Tüm detayları ile AB Dijital Kimlik Cüzdanı, e-IDAS 2.0 ve uzaktan müşteri edinimi…

Çevrimiçi ortamda güvenin geliştirilmesi amacıyla sınır ötesi kimlik tespiti (kamu ile sınırlı olarak) ve güven hizmetlerinin (e-imza, e-mühür, zaman damgası, e-kayıtlı teslimat, web sitesi kimlik doğrulaması) çerçevesini oluşturan e-IDAS (910/2014/EU sayılı Elektronik Kimlik Tespiti ve İç Pazarda Elektronik İşlemler için Güven Hizmetleri Regülasyonu)[1] 1 Temmuz 2016 tarihinde yürürlüğe girmişti. Arada geçen zamanda dijital hizmetlerin hızla yaygınlaşması ve e-IDAS’ın daha etkin hale getirilmesi ihtiyacına dayanarak, Avrupa Komisyonu 19 Şubat 2020 tarihli Avrupa’nın Dijital Geleceğini Şekillendirme Bildirisi’nde e-IDAS’da özel sektörü de içerecek şekilde güvenilir dijital kimlikleri desteklemeye yönelik değişiklik yapılması gerektiğini duyurdu. Bu duyurudan sonra Avrupa Konseyi’nin görevlendirmesiyle yapılan çalışmalar neticesinde Avrupa Dijital Kimlik Çerçevesini oluşturmak amacıyla e-IDAS’ı değiştiren 2024/1183/EU sayılı Regülasyon[2], 11 Nisan 2024 tarihinde kabul edilmiş olup, 20 Mayıs 2024 tarihinde yürürlüğe girmiştir (değişiklikle birlikte e-IDAS, e-IDAS 2.0 olarak isimlendirilmeye başlamıştır).

e-IDAS 2.0 doğrultusunda Avrupa Komisyonu, 21 Kasım 2024 tarihine kadar Avrupa Dijital Kimlik Cüzdanı’nın  nitelikleri ve sertifikasyonuna ilişkin uygulama yasaları düzenleyecek olmakla birlikte Üye Devletlerin söz konusu uygulama yasalarının yürürlüğe giriş tarihinden itibaren 24 ay içinde en az bir Avrupa Dijital Kimlik Cüzdanı sağlaması beklenmektedir.[3] Bununla birlikte finansal hizmetler gibi müşteri kimliğinin güçlü doğrulandığı alanlarda hizmet sunanların uygulama yasalarının yürürlüğe girmesinden itibaren en geç 36 ay içinde, kullanıcının gönüllü talebi üzerine kullanılması için Avrupa Dijital Kimlik Cüzdanlarını kabul etmeleri gerektiği belirtilmiştir.[4] Ancak belirtmek gerekir ki, Avrupa Dijital Kimlik Cüzdanlarının kullanımı ve kullanımının sonlandırılması, kullanıcıların tercihine bırakılmış olup, bu konuda bir zorunluluk öngörülmesi söz konusu değildir.

Yani en geç 2026’nın ikinci yarısında AB’de hizmet sunan finansal kuruluşların uzaktan müşteri edinimi süreçlerinde “AB Dijital Kimlik ile doğrula” seçeneğini de görmeye başlayacağız. Halihazırda Belçika ulusal dijital kimlik cüzdanını kısmi olarak canlıya almış olmakla[5] birlikte İtalya’nın da Ocak 2025’e kadar kendi dijital kimlik cüzdanını piyasaya sürmesi beklenmektedir[6].

Avrupa Dijital Kimlik Cüzdanı, “kullanıcıların kişisel kimlik verilerini ve elektronik nitelik teyitlerini, bu bilgileri ilgili taraflara ve diğer Avrupa Dijital Kimlik Cüzdanı kullanıcılarına sağlama imkânı sağlaması ve nitelikli elektronik imzalar veya nitelikli elektronik mühürler aracılığıyla imzalama veya mühürleme yapmalarına olanak tanıması amacıyla güvenli bir şekilde saklamalarını, yönetmelerini ve doğrulamalarını sağlayan elektronik bir kimlik tespit aracı” olarak tanımlanmıştır.[7] AB Dijital Kimlik; çevrimiçi ve çevrimdışı kamu ve özel hizmetlere kimlik sağlama, mobil ehliyet, ödemeleri onaylama, tıbbi reçeteleri sunma ve elektronik olarak belge imzalama[8] gibi günlük işler için de kullanılabilecektir.

Avrupa Dijital Kimliği (European Digital Identity- EUDI) mobil telefon uygulamaları ve diğer cihazlardaki dijital cüzdanlar aracılığıyla kullanılabilecek şekilde tasarlanmıştır. Blok zinciri ve üye devletlerin hükümetleri arasında veri paylaşımına dayanan uygulama, kişinin dijital profil oluşturması, bilgi ve resmî belgelerini bu profil altında toplaması ile işlerlik kazanmaktadır. Kamu veya özel kuruluşların kimlik doğrulama taleplerinde, Avrupa Dijital Kimlik Cüzdanı üzerinden söz konusu bilgi ve belgeler ilgili kuruluşa iletilerek bilgi ve belgeler üzerinden kimlik doğrulama sağlanmış olunacaktır. Bununla birlikte dijital cüzdana erişim esnasında da bir kimlik doğrulama yapılacak olmakla birlikte finansal kuruluşların uzaktan müşteri ediniminde dolandırıcılığın engellenmesi için yaptıkları canlılık testi uygulamasının devam edeceğini düşünüyorum.[9]

Halihazırda e-IDAS madde 6 ve devamında Üye Devletlerin elektronik kimlik tespit araçlarını tanıyarak birbirinin kimlik doğrulama sistemlerine erişim sağlanması (karşılıklı tanıma, mutual recognition) düzenlenmektedir. Üye Devletlerin bazılarında dijital kimlik uygulaması geliştirilmiş olmakla birlikte genellikle kullanılan elektronik kimlik tespit aracı, bizim de kullandığımız elektronik kimliklerdir. Fiziki olarak kullanılan elektronik kimlikler aracılığıyla kimlik doğrulama, kişinin telefonunda olması gereken OCR veya NFC araçları ile kimlik bilgilerinin elektronik formlara aktarılarak ilgili kişinin vatandaşı olduğu ülkenin çevrimiçi kimlik doğrulama sisteminde sorgu yapılması yoluyla devam etmektedir.

Ancak uygulamada doğru kimlik eşleştirmesi sağlanması için kullanıcıyla ilgili daha fazla bilgiye ve ulusal düzeyde yapılacak özel, tamamlayıcı kimlik doğrulama işlemlerine ihtiyaç duyulabilmektedir. Bu nedenle mevcut karşılıklı tanıma uygulaması tam etkinlikle çalışamamaktadır ve Üye Devletlerin kesin kimlik eşleştirilmesinin sağlanması için de ek tedbirler alması gerektiği vurgulanmıştır. [10]

Oysa EUDI ile bu aşamalar ortadan kalkıp kimlik doğrulama direkt AB Dijital Kimlik Cüzdanı üzerinden yapılabilecektir. Çünkü dijital kimlik cüzdan uygulamaları direkt Üye Devletlerin kontrolünde olup, kendi kimlik doğrulama sistemleri ile entegre olarak çalışacaktır.

Son olarak AB Dijital Kimlik Cüzdanları, Üye Devletlerin kendisi, onayladıkları bir kurum veya hazırlandıktan sonra Üye Devletin tanımasının alan bir kurum tarafından hizmete sunulabilir.[11] Bunun için Avrupa Dijital Kimlik Cüzdanlarının ve bunların sağlandığı elektronik kimlik doğrulama şemasının, e-IDAS 2.0’da yer alan gereksinimlere, standartlar ve teknik özelliklere uygunluğu, Üye Devletler tarafından belirlenen uygunluk değerlendirme kuruluşları tarafından sertifikalandırılacaktır. Söz konusu sertifikalar iki yılda bir zafiyet testi yapılması şartıyla beş yıl geçerli olacaktır.[12]

Kaynakça:

[1] Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv%3AOJ.L_.2014.257.01.0073.01.ENG.

[2] Regulation (EU) 2024/1183 of the European Parliament and of the Council of 11 April 2024 amending Regulation (EU) No 910/2014 as regards establishing the European Digital Identity Framework, https://eur-lex.europa.eu/eli/reg/2024/1183/oj.

[3] e-IDAS 2.0, madde 5a/1.

[4] e-IDAS 2.0, madde 5f/2.

[5] https://www.biometricupdate.com/202405/belgium-launches-national-digital-identity-wallet

[6] https://www.biometricupdate.com/202405/move-over-armani-italys-it-wallet-is-the-digital-id-accessory-of-the-season

[7] e-IDAS 2.0, madde 3/42.

[8] Avrupa Dijital Kimlik Cüzdanları ile Birlik genelinde kabul edilen nitelikli elektronik imzalar ve mühürler oluşturulmasına ve kullanmasına; Avrupa Dijital Kimlik Cüzdanına bir kez dahil olan gerçek kişilerin, ek bir idari işleme gerek kalmadan varsayılan olarak ve ücretsiz olarak nitelikli elektronik imzalarla imza atabilmesi sağlanacaktır (2024/1183/EU sayılı Regülasyon, Recital 19).

[9] COMMISSION STAFF WORKING DOCUMENT, IMPACT ASSESSMENT REPORT, Accompanying the document, Proposal for a Regulation of the European Parliament and of the Council amending Regulation (EU) n° 910/2014 as regards establishing a framework for a European Digital Identityhttps://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:52021SC0124#_Ref68967950.

[10] 2024/1183/EU sayılı Regülasyon, Recital 41.

[11] e-IDAS 2.0, Madde 5a.

[12] e-IDAS 2.0, Madde 5c/1-4.

Konuk Yazar: Ilgıt ŞAHİN