E-residentsust kummitab pseudomure

Eesti uutele e-residentidele teenuseid pakkuda soovivad ettevõtted ja pangad ootavad praegu ühte seadusemuutust kui Messiase tulekut – ettevalmistamisel on seaduseelnõu, millega lubatakse pangakonto avamiseks nii residentide kui ka e-residentide identifitseerimist kaugkanalite kaudu. Täpsemalt tähendab see seda, et inimesi võib seaduslikult hakata tuvastama videopildiga ja ID-kaardi alusel.

Praegu on e-residentidel tarvis sõita pärast oma e-residendi kaardi kätte saamist ikkagi Eestisse, et sooritada terve rida vajalikke toiminguid: avada internetis loodud ettevõttele pangakontod, suhelda maksuametiga, vormistada muid lubasid. Kehtiv seadus eeldab näost-näkku tuvastamist ehk inimese reisimist Eestisse, mis aga ei ole kuidagi loogilises suhtes Eesti e-residentsuse kontseptsiooniga, kust kõike peaks saama teha hoolimata ajast ja ruumist.

Seadusmuudatuse mõte on hea, aga nagu iga uudse suure muutusega, kaasnevad ka siin riskid, hirmud ja pseudoprobleemid. Juba räägitakse e-residentsuse halvast mõjust Eesti mainele ning ärikeskkonnale. Tundub, et praegu pannakse kõik hirmud ja riskid ühte potti ning nii võibki mittesüvenemisel tekkida arvamus, et e-residentsus on üks kahtlane asi.

Ettevaatlik peab muidugi olema, kuid paanikaks pole ilmaasjata põhjust. Millised on need olulisemad riskid, mis on seotud e-residentide pangakontode distantsilt avamisega?

Ühe argumendina pannakse kahtluse alla video vahendusel isiku tuvastamise turvalisus – kas ja kui kindlalt me saame seda kanalit usaldada? Tegelikkuses kasutavad videoidentifitseerimist mitu kesk-Euroopa panka ning reaalajas toimuvat videotuvastust võib pidada isegi turvalisemaks pangakontoris tehtavast tuvastusest.

Pangakontoris võrdleb teller kliendi nägu ja dokumenti, teeb dokumendist koopia, küsib vajadusel täiendavaid küsimusi ja dokumente. Krüpteeritud videokanalis tehakse samad protseduurid, lisaks sellele salvestab pank kogu protsessi. Tihti kasutatakse tuvastuseks erinevaid dokumendiandmebaase, emotsioonituvastust ning nägude biomeetriliste andmebaaside võrdlusi. Kui isikutuvastuse teeb reaalajas panga töötaja, siis jääb pangale kahtluse korral alati võimalus protseduuri korrata või kohaldada täiendavaid isikutuvastamise meetodeid.

Kui tehniliselt on isikutuvastamine panga e-kanalites videolahenduste kaudu samaväärselt turvaline reaalajas toimuvaga, siis jääb lauale veel üks suur riskikoht – e-residentide endi seadusekuulekus.

Kehva stsenaariumi kohaselt loovad e-residendid Eestis mitu ettevõtet ning neile pangakontod, mille kaudu tegelevad näiteks rahapesuga, võtavad laenu seda tagasimaksmata, teevad muid ebaseaduslikke finantstehinguid. Võib eeldada, et mainitud käitumise tõenäosus on kõrgem, kui tehingut teostab puudulikult identifitseeritud inimene.

Suurim oht Eesti e-residentidele pangatehingute lubamisel on identiteedivargus – kas teadlik Eesti e-residentide kaartide ja PIN-koodide müük või siis vargus. Võime näiteks spekuleerida teemal, kus 1 000 e-residendist nn ärimeest müüvad pärast Eestis ettevõtete loomist ja pangakontode avamist oma e-residendi ID-kaardid ja salasõnad ning kurjategijad teevad nende ettevõtete nimel neile vajalikke tehinguid. Kas selle vastu on abinõud?

Identiteedivarguse vastu tuleb rakendada sama põhimõtet, mis toimub füüsilises keskkonnas. Pankadel peab olema võimekus klienti tuvastada enne igat (suuremat) tehingut – samamoodi nagu praegu kontoris käies, kus meid tuvastatakse dokumendi ja visuaalvaatlusega. Võrgus peab e-resident, kellel on pangakonto, enne igat suuremat tehingut enda identiteeti uuesti tuvastama. Raske on seda teha pidevalt Eestisse reisides, kergem aga reaalajas toimuva videopanga identifitseerimisega.

Näiteks Norras kasutatav sarnane süsteem Bank ID, kus korra ühes pangas tuvastatud klient saab selle alusel teha edasised pangakontod ennast identifitseerimata, e-residentide puhul ei sobi. Nii võib pahatahtlik e-resident kasutada ära nõrgemat turvaprotseduuri kasutavate finantsteenusepakkujate tuvastamisvõimalust ning saada hiljem ligipääsu pangakontode loomisele ja tehingute tegemisele.

Praegu nõuab isegi sularahaautomaat meilt enne raha väljastamist uuesti pin-koodi sisestamist, et olla kindel tehingu sooritaja identiteedis. Videopank koondab endas kokku tavapärase pangakontori ja ID-kaardi turvaloogika ning lubab sooritada tehinguid igal ajal igas kohas digitaalselt. Kohtumine pangaga toimub näost näkku ekraanikuma kaudu, inimene tuvastatakse lisaks näole ka ID-kaardi ja vajadusel ka kehtiva reisidokumendi alusel ning kõik tehingud saab sooritada ilma liigse reisimiseta.

FinTech tehnoloogiaettevõtetele peab aga jääma võimalus teostada ka automaatset isikutuvastust, mille kulukus on oluliselt väiksem reaalajas toimuvast inimese poolt kontrollitavast videotuvastusest. See on elulise tähtsusega mitme innovaatilise finantslahenduse ärimudelis. Arvestades aga automaatse isikutuvastussüsteemi turvariske, siis oleks mõistlik kehtestada sellise isikutuvastusele tehingupiirangud, et riski realiseerimise korral ei oleks kahju väga suur.