بانک مرکزی فاکتورهای اصلی احراز هویت الکترونیکی را تطبیق اطلاعات هویتی افراد با کارت ملی آنان و تطبیق ویدئوی ضبطشده کاربر و تطبیق آن با عکس ذخیرهشده در سامانه ثبت احوال و همچنین اعتبارسنجی مالکیت سیمکارت اپراتورهای تلفن همراه و امضای الکترونیکی تعیین کرد.
بر اساس ضوابط اجرایی دستورالعمل حدود و چگونگی ارائه غیرحضوری خدمات پایه بانکی که از سوی بانک مرکزی به شبکه بانکی کشور ابلاغ شده است، علاوه بر بانکها و موسسات اعتباری، شرکتهای لیزینگ نیز میتوانند کاربران خود را غیرحضوری احراز هویت کنند اما در مقابل شرکتهای صرافی و صندوقهای قرضالحسنه مجاز به ارائه غیرحضوری خدمات پایه به مشتریان خود نیستند.
طبق پیشبینیهای صورتگرفته در این ضوابط اجرایی، افتتاح انواع حسابهای بانکی ریالی غیر از حساب سپرده قرضالحسنه جاری؛ اعطای هرگونه ابزار پذیرش؛ اعطای انواع ابزارهای پرداخت؛ اجاره صندوق امانات؛ اعطای تسهیلات قرضالحسنه و نیز اعطای تسهیلات با موضوعات غیرتجاری به اشخاص حقیقی در زمینههایی نظیر ساخت، خرید یا تعمیر مسکن یا خرید کالاهای ضروری نظیر خودرو و همچنین صدور ضمانتنامه که برای اهداف غیرتجاری مورد استفاده قرار میگیرند از طریق احراز هویت غیرحضوری مجاز است.
اصلاح آییننامه اجرایی مبارزه با پولشویی در اسفندماه ۹۹ موجب شد سد بزرگی که بانکها و موسسات مالی و اعتباری برای احراز هویت الکترونیکی کاربران خود با آن مواجه بودند برداشته شود اما طبق تبصره ۳ ماده ۹۱ آییننامه اجرایی قانون مبارزه با پولشویی احراز هویت الکترونیکی کاربران با رعایت دستورالعملی که به تصویب شورای پول و اعتبار میرسد امکانپذیر خواهد بود.
اصلاح همین بند آییننامه اجرایی قانون مبارزه با پولشویی موجب شد نئوبانکها و شعب دیجیتالی بانک کشور با خیال آسودهتری فعالیت خود را آغاز کنند اما در مقابل تصویب دیرهنگام دستورالعملی که باید به تصویب شورای پول و اعتبار میرسید موجب شد تا مدیرکل مقررات بانک مرکزی طی نامهای از بانکها بخواهد احراز هویت غیرحضوری را متوقف کنند. این نامه موجب نگرانی نئوبانکها و مشتریان آنها شد اما در کمتر از ۱۰ روز دستورالعمل اجرایی این قانون تصویب شد و در اواخر سال ۱۴۰۰ در نهایت ابلاغ شد. حال بانک مرکزی با مشخص کردن ضوابط اجرایی این دستورالعمل سعی در اجرایی کردن آن و مشخص کردن حدود و ثغور اجرای دستورالعمل دارد.
در ضوابط اجرایی تصویبشده از سوی بانک مرکزی، علاوه بر اینکه ابزارهای احراز هویت الکترونیکی معرفی شدهاند مشخص شده که چه نوع خطاهایی در احراز هویت الکترونیکی قابل پذیرش نیست. در صورت بهکارگیری سازوکارهای پردازش هوشمند تصاویر در احراز هویت الکترونیکی از طریق شناسه ویدئویی، مؤسسه اعتباری موظف است برای مواقعی که سطح اطمینان بالا- ۹۹ درصدی- و مورد انتظار از نتیجه پردازش هوشمند تصاویر حاصل نشده است، از عامل انسانی نیز به منظور بررسی و اصالتسنجی تصویر ویدئویی چهره متقاضی استفاده کند.
راهکارهایی که در ضوابط اجرایی دستورالعمل احراز هویت الکترونیکی پیشبینی شده است تقریباً با راهکارهایی که تاکنون نئوبانکها و شعب دیجیتالی بانکها برای احراز هویت الکترونیکی کاربرانشان از آن استفاده میکردند تطابق دارد از همین رو به نظر میرسد آنان باید کمترین تغییرات را در زیرساختهای خود پیاده کنند.
طبق این ضوابط اجرایی موسسه اعتباری باید سازوکاری اتخاذ کند که پردازش تصاویر مبتنی بر هوش مصنوعی در فرایند احراز هویت الکترونیکی از طریق شناسه ویدئویی و اصالتسنجی تصویر ویدئویی چهره متقاضی امکان تشخیص زنده و واقعی بودن چهره و هرگونه دستکاری غیرمجاز در تصاویر را فراهم کند.
همچنین طبق پیشبینیهایی که صورت گرفته است، تعداد دفعات خطا در احراز هویت الکترونیکی در عرض یک ساعت نباید بیشتر از سه مرتبه باشد و باید سیستم به گونهای طراحی شود که امکان دستکاری کاربر به حداقل برسد. همچنین سیستم باید به گونهای طراحی شده باشد که امکان آپلود تصویر کارت ملی یا تصویر شخص وجود نداشته باشد بلکه دوربین به صورت مستقیم تصاویر آنان را مشاهده، ذخیره و با اطلاعات مندرج در سامانه ثبت احوال چک کند.
در این ضوابط امکان احراز هویت حقوقی نیز فراهم شده است برای این منظور باید تمام دارندگان امضای مجاز شخص حقوقی به صورت الکترونیکی احراز هویت شوند.
همچنین بانکها باید ریسک احراز هویت الکترونیکی را شناسایی کنند و پروفایل ریسک برای مشتریان خود تشکیل دهند همچنین باید برای مشتریان خود سطح فعالیت تعیین کنند و خدمات خود را مبتنی بر آن سطح فعالیت به مشتریانشان ارائه دهند.
علاوه بر این، در رابطه با ارائه خدماتی که مستلزم عقد قرارداد یا پذیرش رسمی شرایط مجاز استفاده از آنها توسط مشتری است، موسسه اعتباری موظف است پیش از اخذ تاییدیه از مشتری نسبت به نمایش الکترونیکی پیشنویس قرارداد و شرایط به او اقدام کند، به نحوی که مشتری به صورت شفاف و کاملاً آگاهانه قرارداد الکترونیکی را تایید کند. موسسه اعتباری موظف است قابلیت دریافت یک نسخه از تصویر و عکس امضای نوشتاری مشتری را از طریق ابزار الکترونیکی او فراهم کند.
از سویی بانک مرکزی موسسات اعتباری را موظف کرده است که تمامی مراحل شناسایی الکترونیکی و غیرحضوری متقاضی باید بر بستر کانال ارتباطی رمزنگاریشده به صورت رمزنگاری انتها به انتها صورت پذیرد و کلیه اطلاعات مشتری که در فرایند ارائه غیرحضوری خدمات پایه ایجاد یا مبادله میشوند باید در زیرساختهای تحت مالکیت یا کنترل موسسه اعتباری ذخیره یا نگهداری شوند.