Skip to main content

2 posts tagged with "identitate"

View All Tags

Verificarea identității în iGaming după CEI: ce se schimbă pentru operatorii ONJN în 2026

· 6 min read
Cătălin Toma
Cătălin Toma
Founder, EidKit

Piața de jocuri de noroc online din România este una dintre cele mai reglementate din Europa. ONJN a emis peste 50 de licențe de Clasa I, peste 90% din pariuri se plasează prin operatori licențiați, iar amenzile și revocările de licențe din ultimul an arată că reglementatorul urmărește îndeaproape conformitatea.

Din iulie 2025, fiecare cetățean român care solicită un act de identitate primește o Carte Electronică de Identitate cu cip NFC. Această tranziție schimbă un lucru concret în fluxul KYC al oricărui operator licențiat ONJN — și nu toți operatorii sunt pregătiți.

Ce s-a schimbat concret

Vechiul buletin tipărea adresa de domiciliu pe verso. Operatorii puteau fotografia actul, extrage adresa prin OCR și o puteau folosi pentru verificarea de adresă cerută în procesul CDD.

Noua CEI nu mai tipărește adresa pe față sau pe verso. Adresa există exclusiv pe cipul electronic, în applet-ul EDATA, protejată de un canal criptat și de PIN-ul titularului.

Consecința practică: fluxul clasic de „fotografiezi actul, extragem adresa prin OCR" nu mai funcționează pentru niciun utilizator cu CEI.

Și numărul acestor utilizatori crește în fiecare zi. Guvernul a emis peste 1,8 milioane de CEI până acum, cu 1,1 milioane de cărți vechi care expiră doar în 2025. Până la sfârșitul anului 2026, majoritatea utilizatorilor activi ai platformelor de iGaming din România vor deține CEI ca unic act de identitate valid.

Problema bonus abuse — un vector pe care CEI îl închide

Unul dintre cele mai costisitoare probleme pentru operatori este multi-accounting-ul: același utilizator creează conturi multiple pentru a profita de bonusuri de bun-venit, oferte de reload și promoții.

Soluțiile actuale — verificare prin email, număr de telefon, IP — sunt ușor de ocolit. Video KYC-ul adaugă fricțiune, dar cu deepfake-uri disponibile comercial, nu mai oferă garanțiile de acum 3 ani.

CEI schimbă ecuația la nivel fundamental: un card fizic, emis de MAI, legat criptografic de o singură identitate. Nu există două persoane cu același CEI. Nu există CEI virtual sau generat software. Cipul conține o cheie privată stocată hardware care nu poate fi exportată sau clonată.

Un operator care leagă contul de cipul CEI — nu de CNP, nu de email, ci de cipul fizic — elimină practic multi-accounting-ul pentru toți utilizatorii cu CEI.

Video KYC: ce poate și ce nu poate face

Soluțiile de video KYC actuale (Sumsub, Veriff, Onfido, Didit, Qoobiss) funcționează prin fotografierea documentului și verificarea biometrică a feței. Sunt soluții solide pentru ce fac.

Dar au limite structurale care nu pot fi rezolvate prin îmbunătățiri de produs:

Nivelul de asigurare eIDAS. Video KYC cu OCR pe document foto atinge cel mult nivelul Substantial. Cipul CEI cu autentificare activă (PACE + PA + AA) reprezintă nivelul High — dovadă criptografică că documentul este autentic, că cipul nu este clonat și că utilizatorul deține cardul fizic.

Adresa de domiciliu. Video KYC nu poate extrage adresa din CEI deoarece nu citește cipul. Niciun furnizor de video KYC nu poate accesa applet-ul EDATA. Adresa trebuie obținută prin alte mijloace — adeverință separată, acces direct la DGEP (disponibil băncilor, nu oricui), sau cerut utilizatorului să o declare manual.

Rezistența la deepfake. Autentificarea cu cipul CEI nu implică nici biometrie, nici video. Utilizatorul introduce CAN-ul tipărit pe card și PIN-ul setat la MAI, apoi atinge cardul de telefon. Nu există suprafață de atac pentru deepfake sau sinteză de imagine.

Ce cere ONJN și unde se situează CEI

Legea 129/2019 și reglementările ONJN impun operatorilor obligații clare de identificare și verificare a identității jucătorilor, inclusiv verificarea adresei de domiciliu.

Platforma de autoexcludere — pe care ONJN și ICI București o modernizează printr-un protocol semnat în februarie 2026 — va folosi verificare prin card de identitate, nu video KYC. Semnalul reglementatorului este clar: direcția este spre identificare prin document, nu spre selfie și OCR.

Un operator care integrează autentificarea cu CEI nu face doar un upgrade tehnic. Face un pas înaintea cerințelor ONJN viitoare.

Cum arată integrarea în practică

EidKit expune un OIDC SSO standard — același protocol ca „Autentifică-te cu Google", implementat în câteva ore de orice echipă de development.

Fluxul pentru utilizator:

  1. Pe site-ul operatorului apare un cod QR
  2. Utilizatorul deschide aplicația EidKit pe telefon și scanează QR-ul
  3. Introduce CAN-ul (6 cifre tipărite pe card) și PIN-ul (4 cifre, setat la MAI)
  4. Atinge cardul de telefon — autentificare completă în sub 15 secunde

Serverul primește:

  • Nume și prenume verificate criptografic de MAI
  • CNP verificat criptografic de MAI
  • Adresă de domiciliu extrasă din cip (nu auto-declarată)
  • Dovadă că cipul este autentic și nu clonat (Active Authentication)
  • Dovadă că utilizatorul deține cardul fizic și cunoaște PIN-ul

Fiecare autentificare ulterioară — nu doar onboarding-ul — produce aceleași garanții. Nu există session hijacking, nu există cont preluat prin resetare de parolă, nu există furt de credențiale.

Costul per verificare

Soluțiile de video KYC costă între $0.33 (Didit) și $1.85 (Sumsub Compliance) per verificare reușită. Un operator cu 10.000 de înregistrări noi pe lună plătește între $3.300 și $18.500 lunar doar pentru KYC inițial.

EidKit SSO costă €0.25 per autentificare reușită — cu nivel de asigurare mai ridicat și cu adresa verificată inclusă. Pentru autentificările recurente — logins repetate ale aceluiași utilizator — costul este identic, ceea ce face modelul favorabil operatorilor cu utilizatori activi frecvent.

Calendarul de adoptare CEI

Câteva repere concrete:

  • Iulie 2025: CEI devine singurul tip de act de identitate eliberat în România
  • August 2025: CEI poate fi solicitată la orice SPCLEP din țară, indiferent de domiciliu
  • Sfârșitul anului 2025: 1,1 milioane de cărți vechi expiră
  • Decembrie 2026: termen eIDAS 2.0 pentru portofelul european de identitate digitală
  • 2027: operatorii privați reglementați vor trebui să accepte portofelul EUDI

Fiecare lună care trece crește procentul de utilizatori ai platformelor de iGaming care dețin CEI ca singurul lor act de identitate valid.

Dacă ești operator ONJN sau construiești pentru piața de iGaming din România și vrei să discuți cum arată o integrare concretă, scrie-ne. Primele integrări beneficiază de programul pilot.

Adresa ta e pe buletin. Banca nu știe cum să o citească.

· 7 min read
Cătălin Toma
Cătălin Toma
Founder, EidKit

Acesta este primul articol din seria noastră despre carta electronică de identitate. Al doilea acoperă ce poate semna buletinul tău și ce nu poate semna încă.

Odată cu introducerea noii Cărții Electronice de Identitate, adresa de domiciliu a dispărut de pe suprafața fizică a documentului. Nu mai există stradă, număr, oraș, județ tipărite pe verso. Toate aceste informații sunt stocate exclusiv pe cipul din interiorul cărții, accesibile doar prin NFC sau printr-un cititor de carduri.

În teorie, este un pas înainte. Adresa poate fi actualizată electronic atunci când te muți, fără să fie necesară emiterea unui nou document. În practică, tranziția a generat o criză care devine tot mai vizibilă.

Problema, pe scurt

Milioane de români dețin acum un act de identitate care conține legal adresa lor de domiciliu — dar nu o pot prezenta unui funcționar bancar, notar sau angajat al statului într-un format pe care acesta să îl poată citi.

Până în această săptămână, Guvernul a înregistrat peste 300 de sesizări în categoria „Pașaport și Carte de Identitate" pe platforma fara-hartie.gov.ro. Cea mai frecventă problemă: lipsa adresei tipărite. Bănci, notariate, școli, birouri ANAF și autorități locale continuă să solicite o adeverință de domiciliu separată — un document care atestă adresa deja prezentă, tehnic vorbind, pe actul pe care îl țin în mână.

O persoană a povestit că a ajuns la notar pentru un act de vânzare-cumpărare și a fost trimisă acasă pentru că CEI „nu este suficientă pentru dovada domiciliului." Alta a pățit același lucru la bancă. Un tânăr de 34 de ani: „Am făcut buletinul electronic pentru că am înțeles că e mai modern și mai sigur. Nimeni nu mi-a spus că voi avea nevoie de o adeverință de fiecare dată când trebuie să dovedesc adresa."

Asta se întâmplă când infrastructura avansează înainte ca instituțiile să fie pregătite să o folosească.

Ce a făcut Guvernul

Guvernul a reacționat rapid. Pe 25 martie 2026 — acum două zile — serviciile de evidență a persoanelor au primit instrucțiunea să verifice ele însele adresele în baza de date națională, fără să mai condiționeze preluarea dosarului de prezentarea unui document fizic.

Băncile au primit acces tehnic direct la baza de date a evidenței persoanelor și, conform anunțului guvernamental, nu mai trebuie să solicite adeverința.

Pentru notari, se testează un mecanism similar.

Pentru toți ceilalți — cetățeni care trebuie să dovedească adresa într-un loc care nu are încă acces la baza de date — Ministerul Afacerilor Interne a lansat aplicația mobilă RoCEIReader. Apropiați buletinul de telefon, introduceți codul CAN de 6 cifre și PIN-ul de 4 cifre, iar aplicația citește adresa de pe cip și permite salvarea ei ca PDF.

Disponibilă momentan doar pentru Android. Versiunea iOS „urmează în curând."

Forma acestei soluții

Răspunsul Guvernului la „instituțiile nu pot citi cipul" este o aplicație pentru cetățeni, prin care aceștia citesc cipul ei înșiși și produc un PDF. Acel PDF este apoi prezentat instituției care nu putea citi cipul.

Problema a fost parțial convertită dintr-o provocare de integrare tehnică în birocrație — birocrație digitală, dar tot birocrație. Funcționează și e mai bine decât nimic. Dar ilustrează bine distanța dintre ce este CEI — un card inteligent NFC cu securitate criptografică și date semnate de stat — și ce sunt pregătite majoritatea sistemelor să facă cu el.

Opțiunile pentru citirea adresei

Tranziția are consecințe reale pentru oricine construiește software care necesită o adresă de domiciliu verificată în România. Fluxul vechi — scanează actul, extrage adresa prin OCR de pe verso — nu mai funcționează. Adresa nu mai e pe verso.

Alternativele, aproximativ în ordinea robusteții:

Acces direct la baza de date guvernamentală Băncile au primit acces direct la registrul DGEP. Curat, fără NFC, fără interacțiune suplimentară din partea utilizatorului dincolo de CNP. Accesul necesită un acord formal cu autoritatea guvernamentală și nu este disponibil oricărei companii private care îl solicită.

Citirea cipului prin NFC Cardul este citit direct folosind codul CAN tipărit pe fața documentului. Adresa este furnizată exact așa cum o deține statul — semnată criptografic, verificabilă față de lanțul de certificate al Ministerului, fără dependență de o bază de date externă. Adresa se află în applet-ul EDATA al cardului, în spatele unui canal securizat PACE și al unui PIN de 4 cifre. Citirea corectă implică gestionarea unor formate de date specifice implementării românești, pe care bibliotecile ICAO standard nu le acoperă din cutie.

Certificatul produs de utilizator Soluția de compromis facilitată acum prin RoCEIReader. Valabilă legal. Introduce un pas manual pentru utilizator, o fereastră de valabilitate de 6 luni și fricțiune tocmai acolo unde fluxurile de onboarding pierd cei mai mulți utilizatori.

Imaginea de ansamblu

Problema adresei este simptomul cel mai vizibil, dar CEI este capabilă de mult mai mult decât a reușit să asimileze orice instituție până acum.

Cipul conține date biometrice, fotografia titularului și două chei criptografice susținute de certificate emise de MAI. Una este pentru semnătura electronică avansată — conform Legii 214/2024, un document semnat cu acest certificat are aceeași valoare juridică ca o semnătură olografă. Cealaltă este pentru autentificarea activă: o dovadă criptografică că cipul este autentic și nu clonat.

Și totuși, platforma SPV a ANAF respinge semnătura de pe CEI. Acceptă doar semnături de pe certificate calificate achiziționate separat, de la furnizori comerciali autorizați. Cardul îți oferă o semnătură legal valabilă. Portalul propriu al Guvernului nu o acceptă.

Cardul este înaintea ecosistemului. Ecosistemul recuperează decalajul, instituție cu instituție. Băncile au recuperat în privința adresei. Notarii sunt aproape. ANAF nu a recuperat în privința semnăturilor. Același tipar se va repeta pentru fiecare instituție care trebuie să interacționeze cu aceste carduri în următorii doi-trei ani.

Ce presupune citirea cipului

Pentru cei curioși din punct de vedere tehnic: cipul CEI rulează protocolul PACE (Password Authenticated Connection Establishment) cu AES-256 pentru a stabili un canal securizat înainte ca orice să poată fi citit. După deschiderea canalului, citirea datelor personale necesită selectarea applet-ului corect, verificarea PIN-ului și parsarea răspunsului într-un format ASN.1 specific implementării românești — diferit de formatul MRZ ICAO pe care îl așteaptă majoritatea bibliotecilor.

Autentificarea pasivă — verificarea că datele de pe cip sunt semnate de MAI și nu au fost alterate — trebuie să ruleze întotdeauna înainte de a folosi orice date citite de pe card. Lanțul merge de la grupele de date prin certificatul semnatarului documentului până la certificatul rădăcină CSCA al Ministerului.

Nimic din toate astea nu este exotic. Dar este specific, iar specificul contează. Nu poți integra CEI citind documentația ICAO standard și adaptând un cititor de pașapoarte. Implementarea românească are propria structură de applet-uri, propriile formate de date și propriile cerințe de secvențiere care nu sunt documentate complet nicăieri în mod public.

Din iulie 2025, CEI este singurul model de carte de identitate emis la nivel național. Fiecare act de identitate eliberat în România de acum înainte conține un cip pe care titularul nu îl poate prezenta majorității instituțiilor într-un format pe care acestea să îl poată citi.

Decalajul se va închide treptat. Întrebarea pentru oricine construiește în acest spațiu este cât timp este dispus să aștepte și dacă soluția de compromis — certificate PDF ale datelor deja existente pe card — reprezintă fricțiunea acceptabilă pentru produsul său.

Scriem despre CEI — capabilitățile sale, provocările de integrare și contextul reglementar din jurul său. Dacă un subiect de aici este relevant pentru ce construiești, scrie-ne.