Você consegue se lembrar da última vez que abriu uma conta bancária? É provável que você tenha entrado em uma agência bancária local e falado com um representante que pediu sua carteira de motorista e cartão de previdência social para verificar sua identidade. Agora imagine que você deseja criar uma conta bancária online. O processo provavelmente é semelhante – digite seu número de seguro social, tire uma foto de sua carteira de motorista e envie ambos ao banco por meio de sua página da web. Parece simples, certo?
Crédito:
Shutterstock
A verificação de identidade é importante – ela nos protege contra roubo de identidade e reduz o risco de fraude e acesso não autorizado para organizações como o banco. Quando você apresenta um passaporte para entrar em um avião, uma carteira de motorista para ter acesso a serviços governamentais ou seu cartão de previdência social ao iniciar um emprego com um novo empregador, você está dando à pessoa ou organização com quem está trabalhando a garantia de que você é quem diz ser. Esse processo permite que eles confiem em você e avancem com a transação. No entanto, ao concluir uma transação online, as coisas ficam mais complicadas.
Em notícias recentes, você pode ter visto manchetes sobre fraude online, roubo de identidade, inteligência artificial, falsificações profundas e outros desafios que enfrentamos no mundo digital. À medida que um número crescente de serviços e transações se move online, enfrentamos um cenário de risco em constante mudança que torna mais difícil proteger indivíduos e organizações de agentes mal-intencionados. Por exemplo, os meios tradicionais de verificação de identidade, em que você apresenta um documento de identidade como uma carteira de motorista para inspeção física, não funcionam para transações online. As melhores práticas atuais para verificação de identidade online pedem aos usuários que tirem uma foto de sua carteira de motorista com um smartphone e respondam a perguntas baseadas em conhecimento. A eficácia desses métodos está sendo corroída por novas tecnologias, como imagens de carteiras de motorista geradas por inteligência artificial, que são tão precisas que as ferramentas de digitalização de documentos acreditam que são reais, agravadas pela capacidade de agentes mal-intencionados de obter as informações necessárias para responder a perguntas baseadas em conhecimento.
No entanto, os avanços na tecnologia e a onipresença dos smartphones estão mudando a maneira como pensamos e apresentamos nossas identidades pessoalmente e online. Entre essas inovações está o surgimento da carteira de motorista móvel (mDLs). Os mDLs funcionam como uma carteira de motorista tradicional, transportando informações como nome, data de nascimento e endereço, mas em um formato digital acessível por meio de um aplicativo móvel dedicado, geralmente chamado de Carteira digital. Governos de todo o mundo estão explorando como credenciais digitais como mDLs podem ser usadas para substituir formas físicas de identificação. Na Europa, a Comissão Europeia aprovou um regulamento que orienta os estados membros a implementar uma Carteira Europeia de Identidade Digital. Nos EUA, vários estados já implantaram mDLs que podem ser usados para comprar álcool ou ser apresentados à Administração de Segurança de Transporte (TSA) ao embarcar em um avião.
Verificação de identidade no mundo digital
Os mDLs oferecem vários benefícios potenciais. Ao contrário de uma carteira de motorista física, os mDLs oferecem a conveniência de armazenar suas credenciais digitalmente em seu smartphone. Para casos de uso como verificações de segurança física ou verificação de idade, esses processos podem levar menos tempo e, ao mesmo tempo, minimizar os dados que você precisa expor. Mas talvez o maior benefício dos mDLs seja sua capacidade de usá-los perfeitamente para transações digitais e online.
Lembre-se do exemplo anterior de criação de uma conta bancária online. Mesmo se você seguir todas as etapas solicitadas pelo banco, ainda poderá descobrir que a verificação remota não pôde ser concluída e precisará visitar uma agência local para verificação pessoal. A realidade é que as carteiras de motorista físicas não foram projetadas para o nosso mundo online. Elementos de segurança, como hologramas, recursos táteis e microimpressão, são projetados para serem examinados fisicamente pessoalmente para garantir que sua carteira de motorista seja legítima. Esses mesmos recursos fornecem menos garantias quando você tira uma foto de sua carteira de motorista para ser examinada por um software online.
Os mDLs, no entanto, são projetados com transações digitais e online em mente. Eles são sustentados por criptografia de chave pública e funcionam com autenticação biométrica que fornece garantias da validade de sua licença e que você é a pessoa que a usa, ajudando a reduzir o roubo de identidade e a fraude. Eles podem funcionar nativamente entre dois aplicativos móveis em seu smartphone, mas também em fluxos entre dispositivos entre aplicativos móveis e a navegação na webser em seu laptop ou tablet. Eles também oferecem o potencial de divulgação seletiva, o que permitiria que você escolhesse quais informações de sua carteira de motorista deseja compartilhar com terceiros. Sua capacidade de ser usada online também pode ajudar a aliviar desafios de acessibilidade e equidade, como indivíduos com deficiências físicas ou restrições geográficas. Transações em instituições financeiras, provedores de saúde, serviços governamentais e muitas outras organizações poderiam se beneficiar de experiências aprimoradas do cliente, verificação de identidade mais precisa e fraude reduzida se suportassem mDLs.
Enfrentando desafios para realizar a adoção
Como acontece com qualquer nova tecnologia, o avanço dos mDLs levanta questões importantes sobre segurança, privacidade, usabilidade, equidade, acessibilidade e interoperabilidade. Para obter todo o valor das mDLs, é necessária colaboração para amadurecer padrões, práticas recomendadas e protocolos que protejam os dados do usuário e promovam a adoção de mDLs.
É por isso que o Centro Nacional de Excelência em Segurança Cibernética (NCCoE) está reunindo as partes interessadas de todo o ecossistema mDL para criar uma implementação de referência para promover padrões e melhores práticas para implantações de mDL e enfrentar os desafios de adoção do mDL. O primeiro caso de uso do NCCoE se concentrará em ajudar os consumidores a criar contas financeiras e instituições financeiras para atender aos requisitos do Programa de Identificação do Cliente/Conheça seu Cliente (CIP/KYC) usando mDLs. A arquitetura de referência para este projeto explorará vários recursos de mDLs para incluir:
- Prova de identidade remota – apresentação remota de mDLs como evidência de identidade com atributos de usuário verificáveis como parte de um processo de prova de identidade para estabelecer a identidade principal e atender aos requisitos do CIP.
- Autenticação – autenticação do usuário após comprovação de identidade e emissão da conta. Isso pode incluir o uso do mDL como um autenticador ou pode aproveitar a vinculação de um autenticador multifator resistente a phishing.
- Verificação Step-Up – após a autenticação do usuário, usando o mDL como uma verificação avançada para transações de alto risco ou quando houver suspeita de fraude.
O projeto NCCoE trabalhará em colaboração com provedores de tecnologia, reguladores, órgãos de padronização, agências governamentais e organizações que buscam adotar mDLs. Atualmente, o NCCoE está buscando a colaboração de instituições financeiras para nosso primeiro caso de uso. Especificamente, precisamos de feedback sobre as arquiteturas de tecnologia de front-end e núcleo para que possamos entender melhor como os mDLs podem ser integrados às pilhas de tecnologia atuais das instituições financeiras. Também precisamos de detalhes sobre a abertura e uso de contas financeiras on-line para obter clareza sobre como os mDLs aumentam esses processos de negócios. Por fim, precisamos entender melhor como as instituições financeiras consideram o valor que os mDLs podem trazer na prevenção de fraudes e no atendimento às expectativas dos reguladores para os requisitos CIP/CYK.
Se você gostaria de participar deste esforço, solicite uma carta de interesse de mdl-nccoe [at] nist.gov (mdl-nccoe[at]Nist[dot]gov).
Se você quiser se manter atualizado sobre este projeto, junte-se à nossa comunidade de interesse mDL. Estamos ansiosos para trabalhar com você para perceber o potencial dos mDLs.