Suomalainen PlusID-palvelu voisi toimia henkilöllisyyden varmistamiseen netissä, mutta se herättää samalla kysymyksiä tietoturvasta.

Keskitetty sähköinen henkilöllisyys voisi vähentää verkossa säilytettävien käyttäjätietojen määrää. Kuva: Skrypko Ievgen / Colourbox

Suomalainen PlusID-palvelu on tarkoitettu keinoksi, jolla kuka tahansa voi parantaa tietoturvaansa ja asioida turvallisesti verkossa. PlusID:llä henkilöllisyytensä voisivat todistaa jopa Ukrainasta Suomeen tulleet pakolaiset, joilla ei vielä ole perinteistä henkilöllisyystodistusta.

Lue lisää: Suomalaisyritys kehittää digitaalista henkilö­korttia - tähän kaikkeen sitä voisi käyttää

Palvelusta vastaavan PlusID Oy:n tekninen johtaja Matti Vilola arvioi, että mikäli PlusID pääsee laajaan käyttöön, voi tietoturva jopa parantua. Vilolan mukaan esimerkiksi PlusID:tä käyttävän yrityksen ei tarvitsisi kerätä asiakkaistaan henkilötietoja, vaan ainoastaan heidän PlusID-tunnisteensa.

On mahdotonta valvoa, toimivatko yritykset näin, mutta jos toimivat, se voisi ajan kanssa vähentää käyttäjätietojen määrää verkossa ja sitä kautta auttaa suojelemaan ihmisiä jatkuvilta tietomurroilta. Jos tietoja yritettäisiin tonkia luvattomasti PlusID Oy:n sisältä käsin, vain Vilolalla itsellään on pääsy siihen tarvittaviin salausavaimiin.

Samaan aikaan PlusID:stä voi tulla käyttäjien luovuttamien tietojen aarreaitta. PlusID:n henkilökäyttäjä antaa puhelinnumeronsa ja suorittaa sitten vahvan tunnistautumisen. Tätä kautta PlusID Oy saa haltuunsa myös käyttäjän nimen ja henkilötunnuksen.

Myöhemmin käyttäjä voi tarpeen mukaan luovuttaa lisää tietoa. Teoriassa henkilö voisi esimerkiksi ilmoittaa ja vahvistaa olevansa opiskelija hakiessaan vaikkapa etuuksia tai tukia.

Vilola on tästä vastuusta täysin tietoinen. PlusID:n taustajärjestelmä toimii Googlen palvelimilla, jotka sijaitsevat Haminassa.

- Jos tulisi palvelunestohyökkäys, voisimme siirtyä vaikka Frankfurtin palvelimille. Mutta mitä tulee tietojen hakkerointiin, olemme pyrkineet ottamaan huomioon erilaiset hyökkäysreitit, Vilola selvittää.

PlusID ei ole vielä niin sanottu vahva sähköinen tunnistustapa, jollaiset Liikenne- ja viestintävirasto Traficom kuvailee artikkelissaan.

Tätä termiä saavat käyttää vain luottamusverkoston jäsenet, joskin PlusID tähtää mukaan verkostoon myöhemmin. Vilolan mukaan tämä ei kuitenkaan tarkoita, että tunnistus ei olisi käytännössä jo nyt vahva.

Pitkän aikavälin tavoitteena on kuitenkin lähestyä jopa sosiaalisen median jättiläisiä, kuten Facebookin ja Instagramin omistavaa Metaa. PlusID kun voisi Vilolan mukaan hävittää somepalvelujen sitkeän ongelman, eli väärennetyt tai kaapatut käyttäjätilit.

Toistaiseksi pienen startupin on vaikea saada niiden huomiota, mutta keskustelut PlusID:n käytöstä ovat käynnissä joidenkin kryptovaluuttapörssien kanssa.

Viime kädessä PlusID:n kohtalonkysymys on, kuinka moni palvelu omaksuu sen. Siihen houkutellaan hinnoittelulla. Vilolan mukaan verkkopankkitunnistusta asiakkailleen tarjoava yritys, kuten verkkokauppa, maksaa noin 10-20 senttiä tunnistusta kohden. PlusID ei veloita tunnistuksesta mitään.

- Tämä on se meidän iso työ, että saisimme mukaan yrityksiä, joiden kautta tulisi lisää loppukäyttäjiä, Vilola sanoo.

Loppukäyttäjälle PlusID on maksuton ensimmäiset 12 kuukautta ja maksaa sitten 0,99 euroa kuukaudessa. Joissakin käyttötilanteissa peritään lisämaksuja. Esimerkiksi rahan siirroista sähköiseen lompakkoon veloitetaan 1,9 prosenttia, ja verkko-ostokset yhteen kokoavista laskuista 2,99 euroa kappaleelta.

Valtiovarainministeriö valmistelee parhaillaan digitaalista henkilöllisyystodistusta, jolla suomalaiset voisivat todistaa henkilöllisyytensä sähköisessä ja fyysisessä asioinnissa.

Hallituksen esitys annetaan eduskunnalle ensi syksynä, ja digitaalinen henkilöllisyystodistus on tarkoitus ottaa käyttöön ensi vuonna. EU:ssa digitaalinen henkilöllisyystodistus tullee lakisääteiseksi parin vuoden sisällä.

Se, että PlusID on näin varhain liikkeellä, voi tarkoittaa, ettei palvelu ole suoraan yhteensopiva tulevan lainsäädännön kanssa. Vilolan mukaan näillä näkymin palvelu on kuitenkin täysin yhteensopiva, mutta muutoksia tehdään tarvittaessa.