In contextul in care fraudele financiare au evoluat mult mai rapid decât legislatia, merită deschisă o discuție publica despre cum pot fi reduse fraudele digitale și cum ar putea arăta în viitor notificările și livrările securizate prin mecanisme de identitate digitală verificată. Experiența arată că problema nu este doar una tehnică, ci una de infrastructură digitală și de încredere în comunicarea dintre companii și utilizatori.
un articol de Nic Balaceanu, CEO Lendrise si co-fondator sunt.io
Când SMS-ul devine identitate: lecția dintr-o fraudă recentă
Am citit pe Facebook despre un caz care cred că merită discutat mai larg, pentru că ilustrează foarte bine cum funcționează multe dintre fraudele digitale de astăzi. Totul a pornit de la un SMS care părea să vină de la Fan Courier. Contextul era perfect credibil: urma să trimită un colet. În grabă, a accesat linkul și a introdus un cod primit prin SMS. La scurt timp, atacatorii au reușit să activeze contul ei de WhatsApp pe un alt dispozitiv și au început să trimită mesaje persoanelor din agenda ei solicitând un „împrumut urgent”. Este un tip de fraudă care funcționează pentru că exploatează două lucruri simple: contextul și încrederea dintre oameni.
Problema este una structurală: pe internet, identitatea este încă foarte slab verificată. Un SMS nu confirmă identitatea unei persoane, ci doar accesul temporar la un număr de telefon. Din acest motiv, tot mai multe ecosisteme digitale încep să renunțe la modelul bazat pe OTP prin SMS și să introducă mecanisme de identitate digitală verificată. Un exemplu interesant vine din Belgia, unde aplicația de identitate digitală itsme® este utilizată pe scară largă atât de bănci, cât și de instituții publice și companii private. Inclusiv operatorul poștal belgian bpost a integrat itsme în aplicația My bpost pentru a gestiona livrările de scrisori recomandate și alte servicii sensibile, utilizatorul confirmând identitatea direct în aplicația de identitate digitală, nu prin linkuri sau coduri SMS.
Un model similar ar putea fi aplicat și în România prin soluții de identitate digitală precum SUNTIO . În loc ca utilizatorii să confirme acțiuni sensibile prin SMS sau prin accesarea unor linkuri primite în mesaje, confirmarea ar putea fi făcută într-o aplicație de identitate digitală verificată, unde utilizatorul vede exact ce autorizează și confirmă cu biometrie sau PIN.
Actualizarea legislatiei
Recent am primit un telefon legat de un credit pentru care chipurile aplicasem la BRD – Groupe Societe Generale. Conversația a fost „legitimă”, a durat 10 secunde, dar mi-a reamintit cât de mult depinde astăzi ecosistemul financiar de identitatea din spatele unui număr de telefon.
Majoritatea fraudelor financiare încep exact așa: un apel sau un mesaj care pare să vină de la „bancă”, „curier” sau „suport tehnic”. În spatele multora dintre ele se află cartele prepaid anonime – așa-numitele burner SIMs.
În Uniunea Europeană, majoritatea statelor au decis că aceste cartele trebuie asociate unei identități. Totuși, există încă un grup mic de șase țări unde identificarea nu este obligatorie: România, Irlanda, Estonia, Finlanda, Letonia si Malta.
România a încercat să introducă această regulă în 2019, dar ordonanța a fost contestată de Renate Weber și ulterior declarată neconstituțională de Curtea Constituțională a României.
Între timp, fraudele financiare au evoluat mult mai repede decât legislația. Telecomul a devenit infrastructură critică pentru banking, identitate și plăți. Poate că discuția despre identitate digitală nu este doar despre confort sau onboarding mai rapid. Este și despre securitatea ecosistemului financiar.
Start dialog intre autoritati si furnizorii de servicii/solutii de identitate digitala
In acest context, devine extrem de necesară și oportună organizarea cât mai curând a unui eveniment pentru a discuta următoarea fază a ecosistemului identității digitale in țara noastră. Conceput in formatul unei mese rotunde, evenimentul ar trebui sa strânga laolalta autorități publice din România și din alte state membre ale UE, furnizori de servicii de încredere, companii de tehnologie și organizații care implementează soluții de identificare digitală și integrare.
Obiectivele cheie ale evenimentului:
. o mai bună înțelegere a foii de parcurs a autorităților publice privind implementarea infrastructurii de identitate digitală, inclusiv lansarea cărților de identitate electronice, implementarea cadrului EUDI Wallet și evoluția mai amplă a identificării electronice și a serviciilor de încredere.
. să creeze un spațiu în care participanții din industrie să poată înțelege mai bine direcția infrastructurii publice, permițându-le să pregătească serviciile, integrările și componentele tehnice necesare pentru interoperabilitatea cu viitoarele cadre de identitate.
. schimbul de experiențe din alte ecosisteme europene, inclusiv din țări în care soluțiile de identitate digitală sunt deja utilizate pe scară largă. Lecțiile învățate din aceste modele pot oferi informații valoroase despre modul în care colaborarea dintre instituțiile publice și furnizorii privați poate accelera adoptarea și asigura interoperabilitatea.
. identificarea oportunităților practice de colaborare în cadrul ecosistemului românesc, în special între autoritățile publice, furnizorii de servicii de încredere, platformele de identitate digitală și organizațiile care integrează identificarea electronică în procesele lor operaționale.
Evenimentul ar putea avea loc chiar luna viitoare. Voi reveni cu mai multe detalii in acest sens.
Banking 4.0 – „how was the experience for you”
„To be honest I think that Sinaia, your conference, is much better then Davos.”
Many more interesting quotes in the video below:
