Transparència algorísmica: Videoidentificació per obtenir l’idCat Mòbil

 

Visió general

El servei d’identificació remota mitjançant el procediment de videoidentificació, en endavant videoidentificació, és un servei que permet l’autenticació remota d’una persona amb garanties de seguretat i privacitat.

En el servei de videoidentificació s’apliquen algorismes de reconeixement facial i d’imatges que aporten evidències al procés d’autenticació i el doten d’una major robustesa i fiabilitat equivalent a la presència física.

Cas d’ús 

• Obtenció de l’idCAT Mòbil (sistema de signatura electrònica)

El servei de videoidentificació s’utilitza per facilitar i reforçar el registre en línia de l’idCAT Mòbil, per tal que sigui un procés més fàcil, segur i generi més confiança.

El sistema garanteix l’acarament d’un document oficial amb fotografia (el document identificador del país origen de la persona o bé el seu passaport) amb un vídeo ‘selfie’ que la persona es fa en el mateix procés.

Un cop finalitzat el procés de videoidentificació, un operador el supervisa i, d’acord amb el resultat dels acaraments i validacions que ha fet el sistema i prèvia verificació de l’autenticitat i vigència del document d’identificació, si escau, aprova i dona d’alta la persona en el registre del sistema d’identificació i signatura electrònica idCAT Mòbil.

Gràcies a aquest sistema qualsevol persona del món (major de 16 anys) pot obtenir una identitat digital (eID) per tractar amb qualsevol administració catalana amb només un telèfon mòbil, un passaport o document nacional d’identitat i sense sortir de casa.

Estatus

Implementat. El servei de videoidentificació per aconseguir l’idCat Mòbil es va posar en marxa el maig del 2020, al principi de la pandèmia. En aquell moment, tenir una eID era una qüestió essencial de drets digitals, cosa que continua sent vàlida avui dia. Durant els darrers 3 anys, s’han lliurat 110.000 identitats digitals, resolent molts problemes a què s’enfrontaven els ciutadans que no podien obtenir una identitat digital a través dels processos ordinaris.

Acord de nivell de servei 

• El servei de videoidentificació per obtenir l’idCat Mòbil està disponible 24×7 amb un nivell de disponibilitat del 99%.
• L’alta efectiva al registre de l’dCat Mòbil es realitza en un termini màxim de 48 hores, sense tenir en compte els dies festius.
  A la pràctica, les altes s’estan fent en un termini de 2 hores dins l’horari laboral.

Principals beneficis del servei

• Comoditat: els usuaris poden completar tot el procés de videoidentificació des de casa en pocs minuts, estalviant temps i esforç.
• Inclusió: s’ha invertit molt en experiència d’usuari perquè el procés sigui notablement senzill per a qualsevol persona, independentment de les seves habilitats digitals.
• Major seguretat: l’algorisme de reconeixement facial i d’imatge proporcionat per VERIDAS ha demostrat tenir un alt nivell de precisió. La taxa de rebuig és molt baixa (5%). Tot i això, tots els processos de videoidentificació són supervisats per treballadors públics a fi d’eliminar riscos com, p. ex., detectar casos de coacció, o evitar malentesos en persones que no són conscients del procés automatitzat.
• Estalvi: millora l’eficiència automatitzant les tasques administratives i reduint els errors, fet que suposa un important estalvi de costos: fins a un 80% per transacció en comparació dels mètodes presencials.

Informació de contacte 

 

Informació més detallada sobre el servei 

Familiaritzeu-vos amb la informació que utilitza el sistema, la lògica de funcionament dels l’algorismes i la seva governança. 

Conjunts de dades 

S’utilitzen dues fonts principals de dades: 

1) Dades identificatives dels usuaris. 

Les dades personals que es tracten sempre s’obtenen de la persona interessada.

• Dades personals que es recullen a través del formulari inicial:
  • Nom
  • Correu electrònic
  • Telèfon mòbil

• Dades del document d’identitat que la persona mostra a càmera (s’extreuen mitjançant mecanismes de reconeixement de caràcters (OCR))
  • Núm. del document d’identificació
  • Nom i cognoms
  • Sexe
  • Data naixement
  • Adreça postal
  • País d’expedició del document pel cas d’estrangers
  • Data caducitat del document identificatiu
  • Fotografia del document d’identitat
• Foto ‘selfie’ de la persona (es fa un pixelat per comparar-la amb la fotografia del document d’identitat)
• Vídeo del procés de videoidentificació d’on s’extreu una altra foto de la persona mentre realitza un gest (prova de vida)

2) Evidències digitals que genera el proveïdor de confiança (Doyfe)  

Les evidències se signen i porten segell de temps per assegurar-ne la integritat i l’autenticitat.

❗ Consideracions sobre el tractament de les dades: 

• En el tractament de la informació intervenen:
  • Generalitat de Catalunya com a Responsable de Tractament i AOC com a Encarregat de Tractament.
  • Deloitte per raons de manteniment.
  • Amazon Web Services (AWS Europa) com a proveïdor d’infraestructura.
• Les dades recollides s’emmagatzemen durant la recollida i custòdia en sistemes xifrats en repòs per garantir-ne la confidencialitat i per poder consultar-les en cas d’auditoria.
• L’obtenció de l’idCAT Mòbil implica una alta de les dades de contacte a la BDSEU (Generalitat de Catalunya) i que el Consorci AOC pugui tractar-les als efectes de validació d’identitat i d’emissió de signatura. Les dades de la BDSEU i la resta de dades emprades en el procés d’alta NO se cedeixen a tercers. És la mateixa persona interessada qui autoritza la cessió de les seves dades a les administracions públiques catalanes en fer ús de l’idCat Mòbil.

❗ Consideracions sobre la conservació de les dades:

• D’acord amb la norma, les evidències de cada procés de videoidentificació es custodien durant 5 anys en cas que el procés no finalitzi amb èxit, i 15 anys en cas que s’acabi generant un idCat Mòbil (incloent-hi el document en forma de rebut).

Processament de les dades 

La lògica operativa del processament automàtic de dades i el raonament realitzat pel sistema se sustenta conforme al següent model i metodologia: 

1) Captura del document d’identificació oficial

S’utilitza un sistema de captura de documents que reconeix i aplanta el tipus de document de manera automàtica (sense necessitat que la persona seleccioni el tipus o versió)

A través d’un procés guiat, la persona mostra a càmera l’anvers i el revers del seu document d’identitat. El sistema permet l’escaneig dels documents oficials de l’estat espanyol (DNI, TIE i passaport) amb mecanismes de control de la veracitat del document i minimització dels riscos de suplantació o manipulació, incloent-hi l’extracció de la fotografia de la persona. 

Si la persona és resident a l’Estat espanyol, es valida que les dades del document coincideixen amb el registre oficial de la Direcció General de la Policia.

2) Captura d’una foto ‘selfie’ de la persona activada per una prova de vida (somriure) i amb un detector de la qualitat de la foto realitzada.

(Alive Selfie: sistema que després de la detecció del somriure, llança una captura de foto automàtica).

3) Correlació de la fotografia extreta del document oficial d’identitat i de la ‘selfie’.

Per fer la correlació entre fotografies es du a terme una prova de biometria facial que utilitza l’algorisme de reconeixement facial de VERIDAS.

El reconeixement facial és el tractament automàtic d’imatges digitals que contenen les cares de persones amb fins d’identificació, autenticació i verificació o categorització (per edat, sexe, etc.) d’aquestes persones. En el cas de la videoidentificació per obtenir l’idCat Mòbil es tracta d’un procediment d’autenticació, no pas d’identificació, ja que s’usa per comprovar la identitat de la persona i determinar que aquella persona és realment qui diu que és, no pas per reconèixer-ne la identitat.

4) En paral·lel, tota l’operació es grava en vídeo com a evidència per facilitar les tasques de supervisió, validació i control. Del vídeo s’extreu una altra fotografia que també es correlaciona amb la fotografia del document oficial que la persona mostra.

5) Finalment, un operador humà supervisa tot el procés de videoidentificació i d’acord amb el resultat dels acaraments i validacions que ha fet el sistema, i prèvia verificació de l’autenticitat i vigència del document d’identitat, si escau, aprova i fa l’alta de la persona en el registre de l’idCat Mobil.

Arquitectura de servei 

Servei en modalitat de programari ofert com a SaaS, allotjat a Amazon Web Services (AWS), dins la Comunitat Europea, i integrat via APIs.

L’aplicació de front-office és web responsiva i està disponible en els principals sistemes operatius. 

Rendiment de l’algorisme 

L’algorisme de reconeixement facial i d’imatge és de VERIDAS i el presta el proveïdor DELOITTE.

Aquest algorisme dona un ‘scoring’ del grau de similitud entre les dues fotografies comparades i ha demostrat tenir un alt nivell de precisió:

• La taxa de rebuig (failure to enrol rate) és molt baixa, de 5%, a causa principalment de problemes tècnics d’enregistrament i il·luminació de les cambres.
• La taxa de falsos negatius (False non-match rate) és del 2,91% per a un valor de falsos positius (false match rate) del 0,01%. Amb aquests resultats, la solució compleix els requisits de FIDO per a la verificació biomètrica facial. Específicament, FIDO estableix que la taxa de falsos negatius ha de ser inferior al 3% per a una taxa de falsos positius del 0,01%.

 [Dades extretes de l’informe “Prova de proveïdors de reconeixement facial (FRTE)” del National Institute of Standards and Technology (NIST). Darrer informe FRTE (PDF)]

Si voleu obtenir més informació sobre l’algorisme de biometria utilitzat, consulteu la web de VERIDAS.

Supervisió humana 

Cada procés de verificació d’identitat realitzat a través del servei de videoidentificació és supervisat per un agent humà.

La validació del procés la duen a terme empleats públics adequadament formats en pràctiques de certificació digital. 

La solució disposa d’una aplicació de gestió per als operadors (back office) que facilita la supervisió o validació de les altes d’idCAT Mòbil fetes amb el servei de videoidentificació.

Les accions que realitzen els operadors són:

• Visualitzar el vídeo i comprovar que la persona interessada ha fet tot el procés sense coacció, que ha fet el procés segons els requisits establerts (no porta el cap cobert, no porta ulleres de sol, se li veu la cara, …) i també revisar que es vegin les marques d’aigua i hologrames d’autenticitat del document mostrat.
• Revisar el resultat dels paràmetres d’avaluació de la documentació que el sistema ha avaluat de manera automàtica: percentatge de coincidències entre la foto del document identificador i la foto selfie, data de caducitat del document identificador, data de naixement, número del document i que sigui llegible i contingui les marques d’aigua.

Compliment normatiu del sistema

El servei de videoidentificació per obtenir l’idCATMòbil compleix els requisits de la normativa espanyola per a l’emissió de certificats qualificats  i disposa de les certificacions necessàries per al seu compliment. Val a dir, però, que no hi ha normativa específica aplicable a l’idCat Mòbil i que la normativa esmentada l’AOC l’aplica de manera voluntària.

Els sistemes d’informació associats a aquest servei i la localització de les dades compleixen la normativa vigent, especialment pel que fa a la protecció de dades personals en relació amb el marc legal europeu i estatal. En concret:

• El sistema compleix amb la normativa vigent en matèria de serveis electrònics de confiança (Llei 6/2020, d’11 de novembre) i mètodes d’identificació remota per vídeo per a l’expedició de certificats electrònics qualificats (Ordre ETD/465/2021, de 6 de maig), i està certificat per al compliment de Sepblac.
• S’apliquen els principis del Reglament General de Protecció de Dades (RGPD):
• Principi de minimització de dades: només es recullen les dades necessàries per a complir la finalitat del sistema (fer l’alta al registre de l’idCat Mòbil)
• Principi de limitació de finalitat del RGPD: les dades recollides només s’utilitzen per a la finalitat comunicada a la persona interessada.
• Des del punt de vista tècnic, la solució compleix amb els requisits establerts per l’Esquema Nacional de Seguretat per a sistemes de nivell mig.

Es tracta d’una Actuació Administrativa Automatitzada (AAA)? No. En aquest cas no està subjecte a l’obligació legal de publicar l’AAA vinculada al servei a la seu-e de l’AOC, acompanyada d’una fitxa tècnica (Vegeu article 11, lletra i, del Reial decret 203/2021, pel qual s’aprova el Reglament d’actuació i funcionament del sector públic per mitjans electrònics; el qual desplega la Llei 40/2015 de Règim jurídic del Sector Públic). L’AOC publica la fitxa tècnica del servei al Portal de Transparència de manera voluntària, com a bona pràctica.

 

Gestió de riscos

 

A. Igualtat i no discriminació

Riscos identificats: Exclusió, biaixos, discriminació, estigmatització

Mesures aplicades 

Per garantir la inclusió digital del servei, s’ha invertit molt en experiència d’usuari perquè el procés de videoidentificació sigui notablement senzill per a qualsevol persona, independentment de les seves habilitats digitals.

• El servei de videoidentificació és un procés guiat
• Té una elevada usabilitat durant tot el procés i es pot realitzar des de qualsevol telèfon mòbil intel·ligent mitjançant una web responsiva.
• La web responsiva és accessible des dels principals navegadors (Chrome, Safari, IExplorer, Firefox)

Per garantir el dret a la no discriminació:

• Les dades amb què s’ha entrenat l’algorisme de VERIDAS són inclusives i representen els diferents grups de població.
• Per garantir la imparcialitat dels algorismes aplicats es fan proves de qualitat periòdiques que permeten detectar imprecisions, evitar biaixos i discriminació per raó de gènere i grup ètnic.
  • Prova de proveïdors de reconeixement facial del National Institute of Standards and Technology (NIST) (PDF darrer informe, 22/1/2024)

Per garantir la igualtat en l’ús del servei, aquest es troba disponible en català, castellà i anglès. La persona pot triar l’idioma clicant sobre les opcions CAT – ES – EN del menú de la part superior dreta de la finestra.

 

B. Protecció de dades, privacitat i llibertat d’elecció

Riscos identificats: Mal ús de les dades personals per tercers*, amenaça a la privacitat i pèrdua de llibertat d’elecció.

*En aquest cas, risc alt per tractar-se de dades biomètriques (foto de la persona, veu i vídeo del procés) que són de categoria especial d’acord amb la terminologia del RGPD.

Mesures aplicades 

Per identificar i determinar les mesures necessàries per controlar els riscos de l’operació de tractament de Videoidentificació associada al registre de l’idCAT Mòbil, la Generalitat de Catalunya (Responsable de Tractament) va realitzar, el 17/12/2020, una avaluació d’impacte sobre la protecció de dades (AIPD) del sistema.

Per a la realització de l’AIPD es va aplicar la metodologia de l’Agència de Ciberseguretat de Catalunya i, addicionalment, es va utilitzar l’eina PILAR, la qual aplica la metodologia Magerit (Metodologia d’Anàlisi i Gestió de Riscos dels Sistemes d’Informació)

Principals conclusions de l’AIPD:

• Risc resultant= ALT 
• Es considera que l’activitat de tractament pot portar-se a terme, en haver-se analitzat els criteris d’idoneïtat del tractament i en haver superat l’anàlisi de necessitat i proporcionalitat. En concret: El tractament de dades és necessari per complir una missió feta en interès públic o de la persona interessada com pot ser beneficiar-se d’altres serveis que atorga el responsable del tractament, l’atorgament d’ajuts, etc.
• Cal el consentiment explícit de la persona interessada per al tractament de les dades.
• El consentiment s’obté de manera lliure i en cap cas la videoidentificació suposa un desequilibri de poder entre la persona interessada i les administracions públiques atès que no és un procediment exclusiu sinó opcional a anar a una oficina d’atenció ciutadana a fer l’alta en el registre.

Aleshores, per garantir el dret de protecció de dades i privacitat:

• El proveïdor ha signat un Encàrrec de Tractament. 
• La localització de les dades és dins la Unió Europea.
• El Responsable de Tractament (Generalitat de Catalunya) garanteix els drets ARCO (Accés, Rectificació, Cancel·lació i Oposició) de les dades que es tracten.
• Es realitza la gestió del consentiment i les cookies d’acord amb l’AIPD.

Per garantir el dret de llibertat d’elecció:

• La persona interessada té formes alternatives d’obtenir una identitat digital (eID) sense haver de compartir les seves dades biomètriques. Sempre pot anar a una oficina d’atenció ciutadana per fer la modalitat d’alta presencial. Per tant, el procés de videoidentificació és una opció d’alta més, però no una obligació.

 

C. Seguretat i robustesa

Riscos identificats: indisponibilitat del servei, accés no autoritzat, filtració de dades, errors i incoherències en el registre de l’idCat Mòbil, suplantació d’identitat.

Mesures aplicades

Per identificar els riscos associats a la disponibilitat i seguretat del sistema i per categoritzar el servei segons la criticitat de les dades que hi posarem, l’AOC va realitzar, el 7/7/2020, una anàlisi de seguretat del servei de videoidentificació seguint les guies de l’Agència Catalana de Ciberseguretat i de l’Esquema Nacional de Seguretat (ENS).

La classificació del sistema segons la metodologia de l’ENS, que estableix 3 nivells de categorització (Alt, Mig i Baix), ha resultat ser:

D’acord amb aquesta categorització, s’han considerat els principals riscos i s’han implantat una sèrie de mesures per mitigar-los.

Les mesures aplicades per mitigar els riscos són:

• Per evitar la indisponibilitat del sistema:
  • Dins del contracte amb el proveïdor s’han establert uns Acords de Nivell de Servei (ANS) que s’han de complir i revisar periòdicament
  • Els informes de compliment dels ANS tenen periodicitat setmanal i recullen els aspectes referents a la capacitat, disponibilitat i gestió d’incidents del sistema.
• Per evitar la suplantació d’identitat:
• • • Generació OTP SMS per verificar el número de telèfon mòbil informat i validar que la persona està en possessió del telèfon mòbil: Es genera un OTP (one time password o clau d’un sol ús) i s’envia per SMS al número de telèfon subministrat per l’usuari prèviament. L’usuari l’introdueix i el sistema valida que el número coincideix.
    • No es permet pujar un vídeo pregravat o que es guardi en local que sigui susceptible de manipulació.
    • Es fa una prova de vida de la persona que fa el procés, demanant un gest o moviment (somriure)
    • A més, totes les transaccions són supervisades per empleats públics.

• Per evitar la falsificació del document d’identitat oficial:
  • Validació de l’autenticitat del document aportat: el servei disposa de controls de veracitat del document emprat (MZ, marques d’aigua, holograma, etc.) i de mecanismes de control de no manipulació.
  • Si la persona és resident a l’Estat espanyol  es valida que les dades del document coincideixen amb el registre oficial de la Direcció General de la Policia.
• Per evitar errors en la correlació de la fotografia extreta del document d’identitat oficial i la ‘selfie’:
  • En cas d’una “selfie” de qualitat baixa o foto desenfocada, es proposa fer una nova foto.
  • L’algorisme facial dona un ‘scoring’ del grau de similitud entre les dues fotografies (tot i que un operador farà la validació final).
• Per evitar l’alta de múltiples idCat Mòbil associats a la mateixa persona:
  • Verificació d’usuari “ja existent” amb la base de dades de persones de la Seu electrònica de la Generalitat de Catalunya.

 

D. Transparència i explicabilitat

Riscos identificats: opacitat, desconfiança

Mesures aplicades

• Publicació de la fitxa de transparència algorísmica al Portal de Transparència de l’AOC. La fitxa conté informació clara sobre:
  • Dades utilitzades per entrenar l’algorisme
  • Tipus d’algorisme utilitzat
  • Problemàtica a la qual es busca donar solució
  • Com s’ha implementat
  • A qui va dirigit
  • Identitat i dades de contacte del proveïdor de l’algorisme
  • Organisme responsable del servei i adreça-e de contacte per a queixes, consultes i suggeriments.
• Difusió del servei a través del web, xarxes socials (post, tuits, etc.), jornades i altres. Per exemple: Fitxa d’innovació “Identificació remota dels ciutadans mitjançant videoidentificació”

 

E. Retiment de comptes i auditabilitat

Més informació

• FAQ: Com em puc donar d’alta a l’idCAT Mòbil amb ‘selfie/videoidentificació?
• AOC-2020-96 Licitació del servei de videoidentificació

Recomanacions i guies

• Recomanacions sobre la governança de la identitat digital de l’OECD – OCDE
• NIST: digital identity guidelines [pdf]
• NIST Ongoing Face Recognition Vendor Test (FRVT) Part 2: Identification [pdf]
• Serveis d’identificació digital notificats a la Comissió Europea
• Guidance for the application of the levels of assurance which support the eIDAS Regulation [doc]
• Study on eID and digital on-boarding. Mapping and analysis of existing on-boarding bank practices across the EU

Regulació

• Regulació al sector bancari espanyol per Sepblac.
• Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza.
• Orden ETD/465/2021, de 6 de mayo, por la que se regulan los métodos de identificación remota por vídeo para la expedición de certificados electrónicos cualificados.
• eIDAS: REGLAMENTO (UE) No 910/2014 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 2 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior.
• REGLAMENTO DE EJECUCIÓN (UE) 2015/1502 DE LA COMISIÓN [pdf] de 8 de septiembre de 2015 sobre la fijación de especificaciones y procedimientos técnicos mínimos para los niveles de seguridad de medios de identificación electrónica con arreglo a lo dispuesto en el artículo 8, apartado 3, del Reglamento (UE) no 910/2014 del Parlamento Europeo y del Consejo, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior.