Herausforderung

Wie können wir die Registrierung und Fernidentifizierung von Bürgern mithilfe von Gesichts- und Bilderkennungsalgorithmen stärken, sodass es sich um einen einfacheren, sichereren und vertrauenswürdigeren Prozess handelt?

problematisch

Seit 2016 haben wir in Katalonien die digitale Identität namens idCAT Mobil, basierend auf einem persönlichen oder telematischen Registrierungsprozess mit einem digitalen Zertifikat (2 % der gesamten telematischen Registrierungen) oder auf einer Registrierung, die auf Informationen beruht, die nur der Verwaltung und dem Bürger selbst bekannt sind (98 %).

Die Bürger schätzen den digitalen Identifizierungsdienst sehr. idCAT Die mobile Online-Registrierung ist praktisch, schnell und einfach zu bedienen. Vorgänge können direkt nach der Registrierung durchgeführt werden, und es ist kein Merken von Daten erforderlich. Dies belegen die fast 400.000 Bürger, die den Dienst bereits nutzen, über eine Million durchgeführte Aktionen und die hervorragenden Ergebnisse von Zufriedenheitsumfragen sowohl hinsichtlich der Nutzung als auch des Registrierungsprozesses.

Diese digitale Identität weist jedoch einige Verbesserungspunkte auf:

  • Gemäß dem europäischen Standard für Identifizierung und elektronische Signatur und dem nationalen Sicherheitssystem wird dieses System als niedriges Niveau angesehen und es gibt einige Maßnahmen, die nicht empfohlen werden. Zum Beispiel Zugriff auf öffentliche Ordner. Einige Dienste der katalanischen Verwaltungen verwenden es aus diesem Grund nicht. 
  • Der ursprünglich implementierte Online-Registrierungsprozess verlangte nur nach Ausweis- und Gesundheitskarteninformationen, die mit den entsprechenden amtlichen Aufzeichnungen abgeglichen werden mussten. Aber es gibt Bürger, die entweder keinen Personalausweis oder keine Gesundheitskarte haben (öffentliche Angestellte, die eine Muface-Versicherung auf Gegenseitigkeit haben oder Katalanen im Ausland)

Aus diesen Gründen haben wir darüber nachgedacht neue Mechanismen erforschen, die es ermöglichen würden, den Online-RegistrierungsprozessidCAT Mobilgeräte mit höherer Sicherheit, Robustheit und Zuverlässigkeit, mit dem Ziel, die Zahl der Nutzer zu erhöhen, die es ohne Umzug erhalten können, und die Nutzungsmöglichkeiten in den katalanischen Verwaltungen zu erweitern.

Als Ergebnis dieser Untersuchung wurde das Registrierungssystem seit Mai 2020 aktualisiert.idCAT Mobiles Internet:

  • wendet anerkannte Identifizierungsmethoden an, deren Zuverlässigkeit der physischen Anwesenheit entspricht, wodurch der Dienst auf ein erhebliches Sicherheitsniveau gehoben wird;
  • ermöglicht den Zugang zum Online-Registrierungsprozess mit DNI, TIE oder sogar NIE, was die Zahl der Bürger erweitert, die auf den Dienst zugreifen können.

Bei der durchgeführten Erkundung wurde Folgendes festgestellt:

Der Privatsektor hat große Fortschritte gemacht Implementierung sicherer Fernidentifizierungsprozesse mithilfe von Algorithmen der künstlichen Intelligenz, insbesondere Gesichts- und Bilderkennung. Der wichtigste Impulsbereich war der Bankensektor gemäß der Richtlinie (EU) 2015/849 des Europäischen Parlaments und des Rates vom 20. Mai 2015 zur Verhinderung der Nutzung des Finanzsystems zur Geldwäsche und Finanzierung des Terrorismus. Darüber hinaus hat die SEBLAC (Exekutivdienst der Kommission zur Verhinderung von Geldwäsche und Geldwäsche) mehrere Anweisungen zur Durchführung der digitalen Identifizierung eines Benutzers durch Videoidentifizierung und Videokonferenzmechanismen genehmigt. Die wichtigsten europäischen Banken implementieren derzeit Dienste, die die Fernregistrierung mithilfe von Gesichts- und Bilderkennungsalgorithmen ermöglichen.

Ein zentrales Thema ist die Zuverlässigkeit von Gesichtserkennungsalgorithmen in den verschiedenen Situationen und Bedingungen, in denen wir uns befinden können, was sich auf die Qualität der aufgenommenen Bilder auswirken kann. Glücklicherweise verfügen wir über die hervorragenden Studien des National Institute of Standards and Technology (NIST) zur Robustheit der wichtigsten Gesichtserkennungsalgorithmen auf dem Markt in verschiedenen Situationen und Bedingungen, die uns sehr wertvolle Informationen zur Bestimmung der Qualität liefern die Algorithmen und die jeweiligen Risikostufen, um Abhilfemaßnahmen vorzuschlagen.

Obwohl der öffentliche Sektor wie üblich bei der Einführung dieser Technologien der künstlichen Intelligenz im Allgemeinen weiter zurückliegt, hat das Ministerio de Asuntos Económicos y Transformación Digital kürzlich und beschleunigt durch den Gesundheitsnotstand von COVID-19 die veröffentlicht„Verordnung ETD/465/2021 vom 6. Mai zur Regelung der Methoden der Fernidentifizierung per Video für die Ausstellung qualifizierter elektronischer Zertifikate“, wo die Möglichkeit einer Identitätsüberprüfung aus der Ferne in Betracht gezogen wird.
Es ist erwähnenswert, dass das AOC-Konsortium bereits internationale Erfahrungen analysiert hatte, um die besten Vorgehensweisen für den öffentlichen Sektor in Katalonien zu ermitteln, und dass es seit Mai 2020 bereits über das System verfügt. idCAT Mobile, das sich an die in dieser Bestellung angegebenen Anforderungen anpasst und diese erfüllt.

Angewandte Lösung

Das Registrierungssystem deridCAT Mobile by Internet nutzt Gesichts- und Bilderkennungslösungen, die im Registrierungsprozess Beweise liefern, was dem Prozess mehr Robustheit verleiht und den Richtlinien der vom Staat festgelegten Vorschriften entspricht (Verordnung ETD/465/2021).

Els Hauptkontrollen implementiert sind:

  • Die Gesichtserkennung vergleicht das Foto der Person, die den Registrierungsprozess durchführt (Selfie), mit dem Foto des offiziellen Dokuments, das die Person scannt.
  • Die Gesichtserkennung vergleicht ein Foto der Person aus der Videoaufzeichnung des Registrierungsprozesses mit dem Foto des offiziellen Dokuments, das die Person scannt.
  • Mit der Bilderkennung können Sie ein offizielles Dokument scannen und überprüfen, ob es original ist und nicht manipuliert wurde.
  • Es wird ein Lebenstest der Person, die sich dem Prozess unterzieht, durchgeführt und um eine Geste oder Bewegung gebeten
  • Es wird bestätigt (sofern die Person in Spanien ansässig ist), dass die Daten im Dokument mit dem offiziellen Register der Generaldirektion der Polizei übereinstimmen.
  • Ein menschlicher Bediener validiert den gesamten Prozess, um ein erhebliches Maß an Datensicherheit zu erreichen.

Beispiel für den Prozess:

Parallel dazu wurden mehrere umgesetzt Sicherheitsmaßnahmen, um rechtliche Anforderungen zu erfüllen und Vertrauen aufzubauen:

  • Datenschutz: Bürger haben alternative Möglichkeiten, eine digitale Identität (eID) zu erhalten, ohne ihre biometrischen Daten weiterzugeben.
  • Datenschutz-Grundverordnung (DSGVO): Die Zustimmung des Benutzers ist obligatorisch und personenbezogene Daten werden gemäß der DSGVO verwaltet. Biometrische Daten werden nicht gespeichert: Es wird ein biometrischer Vektor (eine lange numerische Zeichenfolge) generiert und es ist nicht möglich, das Gesicht aus dem Vektor zu rekonstruieren.
  • Zertifizierungen: Das System erfüllt die Anforderungen der spanischen Vorschriften und verfügt über die erforderlichen Zertifizierungen zur Einhaltung.
  • Unvoreingenommene Algorithmen: Regelmäßige Qualitätsprüfungen stellen die Genauigkeit sicher und vermeiden Verzerrungen.
  • Aufsicht: Alle Transaktionen werden von Mitarbeitern des öffentlichen Dienstes überwacht.
  • Auswirkungen: Zur Gewährleistung der Grundrechte der Nutzer wurde eine Datenschutz-Folgenabschätzung durchgeführt.

Anforderungen an die eingesetzte Lösung

Der Ursprung sicherer Fernidentifizierungsverfahren mithilfe von Algorithmen der künstlichen Intelligenz liegt im Finanzsektor der Europäischen Union nach der Verabschiedung der Richtlinie (EU) 2015/849 des Parlaments und des Rates vom 20. Mai 2015 zur Prävention der Nutzung des Finanzsystems zur Geldwäsche oder Terrorismusfinanzierung; und die Anweisungen von SEBLAC zur Durchführung der digitalen Identifizierung eines Benutzers durch Videoidentifizierung und Videokonferenzmechanismen.

Die Verordnung (EU) 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt hatte bereits die Möglichkeit der Überprüfung der Identität der Person, die ein qualifiziertes Zertifikat anfordert, mit Identifizierungsmethoden, die eine gleichwertige Sicherheit in Bezug auf die Zuverlässigkeit wie die physische Präsenz gewährleisten.

Heutzutage gibt es viele Gesichts- und Bilderkennungslösungen auf dem Markt. Die vom AOC-Konsortium gewählte Lösung war die von DELOITTE ADVISORY SL angebotene Lösung, die Teil der VERIDAS-Lösungsfamilie ist (siehe Ausschreibung für den Fernidentifizierungsdienst)

Els zusätzliche Anforderungen Um sicherzustellen, dass die Anwendung für den öffentlichen Sektor geeignet ist, haben wir folgende Fragen gestellt:

  • Dies kann über eine responsive Webanwendung oder eine mobile APP mit hoher Benutzerfreundlichkeit erfolgen.
  • Der Dienst muss die gängigsten digitalen Identitätsdokumente der wichtigsten europäischen und globalen Länder akzeptieren.
  • Das Scannen offizieller Dokumente erfolgt mit Mechanismen zur Kontrolle der Richtigkeit des MZ-Dokuments, der Wasserzeichen usw. und zur Minimierung des Risikos von Identitätsdiebstahl und Manipulation sowie mit der Extraktion des Fotos des Benutzers.
  • Der Prozess der Aufnahme des „Selfie“-Fotos des Benutzers umfasst einen Lebensbeweis (Gesichtsgeste: Augen schließen, den Kopf drehen, lächeln, ...) und einen Detektor für die Qualität des aufgenommenen Fotos. Bei schlechter Qualität wird vorgeschlagen, ein neues Foto aufzunehmen.
  • Die Korrelation des Fotos aus dem amtlichen Ausweisdokument und dem „Selfie“ wird mit einem Algorithmus durchgeführt, der vom National Institute of Standards and Technology (USA) (NIST) in seinem neuesten Bericht zum Thema „Laufender Face Recognition Vendor Test (FRVT), Teil 2: Identifizierung".
  • Ein Teil oder der gesamte Prozess wird als Beweis per Video aufgezeichnet, um Überwachungs-, Validierungs- und Kontrollaufgaben zu erleichtern. Es ist nicht gestattet, ein zuvor aufgezeichnetes oder lokal gespeichertes Video hochzuladen, das anfällig für Manipulationen ist.
  • Es wird überprüft, ob der an das Mobiltelefon des Benutzers gesendete Einmalcode korrekt in die Registrierungslösung eingegeben wurde.
  • Informationen über die Geolokalisierung des Registrierungsprozesses und das verwendete Gerät werden hinzugefügt, damit adaptive Sicherheitsmaßnahmen angewendet werden können.
  • Aufgezeichnete Dokumente und Nachweise des Prozesses werden für einen Zeitraum von mindestens einem Jahr aufbewahrt, ordnungsgemäß mit einem digitalen Zertifikat signiert und vom AOC mit einem Zeitstempel versehen.
  • Die Verwaltungsanwendung für öffentliche Bedienstete (Backoffice) erleichtert die Überwachung und/oder Validierung der von den Bürgern erstellten Aufzeichnungen.
    • Der Validierungszeitraum eines Registrierungsvorgangs durch einen Bediener darf maximal 10 Minuten (ab Ende des Scan- und Videovorgangs) betragen.
    • Der Validierungsdienst wird mindestens im folgenden Zeitfenster verfügbar sein: von 9 bis 17 Uhr.
    • Die Bediener, die die Validierung durchführen, werden entsprechend geschult.
  • Die SEPBLAC-Vorschriften werden in Bezug auf Verfahren zur Videoidentifizierung von Kunden bei nicht-persönlichen Einsätzen, im Bereich der Terrorismusbekämpfung und der Verhinderung von Geldwäsche eingehalten.
  • Die mit diesem Dienst verbundenen Informationssysteme werden in der Europäischen Union gehostet.

Darüber hinaus wurden folgende Punkte bewertet erweiterte Anforderungen:

  • Verfügen Sie über eine Integration mit dem DNI-e 3.0 SDK, um das auf dem DNI-Chip gespeicherte Foto über NFC zu extrahieren. Diese Funktionalität kann nur über eine APP verfügbar sein.
  • Überprüfung, ob das gescannte amtliche Ausweisdokument ein Hologramm aufweist.
  • Einhaltung gesetzlicher Vorschriften in Bezug auf:
    • Externer Prüfbericht zur Einhaltung der eIDAs – ENS, mit zugehörigem Konformitätszertifikat.
    • Die Lösung ist als qualifiziertes Produkt im CCNCERT ICT-Sicherheitsproduktkatalog enthalten oder eine zertifizierte Komponente gemäß ENS.

Hauptvorteile der angewandten Lösung

  1. Mehr Sicherheit: Der von VERIDAS bereitgestellte Gesichts- und Bilderkennungsalgorithmus hat sich als sehr genau erwiesen. Die Ausschussrate ist sehr niedrig (5 %), was hauptsächlich auf technische Probleme bei der Aufnahme und der Kammerbeleuchtung zurückzuführen ist.
  2. Bequemlichkeit: Benutzer können den gesamten Vorgang innerhalb von Minuten von zu Hause aus abschließen, was Zeit und Mühe spart.
  3. Aufnahme: Wir haben stark in die Benutzererfahrung investiert, um den Prozess für jeden Benutzer, unabhängig von seinen digitalen Fähigkeiten, bemerkenswert einfach zu gestalten.
  4. Ersparnisse: Verbessert die Effizienz durch die Automatisierung von Verwaltungsaufgaben und die Reduzierung von Fehlern, was zu erheblichen Kosteneinsparungen führt: bis zu 80 % pro Transaktion im Vergleich zu persönlichen Methoden.

Andere Anwendungsfälle

Trotz dieses ersten vorgeschlagenen Anwendungsfalls der Videoidentifizierung zur Gewinnung deridCat Ziel ist es, zukünftig die Machbarkeit dieser Videoidentifizierungsmechanismen zu untersuchen, die Elemente für ein höheres Maß an Sicherheit bei der Identifizierung bieten können. idCAT Mobilgeräte weisen derzeit ein niedriges Sicherheitsniveau auf. Daher kann der Einsatz von Gesichts- und Bilderkennungsalgorithmen zukünftig auf viele weitere Anwendungsbereiche ausgeweitet werden, wie zum Beispiel:

  • Durchführung von Verfahren und Aktionen, ohne dass zuvor eine digitale Identität generiert werden muss.
  • Elektronische Stimmabgabe in Beteiligungsprozessen oder durch Bürger im Ausland. Das derzeitige Verfahren ist sehr umständlich und führt dazu, dass nur ein kleiner Prozentsatz der wahlberechtigten Bürger davon Gebrauch macht.

Projekt-Status

  • In Produktion seit Mai 2020
  • Indikatoren (Daten aktualisiert auf Juni 2023):
    • mehr als 110.000 Videoidentifikationen durchgeführt
    • 95 % der Anfragen wurden angenommen und 5 % abgelehnt

Weitere Informationen