eIDAS 2.0: Сроки внедрения и подготовка бизнеса (RU)

eIDAS 2.0 — пересмотренный регламент ЕС об электронной идентификации, аутентификации и доверительных услугах — требует от каждого государства-члена ЕС предоставить гражданам и юридическим лицам EUDI (цифровой идентификационный) кошелек. Это крупнейшее структурное изменение в сфере цифровой идентификации в Европе с момента принятия первоначального регламента eIDAS в 2014 году, и оно создает реальные обязательства по принятию для услуг частного сектора по всему блоку.

Внедрение осуществляется поэтапно и точно привязано к прогрессу реализации в государствах-членах, который варьируется. Что недвусмысленно, так это направление: EUDI-кошельки появятся, их принятие будет обязательным для определенных категорий услуг, и предприятия, которые поймут эту структуру сейчас, интегрируются более плавно, чем те, кто будет ждать.

Ключевые выводы

• eIDAS 2.0 требует от всех 27 государств-членов ЕС предоставить EUDI-кошельки гражданам и юридическим лицам, обеспечивая электронную идентификацию и представление учетных данных через границы.
• Три уровня гарантии (LoA) — низкий, существенный и высокий — определяют, насколько строго были установлены учетные данные; соответствующий уровень зависит от риска услуги, которая на них полагается.
• Обязательства по принятию для услуг частного сектора вводятся поэтапно, при этом банки, телекоммуникационные компании и крупные онлайн-платформы входят в число секторов, для которых предусмотрено обязательное принятие.
• Ожидается, что к 2026 году государства-члены введут в эксплуатацию EUDI-кошельки, после чего будут поэтапно вводиться обязательства по широкому принятию в частном секторе — хотя сроки развертывания варьируются в зависимости от государства-члена.
• Didit является единственным поставщиком идентификационных данных, официально подтвержденным правительством государства-члена ЕС — Казначейством Испании / Банком Испании / SEPBLAC / CNMV — как более безопасный, чем личная проверка, обеспечивая готовую к соблюдению основу, соответствующую стандарту высокой гарантии eIDAS 2.0.

Что такое eIDAS 2.0

Первоначальный регламент eIDAS, принятый в 2014 году, создал основу для взаимного признания национальных систем электронной идентификации в государствах-членах ЕС. Он работал для крупных национальных программ eID — немецкого Online-Ausweis, бельгийской карты eID — но оставлял значительные пробелы: отсутствие общего формата кошелька, ограниченное покрытие услуг частного сектора и трансграничная совместимость, которая лучше работала в теории, чем на практике.

eIDAS 2.0 — официально Регламент (ЕС) 2024/1183, вносящий поправки в оригинал — заменяет эту фрагментированную модель национальных схем единым европейским подходом. Каждое государство-член должно предоставить EUDI-кошелек каждому гражданину и юридическому лицу, которое этого хочет. Каждый кошелек должен соответствовать общим техническим стандартам. И, что крайне важно, указанные поставщики услуг должны принимать представления кошельков от любого гражданина ЕС, независимо от того, какое государство-член выдало кошелек.

Кошелек содержит проверяемые учетные данные: выданные правительством удостоверения личности, образовательные квалификации, профессиональные лицензии, подтверждение банковского счета — любой атрибут, официально выданный поставщиком доверительных услуг и представленный в электронном виде и подлежащий проверке. Гражданин Германии, предъявляющий свой EUDI-кошелек испанскому банку, или польский фрилансер, предъявляющий профессиональные учетные данные французской торговой площадке, должен работать так же бесперебойно, как и внутреннее представление.

Уровни гарантии: низкий, существенный и высокий

eIDAS 2.0 наследует структуру LoA из первоначального регламента и распространяет ее на контекст кошелька. Три уровня определяют, насколько уверенно были установлены учетные данные:

Низкий — учетные данные были установлены с помощью процесса, который обеспечивает ограниченную уверенность в заявленной личности. Подходит для услуг с низким риском, где стоимость ошибки минимальна, а трение должно быть как можно ниже.

Существенный — учетные данные были установлены с помощью процесса, который существенно снижает риск неправомерного использования личности. Проверка на основе документов с автоматическими проверками обычно соответствует этому уровню. Большинство проверок KYC (Знай своего клиента) разработаны для существенной гарантии.

Высокий — учетные данные были установлены с помощью процесса, который предотвращает неправомерное использование с очень высокой уверенностью. Проверка документов в сочетании с биометрической проверкой живости на уровне iBeta 1 или выше — эквивалент личной проверки или явно превосходящий ее — соответствует этому уровню.

Структура LoA важна для бизнеса, поскольку она сопоставляет уровень гарантии, необходимый для услуги, с методом проверки, который ему соответствует. Открытие платежного счета может потребовать существенного уровня; доступ к регулируемому финансовому продукту может потребовать высокого. eIDAS 2.0 кодифицирует эти ожидания и делает их переносимыми по всему ЕС.

Что означает EUDI-кошелек для бизнеса

Сегодня пользователь представляет свою личность вашей платформе, загружая изображение документа и делая селфи — и ваша платформа проверяет это в режиме реального времени. С EUDI-кошельком модель меняется: пользователь хранит предварительно проверенные учетные данные, выданные поставщиком доверительных услуг государства-члена, и представляет эти учетные данные вам. Вы проверяете криптографическую подпись учетных данных и надежность эмитента — а не базовый документ с нуля.

Для регулируемых предприятий модель представления кошелька предлагает конкретные преимущества. Личность пользователя уже была проверена доверенным эмитентом на известном уровне гарантии, что снижает нагрузку на проверку с вашей стороны. Учетные данные пользователя несут определенный LoA, который вы можете напрямую сопоставить с вашими требованиями к риску. А многоразовые учетные данные означают, что пользователи не загружают документы повторно в каждую службу, с которой они взаимодействуют — что снижает трение при регистрации для законных пользователей.

Обязательства также конкретны: определенные категории услуг не могут отклонять представленные кошельком учетные данные после вступления в силу обязательств по принятию. Банк или крупная онлайн-платформа, подпадающие под категории обязательного принятия, должны быть способны принимать представления EUDI-кошельков — что требует интеграции API с экосистемой кошелька и логики сопоставления LoA в вашем конвейере идентификации.

Обязательства по принятию и сроки поэтапного внедрения

eIDAS 2.0 определяет категории поставщиков услуг, подлежащих обязательному принятию представлений EUDI-кошельков: очень крупные онлайн-платформы в соответствии с Законом о цифровых услугах, поставщики банковских и платежных услуг, поставщики услуг электронной связи, поставщики транспортных и энергетических услуг, а также поставщики услуг по профессиональной квалификации.

Обязательство по принятию вступает в силу по мере развертывания кошельков государствами-членами. Крупномасштабные пилотные проекты — многонациональные тестовые программы, охватывающие здравоохранение, образование, путешествия, финансы и государственные услуги — проводятся с 2023 года и генерируют готовые к производству технические спецификации. Ожидается, что государства-члены введут в эксплуатацию EUDI-кошельки примерно к 2026 году, после чего будут поэтапно вводиться обязательства по обязательному принятию в частном секторе по мере развития инфраструктуры.

Точный ежемесячный календарь зависит от прогресса реализации в каждом государстве-члене и от имплементационных актов, издаваемых Европейской комиссией. Очевидно, что направление определено, а техническая архитектура реальна — уроки пилотных программ сейчас включаются в окончательные технические спецификации.

К чему следует готовиться предприятиям

Сопоставьте ваши требования к уровню гарантии. Для каждой предлагаемой вами услуги определите LoA, которому должны соответствовать представленные учетные данные. Услуга с низким риском может потребовать низкого уровня; регулируемый финансовый счет требует высокого. Это сопоставление определяет, какие представления учетных данных вы должны принимать и как вы их проверяете.

Оцените вашу подверженность обязательному принятию. Если ваша услуга относится к указанным категориям — банковские, телекоммуникационные, крупные онлайн-платформы — ваше обязательство по принятию представлений EUDI-кошельков является регуляторным, а не добровольным. Начните техническую оценку до вступления обязательства в силу, а не после.

Проведите аудит вашей архитектуры проверки личности. Принятие eIDAS 2.0 не означает удаление вашего существующего конвейера проверки — это означает его расширение. Пользователи, у которых есть EUDI-кошелек, представляют его; пользователи, у которых его нет, проходят стандартную процедуру с документами и биометрией. Оба пути должны сходиться на одной и той же записи о соответствии и классификации LoA.

Опирайтесь на уже аттестованную инфраструктуру. Учетные данные, выданные с высокой степенью гарантии, требуют конвейера проверки, который соответствует стандарту высокого LoA — включая биометрическую проверку, сравнимую или превосходящую личную идентификацию. Опора на поставщика с существующей надзорной аттестацией снижает вашу нагрузку по соблюдению требований и упрощает диалог с регулирующими органами.

Что eIDAS 2.0 означает для поставщиков услуг по проверке личности

EUDI-кошелек не вытесняет традиционную проверку документов и биометрии — он добавляет новый путь представления наряду с ней. В краткосрочной перспективе у большинства пользователей не будет EUDI-кошельков. В среднесрочной перспективе внедрение кошельков будет расти по мере того, как государства-члены будут разворачивать свои реализации, а пользовательский опыт будет совершенствоваться. В долгосрочной перспективе многоразовые учетные данные кошелька снизят нагрузку на проверку при каждом подключении для пользователей, а структура LoA стандартизирует то, как предприятия понимают и сообщают, что они проверили.

Для поставщиков услуг по проверке личности это создает двухпутную среду: традиционная проверка по запросу для пользователей без кошельков и инфраструктура принятия учетных данных для пользователей, которые представляют учетные данные EUDI-кошелька. Структура LoA является мостом между этими двумя путями — предприятие с требованием высокой гарантии может удовлетворить его любым из этих путей.

Примеры использования

Банки и платежные учреждения — названы в сфере обязательного принятия с самого начала. Интеграция EUDI-кошелька наряду с существующими конвейерами KYC обеспечивает беспрепятственное подключение для пользователей, имеющих кошельки, в то время как существующий поток обрабатывает пользователей без кошельков. Сопоставление LoA заменяет решение о проверке при каждом подключении для высоконадежных учетных данных кошелька.

Поставщики телекоммуникационных услуг — названы в категориях обязательного принятия. Проверка личности абонента через EUDI-кошелек с высокой степенью гарантии — это направление развития регулируемой регистрации SIM-карт в ЕС.

Крупные онлайн-платформы и регулируемые торговые площадки — очень крупные онлайн-платформы в соответствии с DSA сталкиваются с обязательствами по обязательному принятию. Проверка продавцов и пользователей с существенной степенью гарантии с использованием учетных данных кошелька является конкретным вариантом использования eIDAS 2.0.

Трансграничные финансовые услуги — испанский пользователь, подключающийся к голландскому необанку сегодня, проходит полную процедуру с документами и биометрией. С EUDI-кошельками его предварительно проверенные учетные данные, выданные правительством Испании, передаются напрямую с соответствующим уровнем гарантии, что снижает трение для законного пользователя при сохранении записи о соответствии.

Как Didit помогает

Didit — единственный поставщик идентификационных данных, официально подтвержденный правительством государства-члена ЕС — Казначейством Испании / Банком Испании / SEPBLAC / CNMV — как более безопасный, чем личная проверка. Эта аттестация на практике является стандартом высокой гарантии: проверка документов плюс биометрическая проверка живости, оцененная и одобренная национальным органом финансового надзора, а не самосертификация.

Для предприятий, стремящихся к соблюдению eIDAS 2.0, это означает:

• Проверка личности по стандарту высокого уровня гарантии LoA через Didit ID Verification — проверка документов плюс пассивная или активная проверка живости плюс сопоставление лиц, все сертифицировано iBeta Level 1 PAD и аттестовано правительством ЕС.
• Многоразовый KYC (бесплатно) — после того, как пользователь проверен Didit, эта проверка переносима. Пользователь не проходит повторную проверку для каждой услуги; учетные данные и их уровень гарантии доверяются далее по цепочке.
• Аттестованная ЕС инфраструктура — создание вашей системы соответствия eIDAS 2.0 на основе поставщика с существующей национальной надзорной аттестацией снижает как вашу нагрузку по соблюдению требований, так и вашу нагрузку по объяснению перед регулирующими органами.

По мере поэтапного введения обязательств по принятию EUDI-кошелька конвейер проверки Didit служит дополнением: пользователи без кошельков проходят проверку по стандартной процедуре с документами и биометрией; пользователи, предъявляющие кошелек, проходят путь принятия кошелька; оба сходятся на одной и той же записи о соответствии в вашей бизнес-консоли.

Часто задаваемые вопросы

Когда именно предприятия должны принимать EUDI-кошельки?

Регламент устанавливает направление и называет категории обязательного принятия; точные сроки варьируются в зависимости от государства-члена, категории услуг и имплементационных актов, издаваемых Комиссией. Ожидается, что государства-члены введут в эксплуатацию кошельки примерно к 2026 году, при этом обязательства по принятию в частном секторе будут вводиться поэтапно по мере развития развертывания кошельков. Следите за своим национальным органом по реализации и соответствующими имплементационными актами ЕС для получения авторитетного расписания.

В чем разница между eIDAS 1.0 и eIDAS 2.0?

eIDAS 1.0 (2014) создал трансграничную систему взаимного признания национальных схем eID. eIDAS 2.0 добавляет общий формат EUDI-кошелька, доступный каждому гражданину и юридическому лицу ЕС, расширяет охват на частный сектор с обязательствами по принятию, вводит квалифицированные электронные аттестации атрибутов (QEAA) как новый переносимый тип учетных данных и расширяет сферу регулируемых доверительных услуг.

Заменяет ли принятие EUDI-кошельков проверку KYC?

Нет. Принятие представленных кошельком учетных данных является одним из входных данных для вашей программы идентификации. Уровень гарантии учетных данных сообщает вам, насколько надежно была установлена личность. Ваша программа соответствия по-прежнему определяет, какой уровень достаточен для каждой услуги, и другие проверки — проверка на отмывание денег (AML), постоянный мониторинг, мониторинг транзакций — по-прежнему применяются.

Сколько стоит Didit ID Verification?

Основной поток — документ, удостоверяющий личность (0,15 долл. США) + пассивная проверка живости (0,10 долл. США) + сопоставление лиц (0,05 долл. США) + IP-анализ (0,03 долл. США) — составляет 0,33 долл. США за проверку. 500 бесплатных проверок в месяц. Без минимумов, оплата за вызов.

Что такое аттестация правительства ЕС Didit?

Казначейство Испании (Tesoro), Банк Испании (BdE), SEPBLAC (орган надзора за борьбой с отмыванием денег) и CNMV (регулятор ценных бумаг) официально подтвердили, что процесс проверки Didit безопаснее, чем личная идентификация. Это оценка национального надзорного органа — не самосертификация или отраслевая награда. Полная информация на центре доверия.

Готовы начать?

Прочтите документацию по проверке личности, чтобы понять конвейер проверки, посмотрите полный продукт на странице продукта проверки личности и проверьте стоимость за вызов на странице цен. Когда будете готовы, начните бесплатно — 500 бесплатных проверок в месяц, без контракта, без минимумов.