هر سرویسی که آنلاین قرارداد می‌بندد، حساب باز می‌کند یا پول جابه‌جا می‌کند، باید به یک پرسش ساده پاسخ دهد: «از کجا مطمئن شویم این شخص همان کسی است که ادعا می‌کند؟» پاسخِ مدرن به این پرسش، احراز هویت غیرحضوری یا eKYC است.

eKYC یعنی چه؟

KYC مخفف «مشتری خود را بشناس» است؛ سنتاً این کار حضوری و با ارائه‌ی مدرک انجام می‌شد. eKYC همان فرایند است، اما به‌صورت الکترونیکی و از راه دور — بدون نیاز به حضور فیزیکی. هدف، رسیدن به اطمینانِ کافی درباره‌ی هویت، با حداقل اصطکاک برای کاربر است.

لایه‌ی اول: شاهکار (تطابق موبایل و کد ملی)

سامانه شاهکار که توسط سازمان تنظیم مقررات و ارتباطات رادیویی (رگولاتوری) اداره می‌شود، بررسی می‌کند که یک شماره موبایلِ مشخص به یک کد ملیِ مشخص تعلق دارد یا نه. این یک سیگنالِ قوی ضدتقلب است.

اما مهم است بدانیم شاهکار چه چیزی را اثبات نمی‌کند:

  • بیومتریک یا زنده‌بودنِ فرد را بررسی نمی‌کند.

  • تضمین نمی‌کند که «شخصِ پشت گوشی» همان صاحب کد ملی است (مثلاً گوشیِ امانتیِ خودِ صاحب خط هم تطابق می‌دهد).

  • خودش یک مدرک هویتی یا پایگاه اطلاعات شخصی نیست.

پس شاهکار لازم است، اما کافی نیست.

لایه‌ی دوم: ثبت احوال (مشخصات هویتی)

سازمان ثبت احوال، منبعِ حقیقتِ مشخصات هویتی است: نام، نام پدر، وضعیت حیات و مانند آن. استعلام ثبت احوال کمک می‌کند مشخصاتِ اعلام‌شده با داده‌ی رسمی تطبیق داده شود؛ این لایه، فراتر از «این خط مالِ این کد ملی است» می‌رود و خودِ مشخصات را راستی‌آزمایی می‌کند.

لایه‌ی سوم: تطبیق چهره و زنده‌بودن (در موارد حساس)

در کاربردهای پرریسک (مثل افتتاح حساب)، یک لایه‌ی بیومتریک اضافه می‌شود: تطبیق چهره‌ی زنده‌ی کاربر با عکس مدرک، و تشخیص زنده‌بودن برای جلوگیری از جعل با عکس یا ویدیو.

نقش سرویس‌های واسط مثل جیبیت

دسترسی مستقیم به هر منبع رسمی پیچیده است. سرویس‌های واسط (aggregator) مثل جیبیت، این منابع — شاهکار، ثبت احوال، سرویس‌های بانکی و بیومتریک — را از طریق یک API یکپارچه در اختیار سامانه‌ها می‌گذارند. این واسط‌ها خودشان دارنده‌ی داده‌ی مرجع نیستند؛ بلکه دسترسی به منابع دولتی را هماهنگ می‌کنند.

زنجیره‌ی قابل‌اعتماد چطور ساخته می‌شود؟

یک احراز هویتِ مستحکم معمولاً ترکیبی است: شاهکار (مالکیت خط) + ثبت احوال (مشخصات) + در صورت نیاز، بیومتریک. سطح این زنجیره باید با ریسکِ کار متناسب باشد — برای امضای یک قرارداد کاری، تطابق شاهکار و کد یک‌بارمصرف اغلب کافی و متناسب است.

احراز هویت وقتی واقعاً ارزشمند می‌شود که به یک عمل گره بخورد — مثلاً امضای یک سند. ببینید چرا امضای بدون احراز هویت بی‌اعتبار است.