussrate ist sehr niedrig (5 %), was hauptsächlich auf technische Probleme bei der Aufnahme und der Kammerbeleuchtung zurückzuführen ist.
2. Bequemlichkeit: Benutzer können den gesamten Vorgang innerhalb von Minuten von zu Hause aus abschließen, was Zeit und Mühe spart.
3. Aufnahme: Wir haben stark in die Benutzererfahrung investiert, um den Prozess für jeden Benutzer, unabhängig von seinen digitalen Fähigkeiten, bemerkenswert einfach zu gestalten.
4. Ersparnisse: Verbessert die Effizienz durch die Automatisierung von Verwaltungsaufgaben und die Reduzierung von Fehlern, was zu erheblichen Kosteneinsparungen führt: bis zu 80 % pro Transaktion im Vergleich zu persönlichen Methoden.

Andere Anwendungsfälle

Trotz dieses ersten vorgeschlagenen Anwendungsfalls der Videoidentifizierung zum Erhalt des mobilen idCat besteht das Ziel darin, in Zukunft die Machbarkeit zu untersuchen, dass diese Videoidentifizierungsmechanismen Elemente bereitstellen können, um der Identifizierung mit idCAT Mobile, das derzeit über eine verfügt, ein höheres Maß an Sicherheit zu verleihen niedriges Sicherheitsniveau. Somit kann der Einsatz von Gesichts- und Bilderkennungsalgorithmen in Zukunft auf viele andere Szenarien ausgeweitet werden, wie zum Beispiel:

• Durchführung von Verfahren und Aktionen, ohne dass zuvor eine digitale Identität generiert werden muss.
• Elektronische Stimmabgabe in Beteiligungsprozessen oder durch Bürger im Ausland. Das derzeitige Verfahren ist sehr umständlich und führt dazu, dass nur ein kleiner Prozentsatz der wahlberechtigten Bürger davon Gebrauch macht.

Projekt-Status

• In Produktion seit Mai 2020
• Indikatoren (Daten aktualisiert auf Juni 2023):
  • mehr als 110.000 Videoidentifikationen durchgeführt
  • 95 % der Anfragen wurden angenommen und 5 % abgelehnt

Weitere Informationen

• Ausschreibung für den Fernidentifizierungsdienst.
• Gesetz 6/2020, vom 11. November, Regulierungsbehörde für bestimmte Aspekte vertrauenswürdiger elektronischer Dienste.
• Verordnung ETD/465/2021 vom 6. Mai, mit dem Video-Fernidentifizierungsverfahren für die Ausstellung qualifizierter elektronischer Zertifikate geregelt werden.
• eIDAS: VERORDNUNG (EU) Nr. 910/2014 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 2. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt.
• DURCHFÜHRUNGSVERORDNUNG (EU) 2015/1502 DER KOMMISSION [pdf] vom 8. September 2015 zur Festlegung technischer Mindestspezifikationen und -verfahren für die Sicherheitsniveaus elektronischer Identifikationsmedien gemäß Artikel 8 Absatz 3 der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und der Rat über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt.
  • eID-Sicherheitsstufen. 2.1.2. Nachweis und Identitätsprüfung. Wesentliches Niveau
• NIST: Richtlinien zur digitalen Identität [pdf]
• NIST Laufender Gesichtserkennungs-Anbietertest (FRVT), Teil 2: Identifizierung [pdf]
• Der Europäischen Kommission gemeldete digitale Identifizierungsdienste
• Leitfaden für die Anwendung der Sicherheitsniveaus, die die eIDAS-Verordnung unterstützen [doc]
• Studie zu eID und digitalem Onboarding. Kartierung und Analyse bestehender Onboarding-Bankpraktiken in der gesamten EU.
• Präsentation Mobile idCAT-Registrierung mit Videoidentifizierung [25/ 05/ 2021]
• Einsatz von Gesichtserkennung zur digitalen Identifizierung im öffentlichen Dienst (Big Data & AI World London) – Miquel Estapé