Belgian Mobile ID wil met zijn itsme® applicatie de omslachtige wijze waarmee klanten zichzelf online kenbaar moeten maken stevig vereenvoudigen. De organisatie is een consortium waarin de 3 grote telecomoperatoren met de 4 grootbanken van België zetelen. Samen zetten ze een product neer dat gebruikers moet toelaten om zichzelf in de mobiele wereld te identificeren, met dezelfde veiligheidsgaranties die men gewend is met de eID. Een belangrijke shift in de banking wereld, weet IT architect Sven Rosiers. Wij spraken met hem over de applicatie en de impact die deze zal hebben op financiële organisaties.
Rosiers legt uit waar de behoefte itsme® vandaan komt.“Het is een duidelijk signaal van de grote bankspelers, die geconfronteerd worden met veiligheid in een steeds mobieler wordende wereld. Het hedendaagse doelpubliek is veranderd. Zonder mobiele aanwezigheid, besta je niet voor de jongere generaties. De huidige, gekende manier voor online authenticatie door middel van de kaartlezer, past niet meer bij de hedendaagse standaarden van gebruikers.”
De oplossing van itsme® is volledig afgestemd op die nieuwe noden. Nochtans blijft het onderliggende mechanisme gelijkaardig van opzet. Het systeem steunt op Multifactor Authenticatie: gebruikers zijn in het bezit van een smartphone met simkaart en kunnen het proces in gang zetten door het ingeven van een pincode of een vingerafdruk. Op basis van die drie factoren garandeert itsme® dat het een klant uniek en op een veilige manier kan identificeren door gebruik van hun gepatenteerde technologie.
Ontsluiten van vertrouwen
De uitdagingen voor financiële instellingen om itsme® met hun diensten te integreren liggen eerder aan de business kant, vertelt Rosiers. “AE komt vaak via een technische insteek binnen bij dit soort vraagstukken. Als partner helpen we klanten bij het uittekenen van de aanpassingen in hun applicatielandschappen die nodig zijn om een integratie te kunnen bewerkstelligen. Toch zie ik de discussie heel snel omslaan naar business impact vragen.” Banken zijn traditioneel erg op zichzelf gericht. Ze zijn erg conservatief in hun beveiligingsoplossingen en integratie met andere services. Met itsme® worden ze uitgedaagd om een belangrijk deel van hun veiligheidsvaardigheid uit te besteden aan een derde partij. Het is belangrijk dat banken onderzoeken of het vertrouwen dat ze in itsme® plaatsen wel degelijk gedekt is door onder meer de service levels van Belgian Mobile ID.
De integratie met itsme® spoort banken aan om na de denken over hun bestaande authenticatie oplossingen. Voor welke services precies gaan we itsme® inzetten? Welke andere processen moeten uitgefaseerd worden, en aan welk tempo? Hoe verhoudt de betrouwbaarheid van itsme® zich ten opzichte van de huidige oplossingen? Kan dezelfde veiligheid als met de kaartlezer aan de klant gegarandeerd worden? Het is op die vragen dat AE meehelpt een antwoord te vinden. AE zoekt samen met de teams die werken rond business en enterprise architectuur naar mogelijkheden om de mobile toekomst van de klant uit te tekenen.
Impact op de eindgebruiker
itsme® zal ongetwijfeld ook impact hebben op de eindgebruikers van de financiële dienstverlener. Momenteel loopt er een actieve awareness campagne rond de technologie naar het grote publiek toe. Nu itsme® uit de schoot van haar oprichters evolueert naar toepassingen in de bredere markt, zullen geleidelijk aan meer gebruikers deze functionaliteit van hun bank verwachten. Aanvankelijk kan dit tot verwarring leiden aangezien het per bank, per kanaal en zelfs per interactie kan variëren welke functionaliteiten van itsme® beschikbaar zijn. AE begeleidt financiële instellingen in de uitwerking van de optimale klantenervaring per kanaal, beantwoordend aan de noden en het verwachtingspatroon van de klant.
Veiligheid en privacy in itsme®
Zoals bij elke beveiliging zijn er ook risico’s verbonden aan itsme®. Sven Rosiers: “ Het is een illusie om te denken dat er een oplossing bestaat die 100% veilig is. Of er concrete technische problemen opduiken, zal pas duidelijk worden wanneer we de eerste testcase in de media zien verschijnen.” Toch maakt hij zich weinig zorgen. “Aangezien alle telecomoperatoren op de kar gesprongen zijn, surft itsme® ook mee op de veiligheid die een simkaart kan bieden door over het gsm netwerk de communicatie tot stand te brengen. Communiceren hoeft dus niet noodzakelijk over het internet te gebeuren.” Los van deze extra veiligheid kan de simkaart ook gebruikt worden om miniatuur applicaties uit te voeren.
Voor eindgebruikers speelt voorts het privacyvraagstuk. Met itsme® wordt er één unieke digitale identiteit gecreëerd, die aan alle online toegangen van een persoon gekoppeld is. Een bedrijf kan alle gegevens zien die na toestemming van de eindgebruiker via itsme® wordt gestuurd. Om dit nadeel te ondervangen, zorgt Belgian Mobile ID er voor dat een identiteit steeds opgedeeld wordt. Bedrijven krijgen op die manier niet de mogelijkheid om te achterhalen bij welke andere bedrijven een klant itsme® gebruikt.
Sven Rosiers ziet alvast veel potentieel in itsme®: “Hoewel de service in het begin zal worden ingezet als een optionele toepassing, denk ik dat we vrij snel gaan zien dat itsme® de standaard zal worden. De overheid is ondertussen ook al een tijdje aan boord. Zo konden dit jaar gebruikers van tax-on-web hun belastingaangifte tekenen op basis van de technologie. Tel daar het gebruik via de grootbanken bij op, en je hebt nu al een heel brede markt die op itsme® steunt. De rest zal snel volgen.” Bovendien is de technologie niet enkel weggelegd voor financiële spelers. Bedrijven doorheen alle sectoren die hun klanten moeten identificeren of hen om een akkoord moeten vragen, zullen op termijn itsme® kunnen inzetten.
“itsme® werd ontwikkeld met het hoogste niveau van veiligheid voor ogen en gebruikt daarom de meest geavanceerde software-beveiliging gecombineerd met hardware-beveiliging (in casu de SIM-kaart als zogenaamd ‘secure element’). Ook op vlak van data privacy werd de lat op het hoogste niveau gelegd en staat de gebruiker centraal: itsme® geeft je volledige transparantie en controle over het delen van gegevens. Hierdoor ben je als bedrijf ook meteen ‘compliant’ met de recente Europese GDPR wetgeving.”
- Kris De Ryck, CEO Belgian Mobile ID