Decizia Autoritatii pentru Digitalizarea Romaniei (ADR) nr.564 a pentru aprobarea Normelor privind reglementarea, recunoasterea, aprobarea sau acceptarea procedurii de identificare a persoanei la distanta utilizand mijloace video a fost publicata in Monitorul Oficial (Partea I) nr. 1119 din 24 noiembrie 2021.
Mentionam ca dispozitiile vor intra in vigoare la o luna de la data publicarii, respectiv in data de 24 decembrie 2021.
Documentul stabileste cerintele minime tehnice si de securitate privind reglementarea, recunoasterea, aprobarea sau acceptarea procedurii de identificare a persoanei la distanta utilizand mijloace video de catre furnizorii de servicii de identificare, ca forma a „identificarii electronice“ definite in Regulamentul eIDAS.
Potrivit Normelor, identificarea persoanei la distanta prin mijloace video reprezinta procesul de identificare si verificare a identitatii persoanei fizice, in baza documentelor prezentate, a imaginilor capturate si/sau a informatiilor comunicate de persoana fizica, utilizand mijloace video.
Activitatea de identificare a persoanei la distanta prin mijloace video de catre furnizori de servicii de profil, inregistrati in Romania, se poate efectua numai dupa obtinerea avizului emis de catre Autoritatea pentru Digitalizarea Romaniei. ADR va emite avizul conform modelului din anexa nr.4 a Deciziei 564/2021, in termen de 30 de zile calendaristice de la depunerea documentatiei complete.
Potrivit actului normativ, identificarea persoanei la distanta utilizand mijloace video se realizeaza cu ajutorul unui sistem. Pentru verificarea identitatii persoanei la distanta utilizand mijloace video se utilizeaza atat documentele de identitate, a caror imagine este capturata prin mijlocul video, cat si date sau informatii obtinute din surse credibile si independente, in masura in care sunt disponibile, inclusiv pe baza de acorduri/parteneriate incheiate intre institutii publice sau private si furnizorii de servicii de identificare, de exemplu: baze de date ale organismelor din sectorul public, baze de date private care contin informatii de la autoritati publice, rapoarte de audit, documente fiscale, extrase de cont etc.
Consultarea surselor de date este efectuata cu respectarea cerintelor aplicabile in materia protectiei datelor cu caracter personal de informare a persoanei vizate, respectiv a persoanei supuse identificarii la distanta prin mijloace video, in mod prealabil efectuarii unei activitati de prelucrare de date.
Se interzice utilizarea datelor/informatiilor obtinute de catre furnizorii de servicii de identificare in procesul de identificare a persoanei la distanta prin mijloace video din diverse surse in alte scopuri, fara informarea/acordul persoanei sau alte prevederi legale in acest sens.
Actul normativ prevede, intre altele, ca prestatorii de servicii de plata, institutiile de credit si institutiile financiare nebancare care doresc sa utilizeze mijloace video pentru identificarea clientilor la distanta, cu respectarea cerintelor legale aplicabile in materia prevenirii si combaterii spalarii banilor si finantarii terorismului, au obligatia de a notifica ADR cu 30 de zile inainte de utilizarea mijloacelor video pentru identificarea clientilor la distanta.
Notificarea va fi insotita de urmatoarele documente:
- descrierea solutiei tehnice si a echipamentelor utilizate in procesul de identificare a persoanei la distanta utilizand mijloace video (poate fi inclusa in documentatia de avizare a instrumentului financiar de plata cu acces la distanta);
- raport de audit in care sa se specifice conformitatea cu cerintele prevazute in prezentele norme, realizat de un auditor din lista auditorilor IT publicata pe site-ul Autoritatii (referintele la identificarea utilizand mijloace video pot fi incluse in raportul de audit intocmit pentru avizarea instrumentului financiar de plata cu acces la distanta);
- o polita de asigurare de raspundere civila fata de terti, in valoare de 100.000 euro, care sa acopere prejudiciile cauzate de identificarea incorecta a clientului (polita de asigurare trebuie sa fie valabila/reinnoita pe toata perioada cat prestatorul de servicii de plata utilizeaza metoda de identificare a persoanei la distanta utilizand mijloace video);
- declaratia reprezentantului legal ca prestatorul de servicii de plata dispune de politici si proceduri de identificare si diminuare a riscului asociat metodei de identificare, inclusiv personal specializat in conformitate cu prevederile Legii nr.129/2019 pentru prevenirea si combaterea spalarii banilor si finantarii terorismului, precum si pentru modificarea si completarea unor acte normative, cu modificarile si completarile ulterioare;
- lista standardelor recomandate de catre ETSI si Comisia Europeana, in cazul in care au fost definite la nivelul UE, in baza carora se realizeaza identificarea video;
- o declaratie pe proprie raspundere a reprezentantului legal al prestatorului de servicii de plata din care sa rezulte ca prestatorul a adoptat si implementat proceduri privind protectia datelor cu caracter personal in procesul de identificare a persoanei la distanta utilizand mijloace video, in concordanta cu legislatia in domeniu.
Este important de mentionat faptul ca, in cazul in care prestatorul de servicii de plata, institutia de credit sau institutia financiara nebancara va utiliza, pentru identificarea persoanei la distanta utilizand mijloace video, servicii si/sau sisteme/procese furnizate de catre un tert de verificare a identitatii sau de un prestator de servicii de incredere calificate, va depune in locul documentelor mentionate anterior o copie a contractului incheiat cu tertul/prestatorul de servicii de incredere, precum si declaratia reprezentantului legal ca dispune de politici si proceduri interne privind utilizarea acestora.
In cazul in care solutia tehnica utilizata de catre prestatorul de servicii de plata, institutia de credit sau institutia financiara nebancara pentru identificarea persoanei la distanta utilizand mijloace video este utilizata de catre un prestator de servicii de incredere in scopul furnizarii de servicii de incredere calificate, este obligatoriu ca prestatorul de servicii de plata, institutia de credit sau institutia financiara nebancara sa prezinte Autoritatii raportul de evaluare a conformitatii solutiei, intocmit de catre un organism de evaluare a conformitatii, in concordanta cu prevederile Regulamentului eIDAS.
In procesul de verificare a identitatii persoanei la distanta utilizand mijloace video se pot utiliza serviciile furnizate de catre terti in baza unui contract.
Tertul care efectueaza identificarea persoanei la distanta utilizand mijloace video in numele unei alte entitati este obligat sa respecte prevederile prezentelor norme.
Lista tertilor care pot efectua identificarea persoanei la distanta utilizand mijloace video va fi gestionata de catre Autoritate si publicata pe pagina de internet a acesteia.
Contractul pentru furnizarea serviciilor de identificare a persoanei la distanta utilizand mijloace video, incheiat de tert cu entitati publice sau private, va contine clauze referitoare la modalitatile de despagubire a persoanelor prejudiciate, in cazul producerii unui eventual prejudiciu.
Procedura privind inscrierea/radierea tertilor in/din lista tertilor de verificare, precum si cerintele de inscriere este detaliata in anexa nr. 3 din Decizia ADR 564/2021.
Decizia ADR 564/2021 stipuleaza ca identificarea la distanta utilizand mijloace video poate fi realizata prin mijloace de verificare automatizate, fara operator uman, sau prin mijloace de verificare cu operator uman.
Identificarea la distanta utilizand mijloace video realizata cu operator uman poate fi efectuata doar de personal instruit. Persoanele care au atributii si responsabilitati in procesul de identificare a persoanei la distanta utilizand mijloace video vor beneficia sau vor fi obligate sa urmeze cursuri de pregatire profesionala sau programe de instruire anuale, organizate extern sau intern. Instruirea personalului desemnat pentru realizarea identificarii persoanei la distanta utilizand mijloace video intra in responsabilitatea reprezentantului legal al furnizorului de servicii de identificare sau a unei persoane desemnate de reprezentantul legal in acest sens.
Atributiile si responsabilitatile personalului care realizeaza identificarea persoanei la distanta utilizand mijloace video vor fi stabilite prin act administrativ al persoanei care are competenta de numire in functie si vor fi prevazute in fisa postului. Identificarea la distanta utilizand mijloace video realizata prin mijloace de verificare automatizate, fara operator uman, va utiliza mijloace digitale in conformitate cu standardele in vigoare, dispozitiile din prezentele norme referitoare la personalul instruit sau operatorul uman neaplicandu-se in acest caz.
In procesul de identificare a persoanei la distanta utilizand mijloace video sunt permise numai documentele de identitate, identificabile in mod clar si aflate in termenul de valabilitate, emise de o autoritate publica competenta.
Mentionam ca aceste documente sunt specificate in Normele metodologice.
La verificarea documentelor de identitate vor fi avute in vedere urmatoarele aspecte, dar fara a se limita la acestea:
- starea documentului de identitate, asigurandu-se ca acesta nu este deteriorat sau nu are elemente detectabile de falsificare;
- existenta elementelor de securitate optica/vizuala, dupa caz;
- sa ceara persoanei care parcurge procedura de identificare a persoanei la distanta utilizand mijloace video sa incline documentul pe orizontala si/sau verticala in fata dispozitivului video de identificare;
- verificarea a cel putin trei elemente de securitate din categorii diferite;
- verificarea altor elemente, daca este cazul, cum ar fi: formatul documentului, dimensiunea si distantarea caracterelor si fontul tipografic, in functie de tipul de document analizat;
- verificarea continutului caracteristicilor individuale gasite in document, si anume, compararea fotografiilor primare si secundare – fotografia realizata cu imprimare laser cu cea fantoma (monocroma).
La verificarea identitatii persoanei se au in vedere urmatoarele aspecte, dar fara a se limita la acestea:
- sa se asigure ca fotografia si elementele inscrise pe documentul de identitate corespund persoanei care parcurge procedura de identificare a persoanei la distanta utilizand mijloace video;
- sa se asigure ca informatiile continute in documentul de identificare sunt corecte si valabile, in raport cu persoana care parcurge procedura de identificare a persoanei la distanta utilizand mijloace video;
- sa se asigure ca informatiile furnizate de persoana care parcurge procedura de identificare a persoanei la distanta utilizand mijloace video sunt corecte;
- tipul si secventa de intrebari adresate in procesul de identificare nu pot fi identice in sesiunile de identificare consecutive, daca este cazul, in lipsa informatiilor mentionate la lit. a), b), c) sau f);
- in cazul in care identificarea persoanei la distanta prin metode video se realizeaza in mod automatizat, solicitarile sau secventele video trebuie sa contina un element aleatoriu pentru a preveni riscul de preinregistrare a procesului de identificare la distanta prin metode video;
- sa se efectueze verificarea incrucisata a informatiilor furnizate de persoana care parcurge procedura de identificare a persoanei la distanta utilizand mijloace video si a informatiilor rezultate din calculul automat al citirii caracterelor MRZ, atunci cand este posibil;
- sa se solicite, daca este cazul, alte documente si/sau informatii prin care sa se verifice identitatea.
Pe parcursul procesului de identificare a persoanei la distanta utilizand mijloace video este obligatoriu sa se utilizeze un factor de autentificare suplimentar, prin transmiterea catre persoana care parcurge procedura de identificare a persoanei la distanta utilizand mijloace video a unui cod de unica folosinta (One Time Password – OTP) sau prin transmiterea unui link cu o durata limitata, special creat in acest scop, generat in mod individual (prin e-mail sau SMS).
Procedura de identificare a persoanei la distanta poate fi incheiata numai daca a fost finalizata transmiterea si validarea OTP sau numai daca au fost finalizate transmiterea si accesarea linkului.
Intregul proces de identificare a persoanei la distanta utilizand mijloace video, in toate etapele sale, trebuie sa fie inregistrat si pastrat. Toate inregistrarile audiovideo, datele si informatiile aferente procesului respectiv de identificare a persoanei vor fi pastrate intr-o forma admisa in procedurile judiciare.
Masuri tranzitorii:
Furnizorii de servicii de identificare la distanta prin mijloace video au obligatia de a se conforma obligatiilor ce le revin in temeiul prezentelor norme in termen de 240 de zile de la data publicarii acestora in Monitorul Oficial al Romaniei, Partea I.
Baza legala: Decizia ADR 564/2021 pentru aprobarea Normelor privind reglementarea, recunoasterea, aprobarea sau acceptarea procedurii de identificare a persoanei la distanta utilizand mijloace video.