Par i-banku identifikāciju

Pa ilgiem laikiem pārlasu Twitteri un viens ieraksts mani samulsināja:

Kāpēc internetbankā nevar autentificēties ar citas bankas internetbanku?

Jā, kāpēc gan nevar? Īsā atbilde uz šo jautājumu ir – “nevar tāpēc, ka nevar”. Proti, bankas par to, visticamāk, nav domājušas un neuzskata par nepieciešamu.

Taču, padomājot nopietnāk, ir arī argumenti, kāpēc (vismaz šobrīd) tas netiek darīts:

  1. Tehniskā puse un izmaksas. Trešo pušus autentifikācijas līdzekļu integrēšana nozīmē izmaiņas esošajā sistēmā, tātad- papildus darbu un izmaksas.
  2. Juridiskā puse. Bankas līgums ar klientu nosaka to, kā banka identificē, autentificē un autorizē klientu internetbankā. Līgums ir pamats internetbankas izmantošanai (nav līguma, nav internetbankas), tas arī nosaka autentifikācijas mehānismus internetbankas izmantošanai. Lai arī šie līgumi var noteikt, ka šie līdzekļi ir izmantojami arī attiecībās ar trešajām personām, nez vai tie paredz pretēju scenāriju – trešo personu nodrošināto līdzekļu izmantošanu autorizācijai internetbankā – līdz ar to nav juridiska pamata pieļaut šādu iespēju.
  3. Tehniskie riski. Trešo personu nodrošinātā identifikācija ne vienmēr strādās – iespējami pakalpojuma sniegšanas pārtraukumi un kļūdas, kuras banka nevar kontrolēt (bet klienti pie tām vainos banku).
  4. Juridiskie riski. Jau minētais – iztrūkst juridiskais pamats šādu līdzekļu izmantošanai. Lai izmantotu citus autentifikācijas līdzekļus, tas ir jāatrunā internetbankas līgumā. Taču pats svarīgākais – kā tiks sadalīta atbildība nepareizas autorizācijas gadījumā? Jāņem arī vērā, ka lai nodrošinātu šādu iespēju – autentificēties internetbankā ar jebkuras citas bankas identifikācijas līdzekļiem, bankām būtu par to savstarpēji jāvienojas (kas rada jaunu risku – ka Konkurences padome šādu vienošanos varētu atzīt par karteļa vienošanos, kā jau tas bija gadījumā ar starpbanku maksām par karšu izmantošanu).
  5. Un, visbeidzot, – reputācija. Bankām varētu būt nepieņemami tas, ka pieeju tās pakalpojumiem nodrošina konkurents (tas varētu būt kā pielīdzināt krievu valodu oficiālajai valodai vai Krievijas rubļus latam – lielai sabiedrības daļai ērti, bet…).
    Kaut gan tehniski, domāju, ka šī lieta ir atrisināma – līdzīgi kā ar bankomātiem, kuros naudu varam izņemt ar citas bankas karti (te gan ir mazliet cita  darbības shēma, intereses un arī infrastruktūru, datu apstrādi, standartus parasti nodrošina trešā persona), taču ir pietiekami daudz “nē”, lai bankas par to šobrīd nedomātu. Manuprāt, reālāka ir iespēja, ka paralēli pašu banku autentifikācijai tiek ieviesta pietiekami kvalificētu trešo pušu, kas nav citas  bankas, līdzekļi. Piemēram, droša elektorniskā paraksta radīšanas līdzekļi. Turklāt, vienu brīdi pirms pāris gadiem Swedbanka jau nodrošināja pieslēgšanos internetbankai ar droša elektroniskā paraksta radīšanas līdzekļiem.
    Latvijā joprojāms ir neatrisināts jautājums par uzticamiem identitātes nodrošinātājiem / pakalpojumu sniedzējiem (identity providers).  Šobrīd šī vieta stāv tukša – bankas neuzskata to par nopietnu biznesa nišu – tām ir savs pamatbizness un identitātes pakalpojumi ir tikai papildus bizness. Turklāt visi joprojām gaida eID kartes, kas varētu būt pamats uz kā bāzes būvēt elektronisko identitāšu pārvaldību Latvijā.