Nordea teki muutoksen kriittiseen sovellukseen.
Lue tiivistelmä
Tiivistelmä on tekoälyn tekemä ja ihmisen tarkistama.
Nordea-pankki otti käyttöön uuden tavan aktivoida Nordea ID -tunnistussovellus puhelimessa henkilöllisyystodistusta käyttämällä.
Pankin mukaan muutos parantaa turvallisuutta ja vaikeuttaa identiteettivarkauksia.
Uusi aktivointitapa hyödyntää kasvojentunnistusta ja passin tai henkilökortin sirua.
Nordean johtaja Mikko Hiekkataipale vakuuttaa menetelmän olevan turvallinen ja testattu kansainvälisten standardien mukaisesti.
Nordea-pankki otti käyttöön uuden tavan aktivoida Nordea ID -tunnistussovellus puhelimessa. Nordea ID:tä käytetään, kun käyttäjä tunnistautuu vaikkapa verkkopankkiinsa tai viranomaispalveluihin pankkitunnuksillaan.
Niin sanottu ID&V (Identification & Verification) tarkoittaa, että käyttäjä tunnistetaan etänä hänen henkilöllisyystodistuksensa (passi tai henkilökortti) ja kasvojensa avulla.
– Nyt jos puhelin sattuisikin vaikka lomalla hajoamaan tai katoamaan, niin saat Nordean pankkipalvelut kätevästi takaisin käyttöön tien päällä muutamassa minuutissa (kunhan passi/henkkari on mukana ja saat jostain käyttöösi uuden puhelimen), Nordean tunnistautumisen palveluista vastaava johtaja Mikko Hiekkataipale sanoo LinkedIn-päivityksessään.
Eikö henkilötietojen kuvaaminen ja lähettäminen ole juuri sitä, mitä ei pitäisi mennä tekemään? Miksi pankki ohjeistaa tällaiseen toimintaan?
– Palvelussamme asiakasta ei pyydetä kuvaamaan tai välittämään mitään henkilötietoja. Kameraa käytetään vain prosessin aluksi henkilöllisyystodistuksen niin sanotun teknisen MRZ-kentän lukemiseen, joka tarvitaan turvallisen kanavan avaamiseksi henkilöllisyystodistuksen sirulle. Kaikki henkilötiedot kulkevat tämän jälkeen salattuina, Hiekkataipale sanoo IS:lle.
Puhelimella luetaan henkilöllisyystodistuksen tietoja. Kuva: Nordea
Asiakkaan passista luetaan tarvittavat tunnistetiedot, kuten sirulta löytyvä passikuva), ja ladattua kuvaa verrataan käyttäjän ottamaan selfieen. Samalla tarkistetaan, että kyseessä on elävä ihminen, eikä vaikkapa valokuva, video tai tajuton henkilö.
Hiekkataipaleen mukaan uusi aktivointitapa on vastaus huijauksiin, joissa rikollinen saa aktivoitua uhrin Nordea ID -sovelluksen omassa puhelimessaan ja pääsee sitten varastamaan rahat.
– Kun asiakas aktivoi Nordea ID -sovelluksen ID&V-palvelun kautta, niin prosessissa ei ole mitään sellaista tietoa, jonka asiakas voisi rikollisen manipulaation alaisena luovuttaa eteenpäin.
Johtajan mukaan aktivointi onnistuu vain, kun puhelin, johon sovellusta aktivoidaan, käytettävä henkilöllisyystodistus sekä asiakas ovat samassa paikassa. Tämän lisäksi tarkistetaan, että henkilöllisyystodistus on todella asiakkaan oma.
– Palvelu ei käytä esimerkiksi manuaalisesti syötettäviä aktivointikoodeja, joten siinä ei ole mitään mitä rikollinen voisi yrittää käyttäjältä kalastella.
Entä jos passi varastetaan, pääseekö rikollinen seuraavaksi uhrin verkkopankkiin, jos hänellä on uhrin käyttäjätunnus?
– Passin sirulta löytyvää kasvokuvaa verrataan tarkasti tunnistusta tekevän henkilön kasvoihin. Kasvovertailun lisäksi varmistetaan, että kyseessä todella on elävä henkilö, Hiekkataipale sanoo.
Tunnistautumisen onnistuminen vaatii siis muutakin kuin henkilöllisyystodistuksen varastamisen. Palvelua testattiin kehitysvaiheessa myös identtisillä kaksosilla, ja johtajan mukaan palvelu kykeni erottamaan nämä koehenkilöt toisistaan.
Vastaavaa kasvojentunnistusteknologiaa käytetään esimerkiksi rajavalvonnan itsepalveluautomaateissa. Mutta voiko sitä huijata alati kehittyvällä tekoälyllä? Teleoperaattori Elisa varoitti äskettäin tekoälyn aiheuttamasta uhkasta kasvontunnistukselle.
– Palvelu on tietoturvatestattu kansainvälisten standardien mukaisesti ja se on suunniteltu tunnistamaan muun muassa videot ja muut vastaavat tilanteet. Seuraamme AI-teknologian kehitystä koko ajan, ja kehitämme palvelua jatkuvasti vastaamaan uusimpiin riskeihin.
Tarkoitus on estää huijareita kalastamasta arkaluonteisia tietoja. Kuva: Vesa Moilanen / Lehtikuva
Hiekkataipaleen mukaan muissa Pohjoismaissa vastaavanlainen palvelu on ollut käytössä jo pidempään, ja sen myötä identiteettivarkauksien määrä on tippunut reippaasti.
– Nordea ID -sovelluksenkin osalta identiteettivarkauksien määrä on käytännössä ollut pitkään hyvin alhainen, mutta tavoitteemme on päästä vielä lähemmäksi nollaa, Hiekkataipale sanoo.
Toisaalta on varsin mahdollista, että rikolliset käyttävät tätäkin uudistusta täkynä huijauksissaan. Hiekkataipale ei olisi yllättynyt, jos pian ilmestyisi tähän Nordea ID:n muutokseen viittaavia huijausviestejä. Itse teknologiaa hän pitää kuitenkin turvallisena.
Täysin ID&V:n varaan Nordea ei kuitenkaan voi sovelluksen aktivointia laskea, koska kaikilla asiakkailla ei esimerkiksi ole voimassa olevaa uudenmallista etäluettavaa henkilöllisyystodistusta.
Vanhat tavat aktivoida sovellus ovat siis myös edelleen käytettävissä. Aktivointi onnistuu myös esimerkiksi puhelimesta toiseen qr-koodin avulla.
Nordean palvelu on tällä hetkellä käytössä kaikissa puhelimissa, joissa käyttöjärjestelmänä on vähintään Android 13 tai IOS 15. Hiekkataipale kehottaa päivittämään Nordea ID:n sovelluskaupassa.
Myös vanha valkoinen tunnuslukulaite poistuu pian käytöstä ja se korvataan uudella qr-koodeja lukevalla Nordea ID -laitteella. Uusi laite näyttää hyväksyttävän maksun tiedot laitteen ruudulla sovelluksen tapaan. Tavoitteena on vaikeuttaa rikosten onnistumista.