Pikaluottoyritykset eivät helmikuusta lähtien ole enää saaneet myöntää luottoja sähköisesti, jos käytössä ei ole niin sanottua vahvaa tunnistusmenetelmää. Mitä se on - ja ei ole?
Vahvassa sähköisessä tunnistamismenettelyssä henkilö yksilöidään luotettavaa sähköistä menetelmää käyttäen. Samalla todennetaan tunnisteen aitous ja oikeellisuus. Ominaista vahvalle tunnistamiselle on se, että tunnistamisväline ja sen käyttö voidaan aina viime kädessä yhdistää lainanhakijan todelliseen henkilöllisyyteen. Viestintäviraston rekisteriin merkitty tunnistamisjärjestelmä täyttää automaattisesti nämä lain vaatimukset.
Viranomaisten keväisessä tehovalvonnassa paljastui, että vain 30 yritystä tutkituista 80:stä tunnisti luotonhakijat lain vaatimalla tavalla. Monet jättivät tunnistamisen asiakkaan vastuulle. Hänen annettiin esimerkiksi valita, käyttääkö lainaa hakiessaan pankkitunnuksiaan vai ei.
Lain mukaan yritysten on kuitenkin tunnistettava paitsi kaikki uudet asiakkaat, myös ne uutta luottoa hakevat vanhat asiakkaat, joiden kanssa yritys on asioinut ennen helmikuuta 2010.
Jatkuvan teknisen kehityksen vuoksi luotettavaa todentamismenetelmää ei ole määritelty kuluttajansuojalaissa konkreettisesti. Ensitunnistamisen on aina tapahduttava henkilökohtaisesti. Asiakkaan henkilöllisyys tarkistetaan esimerkiksi passista tai poliisin myöntämästä henkilökortista.
Enää ei riitä, että luoton hakija lähettää allekirjoitetun sopimuksen ja jäljennöksen henkilökortistaan luotonantajalle.
Vahvalle tunnistamiselle ei ole vaihtoehtoja
Tehovalvonnassa näkyi, että useilla yrityksillä oli käytössään pankkien Tupas-tunnistamismenetelmä. Tämän rinnalla oli kuitenkin vaihtoehtoisena tunnistamismuotona heikkoa tunnistamista, esimerkiksi pelkän sähköisen luottohakemuksen täyttäminen.
Sähköisessä ensitunnistamisessa on aina käytettävä vahvaa tunnistamista. Se ei voi olla vaihtoehtoisena tunnistamismenetelmänä.
Vahvaa tunnistamista ei ole se, että yritys vertaa lainanhakijan tietoja puhelinliittymän haltijan vastaaviin tietoihin. Vahvaa tunnistamista ei myöskään ole liittymänomistajien tietojen vertaamista tilitietoihin.
Kuluttajansuojalaki edellyttää, että ennen luottosopimuksen päättämistä luotonantajan on todennettava luottoa hakevan henkilöllisyys huolellisesti. Jos henkilöllisyys todennetaan sähköisesti, luotonantajan on käytettävä tunnistusmenetelmää, joka täyttää vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain vaatimukset. Näitä ovat nykyisin ainakin Tupas-varmenteet sekä Väestörekisterikeskuksen varmenteet esimerkiksi pankkikortissa tai henkilökortissa. Viestintävirasto ylläpitää julkista rekisteriä sähköisiä tunnistuspalveluja ja laatuvarmenteita tarjoavista tahoista.
Vahva tunnistaminen koostuu jostakin, mitä käyttäjä tietää, esimerkiksi pin-koodi), mitä hän omistaa, esimerkiksi salasanalista tai mitä käyttäjä on, esimerkiksi sormenjälki.
Kahden näistä vaatimuksista on toteuduttavan samanaikaisesti, jotta tapahtuma täyttää vahvan tunnistamisen määritelmän. Jos luotonantaja käyttää muuta kuin Viestintäviraston rekisteriin merkittyä menetelmää, hänen on näytettävä, että menetelmä täyttää lain vaatimukset.
Kevennettyä menetelmään voidaan käyttää, kun asiakkaan ensitunnistaminen on tehty vahvasti. Henkilöllisyys voidaan todentaa esimerkiksi asiakkaalle luodun henkilökohtaisen turvakoodin avulla.