Ministerstwo Cyfryzacji do końca tego roku ma udostępnić nową aplikację mObywatela dostosowaną do rozporządzenia eIDAS 2
Kilka dni temu czytelnicy cashless.pl jako pierwsi mogli przeczytać o tym, że w uzasadnieniu do projektu ustawy zmieniającym m.in. przepisy o usługach zaufania i identyfikacji elektronicznej Ministerstwo Cyfryzacji zawarło plany stworzenia nowej wersji mObywatela dostosowanej do unijnego rozporządzenia eIDAS 2. Oznacza to, że w praktyce ma powstać zupełnie nowa aplikacja, działająca niezależnie od aktualnego mObywatela, z którego korzysta obecnie ponad 11 mln użytkowników. Więcej na ten temat przeczytacie tutaj.
Jak mówi mi współzałożyciel fintechu Authologic, Jarosław Sygitowicz, dzisiejszego mObywatela nie da się dostosować do rozporządzenia eIDAS 2, ponieważ był projektowany jako krajowa aplikacja usług publicznych, a nie portfel zgodny z unijną architekturą referencyjną. Tym samym rozwiązanie to nie posiada odpowiednich technicznych formatów umożliwiających transgraniczną weryfikację danych w krajach UE. Aby lepiej zrozumieć, czemu jej dostosowanie nie jest możliwe, trzeba poznać różnice między trzema pojęciami: PID (ang. personal identification data), atrybutami oraz cyfrowymi poświadczeniami atrybutów.
PID jest zbiorem danych umożliwiających identyfikację użytkownika i musi zawierać aktualne imiona i nazwisko, datę i miejsce urodzenia oraz obywatelstwo. Co ważne, jest to absolutnie podstawowy element, bez którego nie ma europejskiego portfela tożsamości cyfrowej. Według przepisów, to państwa członkowskie ustalają, kto będzie dostawcą PID-ów, a więc bardzo prawdopodobne, że w Polsce stanie się nim instytucja państwowa. Cechą charakterystyczną PID jest przede wszystkim wysoki poziom zabezpieczeń danych, którego nie posiada aktualny mObywatel.
– Dostarczenie PID odbywa się w odpowiednim formacie i ustalonej procedurze, która jest fundamentem bezpieczeństwa. Portfel jednocześnie zakłada, że mechanizm bezpieczeństwa jest oparty o sprzętowe zabezpieczenie kluczy kryptograficznych i ich stałe powiązanie z PID już w momencie jego wydania. Żeby to zrobić, trzeba zapewnić właściwy proces rejestracji (tzw. onboarding użytkownika) oraz komponenty techniczne. Ze względu na to, że użytkownicy mogą posiadać smartfony o różnym stopniu zaawansowania, aby spełnić wymogi bezpieczeństwa, tworzone jest nowe bezpieczne rozwiązanie oparte o wymianę kluczy pomiędzy urządzeniem użytkownika a systemem centralnym. Takiej funkcjonalności nie ma aktualny mObywatel – mówi cashless.pl Michał Tabor, ekspert Obserwatorium.biz.
Ważną kwestią jest również różnica między atrybutami a cyfrowym poświadczeniem atrybutów. Pierwsze pojęcie odnosi się do konkretnych danych, którymi mogą być np. imię, nazwisko, numer PESEL, numer konta bankowego, uprawnienie zawodowe, prawo jazdy itd. Tymczasem cyfrowe poświadczenie atrybutu to dokument, który stwierdza, że dany użytkownik posiada dany atrybut. Jego zaletą jest to, że klient chcący podzielić się z instytucją informacją na swój temat, nie musi dawać jej dostępu do swojego dokumentu – wystarczy cyfrowe potwierdzenie, że jest jego posiadaczem. Co ważne, państwa członkowskie mogą, ale nie muszą dodawać tych poświadczeń do europejskiego portfela tożsamości cyfrowej.
– W aktualnej wersji mObywatela wszystkie poświadczenia atrybutu są wydawane wyłącznie przez Ministerstwo Cyfryzacji, dane pochodzą tylko z jednego miejsca, a dostęp do mObywatela realizowany jest wyłącznie poprzez Centralny Ośrodek Informatyki. Tymczasem zgodnie z eIDAS 2, cyfrowe poświadczenia atrybutów mogą być wystawiane przez publiczne, jak i prywatne podmioty pełniące funkcję kwalifikowanych i niekwalifikowanych dostawców usług zaufania – dodaje ekspert Obserwatorium.biz.
Zgodnie z rozporządzeniem eIDAS 2, do końca 2026 r. państwa członkowskie mają udostępnić swoim obywatelom europejski portfel tożsamości cyfrowej. Choć do momentu publikacji tekstu resort cyfryzacji nie odpowiedział na moje pytania, to w wywiadzie dla zero.pl wiceminister Dariusz Standerski podkreślił, że dwie aplikacje będą utrzymywane co najmniej przez trzy lata. Zdaniem przedstawiciela Obserwatorium.biz, sukces nowego rozwiązania zależy od tego, w jaki sposób do sprawy podejdzie Ministerstwo Cyfryzacji.
– Miałem nadzieję, że w trakcie okresu przejściowego funkcjonalność europejskiego portfela będzie trybem działania w dzisiejszej aplikacji mObywatela, jednak wygląda na to, że z różnych powodów aktualne jest podejście utrzymywania dwóch aplikacji. Ostatecznie o każdym rozwiązaniu decyduje jego użyteczność. Mam nadzieję, że Ministerstwo Cyfryzacji potraktuje pełne wdrożenie europejskiego portfela tożsamości cyfrowej jako szansę, będzie rozwijać jego funkcje i powszechną rozpoznawalność również w usługach prywatnych oraz poza granicami kraju. Dzięki temu będzie to narzędzie powszechne w użyciu i przyczyni się do zwiększenia bezpieczeństwa codziennych transakcji między obywatelami, biznesem oraz administracją publiczną – podsumowuje Michał Tabor.
