facebook LinkedIN LinkedIN - follow
IT SYSTEMS 11/2023 , Banky a finanční organizace , IT Security

Umělá inteligence vygeneruje falešnou občanku za pár sekund

Jak nenaletět podvodníkům?

Petr Řezníček


Umělá inteligence prošla za poslední rok překotným vývojem – a kromě pozitivních výstupů se v souvislosti s AI začínají objevovat i první nega­tiva. S pomocí AI snadno vygeneru­jete falešný průkaz totožnosti, kte­rý je k nerozeznání od oficiálního dokladu vydaného příslušným státem. Za pár dolarů a pár minut máte hotovo. Jak se takovým podvodům bránit?


Falešný průkaz totožnosti na pár kliknutí

Raketový vývoj umělé inteligence během posledního roku přinesl řadu užitečných nástrojů a některým profesím také obavy o práci (záleží na úhlu pohledu). AI nástroje využijí překladatelé, copywriteři, grafici i další kreativní profese. AI dokáže vygenerovat texty, které nerozeznáte od těch psaných lidmi, k tomu chrlí fotky a obrázky, které by grafik vytvářel několik hodin. Bylo jen otázkou času, než někdo pokročilé schopnosti umělé inteligence zneužije.

VerifTools, na první pohled docela nenápadný web, prodává zvláštní službu: generuje národní průkazy totožnosti a cestovní pasy, které vypadají jako pravé. Včetně ochranných prvků, specifických pro tu kterou zemi. Uživatel vyplní osobní údaje, nahraje na web svůj podpis a fotku (u té se ani nemusí moc snažit, aby vypadala jako oficiální průkazové foto – VerifTools zvládne fotku upravit podle potřeby). Stránka pak během pár sekund vygeneruje uživateli novou identitu. Kdokoliv, kdo ovládá počítač, se může během okamžiku stát americkým občanem a žádat o práci v USA. Nebo s falešnou občankou požádá o půjčku, tu inkasuje, nesplatí a díky falešné identitě se nemusí nijak obávat toho, že mu jednoho dne na dveře zaklepe exekutor.

VerifTools se na svém webu explicitně zříká odpovědnosti za to, jak uživatelé s vygenerovaným průkazem totožnosti naloží. Zároveň má na webu důrazné doporučení, aby uživatelé vždy respektovali legislativu státu, jehož průkaz si u VerifTools vytvořili. Každému je ale jasné, k čemu VerifTools ve skutečnosti slouží (a asi málokoho překvapí, že doména je registrovaná v Rusku). Kdokoliv, kdo má úmysly a svědomí čisté, nemá zapotřebí si generovat občanku na obskurním webu.

Klientský onboarding & ověření

Způsobí rozvoj AI masivní rozmach podvodů s falešnou identitou? Teoreticky to skutečně hrozí. Zpozornět by měli zejména ti, kdo v rámci svého podnikání potřebují ověřovat identitu klientů. V současnosti většina klientů očekává, že k ověření jejich totožnosti dojde online – tento posun do digitálu urychlila covidová omezení, kterými jsme si v posledních letech prošli. Lidé chtějí vše vyřídit z pohodlí domova, nemají čas ani chuť vážit cestu za poskytovatelem jakýchkoliv služeb.

Poskytovatelé služeb proto hledají cesty, jak klientům usnadnit onboarding – a čím jednodušší je získání služby (tzn. uzavření smlouvy) pro uživatele, tím snáze se noví klienti získávají. Týká se to nejen finančních institucí – bank, pojišťoven a poskytovatelů půjček, ale také poskytovatelů dalších služeb – mobilních operátorů či energetických společností.

Rozpoznat falešnou identitu je nejtěžší pro společnosti, které nemají přístup do oficiálních registrů. Ty čelí nelehkému dilematu: jak moc zákazníkům „povolit otěže“ a umožnit podepsání smlouvy online, a přitom stále bezpečně ověřit jejich totožnost tak, aby byly splněny zákonné požadavky a nedocházelo k podvodům.

Situace se stává ještě komplikovanější u cizinců. Telefonní operátoři, HR oddělení ve firmách i energetické společnosti řeší, jak cizince nediskriminovat (to v EU ze zákona nesmějí) a zároveň nenaletět podvodníkům, kteří si vytvoří falešný průkaz totožnosti na webu à la VerifTools. Které by se klidně mohlo jmenovat FakeItTools či rovnou FraudTools. Protože o to tam ve skutečnosti jde.

Jak odhalit falešnou identitu

Podvodům s falešnou identitou předejdou poskytovatelé služeb tak, že zajistí, aby jejich systémem neprošel žádný nepravý průkaz totožnosti. To lze zařídit dvěma způsoby:

  • Poskytovatel nového klienta ověří osobně, nejčastěji na pobočce, kde někdo fyzicky zkontroluje jeho průkaz totožnosti. (Což bude fungovat do té doby, než se umělá inteligence spojí s 3D tiskárnami a začne falešné občanky a pasy rovnou tisknout.) Požadovat po klientech, aby se dostavili na pobočku, je ale v mnoha případech právě to, čemu se poskytovatelé služeb snaží vyhnout.
  • Druhým přístupem je jednotný garantovaný systém pro on­line ověření totožnosti, založený na nejbezpečnějších ověřo­va­cích metodách. Jeho základem je fyzické ověření oproti předloženému průkazu totožnosti na začátku celého řetězce. V Česku tento systém známe pod názvem bankovní identita.

Bankovní identita

Bankovní identita v Česku není žádný unikát — ve většině států EU již nějaký oficiální systém pro ověřování identity občanů na dálku funguje (např. estonské Smart-ID, které patří mezi nejpokročilejší systémy tohoto typu). Oficiální systém dává bankám a dalším společnostem, které jsou do systému zapojené, 100% jistotu, že žádný falešný doklad systémem neprojde.

Tento přístup má různá jména – nejčastěji se setkáte s názvem federace identit, v anglosaském světě je rozšířený koncept One ID. Celý systém stojí na tom, že identita uživatele je fyzicky ověřena oproti předloženému průkazu totožnosti na začátku celého procesu, např. když si občan založí svůj první bankovní účet. Veškerá další identifikace se opírá o toto první ověření. Když pak dotyčný za 10 let poté, co si založil bankovní účet, žádá o hypoteční úvěr, hypoteční banka si ověří identitu klienta u jeho první banky. Stejně to funguje u pojištění a dalších finančních služeb.

„Je celkem paradoxní, že v Česku jednotnou bankovní identitu nezřídil stát. Přesto ji nyní vysoké procento lidí používá v jednání se státními úřady jako ověřený způsob identifikace osoby na dálku. Lidé se dnes běžně identifikují přes svoji bankovní identitu v jednání s finančními úřady, zdravotními pojišťovnami či správou sociálního zabezpečení. Přitom česká bankovní identita vznikla původně jako soukromá iniciativa tří největších českých bank, které se jednoho dne rozhodly, že nastal čas, aby lidé přestali kvůli každé maličkosti chodit na pobočku. Nakonec se z bankovní identity stal oficiální způsob identifikace, který přijaly za své i státní instituce,“ vysvětluje Milan Hrdlička, business development manager MONET+, českého poskytovatele řešení pro bankovní identitu.

Milan Hrdlička
Milan Hrdlička

MONET+ stojí za řešením napojení na bankovní identitu pro dvě ze tří českých bank, které v Česku stály u jejího zrodu (Česká spořitelna, ČSOB a Komerční banka). Dnes nabízí řešení pro společnosti, které se chtějí do systému jednotné bankovní identity zapojit. „Scénáře máme připravené pro všechny možné situace a neomezujeme se jenom na Česko. Dokážeme klienta napojit do oficiálního identifikač­ní­ho systému v jakékoliv zemi. Ve státech, kde oficiální systém ješ­tě nefunguje, navrhneme a implementujeme jedinečné řešení, které ověří identitu stávajících klientů a zjednoduší onboarding do nových služeb. Celý onboarding probíhá kompletně na dálku a přitom splňuje nejpřísnější požadavky na bezpečnost,“ dodává Milan Hrdlička.

Neustále se vyvíjející technologie si žádají, aby dodavatelé sledovali nejnovější trendy a pružně na ně reagovali. Totéž platí pro legislati­vu, která na technologické změny reaguje. Proto už nyní například v MONET+ řeší tzv. EUDI Wallet, jednotnou evropskou peněženku, která má sloužit jako společný identifikátor pro všechny občany EU. Vychází z legislativy eIDAS 2.0., která počátek jednotné digitální identity váže na ověření státem (postačí fyzická přítomnost u vydání prvního dokladu totožnosti). Vybrané firmy a instituce budou mít zákonem danou povinnost se k EUDI Wallet připojit: Pro řadu dalších firem bude zapojení do EUDI Wallet důležitým strategickým rozhod­nu­tím do budoucna. Klienti chtějí vyřizovat vše rychle, pohodlně, tj. online, a když jim to firma neumožní, přejdou ke konkurenci.

Závěrem

Ve světě, kde si autenticky vypadající průkaz totožnosti pořídíte na pár kliknutí myší, musíte být obezřetní, ale zároveň je potřeba nezaspat a naslouchat potřebám klientů. Banky a jiné finanční instituce, stejně jako další poskytovatelé služeb, musí implementovat bezpečná řešení, která jim umožní ověřovat identitu klientů online. „Digitálu se neubráníte a vymlouvat se u toho na bezpečnost je krátkozraké. Včasnou digitalizací se na EUDI Wallet perfektně připravíte a český rybník potenciálních zákazníků se rázem zvětší na evropský oceán příležitostí,“ uzavírá Milan Hrdlička.

Petr Řezníček Petr Řezníček
Autor článku působí na pozici Digital Identity Prod­uct Marketing Manager ve společnosti MONET+, která je lídrem na českém trhu v oblasti digitální identity. Dodává řešení pro elektronické platby, služby e-governmentu a zabezpečení digitálních identit. Vyvíjí a dodává systém pro zabezpečení mobilních a webových aplikací pokrývajících celý životní cyklus klientů od plně digitálního onboardingu, přes autorizaci finančních a nefinančních transakcí, až po elektronický podpis.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.