Utviklet helt ny ID-kontroll og inngikk avtaler med 50 banker på ti måneder

Den 1. november ble Postens PUM-tjeneste lagt ned. Det var en liten, men viktig nisjetjeneste særlig for finansnæringen.

PUM står for Personlig Utlevering Mottakingsbevis og var løsningen for banker og finansinstitusjoner som skulle opprette nye kundeforhold eller utstede BankID eller eID, men der kunden ikke kunne besøke et bankkontor for å gjennomføre den nødvendige, personlige identifikasjonen.

Den er nå erstattet av en ny løsning – Mobai ID-kontroll.

Bak denne tørre innledningen på en artikkel skjuler det seg en norsk startup-innsats utover det vanlige.

Undervurderte omfanget

I løpet av ti måneder utviklet Mobai, en biometri-startup med 20 ansatte, en helt ny biometrisk ID-kontroll-løsning, tilpasset den til både Postens systemer og kjernebanksystemene til Tietoevry og SDC, inngikk nye avtaler med over 50 banker, og tok over ansvaret for tjenesten fra Posten, samt rullet ut løsningen på Postens rundt 1300 brukersteder og har gjennomført opplæring av rundt 11.000 personer.

– Vi undervurderte helt klart omfanget av arbeidet, men jeg er utrolig stolt over hva «lille» Mobai har klart å få til, og at «store» Posten nå er blitt leverandør til oss, sier Brage Strand, daglig leder i Mobai til BankShift.

Biometri-selskapet Mobai har gjort seg et navn på å levere autentiseringsløsninger basert på ansiktsgjenkjenning, for eksempel i mobilbanker, som bidrar til å motvirke svindelforsøk basert på stjålne identiteter. Selskapet jobber også med såkalt «deepfake detection», noe som på kort tid er blitt veldig aktuelt ettersom mulighetene til å manipulere bilder og videoer med kunstig intelligens har tatt av.

Tok direkte kontakt 

Nå har selskapet tatt teknologien sin i bruk på et delvis nytt område.

Alt begynte ved juletider i fjor, da Mobai-ledelsen ble gjort kjent med Postens planer på å legge ned PUM-tjenesten via banker de samarbeidet med. Tilbakemeldingen var at PUM var en tjeneste bankene trengte, men at den på noen områder også var ganske så utdatert.

– Vi tok kontakt direkte med teamet i Posten som eide tjenesten, og ble raskt koblet sammen med en forretningsutviklingsgruppe som jobbet med å fornye hele systemet. I løpet av en måned fant vi ut at vi hadde lyst til å gjøre dette sammen og at det faktisk var teknisk mulig å løse, forteller Strand.

Nøkkelen til fremgang var Postens egen modernisering av Post i butikk med nytt kassesystem og betalingsløsninger, der de håndholdte enhetene som skanner pakker og QR-koder spiller en hovedrolle.

– Det første vi gjorde var å kjøpe noen sånne enheter fra Postens leverandør, teknologien for ID-sjekk hadde vi jo i høy grad selv. Men hadde den NFC-leser slik at den kan skanne chipen i et pass? Var kameraet godt nok til å ta bilder av personen som skal identifiseres? I midten av januar hadde vi egentlig funnet ut at det var mulig og satte opp en utrolig stram tidsplan for å få løst alt som måtte gjøres, fortsetter Strand, som skamroser samarbeidet med Posten.

Papirarbeid og forhandlinger

Det normale i en prosess som dette, er jo at det lille tech-selskapet leverer en løsning som hjelper den store aktøren med å bli mer effektiv. Men Posten og Mobai har snudd alt på hodet.

Mobai er blitt teknologileverandøren av ID-kontroll til bankene og har tatt over alle disse avtalene, mens Posten blir leverandør av den fysiske kontrollen til Mobai, takket være det distribusjonsnettet som Post i butikk faktisk utgjør.

– Det høres nesten ut som om teknologien har vært den minste utfordringen for dere?

– Det har vært mye papirarbeid og parallelle forhandlinger med Posten og veldig mange norske banker fra januar og helt frem til oktober, sier Strand.

I tillegg har Mobai jobbet tett med både Tietoevry og SDC for at bankene skal kunne ta imot ID-kontrollresultatene rett inn i kjernebanksystemene.

– Vi har endt med tre ulike integrasjonsalternativer, og tre ulike måter å få resultatene på, fordi bankene har forskjellige måter og forskjellige behov, forteller Strand.

Bulder og Storebrand 

Det første pilottestene var i gang før sommeren. Bulder var raskest ut med testingen, mens Storebrand Bank var den første banken som tok tjenesten i bruk.

I løpet av høsten er tjenesten blitt rullet ut på Postens brukersteder og personalet har fått opplæring. Ifølge Strand har Mobais ID-kontroll allerede gjennomført over 1000 ID-kontroller.

– Er Mobai ID-kontroll låst til å bruke Posten for det fysiske oppmøtet?

– Nei. Hvis en bank eller eID-aktør ønsker å bruke vår løsning i sine egne kontorlokaler, så er det i orden, sier Strand og fortsetter:

– Litt av problemet med ID-forvaltningen i Norge er at det mangler helhetlige løsninger. Vi sikrer både et betydelig kvalitetsløft på den første ID-sjekken og en bredere dekning.

– Med andre ord har dere laget løsningen Stø trenger, nå som de skal ta kontroll over utstedelsen av BankID, men likevel er avhengig av bankene for det fysiske oppmøtet?

– Vi tror det er et vesentlig behov for å digitalisere, effektivisere og sikre kvalitet i prosessene for å etablere et kundeforhold, særlig i den delen som handler om legitimering. Men ja, teknologien kan like gjerne leveres til banker eller andre distribusjonssteder, sier Strand.

«Liveness detection»

Mobai-sjefen mener også at den nye ID-kontroll-løsningen kan bidra til å gjøre elektroniske ID-løsninger sikrere.

Når du logger inn med en eID må du kunne bevise minst hvem du er gjennom å fortelle noe du vet (passord eller pin-kode) noe du har (mobiltelefon, kodebrikke eller smartkort) eller noe du er (fingeravtrykk eller ansiktsgjenkjenning). Med to av tre er man på sikkerhetsnivå høyt.

Rett mobiltelefon og passord, kan likevel være nok til å gjennomføre en BankID-svindel. Ifølge Strand kan det motvirkes gjennom Mobais ID-verifisering, som kombinerer validering av ID-dokumentet, med «liveness detection» – at rett person er til stede, og «face matching»  – at ansiktet til person stemmer med det som finnes i dokumentet.

Han mener at det i løpet av en livssyklus burde gjennomføres en utvidet biometrisjekk litt oftere enn i dag. For eksempel når en ny mobil aktiveres, eller om en kunde slår på utenlandsbetaling eller gjør en stor endring i beløpsgrense.

Men da må det finnes en trygg og sikker onboarding med verifisert biometri i bunnen.

– Hvis man er usikker på hvem som har kontrollen over en lommebok, så kan man gjøre ansiktsbiometri. Da trenger man referansebiometrien, som vi leverer med denne løsningen. Så vi hjelper bankene å få kontroll, effektiviserer prosessen, og for utstedelse av BankID, sier Strand.

Endringer tvinger seg frem

Ifølge Strand tar Mobai ID-kontroll også høyde for den kommende europeiske ID-lommeboken, som vil tvinge frem en god del endringer i hvordan alle nærmere 500 millioner EU- og EØS-borgere skal identifiseres og bli gjenkjent.

– Vårt inntrykk er at EU heller mot at det må finnes et menneske i loopen, når en ID eller en lommebok skal utstedes. Det har vi i vår løsning i og med at den som gjør ID-sjekken også må signere på at alt er i orden.

– Etter å ha jobbet mye med «deepfake detection», har vi blitt gode på hva som kreves for en biometrisk autentisering, men vi er fortsatt eksponert mot skalerbare angrep. Vår hypotese at verdien av å ha et fysisk møtepunkt, gjør at svindel-angrepene blir mye mindre skalerbare, og er viktig for de aller viktigste tillitstjenestene våre.

– Man kan med andre ord si at dere har veddet på at det vil være et behov av et fysisk oppmøte et eller annet sted i identifiseringsprosessen. Og så har dere laget løsningen for det?

– Helt riktig. Det var diskusjonen vår rundt jul – hva er alternativkostnaden til å gjøre dette. I dag driver vi stort sett med å lage kjerneteknologi som enten partnerne våre ønsker å bruke for å lage autentisering eller ID-tjenester, eller som vi leverer direkte til banken for autentiseringen, sier Strand.

– Men denne løsningen er helt bevisst laget for være uavhengig av bruk på et bestemt sted. Dette kan brukes på Narvesen, Circle K eller et postkontor i Tyskland uten at det må tilpasses.

– Det åpner noe spennende muligheter med tanke på en fremtidig utstedelse av EUs ID-lommebok med norsk kjerneteknologi.