Przewodnik po protokołach weryfikacji tożsamości: wszystko, czego potrzebują przedsiębiorstwa

Według globalnej oceny zagrożenia oszustwami finansowymi, przeprowadzonej przez InterPol, globalne straty związane z oszustwami finansowymi oszacowano na 442 miliardy dolarów.  Dla zespołów ds. zgodności i ryzyka w branżach regulowanych ta liczba rodzi jedno bezpośrednie pytanie: czy obecnie obowiązujące protokoły weryfikacji tożsamości są skalibrowane pod kątem zagrożenia, czy też stanowią zbiór metod bez wyraźnego powiązania z ryzykiem?

W tym przewodniku omówiono trzy główne ramy protokołów, z których korzystają przedsiębiorstwa, wymagania każdej z nich oraz sposób opracowania podejścia opartego na ryzyku, które spełnia wymogi regulacyjne. Jeśli Twój zespół pracuje nad dokumentem NIST 800-63, wzmocnionymi wymogami należytej staranności FATF lub harmonogramem gotowości do eIDAS 2.0, jest to praktyczny punkt wyjścia.

Czym jest protokół weryfikacji tożsamości?

Protokół weryfikacji tożsamości to zdefiniowany zestaw reguł określający, jakie dowody akceptuje organizacja, w jaki sposób je weryfikuje oraz jaki poziom bezpieczeństwa musi osiągnąć weryfikacja, aby użytkownik mógł kontynuować. Metoda weryfikacji, taka jak skanowanie dokumentu lub weryfikacja biometryczna, jest jednym z elementów szerszego protokołu. Pojedyncze przedsiębiorstwo zazwyczaj korzysta z wielu protokołów równolegle, z których każdy jest skalibrowany do innego poziomu ryzyka klienta.

Trzy protokoły ramowe, na których opierają się przedsiębiorstwa

Większość regulowanych przedsiębiorstw opiera swoje wymagania na trzech nakładających się na siebie standardach, a konkretnie NIST 800-63, poziomy należytej staranności wobec klienta oparte na ryzyku FATF i eIDAS 2.0. Ramy te odnoszą się weryfikacja tożsamości cyfrowej z różnych punktów widzenia, ale ich wymagania zbiegają się na wyższych poziomach zapewnienia.

NIST 800-63 i poziomy zapewnienia tożsamości

NIST SP 800-63A definiuje trzy poziomy zapewnienia tożsamości.

IAL1 umożliwia zdalne, samodzielne potwierdzenie tożsamości z podstawową walidacją dowodów i opcjonalną biometrią. IAL2 podnosi standard. Dowody muszą zostać zweryfikowane w oparciu o wiarygodne źródło, a wnioskodawca musi być zobowiązany do poświadczenia tych dowodów poprzez porównanie biometryczne lub potwierdzenie pocztowe. IAL3 wymaga fizycznej obecności, weryfikacji na miejscu oraz pobrania próbek biometrycznych przez przeszkolonego pracownika weryfikacji, zarezerwowane dla scenariuszy o najwyższym poziomie bezpieczeństwa.

W przypadku usług finansowych i onboardingu fintech, standardem operacyjnym jest IAL2. Zdarzenia wysokiego ryzyka, takie jak odzyskiwanie kont, przelewy o dużej wartości lub dostęp do aktywów o ograniczonym dostępie, zazwyczaj wymagają kontroli równoważnych z IAL3, nawet jeśli lokalne organy regulacyjne nie stosują bezpośrednio terminologii NIST.

Wymagania FATF dotyczące weryfikacji opartej na poziomie ryzyka

Zalecenia FATF Wymagają podejścia opartego na ryzyku do należytej staranności wobec klienta. Standardowa procedura należytej staranności obejmuje potwierdzenie tożsamości za pomocą wiarygodnych dokumentów lub danych. Zwiększona należyta staranność (EDD) ma zastosowanie, gdy klient lub transakcja wiąże się z podwyższonym ryzykiem, w tym w przypadku osób zajmujących eksponowane stanowiska polityczne, transgranicznych płatności o dużej wartości, przyjmowania klientów bez kontaktu osobistego w jurysdykcjach wysokiego ryzyka oraz złożonych struktur własnościowych.

Wymagania EDD wykraczają poza potwierdzenie, że dana osoba jest tym, za kogo się podaje. Protokół musi weryfikować źródło finansowania, beneficjenta rzeczywistego aż do poziomu UBO oraz ekspozycję polityczną, a także wymaga ciągłego monitorowania w trakcie całej relacji z klientem. W Stanach Zjednoczonych Ostateczne zasady CDD FinCEN kodyfikuje te obowiązki, nakazując weryfikację tożsamości osób fizycznych posiadających 25% lub więcej udziałów w jakimkolwiek kliencie będącym osobą prawną.

eIDAS 2.0 i przejście na cyfrowe poświadczenia tożsamości

Przedsiębiorstwa europejskie stoją przed surowym terminem dostosowania. Do grudnia 2027 r. firmy z sektora bankowości, energetyki, ochrony zdrowia, edukacji i telekomunikacji muszą zaakceptować Portfele tożsamości cyfrowej UE Zgodnie z rozporządzeniem eIDAS 2.0, wszystkie 27 państw członkowskich ma obowiązek udostępnić obywatelom portfele do grudnia 2026 r.

Dla zespołów weryfikacji tożsamości oznacza to natychmiastowy wymóg planowania protokołu. Portfel EUDI kwalifikuje się jako dowód „SUPERIOR” w ramach NIST, co oznacza, że ​​jest kryptograficznie weryfikowalny, podpisany przez wystawcę i zabezpieczony przed manipulacją. Systemy, które go akceptują, muszą bezpośrednio sprawdzać zabezpieczenia cyfrowe, a nie tylko porównywać sfotografowany dokument.

Przedsiębiorstwa, które obecnie stosują weryfikację opartą wyłącznie na przesyłaniu dokumentów dla użytkowników europejskich, napotykają największą lukę w gotowości. Przepływ pracy obsługujący paszporty i prawa jazdy w 2026 roku będzie musiał obsłużyć prezentację danych uwierzytelniających w portfelu do 2027 roku. Te, które już wdrożyły elektroniczna weryfikacja tożsamości korzystające z krajowych systemów baz danych, takich jak BankID, MitID i Singpass, są lepiej przygotowane na przyjęcie tej zmiany bez konieczności ponownego tworzenia wszystkiego od podstaw.

Jak zbudować protokół weryfikacji tożsamości oparty na ryzyku

Struktura protokołu oparta na ryzyku przypisuje każdy segment klienta do odpowiedniego poziomu zapewnienia bezpieczeństwa przed rozpoczęciem weryfikacji. Różni się to od stosowania pojedynczego standardowego przepływu dla każdego użytkownika.

Mapowanie ryzyka klienta do właściwego poziomu zapewnienia

Platforma działa z co najmniej trzema poziomami ryzyka klienta. Klienci standardowi z niskim wolumenem transakcji i bez sygnałów ostrzegawczych mogą przejść weryfikację równoważną IAL1 z podstawową walidacją dokumentów. Klienci o podwyższonym ryzyku, zwłaszcza ci z branż objętych ograniczeniami, dokonujący transakcji powyżej określonych progów lub pochodzący z jurysdykcji wysokiego ryzyka, wymagają kontroli IAL2, w tym walidacji atrybutów między źródłami i powiązania biometrycznego. Klienci wysokiego ryzyka, w tym osoby o statusie PEP i osoby o złożonej strukturze UBO, wymagają pełnego protokołu na poziomie EDD z udokumentowanymi śladami dowodowymi i stałym monitorowaniem transakcji.

FATF wskazówki dotyczące tożsamości cyfrowej wyraźnie popiera takie wielopoziomowe podejście, potwierdzając, że dobrze zaprojektowany system tożsamości cyfrowej może spełnić wymagania dotyczące zapewnienia przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu (AML/CFT), gdy metoda weryfikacji prawidłowo odzwierciedla wynik ryzyka.

Dostosowywanie protokołu bez zespołu programistów

Częstym problemem przy przejściu na model oparty na poziomach ryzyka są koszty inżynieryjne. Trzy oddzielne przepływy weryfikacji dla trzech poziomów ryzyka historycznie oznaczały trzy oddzielne integracje. Nowoczesne podejście no-code narzędzia do weryfikacji przepływu pracy Pozwól zespołom ds. zgodności skonfigurować logikę protokołu dla każdego poziomu ryzyka, obejmującą wymagania dotyczące dokumentów, progi biometryczne, akceptację schematu eID i wyzwalacze stopniowego zwiększania ryzyka, bez konieczności zmiany podstawowego interfejsu API. Przypisanie poziomów ryzyka aktualizuje się w czasie rzeczywistym wraz ze zmianą profili klientów, więc standardowy klient, który przekroczy próg transakcji, automatycznie uruchamia protokół o podwyższonym poziomie ryzyka.

Jakie błędy popełniają przedsiębiorstwa przy wyborze protokołów weryfikacji tożsamości

Najczęstszym błędem jest traktowanie „metody weryfikacji” i „protokołu weryfikacji” jako tego samego. Kontrola biometryczna jest metodą. Protokół definiuje, kiedy kontrola jest wymagana, jaki standard bezpieczeństwa musi spełniać oraz co się dzieje w przypadku niepowodzenia weryfikacji.

Drugą częstą luką jest traktowanie wstępnej kontroli onboardingowej jako pełnego protokołu. Zarówno przepisy FATF, jak i FinCEN dotyczące CDD wymagają stałego monitorowania po onboardingu, a nie tylko jednorazowego potwierdzenia tożsamości. Przedsiębiorstwo z kompleksową kontrolą wstępu, ale bez procesu weryfikacji po onboardingu, ma lukę strukturalną w swoim protokole.

Przedsiębiorstwa wchodzące na rynek UE również nie doceniają harmonogramu gotowości do eIDAS 2.0. Termin zgodności przypada na grudzień 2027 r., ale testy interoperacyjności portfela, integracja techniczna i szkolenia personelu wymagają czasu. Przegląd w jaki sposób eIDAS 2.0 zmienia kształt weryfikacji tożsamości dla europejskich instytucji finansowych oznacza to teraz uniknięcie późniejszego sprintu w celu zapewnienia zgodności pod presją.

Niedopasowanie protokołów i niespójne stosowanie protokołów weryfikacji tożsamości w różnych poziomach ryzyka klienta to jedne z najczęstszych przyczyn narażenia przedsiębiorstw z branży usług finansowych, technologii finansowych i gier na łamanie przepisów. Shufti obsługuje pełne spektrum protokołów, od pasywnych kontroli baz danych równoważnych standardowi IAL1 i weryfikacji biometrycznej po ponad 30 krajowych systemów eID zgodnych z eIDAS 2.0, a wszystkie z nich można konfigurować według poziomu ryzyka za pomocą interfejsu bezkodowego. Poproś o prezentację aby mapować segmenty klientów na odpowiedni protokół weryfikacji i zobaczyć cały proces na własnych przypadkach użycia.