TUPAS

Помимо банковской сферы, систему TUPAS применяют и другие организации для предоставления электронных услуг. В сервисе TUPAS банк идентифицирует клиента с помощью электронной аутентификации на основании собственных регистров. Основное назначение системы — электронная идентификация и электронное подписание в сервисах поставщиков услуг^[3].

Сервис TUPAS является общим стандартом, определённым самими банками. Каждый банк идентифицирует своего клиента с помощью тех же идентификаторов, которые используются в его собственных онлайн-сервисах. TUPAS применяется для онлайн-сервисов, где требуется достоверная идентификация клиентов. Банки используют динамические одноразовые пароли, соответствующие критериям безопасного процесса аутентификации^[3].

TUPAS — зарегистрированный товарный знак Финансового союза Финляндии, который управляет, развивает и поддерживает спецификацию TUPAS и соответствующую документацию.

В нынешнем виде система TUPAS не соответствует требованиям Европейского союза по гармонизированной сильной электронной аутентификации и больше не развивается^[4]. На смену системе приходит так называемая «сеть доверия»^[5].

Поставщик услуг идентифицирует клиента, отправляя ему запрос на аутентификацию. После этого клиент переходит в сервис идентификации своего банка, нажав соответствующую ссылку. Запрос передаётся в сервис TUPAS банка, который, после проверки, возвращает клиенту ответное сообщение («TUPAS-токен» или «Идентификатор»). Клиент проверяет полученные данные и, подтвердив их, возвращается на сайт поставщика услуг, при этом сведения из токена передаются поставщику. При желании клиент может отменить или отклонить процесс аутентификации как до его начала, так и на этапе проверки токена^[3].

По оценкам, тысячи жителей Финляндии не имеют доступа к онлайн-банковским идентификаторам и, следовательно, не могут воспользоваться TUPAS. В результате доступ к части государственных онлайн-сервисов оказывается невозможен, что затрудняет участие в общественной жизни^[6].

Критике также подвергались затраты на идентификацию через TUPAS. В числе недовольных — Kela и налоговое управление Финляндии^[7].

Поставщик услуг обязан заключить отдельный договор с каждым банком, чьим сервисом TUPAS он намерен воспользоваться. Это также подвергалось критике: из-за длительности и количества договорных процедур не все сервисы изначально имели соглашение со всеми поставщиками аутентификации (например, со всеми банками), что ограничивало часть клиентской базы^[8].

В ответ на прозвучавшую критику были предложены решения. Согласно новой директиве Европейского союза о платёжных счетах, кредитные учреждения обязаны предоставлять клиентам средства сильной электронной идентификации, то есть по сути онлайн-банковские идентификаторы. Это должно улучшить положение тех, кто ранее не имел доступа к подобным идентификаторам^[9][10]. Новый закон о «сети доверия» также устанавливает максимальную стоимость идентификации^[11], а сама сеть позволяет поставщику услуг заключить договор только с одним оператором.

Для сервиса Suomi.fi (централизованная аутентификация для цифровых услуг госcектора) использование TUPAS в государственных сервисах ежегодно обходится примерно в 5 млн евро^[12]. Эти средства государство (то есть налогоплательщики) выплачивает банкам. Система TUPAS не соответствует директиве ЕС о доступности и не подчиняется регламенту eIDAS, который позволяет гражданам Финляндии пользоваться цифровыми сервисами других стран ЕС.