"Дія" не має бази паспортних даних, тому вкрасти діджитал-паспорт за допомогою програми — неможливо", — заявляють у відомстві.
В ексклюзивній колонці для Фокуса Мстислав Банік, керівник із розвитку електронних послуг у Мінцифрі, розповів про те, чому цифрові паспорти вважаються найбільш захищеними з усіх видів особистих документів, серед яких паперовий паспорт та ID-карта.
За словами Баніка, по суті, діджитальний паспорт, це не паспорт, як такий, а пряме відображення даних із реєстру Державної міграційної служби України. Відповідно до ухваленого Верховною Радою законопроекту №4355, цифровий паспорт громадянина України та цифровий паспорт для виїзду за кордон у додатку "Дія" мають таку ж юридичну силу, як їхні фізичні паспорти-аналоги — паперовий та ID-карта.
Цифровий паспорт у "Дії" має деякі особливості, на які варто звернути увагу українським громадянам:
- його не можна загубити;
- зловмисники не зможуть викрасти його і використовувати;
- його неможливо підробити;
- для того, щоб отримати доступ до паспорта у втраченому телефоні, треба зламати код доступу до телефону та код доступу до "Дії".
"Навіть якщо зловмисник дістався до "Дії", він нічого не зможе зробити, адже скріншот документа з програми не є копією паспорта і підставою для проведення будь-яких угод", — йдеться в колонці.
Також Банік акцентує, що під час проведення будь-якого роду угод, коли потрібно надати паспорт (у випадку з цифровим — показати його на екрані свого смартфона), потрібно пройти кілька раундів ідентифікації, що теж слугує, свого роду засобом захисту. Отже, за словами чиновника, працює це так: компанія підключається до "Дії", щоб мати можливість отримувати цифрові копії документів із програми. Потім автоматично виконується перевірка, чи має компанія право на отримання копій документів громадян. Якщо компанія перевірку пройшла, — відбувається технічна інтеграція із системою "Дії" та авторизація компанії.
Потім уповноважений співробітник компанії сканує QR-код або штрих-код зі смартфона одержувача послуг (він його показує на своєму телефоні). Для цього громадянину попередньо потрібно розблокувати телефон і ввести код доступу до "Дії". Термін дії кодів — 3 хвилини. Тобто, старий код використовувати для запиту на документи не можна.
Після сканування QR або штрих-коду людина отримує оповіщення в "Дії", в якому підкреслюється, хто і коли просить надіслати копію документа. Якщо все гаразд — людина підтверджує запит на копію. Потім у системі формується копія документа у вигляді PDF-файлу та в JSON-форматі (для автозаповнення форм у системі компанії), підписується електронним ключем "Дії" і надсилається шифрованим каналом.
Компанія отримує копію документа. Компанія, а не її співробітник, який обслуговує громадянина. Він взагалі може не мати доступу до копії документа.
"Власне копія — це не скан, не скріншот — це A4 з текстом і фото, на якому також зазначено, коли і за чиїм запитом була створена ця копія. Тобто, повторно використовувати її неможливо", — резюмує Банік.
Чиновник зазначає, що "паспорт у "Дії" перевіряється через той же QR. Він ініціює запит до реєстру ДМС і показує обмежені дані саме звідти. Тобто підроблений QR не зможе ніяк допомогти ввести в оману та показати помилковий документ".
Раніше стало відомо, що через "Дію" був отриманий кредит на імʼя громадянки України Людмили Ж., яка не є користувачкою додатку й у неї немає ID-карти — тільки паперовий паспорт. Мінцифри стверджує, що подібне могло статися, але вина фінустанови, що авторизувала "лівого" користувача "Дії", який вкрав доступ до пошти постраждалої. Детально цей кейс Фокус розглядав у матеріалі Колос на цифрових ногах. Як підробляють електронні підписи і чим це загрожує діджиталізації.