Normele privind reglementarea, recunoaşterea, aprobarea sau acceptarea procedurii de identificare a persoanei la distanţă utilizând mijloace video (Decizia ADR nr. 564/2021)

În M. Of. nr. 1119 din 24 noiembrie 2021 s-a publicat Decizia președintelui Autorității pentru Digitalizarea României  nr. 564/2021 pentru aprobarea Normelor privind reglementarea, recunoașterea, aprobarea sau acceptarea procedurii de identificare a persoanei la distanță utilizând mijloace video.

Vă prezentăm, în continuare, cele mai importante dispoziții din respectivele norme.

Structura

Capitolul I: Dispoziții generale

Capitolul II: Cerințe în vederea realizării procedurii de identificare a persoanei la distanță utilizând mijloace video

Capitolul III: Control, supraveghere

Capitolul IV: Măsuri tranzitorii

Capitolul V: Dispoziții finale

Art. 1

„Prezentele norme stabilesc cerințele minime tehnice și de securitate privind reglementarea, recunoașterea, aprobarea sau acceptarea procedurii de identificare a persoanei la distanță utilizând mijloace video de către furnizorii de servicii de identificare, ca formă a «identificării electronice» definite în Regulamentul eIDAS.”

Art. 3

„(1) În sensul prezentelor norme, activitatea de identificare a persoanei la distanță prin mijloace video de către furnizori de servicii de identificare a persoanei la distanță prin mijloace video, înregistrați în România, se poate efectua numai după obținerea avizului emis de către Autoritatea pentru Digitalizarea României.

(2) Autoritatea pentru Digitalizarea României va emite avizul conform modelului din anexa nr. 4 în termen de 30 de zile calendaristice de la depunerea documentației complete.”

Art. 4

„(1) Persoana juridică stabilită și autorizată să presteze astfel de servicii în orice stat membru al Uniunii Europene (UE) care dorește să desfășoare activități de identificare a persoanei la distanță utilizând mijloace video, pentru cetățenii români sau pe teritoriul României, poate desfășura această activitate în condițiile prezentului articol.

(2) În cazul în care entitățile publice sau private utilizează un furnizor de servicii de identificare a persoanei la distanță prin mijloace video, stabilit într-un alt stat membru UE‚ eventualele prejudicii cauzate de o identificare incorectă a clientului întră în responsabilitatea entității care a contractat serviciile de identificare, denumită în continuare entitatea contractantă.

(3) Pentru acoperirea eventualelor prejudicii menționate la alin. (2), entitatea contractantă va încheia o poliță de asigurare de răspundere civilă față de terți, în valoare de 100.000 euro (polița de asigurare trebuie să fie valabilă/reînnoită pe toată perioada de valabilitate a contractului de prestări servicii de identificare a persoanei).

(4) Entitatea contractantă are obligația ca la încheierea contractului de prestări servicii de identificare să solicite furnizorului de servicii de identificare a persoanei prin mijloace video raportul de evaluare a conformității pentru soluția tehnică utilizată, întocmit de către un organism de evaluare a conformității în concordanță cu prevederile Regulamentului eIDAS.

(5)Documentele menționate la alin. (3) și (4), respectiv contractul de prestări servicii, polița de asigurare și raportul de evaluare a conformității, vor fi depuse la Autoritate.”

Art. 5

„(1) Identificarea persoanei la distanță utilizând mijloace video se realizează cu ajutorul unui sistem.

(2) Pentru verificarea identității persoanei la distanță utilizând mijloace video se utilizează atât documentele de identitate, a căror imagine este capturată prin mijlocul video, cât și date sau informații obținute din surse credibile și independente, în măsura în care sunt disponibile, inclusiv pe bază de acorduri/parteneriate încheiate între instituții publice sau private și furnizorii de servicii de identificare, de exemplu: baze de date ale organismelor din sectorul public, baze de date private care conțin informații de la autorități publice, rapoarte de audit, documente fiscale, extrase de cont etc.

(3) Consultarea surselor de date este efectuată cu respectarea cerințelor aplicabile în materia protecției datelor cu caracter personal de informare a persoanei vizate, respectiv a persoanei supuse identificării la distanță prin mijloace video, în mod prealabil efectuării unei activități de prelucrare de date, respectiv consultarea surselor de date prevăzute la alin. (2).

(4) Se interzice utilizarea datelor/informațiilor obținute de către furnizorii de servicii de identificare în procesul de identificare a persoanei la distanță prin mijloace video din diverse surse în alte scopuri, fără informarea/acordul persoanei sau alte prevederi legale în acest sens.”

Art. 6

„(1) Prestatorul de servicii de încredere poate realiza identificarea persoanei la distanță utilizând mijloace video fie în vederea eliberării de certificate calificate, în conformitate cu prevederile art. 24 alin. (1) lit. (d) din Regulamentul eIDAS, fie în calitate de terț de verificare a identității persoanei, în conformitate cu prevederile prezentelor norme. Pentru situațiile în care este necesară demonstrarea îndeplinirii cerințelor art. 26 din Regulamentul eIDAS cu privire la o semnătură electronică avansată creată pe baza unui certificat necalificat, emis în urma unui proces de identificare a persoanei la distanță utilizând mijloace video, este obligatoriu să fie demonstrată și îndeplinirea cerințelor de la cap. II din prezentele norme.

(2) Prestatorul de servicii de încredere poate realiza identificarea persoanei la distanță, în vederea eliberării de certificate calificate, în conformitate cu prevederile art. 24 alin. (1) lit. (d) din Regulamentul eIDAS, fie direct, fie prin intermediul unui terț de verificare a identității.

(3) Prestatorul de servicii de încredere care intenționează să realizeze identificarea persoanei la distanță utilizând mijloace video, în scopul emiterii certificatelor calificate conform Regulamentului eIDAS și/sau în calitate de terț de verificare a identității persoanei, are obligația de a notifica Autoritatea, în calitate de organism de supraveghere, cu 30 de zile înainte de utilizarea mijloacelor video pentru identificarea persoanei la distanță, conform modelului prezentat în anexa nr. 1.

(4) Notificarea prevăzută la alin. (3) va fi însoțită de următoarele documente:

a) descrierea soluției tehnice și a echipamentelor utilizate în procesul de identificare a persoanei la distanță utilizând mijloace video;

b) raportul de evaluare a conformității emis de un organism de evaluare a conformității, așa cum este definit în Regulamentul eIDAS și în procedura de acordare, suspendare și retragere a statutului de prestator de servicii de încredere calificat, care să ateste inclusiv îndeplinirea cerințelor prevăzute în prezentele norme;

c) declarația reprezentantului legal că prestatorul de servicii de încredere dispune de politici și proceduri de identificare și diminuare a riscului asociat metodei de identificare, inclusiv personal specializat în conformitate cu prevederile Regulamentului eIDAS și ale standardelor ETSI;

d) lista standardelor recomandate de către ETSI și Comisia Europeană, în cazul în care au fost definite la nivelul Uniunii Europene, în baza cărora se realizează identificarea video;

e) declarația pe propria răspundere a reprezentantului legal că prestatorul de servicii de încredere a adoptat și implementat proceduri privind protecția datelor cu caracter personal în procesul de identificare a persoanei la distanță utilizând mijloace video, în concordanță cu legislația în domeniu.”

Art. 7

„(1) Prestatorii de servicii de plată, instituțiile de credit și instituțiile financiare nebancare care doresc să utilizeze mijloace video pentru identificarea clienților la distanță, cu respectarea cerințelor legale aplicabile în materia prevenirii și combaterii spălării banilor și finanțării terorismului, au obligația de a notifica Autoritatea cu 30 de zile înainte de utilizarea mijloacelor video pentru identificarea clienților la distanță, conform modelului prezentat în anexa nr. 1.

(2) Notificarea va fi însoțită de următoarele documente:

a) descrierea soluției tehnice și a echipamentelor utilizate în procesul de identificare a persoanei la distanță utilizând mijloace video (poate fi inclusă în documentația de avizare a instrumentului financiar de plată cu acces la distanță);

b) raport de audit în care să se specifice conformitatea cu cerințele prevăzute în prezentele norme, realizat de un auditor din lista auditorilor IT publicată pe site-ul Autorității (referințele la identificarea utilizând mijloace video pot fi incluse în raportul de audit întocmit pentru avizarea instrumentului financiar de plată cu acces la distanță);

c) o poliță de asigurare de răspundere civilă față de terți, în valoare de 100.000 euro, care să acopere prejudiciile cauzate de identificarea incorectă a clientului (polița de asigurare trebuie să fie valabilă/reînnoită pe toată perioada cât prestatorul de servicii de plată utilizează metoda de identificare a persoanei la distanță utilizând mijloace video);

d) declarația reprezentantului legal că prestatorul de servicii de plată dispune de politici și proceduri de identificare și diminuare a riscului asociat metodei de identificare, inclusiv personal specializat în conformitate cu prevederile Legii nr. 129/2019 pentru prevenirea și combaterea spălării banilor și finanțării terorismului, precum și pentru modificarea și completarea unor acte normative, cu modificările și completările ulterioare;

e) lista standardelor recomandate de către ETSI și Comisia Europeană, în cazul în care au fost definite la nivelul Uniunii Europene, în baza cărora se realizează identificarea video;

f) o declarație pe proprie răspundere a reprezentantului legal al prestatorului de servicii de plată din care să rezulte că prestatorul a adoptat și implementat proceduri privind protecția datelor cu caracter personal în procesul de identificare a persoanei la distanță utilizând mijloace video, în concordanță cu legislația în domeniu.

(3) În cazul în care prestatorul de servicii de plată, instituția de credit sau instituția financiară nebancară va utiliza, pentru identificarea persoanei la distanță utilizând mijloace video, servicii și/sau sisteme/procese furnizate de către un terț de verificare a identității sau de un prestator de servicii de încredere calificate, va depune în locul documentelor prevăzute la alin. (2) o copie a contractului încheiat cu terțul/prestatorul de servicii de încredere, precum și declarația reprezentantului legal că dispune de politici și proceduri interne privind utilizarea acestora.

(4) În cazul în care soluția tehnică utilizată de către prestatorul de servicii de plată, instituția de credit sau instituția financiară nebancară pentru identificarea persoanei la distanță utilizând mijloace video este utilizată de către un prestator de servicii de încredere în scopul furnizării de servicii de încredere calificate, este obligatoriu ca prestatorul de servicii de plată, instituția de credit sau instituția financiară nebancară să prezinte Autorității raportul de evaluare a conformității soluției, întocmit de către un organism de evaluare a conformității, în concordanță cu prevederile Regulamentului eIDAS.”

Art. 10

„(1) Identificarea la distanță utilizând mijloace video poate fi realizată prin mijloace de verificare automatizate, fără operator uman, sau prin mijloace de verificare cu operator uman.

(2) Identificarea la distanță utilizând mijloace video realizată cu operator uman poate fi efectuată doar de personal instruit.

(3) Persoanele care au atribuții și responsabilități în procesul de identificare a persoanei la distanță utilizând mijloace video vor beneficia sau vor fi obligate să urmeze cursuri de pregătire profesională sau programe de instruire anuale, organizate extern sau intern.

(4) Instruirea personalului desemnat pentru realizarea identificării persoanei la distanță utilizând mijloace video intră în responsabilitatea reprezentantului legal al furnizorului de servicii de identificare sau a unei persoane desemnate de reprezentantul legal în acest sens.

(5) Atribuțiile și responsabilitățile personalului care realizează identificarea persoanei la distanță utilizând mijloace video vor fi stabilite prin act administrativ al persoanei care are competența de numire în funcție și vor fi prevăzute în fișa postului.

(6) Identificarea la distanță utilizând mijloace video realizată prin mijloace de verificare automatizate, fără operator uman, va utiliza mijloace digitale în conformitate cu standardele în vigoare, dispozițiile din prezentele norme referitoare la personalul instruit sau operatorul uman neaplicându-se în acest caz.”

Art. 11

„(1) În procesul de identificare a persoanei la distanță utilizând mijloace video sunt permise numai documentele de identitate, identificabile în mod clar și aflate în termenul de valabilitate, emise de o autoritate publică competentă.

(2) Documentele de identitate acceptate în procesul de identificare a persoanei la distanță utilizând mijloace video sunt specificate în anexa nr. 2.”

Art. 13

„(1) Înainte de elaborarea unei proceduri de identificare a persoanei la distanță utilizând mijloace video, furnizorul de servicii de identificare va realiza o analiză de risc.

(2) Analiza de risc trebuie să acopere în special riscurile legate de prezentarea documentelor de identitate falsificate, a canalelor de comunicare, precum și riscurile privind conservarea incorectă a probelor.

(3) Furnizorul de servicii de identificare a persoanei la distanță utilizând mijloace video trebuie să implementeze cerințele tehnice și de securitate care permit verificarea autenticității, validității și integrității documentelor de identitate utilizate în procesul de identificare video, în concordanță cu standardele în domeniu.”

Art. 17

„La verificarea documentelor de identitate vor fi avute în vedere următoarele aspecte, dar fără a se limita la acestea:

a) starea documentului de identitate, asigurându-se că acesta nu este deteriorat sau nu are elemente detectabile de falsificare;

b) existența elementelor de securitate optică/vizuală, după caz;

c) să ceară persoanei care parcurge procedura de identificare a persoanei la distanță utilizând mijloace video să încline documentul pe orizontală și/sau verticală în fața dispozitivului video de identificare;

d) verificarea a cel puțin trei elemente de securitate din categorii diferite;

e) verificarea altor elemente, dacă este cazul, cum ar fi: formatul documentului, dimensiunea și distanțarea caracterelor și fontul tipografic, în funcție de tipul de document analizat;

f) verificarea conținutului caracteristicilor individuale găsite în document, și anume, compararea fotografiilor primare și secundare – fotografia realizată cu imprimare laser cu cea fantomă (monocromă).”

Art. 18

„La verificarea identității persoanei se au în vedere următoarele aspecte, dar fără a se limita la acestea:

a) să se asigure că fotografia și elementele înscrise pe documentul de identitate corespund persoanei care parcurge procedura de identificare a persoanei la distanță utilizând mijloace video;

b) să se asigure că informațiile conținute în documentul de identificare sunt corecte și valabile, în raport cu persoana care parcurge procedura de identificare a persoanei la distanță utilizând mijloace video;

c) să se asigure că informațiile furnizate de persoana care parcurge procedura de identificare a persoanei la distanță utilizând mijloace video sunt corecte;

d) tipul și secvența de întrebări adresate în procesul de identificare nu pot fi identice în sesiunile de identificare consecutive, dacă este cazul, în lipsa informațiilor menționate la lit. a), b), c) sau f);

e) în cazul în care identificarea persoanei la distanță prin metode video se realizează în mod automatizat, solicitările sau secvențele video trebuie să conțină un element aleatoriu pentru a preveni riscul de preînregistrare a procesului de identificare la distanță prin metode video;

f) să se efectueze verificarea încrucișată a informațiilor furnizate de persoana care parcurge procedura de identificare a persoanei la distanță utilizând mijloace video și a informațiilor rezultate din calculul automat al citirii caracterelor MRZ, atunci când este posibil;

g) să se solicite, dacă este cazul, alte documente și/sau informații prin care să se verifice identitatea.”

Art. 19

„Cerințele tehnice și organizatorice în procesul de identificare a persoanei la distanță utilizând mijloace video sunt următoarele:

a) identificarea persoanei la distanță prin mijloace video trebuie efectuată în timp real, într-o sesiune unică și fără întreruperi/pauze, în cazul unei videoconferințe care necesită operator uman, sau prin mijloace video ce vor fi verificate ulterior, în termen de maximum 24 de ore de la momentul înregistrării video, atât timp cât se respectă toate celelalte prevederi din prezentele norme;

b) integritatea și confidențialitatea comunicării trebuie asigurată în mod corespunzător prin utilizarea unui canal criptat;

c) înregistrarea trebuie să prevadă în mod clar data și ora, fie în cuprinsul acesteia, fie în metadate;

d)c alitatea comunicării trebuie să fie adecvată pentru a permite identificarea clară a caracteristicilor și elementelor de securitate ale documentului de identitate;

e) sistemul trebuie să recunoască și să verifice cel puțin două elemente de securitate din categorii diferite ale documentului de identitate, specificate în Registrul public online al documentelor autentice de identitate și de călătorie – PRADO;

f) furnizorul de servicii de identificare trebuie să implementeze procedurile care stau la baza proceselor de identificare a persoanei la distanță utilizând mijloace video;

g) furnizorul de servicii de identificare trebuie să pună la dispoziția publicului lista completă a documentelor de identificare acceptate în scopurile prevăzute de prezentele norme.”

Art. 21

„(1) Pe parcursul procesului de identificare a persoanei la distanță utilizând mijloace video este obligatoriu să se utilizeze un factor de autentificare suplimentar, prin transmiterea către persoana care parcurge procedura de identificare a persoanei la distanță utilizând mijloace video a unui cod de unică folosință (One Time Password – OTP) sau prin transmiterea unui link cu o durată limitată, special creat în acest scop, generat în mod individual (prin e-mail sau SMS).

(2) Procedura de identificare a persoanei la distanță utilizând mijloace video poate fi încheiată numai dacă a fost finalizată transmiterea și validarea OTP sau numai dacă au fost finalizate transmiterea și accesarea linkului.”

Art. 23

„(1) Autoritatea exercită controlul și supravegherea respectării prevederilor prezentelor norme.

(2) În vederea efectuării controlului prevăzut la alin. (1), președintele Autorității, prin decizie, desemnează și stabilește atribuțiile personalului de specialitate împuternicit să efectueze controlul în conformitate cu procedura aprobată de președinte, precum și natura, conținutul și modalitatea de solicitare a informațiilor cuprinse în documentele necesare efectuării controlului.

(3) În urma sesizărilor primite sau în urma sesizării din oficiu, personalul cu atribuții de control efectuează acțiuni de control, cu tematică sau inopinat, în cadrul cărora poate solicita, menționând temeiul legal și scopul solicitării, documentele necesare pentru efectuarea controlului.

(4) În cadrul acțiunilor de control, personalul de control poate să solicite și să primească, la fața locului sau într-un termen stabilit, informații cu privire la conformitatea cu cerințele privind identificarea persoanei la distanță utilizând mijloace video, necesare efectuării controlului.

(5) Nerespectarea prezentelor norme se constată de către personalul de control din cadrul Autorității, care va întocmi un raport de constatare, semnat de către responsabilul echipei de control și de către reprezentantul furnizorului de servicii de identificare prezent la momentul încheierii raportului, căruia i se va înmâna o copie a raportului.

(6) Autoritatea va transmite entității în cauză o notificare prin care îi va aduce la cunoștință neregulile constatate și măsurile cu caracter obligatoriu ce trebuie luate pentru remedierea acestora, stabilind totodată și termenul de conformare, care nu poate depăși 45 de zile calendaristice de la data primirii acesteia.

(7) În cazul în care, după expirarea termenului de conformare prevăzut la alin. (6), entitatea în cauză nu face dovada remedierii neregulilor constatate, Autoritatea îi va retrage avizul.”

Art. 24

„Următoarele fapte conduc la retragerea avizului tehnic:

a) utilizarea serviciilor de identificare a persoanei la distanță prin mijloace video în vederea furnizării de servicii de încredere în conformitate cu Regulamentul (UE) 910/2014 fără respectarea prevederilor art. 6 din prezentele norme;

b) utilizarea serviciilor de identificare a persoanei la distanță utilizând mijloace video de către prestatorii de servicii de plată fără respectarea prevederilor art. 7 din prezentele norme sau în lipsa unui contract valabil de furnizare de servicii de identificare a persoanei la distanță utilizând mijloace video cu un terț de verificare;

c) utilizarea serviciilor de identificare a persoanei la distanță, de către un organism din sectorul public, pentru punerea la dispoziție a serviciilor online fără respectarea prevederilor art. 8 din prezentele norme sau în lipsa unui contract valabil de furnizare de servicii de identificare a persoanei la distanță utilizând mijloace video cu un terț de verificare;

d) neîndeplinirea oricărei cerințe prevăzute în cap. II din prezentele norme;

e) furnizarea serviciilor de identificare la distanță a persoanei utilizând mijloace video de către un terț de verificare fără un raport de audit valabil.”

Art. 28

„Anexele nr. 1-4 fac parte integrantă din prezentele norme.”

Anexa nr. 1: Notificare privind utilizarea mijloacelor video în procesul de identificare a persoanei la distanță (model)

Anexa nr. 2: Documentele de identitate acceptate în procesul de identificare a persoanei la distanță utilizând mijloace video

Anexa nr. 3: Procedură privind înscrierea/radierea terților de verificare a identității persoanei la distanță utilizând mijloace video în/din Lista terților de verificare

Anexa nr. 4: Aviz- model