Достъпът до финансови услуги и редица граждански права на богатите и законопослушни хора са опасно зависими от притежанието на валиден документ за самоличност
Без документ за самоличност гражданите нямат право да изтеглят пари от банковата си сметка, да получат пари чрез Western Union, да получат бърз кредит (с цел да си платят таксата за издаване на нов документ за самоличност и разходите за живот, докато чакат издаването на новия си документ за самоличност), да ползват хотелски услуги (защото хотелите приемат само клиенти, които се регистрират с валиден документ за самоличност).
Това може да принуди някои граждани да прибегнат до незаконни действия (да крадат или ограбват с цел да си набавят нужните пари, да ползват услугите на финансови мулета за да получат пари от приятели чрез наличен паричен превод) или да станат жертви на сексуална експлоатация. Предложените от мен решения имат потенциал да предотвратят такива престъпления.
Усъвършенстването на законодателството, което предлагам, ще даде възможност да съществуват фирми, предлагащи помощ на бедстващи лица без документ за самоличност.
Обърнете внимание, че целта ми е да се помогне на богатите бедстващи лица, пребиваващи легално в съответната държава, не на нелегалните имигранти.
В момента има някои застрахователи, които намекват, че предлагат подобна услуга (помощ при пътуване в чужбина при загуба на документи за самоличност и дебитни карти). Но когато ги питам за повече информация точно как работи услугата им не ми дават ясни отговори и млъкват. Подозирам, че причината за това е, че има правна несигурност и работят в сива зона или даже нарушават законодателството.
Една част от проблемите може да се решат ако държавите членки бъдат принудени с евродиректива да не отказват издаване на документ за самоличност на лица, които не могат да платят предварително (да има опция за отложено плащане). Но това няма да е достатъчно, защото ще реши проблема само с плащането на таксата за издаване на документа за самоличност, но не и с разходите за живот (храна, вода, подслон), докато се чака издаването на новия документ за самоличност.
Теоретично е възможно за 8 часа или 3 работни дена (колкото са сроковете за по-бързите услуги за издаване на документ за самоличност) човек да оцелее като пие вода от обществените тоалетни в моловете, спи под моста (ако не е студена зима) и се храни с храна от кофите за боклук, но не е хуманно.
Предлагам да отпадне забраната за подаване на заявление и получаване на нов документ за самоличност в друга областна дирекция. В момента гражданите биват тормозени да си сменят адресната регистрация или да пътуват до областна дирекция по адресна регистрация за да им бъде издаден документ за самоличност. Това според мен е нехуманно и трябва да се прекрати като се напише евродиректива, която забранява на държавите да тормозят така гражданите.
За услугата "2079 Издаване на удостоверение за постоянен адрес след подаване на заявление за заявяване или за промяна на постоянен адрес" има такса, за която се изисква предварително заплащане. Това е допълнителна пречка за хора, които са останали без достъп до финансите си и без документ за самоличност. Издаването на такова удостоверение е необходимо на лицата, които бедстват без документ за самоличност далеч от мястото на адресна регистрация и могат да подадат заявление и да получат новия документ за самоличност само в друга областна дирекция.
За пълно решаване на проблема предприемачите трябва да имат правна сигурност за да могат легално и спокойно да предлагат услуги за помощ на бедстващи лица без документи за самоличност (които пребивават законно в съответната държава и са платежоспособни, но с временно затруднен достъп до финансите си).
Бедстващите лица, които не са платежоспособни (или не пребивават законно в съответната държава) няма да бъдат обслужвани от тези предприемачи. Нещо повече - предприемачите ще докладват на властите ако някой неплатежоспособен или нелегално пребиваващ в съответната държава се опита да им ползва услугите и по този начин властите ще приложат закона спрямо него (неплатежоспособните, но законно пребиваващи, ще бъдат прибрани в приют за бездомни, а нелегално пребиваващите ще бъдат арестувани или вкарани в бежански лагери).
За съжаление се налага да уточнявам горното с цел да няма съпротива на законодателните промени, които предлагам, от хора, които са против нелегалната имиграция.
Предлагам удостоверяването на самоличността да става на база биометрична идентификация. Ползването на биометрична идентификация би повишило сигурността вместо да я понижи, защото е много по-сигурно от идентификацията с показване на документ за самоличност. Възможно е измамник да покаже фалшив документ за самоличност (или чужд документ за самоличност), докато фалшифициране на биометрични показатели като сканиране на вените на дланта, е практически невъзможно.
Как ще работи системата
Съвсем накратко как ще работи биометричната идентификация - снимки с висока разделителна способност на лицето от различни ъгли и инфрачервено сканиране на дланта. В никакъв случай не трябва Предлагам тази система да работи с пръстови отпечатъци за да не се злоупотреби с тези данни (да не могат да се ползват за разкриване на престъпления от МВР или еквивалентния орган в съответната държава). Инфрачервеното сканиране на дланите сканира кръвоносните съдове, не пръстовите отпечатъци.
(От друга страна обаче, възможно е да се окаже, че устройствата за инфрачервено сканиране на дланта са значително по-скъпи от устройствата за пръстови отпечатъци. Затова трябва внимателно да се обмислят предимствата и недостатъците на двата метода. Въпреки риска от злоупотреба с пръстовите отпечатъци - нелегално ползване на данните от МВР за разкриване на престъпления - тази технология в голяма степен се е наложила, включително и във връзка с издаване на документи за самоличност от държавни органи и голямо количество хардуер вече съществува и се ползва.)
Бедстващото лице се обръща към фирма, която предлага помощ за бедстващи лица без документи за самоличност. Служител на фирмата снема биометричните данни на клиента (снимки на лицето, инфрачервено сканиране на дланите) и личните данни, които лицето декларира.
1. Ако фирмата преди това е съхранила данни от същото лице заедно с копие от документа за самоличност - идентификацията приключва успешно.
2. Ако фирмата няма предварително съхранени данни: фирмата се обръща към друга фирма, която има тези данни и получава отговор, който потвърждава успешната идентификация или получава друг отговор (опит за измама, грешки в данните и т.н.).
3. Ако нито една фирма няма предварително съхранени биометрични данни на съответното лице се създава нова регистрация временно без данни за документ за самоличност (по-късно лицето си дава данните от новия документ за самоличност). ДАНС (или еквивалентен орган от съответната държава) получава информация в реално време за такива съмнителни регистрации с цел превенция на прането на пари, финансирането на тероризма и нелегалната имиграция. Ако в някакъв разумен срок (1 месец) клиентът не представи данни за документ за самоличност или доказателство, че е подал заявление за издаване на нов документ за самоличност, съответният държавен орган започва издирване на нарушителя и му се налага глоба за забавено предоставяне на документ за самоличност.
При техническа възможност (при казуса от точка 3) фирмата, която обслужва бедстващият без документ за самоличност клиент, получава автоматично данни за документа за самоличност автоматично през API, което освобождава клиента от задължение да покаже документ за самоличност.
Предлагам с европейска директива да се забрани събирането на пръстови отпечатъци във връзка с издаването на документи за самоличност като вместо това се ползва инфрачервено сканиране на дланта. Причината е, че с пръстовите отпечатъци може теоретично да се злоупотреби (може да се ползват от МВР или еквивалентен орган от съответната държава за разкриване на престъпления).
Предлагам место да се прави само една снимка (във връзка с издаване на документ за самоличност) да се правят множество снимки от различни ъгли. По този начин системата за биометрична идентификация на частните фирми може да се интегрира със системата за документи за самоличност на държавите с цел по-голяма гъвкавост при казуса от трета точка (когато нито една частна фирма не разполага с предварително съхранени биометрични данни на клиента).
Регламентът eIDAS се отнася за идентификацията онлайн, фирмите за удостоверителни услуги по eIDAS идентифицират клиентите само за целите на онлайн идентификацията (не предлагат услуги за офлайн идентификация от каквато се нуждаят бедстващите без документ за самоличност хора). Често бедстващите са останали и без смартфон, освен без документи, дебитни карти и пари. А без смартфон електронната идентификация по eIDAS не може да се ползва за каквото и да било. Дори и да има смартфон лицето не може да ползва такава електронна идентификация за да се идентифицира офлайн (за да получи пари на гише например). Затова предлагам нова европейска правна рамка, която да даде правна сигурност на предприемачите да ползват биометрична идентификация за да предлагат услуги на бедстващи без документ за самоличност лица.
По-голямата част от тези предложения ги изложих на английски език в предложение S33197923 (публикувано на сайта на Европейската комисия; може да се свали в md формат от тук). Но отговорът, който получих, беше неадекватен (показва неразбиране на написаното от мен). Отговора и възражението може да видите тук.
Други неща, които пропуснах да напиша в предложение S33197923
Предлагам да се забрани на държавите да събират пръстови отпечатъци във връзка с издаването на документи за самоличност и вместо това правят инфрачервено сканиране на дланта. (Това трябва да се обмисли като се има предвид разликата в цената на устройствата за сканиране на пръстови отпечатъци и устройствата за инфрачервено сканиране на дланта.)
Създаване на възможност за интеграция между системите на частните фирми и държавната система за документи за самоличност (в случай, че клиентът няма предварително записани биометрични данни и данни за документ за самоличност при нито една частна фирма) и във връзка с издаването на документ за самоличност да се правят няколко снимки на лицето от различни ъгли, а не само една снимка (с цел да може системата на държавата да се интегрира със системите на частните фирми за биометрична идентификация).
Да не се забранява на хората да ползват финансови услуги ако документът им за самоличност е изтекъл. При форсмажорни обстоятелства понякога държавите бързо създават закон документите за самоличност да важат и след датата си на валидност, която е изписана върху тях (и така се оправдават да не издават нови документи за самоличност). Проблемът е, че доставчици на финансови услуги (и други фирми), установени в други държави, не признават този закон тъй като не важи на тяхна територия.
Понякога някоя държава може да ползва документите за самоличност за гавра с хора, които са набедени за народни предатели, врагове на народа или нещо такова (а в действителност може да са точно обратното) и така ги лишава от редица права. Това не е хуманно и за да се противодейства не е достатъчно трета държава да има право да издаде заместващ документ за самоличност (защото това е бавен, труден процес, понякога невъзможен и системите на редица доставчици на платежни услуги просто не са направени да са съвместими с такива документи), а трябва да няма забрана "ползването на изтекли документи за самоличност" (да не е забранено на хора с изтекли документи за самоличност да ползват финансови услуги и да упражняват редица граждански права).
В момента практиката на някои от доставчиците на платежни услуги (особено на българските банки) е след като дадения документ за самоличност при регистрацията изтече да не позволяват нормално ползване на услугите (въпреки, че няма други индикации това да е проблемно - потребителят продължава да има достъп до частния ключ и въвежда правилно паролата си).
Знам, че има аргументи против ползването на изтекли документи за самоличност и продължаване ползването на финансови услуги от клиенти, които не са показали новия си документ за самоличност (след изтичане на предишния), но не съм съгласен с тях, по-важно е да не се оставят хората без достъп до редица права.
Централизирането на издаването на документи за самоличност е заплаха за националната и наднационалната сигурност. Затова предлагам да се разбие монопола на държавите, свързан с издаването на документи за самоличност. Врагът може да атакува центровете за печатане на документи за самоличност (като част от хибридната война срещу нас) твърде лесно (особено след като печатът на документи за самоличност в България се централизира - преди ставаше децентрализирано и можеше за часове да бъде издаден документ за самоличност във Варна, а сега единствения начин издаването да стане за часове е титулярът да си вземе документа от София).
Предлагам и да се забрани централизирането на издаването на документи за самоличност (както е сега в България) когато това води до бавна услуга и докато липсва законодателство, което да гарантира, че правата на гражданите без лични документи няма да бъдат нарушавани. Трябва навсякъде в страната гражданите да имат достъп до бърза услуга вкл. и през почивните и неработни дни. Неприемлив е срокът "3 работни часа", защото това значи, че ако в петък 16:30 се подаде искането то ще се изпълни чак в понеделник или даже вторник (ако понеделник е неработен ден).
Дупка в закона, която дава възможност да се направи невалиден документа на набелязан гражданин
Законът предвижда възможност за злоупотреба (атака срещу набелязан гражданин или масово) като се направи фалшив опит за ползване на фалшив (подправен) документ за самоличност. Това води до обявяване на оригиналния и автентичен документ за самоличност със същия номер за невалиден. По този начин врагът може да злоупотреби със законите за документите за самоличност като част от хибридната война срещу нас (или като злоупотреба от обикновен престъпник).
Чл. 49. (1) (Доп. - ДВ, бр. 82 от 2009 г.) Обявяват се за невалидни паспортите или заместващите ги документи на лица:
(...)
7. (нова - ДВ, бр. 101 от 2020 г.) за чийто паспорт или заместващ го документ е установено, че е подправен;
(...)
(4) (Нова - ДВ, бр. 101 от 2016 г., в сила от 02.08.2021 г., изм. относно влизането в сила - ДВ, бр. 97 от 2017 г., изм. относно влизането в сила от ДВ, бр. 101 от 2016 г. - ДВ, бр. 1 от 2019 г., в сила от 31.12.2018 г., отм. - ДВ, бр. 58 от 2019 г., в сила от 01.10.2020 г., изм. относно влизането в сила от ДВ, бр. 101 от 2016 г. - ДВ, бр. 60 от 2020 г., нова - ДВ, бр. 101 от 2020 г.) Обявен за невалиден паспорт или заместващ го документ не може да бъде обявен за валиден.
Чл. 32. (1) Обявяват се за невалидни личните карти на лица:
(...)
9. (нова - ДВ, бр. 101 от 2020 г.) за чиято лична карта е установено, че е подправена;
(...)
(4) (Нова - ДВ, бр. 101 от 2016 г., в сила от 02.08.2021 г., изм. - ДВ, бр. 85 от 2017 г., изм. относно влизането в сила на измененията с бр. 101 от 2016 г. - ДВ, бр. 97 от 2017 г., изм. относно влизането в сила от ДВ, бр. 101 от 2016 г. - ДВ, бр. 1 от 2019 г., в сила от 31.12.2018 г., отм. - ДВ, бр. 58 от 2019 г., в сила от 01.10.2020 г., изм. относно влизането в сила от ДВ, бр. 101 от 2016 г. - ДВ, бр. 60 от 2020 г., нова - ДВ, бр. 101 от 2020 г.) Обявена за невалидна лична карта не може да бъде обявена за валидна.
Тоест атакуващият прави "подправен" документ (с номера на документа на гражданина, който е обект на атака) и се опитва да го ползва. Прави го некадърно така, че лесно да се установи, че документът е "подправен". Лицето, пред което атакуващият се опитва да се идентифицира с този "подправен" документ, докладва това в МВР, и истинският документ, който има същия номер, се обявява за невалиден. И няма начин после да се обяви отново за валиден, налага се издаване на нов. И докато трае този процес жертвата на тази атака е лишена от редица права, вкл. и от активно ползване на финансови услуги от банки.
Тази атака е възможна заради монопола на държавата върху документите за самоличност и обвързаността на упражняването на редица граждански права със съществуването на валиден документ за самоличност и притежаването му.
Има няколко пътя за справяне с вредните ефекти от монопола на държавата върху документите за самоличност - да се разреши на частни фирми да издават документи за самоличност (вкл. и позволяващи пресичане на граници - частни паспорти), да се разреши удостоверяване на самоличност чрез мрежа от частни фирми, съхраняващи биометрични данни, упражняването на редица права от гражданите да не зависи от съществуването и притежаването на валиден документ за самоличност (издаден от държава). Препоръчвам да се приложат и трите метода.
Какво означава "упражняването на редица права от гражданите да не зависи от съществуването и притежаването на валиден документ за самоличност"? Проблемът е, че доставчици на услуги като банки и други доставчици на платежни услуги спират пълноценното ползване на услугите (банките спират активните операции с онлайн банкирането) докато не се представи от клиента нов документ за самоличност. Това е лоша практика, защото не можем да имаме доверие на държавата надеждно и навременно да издава документи за самоличност и те да достигат до нуждаещите се от тях.
Трябва винаги да допускаме, че държавата ще се проваля в задълженията си и да пишем такива закони, които правят функционирането на обществото толерантно на държавни провали.
Същата мрежа от частни фирми, които съхраняват и обменят биометрични данни на клиентите си, може да се натовари със задачата за издаване на частни документи за самоличност. С мобилно приложение и смартфон (с работеща камера) ще може да се проверява лесно съществуването на документ за самоличност с такива данни, а ако смартфонът има NFC ще се проверява и дали този документ има чип, който съхранява правилния частен ключ (това става без да се изважда частния ключ, частният ключ никога не напуска чипа). При сканиране с NFC на екрана на смартфона ще се показват данните от паспорта и операторът ще сравни снимката и останалите данни като по този начин потвърди, че документът за самоличност е автентичен.
(Няма да задълбавам за темата с блокчейна, но само ще спомена за възможността ползване на блокчейн за цели, свързани с проверка дали документ за самоличност е действително издаден от съответния издател и като цяло за цели, свързани с електронната идентификация.)
За да се намали риска от изгубване на документа за самоличност може да се издават няколко документа за самоличност. С тях няма да злоупотребява повече от едно лице, защото има биометрични данни, които ще се проверяват при ползването им (условието им за валидност е отсрещната страна да провери биометричните данни).
С цел понижаване на разходите за издаване на документи за самоличност е възможно изобщо да не се печата снимка и други данни върху документа, а да се разчита само на NFC чип, който се проверява със смартфон с NFC и съответното приложение.
Тоест ще има един обикновен документ за самоличност със снимка, за който има нормални условия за ползване, и резервни документи за самоличност (неограничен брой), които се ползват с биометрична проверка от страна на отсрещната страна.
Идеята ми е да се ползват тези резервни документи за самоличност без Интернет (офлайн), защото биометричните данни ще са записани на тях. Преди да се изгуби връзката с Интернет потребителите на системата ще са изтеглили приложение, с което проверяват автентичността на документа за самоличност чрез NFC.
Иначе при връзка с Интернет може да се ползва удостоверяването на самоличност чрез мрежата от фирми, които съхраняват биометрични данни (което да замества всички видове документи за самоличност, даже визи и паспорти - фирмите за съхранение на биометрични данни ще съхраняват референции към базите от данни на съответните държави и така ще се проверяват визи и виртуални паспорти без да се налага физическото притежание на виза и паспорт от страна на титуляра).
Това е стъпка към увеличаване на надеждността (паспортите с отпечатани визи на тях и личните карти ще се ползват като резервен вариант на новата система). Сигурността не се намалява, защото биометричното удостоверяване на самоличност е много по-сигурно от показването на съществуващите паспорти и лични карти.
Сигурността не се повишава, защото остава по-слабото звено - традиционните паспорти и лични карти (които ще се ползват като алтернатива на изцяло биометричното удостоверяване на самоличност). Но поне остава същата, не се намалява.
Не всички ще са съгласни да ползват новата система затова трябва да има опция за отказване от ползването ѝ (да се ползват паспорти и лични карти по старите правила за хората, включени в списъка на нежелаещи ползване на новата система).
Практиката на българските банки
В момента българските банки имат практика да проверяват документите за самоличност на клиентите дали са валидни в системата на МВР всеки път когато клиент ползва някакви услуги на банката. Ако банката установи, че документът не е валиден (например изтекъл или обявен за невалиден), банката ще откаже услугите дори и да няма никакви индикации, че искането за услугата не е легитимно (клиентът правилно се е логнал в мобилното банкиране или онлайн банкирането, въвежда потвърждение с пръстов отпечатък и SMS както му е реда).
Това поставя хората в риск от невъзможност да ползват финансови услуги в случай на погрешно сработване на системата на МВР или ако злонамерено е обявен документа за самоличност на невалиден.
(Възможно е някои банки да не правят тази проверка винаги или да я правят със закъснение. Информацията за практиката на българските банки е на база ограничено наблюдение на заявките за достъп до личните ми данни от банки и известие от банка, че ще ми бъдат ограничени услугите заради изтичане на документ за самоличност. Също и оплаквания в социалните мрежи от клиенти на банки във връзка с "обновяването на лични данни" и спиране на активните банкови операции, докато не се покаже нова лична карта. Банките в някои други европейски държави са една идея по-хуманно отнасящи се с клиентите, защото не спират автоматично активните операции през онлайн банкирането само защото личната карта на клиента е изтекла или обявена за невалидна.)
Алтернатива на хуманното отношение?
Разбира се, може да се подходи и по друг начин - например да се въведе закон, с който останалите без валиден документ за самоличност да са длъжни незабавно да се предадат в полицията и да бъдат вкарани в затвора като превантивна мярка (защото без документ за самоличност има риск да крадат или да извършат друго престъпление, а в затвора поне ще ги хранят и ще им осигурят подслон). Ако останалите без валиден документ за самоличност имат деца, които завият от тяхната грижа, в такъв случай тези деца ще се прибират в специализирана институция незабавно.
В момента хотелите са длъжни да изискват валидни документи за самоличност, но не и даващите жилища под наем краткосрочно. Не се иска документ за самоличност и при ходене на гости при приятели. Може да се промени закона така, че да се криминализира влизането в чуждо жилище без да се покаже документ за самоличност на собственика или упълномощено от него лице (и позволяването на лице без документ за самоличност да влиза в чуждо жилище) и без вписване на всяко идване на гости в специален регистър (като в хотелите). А защо не и да се криминализира влизането в собственото жилище без документ за самоличност и специален регистър на преминаванията през външната врата или през алтернативен отвор (прозорци, комини)?
Друг начин за хуманно отношение към хората без да се реформира остарялата система с издавани от държавата документи за самоличност?
Но дори и да е възможно настаняването на бедстващото лице в център за временно настаняване (или да се направи възможно с промяна в закона) това не е икономически изгодно, защото е много по-евтино да бъде възможно бедстващото лице да получи лична карта или друг заместващ документ за самоличност веднага и без да се изисква предварително заплащане на таксата за издаване. Или да се либерализира законодателството, регулиращо финансовите услуги, така че доставчиците на финансови услуги (и доставчици на специализирани услуги за помощ на бедстващи лица без документи за самоличност) да имат правната сигурност да предлагат услугите си на лица, които бедстват без документ за самоличност (както обясних по-горе - със сигурна биометрична идентификация, която е по-сигурна от остарелия начин с показване на лична карта или паспорт).
Излиза много скъпо за обществото ако бедстващото лице няма други опции освен да краде за са се снабди с пари за плащане на таксата за издаване на документ за самоличност и за да си плаща за храна, вода и подслон, докато чака издаването на документа.
Какво се случва с хората с нисък кредитен рейтинг, които бедстват без документи за самоличност?
Предлаганото от мен усъвършенстване на законодателството за да може да има правна сигурност за фирми, предлагащи специализирани услуги за помощ на бедстващи лица, които бедстват без документ за самоличност, не решава проблема на хората с лош кредитен рейтинг, защото частните фирми нямат изгода да помагат на такива лица. Евентуално може да се използват договори за поръчителство, при които заможни спонсори се съгласяват да поемат ролята на поръчители и да отговарят за заплащането на услугите, ако бедстващото лице не може да ги покрие.
Но какво става ако бедстващото лице няма познат, който да стане поръчител?
Ако имущественото състояние на лицето отговаря на изискванията на закона бедстващото лице може да кандидатства за приютяване в център за временно настаняване.
А възможно ли е бедстващото лице едновременно да е с лош кредитен рейтинг и да не отговаря на формалните изисквания за настаняване в център за временно настаняване?
Това са интересни въпроси, но бедните така или иначе са прецакани, на първо място е важно да помислим за богатите хора, които бедстват без документи за самоличност. Защото е абсурдно богати хора да се принуждават от закона да стават престъпници заради липса на валидни документи за самоличност.
За решаване на проблемите на бедните хора се изискват разходи за бюджета, докато за решаването на проблемите на богатите хора без документи е достатъчно само усъвършенстване на законодателството така че частни фирми да поемат отговорността да помагат.
Криминогенно законодателство - как законът насърчава престъпността?
Богатите хора без документи за самоличност са принудени да ползват услугите на финансови мулета за да получат наличен паричен превод от доверено лице, защото лицензираните фирми за налични парични преводи не позволяват на лица без валиден документ за самоличност да получават парични преводи. Western Union вече не предлага възможност за ползване на парола като алтернатива на показването на документ за самоличност (поради утежняването на законодателството).
В някои случаи даже и с валиден документ за самоличност не е възможно получаването на наличен паричен превод, защото паспортът е новоиздаден (липсва печат, който се поставя при влизане в страната). Този проблем е ограничен до някои държави.
Финансовото муле предоставя незаконна платежна услуга - получава парични средства като показва свой документ за самоличност и предава част от тези средства на поръчителя (като задържа за себе си комисионна за услугата).
Ако по някакъв начин бедстващото лице се сдобие с пари в брой следващата бариера е рецепцията на хотела - легално опериращите хотели изискват валиден документ за самоличност при регистрацията. Това създава предпоставка за корупция - бедстващото лице може да предложи подкуп на служителя на рецепцията за да го приеме в хотела без валиден документ за самоличност като ползва данните от невалиден (защото е обявен за откраднат/изгубен) документ за самоличност или като ползва неправомерно личните данни от документа за самоличност на трето лице.
Възможно е в държавата, където лицето бедства без документи за самоличност, да е легално ползването на услуги за краткосрочен наем без представяне на документ за самоличност. Но е възможно наличните парични средства да са ограничени или бедстващото лице не иска да губи предварително платения си престой в хотел. Това ще го мотивира да търси начин да бъде настанено в хотела, за който е платено предварително.
На практика може да е проблемно организирането на нелегалната финансова операция в кратък срок (намиране на финансово муле, координиране с близък човек да изпрати пари на финансовото муле). Това може да провокира някои хора да извършват други престъпления като например измами, кражби и грабежи или да станат жертви на сексуална експлоатация. Възможно е да се стигне до тежки телесни повреди и убийства - ако жертвата на грабежа оказва съпротива може да се стигне до спречкване, което да завърши със смърт или тежка телесна повреда.
Тъй като такива престъпления стават спонтанно, жертвите на законите (бедстващи без документ за самоличност) не са подготвени за тях и е много вероятно да попаднат в затвора.
Законодателството против прането на пари и финансирането на тероризма, изискващо валидни документи за самоличност при ползване на финансови услуги (към момента на предоставянето на услугите), е криминогенно - насърчава извършването на престъпления от лица, които бедстват, защото нямат документ за самоличност.
Законодателството, което изисква валиден документ за самоличност при регистрация в хотел също е криминогенно.
Но против какво е законодателството, което изисква валиден документ за самоличност при регистрация в хотел? Ето три хипотези (генерирани от ChatGPT) каква може да е била причината да се приемат закони за идентификация на гостите на хотели:
- Противодействие на нелегалната миграция – да се следи кой пребивава в страната.
- Национална сигурност – идентификация на потенциални престъпници, терористи, издирвани лица и др.
- Проследимост при престъпления – в случай на нужда полицията да знае кой е бил в конкретен хотел.
И трите точки са спорни. (По-долу правя референция към тях с израза "трите точки".)
Нелегалните имигранти, ако искат да не бъдат хванати, просто ще ползват алтернативни места за настаняване, които не изискват документи за самоличност. Или просто ще се регистрират в хотела с документите си за самоличност и е много вероятно да нямат проблеми, защото никой няма да провери дали са нелегални имигранти или не.
Престъпниците и терористите също лесно могат да избегнат регистрацията в хотел - като подкупят служителя в хотела да впише камуфлажни лични данни (лични данни на трето лице) или като ползват алтернативни места за настаняване (жилище, наето или от (или собственост на) техен съучастник).
Така само тези, които не планират извършване на престъпления, биха си дали истинските лични данни при регистрация в хотел. Което обезсмисля в значителна степен целия този театър на сигурността.
В момента когато ходим на гости при приятели и познати те не са длъжни да ни записват личните данни и да доносничат на държавата в колко часа сме дошли, в колко часа сме заминали. А даже и хотелите не събират толкова детайлна информация - някой може да се регистрира в хотела, но може да не ползва стаята си или да даде ключа на трето лице, което да я ползва (а в същото време регистриралият се в хотела да се намира в друг град или даже в друга държава).
Когато влизаме в собственото си жилище също не се изисква запис на информация в колко часа сме влезли и в колко часа сме излезли. Ако наистина трите точки бяха толкова важни - защо няма закони, които да регулират ползването на нашите собствени домове? Ами ако сме престъпници и терористи как ще ни хванат ако не знаят в колко часа сме влезли в дома си, в колко часа сме излезли, кога сме ходили при комшийката за да ѝ оправим тръбите на мивката?
Какъв тип биометрични данни да се ползват?
Особено чувствителен е въпроса дали да се ползват пръстови отпечатъци или категорично да се забрани ползването им (за да няма злоупотреба с тях от страна на МВР). В момента практиката на множество държави е да събира пръстови отпечатъци във връзка с издаването на документи за самоличност. Тоест вече ги има базите от данни с пръстови отпечатъци. Забранено е тези данни да се ползват за разкриване на престъпления. Създаването на още една база от данни с пръстови отпечатъци (такава на частни фирми) няма да увеличи значително риска, защото ако МВР иска да злоупотреби ще може лесно да го направи с базата от данни на системата за документи за самоличност и съществуването на още една система не променя значително риска.
Но изграждането на мрежа от частни фирми, съхраняващи биометрични данни (пръстови отпечатъци), би създало риск други лица (извън МВР) да злоупотребят с тези данни като ги ползват за разкриване на престъпления незаконно или за други незаконни цели.
Сканирането на дланите (инфрачервено) не записва пръстовите отпечатъци и с тези данни не може да се злоупотреби по същия начин както с пръстовите отпечатъци. Други алтернативи - сканиране на ириса, фотографиране на лицето от различни ъгли (за да може да се ползва от софтуер за лицево разпознаване по-ефективно).
Със снимките на лицето може да се злоупотреби като се интегрират в система за лицево разпознаване, захранвана от мрежа от охранителни камери. Така може незаконно да се проследяват лица. Но снимки на лицето вече има (напр. в социалните мрежи хората сами си публикуват свои снимки), тоест духът е вече извън бутилката и връщане назад няма.
Типичните охранителни камери нямат необходимата разделителна способност за ясни снимки на ириса, така че е трудно да се злоупотреби със снимки на ириса с цел проследяване на хора. Но ако някой иска да проследява хора с мрежа от охранителни камери би го направил със снимките на лицата и софтуер за разпознаване на лица. В бъдеще технологиите на камерите биха се подобрили така, че да може да се разпознават ириси, но това само малко би улеснило проследяващите, защото и със старите камери може да се ползва софтуер за разпознаване на лица (и подобряването на качеството на камерите, и възможността за разпознаване и на ириси, само малко би подобрило точността на системата).
Възможно е да се ползват като резервен вариант снимки на уникални кости (с импланти) и зъби (чрез рентгенови снимки, ядрено-магнитен резонанс, компютъра томография) за да има биометрични данни, с които да се проверяват лица, които са пострадали при инциденти (изгаряне на лицето и ръцете, ампутация на ръце).
Възможни злоупотреби с мрежата от фирми за биометрична идентификация
Едно слабо място на такава система е във възможността вътрешно лице да обратноинженерне (reverse engineer) устройство за биометрична идентификация и да приложи атака повторно възпроизвеждане (replay attack).
Представете си устройство за плащане с длан в магазин. Клиентът доближава дланта си и така извършва плащане за някаква стока или услуга. Инфрачервеното сканиране на дланта не може да се излъже със снимка на длан. За злоупотреба се налага разглобяване (обратноинженерване) на устройството и прилагане на атака повторно възпроизвеждане (биометричните данни, прихванати незаконно от паразитен модул в устройството, се изпращат отново все едно клиентът е дошъл да си покаже дланта отново).
Този тип атака не е нещо уникално за този тип биометрични системи. Може да се приложи и в банка - служителят на банката се преструва, че вижда клиента отново и извършва някаква транзакция уж от негово име. За защита от такава атака някои банки въвеждат електронни четци на лични карти (ползва се инфраструктура с публичен ключ, PKI). Традиционният начин да се решава проблема без PKI е като се ползва видеонаблюдение в салона на банката и служителите се контролират взаимно (операциите изискват одобрение от друг служител). Когато банките избързат и прекалено се доваряват на PKI се случват проблеми с обслужването - клиенти бяха връщани да дойдат "утре" или след няколко дни, защото системата за валидация на личните документи (вероятно по вина на държавата) не работеше.
В хипотезата с устройството за сканиране на длани в магазин собственикът на магазина е мотивиран да организира ползването на устройството така, че да няма злоупотреби (опазване на устройството от модификации), защото при злоупотреба той ще възстановява средствата на клиента, чиято платежна сметка е дебитирана неправомерно (в хипотезата когато мерките за сигурност на доставчика на платежни услуги са донякъде адекватни за да се гарантира, че частният ключ на устройството е неизваждаем от модула за сигурност (и е уникален) и системата приема заявки само подписани с частния ключ от такъв модул за сигурност с неизваждаем частен ключ).
В гореизложената хипотеза злоупотребата става със съдействието на служител в магазина.
Друга възможна злоупотреба е устройството да се модифицира така, че да показва на екрана си 10 пъти по-голяма сума (изместване на десетичната точка/запетая) или съвсем друга сума. Подобен метод се ползва от някои таксиметрови шофьори с POS терминал за дебитни и кредитни карти. Измамниците таксиджии разчитат, че клиентът няма да забележи неправилното място на десетичната запетая и таксуват клиента 10 пъти повече. При тази хипотеза измамата се случва със съдействието на служител на търговеца или от самия търговец.
Атаката повторно възпроизвеждане е обичайна за дебитните и кредитните карти когато се ползва магнитната лента или онлайн плащане с номер на карта (когато виртуалният POS терминал не поддържа 3D Secure). А съм чувал, че имало и неадекватно конфигурирани системи, така че да е възможна и с чип на картата (защото не се ползва адекватно възможността PKI на картите). Дали е оправен проблема не знам. Освен Revolut и Wise не се сещам за други доставчици на платежни услуги или банка, които позволяват изключване на магнитните транзакции с картата. Само за Wise съм чувал да позволява изключване на онлайн плащанията без 3D Secure (без изключване изцяло на онлайн плащанията с картата).
От гореизложеното става ясно, че уязвимостите на една система, базирана на биометрична идентификация, са характерни и за сега съществуващи системи. Не са нещо, което е непреодолим проблем - могат да се решат по старите начини.
Обобщение
Предлагам да се намали криминогенният ефект на действащото законодателство чрез създаване на правна рамка, която да гарантира правна сигурност за предприемачите, желаещи да развиват легален бизнес в помощ на лица, изпаднали в бедствено положение без валиден документ за самоличност. Също така е необходимо да се осигури легална възможност за хотелите да приемат такива лица при ясни и контролирани условия, дори когато към момента на регистрацията не разполагат с валиден документ за самоличност.
Дали решението да се базира на биометрични системи (включващи мрежи от частни фирми за биометрична идентификация) или да е друго - трябва да се помисли. Особено чувствителен е въпроса е какъв тип биометрични данни да се събират за тази цел.
Макар това да не решава всички проблеми (особено по отношение на бедни хора и лица с нисък кредитен рейтинг) мярката би осигурила ефективна подкрепа поне за заможните хора, бедстващи без документ за самоличност.
Статии по темата
Статията е многократно редактирана след публикуването, последна редакция: 30 юни 2025 12:03
Коментари
Публикуване на коментар