Skip to main content
Category

News

Newsletter September 2022

Online identification with fidentity – now even easier, safer and faster

Our vision: to enable trust in the digital world. Our way to achieve this: Making online verification simple, secure and flexible. That’s why we’ve expanded our identification solution in recent months. Our Liveness module is now even faster and more intuitive for your customers to use. We have also developed an NFC module. Interested? Learn more in our newsletter.

Liveness module in usability testing

Probably the most modern data center in Switzerland is located in a suburb of Bern. It opened in 2014 and cost 60 million francs.

Real-time face recognition, an improved progress bar for the user, a short tutorial video and immediate user feedback during the selfie process – these are just a few of the new features we have integrated into our liveness module. In a usability test, we wanted to know how the new features were received by users. And we are proud of the results: The testers gave our module a rating of 4.5 out of a total of 5 ⭐. What they liked best:

  • the ease of use
  • the intuitive user guidance
  • the design.

Convince yourself. Try our Liveness module for identity verification now.

Thanks to NFC: digital onboarding even more secure and faster

Probably the most modern data center in Switzerland is located in a suburb of Bern. It opened in 2014 and cost 60 million francs.

Many identity documents, including the Swiss passport, have an integrated NFC chip. This is as secure as the chip on a credit card and is considered counterfeit-proof by FINMA. fidentity enables this chip to be read and checked.

NFC technology is not new. But did you know that

  • most smartphones today have an NFC reader?
  • the bank transfer previously required to identify customers during onboarding is no longer necessary if verification is carried out by reading the data from the NFC chip?
  • fidentity now makes it possible to read and verify this chip?

Seamless integration of web an app

To date, only „native apps“ can access the NFC reader function of smartphones. Since fidentity’s identity verification is web-based, we were looking for a technical solution that supports identification with NFC while integrating as seamlessly as possible into the web flow. Thanks to the new App-Clip technology (Instant App on Android), identification with NFC is possible without the user having to make a detour through the app stores.

See for yourself the seamless integration of the NFC module.

KPMG confirms: fidentity is proven to be FINMA-compliant

Security instructions in front of the data center: We will soon have to part with our personal belongings, exchange an official identification document for a visitor badge and pass a metal detector.

As part of a voluntary audit in accordance with the ISAE 3000 standard, KPMG confirmed that fidentity’s identification solution meets the requirements of FINMA Circular 2016/07 on „Video and Online Identification“. We also have extensive experience in other compliance issues and can meet your requirements according to the Data Protection Act, regarding outsourcing and risk management.

We are happy to help you create a user-friendly onboarding for your new customers.

Is there 100 percent security?

It recently became public: security researchers from the Chaos Computer Club (CCC) successfully hacked video-based online identification and thus gained access to a test person’s personal data. The CCC is therefore calling for this technology not to be used where there is a high potential for damage.

Behind the CCC’s attack is years of preparation. Moreover, the identity of a complete stranger was not stolen, but the identity of identical twins.

We at fidentity find the hack exciting and are convinced that it will contribute to an improvement of the procedures. Because all optical processes are vulnerable with more or less effort, fidentity continuously invests in our software and uses „friendly“ hackers to uncover possible security gaps. Today, only identification with an NFC chip is considered 100 percent secure, as this is not „hackable“ with today’s technology.

Get in touch with us

Would you like to know more about fidentity and how it can be used in your company? Call us now.

Or fill the form below. We will contact you.

    Interested in an online coffee with our CEO?

    Thorsten Hau, CEO and founder

    Book now

    Mehr Sicherheit geht (fast) nicht

    In Kürze

    • Im Rechenzentrum Bern-Wankdorf hostet Begasoft AG die Daten und IT-Infrastruktur von fidentity.
    • Das Rechenzentrum ist Tier IV zertifiziert und bietet deshalb ein Höchstmass an Schutz und Verfügbarkeit.
    Sind die Daten unserer Kunden wirklich sicher?

    Um dies herauszufinden, machen wir uns auf den Weg ins Swisscom Rechenzentrum Wankdorf, wo Begasoft AG die Daten unserer Kunden hostet. Nicht einmal die hohen Temperaturen lassen uns von unserem Vorhaben abhalten.

    Die Zutrittskontrolle ins Rechenzentrum ist – sowohl für Mitarbeitende wie auch Besucher – streng geregelt. Persönliche Gegenstände bleiben draussen – auch unsere Mobiltelefone. Sämtliche Räume werden mit Videokameras überwacht und der Sicherheitsdienst ist 24/7 vor Ort.

    Auf einer Führung erfahren wir, dass alle Systeme, welche für einen unterbruchsfreien Betrieb notwendig sind, redundant ausgelegt sind. Dadurch wird eine Verfügbarkeit von 99,995 Prozent garantiert. Natürlich erhalten wir auch die Erklärung, was damit gemeint ist. Was bedeutet das? Was so viel heisst, dass die Ausfallzeit pro Jahr nicht mehr als 30 Minuten übersteigen darf und beweist, dass unsere Identifikationslösung „hochverfügbar“ ist.

    Was uns ausserdem überzeugt: Der Strom im Rechenzentrum wird aus 100 Prozent einheimischer und nachhaltiger Energie bezogen. Die Rechner werden indirekt mit Aussenluft und Regenwasser gekühlt und die Abwärme fliesst vollumfänglich in den Wärmeverbund der Stadt Bern. Diese und weitere Massnahmen tragen dazu bei, dass eine Energieeffizienz von 84 % erreicht (entspricht einem PUE-Wert von 1,2).

    Mit dem Hosting im modernsten Rechenzentrum der Schweiz leistet fidentity somit einen wichtigen Beitrag zu mehr Energieeffizienz. Denn gemäss einer Studie vom myclimate spart der Bezug von IT-Leistungen aus der Cloud bis zu 90 Prozent Energie gegenüber dem Betrieb von eigenen Servern.

    Das Fazit unseres Besuchs

    Eine 100-prozentige Sicherheit gibt es nicht. Aber mehr Sicherheit geht (fast) nicht. 💪

    Kaum erstaunlich, schliesslich wurde das Rechenzentrum vom Uptime Institut mit dem Zertifikat Tier IV ausgezeichnet. Es erfüllt damit die höchsten Anforderungen punkto Verfügbarkeit, Sicherheit und Effizienz.

    In einem Berner Vorort befindet sich das wohl modernste Rechenzentrum der Schweiz. Es wurde 2014 eröffnet und kostete 60 Millionen Franken.
    Sicherheitsinstruktion vor dem Rechenzentrum: In Kürze werden wir uns von unseren persönlichen Gegenständen trennen müssen, ein offizielles Ausweisdokument gegen einen Besucherbadge tauschen und einen Metalldetektor passieren.
    Ein exklusiver Anblick: Thorsten Hau (CEO) mit Edi Spring (CTO) und David Strahm (Senior Software Engineer) besuchen die von Begasoft betriebene fidentity-IT-Infrastruktur im Datacenter Bern-Wankdorf.

    Nehmen Sie mit uns Kontakt auf

    Sie möchten mehr über fidentity und den Einsatz in Ihrem Unternehmen erfahren? Rufen Sie uns an.

    Oder füllen Sie das untenstehende Formular aus. Wir melden uns bei Ihnen.

      Sie möchten sich mit unserem CEO online treffen?

      fidentity thorsten hau

      Thorsten Hau, CEO and Gründer

      Termin buchen

      KPMG-Audit bestätigt: fidentity weiterhin FINMA-konform

      Pressemitteilung

      • Das Schweizer Fintech-Unternehmen fidentity hat sich auf die vollautomatisierte Identitätsprüfung von natürlichen Personen spezialisiert.
      • Im Rahmen eines freiwilligen Audits hat KPMG bestätig, dass dessen Online-Identifikationslösung nachweislich FINMA-konform ist.

      «Wir sind erfreut über den Audit-Bericht, welcher bestätigt, dass unsere Identifikationslösung FINMA-konform ist», sagt Thorsten Hau, CEO von fidentity. «Die Einhaltung der Vorgaben des FINMA-Rundschreibens ‹Video- und Onlineidentifizierung› wird mit fidentity einfacher. Unsere Kunden können sich auf die Bewertung einer anerkannten Prüfgesellschaft verlassen. Damit senken wir die Kosten der Digitalisierung und beweisen, dass sämtliche Compliance-Anforderungen erfüllt sind.»

      «Die Einhaltung der Vorgaben des FINMA-Rundschreibens ‹Video- und Onlineidentifizierung› wird mit fidentity einfacher», sagt Thorsten Hau, CEO von fidentity.

      Das FINMA-Rundschreiben 2016/07 «Video- und Onlineidentifizierung» regelt, welche technischen Massnahmen und Standards eingehalten werden müssen, wenn ein neuer Kunde ein Konto über digitale Kanäle eröffnen will. So müssen beispielsweise während des Identifikationsprozesses die Bildqualität des gescannten Identitätsdokuments geprüft und die vom Benutzer eingegebenen Daten mit der maschinenlesbaren Zone (MRZ) abgeglichen werden. Bei weiteren Checks werden das Selfie und das Foto vom Ausweisdokument verglichen und mittels eines sogenannten «Liveness-Checks» geprüft, ob es sich um eine reale Person handelt.

      Im Rahmen des Audits, welches nach ISAE 3000 Standard durchgeführt wurde, hat KPMG Anforderungen aus acht verschiedenen Bereichen getestet. Neben technischen Kriterien wurden auch die IT-Architektur und die unternehmensinternen Prozesse unter die Lupe genommen. «Da fidentity-Dienstleistungen für regulierte Finanzdienstleister erbringt, ist es entscheidend, dass unsere Systeme zuverlässig arbeiten und Kontrollmechanismen vorhanden sind, um allfällige Ausnahmen rechtzeitig erkennen und Ausfälle zu verhindern zu können», erklärt Thorsten Hau und fügt an: «Für uns ist es selbstverständlich, dass wir regelmässig Pen-Tests durchführen lassen, um unsere Systeme vor unerwünschten Cyber-Attacken zu schützen.» Dank den ISO-Zertifizierungen 9001 und 27001 des Hosting-Partners hält fidentity ebenfalls die Anforderungen bezüglich Qualitätsmanagement und Informationssicherheit ein.

      Weniger als 90 Sekunden – Identitätsüberprüfung mit fidentity

      Medienkontakt

      Thorsten Hau; CEO & Gründer
      thorsten@fidentity.ch
      079 461 99 36

      Nehmen Sie mit uns Kontakt auf

      Sie möchten mehr über fidentity und den Einsatz in Ihrem Unternehmen erfahren? Rufen Sie uns an.

      Oder füllen Sie das untenstehende Formular aus. Wir melden uns bei Ihnen.

        Sie möchten sich mit unserem CEO online treffen?

        fidentity thorsten hau

        Thorsten Hau, CEO and Gründer

        Termin buchen

        Digitales Onboarding mit NFC: Maximale Konversion garantiert

        In Kürze

        • Seit dem 1. Juni 2021 erlaubt die FINMA als weitere Sicherheitsmassnahme bei der Online-Identifizierung das Auslesen des Chips von biometrischen Identitätsdokumenten.
        • Dadurch entfällt für die Kundin oder den Kunden die bis anhin notwendige Banküberweisung zur Identifizierung.
        • Neu unterstützt fidentity mit einem eigens entwickelten NFC-Software-Modul das kontaktlose Auslesen von biometrischen Daten zur Identitätsverifizierung.
        • Digitales Onboarding wird dadurch noch einfacher, schneller und sicherer für Sie und Ihre Kunden.
        NFC macht digitales Onboarding noch einfacher und sicherer. Weshalb dem so ist und was hinter der Technologie steckt, erfahren Sie im folgenden Beitrag.

        Was ist NFC-Technologie?

        Near Field Communication (NFC, dt. Nahfeldkommunikation) ist nicht neu. Die Technologie gibt es bereits seit den frühen 2000er-Jahren. Dabei handelt es sich um eine bidirektionale drahtlose Datenübertragung zwischen zwei elektronischen Geräten. Damit die Daten ausgetauscht werden können, dürfen die beiden Geräte nicht weiter als 10 Zentimeter voneinander entfernt sein. Dadurch gilt NFC als besonders sicher, da es durch die geringe Distanz kaum möglich ist, dass die Daten abgefangen werden können.

        NFC im Alltag

        Die meisten Nutzer sind sich dessen nicht bewusst: Die NFC-Technologie ist im Alltag bereits weit verbreitet. Sie kommt zum Beispiel beim kontaktlosen Zahlen mit Smartphones oder Kreditkarten zum Einsatz. Die NFC-Technologie wird aber auch dort eingesetzt, wo es um die Zu- und Eintrittskontrolle geht – also beispielsweise in Hotels, öffentlichen Gebäuden oder am Arbeitsplatz. War am Anfang ein spezielles Gerät für das Auslesen der Daten notwendig, verfügt heute fast jedes Smartphone über einen NFC-Reader.

        Frau, welche das Smartphone zum kontaktlosen Bezahlen benutzt
        Kontaktloses Bezahlen ist nur eine von vielen Anwendungsfällen, bei der die NFC-Technologie heute eingesetzt wird. Damit die beiden Geräte Daten austauschen können, müssen sich die Geräte innerhalb einer Distanz von 10 Zentimetern befinden. Deshalb gilt die Technologie als besonders sicher, weil wegen der geringen Entfernung kaum Daten abgefangen werden können.

        NFC bei der Online-Identifikation

        NFC kommt aber auch bei der Identitätsverifizierung zum Einsatz. Viele Ausweise wie zum Beispiel der Schweizer Reisepass enthalten einen NFC-Chip, in welchem Angaben zur Person und biometrische Daten wie Foto und Fingerabdrücke gespeichert sind. Nicht hoheitliche Nutzer können jedoch nur diejenigen Daten auslesen, welche auf dem Identitätsdokument aufgedruckt sind, da biometrische Daten durch Sicherheitsmechanismen geschützt sind. Identitätsverifizierung mit NFC-Technologie ist äusserst sicher, da einerseits die auf dem Chip gespeicherten Daten praktisch nicht fälschbar sind und andererseits das Auslesen garantiert fehlerfrei ist.

        Beim digitalen Onboarding können die Daten, welche auf dem NFC-Chip von Ausweisdokumenten gespeichert sind, ausgelesen werden. Dadurch entfällt die bis anhin nötige Banküberweisung von Kunden zur Identifikation.

        NFC erleichtert digitales Onboarding

        Smartphones, welche über einen NFC-Reader verfügen, und Identitätsdokumente mit einem NFC-Chip sind das eine. Doch relevant ist das Thema beim digitalen Onboarding erst, seit die Eidgenössische Finanzmarktaufsicht FINMA vor einem Jahr die Sorgfaltspflichten bei der Aufnahme von Geschäftsbeziehungen angepasst hat*. So ist seit dem 1. Juni 2021 als Sicherheitsmassnahme bei der Online-Identifizierung neu das Auslesen des Chips von biometrischen Ausweispapieren erlaubt. Gleichzeitig entfällt die bis anhin notwendige Banküberweisung des Kunden oder der Kundin, wenn die Identifizierung mittels NFC-Chip erfolgt.

        Die gesetzlichen Anpassungen waren für fidentity ausschlaggebend, die NFC-Lesefunktionalität in den Verifikationsprozess zu integrieren. Damit können sich Kunden beim Onboarding mit einem elektronischen Reisepass oder einem anderen mit NFC-Technologie ausgestatteten Identitätsdokument ausweisen.

        *Aktualisierung FINMA Rundschreiben 2016/07 vom 6. Mai 2021

        Digitales Onboarding mit NFC ist für Sie und Ihre Kunden …

        … noch einfacher: Werden die Daten zur Identitätsverifizierung mittels NFC-Chip ausgelesen, entfällt die bis anhin notwendige Banküberweisung der Kundin oder des Kunden beim digitalen Onboarding.

        … noch schneller: Die Daten werden kontaktlos ausgelesen. Der Verifikationsprozess wird dadurch noch schneller.

        … noch sicherer: Daten, welche auf dem NFC-Chip gespeichert sind, sind praktisch unmöglich zu fälschen. Ausserdem ist das Auslesen der Daten garantiert fehlerfrei.

        Testen Sie unser neues NFC-Modul

        Das NFC-Software-Modul befindet sich aktuell im Testmodus.

        Für einen erfolgreichen Test:

        • das Modul«ID verification» und «NFC-Reader» auswählen,
        • einen CH-Pass zur Identifikation bereithalten.

        Sie testen unser NFC-Modul mit einem iPhone? Bitte benutzen Sie den Browser «Safari» im normalen Modus (nicht «Private Modus»).

        Möchten Sie mehr über unser NFC-Modul erfahren? Bitte nehmen Sie mit uns Kontakt auf.

        Nehmen Sie mit uns Kontakt auf

        Sie möchten mehr über fidentity und den Einsatz in Ihrem Unternehmen erfahren? Rufen Sie uns an.

        Oder füllen Sie das untenstehende Formular aus. Wir melden uns bei Ihnen.

          Sie möchten sich mit unserem CEO online treffen?

          fidentity thorsten hau

          Thorsten Hau, CEO and Gründer

          Termin buchen

          Sind digitale Unterschriften in der Schweiz rechtsgültig?

          Früher war die Welt einfach.
          Verträge wurden per Handschlag abgeschlossen. Oder auf Papier abgefasst und von Hand unterschrieben.

          Unsere heutige, digitale Welt ist viel komplexer.
          Wir tun regelmässig Dinge, über deren Rechtsfolgen wir uns keine Gedanken machen. Heute kann es passieren, dass ein Milliarden-Geschäft trotz digital unterzeichneter Verträge wegen eines Formfehlers nichtig ist – wie der geplatzte Deal von Stadler Rail im September 2021 zeigt.

          • Wir gehen Verträge ein, wenn wir im Internet einen Button klicken.
          • Wir nutzen eingescannte Unterschriften, als ob es sich um Originale handeln würde.
          • Wir nutzen digitale Signaturen von Cloud Anbietern.

          Daher stellt sich die Frage: Was gilt eigentlich, wenn es ernst wird – wenn wir eine Vereinbarung rechtssicher für alle Parteien abschliessen wollen? Wann gehe ich einen Vertrag ein? Wer muss beweisen, dass der Vertrag zustande gekommen ist? Welche rechtlichen Rahmenbedingungen gelten?

          Im Folgenden analysieren wir diese Fragen in Bezug auf den digitalen Abschluss von privatrechtlichen Verträgen, wie sie im Geschäftsverkehr typischerweise vorkommen.

          Technische Umsetzung

          Für die rechtliche Durchsetzbarkeit von vertraglichen Vereinbarungen sind drei Aspekte zentral:

          1. Vertragsinhalt: Was wurde vereinbart?
          2. Willensäusserung: Wurden übereinstimmende Willensäusserungen abgegeben?
          3. Identität: Wer sind die Parteien der Vereinbarung?

          Erst wenn diese drei Aspekte klar sind, wenn also ein Vertrag zustande gekommen ist, kann man über Rechte und Pflichten aus der Vereinbarung diskutieren.

          Im Folgenden erklären wir die technische Umsetzung dieser drei Aspekte, da sich aus ihnen wesentliche Schlussfolgerungen ergeben.

          Vertragsinhalt unveränderbar machen

          In der physischen Welt ist dies klar: Wir fassen den Vertrag schriftlich ab, und das Papier ist relativ unveränderbar. Bei digitalen Verträgen, die z. B. in Form einer PDF-Datei vorliegen, ist die Sache komplizierter. PDF-Dateien können repliziert und verändert werden.

          Damit der Inhalt einer PDF Datei unveränderbar wird, wird der Datei eine Prüfsumme zugewiesen.  Eine Veränderung am Dokument gibt in jedem Fall eine veränderte Prüfsumme. Wenn ich zwei Dokumente mit gleicher Prüfsumme habe, kann ich sicher sein, dass sie inhaltlich absolut identisch sind. Die Prüfsumme verhindert somit, dass der Vertragsinhalt im Nachgang verändert wird.

          Willensäusserung nachvollziehbar machen

          Mündlich oder schriftlich, Handschlag oder Unterschrift. Beides ist als Willensbekundung möglich, aber bezüglich Beweisbarkeit hat die Unterschrift deutliche Vorteile. Elektronisch wird es nun kompliziert. Um zu unterschreiben, nehmen beide Parteien die oben erzeugte Prüfsumme und signieren diese. Das bedeutet, dass sie diese verschlüsseln. Hierbei gibt es zwei Schlüssel, einen geheimen und einen öffentlichen. Mit dem öffentlichen Schlüssel kann ich prüfen, ob die Verschlüsselung mit dem geheimen Schlüssel erfolgt ist.

          Das heisst, wenn ich eine Prüfsumme habe, die zu meinem Dokument und zum öffentlichen Schlüssel der Gegenpartei passt, kann ich beweisen, dass die Partei mit ihrem privaten Schlüssel das Dokument signiert hat.

          Dies ist technisch komplex, aber findet täglich millionenfach statt. Auf den beschriebenen Technologien basiert das gesamte Internet.[1]

          Das digitale Signieren eines Dokuments läuft nun wie folgt ab:

          • Dokument erzeugen
          • Prüfsumme berechnen
          • Prüfsumme durch Parteien signieren lassen
          • Signierte Prüfsummen ins Dokument einfügen

          Fertig: Ich kann beweisen, dass die Eigentümer der privaten Schlüssel den Vertragsinhalt kannten und signiert haben. Jetzt nutzen wir das aus der Kryptographie entlehnte «signieren», und wir haben eine elektronische einfache Signatur.

          Rein technisch ist dieses Verfahren absolut «sicher». Mit heutiger Technologie brauche ich für einen Betrugsversuch unendlich lange.[2]

          Noch zur Klarstellung: Alle ins Dokument eingefügten optischen Merkmale wie Bilder von Unterschriften, Logos, Stempel etc. sind völlig irrelevant und dienen lediglich dazu, den Benutzer zu erfreuen. Technisch und rechtlich sind diese Elemente bedeutungslos.

          Identität

          Leider beweist eine einfache digitale Signatur noch gar nichts. So kann ich locker abstreiten, dass ich einen privaten Schlüssel besessen habe. Damit habe ich zwar einen Vertrag mit einem gesicherten Inhalt. Aber ich kann nicht beweisen, wer die andere Partei ist.

          Hier kommt nun die gesetzliche Regulierung ins Spiel. Sie legt fest, wie die Identität der Parteien festgestellt und mit den Signaturen verknüpft werden muss. Drei Niveaus können unterschieden werden:

          • Einfach: Keinerlei Vorgaben. Alles ist erlaubt. Niedrige Sicherheit.
          • Fortgeschritten: Sicherheit der Nachweisbarkeit der Verknüpfung zwischen den drei Faktoren muss «substanziell» sein.
          • Qualifiziert: «Hohe» Sicherheit, dass die Verknüpfung korrekt ist.

          Je nach Rechtsraum variieren die Anforderungen.

          Verfügbare Umsetzungen in der Schweiz

          Einfache Signatur

          Im Markt sind verschiedene Umsetzungen mit dem Niveau «einfache Signatur» verfügbar. Allen voran ist Docusign ein bekannter Vertreter. Hierbei erhält man einen Link, der das Dokument anzeigt und das Signieren ermöglicht. Der Anwender tippt oder malt hierzu seinen Namen und dieser wird als Bild ins Dokument eingefügt. Im Hintergrund wird der oben beschriebene Prozess durchlaufen und eine signierte Prüfsumme wird ins Dokument eingefügt.

          Wenn wir diesen Vorgang analysieren, haben wir folgende Komponenten:

          • Für den Vertragsinhalt wird eine Prüfsumme berechnet.
          • Die Willensäusserung erfolgt als Klick bzw. mit dem Tippen des Namens.
          • Die Identität ist ungeprüft. Es gibt nur eine Verknüpfung über den individuellen Link, der vom Absender an die E-Mail des Empfängers gesendet wurde.

          Wenn wir etwas tiefer graben, finden wir noch heraus, dass das Signieren der Prüfsumme durch DocuSign erfolgt ist und nicht durch einen geheimen Schlüssel, der nur dem Besitzer der E-Mail-Adresse bekannt ist.

          Zusammenfassend kann man mit einer einfachen DocuSign Signatur also nur sicherstellen, dass die Firma DocuSign den Inhalt des Dokuments kannte.

          Mit dem Linkversand via E-Mail entsteht im günstigsten Fall ein sehr schwacher Link zwischen Person und Aktivitäten auf der Docusign-Plattform. Die Beweiskraft dürfte gegen null tendieren.

          Fortgeschrittene Signatur (FES)

          Diverse Anbieter ermöglichen fortgeschrittene elektronische Signaturen (FES). Diese unterliegen in der Schweiz einer Regulierung (ZertES), was die Erhebung und Verknüpfung der Faktoren angeht. Im Rahmen der freien Beweiswürdigung (Art. 157 ZPO) werden Gerichte fortgeschrittenen elektronischen Signaturen eine erhöhte Beweiskraft beimessen. Um die geforderte Sicherheit zu erreichen, haben sich die Anbieter vor allem bei der Identifikation diverse Methoden einfallen lassen, um eine substanzielle Sicherheit bezüglich der Identifikation zu erreichen. Ein kleiner Boom findet bei firmeninternen Prozessen statt. Über die Kombination aus Firmen-Mailadresse und der Sicherheit bezüglich Identität der Mitarbeitenden lässt sich ein solides Verfahren konstruieren, das für viele Geschäftsvorfälle ausreicht.

          Eine Spezialität in der Schweiz bietet Swisscom mit der Argumentation, dass die Identifikation bei der Abgabe einer SIM Karte gesetzlich vorgeschrieben ist und somit ein substanzielles Sicherheitsniveau erreicht wird. So kann ein Anwender mittels SMS Code eine Signatur auslösen. Potenziell problematisch hierbei ist, dass die Verknüpfung zwischen Vertragspartner und dessen Mobilnummer hergestellt werden muss, was nicht immer als gegeben betrachtet werden kann. Ebenfalls fraglich ist, ob es im entscheidenden Moment möglich ist, die Nachweise über die Identität des Nummerninhabers zu beschaffen.

          Die fortgeschrittene Signatur in Kombination mit einer angemessenen Identifikations­methode kann für viele Verträge ein adäquater Kompromiss sein. Es sollte vor der Verwendung der fortgeschrittenen elektronischen Signatur aber abgeklärt werden, ob der entsprechende Vertrag bzw. Vertragstyp der Schriftlichkeit bedarf (Schriftformerfordernis; gesetzlich vorgeschriebene Form). Bei den meisten Vertragstypen ist das von Gesetzes wegen nicht der Fall (z. B. Arbeitsvertrag, Auftrag). Gesetzliche Normen, die eine eigenhändige Unterschrift verlangen, finden sich im Konsumentenverkehr (B2C), z. B. im Mietrecht oder beim Konsumkredit. Auch Forderungsabtretungen (Zessionen) und gewisse gesellschaftsrechtliche Vorgänge bedürfen der Schriftform. Zudem können Formvorschriften in den Verträgen selbst geregelt sein (sog. vertragliche Schriftformvorbehalte), was bei schriftlichen Verträgen häufig der Fall ist.

          Mit einer FES entsteht bei diesen Fällen eine Formungültigkeit. Der Vertrag ist nicht zustande gekommen und erzeugt keine Rechtswirkung.

          Qualifizierte elektronische Signatur (QES)

          Die Qualifizierte elektronische Signatur (QES) ist das Pendant zur handschriftlichen Unterschrift. Sie bietet bezüglich Formvorschriften Rechtssicherheit, denn sie ist explizit «der eigenhändigen Unterschrift gleichgestellt»[3] und erfüllt alle gesetzlichen Formerfordernisse. Wer mit einer QES unterzeichnet, muss sich keine Sorgen machen, dass ein Vertrag mangels Formerfordernis nicht zustande gekommen ist.

          Die Einhaltung der Formvorschriften sagt noch nichts über die Beweiskraft des Dokuments aus. Weder die ZPO noch das ZertES enthalten besondere Beweisvorschriften hinsichtlich der Beweiskraft elektronischer Signaturen. Wird die Echtheit des Dokuments oder die Unterzeichnung bestritten, ist nach den allgemeinen Grundsätzen der Beweiswürdigung und der Lehre jedoch davon auszugehen, dass der qualifizierten elektronischen Signatur eine höhere (wenn nicht sogar volle) Beweiskraft zukommt. Mit dem Validator Service der Bundesverwaltung kann geprüft werden, ob ein Dokument eine qualifizierte elektronische Signatur trägt (einer der eigenhändigen Unterschrift gleichgestellte) und wann das Dokument signiert wurde (qualifizierter Zeitstempel).

          Um diese hohe Sicherheit zu erreichen, macht der Gesetzgeber aber umfangreiche Vorgaben (ZertES; VZertES):

          • Das Signieren der Prüfsummen muss mit Zertifikaten von in der Schweiz anerkannten Anbieterinnen erfolgen.[4] Die Zertifikate zahlreicher ausländischer Anbieter (z.B. Adobe Sign, DocuSign) sind in der Schweiz in der Regel nicht rechtsgültig.[5]
          • Wer mit QES signieren will, muss sich ausserdem vorab bei einer geprüften Registrierungsstelle persönlich identifizieren lassen und bekommt sichere Zugangsmittel ausgehändigt, mit denen er in Zukunft eine Signatur freigeben (also signieren) kann.

          Für Finanzintermediäre (z. B. Banken) besteht eine Ausnahme bei der Identifikation: Mittels Video-Identifikation wird das Ausstellen einer QES auch online ermöglicht. Hierbei wird rechtlich argumentiert, dass die Identifikation via Video Chat «unter Anwesenden» stattfindet. Allerdings wird eingeschränkt, dass die Signatur nur zwischen den Parteien gültig ist. Eine Wiederverwendbarkeit in anderen Geschäftsbeziehungen ist ausgeschlossen.

          Bei typischen Umsetzungen durchläuft der Anwender ein Video-Interview und gibt mittels SMS-Code die Unterschrift frei. So lassen sich auf Distanz Verträge mit grosser Beweiskraft abschliessen. Der Nachteil gegenüber den einfachen Methoden ist, dass die Identifikation und die Signatur teuer sind (~20 CHF) und dass für typische online Anwendungsfälle die Hürde gross ist. Nutzer benötigen 10 bis 15 Minuten für den Prozess.

          So attraktiv die Vorteile der QES sind, so gering ist heute leider ihre Verbreitung. Ein verschwindend kleiner Anteil der Bevölkerung verfügt über eine Möglichkeit, dauerhaft qualifiziert zu signieren. Die ad-hoc Methode via Video-Identifikation ist Finanzintermediären vorbehalten und zudem aufwändig und teuer.

          Zusammenfassung

          Zusammengefasst ist der Status Quo wie folgt:

          • DocuSign und ähnliche Verfahren haben höchstens zeremoniellen Wert.
          • Qualifizierte Verfahren (QES) sind rechtlich belastbar, aber für Anwender aufwändig und teuer.
          • Fortgeschrittene Verfahren (FES) sind ein Kompromiss, bei dem es aber auf die Qualität der Umsetzung und den konkreten Fall ankommt. Sie sind nicht für alle Vertragsarten einsetzbar.

          Die optimale Lösung, die – ähnlich einer handschriftlichen Unterschrift – für alle Vertragsarten einfach nutzbar ist, existiert noch nicht. Die Digitalisierung funktioniert immer nur Anwendungsfall-spezifisch unter Abwägung von Kosten und Nutzen sowie der rechtlichen Vorgaben.

          Ausblick

          Das zentrale Problem für die Beweiskraft digitaler Signaturen ist die Verknüpfung mit einer natürlichen Person. Die physische Registrierung und der Video-Prozess sind mühsam und teuer und eine Vorab-Registrierung hat sich nur für wenige Personen als sinnvoll erwiesen.

          Allerdings zeichnet sich ein Silberstreifen am Horizont ab. Auf künstlicher Intelligenz (KI oder AI) basierte Identifikationsmethoden bieten «substanzielle», in Kombination mit manuellen Stichproben sogar «hohe», Sicherheit. Diese stark automatisierten Verfahren ermöglichen eine schnellere und angenehmere Nutzung qualifizierter elektronischer Signaturen. Die Regulatoren in der Schweiz und der EU sehen dies scheinbar ähnlich. Es besteht begründete Hoffnung, dass in absehbarer Zeit die Rechtssicherheit qualifizierter Signaturen mit einem anwenderfreundlichen Prozess kombinierbar ist.

          Die Entwicklung bleibt dynamisch und wir hoffen, 2022 deutliche Fortschritte zu sehen.

           

          Autoren:

          Dr. Martin Eckert (Partner MME) linkedin

          Dr. Thorsten Hau (CEO fidentity) linkedin

           

          Fussnoten:

          [1] Z. B. das Internetprotokoll HTTPS, das beim Surfen im Internet genutzt wird. Hier wird auch der Inhalt verschlüsselt und signiert, die Methoden sind exakt die gleichen.

          [2] Ein Angriff benötigt 10 hoch 64 Jahre an Rechenzeit. Zum Vergleich: Das Universum existiert erst seit 10 hoch 10 Jahren.

          [3] https://www.fedlex.admin.ch/eli/cc/27/317_321_377/de#art_14

          [4] Derzeit sind folgende vier Anbieterinnen anerkannt: Swisscom (Schweiz) AG, QuoVadis Trustlink Schweiz AG, SwissSign AG und das Bundesamt für Informatik und Telekommunikation.

          [5] Nur wenn die ausländischen Anbieter Zertifikate von in der Schweiz anerkannten Anbieterinnen in ihre Produkte integrieren, können die entsprechenden Produkte eventuell die Anforderungen an eine QES unter Schweizer Recht erfüllen.

          fidentity mit erfolgreicher Finanzierungsrunde bereit für weiteres Wachstum

          Pressemitteilung

          fidentity vereinfacht die automatisierte Online-Identifikation (KYC) via Ausweisdokument und Liveness-Check. Mit fidentity ist GWG-konformes Onboarding vollständig automatisiert und immer verfügbar. Banken und regulierte Finanzdienstleister verlassen sich auf fidentity, um ihre GWG-Risiken zu managen und ihren Kunden trotzdem eine Online Erfahrung zu bieten, die sich hinter keiner Neo-Bank verstecken muss. Mit dem frischen Kapital wird fidentity ihre Produktführerschaft ausbauen und in weiteres Wachstum in der Schweiz und in Europa investieren.

          Die Finanzierungsrunde wurde mit Spicehaus Swiss Venture Fund als Lead-Investor und mehreren erfahrenen Angel-Investoren durchgeführt.

          «Wir freuen uns, mit dieser Finanzierungsrunde einen wichtigen Meilenstein für fidentity erreicht zu haben. Unser Ziel ist es, unsere Lösung noch bekannter zu machen und zu zeigen, dass sich Compliance und eine exzellente User Experience nicht ausschließen. Mit Spicehaus haben wir einen Partner mit viel Erfahrung in unserem Zielmarkt gewonnen! », sagt Thorsten Hau, CEO von fidentity. «fidentity verbindet auf faszinierende Weise Compliance und Technologie zu einer äußerst kundenfreundlichen Lösung. Wir freuen uns sehr, fidentity zu unterstützen.» ergänzt Heidi Kunz, Investment Managerin bei Spicehaus Partners AG.

          Fokus auf Wachstum in der Schweiz und in Europa

          Das Potenzial in der Schweiz für zeitgemässes KYC ist weiterhin gross und die Entwicklung verläuft dynamisch. Die etablierte Finanzdienstleister digitalisieren ihre Geschäftsprozesse weiter mit grossem Tempo.

          Für 2022 plant fidentity die Expansion nach Europa. In einem ersten Schritt stehen dabei die an die Schweiz angrenzenden Länder im Fokus. Thorsten Hau: «Unsere Lösung hat sich in der Schweiz tausendfach bewährt und wir freuen uns, bald auch in Europa präsent zu sein.».

          Über fidentity

          fidentity wurde 2016 in Bern gegründet und ist seit Anfang 2017 im Schweizer Markt aktiv. Das Fintech-Unternehmen bietet Finanzdienstleistern eine Web Lösung zur finma-konformen Online-Identifikation natürlicher Personen. Durch modernste Technologie, die komplett selbst in der Schweiz entwickelt wird, löst fidentity das Spannungsverhältnis zwischen Einfachheit für den Endkunden, regulatorischer Sicherheit und Flexibilität bei der Integration auf. Das starke Wachstum im vergangenen Geschäftsjahr zeigt deutlich, dass eine reibungslose Identifikation ein wesentlicher Baustein im Technologie Portfolio der Finanzdienstleister ist.

          Über Spicehaus

          Spicehaus Partners AG ist ein Schweizer Venture-Capital-Investor. Hinter Spicehaus stehen die beiden Gründer Teddy Amberg und Daniel Andres. Zusammen verfügen sie über mehr als 25 Jahre Erfahrung im institutionellen Geschäft (Partners Group, BNP Paribas). Zudem haben sie als Unternehmer selbst Firmen gegründet und mitaufgebaut. Teddy Amberg hat das Schweizer Fintech-Startup CreditGate24, die heute grösste Schweizer Peer-to-Peer-Lending Plattform, mitaufgebaut. Daniel Andres hat das Handelsunternehmen dakuro mitgegründet. Bisher haben die beiden Partner in 20 Startups investiert und waren an einigen der grössten Schweizer Exits beteiligt: MOVU (gekauft von Baloise) und Bexio (gekauft von Mobiliar). Spicehaus Partners AG agiert als Investment Advisor für den Spicehaus Swiss Venture Fund. Der Fonds investiert in Schweizer Startups, die die Digitalisierung vorantreiben.

          App installs are blindingly expensive

          Management summary
          Users are easily lost during onboarding if they are required to invest a lot of effort into an untested value proposition. Small steps that align effort and perceived value are state of the art.
          Native app users are the most valuable customers but they are also the most expensive in terms of acquisition cost. A sound customer acquisition strategy focuses on value and cost and optimizes for life time profitability.

          Cost of app installs

          Native app users have the best metrics in terms of customer engagement and retention. But assuming that you get the lowest acquisition cost from forcing customers into your native app very early in their life cycle is the wrong conclusion.
          Your customers typically engage with you for the first time somewhere on the web. They see an advertisement or a google search leads them to your offering. From here, it is your task to convert as many visitors to paying customers as possible. The way to track this is your cost per acquired customer or simply your spending on advertising per new customer. You will learn that a new customers costs you anywhere from CHF 500 to CHF 2000 in paid advertising. With a strong brand you will pay less because you get people to look for you, which is „free“ (i.e. you don’t have to pay google to be found).
          Next, you look at each step it takes a user to become your customer. Where you lose a lot of leads, you optimize.
          If you do this thoroughly, you will find out that the app stores are a black hole. You send well qualified traffic to the app download and there you lose 90% of your traffic because consumers shy away from the cognitive load of downloading and installing and then finding the app on their device. There are just too many distractions available during all the steps they have to take.
          The cost for traffic and the mediocre conversion work together to make it „blindingly expensive to drive native app installs.“
          fidentity is here to help you with the problem of losing customers during app install. With fidentity you can perform mandatory compliance steps right in the web browser, which creates a much leaner conversion funnel for the user with no distractions. Our customers have told us that conversion has doubled with a switch to our web based KYC service. Think about the math for a moment: You can literally cut your acquisition cost in half.
          And what good is it, if I have less committed leads and lose them later, after KYC? Very simple: If your onboarding journey is a journey of small steps instead of steep cliffs, you will lose fewer customers and thus your overall funnel will be more efficient. Your customer acquisition cost will go down.

          about fidentity

          fidentity provides software for compliant digital customer identification according to finma rules. The user just takes a selfie and scans their ID document. This can take place on any cell phone in the standard browser without app. Using artificial intelligence (AI), fidentity checks the authenticity of the documents and extracts all data. The identification is completed in real time and all relevant documentation is provided to the financial intermediary in real time. fidentity is audited according to the ISAE300 standard.
           
          fidentity – simple, secure, flexible

          Revision of finma circular 2016/7 with little practical relevance

          Managment summary

          finma now permits a way to perform digital identification without video or bank transfer. The chosen technology (reading an NFC chip) is technically sound but of limited practical relevance since it is limited to passports.

          Background

          finma just released a draft update of the current circular on online and video identification. In the circular, finma lays out the procedures that have to be followed to identify a natural person in compliance with the Swiss anti money laundering act. The current draft amends the aspect of the circular concerned with online identification, i.e. the identification process without a video interview. In the current circular, online identification must be combined with a bank transfer. Only then, is an online identification sufficient to open a new bank account (i.e. the person is considered to be fully identified). According to the draft, it is now possible to replace the bank transfer with the scan of an RFID chip of a compliant government issued document. 

          Analysis

          From a technical standpoint this is a very sound approach, since RFID chips on most current passports (not all) are as secure as the chip on a payment card. It is possible to verify that the chip was issued by a government and that the information on it has not been changed. This verification is cryptographically sound, i.e. there is no reasonable way to fake the chip or the data on it. On the downside, there are several practical hurdles to using this technology for onboarding purposes:

          1. Swiss ID cards don’t have a chip. Passports do, but in our experience, they are used in around 1% of the onboarding cases.
          2. To read the data from the chip, reading the machine readable zone (MRZ) of the document beforehand is necessary because the password to access the chip is encoded in the MRZ. So there is always an additional step for the user.
          3. National ID cards of other countries are less standardized than travel passports. For example, German ID cards (the „Perso“), which are as widely used as the Swiss ID cards, require an additional key to access the data which is in the visual zone of the document.
          4. Reading the chip data is only possible with a native app on the device, requiring the user to install an app.
          5. As of today, signature law has not been updated and therefore qualified signatures (required for consumer credit cases) are still not possible.

          Almost as an aside, the notes which accompany the draft contain another important clarification: Declarations of beneficial ownership do not require a hand written signature. In digital terms this means that there is no requirement for a qualified signature (which in turn would have required video ident or personal presence per current law). This is relevant in so far, as it opens up many transactions to video-free identification procedures, especially in the b2b domain, where beneficial ownership is often a crucial point to be established. 

          Outlook

          In summary, the update is of limited immediate relevance for identification and onboarding scenarios in the financial services industry. However, looking into the future, there is considerable potential in this approach:

          1. Mid- to long-term, the Swiss ID card will get an NFC chip (not yet in 2021 but probably some time before 2025) and with 10% yearly renewal rate, every Swiss citizen should have an NFC-capable document in their wallet by 2035.
          2. With a change in the digital signature legislation, allowing qualified signatures in combination NFC would make video obsolete and could make digital signatures much more usable.
          3. Moving from probabilistic to (almost) deterministic security features is a paradigm shift with substantial long term impact on the digital identification landscape.

           Links: finma information on the draft

          about fidentity

          fidentity provides software for compliant digital customer identification according to finma rules. The user just takes a selfie and scans their ID document. This can take place on any cell phone in the standard browser without app. Using artificial intelligence (AI), fidentity checks the authenticity of the documents and extracts all data. The identification is completed in real time and all relevant documentation is provided to the financial intermediary in real time.
          fidentity is audited according to the ISAE300 standard.

          fidentity – Compliant Onboarding – Fast and Convenient

           

          No installation needed

          Integrate fidentity seamlessly into your existing business process

          fidentity offers an interface to retrieve customer data instantly – as JSON file or prepared in a PDF. Furthermore the scan is analyzed by our artificial intelligence engine and the resulting metrics are immediately available

          Get in touch to learn more or try fidentity yourself

          Give feedback to your customer

          Do not let the customer lose time unnecessarily with your service – otherwise you will lose the customer

          The usability of the fidentity service is constantly being improved by UX experts. Nevertheless, it sometimes happens that the customer does not use the service according to the rules.

          fidentity notifies the customer immediately in case of obvious errors and thus protects the customer from unnecessary loss of time.

          Get in touch to learn more or try fidentity yourself