2018 wordt het jaar van itsme

KRIS DE RYCK De overheid levert een wetgevend kader, het succes hangt af van de ondernemers. © GF
Bruno Leijnse Redacteur bij Trends

125.000 keer is itsme al geactiveerd. Via de smartphone-app kun je inloggen bij je e-bank en in andere toepassingen. Het succes ervan kan de business van banken en verzekeringen, e-handel of klantendiensten grondig veranderen.

Al vijftien jaar kunnen Belgen zich betrouwbaar identificeren op het internet. Dat gebeurt met de e-ID-kaart en de bijbehorende kaartlezer en software. Die combinatie lijkt een godsgeschenk in een digitaal leven vol risico op fraude en bedrog. Niet dus.

De software is nukkiger dan een peuter die niet wil eten. Herinstalleren, herstarten, browser veranderen, opnieuw aansluiten… Als je de kaart nodig hebt (één keer per jaar, voor Tax-on-web), gaat altijd wel iets mis. En nu is het systeem helemaal oude koek, want onbruikbaar met tablets en smartphones.

“Het was een overheidsinitiatief dat niet noodzakelijk volledig door de industrie is gedragen”, stelt Kris De Ryck met een understatement. Hij is de CEO van Belgian Mobile ID (BMID), een initiatief van de Belgische grootbanken en telecomoperatoren. BMID brengt een e-ID in mobiele vorm uit, een nieuwe manier om zich met hoge zekerheid online te identificeren. Het product kreeg de merknaam itsme. Gooi je e-ID-lezer toch nog maar niet weg, want je hebt hem nodig om je itsme-account aan te maken, tenzij je verkiest dat via een van de deelnemende banken te doen. Dan heb je je Digipass nodig.

itsme

Zodra je je itsme-app op je smartphone hebt geïnstalleerd en die app hebt gekoppeld aan je bancaire of officiële Belgische ik, heb je een efficiënte, mobiele authenticatie-oplossing in handen, die overal bruikbaar is waar in een itsme-loginknop is voorzien.

“De overheid heeft lessen getrokken uit de e-ID. Ze heeft een wetgevend kader uitgetekend en de ontwikkelingen aan de industrie overgelaten”, stelt De Ryck. Belgian Mobile ID behoort tot die ‘industrie’, maar komt niet als eerste met een betrouwbare mobiele digitale authenticatie.

De MyDigipass-applicatie van Vasco, de beveiliger van het overgrote deel van particuliere e-bankingtransacties in België, ging twee jaar geleden al mobiel. Ze is in gebruik bij de gemeenten Sint-Truiden en Mechelen en bij Tax-on-web, Monizze en Unibet. Als u er nog nooit van gehoord hebt, dan is dat waarschijnlijk omdat u geen inwoner bent van die gemeenten of niet gokt.

In drie tot vijf jaar willen we iedereen in België bereiken” – Kris De Ryck, CEO BMID

Met vier grootbanken (50%) en de grote telecomoperatoren (50%) als aandeelhouder heeft BMID betere kansen. ING, Belfius en BNP Paribas Fortis hanteren itsme al als alternatieve login-methode voor hun e-bankieren, naast de Digipass van Vasco. Bij KBC kan je zelfs al een rekening openen via itsme.

Samen geven die banken het gros van de 15,4 miljoen Bancontact-kaarten in België uit. Proximus heeft ruim 4,5 miljoen klanten en wanneer ook Orange en Telenet een itsme-knop installeren, komen daar nog eens bijna 7 miljoen rechtstreekse of onrechtstreekse potentiële gebruikers bij. Daarnaast laten ook de documentenbank Doccle, het uitzendbedrijf Randstad en enkele anderen al inloggen met itsme. “Het succes van zo’n product hangt af van het dagelijkse gebruik. Als je het niet regelmatig tegenkomt, is het ten dode opgeschreven”, weet De Ryck.

2018 wordt het jaar van itsme
© GF

Unieke mogelijkheden

Zijn team is nu druk bezig andere dienstenleveranciers te overtuigen itsme als authenticatiemiddel op hun websites aan te bieden. Pas als er voldoende gebruiksmogelijkheden zijn, komt er een grote marketingcampagne naar de consument, zegt De Ryck. Dat moet het kip-of-het-eiprobleem oplossen. “Bedrijven wachten tot er een kritische massa is voor zij toehappen. Wij zijn met veel partijen vergevorderd in gesprek, maar daarna moeten die nog een stuk ontwikkeling doen om itsme te integreren. Dat vraagt tijd.”

De Ryck heeft argumenten om ondernemers te verleiden in de itsme-faciliteit te investeren. Itsme opent gebruiksscenario’s die anders ondenkbaar zijn. Zo hoeven zuivere onlinebanken niet langer kopieën van identiteitskaarten te vragen of klanten uit te nodigen voor een face-to-facecontrole. Wie met itsme inlogt, is voldoende geïdentificeerd.

Klantendiensten en contactcenters kunnen met itsme contracten of contractwijzigingen zeer eenvoudig laten bevestigen. Een ander groot toepassingsterrein is e-gezondheidszorg en toegang tot medische dossiers. Voor online-overheidsservices zoals Mypension.be, Tax-on-web en tal van gemeenten wordt de officiële erkenning in de komende weken gefinaliseerd, meldt het kabinet van minister van Digitale Agenda Alexander De Croo (Open Vld).

Bij KBC kan je met itsme al online een rekening openen.

Binnenkort kan itsme overigens ook een ‘qualified signature‘ verzorgen, een digitale handtekening die aan de hoogste eisen voldoet. “Het geeft een bewijskrachtig document, tegenstelbaar aan derden”, zegt De Ryck. BMID heeft daarvoor bij de Europese instanties een accreditatie aangevraagd.

Consument betaalt niets

Retailers die via itsme laten inloggen, hebben het voordeel dat ze de klant van hun webshop éénduidig identificeren. Die klanten hebben op hun beurt het voordeel dat de handelaar correcte persoonsgegevens krijgt. Dat is handig als je vliegtuigtickets koopt.

Daarbij rijst de vraag hoe itsme aan zijn werkingsmiddelen komt en wat gebeurt met de persoonsgegevens die itsme zo zorgvuldig bijhoudt. “De consument betaalt niets. De partijen die itsme aan hun klanten aanbieden – banken, overheid, retailers, bedrijven – betalen voor het gebruik van de dienst. Wij vergoeden de banken die ons de identiteiten leveren en de operatoren van wie we de simkaarten gebruiken. Het is een open systeem. De Federatie van Notarissen FedNot zou een leverancier van identiteiten kunnen zijn. Dan krijgt zij dezelfde vergoeding als banken”, zegt De Ryck. Hij verwacht dat nog andere banken dan de grote vier erbij komen.

De Ryck noemt itsme “meer een facilitator van de digitale economie dan een winstmachine”. De tarieven van BMID voor zijn klantenorganisaties wil De Ryck niet noemen, maar ze zijn niet hoog, verzekert hij. “Om alle partijen in het systeem te brengen, moet de kostprijs zeer laag zijn. De identiteitsverschaffers en de operatoren verwachten niet noodzakelijk grote opbrengsten uit itsme. Het moet kostendekkend zijn, maar de toegevoegde waarde moet komen van de business die erbovenop wordt gebouwd.”

De app toont bij elke login welke gegevens de dienstverlener vraagt. Hij kan niet in die lijst schrappen, maar wel de inlogprocedure afbreken.

Ook elders in de EU

Itsme komt er tegen de achtergrond van eIDAS, de Europese verordening over “de elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt”. Vanaf september verplicht eIDAS de hele publieke sector van de lidstaten Europees erkende inlogmiddelen als geldige authenticatie te aanvaarden. Op die manier kunnen reizigers en expats hun nationale digitale-authenticatiesysteem, voor zover dat aangemeld en erkend is bij de EU, gebruiken, bijvoorbeeld bij de lokale scholen, gemeente- of gezondheidsdiensten.

Wordt itsme een exportproduct? “Er is interesse, maar we hebben lokale initiatieven nodig die met ons scheep willen gaan”, meent De Ryck. “De authentieke bronnen van identificatie zijn nog heel sterk landgebonden. Sommige landen hebben niet eens een e-ID-kaart en werken nog met scans van een rijbewijs of een elektriciteitsfactuur.”

De Ryck verwacht daarom de opkomst van identiteitsmakelaars, waaraan ondernemers de identificatie van hun klanten uitbesteden. Die makelaars catalogeren dan de authenticatiemiddelen als laag, substantieel of hoog (de drie niveaus die eIDAS onderscheidt) en hun opdrachtgevers moeten dan beslissen of ze die klant aanvaarden of niet. De Ryck: “Dat soort partijen opent voor ons de poort naar het buitenland.” Het snelgroeiende Scandinavische Signicat, een ‘identity assurance service provider‘, bevestigt dat hij itsme als authenticatiemiddel in zijn portefeuille zal opnemen en zijn diensten ook zal aanbieden op de Belgische markt.

Nu ligt de focus van BMID stevig op België. “Alle voorwaarden zijn vervuld om hier snel in volume en oplossingen te groeien. In drie tot vijf jaar willen we iedereen in België bereiken die zo’n app zou willen gebruiken”, stelt De Ryck.

Zwakke plekken

Omdat itsme de simkaart als een deel van zijn beveiliging gebruikt, moet de operator die de simkaart levert wel meedoen met itsme. In België is dat geen probleem, maar Belgen die met een buitenlandse operator werken, bijvoorbeeld omdat ze veel in het buitenland zijn, vallen uit de boot.

Professor Bart Preneel, de bekende cryptografie-expert van de KU Leuven, heeft de specificaties van itsme nog niet onder ogen gekregen, maar hij wijst wel al op een zwakke plek: het blokkeren van een account. Een grappenmaker kan met iemands gsm-nummer en geboorteplaats naar de website van itsme surfen om de account te blokkeren. “Belgian Mobile ID kent het probleem. Hopelijk werkt het aan een betere oplossing”, zegt Preneel.

De grootste concurrent van sterke authenticatiesystemen zoals itsme blijven nog altijd paswoorden, ook al zijn die notoir kwetsbaar. “Paswoorden blijven onvermijdelijk omdat ze niets kosten als je een toepassing opzet”, stelt Preneel. “Alle alternatieven vragen aanpassingen aan de kant van de gebruiker – bijvoorbeeld een bijkomende app – of aan de kant van de server.”

Kleine wereld

Volgens het privacybeleid van BMID kunnen de persoonsgegevens die itsme verzamelt voor verwerking gedeeld worden met onderaannemers. Eén daarvan is Approach Belgium uit Mont-Saint-Guibert, dat een belangrijke rol speelde bij de ontwikkeling van de dienst en ook voor tweedelijnsondersteuning zorgt. Een andere is Connective uit Antwerpen. Connective zorgt voor de koppeling tussen de e-ID-gegevens en de digitale certificaten die uitgereikt worden door het Zwitserse Quovadis Trust/Link. Connective levert aan BMID ook de technologie voor de digitale ondertekening van documenten, een functie die binnenkort live gaat. Het zal die oplossing samen met BMID ook internationaal vermarkten, afficheert hun website. Onderaannemers bewaren de itsme-gegevens overigens maar enkele seconden, preciseert Connective.

Aan kapitaal en relaties zal het de BMID-partners niet ontbreken. In beide participeert Michel Akkermans, die fortuin maakte met de verkoop van bedrijven als FICS, S1 en Clear2Pay. In Approach vinden we Etienne Castiaux terug als bestuurder, de voormalige CTO van Clear2Pay, die nu in Motive Partners blijkt te zijn gestapt, een fintech-vehikel van onder anderen Rob Heyvaert. Eric Bohner, de CEO van Connective, richtte in 1998 samen met Heyvaert nog Red Mountain Holding op, vanwaaruit Heyvaert de legendarische consultant Capco lanceerde. Het is een kleine wereld.

2018 wordt het jaar van itsme
© .

Sommige diensten, zoals hier enco.io, nemen bijna alle info die ze van itsme kunnen krijgen. MyProximus vraagt alleen uw gsm-nummer.

Lage score voor gebruiksvriendelijkheid

Android-gebruikers zijn niet unaniem enthousiast over itsme. Het gemiddelde van een kleine 750 beoordelingen in de Play Store was amper 2 op 5. Het enigszins bewerkelijke activatieproces om de itsme-applicatie te koppelen aan de bank- of e-ID-kaart is de schuldige. Een vlotte activatie is belangrijk, omdat ze moet worden overgedaan telkens als je van sim-kaart of smartphone verandert, of je paswoord vergeet. De frustratie laait soms hoog op. Laat je door de commentaren echter niet afschrikken. Ondergetekende is er meteen in geslaagd – weliswaar nadat hij had ondervonden dat je de registratieroute via de e-ID-kaart niet via de app, maar via de website van itsme.be moet beginnen.

Maar ook in gebruik is itsme toch iets ingewikkelder dan gewoon een pin intikken op een terminal. Je moet de app op je smartphone openen. Die opent zich niet vanzelf, nadat je bijvoorbeeld bij Doccle op de knop ‘login met itsme’ hebt geklikt (handeling 1 en 2). Vervolgens moet je in de app bevestigen dat je wilt inloggen (handeling 3). Dan toont de app je de gegevens die ze doorstuurt naar, in dit geval, Doccle (schrappen uit de getoonde lijst kan niet, de inlogprocedure afbreken wel). Dat is informatief en privacybewust, maar je akkoord geven is wel handeling 4. Tot slot vraagt de app je om je vijfcijferige itsme-code of een vingerafdruk voor bevestiging (handeling 5). Dat is redelijkerwijze sneller dan een pincode en challenge intypen op een Digipass-toestelletje (en dan de antwoordcijfers op een website) – maar niet tien keer sneller. Als je een account hebt op een website en voor het eerst inlogt met itsme, wordt je ook nog eens gevraagd die account te koppelen aan je itsme-persona.

Bredere rol voor de federale authenticatiedienst?

Wie inlogt op overheidsdiensten, met welke methode ook, wordt geauthentiseerd door de FederalAuthentication Service (FAS) van de overheid. Die bekijkt of het authenticatieniveau voldoende is om de gevraagde toepassing te mogen gebruiken.

Experts zoals Frank Robben, de vader van de kruispuntenbanken, zouden die federale authenticatiedienst ook voor privégebruik willen openstellen. Op die manier zou ook ‘single sign-on’ mogelijk worden. Dat is het gemak om na één login verschillende toepassingen te kunnen gebruiken. Gebruikers zouden hun authenticatie meenemen tussen toepassingen, zonder zich telkens opnieuw te moeten authentiseren.

Kostprijs

Een Nederlandse overheidsstudie schatte eind 2016 de kosten van een systeem voor sterke authenticatie (zoals itsme) voor onze Noorderburen – die de helft talrijker zijn – op 15 miljoen euro aan investeringen, los van de investeringen in een e-ID-infrastructuur, die België al heeft. Verder zijn er jaarlijks gemiddeld 37 miljoen aan vaste beheers- en onderhoudskosten en 7,6 miljoen euro aan variabele gebruikskosten. De baten zouden die kosten al overtreffen als er 1400 fraudegevallen worden voorkomen, bij 30 miljoen transacties.

Kind van Sixdots

Itsme is een doorstart van het Sixdots-project dat Proximus en BNP Paribas Fortis in november 2013 lanceerden. Sixdots, vernoemd naar de beveiliging met zes cijfers, was gebaseerd op een elektronische ‘wallet’ (kaartcontainer) van MasterCard en werd ontwikkeld door Accenture. Het moest “een Belgische standaard voor betalingen via smartphone” worden. De wallet moest ook met e-kortingsbonnen, tickets en getrouwheidskaarten kunnen werken. Handelaren zouden Sixdots ook in apps kunnen stoppen om “in app commerce” te vereenvoudigen. Voor elke Sixdots-transactie zouden ze “een kleine vergoeding” betalen, zei de aankondiging.

Ondertussen was Bancontact – in handen van vijf banken, zonder telecomspelers – al druk bezig Bancontact als internetbetaalmiddel te profileren. Tegen de tijd dat Sixdots op de markt had moeten komen, in de lente van 2014, had Bancontact al een mobiele app in de steigers. De Sixdots-aandeelhouders besloten ondertussen stilletjes toch maar niet met MasterCard in zee te gaan. Zij zouden een eigen wallet ontwikkelen met de hulp van Atos Worldline. Eind 2014 werd dan duidelijk dat Sixdots gewoon nergens heenging. Het bedrijf, dat toen officieel Belgian Mobile Wallet heette, schreef 6 miljoen aan ontwikkelingen af en eindigde zijn eerste boekjaar met bijna 11 miljoen verlies.

Enkele maanden later werd Kris De Ryck, de toenmalige CEO van Bancontact, gevraagd om ook CEO van Belgian Mobile Wallet te worden. De doelstelling kromp tot twee sterke punten van de banken en de operatoren: identiteit en beveiliging. “Het was geen bocht, het was een vernauwing van de focus”, vertelt De Ryck. Zijn team haalde de twee ontbrekende grote operatoren – Orange en Telenet/Base – aan boord. De helft van de aandelen is nu evenredig verdeeld over KBC, BNP, ING en Belfius, met de andere helft evenredig verdeeld over de operatoren.

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content