IT@BANK 2021 | TECHNOLOGIE | Blockchain będzie podstawą cyfrowej tożsamości
Okres pandemii przyczynił się do upowszechnienia zdalnych kanałów kontaktu, zarówno w sferze gospodarki realnej, rynku finansowego, jak i administracji publicznej. Olbrzymia rolę w tym procesie odgrywają instrumenty weryfikacji tożsamości online. Jak z obecnej perspektywy należy ocenić mechanizmy stosowane w tym zakresie w Polsce?
– Należy zacząć od tego, iż państwo polskie nigdy nie ustanowiło jednolitych mechanizmów w zakresie tożsamości cyfrowej, w przeciwieństwie do takich krajów, jak Estonia, gdzie można mówić o spójnym systemie. Na tym tle sytuację w Polsce określić możemy jako chaos. Instytucje finansowe zapewniają własne instrumenty weryfikacji użytkowników za pośrednictwem bankowości elektronicznej, ustawa o dowodach osobistych w jakimś stopniu, acz też nie do końca, wiąże ową z dowodem osobistym, do tego dochodzi jeszcze profil zaufany na platformie ePUAP. Formalnie istnieje, oczywiście, węzeł krajowy i europejski węzeł dotyczący tożsamości cyfrowej, z którego mogliby korzystać także użytkownicy z zagranicy, ale jest to możliwość czysto teoretyczna, jako że nawet krajowe podmioty w większości nie zdają sobie sprawy z funkcjonowania tego rozwiązania. W praktyce nie widziałem, żeby ktokolwiek z owego węzła korzystał.
Nie jest to oczywiście jedynie problem polski, ale w naszym kraju przybrał on wyjątkowo poważne rozmiary. Wyzwania tego rodzaju nie uszły uwadze Unii Europejskiej, czego konsekwencją jest projekt EIDAS 2, zawierający zmiany w rozporządzeniu dotyczącym m.in. podpisów elektronicznych. Unijny ustawodawca zaproponował kompleksowe nowe podejście, jeśli chodzi o tworzenie tożsamości cyfrowej z wirtualnym portfelem. Model ten jest całkowicie odmienny niż polski system tożsamości cyfrowej, czyli mObywatel, który nie tylko jest niekompatybilny z unijnymi regulacjami, ale też źle skonstruowany od strony prawnej. W myśl nowych propozycji unijnych dane powinny pozostawać po stronie osoby, której dotyczą, a nie instytucji państwowych czy jakichkolwiek innych podmiotów, którym obywatele musieliby te dane przekazywać. Obecnie toczy się dyskusja, czy taki rejestr powinien mieć charakter ogólnoeuropejski, czy też bazować na współpracy poszczególnych rejestrów zsynchronizowanych ze sobą, ale najprawdopodobniej będzie on bazować na technologii blockchain.
Jak zatem będzie funkcjonować to rozwiązanie?
– Kiedy bank będzie chciał pozyskać dane osobowe i zweryfikować tożsamość, aplikacja bankowa połączy się z aplikacją portfela tożsamości, a decyzja, które dane udostępnić instytucji finansowej, należeć będzie do klienta. Algorytm będzie przy tym wykazywał, na jaki czas udostępniamy te dane poszczególnym podmiotom, mówimy wszak o udostepnieniu, a nie przekazaniu, jak to ma miejsce obecnie. Dostawca usług poprzez algorytm określi, na jaki czas będzie miał prawo do korzystania z tych danych i wglądu w nie celem wykonania umowy i zabezpieczenia praw obu stron, także po jej wygaśnięciu, a obywatel będzie mieć kontrolę, komu te dane udostępnia. To jest poważna zmiana filozofii, niemniej banki nie będą mieć wyjścia, jeśli same nie wejdą w blockchain, to prawdopodobnie będą zmuszone wdrożyć odpowiednie algorytmy, synchronizujące się z blockchainem przez odpowiednie API. W jakim czasie nowy model będzie gotów do uruchomienia? Stawiam na nieco ponad dwa lata, przy czym od roku do półtora zajmie proces legislacyjny, a kolejne dwanaście miesięcy vacatio legis.
Czy wejście w życie e-tożsamości oznaczać będzie równoległe funkcjonowanie obu form autentykacji: klasycznej i cyfrowej, czy też zmierzamy do świata, w którym formy elektroniczne będą funkcjonowały jako jedyne?
– Projekt rozporządzenia UE nie przewiduje obligatoryjnego charakteru stosowania e-tożsamości, więc instrument ten będzie mieć charakter fakultatywny. Osobiście jestem zwolennikiem wprowadzenia cyfrowej tożsamości jako mechanizmu obowiązkowego i jedynego, co znacząco uprościłoby i uporządkowało funkcjonowanie całego systemu. Podam prosty przykład, jakim jest alternatywne dopuszczenie dwóch form płatności za autostrady po uruchomieniu e-TOLL. Ostatnio, wjeżdżając na autostradę we Wrocławiu, ze zdumieniem zobaczyłem, jak wielu ludzi płaci w formie gotówkowej, podczas gdy wystarczyłoby ściągnąć aplikację. W Irlandii nie ma innej opcji jak jeżdżenie z ichniejszym e-TOLL. Jeśli się nie zdecydujemy w przyszłości na rozwiązania obligatoryjne, to będziemy funkcjonowali w dualnym świecie, co będzie stwarzać iluzoryczne korzyści dla niewielkiej grupy ludzi, dla pozostałych zaś skutkować będzie jedynie kosztami.
Wspomniał pan o blockchain. Pojawiają się różne koncepcje cyfrowej tożsamości, czemu akurat ta zasługuje na szczególną rekomendację?
– Można by równie dobrze odwrócić pytanie i spytać: dlaczego nie blockchain? Europa stoi obecnie w momencie zwrotnym, jeśli chodzi o rozwój cyfrowy, który na Starym Kontynencie jest dość mizerny. Państwa o wyższej kulturze cyfrowej, zwłaszcza azjatyckie, powszechnie stosują technologię blockchain, dlatego Komisja Europejska na początku tej kadencji zdecydowała, że blockchain ma być jedną z sił napędowych e-administracji. Do tego dochodzą projekty rozporządzeń dotyczących choćby walut wirtualnych, tokenizacji procesów, gdzie Komisja Europejska zapowiedziała, wspólnie z Europejskim Bankiem Centralnym, wirtualne euro, które będzie funkcjonować w blockchainie. Poza tym na chwilę obecną nie dysponujemy chyba lepszą technologią, pozwalającą osiągnąć oczekiwane skutki.
Czy wśród tych pożądanych skutków będzie też poprawa bezpieczeństwa w obszarze zdalnej identyfikacji, uzyskana dzięki blockchainowi?
– Odpowiedzią na to pytanie jest chociażby to, co stało się po ataku ransomware na globalny koncern Maersk, który miał miejsce trzy lata temu. W wyniku działań cyberprzestępców zainfekowane zostały wszystkie serwery, poza jednym, który ocalał tylko dlatego, że w danej lokalizacji odnotowano przerwę w dostawie energii elektrycznej. Blockchain powoduje, że takie ataki są znakomicie utrudniane. Do tego należy uwzględnić dość zaawansowane prace nad zabezpieczaniem poszczególnych bloków przed wyliczaniem algorytmu przez komputery kwantowe, z czym bez wątpienia zetkniemy się w przyszłości.
Czyli możemy się spodziewać, iż weryfikacja tożsamości oparta na blockchain pozwoli skutecznie ograniczać zjawisko kradzieży tożsamości, które nie bez kozery określane jest mianem przestępstwa XXI wieku?
– Pozwolę sobie na małą korektę: kradzież tożsamości jest zjawiskiem znanym od niepamiętnych czasów. Nawet w świecie baśni podszywanie się bohaterów pod księcia, królewicza bądź innego czarownika jest na porządku dziennym. Rzecz w tym, że wraz z rozwojem stosunków społecznych, jak i możliwości technicznych pojawiają się z jednej strony skuteczniejsze zabezpieczenia, z drugiej zaś równie efektywne mechanizmy ich łamania po stronie przestępczej. Jeszcze w połowie XIX wieku trudno było mówić o jakichś szczególnie sformalizowanych dokumentach, umożliwiających przekroczenie granicy. To w związku z kradzieżami tożsamości zaczęto wprowadzać różne zabezpieczenia, poczynając od poświadczania dokumentów podpisem przez urzędnika, poprzez pieczęcie, aż po dowody tożsamości, wyposażone w coraz skuteczniejsze mechanizmy ochrony przed fałszowaniem.
Blockchain to kolejny poziom zabezpieczenia, co wcale nie znaczy, że za jakiś czas nie okaże się zbyt słaby, wystarczy, że pojawią się kwantowe komputery. Na dzień dzisiejszy jednak blockchain jest najbezpieczniejszą formą zabezpieczenia naszej tożsamości.
Dziś mamy do czynienia z przeniesieniem tych dokumentów do świata cyfrowego, co jest czymś całkowicie naturalnym, gdyż nasze życie też przechodzi do świata wirtualnego. Co kilka lat dokumenty tożsamości są wymieniane, gdyż technologia ich zabezpieczania ewoluuje. Stare, książkowe dowody osobiste byłyby dziś proste do podrobienia, pierwsza generacja plastikowych dokumentów tożsamości posiadała najdoskonalsze zabezpieczenia, jakimi dysponowano dwie dekady temu. Obecnie podstawową częścią składową jest warstwa elektroniczna, której unieważnienie skutkuje unieważnieniem całego dokumentu. Blockchain to kolejny poziom zabezpieczenia, co wcale nie znaczy, że za jakiś czas nie okaże się zbyt słaby, wystarczy, że pojawią się kwantowe komputery. Na dzień dzisiejszy jednak blockchain jest najbezpieczniejszą formą zabezpieczenia naszej tożsamości.
Jaka technologia musiałaby być wykorzystana, żeby ta cyfrowa tożsamość była nie tylko bezpieczna, ale też wygodna, czy w tym kontekście powinniśmy iść w biometrię?
– Czym innym jest kwestia back office, gdzie mamy w głębi ukryty blockchain i odpowiednie zabezpieczenia bloków, niezmienialność danych i zapewnienie ich autentyczności i integralności, a czym innym front end, czyli sposób, w jaki do tych danych dojdziemy. Można to zrobić prosto, można też w sposób bardzo nieprzyjazny, jak w przypadku e-PUAP. Co do biometrii, to jest ona pewnego rodzaju rozwiązaniem, rzecz w tym, że generuje wiele zastrzeżeń w obszarze zgodności z RODO. Jeśli biometria byłaby powiązana tylko z urządzeniem danej osoby, to nie powinno to generować problemów, jednak z chwilą, kiedy cechy biometryczne byłyby przejęte i przechowywane w chmurze, należy liczyć się z przepisami RODO odnośnie przetwarzania danych wrażliwych. W konsekwencji trzeba będzie przemyśleć, jak taki interfejs powinien wyglądać, biorąc pod uwagę wspomniane trudności z zastosowaniem przepisów RODO, które uważam za najbardziej uzasadnione w zakresie danych biometrycznych.
Na zakończenie przejdźmy do kwestii, która w powszechnym odczuciu kojarzy się z blockchainem nierozerwalnie, choć nieco mylnie, czyli do kryptowalut. Czy jest możliwe, by były one darzone analogicznym zaufaniem, jak pieniądz fiducjarny?
– Zacznijmy od tego, że kryptowaluta nie do końca jest walutą, choć może ona przybierać różne postaci przypominające oficjalne środki płatnicze. Pieniądz prywatny istniał od niepamiętnych czasów, nawet w starożytnym Rzymie występowały takie instrumenty, niemniej ludzie wierzyli tym walutom, na których zamieszczono wizerunek cesarza. Nie sposób się dziwić, że społeczeństwo nie chce akceptować środka płatniczego, wydanego przez podmioty prywatne niemające dużego autorytetu w tym zakresie. Kryptowaluty paradoksalnie miałyby sens, jakby nastąpił upadek państw, kiedy przestałyby one być wypłacalne, kiedy następowałaby ucieczka od aktywów państwowych. Z podobnym zjawiskiem mieliśmy do czynienia choćby w XVIII wieku, kiedy inwestowano w złoto, albo poszczególni książęta niemieccy wydawali swoje środki płatnicze, które miały swą wartość, gdyż gwarantował ją prywatny wydawca. Jeśli polska złotówka nie byłaby gwarantowana przez państwo, nie byłoby odpowiednich zabezpieczeń lub państwo polskie upadłoby, to też nie byłaby ona akceptowana.
Mamy takie systemy, gdzie ludzie korzystają z walut innych państw, jak dolar USA, jest to spotykane szczególnie w krajach, gdzie mamy do czynienia z wielką hiperinflacją. Dlatego się cieszę, że UE podjęła decyzję odnośnie utworzenia wirtualnego pieniądza euro, bo pozwoli to połączyć nowoczesną technologię z argumentami odnośnie zabezpieczenia prawnego, które do tej pory były powiązane z tradycyjną walutą.