IT@BANK 2018: e-Dowód Banki przejmują inicjatywę
Łukasz Michalik
Polska to jedno z niewielu państw Europy, którego obywatele nie mogą korzystać z elektronicznego dowodu tożsamości. Prace nad wdrożeniem takiego rozwiązania są prowadzone od lat – dość wspomnieć zapoczątkowany jeszcze w 2004 r. program przebudowy i integracji rejestrów państwowych, czy wywodzący się z niego, zainicjowany przed dekadą program PESEL 2 i pl.ID, firmowany przez Ministerstwo Spraw Wewnętrznych (dziś Ministerstwo Spraw Wewnętrznych i Administracji) oraz Ministerstwo Rozwoju Regionalnego (dziś Ministerstwo Inwestycji i Rozwoju).
Założenia były ambitne. Finansowanie na poziomie pond 500 mln zł miało zapewnić wdrożenie wielofunkcyjnego, elektronicznego dowodu tożsamości, a jednocześnie umożliwić uporządkowanie i zunifikowanie państwowych baz danych (w tym PESEL) i procedur związanych z obiegiem i stosowaniem wszelkich dostępnych państwu informacji o obywatelu.
Niestety, ten strategiczny projekt nie został doprowadzony do końca, a o skali niepowodzenia świadczy fakt, że zamiast zupełnie nowej jakości związanej z elektroniczną tożsamością, w 2015 r. Polacy otrzymali nowe dowody osobiste pod postacią kawałka plastiku. Różnica polegała na tym, że nie było na nich informacji o adresie zameldowania.
Co po mDokumentach?
Nic dziwnego, że była już szefowa resortu cyfryzacji, Anna Streżyńska, mogła powiedzieć: „w projekcie nic się nie wydarzyło przez ostatnie osiem lat”. Ogłosiła jednocześnie rozpoczęcie kolejnego podejścia do tematu elektronicznej tożsamości (mTożsamość), tym razem pod postacią projektu mDokumentów, dostępnych przez aplikację mobilną mObywatel.
Wiodącą myślą całego projektu było nie tylko stworzenie mechanizmów elektronicznej tożsamości, ale także przeniesienie ich do smartfonów użytkowników, którzy mieli zostać uwolnieni od konieczności posiadania i korzystania z tradycyjnych dokumentów np. podczas kontaktów z urzędnikami czy choćby podczas kontroli drogowej.
Niestety, finał mDokumentów również okazał się daleki od planowanego. Z zapowiadanej elektronicznej tożsamości pozostawiono legitymacje studenckie i uczniowskie. Warto przy tym nadmienić, że zmianą zgodną z duchem projektu była późniejsza o kilka miesięcy i obowiązująca od października 2018 r. rezygnacja z konieczności posiadania przez kierowców podczas kontroli drogowej dowodu rejestracyjnego i potwierdzenia zawarcia polisy OC.
Co poszło nie tak?
Przyczyny niepowodzenia mobilnego, elektronicznego dowodu tożsamości wyjaśnia ekspert rynku mobilnego, Miron Nurski, redaktor naczelny serwisu Komorkomania.pl. – Projekt mTożsamość okazał się niewypałem z jednego prostego powodu: wirtualny dowód nie był w stanie zastąpić fizycznego. Absurdem było uruchomienie usługi wyłącznie na linii obywatel-obywatel, więc mDokumentu nie można było użyć ani w urzędzie, ani nawet w pociągu, podczas kontroli imiennego biletu – podkreśla. – Proponowane przez Ministerstwo Cyfryzacji scenariusze użycia były oderwane od rzeczywistości. Skupiono się na możliwości wymiany danych osobowych podczas samochodowej stłuczki. Aby skorzystać z tej funkcji, należałoby trafić akurat na jedną z garstki osób, które mają zainstalowaną stosowną aplikację – dodaje.
Cyfrowa tożsamość według KIR
Niepowodzenie lub duża inercja rządowych projektów, mających wprowadzić el ektroniczną tożsamość nie oznaczają, że jesteśmy skazani na bierne czekanie, zwłaszcza w kontekście wejścia w życie rozporządzenia eIDAS (rozporządzenie Parlamentu Europejskiego i Rady UE nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania publicznego). Własne rozwiązanie problemu elektronicznej tożsamości zaprezentowała Krajowa Izba Rozliczeniowa, ogłaszając projekt o nazwie mojeID. Zaproponowane rozwiązania bazują na informacjach posiadanych już przez banki i wprowadzają tzw. węzeł krajowy, pozwalający na korzystanie z różnych usług, oferowanych przez różne instytucje, za pomocą jednego loginu i hasła.
Użytkownik nie będzie zatem musiał zakładać nowych kont czy zapamiętywać nowych haseł, bo autoryzacja będzie się odbywać poprzez system transakcyjny banku, za pomocą już istniejącego profilu użytkownika. Co istotne, jedyne dane dostarczane w tym procesie zewnętrznym podmiotom dotyczą imienia i nazwiska połączonego z numerem PESEL, co pozwala na jednoznaczną identyfikację konkretnej osoby, chroniąc zarazem resztę jej danych. Co więcej, bank nie będzie miał wglądu w dane, udostępnione w wyniku udanej autoryzacji. Będzie to również działać w druga stronę – zewnętrzne podmioty, np. firmy ubezpieczeniowe, nie będą miały dostępu do dodatkowych danych klienta banku, jak choćby salda jego kont.
Rozwiązanie przypomina to stosowane już z powodzeniem w przypadku profilu zaufanego, jednak możliwości oferowane przez mojeID mają być znacznie większe. Potwierdzenie tożsamości będzie bowiem dotyczyć nie tylko kontaktów z różnymi urzędami, ale przede wszystkim różnych usług, a także m.in. poczty elektronicznej. Znaczenie proponowanego rozwiązania dodatkowo rośnie w kontekście trwających prac nad Polish API – standardem otwartej bankowości, oferującym interfejs na potrzeby usług świadczonych przez strony trzecie na podstawie dostępu do rachunków płatniczych. Co istotne, pomysł – choć w Polsce nowatorski – został już z powodzeniem przetestowany na świecie.
Tożsamość z komunikatora
Gdzie szukać przykładów? Warte uwagi rozwiązanie – opracowane oddolnie – zyskuje coraz większą popularność w Chinach. Choć trudno uznać je za wzór pod względem swobód obywatelskich czy poszanowania praw człowieka, to akurat w przypadku tożsamości elektronicznej Państwo Środka wydaje się wskazywać kierunek, któremu warto przyjrzeć się nieco bardziej wnikliwie.
Rozwiązanie, opracowane przez firmę Tencet Holdings we współpracy z ministerstwem bezpieczeństwa publicznego, bazuje na wcześniejszych usługach. Ich podstawą jest uruchomiony w 2011 r. komunikator WeChat, który z czasem ewoluował, stając się kluczową w tamtym rejonie świata platformą komunikacyjną i społecznościową.
Jej użytkownicy mają dostęp m.in. do płatności internetowych, przelewów czy innych usług finansowych, a nowa usługa łączy to wszystko z uznawanym przez państwo sposobem potwierdzania tożsamości. O potencjale chińskiego rozwiązania dobitnie mówi liczba aktualnych użytkowników WeChatu, sięgająca obecnie miliarda. Z punktu widzenia zaawansowania technologii jeszcze ciekawszy jest sposób autoryzacji bazujący – dzięki aplikacji mobilnej – na systemie rozpoznawania twarzy użytkownika.
Więcej niż dowód osobisty
Znacznie bliższy polskiemu projektowi wydaje się za to norweski system elektronicznej tożsamości, bazujący na sprawdzonych rozwiązaniach sektora finansowego BankID. Jest to elektroniczny dowód tożsamości, bazujący na danych użytkownika konta bankowego.
Dzięki autoryzacji, obsługiwanej przez wybrany z norweskich banków, użytkownik zyskuje dostęp do szeregu usług. Przykładem są m.in. wszelkie sprawy załatwiane w instytucjach publicznych. BankID jest wykorzystywany także przez serwisy komercyjne, weryfikujące w ten sposób nie tylko samą tożsamość, ale – w wymaganych prawem przypadkach – także np. wiek użytkownika. Bank ID pozwala również na obsługę korespondencji (opracowana przez pocztę norweską platforma Digipost) albo zabezpieczanie najważniejszych wiadomości poczty elektronicznej. Co istotne, może również służyć do składania wiążącego podpisu na elektronicznych umowach, znacząco upraszczając ich podpisywanie.
Nowe możliwości, znane mechanizmy
W takim kontekście do roli ważnego atutu proponowanego przez KIR mojego ID urasta fundament usługi w postaci sprawdzonych rozwiązań, oferowanych przez banki. Wysoki poziom bezpieczeństwa wraz z wykorzystaniem mechanizmów znanych już użytkownikom wydają się dobrą gwarancją powodzenia projektu.
Podkreśla to m.in. przygotowany przez Accenture raport „Przełom w usługach online. Rozwój usług zaufania w Polsce”. „Usługi zaufania mają potencjał, aby domknąć cyfrową transformację w gospodarce i administracji kraju. Wyraźny dystans między rynkami scyfryzowanymi, do jakich bezdyskusyjnie należy bankowość (17 mln aktywnych klientów bankowości internetowej i blisko 9 mln mobilnej), a rynkami zdigitalizowanymi na poziomie niskim lub bardzo niskim (jak podpisywanie umów o usługi telekomunikacyjne, energetyczne, ale też medyczne czy usługi w relacjach B2B) pokazuje, jak duży potencjał jest jeszcze tutaj do zagospodarowania” – czytamy w nim.
„Przy otwartości polskiego społeczeństwa na innowacje oraz gotowości dostawców technologicznych do budowania rozwiązań cyfrowych, wskazywaną główną barierą jest brak narzędzi zdalnego oświadczania woli online, które jednocześnie byłyby rozwiązaniami masowymi, udostępnionymi szerokiej grupie klientów indywidualnych i biznesowych, a z drugiej strony działałyby w znanym i niepodważalnym środowisku prawnym”.
Doskonalsza alternatywa
Odpowiedzią na tak postawiony problem jest właśnie mojeID. Rozwiązanie to łączy trzy grupy o często rozbieżnych potrzebach i celach – indywidualnych użytkowników, banki i komercyjnych dostawców usług. Podkreśla to m.in. firma Pentacomp, odpowiedzialna za techniczne aspekty projektu mojeID: „sektor bankowy wychodzi naprzeciw potrzebom konsumentów, którym zależy na nowoczesnych rozwiązaniach, wpisujących się w ich tempo i styl życia. Rozwiązanie zapewnia wygodę, jaką daje prostota dostępu do usług cyfrowych, i gwarancję bezpieczeństwa ich danych. Po uruchomieniu systemu przez KIR konsumenci zyskają możliwość zawierania umów na odległość z mocą prawną równorzędną do odręcznie złożonego podpisu”.
Tak kompleksowe rozwiązanie stanowi zarazem odpowiedź na niedostatki profilu zaufanego – oferuje wszystkie jego zalety, nie mając zarazem większości jego wad.