Sfida

Come possiamo rafforzare la registrazione e l'identificazione remota dei cittadini utilizzando algoritmi di riconoscimento facciale e di immagini, in modo che sia un processo più facile, più sicuro e più affidabile.

Problematico

Dal 2016 in Catalogna abbiamo l'identità digitale denominata idCAT Mòbil basata su un processo di registrazione faccia a faccia o online, con certificato digitale (2% totale registrazione online) o con una registrazione basata su informazioni note solo all'Amministrazione e il cittadino stesso (98%).

I cittadini apprezzano molto positivamente il servizio di identificazione digitale idCAT Mobile con registrazione online perché utile: veloce da ottenere, facile da usare, le procedure possono essere completate subito dopo la registrazione e non c'è bisogno di memorizzare nulla. Lo confermano i quasi 400.000 cittadini che già lo utilizzano, più di un milione di azioni realizzate e gli ottimi risultati delle indagini di soddisfazione sia in termini di utilizzo che di prima registrazione online.

Tuttavia, questa identità digitale ha alcuni punti da migliorare:

  • Secondo la norma europea per l'identificazione e la firma elettronica e lo schema di sicurezza nazionale, questo sistema è considerato di basso livello e ci sono alcune azioni che non sono raccomandate. Ad esempio, l'accesso alle cartelle pubbliche. Alcuni servizi delle amministrazioni catalane non lo utilizzano per questo motivo. 
  • Il processo di registrazione online inizialmente implementato richiedeva solo la verifica dei dati di identità e tessera sanitaria rispetto ai corrispondenti registri ufficiali. Ma ci sono cittadini che o non hanno la carta d'identità o non hanno la tessera sanitaria (dipendenti pubblici che hanno la mutua Muface o catalani all'estero)

Per questi motivi, intendiamo esplorare nuovi meccanismi che consentano al processo di registrazione online di idCAT Mobile di essere più sicuro, robusto e affidabile, con l'obiettivo di ampliare il numero di utenti che possono ottenerlo senza spostarsi e di ampliare gli usi in le amministrazioni catalane. In particolare, a seguito di questa esplorazione, l'attuale sistema di registrazione online mobile idCAT:

  • applica metodi di identificazione riconosciuti con problemi di affidabilità equivalenti alla presenza fisica, che eleva il servizio a un livello di sicurezza sostanziale;
  • consente l'accesso al processo di registrazione online con DNI, TIE o anche NIE, che amplia il numero di cittadini che possono accedere al servizio.

Il settore privato ha compiuto grandi progressi nell'implementazione di processi di identificazione remota sicuri utilizzando algoritmi di intelligenza artificiale, in particolare il riconoscimento facciale e di immagini. Il principale settore di impulso è stato il settore bancario a seguito della Direttiva (UE) 2015/849 del Parlamento Europeo e del Consiglio, del 20 maggio 2015, relativa alla prevenzione dell'uso del sistema finanziario per il riciclaggio di denaro e il finanziamento del terrorismo. Inoltre, il SEBLAC (Servizio Esecutivo della Commissione per la Prevenzione del Riciclaggio e del Riciclaggio di denaro) ha approvato diverse indicazioni su come effettuare l'identificazione digitale di un utente attraverso meccanismi di video identificazione e videoconferenza. Le principali banche europee stanno attualmente implementando servizi che facilitano la registrazione remota tramite algoritmi di riconoscimento facciale e di immagini.

Sebbene in generale il settore pubblico sia, come al solito, più indietro nell'adozione di queste tecnologie di intelligenza artificiale, di recente e accelerato dall'emergenza sanitaria del COVID-19, il Ministerio de Asuntos Económicos y Transformación Digital ha pubblicato il"Ordinanza ETD/465/2021, del 6 maggio, che disciplina le modalità di identificazione remota tramite video per il rilascio di certificati elettronici qualificati", ove è prevista la possibilità di verifica dell'identità a distanza.

Il Consorzio AOC aveva già analizzato le esperienze internazionali per determinare le migliori pratiche da applicare nel settore pubblico della Catalogna e dispone del sistema mobile idCAT, che si adatta e soddisfa i requisiti indicati in questo ordine.

Uno dei problemi chiave è l'affidabilità degli algoritmi di riconoscimento facciale nelle diverse situazioni e condizioni che possiamo incontrare, che possono influire sulla qualità delle immagini acquisite. Per fortuna abbiamo gli ottimi studi effettuati dal National Institute of Standards and Technology (NIST) sulla robustezza dei principali algoritmi di riconoscimento facciale presenti sul mercato, in diverse situazioni e condizioni, che ci offrono informazioni molto preziose per determinare la qualità di gli algoritmi e i livelli di rischio di ciascuno, al fine di proporre misure di mitigazione.

Soluzione applicata

Il sistema di registrazione online mobile idCAT utilizza soluzioni di riconoscimento facciale e di immagini che forniscono evidenza nel processo di registrazione che conferiscono maggiore robustezza al processo e seguono le linee guida delle normative stabilite dallo Stato (Ordinanza ETD /465/2021).

il principali controlli attuati sono le seguenti:

  • Il riconoscimento facciale confronta la foto della persona (selfie) che esegue il processo di registrazione con la foto del documento ufficiale che la persona scansiona.
  • Il riconoscimento facciale confronta una foto della persona presa dalla registrazione video del processo di registrazione con la foto del documento ufficiale che la persona scansiona.
  • Il riconoscimento delle immagini consente di scansionare un documento ufficiale e verificare che sia originale e non sia stato manomesso.
  • Viene eseguito un test di vita sulla persona che subisce il processo, chiedendo un gesto o un movimento
  • È convalidato (se la persona è residente in Spagna) che i dati nel documento corrispondono al registro ufficiale della Direzione Generale della Polizia.
  • Un operatore umano convalida l'intero processo per ottenere un livello sostanziale di garanzia dei record.

L'origine di queste soluzioni è da ricercarsi nel settore finanziario dell'Unione Europea, dall'approvazione della Direttiva (UE) 2015/849 del Parlamento e del Consiglio, del 20 maggio 2015, relativa alla prevenzione dell'uso di il sistema finanziario per il riciclaggio di denaro o il finanziamento del terrorismo.

Il regolamento (UE) 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, relativo all'identificazione elettronica e ai servizi fiduciari per le transazioni elettroniche nel mercato interno, aveva già previsto la possibilità di verifica dell'identità del persona che richiede un certificato qualificato utilizzando modalità di identificazione che garantiscano una sicurezza equivalente in termini di affidabilità alla presenza fisica.

il requisiti addizionali interessanti da applicare al settore pubblico sono i seguenti:

  • Può essere fatto tramite un'applicazione web reattiva o un'APP mobile ad alta usabilità.
  • Il servizio deve accettare i più diffusi documenti di identità digitale provenienti dai principali paesi europei e mondiali.
  • Il processo di scansione dei documenti ufficiali sarà effettuato con meccanismi per controllare la veridicità del documento MZ, filigrane, ecc. e ridurre al minimo i rischi di impersonificazione e manipolazione, e con l'estrazione della fotografia dell'utente.
  • Il processo di acquisizione della fotografia "selfie" dell'utente incorporerà una prova di vita (gesto del viso: chiudere gli occhi, girare la testa, sorridere, ...) e un rilevatore della qualità della foto scattata. In caso di bassa qualità, verrà proposto di scattare una nuova foto.
  • La correlazione tra la foto tratta dal documento di identità ufficiale e il "selfie" sarà effettuata con un algoritmo analizzato dal National Institute of Standards and Technology (USA) (NIST) nel suo ultimo rapporto su "Test del fornitore di riconoscimento facciale in corso (FRVT) Parte 2: Identificazione".
  • Parte o tutto il processo sarà videoregistrato come prova per facilitare le attività di monitoraggio, convalida e controllo. Non sarà consentito caricare un video preregistrato o archiviato localmente suscettibile di manipolazione.
  • Verrà verificato che il codice monouso inviato al cellulare dell'utente sia stato inserito correttamente nella soluzione di registrazione.
  • Verranno aggiunte informazioni sulla geolocalizzazione del processo di registrazione e sul dispositivo utilizzato, in modo da poter applicare misure di sicurezza adattive.
  • Gli atti verbali e le prove del processo saranno conservati, opportunamente firmati con certificato digitale e marcati con l'ora dal COA, per un periodo minimo di un anno.
  • L'applicazione gestionale per i dipendenti pubblici (back office) faciliterà la supervisione e/o la validazione delle scritture effettuate dai cittadini.
    • Il periodo di convalida di un processo di registrazione da parte di un operatore deve essere al massimo di 10 minuti (dalla fine del processo di scansione e video).
    • Il servizio di validazione sarà disponibile, almeno, nella seguente fascia oraria: dalle ore 9 alle ore 17.
    • Gli operatori che effettuano la validazione saranno adeguatamente formati.
  • Saranno rispettate le normative SEPBLAC in relazione alle procedure di videoidentificazione dei clienti nelle operazioni non faccia a faccia, nell'ambito della lotta al terrorismo e della prevenzione del riciclaggio di denaro.
  • I sistemi informativi associati a questo servizio saranno ospitati nell'Unione Europea.

Inoltre, sono in corso di valutazione quanto segue requisiti avanzati:

  • Avere un'integrazione con l'SDK DNI-e 3.0 per estrarre via NFC la foto salvata sul chip DNI. Questa funzionalità può essere disponibile solo tramite un'APP.
  • Verifica che il documento di identità ufficiale scansionato abbia un ologramma.
  • Conformità normativa in relazione a:
    • Rapporto di audit esterno relativo alla conformità con gli eIDAs - ENS, con relativo Certificato di Conformità.
    • Soluzione inserita nel Catalogo prodotti CCNCERT ICT Security come prodotto qualificato o componente certificato secondo ENS.

Un esempio del processo sarebbe il seguente:

L'uso di algoritmi di riconoscimento facciale e di immagini può essere esteso in futuro a molti altri scenari:

  • Svolgere procedure e azioni, senza la necessità di generare alcuna identità digitale precedente.
  • Voto elettronico nei processi partecipativi o da parte di cittadini all'estero. L'attuale processo è molto laborioso e solo una piccola percentuale di cittadini idonei lo esercita.

Stato del progetto

  • In produzione
  • Indicatori (dati aggiornati a settembre 2022):
    • più di 50.000 identificazioni video effettuate
    • 84% richieste accettate e 16% respinte

maggiori informazioni

X