Desafio

Como podemos fortalecer o cadastramento e identificação remota de cidadãos utilizando algoritmos de reconhecimento facial e de imagem, para que seja um processo mais fácil, seguro e confiável.

Problemático

Desde 2016 na Catalunha temos a identidade digital chamada idCAT Mòbil com base em um processo de registro presencial ou telemático, com certificado digital (2% do total de registro telemático) ou com registro baseado em informações conhecidas apenas pelo A administração e o próprio cidadão (98%).

Os cidadãos valorizam muito positivamente o serviço de identificação digital idCAT Mobile com registro online porque é útil: rápido de obter, fácil de usar, os procedimentos podem ser concluídos imediatamente após o registro e não há necessidade de memorizar nada. Isto é confirmado pelos cerca de 400.000 cidadãos que já o utilizam, mais de um milhão de ações realizadas e pelos excelentes resultados dos inquéritos de satisfação tanto ao nível da sua utilização como do processo inicial de registo online.

No entanto, esta identidade digital tem alguns pontos a melhorar:

  • De acordo com a norma europeia de identificação e assinatura eletrónica e o esquema nacional de segurança, este sistema é considerado de baixo nível e existem algumas ações que não são recomendadas. Por exemplo, acesso a pastas públicas. Alguns serviços das administrações catalãs não o utilizam por este motivo. 
  • O processo de registro online implementado inicialmente apenas exigia que as informações de identidade e cartão de saúde fossem verificadas em relação aos registros oficiais correspondentes. Mas há cidadãos que não têm bilhete de identidade ou não têm cartão de saúde (funcionários públicos que têm seguro mútuo Muface ou catalães no estrangeiro)

Por essas razões, planejamos explorar novos mecanismos que permitam que o processo de registro online do idCAT Mobile seja mais seguro, robusto e confiável, com o objetivo de ampliar o número de usuários que podem obtê-lo sem se mover-se e expandir os usos em as administrações catalãs. Especificamente, como resultado dessa exploração, o atual sistema de registro online do idCAT móvel:

  • aplica métodos de identificação reconhecidos com questões de confiabilidade equivalentes à presença física, o que eleva o serviço a um nível substancial de segurança;
  • permite o acesso ao processo de registro online com DNI, TIE ou mesmo NIE, o que amplia o número de cidadãos que podem acessar o serviço.

O setor privado tem feito grandes progressos na implementação de processos seguros de identificação remota usando algoritmos de inteligência artificial, especificamente reconhecimento facial e de imagem. A principal área de impulso foi o setor bancário na sequência da Diretiva (UE) 2015/849 do Parlamento Europeu e do Conselho, de 20 de maio de 2015, relativa à prevenção da utilização do sistema financeiro para o branqueamento de capitais e o financiamento do terrorismo. Adicionalmente, o SEBLAC (Serviço Executivo da Comissão de Prevenção à Lavagem de Dinheiro e à Lavagem de Dinheiro) aprovou diversas instruções sobre como realizar a identificação digital de um usuário por meio de mecanismos de identificação por vídeo e videoconferência. Os principais bancos europeus estão atualmente implementando serviços que facilitam o registro remoto usando algoritmos de reconhecimento facial e de imagem.

Embora em geral o setor público esteja, como de costume, atrasado na adoção dessas tecnologias de inteligência artificial, recentemente e acelerada pela emergência sanitária do COVID-19, o Ministerio de Asuntos Económicos y Transformación Digital publicou o"Despacho ETD/465/2021, de 6 de maio, que regulamenta os métodos de identificação remota de vídeo para emissão de certificados eletrónicos qualificados", onde está contemplada a possibilidade de verificar a identidade remotamente.

O Consórcio AOC já havia analisado experiências internacionais para determinar as melhores práticas a serem aplicadas ao setor público na Catalunha e possui o sistema móvel idCAT, que se adapta e atende aos requisitos indicados nesta ordem.

Uma das questões-chave é a confiabilidade dos algoritmos de reconhecimento facial nas diferentes situações e condições que podemos encontrar, o que pode afetar a qualidade das imagens capturadas. Felizmente, temos os excelentes estudos realizados pelo National Institute of Standards and Technology (NIST) sobre a robustez dos principais algoritmos de reconhecimento facial do mercado, em diferentes situações e condições, que nos fornecem informações muito valiosas para determinar a qualidade de os algoritmos e os níveis de risco de cada um, a fim de propor medidas mitigadoras.

Solução aplicada

O sistema de registo online móvel idCAT utiliza soluções de reconhecimento facial e de imagem que fornecem provas no processo de registo que conferem maior robustez ao processo e seguem as orientações da regulamentação estabelecida pelo Estado (Despacho ETD /465/2021).

Els principais controles implementados são como segue:

  • O reconhecimento facial compara a foto da pessoa (selfie) que está fazendo o processo de registro com a foto do documento oficial que a pessoa está digitalizando.
  • O reconhecimento facial comparará uma foto da pessoa extraída do vídeo do processo de gravação do processo de registro com a foto do documento oficial que a pessoa está digitalizando.
  • O reconhecimento de imagem permite digitalizar um documento oficial e verificar se ele é original e não foi adulterado.
  • Um teste de vida é realizado na pessoa que passa pelo processo, pedindo um gesto ou movimento
  • É validado (se a pessoa for residente na Espanha) que os dados do documento correspondem ao registro oficial da Direção Geral de Polícia.
  • Um operador humano valida todo o processo para alcançar um nível substancial de garantias de registro.

A origem destas soluções encontra-se no setor financeiro da União Europeia, a partir da aprovação da Diretiva (UE) 2015/849 do Parlamento e do Conselho, de 20 de maio de 2015, relativa à prevenção da utilização de o sistema financeiro para o branqueamento de capitais ou o financiamento do terrorismo.

O Regulamento (UE) n.º 910/2014 do Parlamento Europeu e do Conselho, de 23 de julho de 2014, relativo à identificação eletrónica e serviços de confiança para transações eletrónicas no mercado interno, já previa a possibilidade de verificação da identidade do pessoa que solicita um certificado qualificado usando métodos de identificação que garantem segurança equivalente em termos de confiabilidade à presença física.

Els requisitos adicionais que é interessante aplicar ao setor público são as seguintes:

  • Isso pode ser feito por meio de um aplicativo web responsivo ou um aplicativo móvel altamente utilizável.
  • O serviço deve aceitar os documentos de identidade digital mais comuns dos principais países europeus e globais.
  • O processo de digitalização de documentos oficiais será realizado com mecanismos para controlar a veracidade do documento MZ, marcas d'água, etc. e minimizar os riscos de falsificação de identidade, manipulação e extração da fotografia do usuário.
  • O processo de captura da foto selfie do usuário incluirá um teste de vida (gesto facial: fechar os olhos, virar a cabeça, sorrir,…) e um detector da qualidade da foto tirada. Em caso de baixa qualidade, será proposto tirar uma nova foto.
  • A correlação da foto tirada do documento de identidade oficial e a "selfie" será feita com um algoritmo analisado pelo National Institute of Standards and Technology (EUA) (NIST) em seu último relatório sobre "Teste de Fornecedor de Reconhecimento Facial Contínuo (FRVT) Parte 2: Identificação".
  • Parte ou todo o processo será filmado como evidência para facilitar as tarefas de monitoramento, validação e controle. Um vídeo pré-gravado não pode ser carregado ou armazenado em um local à prova de adulteração.
  • Será verificado se o código de uso único enviado para o celular do usuário foi inserido corretamente na solução de registro.
  • Serão adicionadas informações sobre a geolocalização do processo de registro e o dispositivo utilizado, a fim de aplicar medidas de segurança adaptáveis.
  • Os documentos lavrados e os comprovativos do processo serão conservados, devidamente assinados com certificado digital e com o carimbo da hora AOC, pelo período mínimo de um ano.
  • A aplicação de gestão de funcionários públicos (back office) facilitará a fiscalização e/ou validação dos registos efetuados pelos cidadãos.
    • O período de validação de um processo de registro por um operador deve ser de no máximo 10 minutos (a partir do final do processo de digitalização e vídeo).
    • O serviço de validação estará disponível pelo menos no seguinte horário: das 9h às 17h.
    • Os operadores que realizam a validação serão devidamente treinados.
  • Serão cumpridas as normas da SEPBLAC no que diz respeito aos procedimentos de videoidentificação de clientes em operações sem contacto, no domínio do combate ao terrorismo e da prevenção do branqueamento de capitais.
  • Os sistemas de informação associados a este serviço serão alojados na União Europeia.

Além disso, estão sendo avaliados requisitos avançados:

  • Tenha uma integração com o DNI-e 3.0 SDK para extrair via NFC a foto armazenada no chip DNI. Esta funcionalidade só pode estar disponível através de uma APP.
  • Verificação de que o documento de identidade oficial digitalizado possui um holograma.
  • Conformidade regulatória em relação a:
    • Relatório de auditoria externa de conformidade com eIDAs - ENS, com o respectivo Certificado de Conformidade.
    • Solução incorporada no Catálogo de Produtos de Segurança CCNCERT ICT como produto qualificado ou componente certificado de acordo com o ENS.

Um exemplo do processo seria o seguinte:

O uso de algoritmos de reconhecimento facial e de imagem pode ser estendido no futuro para muitos outros cenários:

  • Realização de procedimentos e ações, sem a necessidade de gerar qualquer identidade digital prévia.
  • Voto eletrônico em processos participativos ou por cidadãos no exterior. O processo atual é muito complicado e faz com que uma pequena porcentagem de cidadãos com direito a voto o exerça.

Status do projeto

  • Em produção
  • Indicadores (dados atualizados até setembro de 2022):
    • mais de 50.000 identificações de vídeo feitas
    • 84% solicitações aceitas e 16% rejeitadas

Mais Informações

X