Premier acte du contribuable : Améliorer la vérification de l'identité et moderniser l'IRS

Michael Magrath, septembre 5, 2019
Taxpayer First Act: Improving Identity Verification and Modernizing the IRS

Réduire les coûts et servir efficacement les clients en ligne est un objectif de la plupart des organisations. C'est également vrai pour la plupart des organismes fédéraux, mais depuis la création du premier site Web, les organismes fédéraux sont constamment confrontés au défi de vérifier l'identité de leurs utilisateurs en ligne.  Les violations à grande échelle ont mis en vente les informations personnelles identifiables des citoyens (IPI) sur le Dark Web, ce qui a accru les défis de la vérification d'identité. Comment pouvez-vous être certain qui accède à un site Web et qui fait des transactions?   

Vérification de l'identité et rapports du GAO

En juin 2018, le Government Accountability Office a publié un rapport intitulé « IDENTITY THEFT - IRS Needs to Strengthen Taxpayer Authentication Efforts ».  Comme il est indiqué dans le rapport, « En mai 2015, l'IRS a temporairement suspendu son service Get Transcript après que les fraudeurs aient utilisé des renseignements personnels obtenus de sources extérieures à l'IRS pour se faire passer pour des contribuables légitimes et accéder aux renseignements sur les déclarations de revenus de 724 000 comptes. »  Cette violation est mise en évidence par le GAO ainsi que la violation 2015 Office of Personnel Management (OPM) qui a touché plus de 22 millions d'employés actuels et anciens et les entrepreneurs ainsi que la violation 2018 Equifax qui a touché 145 millions d'Américains.

Le GAO a également souligné que l'IRS estime qu'il y a eu des tentatives de vol d'au moins 12,2 milliards de dollars par le biais de la fraude de remboursement d'identité (IDT) en 2016. Toutefois, il estime qu'il a empêché le vol d'au moins 10,5 milliards de dollars de ce montant. Cela signifie qu'au moins 1,6 milliard de dollars ont été versés aux fraudeurs. Je répète, 1,6 milliard de dollars en dollars des contribuables versés aux criminels.  

Le volume de renseignements personnels identifiables dont disposent les fraudeurs justifie d'autres approches aux pratiques courantes de vérification des identités en ligne. La vérification fondée sur les connaissances (KBV) interpelle généralement les utilisateurs en ligne avec des questions de leur rapport de crédit qu'ils sont les seuls à connaître. Aujourd'hui, cet utilisateur le sait peut-être, mais il y a de fortes chances que les fraudeurs le sachent aussi.

Les défis à relever pour vérifier les identités en toute sécurité ne se limitent pas à l'IRS. La réalité est que la plupart des organismes fédéraux n'ont pas une grande confiance dans les personnes qui interfacées avec eux en ligne. Cela a attiré l'attention du Congrès et a chargé le GAO d'examiner les processus de vérification d'identité en ligne déployés dans six organismes fédéraux qui interagissent régulièrement avec les citoyens en ligne, y compris les Centers for Medicare et Medicaid Services (CMS), General Administration des services (GSA), IRS, SSA, USPS, et le ministère des Anciens Combattants (VA).

En mai 2019, le GAO a publié «DATA PROTECTION - Federal Agencies Need to Strengthen Online Identity Verification Processes». La bonne nouvelle est que certains, y compris l’IRS, ne comptent plus exclusivement sur KBV, alors que étonnamment, d’autres, y compris CMS n’ont pas l’intention de passer à autre chose. Le GAO a indiqué que « plusieurs fonctionnaires ont cité les raisons pour lesquelles ils n'ont pas adopté d'autres méthodes, y compris des coûts élevés et des défis de mise en œuvre pour certains segments du public. Par exemple, la vérification des appareils mobiles peut ne pas toujours être viable parce que tous les demandeurs ne possèdent pas d'appareils mobiles qui peuvent être utilisés pour vérifier leur identité. Néanmoins, jusqu'à ce que ces organismes prennent des mesures pour éliminer leur utilisation de la vérification fondée sur le savoir, les personnes qu'ils servent demeureront à un risque accru de fraude d'identité.

En lisant le rapport, j'ai pensé à la façon dont nous pouvons légalement ouvrir un compte bancaire et même demander une hypothèque à l'aide de nos téléphones mobiles. L'argument concernant la viabilité de la vérification des appareils mobiles contenait beaucoup plus d'eau il y a quelques années qu'aujourd'hui. Il est vrai que tous les Américains ne possèdent pas de smartphone. C'est triste à dire, pas tous les Américains ont l'eau courante ou de l'électricité non plus. Cependant, n'est-il pas logique de résoudre un problème pour répondre aux besoins de l'écrasante majorité des Américains - et de développer des solutions alternatives pour le reste?

Selon le Pew Research Center, 81% des Américains possèdent un smartphone.  Cela suit la règle 80/20 presque exactement. Il est regrettable qu'un organisme fédéral hébergeant des IPI vulnérables sur les citoyens américains ne déploiera pas de meilleures technologies et processus de vérification d'identité, parce que 19% des Américains n'ont pas de smartphone.

Modernisation de l'IRS et de la loi Sur le contribuable d'abord (H.R. 3151)

Le 1er juillet, laLoi sur le contribuable d'abord (H.R. 3151) a été promulguée.
La Loi modernise l'IRS dans plusieurs domaines clés, notamment :

  • Structure organisationnelle
  • Procédures d'application de la loi
  • Service à la clientèle
  • Gestion des technologies de l'information
  • Cybersécurité et protection de l'identité
  • Utilisation de systèmes électroniques

La Loi comprend également des dispositions technologiques, y compris l'établissement d'exigences en matière de cybersécurité et de protection de l'identité; notification aux contribuables de vol d'identité présumé; élargir la production électronique de déclarations de revenus; l'adoption de normes uniformes; et les procédures d'acceptation de la technologie de signature électronique.

Comme l'IRS modernise la façon dont il fait des affaires en poussant plus d'activité sur le web, il est impératif qu'il ya une grande confiance que la personne se connectant est qui ils prétendent qu'ils sont, indépendamment du fait qu'ils sont dans le rôle d'un fiscaliste ou un contribuable.

En ce qui concerne la lutte contre les fraudes potentielles en vertu de la Loi (y compris la fraude de remboursement de vol d'identité), d'ici le 1er janvier 2020, le secrétaire au Trésor « vérifiera l'identité de toute personne (professionnel de l'impôt) ouvrant un compte de services électroniques avec le Revenu interne Service avant qu'une telle personne soit en mesure d'utiliser les outils e-Services ».. Bien que la loi ne précise pas comment la vérification d'identité doit être effectuée, je soupçonne qu'il suivra le chemin mis à jour de la "Get Transcript" service.

Le rapport du GAO de mai 2019 détaille le processus de vérification d'identité remanié de l'IRS pour « Get Transcript » :
« La personne soumet un numéro de téléphone, que l'IRS vérifie par l'entremise d'une CRA qui vérifie les dossiers de la compagnie de téléphone afin de déterminer si le numéro de téléphone appartient à la personne. L'IRS confirme alors la possession de ce numéro de téléphone en envoyant un NIP unique via un message texte. La personne entre alors le NIP dans l'application Get Transcript. Pour les personnes qui ne peuvent pas être vérifiées de cette façon, l'IRS tente de confirmer l'adresse de la rue de l'individu en envoyant le NIP de confirmation par la poste.

J'ajouterai que l'envoi de SMS peut être assez coûteux, surtout pour une agence avec plus de 250 millions d'utilisateurs potentiels. Du point de vue de la sécurité et des économies de coûts potentielles, le fait qu'un utilisateur vérifié utilise une application mobile officielle et protégée de l'IRS pour générer et accéder à un NIP unique au cours d'une session chiffrée serait une amélioration du processus actuel.

Afin d'élargir la production électronique de déclarations de revenus, la Loi ordonne au secrétaire au Trésor de publier des lignes directrices visant à établir des normes et des procédures uniformes pour l'acceptation des signatures électroniques des contribuables. Cela comprend toute demande de divulgation de la déclaration de revenus de l'utilisateur, les renseignements de déclaration envoyés à un praticien, ainsi que toute procuration accordée à un praticien par le contribuable.  

Lorsqu'il s'agit de déclarations de revenus, en plus de vérifier l'identité de la personne, l'intégrité des documents est de la plus haute importance. Je m'attends à ce qu'une signature numérique et un sceau inviolable soient appliqués après chaque signe électronique individuel, puisque les déclarations de revenus sont souvent signées par plusieurs parties - et il est essentiel de pouvoir détecter si des changements ont été apportés entre les signataires. 

En outre, l'IRS devrait être armé d'une piste de vérification robuste de l'ensemble de l'événement de signature, si un retour est jugé suspect et justifie une enquête plus approfondie. Une piste de vérification approfondie devrait avoir la capacité de reproduire chaque écran présenté à l'utilisateur, ainsi que toutes les divulgations juridiques et les documents qui ont été présentés, et combien de temps les parties signataires ont pris à chaque étape.

S'étendre à d'autres agences

La mise en œuvre d'une authentification solide est essentielle pour que le gouvernement fédéral sécurise et étende les services de gouvernement électronique.  À mesure que l'IRS met en œuvre les dispositions de la Loi, d'autres organismes ont déjà commencé à renforcer leurs processus de vérification et d'authentification de l'identité au fur et à mesure qu'ils modernisent les services destinés aux utilisateurs externes.

Dans un webinaire de juin 2019 organisé par l'Alliance FIDO, la GSA a discuté de son soutien récemment ajouté à la norme d'authentification FIDO2 de la FIDO pour son portail login.gov, qui permettra aux utilisateurs d'accéder en toute sécurité et de traiter avec les organismes fédéraux de soutien. 

La GSA a fait remarquer qu'elle évalue un processus amélioré d'épreuve de l'identité à distance pour login.gov lesquels d'autres organismes pourraient tirer parti. Afin de s'inscrire à un compte login.gov, le demandeur (utilisateur) prendrait une photo d'une iD émise par le gouvernement comme un permis de conduire. Le permis de conduire est vérifié pour vérifier l'authenticité du document lui-même. Cela comprendrait une vérification d'enregistrement avec le DMV de l'état pour vérifier que l'ID est valide et le numéro sur l'ID correspond aux informations affichées sur l'ID. L'adresse de la personne serait vérifiée après avoir utilisé la base de données de l'USPS.  

Ce processus a été adopté par le secteur bancaire pour l'ouverture de compte numérique combinée avec des signatures électroniques pour signer les formulaires requis, niant ainsi la nécessité pour les clients de se rendre à une succursale tout en réduisant les coûts. Il est excitant de voir que le gouvernement fédéral utilise ce qui fonctionne dans le secteur privé tout en réduisant la dépendance à l'égard de l'IPI que les fraudeurs peuvent facilement obtenir sur le Dark Web.

Transformer l'ouverture de compte numérique et l'expérience d'intégration
LIVRE BLANC

Transformer l'ouverture de compte numérique et l'expérience d'intégration

Basé sur des entretiens avec des dirigeants de banques et des données d'enquête auprès des consommateurs, Aite fournit une analyse experte des principales tendances, défis et technologies pour offrir une expérience d'ouverture de compte axée sur le client et mobile d'abord.

Lire la suite

Divulgation : Mon employeur, OneSpan est l'un des principaux fournisseurs de solutions de vérification d'identité, d'authentification, de sécurité des applications mobiles et de signatures électroniques. Je suis également coprésident du Groupe de travail sur le déploiement gouvernemental de l'Alliance FIDO et je représente OneSpan au conseil d'administration de l'Electronic Signature and Records Association.

L’article suivant, rédigé par Michael Magrath, directeur, Règlements mondiaux et normes, est paru pour la première fois le19 août 2019 sur CSO Online. Réimprimé avec permission. © IDG Communications, Inc., 2018. Tous droits réservés. 

Michael Magrath est responsable de l'alignement de la feuille de route de la solution OneSpan avec les normes et les exigences réglementaires à l'échelle mondiale. Il est président du groupe de travail sur le déploiement gouvernemental de l'Alliance FIDO et siège au conseil d'administration de l