Standardisering av digital identitet i EU
eID AS definierar en ny era för ID-verifiering online
”Det avsnitt i eID AS-förordningen som rör elektronisk identifiering skapar en förutsägbar regelmiljö för att möjliggöra säkra och sömlösa elektroniska interaktioner mellan företag, medborgare och myndigheter.” ( Trender inom elektronisk identifiering )
Ur en strikt juridisk synvinkel säkerställer eID AS-förordningen gränsöverskridande tillgång till offentliga tjänster: personer och organisationer inom en EU-medlemsstat ska kunna använda sina egna eID medel för att få tillgång till offentliga tjänster i andra EU-medlemsstater (förutsatt att dessa offentliga tjänster erbjuder säker inloggning till sina webbtjänster som ett alternativ för sina egna medborgare).
Till exempel kommer en fransk student som vill studera vid universitet i Sverige inte att hindras från att få tillgång till och slutföra online-registreringsprocessen om hon inte har BankID (det mest använda eID medlet i Sverige) för att autentisera sin identitet. Med eID AS kommer hennes FrenchConnect eID att vara lika giltigt.
Två viktiga punkter att notera:
- eID AS kräver inte användning av eID, utan möjliggör och skyddar dess användning.
- Genom att tillhandahålla en EU-omfattande rättslig ram har förordningen stora konsekvenser även för användningen av eID inom den privata sektorn.
Från och med 2023 håller EU på att revidera förordningen om e-legitimation eID ) och deltar i ett ambitiöst, långsiktigt projekt – EU:s digitala identitetsplånbok – för att stödja användningen av digitala identiteter i hela EU, vilket du kan läsa mer om i denna nedladdningsbara e-bok.
Definitioner
Innan vi går vidare kommer några grundläggande definitioner att underlätta diskussionen:
Elektronisk identifiering/ eID kan syfta på:
- en elektronisk metod som ”kan garantera entydig identifiering av en person” ( 1 )
- en individs elektroniskt lagrade identitetsuppgifter, den digitala motsvarigheten till deras traditionella, fysiska ID-kort
- handlingen att identifiera eller autentisera sig själv i en digital miljö
eID system : enligt eID AS, ”ett system för elektronisk identifiering enligt vilket elektroniska identifieringsmedel utfärdas till fysiska eller juridiska personer, eller fysiska personer som representerar juridiska personer” ( 2 ); system har utvecklats av offentliga organisationer, privata företag och offentlig-privata joint ventures
eID betyder : ”en materiell och/eller immateriell enhet som innehåller personidentifieringsdata och som används för autentisering för en onlinetjänst” ( 3 ); en specifik metod för att identifiera sig i en digital miljö som överensstämmer med ett eID system och utfärdas till användare av en eID leverantör; betrakta det som den medborgar-/kundvändiga komponenten i ett eID ekosystem; exempel: den chipbaserade eID som är inbäddad i Tysklands nationella identitetskort, Belgiens Itsme-mobilapp
Mål för eID AS för offentlig och privat sektor
Förordningen om eID AS kommer att påverka den privata sektorn lika mycket som, om inte mer än, den offentliga sektorn.
”Det avsnitt i förordningen om eID AS som rör elektronisk identifiering, som träder i kraft i september 2018, skapar en förutsägbar regelmiljö för att möjliggöra säker och smidig elektronisk interaktion mellan företag, medborgare och myndigheter. Ett av dess huvudmål är att säkerställa att individer och företag kan använda sina egna nationella eID legitimationer för att få tillgång till offentliga onlinetjänster i andra EU-länder, vilket kräver att ett ömsesidigt interoperabelt nätverk av eID system inrättas i Europa.” ( 4 )
Att underlätta handeln inom den privata sektorn i den digitala tidsåldern är ett annat viktigt mål med förordningen om eID AS. För att stödja detta mål erbjuder Europeiska kommissionen online-resurser som främjar fördelarna med eID och trust services för företag, inklusive en guide om hur man kan införa dessa verktyg i sin verksamhet. ( 5 )
Både offentliga och privata organisationer (liksom gemensamma offentlig-privata allianser) har varit aktiva i att utveckla eID legitimationssystem, medel och infrastruktur, baserat på deras varierande mandat och motiv. Bankbranschen har varit och fortsätter att vara särskilt aktiv. ”Banker spenderar nu tillsammans mer än 1 miljard dollar per år på att finansiera forskning och utveckling av identitetslösningar, vilket gör dem till världens ledande investerare, till och med framför nationella regeringar och polismyndigheter”. ( 6 )
Nivåer av säkerhet
För att rättsligt garantera interoperabilitet mellan medlemsstaterna definierar eID AS-förordningen tydligt de standarder som ett eID system måste uppfylla. Dessa standarder vägleder i sin tur de tekniska och säkerhetsmässiga specifikationerna för eID -medel, samt deras användning och godkännande.
För att illustrera värdet av att ha en gemensam EU-omfattande rättslig ram kan man överväga en av de viktigaste specifikationerna: säkerhetsnivåerna (LoA). ( 7 ) Varje eID AS-kompatibelt eID system klassificeras enligt en eller flera av tre olika säkerhetsnivåer: Låg, Betydande och Hög. ”Säkerhetsnivåer kännetecknar graden av förtroende för den elektroniska identifieringsbehörighet som används för att fastställa en persons identitet, vilket ger en försäkran om att den person som gör anspråk på en identitet faktiskt är den person som identiteten tilldelades.” ( 8 )
De tre säkerhetsnivåerna enligt eID AS är baserade på ISO/IEC 2915-standarden, som är grunden för många säkerhetsramverk över hela världen. (Låg, Betydande och Hög motsvarar ISO/IEC 2915 nivå 2, 3 respektive 4.) Två viktiga faktorer som bidrar till att avgöra graden av säkerhet som varje nivå erbjuder är: Identitetssäkring vid registreringstillfället: hur rigorös var processen för att identifiera personen eller enheten när de ansökte om sin eID ?
- Identitetssäkring vid registreringstillfället: hur rigorös var processen för att identifiera personen eller enheten när de ansökte om sin eID ?
- Autentiseringssäkring : styrkan hos de metoder som används vid autentiseringstillfället
Utöver identitetssäkring och autentiseringssäkring inkluderar andra viktiga faktorer “tillförlitligheten och kvaliteten hos”: förfarandena för att utfärda eID legitimation, den enhet som utfärdar eID legitimation och “alla andra organ” som kan vara involverade i ansökan om utfärdande av eID legitimation. ( 9 )
Med hjälp av detta ramverk kan lagstiftarna sedan enkelt specificera vilken säkerhetsnivå en eID legitimation måste ha för en given typ av transaktion. Privata företag kan efter eget gottfinnande kräva en ännu högre säkerhetsnivå än vad lagen kräver om de beslutar att deras egen affärsrisk motiverar det. Fördelarna med extra säkerhet måste naturligtvis vägas mot kvaliteten på kundupplevelsen och de extra transaktionskostnaderna för företaget.
| Nivå av säkerhet | Identitetssäkring (identitetsbekräftelse vid registrering) | Autentiseringssäkring |
|---|---|---|
| Låg | Visa legitimation från auktoritativ källa (fjärrstyrd eller personlig) | Enskild faktor (t.ex. lösenord eller PIN-kod) |
| Betydande | • Visa legitimation (på distans eller personligen) • ID-verifiering utförd av registreringsmyndigheten | Flerfaktorer (t.ex. mobiltelefon + PIN-kod) |
| Hög | • Personlig legitimationskontroll hos registreringsmyndigheten • ID-verifiering med hjälp av officiella myndighetskällor och dokument | • Flerfaktorig • Måste komma åt privata data/nycklar som lagras på en manipulationssäker hårdvarutoken • Kryptografiskt skydd av personligt identifierande information (PII) |
Formalisering och implementering eID legitimationssystem: Anmälan och eID AS-nätverket
Att möjliggöra interoperabilitet mellan eID system i olika medlemsstater kräver en metod för att hantera och utföra gränsöverskridande autentisering, samt en process för att formalisera eID eID.
Processen för att formellt godkänna ett eID system kallas ”anmälan”. Varje medlemsstat ansvarar för att anmäla sina egna eID -system och säkerställer att de uppfyller alla säkerhets- och kvalitetskrav för eID AS. ( 10 ) Processen innebär en kollegial granskning av medlemsstaterna, och när eID systemet officiellt har lagts till i eID AS-nätverket (se nedan) kommer EU:s medlemsstater att vara skyldiga att erkänna det ”senast 12 månader efter offentliggörandet i Europeiska unionens officiella tidning”. ( eID AS”>11 )
Den tekniska infrastrukturen som förbinder de olika eID systemen och -medlen kallas eID AS-nätverket. Detta nätverk är baserat på en serie noder ( eID AS-noder), som implementeras på medlemsstatsnivå. I samband med en enskild transaktion kan varje nod både begära och tillhandahålla gränsöverskridande autentisering.
Driva fram införandet eID, underlätta handel
Nya eID system utvecklas gradvis och läggs till i eID AS-nätverket. Men företag behöver inte vänta på anmälan för att dra nytta av fördelarna med elektronisk identifiering, inklusive att uppfylla efterlevnadskrav (på nationell nivå), hantera affärsrisker och förbättra kundupplevelsen.
Effekten av eID AS på handeln blir tydlig när man beaktar konsekvenserna av en tydlig juridisk definition av eID i hela EU. Förordningen om eID AS:
- ger lagstiftarna i medlemsstaterna en gemensam rättslig ram när de utarbetar lagar som reglerar elektronisk identitet…
- …vilket i sin tur skapar ett starkare incitament för utveckling av eID legitimationssystem och -medel inom varje medlemsstat, och
- ger företag en erkänd rättslig grund för att erbjuda sina kunder eID som en metod för att verifiera sin identitet och autentisera sig i en digital miljö och signera dokument som uppfyller eID AS-standarden för avancerade och kvalificerade elektroniska signaturer .
Medan EU-kommissionen i sitt främjande av eID AS betonar gränsöverskridande samarbete, bör det noteras att elektronisk identifiering erbjuder enormt värde även för företag och kunder inom samma medlemsstat. Ett bra exempel är Sverige, en av få medlemsstater där elektronisk identifiering uppnådde ett brett genomslag långt före eID AS.
Svenska BankID, ett eID system och -medel som utvecklats av en grupp stora banker, utfärdades första gången 2003. BankID är erkänt enligt svensk lag och har ett brett förtroende, och har 7,5 miljoner regelbundna användare (73 % av befolkningen) som rutinmässigt använder det för att autentisera sig online, auktorisera transaktioner och få tillgång till offentliga tjänster.
BankID används också för att unikt identifiera undertecknaren vid undertecknande av avtal. Även om eID inte är en obligatorisk del av en giltig elektronisk signatur, anses kontraktet, om undertecknare av ett avtal använder BankID för att unikt identifiera sig, ha undertecknats med en elektronisk signatur på avancerad nivå, vilket har motsvarande rättsverkan som en handskriven signatur i Sverige (dvs. en särskild rättsverkan). På grund av BankID befintliga säkerhetsinfrastruktur finns det inga typer av avtal som kräver användning av en kvalificerad elektronisk signatur, vilken endast kan erhållas med hjälp av en elektronisk signaturlösning som uppfyller branschstandarder som inte är teknikneutrala.
Efterlevnad och kundupplevelse
För att illustrera vikten av eID AS för handeln, betrakta två stora utmaningar som dagens bankbransch står inför:
- Strängare efterlevnadsregler
- Hårdare konkurrens
Penningtvättsdirektivet (AMLD) är en EU-lag som särskilt påverkar bank- och finansbranschen. Till exempel ställer nya krav på kundkännedom (KYC) nu högre krav på bankernas identifiering av sina kunder. KYC inkluderar verifiering av nya kunders identitet och autentisering av befintliga kunders identitet när de använder vissa tjänster.
Samtidigt möter traditionella banker ny konkurrens från nya aktörer som är mycket bättre på att erbjuda den kundupplevelse som dagens konsumenter förväntar sig: en digital upplevelse, först och främst.
Penningtvättsdirektivet erkänner flera metoder som en bank kan använda för att verifiera sina kunders identitet, där var och en innebär avvägningar såsom tid och kostnad för att implementera å ena sidan kontra effekten på kundupplevelsen och varumärket. Personlig ID-kontroll och eID är båda metoder som uppfyller kraven i AMLD, men när det gäller att ge en modern kundupplevelse är det uppenbarligen att föredra att erbjuda eID som verifieringsmetod framför att kräva att kunderna besöker en fysisk bank.
Så vilka är hindren för att implementera eID ? Institutionell tröghet och riskaversion toppar förmodligen listan. Att få godkännande från interna juridiska rådgivare för nya digitala verktyg kan vara en formidabel utmaning. Men att inte digitalisera verksamheten har sina egna risker, särskilt på en alltmer konkurrensutsatt marknad.
Ett syfte med eID AS är att bidra till att sänka hindren för digital handel, vilket den gör i det här fallet genom att tillhandahålla tydliga definitioner och kategorier av elektronisk identifiering. AMLD hänvisar i sin tur till dessa definitioner för att specificera kraven för en kompatibel KYC-kontroll med eID. Så en bank som vill erbjuda eID behöver bara välja ett eID legitimationsmetod, med den erforderliga säkerhetsnivån, enligt ett system som överensstämmer med eID AS. Det finns inget behov av att avsätta omfattande juridiska och IT-resurser för att säkerställa efterlevnad.
Skaffa e-bok
Compliance och kundupplevelse: det är inte en kompromiss
Lär dig mer om agila strategier för reglerade verksamheter för att uppnå båda i stor skala. Spoiler: allt handlar inte om bättre teknik.
Fyll i formuläret för att få ditt exemplar.
Conclusion
The eIDAS regulation constitutes a major step towards the vision of a Single Digital Market in the EU, fostering and hastening digital transformation in the public and private sectors. It’s key to understand that unlike laws that mandate and restrict behaviour, eIDAS is about enablement, setting legally-recognised standards for digital commerce and public services. With an EU-wide legal framework in place, legislatures at the EU and Member State levels have a common reference for drafting laws, making it easier for private enterprises to roll out new digital tools and services.