Suomessa on totuttu asioimaan verotoimiston, pankin ja terveydenhoidon verkkopalveluissa, jotka vaativat vahvan tunnistuksen. Mobiilivarmenne ja pankkien järjestelmät toimivat tunnistuksessa luotettavasti, eikä julkisuuteen ole tullut huolestuttavaa määrää niiden hakkerointi-ilmoituksia. Entä kun ulkomainen verkkopalvelu pyytää vahvaa tunnistautumista? Miten siinä toimitaan, ja mihin luovutetut henkilöpaperit mahdollisesti päätyvät?

Monelle matkailijalle esimerkiksi majoituspalvelu Airbnb on tuttu verkkopalvelu, josta voi hakea yöpymispaikan lähes mistä tahansa maasta. Ennen kuin varausta pääsee tekemään, Airbnb vaatii itselleen matkailijan tarkat henkilö- ja osoitetiedot, kuvan passista, ja kasvokuvan. Palvelu tarkastaa saamiensa tietojen paikkansapitävyyden muista virallisista ja epävirallisista lähteistä mahdollisuuksiensa mukaan. Jos Airbnb luottaa henkilön olevan se kuka hän väittää olevansa, matkailija pääsee varaamaan ja maksamaan majoituksensa.

Mihin nämä arvokkaat henkilötiedot päätyvät? Airbnb käyttää henkilön tunnistukseen ulkopuolista apua, jonka jälkeen se pitää dokumentit itse, ja myös jakaa ne monien ulkopuolisten tahojen kanssa. Yhtiön tietosuojadokumentti ilmaisee asian hyvin laveasti, mutta siinä ilmaistaan mahdollinen tietojen jakaminen vähintään kaikille liiketoimintakumppaneille, alihankkijoille, yöpymispaikkojen omistajille ja heidän alihankkijoille, rahoituslaitoksille, veroviranomaisille, muille viranomaisille, tekoälyjärjestelmille, ja muille Airbnb käyttäjille.

Tähän asti verkkopalvelut, jotka ovat vaatineet näin laajoja henkilötietoja ovat olleet satunnaisia. Nyt kuitenkin asia on tullut laajalti ajankohtaiseksi ensimmäisten maiden säädettyä lakeja, jotka määräävät sosiaalisen median palvelut tunnistamaan käyttäjän luotettavasti, jotta hänen ikänsä voidaan varmistaa.

LinkedIn on suosittu työelämään liittyvä sosiaalisen median palvelu missä viestitään entisten, nykyisten, ja mahdollisesti tulevien kolleegoiden kanssa. Eräs EU:n alueella työskentelevä IT-asiantuntija halusi aktivoida yhden LinkedIn-palvelun ominaisuuden omaan profiiliinsa. Kyseessä on tunniste, joka ilmaisee hänen olevan profiilinsa mukainen henkilö. LinkedIn pyysi kuvan hänen passistaan ja selfien. Kaikki oli kunnossa, hän sai haluamansa tunnisteen.

IT-asiantuntija päätti kuitenkin penkoa mitä tunnistusprosessin taustalla oli tapahtunut. Ensimmäinen havainto oli, että dokumentit vastaanotti ja tietojen tarkistuksen teki yhdysvaltalainen yritys Persona. Tämä yritys tarkisti valtion tietokannoista, luottotietoyrityksiltä, vesi- ja sähkölaitoksilta, puhelinoperaattoreilta, ja osoitietokannoista miten annetut täsmäävät muiden lähteiden kanssa. Tarkistuksen jälkeen Persona luovutti hänen tietonsa tekoälyjärjestelmien koulutukseen, kaikille yhtiön liiketoimintakumppaneille, alihankkijoille, datan käsittelyyn erikoistuneille yrityksille (todennäköisesti markkinointi- ja henkilötietojen profilointiyrityksiä), viranomaisille, ja joukolle nimettyjä suuria yhdysvaltalaisia teknologiayhtiöitä, kuten Google.

Eikä tässä kaikki. Yksityiskohtaisia henkilötietoja keräävien ja niitä eteenpäin välittävien yhtiöiden tietojärjestelmät ovat erittäin houkuttelevia kohteita kyberrikollisille. Tulostakin on syntynyt. Esimerkiksi suosittu verkkopalvelu Discord, joka käyttää Persona-yhtiön tunnistuspalvelua käyttäjien iän tarkistamiseen, ilmoitti käyttäjien luovuttamien virallisten henkilötietodokumenttien vuotamisesta hakkereiden käsiin. Rikolliset todennäköisesti tavoittelevat varastettujen henkilötietojen käyttöä omiin tarkoituksiinsa, kuten identiteettirikoksiin, tai niiden myymistä eteenpäin.

Kaikki tämä vahvan tunnistuksen varjolla tehtävä henkilökohtaisten tietojen kahmiminen omaan liiketoimintaan näyttää edelleen villin lännen oikeudelta, vaikka EU on jo pitkään tehnyt töitä pyrkien säätelemään ihmisten perusoikeuksia myös internetissä. Esimerkiksi henkilötietojen keruuta suojaava GDPR asetus täyttää pian jo kahdeksan vuotta. Joka tapauksessa, kansainväliseen vahvaan tunnistukseen EU on kehittänyt ratkaisua usean vuoden ajan. Vuoden 2026 loppuun mennessä jäsenmaat ovat luvanneet saada julkiseen käyttöön yhteisiin eurooppalaisiin standardeihin perustuvan tunnistusjärjestelmän.

Suomessa puhelimeen tarkoitetun eurooppalaisen digitaalisen identiteettilompakon on rakentanut Digi- ja väestötietovirasto. DVV ilmoittaa sovelluksen ensimmäisen version toiminnoiksi ainakin tunnistautumisen ja sähköiset allekirjoitukset.

Puhelimen identiteettilompakkosovelluksella voi kirjautua EU-alueen verkkopalveluihin (niihin, jotka tarjoavat lompakolla kirjautumisen) ja allekirjoittaa asiakirjoja. Lisää toimintoja, kuten iän todentaminen ja omien asiakirjojen tallentaminen lompakkoon ovat myös luvassa. Viranomaisten lisäksi yritykset ja organisaatiot voivat kehittää lompakkoon lisätoimintoja.

EU:n identiteettilompakko voi hyvinkin ratkaista Euroopassa sijaitsevien verkkopalveluiden henkilötunnistustarpeet, jolloin kansalaisten elämä helpottuu ja toivottavasti myös riski arvokkaan datan vuotamisesta markkinatavaraksi ja rikollisten käsiin vähenee huomattavasti.