Πως ταυτοποιείται εξ αποστάσεως ο πολίτης που ζητά την έκδοση πιστοποιητικού

Πως ταυτοποιείται εξ αποστάσεως ο πολίτης που ζητά την έκδοση πιστοποιητικού

Μέθοδοι και έγγραφα για ασφαλή εξ αποστάσεως ταυτοποίηση

 

Ελάχιστες απαιτήσεις ασφάλειας, τα πρότυπα και αποδεκτές μέθοδοι για την εξ αποστάσεως εξακρίβωση της ταυτότητας του πολίτη που αιτείται την έκδοση εγκεκριμένου πιστοποιητικού, όταν δεν υπάρχει φυσική παρουσία αυτού στο χώρο ταυτοποίησης

 

Αριθμ. 27499 ΕΞ 2021 – ΦΕΚ Τεύχος B’ 3682/10.08.2021
Πρότυπα και απαιτήσεις για τη μέθοδο εξ αποστάσεως ταυτοποίησης φυσικών προσώπων, με σκοπό την έκδοση πιστοποιητικού υπηρεσίας εμπιστοσύνης.

Ο ΥΠΟΥΡΓΟΣ ΕΠΙΚΡΑΤΕΙΑΣ
αποφασίζουμε:

Άρθρο 1
Σκοπός και πεδίο εφαρμογής
1. Η παρούσα απόφαση καθορίζει τις ελάχιστες απαιτήσεις ασφάλειας, τα πρότυπα και τις αποδεκτές μεθόδους για την εξ αποστάσεως εξακρίβωση της ταυτότητας και των τυχόν ειδικών χαρακτηριστικών (εξ αποστάσεως ταυτοποίηση) του φυσικού προσώπου που αιτείται την έκδοση εγκεκριμένου πιστοποιητικού για υπηρεσία εμπιστοσύνης με χρήση ηλεκτρονικών μέσων, όταν δεν υπάρχει φυσική παρουσία του προσώπου αυτού στο χώρο ταυτοποίησης, σύμφωνα με την περ. δ’ της παρ. 1 του άρθρου 24 του Κανονισμού (ΕΕ) 910/2014 (εφεξής Κανονισμός eIDAS).
2. Για την εφαρμογή της παρούσας υπόχρεα πρόσωπα είναι οι Πάροχοι Υπηρεσιών Εμπιστοσύνης (ΠΥΕ) ή τρίτα μέρη από τον δημόσιο ή τον ιδιωτικό τομέα, στα οποία οι ΠΥΕ έχουν αναθέσει την εξ αποστάσεως ταυτοποίηση φυσικών προσώπων, σύμφωνα με την παρ. 1 του άρθρου 57 του ν. 4727/2020 (Α’ 184), κατά την οποία περίπτωση νοείται ότι οι ΠΥΕ διατηρούν την τελική ευθύνη. Οι όροι της παρούσας εφαρμόζονται για την εξ αποστάσεως ταυτοποίηση κάθε φυσικού προσώπου που αιτείται την έκδοση πιστοποιητικού υπηρεσίας εμπιστοσύνης ενεργώντας για τον εαυτό του ατομικά ή ως νόμιμος εκπρόσωπος νομικού προσώπου ή νομικής οντότητας.
3. Οι απαιτήσεις, τα πρότυπα και οι μέθοδοι που προ-βλέπονται στην παρούσα έχουν σκοπό την διασφάλιση υψηλού βαθμού εμπιστοσύνης σε μεθόδους ταυτοποίησης που δεν περιλαμβάνουν φυσική παρουσία των αιτούντων.

Άρθρο 2
Ορισμοί και Ακρωνύμια
1. Για την εφαρμογή της παρούσας ισχύουν οι ακόλουθοι ορισμοί και ακρωνύμια:
α. ΕΑΣ: Έκθεση Αξιολόγησης Συμμόρφωσης.
β. ΟΑΣ: Οργανισμός Αξιολόγησης Συμμόρφωσης.
γ. ΠΥΕ: Πάροχος Υπηρεσιών Εμπιστοσύνης.
δ. Ταυτοποίηση: Η εξακρίβωση της ταυτότητας και των τυχόν ειδικών χαρακτηριστικών φυσικού προσώπου, καθώς και των στοιχείων νομιμοποίησής του όταν ενεργεί για λογαριασμό νομικού προσώπου ή νομικής οντότητας.
ε. Ταυτοποιών: Ο υπάλληλος του ΠΥΕ ή τρίτου μέρους που λειτουργεί για λογαριασμό του, που διενεργεί την εξ αποστάσεως ταυτοποίηση.
στ. Ταυτοποιούμενος: Το φυσικό πρόσωπο που ταυτοποιείται ενεργώντας για τον εαυτό του ατομικά ή ως νόμιμος εκπρόσωπος νομικού προσώπου ή νομικής οντότητας.
ζ. Στιγμιότυπο: Στιγμιαία λήψη μιας εικόνας από το τρέχον περιεχόμενο της οθόνης που αφορά στη διαδικασία της εξ αποστάσεως ταυτοποίησης μέσω τηλεδιάσκεψης, που λαμβάνεται σε υψηλή ποιότητα ώστε να ικανοποιούνται οι απαιτήσεις των διαδικασιών επαλήθευσης και καταγραφής των στοιχείων του αιτούντα, και ηλεκτρονική αποθήκευση αυτής συμπεριλαμβανομένης της ημερομηνίας και της ώρας λήψης της.
η. Δυναμικό αυτοπορτρέτο (dynamic selfie): Λήψη φωτογραφιών του φυσικού προσώπου σε πραγματικό και όχι παρελθοντικό χρόνο, ώστε να διασφαλίζεται ότι το φυσικό πρόσωπο μετέχει ζωντανά (liveliness) στη διαδικασία εξ αποστάσεως ταυτοποίησης.
θ. Τηλεδιάσκεψη (video with operator): Αμφίδρομη οπτική και ηχητική επικοινωνία πραγματικού χρόνου μεταξύ των φυσικών προσώπων (αιτών, υπεύθυνος ταυτοποίησης) που βρίσκονται σε διαφορετικές τοποθεσίες, η οποία υποστηρίζει παράλληλα την ανταλλαγή αρχείων, εγγράφων και μηνυμάτων.
ι. Αυτοματοποιημένη βιντεοκλήση με μεταγενέστερη απόφαση από τον υπεύθυνο ταυτοποίησης (asynchronous video with final human decision), εν συντομία αυτοματοποιημένη βιντεοκλήση: Διαδικασία εξ αποστάσεως ταυτοποίησης μέσω πληροφοριακού συστήματος που επιτρέπει την καταχώριση και συλλογή δεδομένων ταυτοποίησης φυσικού προσώπου, τη λήψη ηλεκτρονικών ή ψηφιοποιημένων έντυπων εγγράφων, την εξακρίβωση αυτών μέσω διαλειτουργικότητας με πληροφοριακά συστήματα του δημόσιου τομέα των άρθρων 2 και 57 του ν. 4727/2020, την καταγραφή εικόνας και ήχου (video) ή/και δυναμικού αυτοπορτρέτου (dynamic selfie) για τον έλεγχο ταυτοπροσωπίας και ζωντανής συμμετοχής του αιτούντα (liveliness), χωρίς την ταυτόχρονη παρουσία υπαλλήλου του ΠΥΕ ή τρίτου μέρους, αλλά με την τελική απόφαση να λαμβάνεται από τον υπεύθυνο ταυτοποίησης κατόπιν εξέτασης όλων των ανωτέρω στοιχείων.
2. Λοιπές λέξεις ή φράσεις που χρησιμοποιούνται έχουν την έννοια που τους αποδίδει ο Κανονισμός eIDAS και ο ν. 4727/2020.

Άρθρο 3
Μέθοδοι εξ αποστάσεως ταυτοποίησης
1. Για την έκδοση εγκεκριμένου πιστοποιητικού για υπηρεσία εμπιστοσύνης, επιτρέπεται η εξ αποστάσεως ταυτοποίηση φυσικού προσώπου με τη χρήση τηλεδιάσκεψης ή με τη χρήση αυτοματοποιημένης βιντεοκλήσης, σύμφωνα με τους ορισμούς της παρ. 1 του άρθρου 2, σύμφωνα με τα οριζόμενα στο Παράρτημα και υπό τους όρους και προϋποθέσεις της παρούσας.
2. Με τη μέθοδο της τηλεδιάσκεψης, τόσο ο ταυτοποιούμενος όσο και ο ταυτοποιών επικοινωνούν σε πραγματικό χρόνο «πρόσωπο με πρόσωπο» μέσω οπτικής και ηχητικής επικοινωνίας.
3. Με τη μέθοδο της αυτοματοποιημένης βιντεοκλήσης, τα στοιχεία του αιτούντος συλλέγονται από ένα πληροφοριακό σύστημα χωρίς την ταυτόχρονη παρουσία του ταυτοποιούντος και ο τελευταίος ελέγχει τα στοιχεία αυτά σε μεταγενέστερο χρόνο (ασύγχρονα). O έλεγχος εγγράφων με προηγμένα χαρακτηριστικά ασφαλείας γίνεται με τη χρήση εξελιγμένου λογισμικού. Το πληροφοριακό σύστημα πρέπει να επιτρέπει την καταγραφή εικόνας και ήχου (video) ή/και δυναμικού αυτοπορτρέτου (dynamic selfie).
4. Οι διαδικασίες που ακολουθούν οι ΠΥΕ ή τρίτα μέρη πρέπει να συμμορφώνονται με μία από τις ανωτέρω μεθόδους με τρόπο ώστε, παρά τον φυσικό διαχωρισμό, να διασφαλίζεται η αισθητηριακή αντίληψη των φυσικών προσώπων που συμμετέχουν στη διαδικασία εξ αποστάσεως ταυτοποίησης.

Άρθρο 4
Κατάλληλα έγγραφα για την εξ αποστάσεως ταυτοποίηση
1. Κατάλληλα για την εξ αποστάσεως ταυτοποίηση είναι μόνο πρωτότυπα έγγραφα με προηγμένα χαρακτηριστικά ασφαλείας της παρ. 2, που περιλαμβάνουν την φωτογραφία του κατόχου τους, έχουν εκδοθεί από αρμόδια δημόσια αρχή και είναι σε ισχύ.
2. Ειδικότερα, τα έγγραφα αυτά πρέπει να φέρουν τουλάχιστον τρία από τα ακόλουθα χαρακτηριστικά ασφαλείας: α) κείμενο τυπωμένο με χρήση οπτικώς μεταβλητής μελάνης, β) περίπλοκα σχέδια/αναπαραστάσεις (γραμμοκοσμήματα/λεπτόγραμμα μοτίβα), γ) υδατογραφήματα, δ) οπτικώς μεταβλητές διατάξεις (για παράδειγμα, στοιχεία που αλλάζουν χρώμα λόγω συμβολής φωτός μεταξύ λεπτών στιβάδων, υλικά/δομές με μεταβλητά ανακλαστικά χαρακτηριστικά, περιθλαστικές διατάξεις με οπτικώς μεταβλητές εικόνες) ε) μηχανικώς αναγνώσιμη ζώνη (MRZ) και στ) μικροτσίπ που περιλαμβάνει, κατ’ ελάχιστον, τη φωτογραφία του κατόχου και τα στοιχεία της μηχανικώς αναγνώσιμης ζώνης του εγγράφου. Οι προδιαγραφές και τα χαρακτηριστικά ασφαλείας των δημόσιων εγγράφων περιλαμβάνονται στο Επιγραμμικό Δημόσιο Μητρώο Γνήσιων Εγγράφων Ταυτότητας και Ταξιδίου PRADO της Ευρωπαϊκής Ένωσης.
3. Για χρονικό διάστημα μέχρι και ενός (1) έτους από την ημερομηνία έναρξης κυκλοφορίας αντίστοιχων εγγράφων ταυτοποίησης νέου τύπου με προηγμένα χαρακτηριστικά ασφαλείας, γίνονται δεκτά ως κατάλληλα έγγραφα ταυτοποίησης, κατά την κρίση του ΠΥΕ στη βάση ανάλυσης κινδύνου που θα διενεργήσει, το ισχύον αστυνομικό δελτίο ταυτότητας, στο οποίο το ονοματεπώνυμο αναγράφεται και με λατινικούς χαρακτήρες, τα δελτία ταυτότητας των στελεχών των Ενόπλων Δυνάμεων και των Σωμάτων Ασφαλείας και οι άδειες διαμονής πολιτών τρίτων χωρών που έχουν εκδοθεί δυνάμει του ν. 4251/2014 (Α’ 80) και του π.δ. 106/2007 (A΄ 135) και είναι σε ισχύ κατά τον χρόνο της εξ αποστάσεως ταυτοποίησης.

Άρθρο 5
Κατάρτιση και απαιτήσεις για το προσωπικό
1. Η εξ αποστάσεως ταυτοποίηση με χρήση τηλεδιάσκεψης διενεργείται μόνο από κατάλληλα εκπαιδευμένο προσωπικό, στο οποίο έχει ανατεθεί αποδεδειγμένα η συγκεκριμένη εργασία. Η εξ αποστάσεως ταυτοποίηση με χρήση αυτοματοποιημένης βιντεοκλήσης διενεργείται από πληροφοριακό σύστημα και σε μεταγενέστερο χρόνο από κατάλληλα εκπαιδευμένο προσωπικό, στο οποίο έχει ανατεθεί αποδεδειγμένα η συγκεκριμένη εργασία.
2. Το προσωπικό που διενεργεί την εξ αποστάσεως ταυτοποίηση απαιτείται να εκπαιδεύεται συστηματικά, προκειμένου να έχει καλή και διαρκώς ενημερωμένη γνώση των χαρακτηριστικών των εγγράφων ταυτοποίησης και να μπορεί να επαληθεύει αποτελεσματικά τη γνησιότητα και την ακεραιότητά τους, ελέγχοντας ότι αυτά δεν έχουν παραποιηθεί, νοθευτεί ή πλαστογραφηθεί. Μέρος της εκπαίδευσης θα πρέπει να αφορά στα χαρακτηριστικά ασφαλείας των εγγράφων και τις πιθανές τεχνικές επίθεσης, ενδεικτικά πλαστογραφία, παραποίηση, πλαστοπροσωπία, κοκ., ώστε να διασφαλίζεται ο αποτελεσματικός εντοπισμός αυτών. Επίσης, το προσωπικό πρέπει να έχει γνώση όλων των υποχρεώσεων που απορρέουν από τον Κανονισμό eIDAS, τη νομοθεσία για την προστασία δεδομένων και την παρούσα. Το επίπεδο γνώσεων, οι δεξιότητες και η επάρκεια του προσωπικού πρέπει να αξιολογούνται με τεκμηριωμένο τρόπο μέσω εξέτασης που διενεργεί ο ΠΥΕ.
3. Ο ΠΥΕ συντάσσει εσωτερικό έντυπο αναλυτικών οδηγιών ελέγχου εγγράφων ταυτοποίησης, σύμφωνα με την παρ. 5 του άρθρου 6 της παρούσης. Το έντυπο της παρ. 5 του άρθρου 6 χρησιμοποιείται για την εκπαίδευση του ανωτέρω προσωπικού.
4. Για τη διασφάλιση της αξιοπιστίας της διαδικασίας, ο ΠΥΕ οφείλει να εξετάζει ότι δεν υπάρχει εις βάρος του προσωπικού που διενεργεί την ταυτοποίηση αμετάκλητη καταδικαστική απόφαση για κάποιο από τα εγκλήματα που αναφέρονται στην παρ. 1 του άρθρου 73 του ν. 4412/2016 (Α’ 147).
5. Ο ΠΥΕ τηρεί αναλυτικό ονομαστικό κατάλογο του προσωπικού στο οποίο έχει αναθέσει τη διεκπεραίωση της διαδικασίας της εξ αποστάσεως ταυτοποίησης, τον οποίο ενημερώνει χωρίς καθυστέρηση σε κάθε αλλαγή.

Άρθρο 6
Οργάνωση και τεκμηρίωση
1. Ο ΠΥΕ καταρτίζει έντυπο αναλυτικής περιγραφής της διαδικασίας εξ αποστάσεως ταυτοποίησης, ανεξαρτήτως μεθόδου, στο οποίο περιγράφονται λεπτομερώς η διαδικασία, τα μέτρα ασφαλείας που εφαρμόζονται για όλες τις επιμέρους διαδικασίες, τα μέτρα που έχουν ληφθεί για την επαρκή εκπαίδευση και αξιολόγηση του προσωπικού, οι αλγόριθμοι κρυπτογράφησης που χρησιμοποιούνται για τη διασφάλιση του απορρήτου της διαδικασίας, αλλά και για την καταγραφή και αποθήκευση με ασφαλή τρόπο όλων των δεδομένων που αφορούν την εξ αποστάσεως ταυτοποίηση του φυσικού προσώπου. Όλα τα παραπάνω πρέπει να είναι σύμφωνα με το κανονιστικό πλαίσιο του Κανονισμού eIDAS και των σχετικών προτύπων με τα οποία ελέγχεται ο ΠΥΕ από τον ΟΑΣ.
2. Ο ΠΥΕ εφαρμόζει μηχανισμούς που διασφαλίζουν την τυχαία ανάθεση στο προσωπικό του της διεκπεραίωσης αιτήσεων εξ αποστάσεως ταυτοποίησης φυσικών προσώπων με χρήση τηλεδιάσκεψης και ελαχιστοποιούν την πιθανότητα επιτυχούς χειραγώγησης. Οι μηχανισμοί αυτοί πρέπει να εφαρμόζονται και στο προσωπικό που διεκπεραιώνει σε μεταγενέστερο χρόνο την εξ αποστάσεως ταυτοποίηση, σύμφωνα με το δεύτερο εδάφιο της παρ. 1 του άρθρου 5. Τα ανωτέρω περιλαμβάνονται στο έντυπο αναλυτικής περιγραφής της διαδικασίας της παρ. 1.
3. Ο ΠΥΕ οφείλει να αναπτύξει και να καταγράψει ικανό αριθμό διαφορετικών τυποποιημένων σεναρίων ταυτοποίησης. Κάθε σενάριο περιλαμβάνει τις ερωτήσεις και τις ενέργειες που πρέπει να εκτελεστούν κατά τη διάρκεια της διαδικασίας. Ένα από αυτά πρέπει να επιλέγεται τυχαία από το σύστημα και να ακολουθείται από τον ταυτοποιούντα ή το πληροφοριακό σύστημα.
4. Ο ΠΥΕ διασφαλίζει ότι η διαδικασία εξ αποστάσεως ταυτοποίησης, με χρήση τηλεδιάσκεψης, διενεργείται σε ειδικά διαμορφωμένο χώρο με περιορισμένη και ελεγχόμενη πρόσβαση μόνο εξουσιοδοτημένου κατάλληλα για το σκοπό αυτό προσωπικού, που επιτρέπει τη διενέργεια της τηλεδιάσκεψης αλλά και την καταγραφή της στην κατάλληλη ποιότητα. Κατά τη διάρκεια της τηλεδιάσκεψης, ο ΠΥΕ οφείλει να διασφαλίζει ότι σε οπτική και ηχητική επικοινωνία με τον ταυτοποιούμενο βρίσκεται μόνο ο υπάλληλος που έχει επιφορτιστεί με την ταυτοποίησή του.
5. Ο ΠΥΕ συντάσσει εσωτερικό έντυπο αναλυτικών οδηγιών ελέγχου εγγράφων ταυτοποίησης, στο οποίο περιλαμβάνονται τουλάχιστον η λίστα με τα έγγραφα ταυτοποίησης που γίνονται αποδεκτά και οι χώρες έκδοσης αυτών ή παραπομπή στη δημοσιευμένη λίστα της παρ. 2 του άρθρου 7, και επιπλέον τα χαρακτηριστικά ασφαλείας τους και οι πιο κοινές μέθοδοι πλαστογράφησης ή παραχάραξης αυτών.
6. Στην περίπτωση χρήσης πληροφοριακού συστήματος για τον αυτοματοποιημένο έλεγχο εγγράφων, βιομετρικών χαρακτηριστικών, ταυτοπροσωπίας ή ζωντανής συμμετοχής του αιτούντα, όπως προβλέπεται στις παρ. 3 του άρθρου 3, παρ. 5 του άρθρου 11 και παρ. 1 του άρθρου 12, ο ΠΥΕ υποχρεούται να παρουσιάσει αποδεκτές πιστοποιήσεις ή αποτελέσματα δοκιμών ασφάλειας, καλής λειτουργίας και αποτελεσματικότητας του πληροφοριακού συστήματος, ώστε να διασφαλίζεται η καταλληλότητά του σε σχέση με τη σκοπούμενη χρήση.

 
Άρθρο 7
Παροχή πληροφοριών
1. Ο ΠΥΕ αναρτά στον ιστότοπό του αναλυτική πληροφόρηση σχετικά με τη διαδικασία εξ αποστάσεως ταυτοποίησης.
2. Ο ΠΥΕ αναρτά στον ιστότοπό του τη λίστα με τα έγγραφα ταυτοποίησης που γίνονται αποδεκτά, τις χώρες έκδοσης αυτών, καθώς και το ιστορικό μεταβολών της λίστας. Πριν από τη χρήση οποιουδήποτε νέου εγγράφου ταυτοποίησης, ο ΠΥΕ θα πρέπει να έχει συμπεριλάβει το έγγραφο αυτό στην ως άνω δημοσιευμένη λίστα. Οποιαδήποτε μεταβολή στη λίστα θα πραγματοποιείται κατά την κρίση του ΠΥΕ και κατόπιν τεκμηριωμένης απόφασής του.
3. Ο ΠΥΕ υποχρεούται να υποβάλει στην ΕΕΤΤ αμελλητί οποιαδήποτε αλλαγή στο περιεχόμενο των ακολούθων εγγράφων: α) στο έντυπο οδηγιών ελέγχου εγγράφων ταυτοποίησης, μόνο στο μέρος που αφορά στη λίστα με τα έγγραφα ταυτοποίησης που γίνονται αποδεκτά, τις χώρες έκδοσης αυτών, και τα χαρακτηριστικά ασφαλείας τους, β) στην ανάλυση κινδύνου, στην οποία υποχρεούται να προβεί σύμφωνα με την παρ. 3 του άρθρου 4 και γ) στο έντυπο αναλυτικής περιγραφής της διαδικασίας εξ αποστάσεως ταυτοποίησης.

Άρθρο 8
Έκθεση Αξιολόγησης Συμμόρφωσης
1. Με την Έκθεση Αξιολόγησης Συμμόρφωσης (ΕΑΣ) πιστοποιείται ότι η διαδικασία που εφαρμόζει ο ΠΥΕ ή τρίτο μέρος για την εξ αποστάσεως ταυτοποίηση συμμορφώνεται με τα πρότυπα και τις απαιτήσεις που ορίζονται στον Κανονισμό eIDAS και την παρούσα. Την ΕΑΣ εκδίδει πιστοποιημένος Οργανισμός Αξιολόγησης Συμμόρφωσης (ΟΑΣ).
2. Η ΕΑΣ πρέπει να περιλαμβάνει τα στοιχεία 1 έως 5, 12 και 15 έως 19 του άρθρου 10 του υπό στοιχεία 837/ 1Β/30.11.2017 Κανονισμού Παροχής Υπηρεσιών Εμπιστοσύνης της ΕΕΤΤ (Β’ 4396). Επιπλέον, πρέπει να περιλαμβάνει λεπτομερή κατάλογο όλων των σχετικών εγγράφων του ΠΥΕ, δημόσιων και εσωτερικών, και αναλυτικό πίνακα με τις απαιτήσεις της παρούσας, στον οποίο περιλαμβάνεται ρητή ένδειξη της συμμόρφωσης ή μη του ΠΥΕ με κάθε μία από αυτές και σύντομη περιγραφή του τρόπου συμμόρφωσης ή του λόγου μη συμμόρφωσης. Η ΕΕΤΤ μπορεί να ζητήσει πρόσθετες πληροφορίες από τον ΠΥΕ. Για την εμπιστευτικότητα, εφαρμόζονται τα οριζόμενα για τα εμπιστευτικά στοιχεία στο Μέρος Β’ του ν. 4727/2020 και στη νομοθεσία περί προστασίας προσωπικών δεδομένων.
3. Όταν η επιθεώρηση από τον Οργανισμό Αξιολόγησης Συμμόρφωσης, γίνεται στο πλαίσιο της παρ. 1 του άρθρου 20 του Κανονισμού eIDAS, μπορεί να υποβάλλεται μία ενιαία ΕΑΣ με τα στοιχεία του άρθρου 10 του ανωτέρω Κανονισμού Παροχής Υπηρεσιών Εμπιστοσύνης της ΕΕΤΤ και τα στοιχεία του εδαφ. δεύτερου της παρ. 2.
4. Ο ΠΥΕ υποβάλλει την ΕΑΣ στην ΕΕΤΤ, πριν από την έναρξη χρήσης της διαδικασίας εξ αποστάσεως ταυτοποίησης. Μετά την υποβολή της ΕΑΣ, η ΕΕΤΤ ενημερώνει εντός δέκα (10) εργασίμων ημερών από την επομένη της λήψης της ΕΑΣ από τον ΠΥΕ, για τυχόν ευρήματα παρέκκλισης, σύμφωνα με την παρ. 1 του άρθρου 20 του Κανονισμού eIDAS. Για κάθε αλλαγή στη διαδικασία εξ αποστάσεως ταυτοποίησης, ισχύουν τα οριζόμενα στην περ. α’ της παρ. 2 του άρθρου 24 του ίδιου Κανονισμού.

Άρθρο 9
Πρότυπα ελέγχου συμμόρφωσης
Για να διασφαλίζεται ότι η εξ αποστάσεως ταυτοποίηση, ανεξαρτήτως μεθόδου, είναι ισοδύναμη με την ταυτοποίηση με φυσική παρουσία, εξετάζεται και επιβεβαιώνεται από ΟΑΣ η συμμόρφωση της διαδικασίας με κατάλληλα για τον σκοπό αυτό πρότυπα που εκδίδονται από τον Ευρωπαϊκό Οργανισμό Τηλεπικοινωνιακών Προτύπων (ETSI) ή άλλα ισοδύναμα διεθνή πρότυπα.

Άρθρο 10
Τεχνικές απαιτήσεις για τη διαδικασία εξ αποστάσεως ταυτοποίησης ανεξαρτήτως μεθόδου
1. Πριν την έναρξη της διαδικασίας εξ αποστάσεως ταυτοποίησης, ο ΠΥΕ προβλέπει ότι το φυσικό πρόσωπο συμπληρώνει τα στοιχεία του σε κατάλληλη φόρμα, που παρέχεται στον ιστότοπό του, και υποβάλλει με ασφαλή σύνδεση αντίγραφα σε ηλεκτρονική μορφή του εγγράφου ταυτοποίησης και τυχόν άλλων απαιτούμενων εγγράφων. Επίσης, στο ίδιο χρονικό σημείο, ο ταυτοποιούμενος δίνει τη ρητή συγκατάθεσή του αναφορικά με τη χρήση της διαδικασίας εξ αποστάσεως ταυτοποίησης, την καταγραφή και αποθήκευση αυτής, τη λήψη στιγμιοτύπων του προσώπου του, του εγγράφου ταυτοποίησής του και ενδεχομένως, άλλου απαραίτητου υλικού. Η συγκατάθεση αυτή καταγράφεται κατάλληλα.
2. Η διαδικασία εξ αποστάσεως ταυτοποίησης με χρήση τηλεδιάσκεψης λαμβάνει χώρα σε πραγματικό χρόνο και δεν επιτρέπονται διακοπές ή παύσεις.
3. Η ακεραιότητα και εμπιστευτικότητα της οπτικοακουστικής επικοινωνίας μεταξύ του ταυτοποιούμενου και του υπαλλήλου του ΠΥΕ ή του πληροφοριακού συστήματος πρέπει να διασφαλίζεται επαρκώς. Για τον λόγο αυτό, επιτρέπονται μόνο κρυπτογραφημένες από άκρο σε άκρο διαδικασίες.
4. Η διαδικασία εξ αποστάσεως ταυτοποίησης πρέπει να εκτελείται με ποιότητα ήχου και εικόνας που επιτρέπει την ταυτοποίηση με ικανοποιητικό βαθμό βεβαιότητας και χωρίς περιορισμούς, βάσει των ελέγχων που αναφέρονται στην παρούσα. Ειδικότερα, πρέπει να είναι δυνατή η απρόσκοπτη εξέταση των χαρακτηριστικών ασφαλείας που μπορούν να ελεγχθούν σε λευκό φως (π.χ. ολογράμματα) καθώς και ελέγχου πιθανής πλαστογράφησης ή παραχάραξης του εγγράφου ταυτοποίησης. Ο ταυτοποιών ή το πληροφοριακό σύστημα ελέγχει ότι ο ταυτοποιούμενος διατηρεί κατάλληλη απόσταση από την κάμερα, δεν καλύπτεται το πρόσωπό του και ότι επιτυγχάνεται η εν γένει απρόσκοπτη και πέραν αμφιβολίας αποτύπωση των ζητούμενων χαρακτηριστικών του. Μπορεί, επίσης, να χρησιμοποιεί τεχνικές αντιστάθμισης ελλιπούς φωτισμού στο χώρο του φυσικού προσώπου, ιδίως κατά τη λήψη στιγμιότυπων.
5. Το περιεχόμενο της διαδικασίας εξ αποστάσεως ταυτοποίησης καταγράφεται και αποθηκεύεται με ηλεκτρονικό ίχνος ασφαλούς χρονοσήμανσης. Ομοίως, αποθηκεύονται όλα τα στιγμιότυπα που λαμβάνονται κατά την ανωτέρω διαδικασία, καθώς και τα έγγραφα που υποβάλλει ο ταυτοποιούμενος σε ηλεκτρονική μορφή. Επιπλέον, καταγράφεται το αποτέλεσμα της διαδικασίας και, σε περίπτωση απόρριψης, ο λόγος αυτής, που επιλέγεται από λίστα προκαθορισμένων λόγων απόρριψης.
6. Για την ολοκλήρωση της διαδικασίας εξ αποστάσεως ταυτοποίησης, αποστέλλεται στον ταυτοποιούμενο μέσω ηλεκτρονικής αλληλογραφίας, SMS ή άλλης παρόμοιας μεθόδου ένας μοναδικός κωδικός μίας χρήσης (One Time Password – OTP), που δημιουργείται αυτόματα, με τυχαίο τρόπο, από τον εξοπλισμό του ΠΥΕ. Ο ταυτοποιούμενος εισάγει τον κωδικό αυτό στο σύστημα. Η διαδικασία θεωρείται ολοκληρωμένη μόνο μετά την επιβεβαίωση του κωδικού από το σύστημα. Στην περίπτωση της αυτοματοποιημένης βιντεοκλήσης, η διαδικασία δεν ολοκληρώνεται πριν από τον έλεγχο της παρ. 1 του άρθρου 3.

Άρθρο 11
Εξακρίβωση της αυθεντικότητας του εγγράφου ταυτοποίησης και των στοιχείων του ταυτοποιούμενου
1. Ο ταυτοποιών ή/και το πληροφοριακό σύστημα λαμβάνει στιγμιότυπα που απεικονίζουν τον ταυτοποιούμενο και τις όψεις του εγγράφου ταυτοποίησης με τα στοιχεία του ταυτοποιούμενου.
2. Ο ταυτοποιών ή/και το πληροφοριακό σύστημα προβαίνει στους ακόλουθους, κατ’ ελάχιστον, ελέγχους για την εξακρίβωση της αυθεντικότητας του εγγράφου ταυτοποίησης:
α. Ελέγχει ότι το έγγραφο ταυτοποίησης δεν είναι φθαρμένο ή σε κακή κατάσταση, σε βαθμό που δεν επιτρέπει την εξακρίβωση της αυθεντικότητάς του,
β. ελέγχει ότι το έγγραφο ταυτοποίησης είναι αποδεκτό για χρήση στη διαδικασία εξ αποστάσεως ταυτοποίησης,
γ. ελέγχει ότι το έγγραφο ταυτοποίησης δεν έχει πλαστογραφηθεί ή παραχαραχθεί και, ιδίως, ότι δεν έχει τοποθετηθεί άλλη φωτογραφία στη θέση της φωτογραφίας του εγγράφου,
δ. ελέγχει ότι τα χαρακτηριστικά του εγγράφου ταυτοποίησης, όπως η διάρθρωση, ο τύπος του αριθμού, το μέγεθος και η απόσταση των χαρακτήρων, η γραμματοσειρά, είναι σύμφωνα με το πρότυπο του συγκεκριμένου εγγράφου ταυτοποίησης,
ε. ελέγχει ότι τα στοιχεία του ταυτοποιούμενου που περιέχονται στο έγγραφο ταυτοποίησης είναι λογικά, όπως ότι η ημερομηνία έκδοσης του εγγράφου δεν είναι στο μέλλον και η διάρκειά του είναι η τυπική διάρκεια για ένα τέτοιο έγγραφο,
στ. ζητά από τον ταυτοποιούμενο να εκτελέσει κάποια ενέργεια με κάποιον βαθμό τυχαιότητας (π.χ. να διαβάσει τον αριθμό του εγγράφου ταυτοποίησης, ή ένα όνομα ή έναν τυχαίο αριθμό κ.α.),
ζ. ζητά από τον ταυτοποιούμενο να στρέψει το έγγραφο ταυτοποίησης εμπρός και πίσω ή δεξιά και αριστερά μπροστά στην κάμερα ή να το κινήσει με άλλον τρόπο εφόσον απαιτείται,
η. ζητά από τον ταυτοποιούμενο να τοποθετήσει το δάχτυλό του μπροστά από τα χαρακτηριστικά ασφαλείας του εγγράφου ταυτοποίησης ή να μετακινήσει το χέρι μπροστά από το πρόσωπό του,
θ. με την επιφύλαξη των αναφερομένων στην παρ. 3 του άρθρου 4, καταγράφει τα στοιχεία της Μηχανικώς Αναγνώσιμης Ζώνης του εγγράφου ταυτοποίησης (MRZ), τα αποκωδικοποιεί και ελέγχει ότι συμφωνούν με τα στοιχεία του ταυτοποιούμενου,
ι. με την επιφύλαξη των αναφερομένων στην παρ. 3 του άρθρου 4, ελέγχει τουλάχιστον τρία (3) από τα χαρακτηριστικά ασφαλείας του εγγράφου ταυτοποίησης που αναφέρονται στην παρ. 2 του άρθρου 4,
ια. χρησιμοποιεί υπηρεσίες εξακρίβωσης της εγκυρότητας των στοιχείων του ταυτοποιούμενου και της ισχύος του εγγράφου ταυτοποίησης, μέσω διαλειτουργικότητας με τα πληροφοριακά συστήματα των φορέων του δημόσιου τομέα, όπως το «Ενοποιημένο Μητρώο Πολιτών» ή η βάση δεδομένων της Αστυνομίας και το Μητρώο Πολιτών, με τις οποίες υποχρεούται να διασυνδεθεί ο ΠΥΕ, εφόσον τέτοιες υπηρεσίες είναι διαθέσιμες.
4. Στην περίπτωση που γίνεται χρήση εγγράφων της παρ. 3 του άρθρου 4, υποβάλλεται υποχρεωτικά από το προς ταυτοποίηση πρόσωπο ηλεκτρονική υπεύθυνη δήλωση της Ενιαίας Ψηφιακής Πύλης της Δημόσιας Διοίκησης, στην οποία δηλώνει αναλυτικά τα στοιχεία του και τη βούλησή του να προχωρήσει στην έκδοση εγκεκριμένου πιστοποιητικού. Τα δηλούμενα στοιχεία πρέπει να ταυτίζονται με τα στοιχεία που περιέχονται στα έγγραφα ταυτοποίησης.
5. Στην περίπτωση της αυτοματοποιημένης βιντεοκλήσης, ο έλεγχος ταυτοποιητικών εγγράφων με προηγμένα χαρακτηριστικά ασφαλείας γίνεται με τη χρήση εξελιγμένου λογισμικού το οποίο παρέχει τις κατάλληλες εγγυήσεις ασφάλειας, καλής λειτουργίας και αποτελεσματικότητας ταυτοποίησης.

Άρθρο 12
Εξακρίβωση της ταυτότητας φυσικού προσώπου
1. Ο ταυτοποιών ή/και το πληροφοριακό σύστημα υποχρεούται να επαληθεύει, με ικανοποιητική βεβαιότητα, ότι ο ταυτοποιούμενος ταυτίζεται με το πρόσωπο που απεικονίζεται στη φωτογραφία του εγγράφου ταυτοποίησης και ότι η εκτιμώμενη ηλικία του είναι σύμφωνη με την ηλικία που προκύπτει βάσει της ημερομηνίας γέννησης στο έγγραφο αυτό. Η φωτογραφία δύναται να αναλύεται με χρήση κατάλληλου λογισμικού ελέγχου βιομετρικών χαρακτηριστικών, όπως των αποστάσεων μεταξύ των ματιών, μύτης, στόματος και αυτιών.
2. Ο ταυτοποιών ή/και το πληροφοριακό σύστημα υποχρεούται να εξακριβώνει μέσω απαντήσεων σε ερωτήσεις κατά τη διάρκεια της διαδικασίας και με ικανοποιητικό επίπεδο βεβαιότητας, την εγκυρότητα των πληροφοριών που παρέχει ο ταυτοποιούμενος σε σχέση με τις πληροφορίες που περιέχονται στο έγγραφο ταυτοποίησης, όπως η ημερομηνία και ο τόπος γέννησής του.
3. Ο ταυτοποιών ή/και το πληροφοριακό σύστημα υποχρεούται να επιβεβαιώνει, με ικανοποιητικό βαθμό βεβαιότητας, ότι ο ταυτοποιούμενος έχει υποβάλει με τη θέλησή του αίτημα να αποκτήσει πιστοποιητικό υπηρεσίας εμπιστοσύνης από τον ΠΥΕ, ότι δεν απειλείται ή δεν υποχρεώνεται από τρίτο πρόσωπο να το πράξει και ότι δεν είναι θύμα απάτης.

Άρθρο 13
Υποχρεωτική διακοπή διαδικασίας εξ αποστάσεως ταυτοποίησης ανεξαρτήτως μεθόδου
1. Η διαδικασία εξ αποστάσεως ταυτοποίησης διακόπτεται υποχρεωτικά, χωρίς να καταλήγει σε επιτυχή ταυτοποίηση του φυσικού προσώπου, στις ακόλουθες περιπτώσεις:
α. Όταν η ταυτοποίηση δεν είναι δυνατή λόγω ελλιπούς φωτισμού, κακής ποιότητας εικόνας ή/και ήχου, διακοπών στη μετάδοση δεδομένων ή διακοπών στη ροή της διαδικασίας.
β. Όταν το έγγραφο ταυτοποίησης δεν είναι κατάλληλο κατά τα οριζόμενα στην παρ. 3 του άρθρου 5.
γ. Όταν εγείρονται αμφιβολίες ως προς την εγκυρότητα και την αξιοπιστία του.
δ. Όταν υπάρχουν αμφιβολίες σχετικά με άλλα στοιχεία που εξετάζονται κατά τη διαδικασία.
ε. Όταν δεν είναι εφικτή η επικοινωνία με τον ταυτοποιούμενο για λόγους εκτός αυτών που αναφέρονται στην περ. α’ ή όταν εμφανίζεται ακούσια ή εκούσια τρίτο πρόσωπο, εκτός του ταυτοποιούμενου, κατά την διαδικασία.
στ. Όταν υπάρχουν ενδείξεις ότι ο ταυτοποιούμενος τελεί υπό εξαναγκασμό, ψυχική ή διανοητική διαταραχή ή την επήρεια ουσιών.
2. Στις περ. γ’ και δ’ της παρ. 1, η διαδικασία διακόπτεται και δεν μπορεί να επαναληφθεί και η ταυτοποίηση του φυσικού προσώπου πρέπει να γίνει με άλλη μέθοδο που αναφέρεται στην παρ. 1 του άρθρου 24 του Κανονισμού eIDAS. Στις λοιπές περιπτώσεις, η διαδικασία διακόπτεται και επαναλαμβάνεται από την αρχή. Στην περ. β’ η διαδικασία επαναλαμβάνεται εφόσον υποβάλλεται κατάλληλο έγγραφο σύμφωνα με την παρ. 2 του άρθρου 4.
3. Ο λόγος διακοπής της διαδικασίας εξ αποστάσεως ταυτοποίησης καταγράφεται κατά τα οριζόμενα στο άρθρο 14.

Άρθρο 14
Τήρηση αρχείου
1. Ο ΠΥΕ υποχρεούται να τηρεί σε ηλεκτρονική μορφή αρχείο με το σύνολο των πληροφοριών σχετικά με την εξ αποστάσεως ταυτοποίηση και την έκδοση εγκεκριμένου πιστοποιητικού υπηρεσίας εμπιστοσύνης.
2. Κάθε καταχώριση στο αρχείο διατηρείται για χρονική περίοδο τουλάχιστον επτά (7) ετών από τη λήξη ισχύος του εγκεκριμένου πιστοποιητικού που εκδίδεται. Εάν τελικά δεν εκδοθεί εγκεκριμένο πιστοποιητικό, η περίοδος διατήρησης της καταχώρισης στο αρχείο ορίζεται στα δύο (2) έτη.
3. Ο ΠΥΕ εφαρμόζει όλες τις απαιτούμενες διαδικασίες για την προστασία του αρχείου. Πρόσβαση σε αυτό έχουν μόνο εξουσιοδοτημένα για το σκοπό αυτό άτομα. Ο ΠΥΕ τηρεί κατάλογο με τα ονόματα αυτών που έχουν δικαίωμα πρόσβασης.

Άρθρο 15
Προστασία προσωπικών Δεδομένων
Ο ΠΥΕ και τυχόν τρίτα μέρη που διενεργούν για λογαριασμό του την εξ αποστάσεως ταυτοποίηση ευθύνονται έναντι των φυσικών προσώπων που ταυτοποιούν για την τήρηση του Γενικού Κανονισμού για την Προστασία Δεδομένων και του ν. 4624/2019 (Α’ 137). Ο ταυτοποιών διασφαλίζει, ιδίως, ότι ο ταυτοποιούμενος παρέχει τη ρητή και ειδική συγκατάθεσή του για τη λήψη, επεξεργασία και τήρηση όλων των δεδομένων και των αρχείων που απαιτούνται για την ταυτοποίηση.

Άρθρο 16
Ανάθεση σε τρίτο μέρος
1. Ο ΠΥΕ μπορεί να αναθέσει μέρος ή όλη την διαδικασία εξ αποστάσεως ταυτοποίησης, ανεξαρτήτως μεθόδου, σε τρίτο μέρος από τον δημόσιο ή τον ιδιωτικό τομέα. Για την ανάθεση αυτή καταρτίζεται σύμβαση μεταξύ ΠΥΕ και τρίτου μέρους, στην οποία ορίζονται με σαφήνεια ο ρόλος, τα καθήκοντα, τα δικαιώματα και οι υποχρεώσεις κάθε μέρους, περιλαμβανόμενων αυτών που προκύπτουν από την καταγγελία ή τη λύση της σύμβασης. Οι όροι της σύμβασης και η τήρησή τους ελέγχονται από τον ΟΑΣ και αναφέρονται στην ΕΑΣ που υποβάλλεται από τον ΠΥΕ στην ΕΕΤΤ.
2. Όταν το τρίτο μέρος ολοκληρώσει τη διαδικασία εξ αποστάσεως ταυτοποίησης, μεταβιβάζει στον ΠΥΕ, μέσω ασφαλούς σύνδεσης μετάδοσης δεδομένων, όλα τα στοιχεία που αφορούν στη διαδικασία, συμπεριλαμβανομένων στοιχείων σχετικά με τις πηγές δεδομένων που χρησιμοποιήθηκαν για την επαλήθευση των στοιχείων του ταυτοποιούμενου και του εγγράφου ταυτοποίησης, τους ελέγχους που διενεργήθηκαν και τα αποτελέσματα αυτών. Το αρχείο του άρθρου 14 μπορεί να τηρείται από το τρίτο μέρος.
3. Ο ΠΥΕ οφείλει να διασφαλίζει ότι τηρούνται όλες οι απαιτήσεις και τα πρότυπα της παρούσας από το τρίτο μέρος και διατηρεί πλήρως την ευθύνη για την ορθή εφαρμογή των όρων της παρούσας.
4. Η ανάθεση μέρους ή όλης της διαδικασίας εξ αποστάσεως ταυτοποίησης σε τρίτο μέρος, δεν μπορεί σε καμία περίπτωση να υποβαθμίζει την αξιοπιστία των εσωτερικών μηχανισμών ελέγχου του ΠΥΕ ή των εξωτερικών μηχανισμών ελέγχου του ΟΑΣ ή να εμποδίζει καθ΄ οιονδήποτε τρόπο το ελεγκτικό έργο της ΕΕΤΤ.

Η παρούσα απόφαση ισχύει από τη δημοσίευσή της στην Εφημερίδα της Κυβερνήσεως