Το 2020 μας έφερε αντιμέτωπους με μια μη αναμενόμενη κατάσταση με επιτακτικές αλλαγές στον τρόπο ζωής μας. Σημειώθηκε ραγδαία ανάπτυξη στα ηλεκτρονικά μέσα για τη διευκόλυνση των συναλλαγών, βασική προϋπόθεση των οποίων είναι η ταυτοποίηση του προσώπου που συναλλάσσεται. Το παρόν άρθρο εξετάζει τις πρόσφατες πρωτοβουλίες ρύθμισης της εξ αποστάσεως ταυτοποίησης στην Ελλάδα, συγκρίνοντας μεταξύ των κανόνων για τους χρηματοπιστωτικούς οργανισμούς και αυτών για τους Παρόχους υπηρεσιών εμπιστοσύνης, συμπεραίνοντας τα πλεονεκτήματα στα οποία θα οδηγήσει η εναρμόνιση των δύο ρυθμιστικών πλαισίων.
Νομικό & Κανονιστικό Πλαίσιο
Ο πρόσφατος Ν. 4727/2020, που είχε ως στόχο τη συγκέντρωση σε ένα ενιαίο νομοθετικό κείμενο τη ρύθμιση θεμάτων ψηφιακής διακυβέρνησης, προβλέπει ότι τα ηλεκτρονικά έγγραφα που εκδίδονται από φυσικά ή νομικά πρόσωπα με τη χρήση εγκεκριμένης ηλεκτρονικής υπογραφής ή εγκεκριμένης ηλεκτρονικής σφραγίδας, γίνονται υποχρεωτικά αποδεκτά από τους φορείς του δημόσιου τομέα, τα δικαστήρια, τις εισαγγελίες, καθώς και από φυσικά ή νομικά πρόσωπα κατά την ηλεκτρονική διακίνησή τους. Ήδη γνωρίζουμε από τον Κανονισμό (ΕΕ) αρ. 910/2014 («Κανονισμό eIDAS») ότι η εγκεκριμένη ηλεκτρονική υπογραφή έχει νομική ισχύ ισοδύναμη με την ιδιόχειρη υπογραφή και ότι η εγκεκριμένη ηλεκτρονική σφραγίδα χαίρει του τεκμηρίου της ακεραιότητας των δεδομένων και της ορθότητας της προέλευσης των δεδομένων με τα οποία συνδέεται.
Το άρθρο 57 του Ν. 4727/2020 ορίζει ότι πριν από την έκδοση πιστοποιητικού, ο Πάροχος Υπηρεσιών Εμπιστοσύνης πρέπει να προβαίνει με κατάλληλα μέσα στην ταυτοποίηση του αιτούντος με μία από τις αναφερόμενες μεθόδους στο άρθρο 24 παρ. 1 του Κανονισμού eIDAS, οι οποίες είναι α) με φυσική παρουσία του φυσικού προσώπου ή του εξουσιοδοτημένου εκπροσώπου του νομικού προσώπου, β) εξ αποστάσεως, με τη χρήση μέσων ηλεκτρονικής ταυτοποίησης για τα οποία, πριν από την έκδοση του εγκεκριμένου πιστοποιητικού, έχει διασφαλιστεί η φυσική παρουσία του φυσικού προσώπου ή του εξουσιοδοτημένου εκπροσώπου του νομικού προσώπου, γ) μέσω πιστοποιητικού εγκεκριμένης ηλεκτρονικής υπογραφής ή εγκεκριμένης ηλεκτρονικής σφραγίδας που έχει εκδοθεί σύμφωνα με το στοιχείο α’ ή β’, ή δ) με τη χρήση άλλων μεθόδων ταυτοποίησης αναγνωρισμένων σε εθνικό επίπεδο που παρέχουν διασφάλιση ισοδύναμη με τη φυσική παρουσία.
Η ηλεκτρονική εξ αποστάσεως ταυτοποίηση εμπίπτει στην περίπτωση δ’ του άρθρου 24 παρ. 1 του Κανονισμού eIDAS και το άρθρο 57 του Ν. 4727/2020 αποτελεί τη νομική βάση ώστε οι Πάροχοι Υπηρεσιών Εμπιστοσύνης να έχουν τη δυνατότητα να ταυτοποιούν τα φυσικά ή νομικά πρόσωπα χρησιμοποιώντας τη συγκεκριμένη μέθοδο.
Η πρόταση της ΕΕΤΤ
Κατόπιν δημόσιας διαβούλευσης, η Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων (ΕΕΤΤ), η εποπτική αρχή των Παρόχων Υπηρεσιών Εμπιστοσύνης, εξέδωσε τον Απρίλιο 2020 πρόταση (εφεξής «Πρόταση της ΕΕΤΤ»), η οποία υποβλήθηκε στο Υπουργείο Ψηφιακής Διακυβέρνησης, προκειμένου να συνδράμει στην έκδοση υπουργικής απόφασης που θα καθορίζει τις αναγκαίες λεπτομέρειες, σύμφωνα με τα προβλεπόμενα στο (καταργηθέν) άρθρο 30 παρ. 2 της από 20-3-2020 Πράξης Νομοθετικού Περιεχομένου.
Σημειώνεται ότι το ίδιο λεκτικό για την έκδοση υπουργικής απόφασης δεν επαναλαμβάνεται στο άρθρο 57 του Ν. 4727/2020. Η εν λόγω Πρόταση της ΕΕΤΤ αναλύει τις απαιτήσεις σχετικά με την εξ αποστάσεως ταυτοποίηση κατά την έκδοση εγκεκριμένων πιστοποιητικών και επιτρέπει την εξ αποστάσεως ταυτοποίηση του φυσικού προσώπου ή του εκπροσώπου του νομικού προσώπου, για το οποίο εκδίδεται το πιστοποιητικό, από εκπαιδευμένο προσωπικό με τη χρήση τηλεδιάσκεψης (videoconference), ώστε να διασφαλίζεται η αμφίδρομη οπτική και ηχητική επικοινωνία σε πραγματικό χρόνο, η οποία υποστηρίζει παράλληλα την ανταλλαγή αρχείων και μηνυμάτων.
Κατάλληλα για την ταυτοποίηση είναι μόνο ισχύοντα πρωτότυπα έγγραφα με προηγμένα χαρακτηριστικά ασφαλείας, π.χ. υδατογραφήματα, οπτικώς μεταβλητό κείμενο, μηχανικώς αναγνώσιμη ζώνη (MRZ) μικροτσίπ κλπ., που περιλαμβάνουν τη φωτογραφία του κατόχου και έχουν εκδοθεί από αρμόδια Δημόσια Αρχή.
Επιπλέον, προτείνεται ότι για χρονικό διάστημα μέχρι και ενός έτους από την ημερομηνία έναρξης κυκλοφορίας των εγγράφων ταυτοποίησης νέου τύπου με προηγμένα χαρακτηριστικά ασφαλείας, θα γίνονται δεκτά, κατά την κρίση του Παρόχου υπηρεσιών εμπιστοσύνης και κατόπιν διενέργειας ανάλυσης κινδύνου, τα ισχύοντα αστυνομικά δελτία ταυτότητας, στα οποία αναγράφεται και με λατινικούς χαρακτήρες το ονοματεπώνυμο, καθώς και τα δελτία ταυτότητας των στελεχών των Ενόπλων Δυνάμεων και των Σωμάτων Ασφαλείας, ενώ θα χρησιμοποιούνται βάσεις δεδομένων κατάλληλες για την επαλήθευση των στοιχείων των εγγράφων.
Η Πράξη της Τράπεζας της Ελλάδος
Η Τράπεζα της Ελλάδος όρισε με την υπ’ αριθ. 172/1/29.05.2020 Πράξη της Εκτελεστικής Επιτροπής (εφεξής «Πράξη της ΤτΕ) τους όρους και τις προϋποθέσεις για την εξ αποστάσεως ηλεκτρονική ταυτοποίηση φυσικών προσώπων («Digital Onboarding»), κατά τη σύναψη επιχειρηματικής σχέσης, από τα πιστωτικά ιδρύματα και τους χρηματοπιστωτικούς οργανισμούς (εν γένει υπόχρεα πρόσωπα) που εποπτεύονται από την Τράπεζα της Ελλάδος, στο πλαίσιο εφαρμογής των διατάξεων για την πρόληψη της νομιμοποίησης εσόδων από εγκληματικές δραστηριότητες και της χρηματοδότησης της τρομοκρατίας.
Η Πράξη της ΤτΕ επιτρέπει ως μεθόδους εξ αποστάσεως ταυτοποίησης: α) την τηλεδιάσκεψη (videoconference) με εκπαιδευμένο υπάλληλο, η οποία συνιστά αμφίδρομη οπτική και ηχητική επικοινωνία σε πραγματικό χρόνο μεταξύ του φυσικού προσώπου και του εκπαιδευμένου υπαλλήλου που βρίσκονται σε διαφορετικές τοποθεσίες και η οποία υποστηρίζει παράλληλα την ανταλλαγή αρχείων και μηνυμάτων, ή β) την αυτοματοποιημένη διαδικασία χωρίς παρουσία υπαλλήλου, μέσω λήψης δυναμικού αυτοπορτρέτου (dynamic selfie), η οποία βασίζεται στη δυναμική και όχι στατική λήψη φωτογραφιών του φυσικού προσώπου ώστε να διασφαλίζεται ότι αυτό μετέχει ζωντανά στη διαδικασία (liveness).
Γίνονται αποδεκτά πρωτότυπα έγγραφα ταυτοποίησης, εφόσον περιλαμβάνονται στο Επιγραμμικό Δημόσιο Μητρώο Γνήσιων Εγγράφων Ταυτότητας και Ταξιδίου (PRADO) και φέρουν φωτογραφία και υπογραφή του κατόχου τους, μηχανικώς αναγνώσιμη ζώνη (MRZ), καθώς και δύο ακόμα προηγμένα οπτικά χαρακτηριστικά ασφαλείας από αυτά που περιγράφονται λεπτομερώς στο ως άνω μητρώο. Χαρακτηριστικό παράδειγμα εγγράφου ταυτοποίησης που φέρει τα παραπάνω χαρακτηριστικά είναι το διαβατήριο. Κατ’ εξαίρεση, είναι αποδεκτό και το Δελτίο Αστυνομικής Ταυτότητας με λατινικούς χαρακτήρες, μόνο κατά τη χρήση της τηλεδιάσκεψης και κατόπιν ελέγχου της εγκυρότητάς του μέσω διασύνδεσης με την Ενιαία Ψηφιακή Πύλη της Δημόσιας Διοίκησης.
H Απόφαση της Επιτροπής Κεφαλαιαγοράς
Ομοίως, η απόφαση της Επιτροπής Κεφαλαιαγοράς καθορίζει τους όρους και τις προϋποθέσεις για την εξ αποστάσεως ταυτοποίηση φυσικών προσώπων κατά τη σύναψη επιχειρηματικής σχέσης με τα εποπτευόμενα υπόχρεα πρόσωπα ή τη διενέργεια περιστασιακής συναλλαγής (εφεξής «Απόφαση της Επιτροπής Κεφαλαιαγοράς»). Αποδεκτά πρωτότυπα έγγραφα ταυτοποίησης είναι το Δελτίο Αστυνομικής Ταυτότητας ή η ταυτότητα υπηρετούντων στα Σώματα Ασφαλείας και στις Ένοπλες Δυνάμεις ή το διαβατήριο, τα οποία φέρουν φωτογραφία και υπογραφή του κατόχου τους, μηχανικώς αναγνώσιμη ζώνη (MRZ), καθώς και δύο ακόμα προηγμένα οπτικά χαρακτηριστικά ασφαλείας από αυτά που περιγράφονται λεπτομερώς στο μητρώο PRADO.
Επιτρεπόμενες μέθοδοι ταυτοποίησης είναι α) η τηλεδιάσκεψη με εκπαιδευμένο υπάλληλο, χρησιμοποιώντας λογισμικές εφαρμογές, όπως ενδεικτικά Microsoft Teams, Skype, WebEx, Zoom ή άλλη εφαρμογή, προκειμένου να επαληθευθεί η «φυσική υπόσταση» του πελάτη με αυτήν που εμφανίζεται στα έγγραφα που λαμβάνονται με ηλεκτρονικό μήνυμα κατά τη διάρκεια της τηλεδιάσκεψης, ή β) η αυτοματοποιημένη διαδικασία χωρίς παρουσία υπαλλήλου, μέσω λήψης δυναμικού αυτοπορτρέτου (dynamic-selfie) σε πραγματικό χρόνο με τη χρήση εξειδικευμένης λογισμικής εφαρμογής, η οποία βασίζεται στη δυναμική και όχι στατική λήψη φωτογραφιών του φυσικού προσώπου, ώστε να διασφαλίζεται ότι αυτό μετέχει ζωντανά στη διαδικασία (liveness).
Σύγκριση των τριών ρυθμίσεων
Υπάρχουν πολλές ομοιότητες μεταξύ της Πρότασης της ΕΕΤΤ, της Πράξης της ΤτΕ και της Απόφασης της Επιτροπής Κεφαλαιαγοράς, με τις δύο τελευταίες να αλληλοκαλύπτονται σε πολλά σημεία, όπως είναι η κατάρτιση και εκπαίδευση των υπαλλήλων που πραγματοποιούν την τηλεδιάσκεψη, η διασύνδεση με αξιόπιστες δημόσιες βάσεις δεδομένων/μητρώων πολιτών, η τήρηση αρχείου για τις πραγματοποιηθείσες τηλεδιασκέψεις για ορισμένο χρονικό διάστημα, η συμμόρφωση με το νομικό πλαίσιο περί προστασίας προσωπικών δεδομένων, η λήψη ρητής συγκατάθεσης για την επεξεργασία της εικόνας του ταυτοποιούμενου προσώπου, η δυνατότητα ανάθεσης της διαδικασίας ταυτοποίησης σε εξωτερικό πάροχο υπηρεσιών, η αξιολόγηση των κινδύνων σε περίπτωση που γίνουν αποδεκτά τα ισχύοντα αστυνομικά δελτία ταυτότητας που δεν φέρουν προηγμένα χαρακτηριστικά ασφαλείας, οι λόγοι τερματισμού της διαδικασίας, όταν δεν είναι εφικτή η επαλήθευση του φυσικού προσώπου ή/και του επίσημου εγγράφου ταυτοποίησης, ή υφίσταται οποιαδήποτε ασυμφωνία ή αβεβαιότητα μεταξύ αυτών κ.ά.
Είναι αξιοσημείωτο ότι για τα υπόχρεα πρόσωπα ορίζεται ότι η αξιοπιστία της διαδικασίας αποτελεί αντικείμενο εσωτερικού ελέγχου αλλά και των εξωτερικών ελεγκτών που εντάσσουν τα αποτελέσματα στην έκθεσή τους, ενώ για τους Παρόχους Υπηρεσιών Εμπιστοσύνης, αναφέρεται ότι η διαδικασία πιστοποιείται από τον Οργανισμό Αξιολόγησης Συμμόρφωσης και η αντίστοιχη έκθεση υποβάλλεται από τον Πάροχο στην ΕΕΤΤ.
Η ΕΕΤΤ έχει εισηγηθεί την ταυτοποίηση από υπάλληλο μέσω τηλεδιάσκεψης, ενώ η ΤτΕ και η Επιτροπή Κεφαλαιαγοράς επιτρέπει και τη διαδικασία χωρίς την παρουσία υπαλλήλου
Η βασική διαφορά είναι ότι η Απόφαση της ΕΕΤΤ έχει εισηγηθεί την ταυτοποίηση που πραγματοποιείται από υπάλληλο μέσω τηλεδιάσκεψης-βιντεοκλήσης, ενώ η Πράξη της ΤτΕ και η Απόφαση της Επιτροπής Κεφαλαιαγοράς επιτρέπει και την αυτοματοποιημένη διαδικασία χωρίς την παρουσία υπαλλήλου. Βέβαια, εάν δοθεί η δυνατότητα και επιλογή στους Παρόχους Υπηρεσιών Εμπιστοσύνης να διεξάγουν υπό προϋποθέσεις τη διαδικασία ταυτοποίησης και με πλήρως αυτοματοποιημένο τρόπο, τότε τα τρία ρυθμιστικά πλαίσια θα συμπλεύσουν, αποφέροντας τα ανάλογα οφέλη σε όλα τα εμπλεκόμενα μέρη.
Τα βήματα προς την εφαρμογή της εξ αποστάσεως ταυτοποίησης
Ο Κανονισμός eIDAS βρίσκεται ήδη σε διαδικασία επικαιροποίησης. Η Ευρωπαϊκή Επιτροπή διεξήγαγε δημόσια διαβούλευση που έληξε τον Οκτώβριο 2020. Ο στόχος της διαβούλευσης ήταν να αξιολογηθεί το ισχύον κανονιστικό πλαίσιο, δηλαδή σε ποιο βαθμό παραμένει κατάλληλο για την επίτευξη των επιδιωκόμενων σκοπών και κατά πόσον είναι σκόπιμο να τροποποιηθεί, λαμβάνοντας υπόψη την εμπειρία που αποκτήθηκε από την εφαρμογή του, τις τεχνολογικές και νομικές εξελίξεις αλλά και τις τάσεις της αγοράς.
Όπως αναφέρθηκε παραπάνω, στην Ελλάδα έχει ήδη τεθεί η νομική βάση σε εθνικό επίπεδο, ώστε και οι Πάροχοι Υπηρεσιών Εμπιστοσύνης να έχουν τη δυνατότητα να ταυτοποιούν τα πρόσωπα που επιθυμούν την έκδοση πιστοποιητικού ηλεκτρονικής υπογραφής, σφραγίδας κλπ. χρησιμοποιώντας τη συγκεκριμένη μέθοδο. Αναμένεται, όμως, η αναλυτική ρύθμιση που θα ορίσει βάσει ποιων απαιτήσεων οι Πάροχοι Υπηρεσιών Εμπιστοσύνης θα μπορούν να τη χρησιμοποιούν. Παραμένει να δούμε εάν θα επιτραπεί και η αυτοματοποιημένη διαδικασία χωρίς την παρουσία υπαλλήλου, σε εναρμόνιση με τη δυνατότητα που παρέχεται στα υπόχρεα πρόσωπα που εποπτεύονται από την Τράπεζα της Ελλάδος και την Επιτροπή Κεφαλαιαγοράς.
Η καθυστέρηση ρύθμισης της εξ αποστάσεως ταυτοποίησης στην Ελλάδα μπορεί να οδηγήσει ευλόγως σε ζητήματα ανταγωνισμού εντός της ενιαίας ευρωπαϊκής αγοράς
Η εν λόγω μέθοδος ταυτοποίησης από τους Παρόχους Υπηρεσιών Εμπιστοσύνης έχει ήδη αναγνωριστεί σε εθνικό επίπεδο από άλλα κράτη μέλη της Ε.Ε. και η καθυστέρηση της ρύθμισής της στην Ελλάδα μπορεί να οδηγήσει ευλόγως σε ζητήματα ανταγωνισμού εντός της ευρωπαϊκής ενιαίας αγοράς. Προς το παρόν, δεν είναι δυνατή η εξ αποστάσεως ταυτοποίηση προσώπων που επιθυμούν την έκδοση ηλεκτρονικής υπογραφής, με αποτέλεσμα αυτά να απευθύνονται σε άλλους Παρόχους που λειτουργούν στην Ε.Ε. και παρέχουν αυτή τη δυνατότητα.
Έτσι, αφενός τα πρόσωπα στερούνται μιας σημαντικής υπηρεσίας, και αφετέρου οι ημεδαποί Πάροχοι χάνουν επιχειρηματικές ευκαιρίες, πελάτες και κέρδη. Η ρύθμιση της εξ αποστάσεως ταυτοποίησης θα συντελέσει ουσιωδώς στη διευκόλυνση της ταυτοποίησης των προσώπων, όταν δεν είναι δυνατή η φυσική παρουσία, ενώ η δυνατότητα διεξαγωγής της και με αυτοματοποιημένο τρόπο υπό προϋποθέσεις από τους Παρόχους Υπηρεσιών Εμπιστοσύνης θα οδηγήσει σε αξιόλογες συνεργασίες και επιχειρηματικές πρωτοβουλίες, εφόσον θα εναρμονίζεται με το αντίστοιχο ρυθμιστικό πλαίσιο που διέπει τους χρηματοπιστωτικούς οργανισμούς.