Verify the identity of an online gambler

consultatie-kansspelen

Below a blog post in Dutch that gives my perspective on a proposal for new legislation in the Netherlands on online gamling. Specifically, I discuss how players have to be identified, and how (in)secure this is. Bottom-line is that the proposal does not allow anonymous gambling, and that websites offering online gambling have to verify the identity of gamblers by asking for copy of a passport (or equivalent) combined with a bank account that is than remains linked to that specific player. This is certainly not an ideal solution, but I guess a pragmatic one in absence of an existing, re-usable consumer-2-business eID solution in the Netherlands.

Hoe zeker weten wie er online gokt?

Recent is een wetvoorstel in consultatie gegaan voor een vergunningenstelsel voor online kansspelen. Een belangrijk doel van dit wetvoorstel is consumenten te beschermen tegen zichzelf, oftewel, gokverslaving tegen te gaan. Onderdeel hiervan is dat er een centraal register komt waar op basis van BSN spelers met verslavingsproblemen worden geregistreerd. Dit register zal zowel door online als ‘offline’ vergunningshouders gebruikt worden (bv Holland Casino). Ook worden kwetsbare groepen mensen uitgesloten (minderjarigen).

Dit wetvoorstel heeft brengt privacy en identificatie uitdagingen met zich mee. Ik beperk me in deze blogpost op de identificatie uitdagingen. De identificatie eis gaat verder dan bij ‘gewone’ leeftijdsverificatie diensten waarbij anonieme toegang met een verifieerde leeftijdsattribuut (“boven 18”) voldoende is. Immers een vergunninghouder kan alleen problematisch gokgedrag herkennen als deze vergunninghouder kan herkennen dat het bij verschillende online ‘bezoeken’ om dezelfde gebruiker gaat (geen anonieme toegang dus). Daarnaast zal een vergunninghouder moeten controleren of de gebruiker in het register staat (en eventueel hierin registreren), en dus zijn of haar BSN nummer moeten hebben. Dit betekent dat vergunningshouders nieuwe gebruikers moeten identificeren, en moeten verifiëren dat zij zijn wie ze zeggen te zijn. Maar hoe ? Hoewel het BSN nummer gebruikt moet worden voor communicatie met het register, mag het verder niet gebruikt worden en is DigiD gebruiken daarmee niet mogelijk. De toelichting op het wetvoorstel zegt:

“Van vergunninghouders wordt daarom een deugdelijke identificatie en verificatie van de speler verlangd. In lagere regelgeving wordt uitgewerkt dat de speler documenten moet overleggen waaruit de door hem opgegeven identiteit blijkt, zoals een kopie of scan van zijn identiteitsbewijs. Aangezien ook dit niet geheel sluitend is – een speler kan bijvoorbeeld een kopie vervalsen – moet de speler ook een bedrag overmaken naar zijn spelersrekening met een op zijn naam gesteld betaalmiddel.”

Verderop staat dat een spelersaccount gekoppeld is aan één bankrekeningnummer (waarop verificatie van zijn identiteit heeft plaatsgevonden), en dat geld op een spelersrekening alleen gestort of opgenomen kan worden via die bankrekening.

Gaat dit werken? Ik vind het niet een ideale maar wel een pragmatische oplossing, met name door de blijvende koppeling van het spelersaccount en de bankrekening. Een kopie van een identiteitsbewijs geeft het BSN nummer, maar alleen hierop vertrouwen is natuurlijk een slecht idee (kopie is makkelijk te veranderen, en het is makkelijk een kopie van een ander in te sturen). Door dit te combineren met het storten vanaf een bankrekening met dezelfde naam wordt de verificatie betrouwbaarder, en treedt indirect de bank op als identiteitsprovider. Wat echter mijn inziens met name helpt is dat storten en opnemen van geld alleen via dezelfde bankrekening kan welke gebruikt is bij verificatie. Hierdoor moet de speler niet eenmalig maar permanent toegang hebben tot die bankrekening, en is het ook minder erg als zijn spelersaccount gestolen wordt (immers de identiteitsdief kan niet bij het hierop staande geld komen zonder ook de bijbehorende bankrekening te ‘stelen’).

Denkend vanuit het perspectief van een gokverslaafde of witwasser, hieronder wat mogelijke manieren die ik snel kon bedenken hoe bovenstaande oplossing te omzeilen:

  • ‘Koop’  toegang tot een bankrekening, inclusief kopietje identiteitsbewijs, van een al-dan-niet naïeve (meerderjarig) persoon, vergelijkbaar met hoe money mules bij internetbankieren fraude worden ingezet. Hier is weinig tegen te doen, totdat dit gecompromitteerde spelersaccount als zodanig herkend wordt.
  • Hak een bestaande spelersaccount, die mogelijk niet erg goed beveiligd zullen worden (geen tweede factor ?). Dit staat wel spelen toe, maar geen geld storten of opnemen, lijkt me niet aantrekkelijk voor de aanvaller (maar wel vervelend voor de eigenaar van het spelersaccount).
  • Bij een en/of rekening, gebruik de identiteit van je mederekeninghouder. Weinig aan te doen, aangenomen dat als je een bankrekening deelt met iemand dat die persoon (je partner) typisch ook toegang heeft tot identiteitsbewijzen om een kopietje van te maken. De andere rekeninghouder kan natuurlijk wel zien dat er afschrijvingen zijn naar de vergunninghouder.
  • Last but not least: vervals een kopie van het identiteitsbewijs, en gebruik eigen bankrekening. Zal voor witwasser niet erg aantrekkelijk zijn neem ik aan, maar voor gokverslaafde wel. Detecteren aan de hand van een slechte kopie dat bijvoorbeeld het BSN nummer (inclusief consistent de zogenaamde MRZ zone) is gewijzigd lijkt me erg lastig (disclaimer: dit is een beetje aan de randen van mijn expertise). Dit tegengaan kan wel door een controle te doen of het identiteitsbewijs daadwerkelijk is uitgegeven, inclusief het bijbehorende BSN nummer, maar ik betwijfel als exploitanten toegang mogen hebben tot de databases waar dit in staat. Een VIS check of het om een gestolen identiteitsbewijs gaat is niet genoeg, bv een vervalst BSN nummer wordt niet gedetecteerd. Andere manieren om dit betrouwbaarder te maken zijn een face-2-face controle te doen (postkantoor?) i.p.v. een kopie identiteitsbewijs, of met een reader (of NFC telefoon) de chip uitlezen van een identiteitsbewijs.

Zijn er geen betere oplossingen? Zeker wel, met name een betrouwbare en herbruikbare eID oplossing die niet alleen bij verificatie maar ook bij inloggen gebruikt wordt zou veiliger, gebruikersvriendelijker en goedkoper zijn. Maar die hebben we (nog) niet in Nederland. Ik ga ervanuit dat het wetvoorstel de gebruik van zo’n oplossing, zodra die er wel is, niet tegen gaat. Een alternatief zou zijn om wel gebruik van DigiD mogelijk te maken, vergelijkbaar met hoe dit wel mag voor zorg en pensioenen, maar dit brengt wel imago (overheid stimuleert gokken ?) en privacy nadelen (de overheid kan zien wie er wanneer gokt) met zich mee. En om toch even op de privacy terug te komen, het wetsvoorstel heeft flinke privacy implicaties waaronder het monitoren van spelers, de niet-anonieme centrale registratie en toegang van belastingambtenaren tot allerlei gegevens. En mogelijk wordt deze wet gebruikt om als argument voor internetfilters (om toegang tot goksites zonder vergunning lastiger te maken). Of dit allemaal proportioneel is, en wat mogelijke alternatieven zouden zijn, lijkt me een studie en goede (politieke) discussie waard.

Mochten er lezers van deze blogpost zijn die weten hoe identificatie voor online kansspelen gaat in andere landen? Dit heb ik verder niet nagezocht en ik ben benieuwd.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s