Digitalizarea în pandemie - Un nou proiect pentru identificarea persoanelor la distanţă prin mijloace video a fost publicat

Foto: Shutterstock

ADR (Autoritatea pentru Digitalizarea României) a lansat în dezbatere publică proiectul de OUG privind identificarea persoanei la distanţă utilizând mijloace video.

Pandemia ne-a împins de la birourile clasice către unele mai comode, mai familiare şi mai îndepărtate de colegii de muncă: cele din propriile noastre locuinţe. Asta a dus la o creştere exponenţială a utilizării mijloacelor de comunicare digitale - videoconferinţe, spre exemplu -, atât pentru dialogurile de zi cu zi, despre diverse subiecte, cât şi pentru cele legate de domeniul în care lucrăm. „Poţi să porneşti camera?” a devenit una dintre cele mai folosite fraze ale lui 2020, demonstrând importanţa unei interacţiuni umane, şi nu numai.

Posibilitatea de a confirma vizual prezenţa şi atenţia unei persoane la un anumit subiect nu este un concept nou, fiind folosită de mult timp în diferite medii profesionale. Unul dintre acestea este şi identificarea persoanelor la distanţă, pentru a confirma identitatea acestora.

În toamna anului trecut a fost dezbătută o propunere de hotărâre guvernamentală pe subiectul identificării persoanelor prin mijloace video, dar proiectul nu a fost adoptat. Faţă de acel proiect, noua propunere de OUG nu conţine prevederi tehnice prin care să se realizeze identificarea video, aceste detalii urmând a fi definite prin norme tehnice care vor fi emise de ADR în 30 de zile de la intrarea în vigoare a OUG.

Ce spune proiectul legislativ

Proiectul legislativ reglementează modalitatea prin care persoanele se pot identifica prin mijloace video pentru a li se crea conturi si a accesa trei categorii de servicii, anume:

• Servicii de plată
• Servicii de încredere – pentru eliberarea certificatelor calificate pentru semnătură electronică
• Servicii publice on-line

Identificarea video poate fi utilizată şi de alţi operatori economici, dacă doresc, şi poate fi realizată de furnizorii serviciilor sau aceştia pot utiliza serviciile unui terţ de identificare a identităţii persoanei prin mijloace video.

Se menţionează ca instituţiile statului care deţin baze de date cu informaţii privind persoanele (de exemplu MAI - Direcţia pentru Evidenţa Persoanelor şi Administrarea Bazelor de Date sau ANAF) să le furnizeze către cei care realizează identificarea video a persoanelor. În acest fel, se creşte nivelul de securitate al identificării. MAI este cel care deţine informaţii privind documentele de identitate şi în acest moment, doar alte instituţii ale statului şi notarii au acces la aceste informaţii. La polul opus, informaţiile de la ANAF pot fi consultate deja şi de companii private, de exemplu instituţii financiare.

Ce nu include această propunere însă sunt cerinţe uniforme pentru cele trei categorii de prestatori de servicii care pot realiza identificarea video. Toţi trebuie să notifice organismul de supraveghere (ADR), dar documentele care trebuie prezentate sunt diferite.

Prestatorii de servicii de încredere trebuie să prezinte un raport de evaluare a conformităţii emis de un organism de evaluare a conformităţii. Acest organism nu este definit în propunerea de OUG. Dacă propunerea de act normativ se referă la definiţia organismului de evaluare a conformităţii din Regulamentul eIDAS, trebuie ştiut că există o listă centralizată a acestor auditori întreţinută la nivelul UE, iar pe această listă sunt 31 de firme de audit, niciuna din România.

Prestatorii de servicii de plată, în schimb, pot prezenta un raport de audit realizat de un auditor din lista auditorilor IT publicată pe site-ul ADR.

Organismele din sectorul public stabilesc nivelul de asigurare a încrederii pentru mijloacele de identificare electronică necesare pentru autentificarea la sistemele informatice. Nivelurile de încredere sunt definite de Regulamentul eIDAS: scăzut, substanţial şi ridicat. Organismele din sectorul public trebuie să auditeze aplicaţia de identificare video. Pentru nivelurile scăzut şi substanţial nu sunt prevăzute cerinţe pentru auditor, în timp ce, pentru nivelul ridicat, trebuie prezentat un raport de audit emis de un organism de evaluare a conformităţii, la fel ca în cazul prestatorilor de servicii de încredere.

Probleme şi neclarităţi

În cazul prestatorilor de servicii de plată situaţia este mai simplă – auditorii nu trebuie să îndeplinească nişte cerinţe riguroase, aşa cum este în cazul organismelor de evaluare a conformităţii. Problema este că propunerea de OUG nu precizează de ce există această diferenţă şi, de asemenea, de ce auditorii organismelor din sectorul public care aleg nivelurile scăzut şi substanţial, nu trebuie să îndeplinească niciun fel de cerinţe.

De asemenea, propunerea de OUG permite utilizarea unui terţ de verificare a identităţii de către prestatorii de servicii de plată şi de organismele din sectorul public. Un astfel de terţ de verificare a identităţii nu poate fi utilizat de un prestator de servicii de încredere dar nu este clar de unde provine o astfel de restricţie, prin care se încalcă prevederile Regulamentului eIDAS. Acesta le permite prestatorilor de servicii de încredere sa externalizeze componente ale identificării, către reprezentanţi autorizaţi.

În baza eIDAS, în alte ţări din Uniunea Europeană, cum ar fi Italia, prestatorii de servicii de încredere pot emite certificate calificate în baza identificării video realizată de bancă pentru clienţii săi. Propunerea nu permite însă acelaşi lucru prestatorilor de servicii de încredere din Romania, punându-i în situaţia de a nu putea concura practic cu omologii lor din celelalte ţări europene.

O altă neclaritate rezultă din motivul pentru care personalul care realizează identificarea la distanţă trebuie să urmeze cursuri de instruire în domeniul fraudei şi contrafacerii documentelor, spălării banilor şi finanţării terorismului. Acestea sunt cursuri specifice angajaţilor prestatorilor de servicii de plată dar, prin această propunere, ele sunt impuse şi celorlalte două categorii.

De asemenea, propunerea de OUG nu prevede o situaţie întâlnită deja des în practică: instituţiile financiare furnizează prestatorilor de servicii de încredere date privind clienţii iar aceştia emit certificate calificate cu care sunt semnate documente în relaţia cu banca.

Nu sunt prevăzute nici situaţiile în care organismele din sectorul public, de exemplu primăriile, doresc să interacţioneze electronic cu cetăţenii iar acestora să le fie emise certificate calificate folosind identificarea video realizată deja de primărie. În acest fel, cetăţenii ar putea renunţa la deplasarea la ghişeu, semnând cu semnătură calificată documentele şi transmiţându-le în formă electronică.

Consultarea publică privind propunerea de OUG s-a încheiat în această săptămână. Este important să urmeze dezbateri, care să lămurească aspectele neclare sau care lipsesc din propunerea de OUG.