Skip to main content

Vahva sähköinen tunnistaminen ja tunnistautuminen

Mitä vahva sähköinen tunnistautuminen tarkoittaa ja mitä tapahtui Tupas-tunnistamiselle? Vastaukset näihin ja moneen muuhun kysymykseen löydät oppaastamme.

Opas sähköiseen tunnistamiseen

Vahva sähköinen tunnistaminen on osa arkea Suomessa, ja ilman sitä ei verkkopankki- tai vaikkapa viranomaisasiointi verkossa onnistuisi. Sen lisäksi, että joillakin toimialoilla vahva tunnistaminen on lakisääteinen vaatimus, kasvava joukko muita aloja on alkanut hyödyntää sitä asiointi- ja palvelukanavissa etenkin sen jälkeen kun tunnistamisen on voinut ostaa helposti palveluna. Kerromme tässä oppaassa vahvan sähköisen tunnistamisen kehittymisestä Suomessa, Tupas-tunnistamisen korvaamisesta Luottamusverkostolla ja annamme esimerkkejä erilaisista tilanteista, joissa voi vahvaa sähköistä tunnistautumista voi hyödyntää liiketoiminnassa.

1. Mitä on vahva sähköinen tunnistautuminen?

Vahva sähköinen tunnistaminen on luotettavaa asiakkaan henkilöllisyyden todentamista sähköisessä asioinnissa hyödyntäen tunnistusvälineitä ja -palveluja, jotka täyttävät vahvan tunnistautumisen määritelmän. Suomessa valtaosa vahvasta sähköisestä tunnistamisesta tapahtuu pankkien myöntämien verkkopankkitunnusten ja teleyritysten mobiilivarmenteiden avulla. Näiden lisäksi vahvaan sähköiseen tunnistamiseen voidaan käyttää Digi- ja väestötietoviraston kansalaisvarmennetta, mutta tämän käyttö on melko harvinaista.

Vahvaa tunnistamista – tunnistamispalveluja, samoin kuin näiden palvelujen tarjoamista - on säädelty lailla, ja sitä valvoo Liikenne- ja viestintävirasto Traficom. Koska vahvan tunnistamisen luotettavuus on korkea, sitä voidaan hyödyntää myös tilanteissa, joissa on vaatimuksena asiakkaan henkilöllisyyden varmentaminen. Näin etenkin pankki- tai terveyspalvelujen kohdalla.

Vahvan tunnistamisen suosio on kasvanut viime vuosina myös muilla aloilla, sillä se lisää sähköisen asioinnin tietoturvaa, ja korvaa etenkin henkilötunnukseen perustuvan ja salasana- tai kertakäyttösalasanan perusteella tapahtuvan käyttäjän tunnistautumisen. Henkilötunnukseen, salasanoihin ja kertakäyttösalasanoihin perustuva käyttäjän tunnistaminen ei ole vahvaa sähköistä tunnistamista.

2. Kuinka sähköinen tunnistaminen ja TUPAS kehittyi Suomessa?

Tultaessa 1990-luvun lopulle, kuluttajat olivat tottuneet itsepalveluun pankkipalveluissa käyttäen puhelinta ja pankkiautomaatteja. Vuonna 1996 OP-ryhmä otti ensimmäisenä eurooppalaisena pankkina käyttöön verkkopankkipalvelun ja Merita Solo seurasi perässä vuonna 1997. Pankkien luotettavuus oli säilynyt suomalaisten keskuudessa vahvana 1990-luvun alun pankkikriisistä huolimatta. Pankkien toimipisteiden ja työntekijöiden määrä oli puolittunut. Solo oli vuonna 2001 Suomen arvostetuin verkkobrändi.

Tätä taustaa vasten oli helppo ymmärtää, että pankit toivat yhteistyössä markkinoille Tupas-tunnistautumisen vuonna 2002. Pitkältä nimeltään Tunnistuspalvelu Standardi suunniteltiin jo alun perin muutakin kuin verkkopankkien itsepalvelukäyttöä varten. Pankkien välinen yhteistyö näkyi myös sähköisen laskutuksen standardoinnissa, kun XML-muotoinen Finvoice 1.0 julkaistiin vuonna 2003.

Myös verkkokaupan kasvun tavoittelussa hyödynnettiin pankkien luotettavuutta ja yhteistyötä. Suoraan tililtä maksettavaa verkko-ostosta varten määriteltiin maksunapit, jolla kerrottiin kuluttajille, että maksunappeja tarjoava verkkokauppa on luotettava, koska sillä on suomalaisessa pankissa tilit ja pankit ovat sen kanssa yhteistyössä.

Aluksi Tupas-yhteistyötä koordinoi Suomen Pankkiyhdistys. Myöhemmin hallinta siirtyi Finanssialan Keskusliitolle, joka muutti nimensä Finanssialaksi 2017 – samana vuonna, jolloin tunnistuslaissa määriteltiin Luottamusverkosto ja sitä valvovaksi viranomaiseksi Viestintävirasto, joka nykyisin tunnetaan Liikenne- ja viestintävirasto Traficomina.

Tätä ennen Suomessa oli julkistettu sirullinen sähköinen henkilökortti eli ns. varmennekortti, joka otettiin käyttöön 1990-luvun lopussa pääosin julkisen sektorin organisaatioissa. Varmennekortti ja Tupas olivat kilpailevia tunnisteita 2000-luvun alussa. Vuonna 2002 Vantaan kaupunki otti Tupas-tunnistuksen käyttöön verkkosivuillaan ensimmäisenä asiointipalveluna Suomessa. Vuonna 2003 Valtiovarainministeriö antoi julkiselle sektorille virallisen suosituksen Tupas-tunnistautumisen käytöstä. Teleoperaattorit toivat vuonna 2003 markkinoille matkapuhelimissa käytettävän mobiilikansalaisvarmenteen.

Kehitystä kuvaa hyvin se, että vuonna 2006 yli 80 % suomalaisista 15–74-vuotiaista oli käyttänyt pankkien verkkopalveluita Tupas-tunnuksilla. Vahvaan sähköiseen tunnistukseen liittyvät vaatimukset määriteltiin tunnistuslaissa vuonna 2009. Nykyinen Mobiilivarmenne otettiin käyttöön 2011, ja se on nykyisin kolmanneksi suosituin tunnistusmetodi OP-ryhmän ja Nordean verkkopankkitunnisteiden jälkeen.

Varmennekortti ei kuitenkaan saavuttanut suosiota, koska sen käyttö oli monimutkaisempaa kuin Tupas-tunnisteiden. Tunnuslukulista ja internet-yhteys riittivät pankkitunnusten käyttöön, kun varmennekorttia varten piti hankkia kortinlukijalaite ja ohjelmisto. Lisäksi kaupalliset asiointipalvelut suosivat alusta lähtien Tupas-tunnistusta. Tupas-tunnistusten määrä kasvoi noin kymmenen vuoden aikana vuoden 2003 nollatasosta noin 32 miljoonaan tapahtumaan vuonna 2012.

3. Mikä on TUPAS-tunnistautuminen?

Suomen Tunnistuslain mukaiseen vahvaan tunnistautumiseen voidaan käyttää joko verkkopankkitunnuksia, teleoperaattoreiden mobiilivarmennetta tai Digi- ja Väestötietoviraston Kansalaisvarmennetta. Tupas-tunnistautuminen ole enää käytössä.

Verkkopankkitunnistautuminen tunnettiin vuoteen 2019 Tupas-tunnistautumisena, joka tulee sanoista ‘Tunnistuspalvelu Standardi' Tupas-protokollan korvasi uudemmat OIDC- ja SAML2 protokollat lokakuussa 2019, mutta kutsumanimi elää vielä joissain yhteyksissä. Kuluttajille protokollan vaihtuminen ei käytännössä näkynyt millään tavalla, sillä kyse oli muutoksesta siihen tapaan, jolla asiointipalvelut ja tunnistuspalvelut ja niiden välittäjät viestivät keskenään.

Nykyään Tupas-tunnistautumisen sijaan puhutaan yleisesti vahvasta tunnistautumisesta.

Suomi eroaa muista Pohjoismaista siten, että Ruotsissa, Norjassa ja Tanskassa vahvan tunnistautumisen välineet, huolimatta siitä mikä pankki välineen on myöntänyt, on koottu yhden brändin alle. Ruotsissa ja Norjassa tämän nimi on BankID, ja Tanskassa NemID. NemID korvataan vuonna 2021 modernimmalla ja entistä turvallisemmalla MitID-tunnistusvälineellä.

4. Mikä on luottamusverkosto eli Finnish Trust Network?

Suomen luottamusverkosto (Finnish Trust Network, FTN) aloitti toimintansa 1.5.2017. Luottamusverkoston toimintaa säätelee tunnistuslaki (Laki vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista). Luottamusverkoston toimijoiden välillä välitetään kansalaisten sähköisiä tunnistustietoja. Nämä tunnistustiedot pohjautuvat Väestörekisterikeskuksen ylläpitämään väestötietojärjestelmään.

Luottamusverkosto muodostuu vahvan sähköisen tunnistamisen palveluntarjoajista, joita ovat verkkopankit verkkopankkitunnisteillaan, mobiilioperaattorit Mobiilivarmenteillaan sekä Digi- ja väestötietovirasto DVV varmenteillaan sekä uusina toimijoina tunnistusvälityksen palveluntarjoajat. Liikenne- ja viestintävirasto Traficom ylläpitää rekisteriä hyväksytyistä palveluntarjoajista, joihin Signicat lukeutuu.

Luottamusverkostoon kuuluminen edellyttää auditointia ja viranomaiset valvovat tarkasti näiden palvelujen toimintaa. Toimijoilla on muun muassa säännöllinen auditointivelvollisuus ja häiriöilmoitusvelvollisuus. Liikenne- ja viestintävirasto kieltää sellaisten palvelujen välittämisen, jotka eivät täytä vahvan sähköisen tunnistamisen vaatimuksia.

5. Mikä on luottamusverkon tunnistuspalveluvälittäjä?

Tunnistusvälityksen palvelujentarjoajat kuten Signicat eivät välttämättä tarjoa omia tunnistusvälineitä, vaan ne välittävät tunnistustapahtumia eri toimijoiden (tunnistusvälineen tarjoajat ja asiointipalvelut) välillä. Asiointipalvelu on verkkopalvelu, jonne asiakas tahtoo tunnistautua, kuten vaikkapa Veikkaus, LähiTapiola tai Svea.

Suomessa on vuoden 2020 lopussa 9 yritystä, joille on myönnetty lupa toimia luottamusverkoston tunnistuspalveluvälittäjänä, joka välittää muiden myöntämiä tunnistusvälineitä (esim. pankkitunnukset ja mobiilivarmenne).

Valtaosa vahvaa sähköistä tunnistautumista asiointikanavissaan hyödyntävista yrityksistä ostaa tunnistautumisen palveluna luottamusverkoston tunnistuspalveluvälittäjältä. Tämä johtuu siitä, että asiointikanavat edellyttävät tällöin integraatiota vain tunnistuspalveluvälittäjän palvelun kanssa, mutta ilman tunnistuspalveluvälittäjää on asiointikanaviin tehtävä integraatio kaikkia tunnistusvälineiden tarjoajia kohtaan erikseen. Käytännössä tämä tarkoittaa sitä, että ilman välittäjää asiointikanaviin on tehtävä yli 10 integraatiota 1 integraation suhteen.

Tunnistuspalveluvälittäjät ovat siis huomattavasti madaltaneet kynnystä ottaa käyttöön vahva sähköinen tunnistautuminen.

6. Kuka voi käyttää vahvaa sähköistä tunnistamista?

Käyttäjien vahva tunnistaminen on vaatimus tietyissä tilanteissa, kuten pankkiasioinnissa. Vahva sähköinen tunnistaminen on kuitenkin helppoa ottaa käyttöön myös muilla aloilla, sillä tunnistamisen voi nykyisin ostaa palveluna. Tämä nopeuttaa vahvan tunnistamisen käyttöönottoa ja helpottaa ylläpitoa.

Vahva tunnistaminen sopii etenkin alla oleviin tilanteisiin:

  • Verkkokaupassa kun maksutavaksi valitaan lasku tai osamaksu. Tällöin henkilötunnuksen voi korvata vahvalla tunnistautumisella, jolloin väärinkäytön riski pienenee murto-osaan.
  • Asiakkaille on tarjolla kirjautumista vaativat sivut, joilla on tietoa asiakassuhteeseen liittyen. Tällöin salasana- tai kertakäyttösalasanan voi korvata pankkitunnuksilla tai mobiilivarmenteella tapahtuvalla tunnistautumisella.
  • Asiakaspalvelussa halutaan pystyä palvelemaan asiakkaita myös arkaluontoisissa asioissa kuten terveystietoihiin liittyen tai tilanteissa, joihin voi riittyä väärinkäytön riski. Tällöin esimerkiksi henkilötunnukseen perustuva asiakkaan tunnistaminen voidaan korvata vahvalla tunnistautumisella.

Palvelukanavissa on mahdollista ostaa palveluita ja halutaan varmistaa, että sopimuksen toinen osapuoli on oikea henkilö. Tällöin asiakas voidaan tunnistaa pankkitunnuksilla tai mobiilivarmenteella, ja lisäksi mahdolliset sopimukset voidaan allekirjoittaa kyseisiä tunnistusvälineitä käyttäen sähköisesti ilman, että sopimuspapereita tarvitsisi tulostaa allekirjoitettavaksi.

7. Milloin vahva tunnistautuminen on vaadittu?

Vahvan sähköisen tunnistamisen ajatuksena on, että luotettava toimija takaa käyttäjän identiteetin aina, kun tunnistamista käytetään. Käytännössä tämä tarkoittaa sitä, että esimeriksi pankki varmentaa asiakkaan henkilöllisyyden passin tai henkilökortin avulla ennen verkkopankkitunnusten eli tunnistusvälineen antamista.

Tällainen luotettava toimija on tunnistusväityspalvelu, joka tarjoaa tunnistuksen palveluna käyttäjien sähköistä tunnistusta tarvitseville tahoille. Vahvaa tunnistautumista vaaditaan eri toimialojen lakivelvotteiden mukaisesti, kuten finanssialan toimijoita sitoo rahanpesulain määräämä asiakkaan tunnistamisen ja henkilöllisyyden todentamisen velvoite.

Vaikka laki ei velvoittaisi todentamaan asiakkaan henkilöllisyyttä, on Signicatinkin asiakaskunnassa kasvava määrä eri toimialojen yrityksiä jotka haluavat parantaa verkkoasioinnin turvallisuutta ottamalla vahva sähköinen tunnistautuminen käyttöön.

Signicat onkin lanseerannut Suomessa Turvallinen tunnistautuminen™ -merkin nostaakseen vahvan sähköisen tunnistamisen profiilia ja lisätäkseen sen tunnettuvuutta kuluttajien sekä yritysten keskuudessa.

Viestintävirasto ja tietosuojavaltuutettu, joka puolestaan valvoo tunnistamislain henkilötietoja koskevien säännösten noudattamista, toimivat valvontatehtävissä yhteistyössä Finanssivalvonnan, Kilpailuviraston ja Kuluttajaviraston kanssa.

8. Mitä hyötyä vahvasta tunnistautumisesta on?

Vahva sähköinen tunnistautuminen mahdollistaa sähköisten palvelukanavien entistä laajemman ja ennen kaikkea turvallisen käytön. Palveluntarjoaja voi tällöin olla varma, että kyseessä on oikea henkilö ja esimerkiksi itsepalvelussa voidaan tarjota laajemmat mahdollisuudet vaikkapa tarkastella ja muuttaa oman asiakkuuden tietoja, solmia uusia sopimuksia ja viestiä palveluntarjoajan kanssa turvallisella tavalla.

Vahva tunnistautuminen on viime vuosina yleistynyt etenkin aloilla, joilla laki ei sitä erityisesti edellytä. Tämä takaa huomattavasti paremman tietoturvan palveluntarjoajalle sekä kasvattaa kuluttajien luottamusta palveluun. Vahva tunnistautuminen voidaan liittää osaksi seuraavan tyyppisiin palveluihin:

  • Omille sivuille kirjautuminen verkkosivuilla
  • Mobiilisovellukseen kirjautuminen
  • Puhelinasiakaspalvelu
  • Chat-asiakaspalvelu

Kun asiakas voidaan luotettavasti tunnistaa eri tilanteissa, mahdollistaa tämä paremman asiakaspalvelun ja madaltaa tietoturvaan liittyviä riskejä. Suomalaiset ovat jo tottuneet käyttämään pankkitunnuksia kirjautuessaan eri palveluihin, joten vahvan sähköisen tunnistamisen käyttäminen ei aiheuta käyttäjille vaivaa, tai vähennä halukkuutta palvelun käyttöön. Kuluttajien tietoisuus vahvasta tunnistautumisesta on lisääntynyt voimakkaasti vuoden 2020 aikana, ja entistä useampi palveluntarjoaja kokee luonnollisena käyttää vahvaa tunnistautumista osana asiointi- ja palvelukanavia.

9. Vahva tunnistautuminen yrityksille - Miten vahvan tunnistautumisen saa käyttöön?

Vahvan tunnistautumisen saa käyttöönsä Traficomin toimiluvalla toimivalta tunnistusvälityspalvelulta. Tunnistusvälityspalvelu ylläpitää rajapintoja pankkeihin ja mobiilivarmenteeseen, joten asiointipalvelun tulee tehdä vain yksi integraatio.

Palvelun käyttöönotossa tarvitaan teknistä osaamista ja monesti siihen käytetään joko talon sisällä olevaa osaamista tai teknistä kumppania. Työ ei ole kuitenkaan suuri, sillä nopeimmat integraatiot on tehty tunneissa. Osaava kehittäjä saa nopeasti käsityksen vaaditusta työn määrästä rajapintakuvauksista.Yleinen käyttöönoton prosessi menee näin:

  1. Kehittäjä testaa rajapintoja ilmaiseksi jaettua demo-ympäristöä vasten
  2. Allekirjoitetaan sopimus tunnistusvälityspalvelun kanssa palvelun toimittamisesta
  3. Tunnistusvälityspalvelu avaa asiakaskohtaiset testi- ja tuotantoympäristöt
  4. Yhdistetään asiakaskohtainen ympäristö asiakkaan palveluun ja siirrytään tuotantokäyttöön
  5. Vahva tunnistautuminen on käytössä ja uusien palveluiden ja käyttökohteiden kehittämistä voi jatkaa omassa testiympäristössä.

10. Mitä vahva tunnistaminen maksaa?

Vahvan tunnistautumisen kustannukset maksaa palveluntarjoaja, ei tunnistautumisvälineitä käyttävä kuluttaja.

Vahvan tunnistautumisen hinnoittelu koostuu yleisesti kahdesta osuudesta: kiinteä kuukausimaksu ja tapahtumakohtainen maksu. Eri palveluntarjoajien hinnoittelua vertaillessa kannattaa hinnan lisäksi huomioida palveluiden saatavuus (sopimuksessa määritelty ja toteutunut), teknisen dokumentaation laatu, käyttöönoton tukipalvelut.

Esimerkki hinnoittelusta: Yrityksellä on asiakasportaali, jonne kirjautumisia on kuukauden aikana 2 000. Palveluun liitetään kaikki suomalaiset pankkien myöntämät tunnistusvälineet (verkkopankkitunnukset) sekä mobiilivarmenteen portaalin kirjautumisvaihtoehdoiksi, jolloin kiinteä kuukausimaksu on 250 euron luokkaa. Kaikkiaan vahva sähköinen tunnistaminen maksaa tällöin kuukausitasolla noin 400-500 euroa.

11. Mitä on turvallinen tunnistautuminen?

Asiakas voidaan tunnistaa sähköisissä palvelukanavissa eri tavoilla. Yleisin tapa tunnistaa asiakas erilaisilla verkkosivuilla on edelleen käyttäjätunnuksen ja salasanan yhdistelmä. Esimerkiksi uutissivustot mahdollistavat usein asiakkaan tunnistamisen sosiaalisen median, kuten Facebookin, tai vaikkapa Googlen käyttäjätunnuksen avulla.

Joissakin tapauksissa erilaisiin asiointikanaviin kirjaudutaan käyttäjätunnuksen, sähköpostin tai puhelinnumeron ja tekstiviestinä tai sähköpostilla lähetettävän kertakäyttöisen salasanan avulla. Viimeksi mainittua tapaa tunnistaa asiakas kutsutaan kaksiosaiseksi tunnistamiseksi, sillä se pitää sisällään sekä käyttäjätunnuksen että salasanan, jonka saaminen edellyttää pääsyä joko käyttäjän sähköpostiin tai puhelimeen.

On myös tilanteita, joissa käytetään edelleen asiakkaan antamaa henkilötunnusta keinona tunnistaa asiakas.

Mikään yllä mainituista tunnistustavoista ei kuitenkaan ole vahvaa tunnistautumista.

Esimerkiksi Digi- ja väestötietovirasto on kuitenkin selkeästi ottanut kantaa, että henkilötunnusta ei koskaan saisi käyttää asiakkaan tunnistamiseen, vaan siihen pitäisi aina käyttää vahvaa sähköistä tunnistamista, joka siis tapahtuu pääasiassa pankkitunnusten tai mobiilivarmenteen avulla.

Turvallinen tunnistautuminen perustuu siis vahvaan sähköiseen tunnistamiseen. Signicat on lanseerannut Turvallinen tunnistautuminen™-merkin viestimään kuluttajille verkkopalveluista, joissa asiakkaan tunnistamiseen käytetään vahvan tunnistautumisen välineitä.