Identitetskontroll via automatiserad digital kontroll av resehandling (SWAMID AL2)

Med hjälp av maskinläsbara resehandlingar enligt ICAO Doc 9303, dvs. pass och europeiska nationella identitetskort (European Commission Regulation (EU) 2019/1157), kan en person digitalt legitimera sig för att bekräfta sitt användarkonto.

Att identifiera personen digitalt via en resehandling är komplext och kräver avancerad kontroll av att det är rätt person som genomför identifieringen. Det rekommenderas därför att kontoportalen använder en extern tjänst för att genomföra den digitala identifieringen. Den externa tjänsten är en mobilapp eller en webbtjänst som kontrollerar den avlästa informationen med en bakomliggande servertjänst för att validera det digitala innehållet i resehandlingen. När resehandlingen är inläst kontrolleras först dess autenticitet genom att kryptografiskt validera att handlingen är utfärdad av rätt utfärdare. Därefter kontrolleras att bilden i resehandlingen stämmer överens med den person som finns framför enheten. Detta görs med hjälp av användarens kamera samt avancerade algoritmer för att säkerställa att det rätt person genomför identifieringen. Detta medför både kontroll av “proof of possession” och “proof of user presence”. Den externa tjänsten använder standarden ICAO9303 part 3 för att uppnå tillräcklig kontroll av "proof of possesssion" samt videobaserad biometrisk kontroll mot innehållet i resehandlingen för "proof of user presence".

Den digitala legitimeringen går till enligt följande:

1. Personen begär att identifiera sig med en resehandling.
2. Kontoportalen informerar personen om tillvägagångsättet.
3. Personen läser in resehandlingen och bekräftar "proof of possession" och "proof of user presence", enligt ovan, i den externa tjänsten samt tar del av vilka uppgifter ur resehandlingen som kontoportalen behöver ta del av och godkänner överföringen
4. Kontoportalen tar emot och sparar relevant information ur resehandlingen och information om transaktionen med den externa tjänsten i syfte att underlätta återidentifiering och säkerställer möjlighet att vid behov spåra identifieringen.
   1. Relevant information för de med svenskt personnummer: Personnummer, namn och information om transaktionen med den externa tjänsten, eller
   2. Relevant information för de utan svenskt personnummer: Födelsedata, namn och nationalitet samt information om transaktionen med den externa tjänsten. Här används riskbaserad bedömning för att säkerställa med tillräckligt god säkerhet att det är rätt person som är identifierad.
5. Kontoportalen markerar att användaren har en bekräftad identitet på nivån SWAMID AL2 om steg 4 kunde genomföras korrekt, annars avbryts identifieringen med felmeddelande.