Noile buletine cu cip ar putea accelera semnificativ digitalizarea în România, oferind autentificare securizată prin telefoane NFC

Noile buletine cu cip ar trebui să deschidă posibilități foarte moderne de digitalizare a relației cu statul român, dar și cu diverse companii private. Trebuie doar ca statul român să se miște accelerat în acea direcție.

Uitați la ce mă refer. Noile cărți de identitate au în ele un cip RFID, care poate și comunica prin atingere cu alte dispozitive, exact ca un card bancar sau precum pașaportul electronic din prezent. Cipul acesta conține, ca și pașaportul, în format digital aceleași informații care sunt oricum scrise pe buletin, adică nume, data nașterii, CNP etc, dar și fotografia și două amprente, dacă le-ai dat.

Astfel de cărți de identitate au devenit practic normale în Europa, majoritatea țărilor implementându-le în ultimii ani. În Germania, de exemplu, statul a făcut o aplicație de telefon (AusweisApp) cu care te poți autentifica pe diverse servicii digitale apropiind telefonul de buletinul tău. Aplicația de telefon scanează buletinul și confirmă mai departe că ești tu. Lista de servicii compatibile pare mărișoară. Aplicația este suficient de deșteaptă încât, dacă faci ceva online pe PC, telefonul tău să funcționeze ca un card reader pentru buletin.

Asta se folosește în Germania pentru autentificare securizată în relația cu statul. Poți înmatricula o mașină direct online, de exemplu, zice omul meu din Germania. (Sau, cum vor spune unii, îți fură sufletul, îți implantează 6G-ul și te ascultă ce vorbești în casă cu nevasta.)

În România, o mare opreliște în dezvoltarea serviciilor online de tip e-government este lipsa unei metode simple și sigure de autentificare. De multe ori trebuie să mergi la un ghișeu doar pentru ca funcționarul să te vadă acolo cu buletinul în mână, chiar dacă restul procesului ar putea fi făcut online. Gândiți-vă câte tipuri de servicii sau de cereri nu ar putea fi trecute în online câtă vreme autentificarea ar putea fi făcută doar scanând buletinul cu telefonul, iar telefonul trimite apoi mai departe un semnal de “confirm identitatea, treci la pasul următor”.

Astfel de autentificări ar putea fi utilizate pentru login rapid în ghiseul.ro, pentru e-Factura, SPV, trimiterea de cereri la primărie, permise și înmatriculări, pensii, alocații, spitale… orice.

Există și în prezent metode de autentificare biometrică online, dar sunt mult mai greoaie. Poate le-ați făcut cu vreo ocazie și de obicei presupun pași precum fotografierea buletinului actual, apoi să vă faceți un video selfie și chiar să vorbiți ceva. De exemplu, chiar aplicația oficială a statului român de login biometric în diversele platforme e-government, numită ROeID (știați că există?), are pași precum:

• fotografiezi buletinul pentru extragerea rapidă a textului de acolo.
• îți faci foto selfie și apoi video selfie în care te miști în fața camerei conform instrucțiunilor din aplicație, nici prea mult și nici prea puțin.
• filmezi apoi buletinul și îl miști și pe acesta în fața camerei, dar cât trebuie ca să nu iasă din cadru.
• vorbești pe video, citind un text afișat pe ecranul aplicației.

Am făcut ceva similar recent pentru o bancă și a dat eroare de două ori la rând, probabil pentru că nu încărca bine mai departe datele, iar apoi aplicația a decis că nu mai vrea a treia oară și mă trimitea la un ghișeu. A fost nevoie de alte minute pierdute pe la support ca să-mi reseteze procesul și să pot încerca din nou de acasă.

Alternativa, într-o lume cu buletine cu cip, este să apeși “Log In”, să atingi telefonul de buletin și… asta e tot. Telefonul a comunicat apoi aplicației numele tău sau a confirmat că datele introduse de tine într-un formular sunt reale.

În plus, este mult mai greu pentru cineva rău-intenționat să aibă în mână buletinul tău real, față de situația de acum când poate avea o fotografie a lui. Realist vorbind, sistemul de verificare din prezent cu video selfie poate fi totuși păcălit cu suficient efort, iar unii poate sunt dispuși să-l facă. În lumea deepfake-urilor și a AI-urilor care clonează voci și fețe, efortul scade în timp.

Mai mult, un buletin cu cip poate fi ușor verificat și pe la ghișee de către funcționari. Aceștia nu mai au de ce să citească ce scrie pe buletin și să se uite la poza din el, apoi la mutra ta, ci l-ar putea scana și ei cu o aplicație similară pentru a-i confirma veridicitatea. În plus, un buletin declarat pierdut ar putea fi imediat dezactivat din baza de date a MAI, așa că nimeni nu mai poate închiria casete video cu un buletin găsit pe stradă sau face alte lucruri nasoale cu el.

Același sistem de verificare electronică ar putea fi folosit apoi și în mediul privat. De exemplu, să zicem că accesezi un serviciu online pentru care vârsta minimă este de 18 ani. Înainte de accesare, serviciul îți poate trimite o notificare pe telefon, ca la 2FA-ul din prezent, care-ți cere să atingi telefonul de buletin. Aplicația poate determina astfel vârsta și dă acces mai departe, de exemplu pentru a comanda online alcool sau pentru acces la site-uri de… ăăăh… chat.

Nici nu trebuie ca aplicația respectivă să fie dezvoltată de respectivul serviciu privat, apropo, și nici să aibă acces la datele tale personale. Serviciul privat ar putea folosi pentru verificare un API al aplicației oficiale dezvoltate de statul român (ROeID sau whatever) pentru a cere o confirmare. Tu în telefon folosești aplicația oficială, care verifică buletinul și apoi trimite mai departe confirmarea că ai peste 18 ani, nu musai data ta exactă de naștere.

Rețelele sociale ar putea deveni mai bune dacă s-ar impune ca fiecare cont să aibă în spate o persoană reală, verificată în acest mod, nu?

Un sistem asemănător este disponibil în prezent în câteva aplicații. De exemplu, vă puteți verifica profilul pe LinkedIn scanând pașaportul vostru electronic cu telefonul mobil. Opțiunea este deschisă și României, câtă vreme aveți pașaport simplu electronic, iar LinkedIn folosește de fapt serviciile unei companii numite Persona, care are și alți clienți de acest tip. Persona este o companie americană, de fapt, și nu e clar ce informații ia din pașaportul vostru, un motiv pentru care mi se pare important ca serviciul ce funcționează ca trust provider în această verificare să fie de încredere și, în cazul ideal, dezvoltat de statul român.