Om identiteitsfraude of identiteitendiefstal te kunnen beschouwen, is het noodzakelijk om het begrip Identiteit te begrijpen.
Van identiteitsfraude is sprake als een identiteit in een vreemde context wordt gebruikt in de veronderstelling dat de toekennende autoriteit vertrouwd is en dat het gebruik van de toegekende identiteit geaccepteerd kan worden. Er hoeft geen wederzijdse vertrouwensrelatie te bestaan, de ontvangende context hoeft alleen maar een identity provider te vertrouwen. De IdP hoeft niet per se de ontvangende context te vertrouwen. Voorbeeld: je kunt met een Facebook account inloggen op een website, terwijl Facebook die website niet hoeft te vertrouwen.
Maar zoals al eerder aangegeven, een toegekende identiteit op zich is niet voldoende om uit te kunnen gaan van de waarheid op grond van de identificatie. De toegekende identiteit vereist een verificatie bij de toekennende autoriteit: is de persoon die zich XYZ noemt echt door u XYZ genoemd? Meer concreet: Beste overheid, is de persoon met BSN 123456789 echt de persoon aan wie u 123456789 hebt toegekend?
Als de echtheid niet vaststaat, dan is de identiteit vals. Als de verificatie niet plaatsvindt, dan is de identificatie onbetrouwbaar, is de identiteit onbetrouwbaar en zou er ook sprake kunnen zijn van een valse identiteit.
Kun je dus met alleen één attribuut fraude plegen?
Ja, dat kan, maar alleen als de acceptant de identiteit niet op een passende manier verifieert.
En dat geeft meteen al een idee van de waarde van onze DigiD. Een DigiD vraag je aan op de website en de contra-informatie bepaalt DigiD zelf op basis van je BSN. Het authenticatiekanaal is de post, de brievenbus. Er is geen fysieke verificatie door DigiD van de identiteit van de aanvrager van de identiteit. Met de DigiD app vindt overigens wel een aanvullende authenticatie plaats, op basis van een scan van een fysiek id-bewijs. Maar niet alle burgers van Nederland hebben de app geïnstalleerd.
DigiD is dus bij voorbaat een rare verstrekker van het attribuut BSN. De betrouwbaarheid van de afhankelijke identiteit DigiD is dan ook op voorhand dubieus.
Er zijn verschillende goed gedocumenteerde gevallen van identiteitendiefstal of -fraude in het nieuws geweest. Maar kenmerkend aan alle BSN fraudecases is dat de fraude ontstond doordat een acceptant geen goede verificatie van de identiteit van een persoon uitvoerde. De acceptant vertrouwde (blind) op een opgegeven identiteit, niet op een na authenticatie vastgestelde identiteit.
Recentelijk werd een interessant geval van identiteiten'diefstal' in India gemeld. De hoogste baas van de Toezichthouder van de Telecom van India publiceerde zijn Aadhaar nummer (het nieuwe Indiase BSN) en nodigde hackers uit zijn identiteit te stelen. Zijn identiteitsgegevens werden daadwerkelijk gevonden door verschillende ethische hackers. Maar het lijkt er niet op dat dankzij het nummer de gegevens werden gevonden, al wordt het samenstellen van een profiel wel makkelijker dankzij de unieke code.
Zoals al eerder aangegeven is DigiD een bijzonder geval. Het is een Digitale Identiteit die iemand via een website van de overheid kan aanvragen. Bizar is dat het [[DigiD]] (dus ons digitale paspoort!) zonder afdoende authenticatie wordt verstrekt. Er wordt een brief met een activatiecode per post verstuurd en dat proces is voor de overheid van voldoende (prijs!)kwaliteit. Wij weten wel beter:
- Een BSN zichtbaar via een envelopvenster - Gemeente Zwolle, 5 augustus 2018
De Gemeente Zwolle casus is interessant. Het blijkt dat de NAW-gegevens + het BSN en het klantnummer zichtbaar zijn in de vensterenvelop. Daarmee zijn verschillende attributen van de identiteit toegankelijk. Als het authenticatieproces (vaststelling van de identiteit) alleen ingericht is op het valideren van attributen, maar niet op het vaststellen van de identiteit op basis van echtheidskenmerken, dan is identiteitendiefstal mogelijk. In dat geval is wel vast te stellen dat de accepterende instantie niet voldoet aan Art.12 van de Wabb. Deze verificatie kan dan dan ook geen rechtsgevolgen hebben voor de betreffende identiteit.
Met uitsluitend een BSN is géén identiteitenfraude te plegen. Het attribuut BSN in combinatie met andere attributen is niet afdoende om fraude te kunnen plegen. Maar fraude is wel mogelijk als een acceptant (iemand die een product of dienst levert) de identiteit niet verifieert op basis van een id-bewijs dat door de verstrekker van de toegekende identiteit is uitgereikt. Oftewel: als iemand zich met een BSN wil identificeren, is dat alleen mogelijk na verificatie van een echt identiteitsbewijs, zoals een paspoort, ID-kaart of (in Nederland althans) een rijbewijs. Verificatie met een kopie ID-bewijs is nooit betrouwbaar.
DigiD is een onvoldoende betrouwbare identiteit. Prima bruikbaar om snel in te loggen op overheidssites, maar de eigenaar van de website (meestal de overheid) mag er niet op vertrouwen dat een DigiD betrouwbaar is, zeker niet voor risicovolle transacties.
