Artykuł pochodzi z wydania: Lipiec-Sierpien 2020
Rozwój technologii pozwala na identyfikowanie się w różnych systemach i usługach na podstawie smartfona, natomiast zmiany prawne pozwalają na wykorzystanie tej samej identyfikacji elektronicznej zarówno w usługach administracji publicznej, jak i komercyjnych.
Wykorzystanie usług elektronicznych w realizacji zobowiązań podmiotów publicznych wymaga umożliwienia bezpiecznego i pewnego kontaktu, który nawiązuje klient tych usług. Zapewnienie bezpieczeństwa obejmuje potwierdzenie tożsamości klienta usług online oraz zabezpieczenie tworzonych dokumentów i składanych oświadczeń, w szczególności dokumentów i pism. Do zagwarantowania bezpieczeństwa dokumentów służą podpisy i pieczęcie elektroniczne, a także inne usługi zaufania, które nie będą omawiane w niniejszym artykule. Z kolei potwierdzenie tożsamości użytkownika i przekazanie do usługi jego danych osobowych jest wynikiem działania identyfikacji elektronicznej.
Raz a dobrze
Problem autoryzowanego dostępu osób uprawnionych do usług online nie jest nowy i praktycznie występuje we wszystkich systemach teleinformatycznych zarówno komercyjnych, jak i podmiotów publicznych. Założeniem bezpieczeństwa usług udostępnianych przez internet jest udostępnienie zasobów informacyjnych i usług oferowanych przez dany system tylko dla osób uprawnionych, w sposób zapewniający poufność komunikacji. Przez wiele lat każdy system teleinformatyczny rozwijał swoje mechanizmy uwierzytelniania, najczęściej bazujące na loginach i hasłach. Jednakże zarządzanie loginami i hasłami do wielu systemów nie jest zadaniem trywialnym dla użytkownika, co w efekcie kończy się albo posługiwaniem się jednym hasłem do wielu systemów teleinformatycznych, albo zapisywaniem haseł przez użytkowników na karteczkach przylepianych do komputera. Dodatkowo opieranie bezpieczeństwa danych w systemach teleinformatycznych tylko na hasłach rodzi niebezpieczeństwo utraty tych haseł – jeśli zostaną wykradzione, dostęp do systemu zostanie przejęty przez nieuprawnione osoby. Z problemem bezpiecznego dostępu do usług publicznych mierzono się już ponad 10 lat temu poprzez utworzenie profilu zaufanego (dalej: pz). Jego celem było udostępnienie pojedynczego mechanizmu identyfikacji elektronicznej, z którego mogą korzystać wszystkie systemy administracji publicznej.
Profil zaufany ze względu na dużą różnorodność systemów administracji publicznej był wykorzystywany głównie do składania podpisu elektronicznego potwierdzonego pz, który miał za zadanie zapewnić połączenie tożsamości z dokumentem i dzięki temu w jednolity sposób dostarczać potwierdzenia w usługach publicznych. Rozwój pz jako systemu tworzonego i wykorzystywanego wyłącznie przez samą administrację nie pozwalał na znaczny wzrost użytkowników rozwiązania, ponieważ dołączenie do systemu użytkownika wymagało, aby udał się on do punktu potwierdzającego pz. Takie podejście przy ograniczonym zakresie użycia pz tylko do spraw administracji publicznej czyniło rozwiązanie użytecznym tylko dla osób często korzystających z tego typu usług. Zmianę przyniosło dopiero włączenie możliwości potwierdzania pz dla użytkowników bankowości elektronicznej, które stanowiło podstawę wypracowania krajowego schematu identyfikacji elektronicznej.
Schemat (nie tylko) krajowy
Krajowy schemat identyfikacji elektronicznej został wprowadzony ustawą z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej (tekst jedn. DzU z 2020 r., poz. 1173), a jego celem jest umożliwienie wykorzystania różnego rodzaju rozwiązań zdalnego potwierdzania tożsamości w systemach administracji publicznej. Krajowy schemat zakłada, że dostawcami tożsamości mogą być zarówno podmioty publiczne, jak i prywatne, przy czym te drugie muszą spełnić szereg wymagań, aby móc świadczyć taką funkcjonalność. Dzięki temu jeżeli mamy konto w banku, który sprawdził naszą tożsamość w momencie otwierania konta, możemy ten fakt wykorzystać do późniejszego uwierzytelnienia w usługach online – i tych publicznych, i prywatnych.
Podstawą prawną dla stosowania usług identyfikacji elektronicznej w usługach online jest rozporządzenie eIDAS (DzUrz UE L 257 z 28.08.2014), które zdefiniowało, czym jest identyfikacja elektroniczna, uwierzytelnianie oraz środki identyfikacji elektronicznej. Definicje te obowiązują jednolicie w całej Unii Europejskiej. Rozporządzenie dodatkowo ustaliło poziomy wiarygodności dla usług identyfikacji elektronicznej oraz wskazało, w jaki sposób z tej wiarygodności można korzystać pomiędzy krajami UE. Dodatkowo regulacja dała podstawy do ustanowienia usług identyfikacji elektronicznej, które są stosowane zarówno przez podmioty publiczne, jak i usługi komercyjne, przy czym model dostarczania tych usług został powierzony państwom członkowskim, które mają dowolność w zbudowaniu tylko państwowych usług lub kooperacji w tym zakresie z rynkiem prywatnym – co właśnie miało miejsce w Polsce.
Środek dla tożsamości
Rozporządzenie eIDAS definiuje identyfikację elektroniczną jako proces, który używa unikalnych danych osobowych identyfikowanych w celu jego uwierzytelnienia w usługach online. W tym procesie mają zastosowanie środki identyfikacji elektronicznej zawierające unikalne dane osobowe identyfikowanego, a ich aktywacja odbywa się w taki sposób, że z dużą dozą pewności tylko osoba identyfikowana posługuje się danym środkiem identyfikacji elektronicznej. Wspólną cechą danych identyfikujących osobę zawartych w środku identyfikacji elektronicznej jest możliwość ustalenia tożsamości identyfikowanej osoby – czyli na końcu jednoznacznego wskazania, kto to jest. Warto w tym miejscu podkreślić, że zgodnie z rozporządzeniem eIDAS identyfikowaną osobą może być zarówno osoba fizyczna, jak i osoba prawna. Wspomniana identyfikacja osób prawnych będzie miała szczególne znaczenie przy rozwoju usług, w których to systemy informatyczne będą się identyfikowały w usługach w imieniu firm, np. w celu odbioru korespondencji w ramach rejestrowanego elektronicznego doręczenia.
[…]
Michał Tabor
Autor jest ekspertem ds. identyfikacji, uwierzytelniania i podpisu elektronicznego PIIT, rzeczoznawcą PTI, ekspertem Komitetu Technicznego ESI ETSI oraz partnerem Obserwatorium.biz i kierownikiem rozwoju Autenti. Pomysłodawca składania deklaracji PIT zabezpieczonych kwotą z deklaracji zeszłorocznej, projektant Profilu Zaufanego ePUAP i inicjator Forum eIDAS_PL zajmującego się wdrożeniem eIDAS w Polsce.
