mojeID, odpowiedź rynku na potrzebę zdalnego potwierdzania tożsamości konsumenta

Robert Lidke: Na jakim etapie rozwoju jest w tym momencie usługa mojeID?

Piotr Tomasik: Sukcesywnie wdrażamy mojeID u naszych partnerów biznesowych – dostawców usług i dostawców tożsamości. W tej chwili dostawcami tożsamości w mojeID są: PKO Bank Polski, ING Bank Śląski i Bank Pekao.

Prowadzimy zaawansowane prace z kolejnymi bankami. W najbliższych miesiącach usługa będzie dostępna dla większości klientów bankowości detalicznej.

Natomiast po stronie firm, oferujących swoje usługi po uprzednim potwierdzeniu tożsamości, na dziś mamy PGNiG Obrót Detaliczny, Medicover Polska i Open Life Towarzystwo Ubezpieczeń Życie S.A.

Jeszcze w pierwszym kwartale 2020 roku usługa zostanie wdrożona przez kolejnych dużych dostawców usług. Produkcyjne uruchomienia przewidywane są w drugim i kolejnych kwartałach tego roku.

Co trzeba zrobić, żeby skorzystać z usługi mojeID jako zwykły konsument?

− Korzystanie ze zdalnego potwierdzania tożsamości przez konsumenta/użytkownika za pomocą mojeID nie wymaga spełniania żadnych dodatkowych warunków poza posiadaniem dostępu do bankowości elektronicznej i komputera.

Oczywiście – podobnie jak w przypadku dostawcy tożsamości – podmiot, który oferuje usługę udostępnianą z wymogiem potwierdzenia tożsamości, musi być zintegrowany z mojeID poprzez KIR.

Przykładowo: jeżeli chciałby Pan zostać klientem firmy PGNiG i zawrzeć umowę na dostawę gazu, nie musi Pan zgłaszać się z dowodem osobistym do jednego z biur obsługi klienta. Wystarczy uwierzytelnienie na portalu PGNiG i zdalne wyrażenie zgody na treść umowy.

W przypadku kiedy chcemy uruchomić usługę zdalnie, dostawca usług proponuje skorzystanie z mechanizmu potwierdzenia cyfrowej tożsamości, czyli wyświetla na komputerze polecenie: potwierdź swoją tożsamość z mojeID. Następnie jesteśmy przekierowani na tzw. ID wall z listą banków, które oferują usługę i wybieramy swój bank, po czym logujemy się do bankowości internetowej.

Czytaj także: Czy za 4 lata usługi bankowe będą musiały mieć certyfikaty cyberbezpieczeństwa?

Bank, po potwierdzeniu i uzyskaniu naszej zgody, przekazuje do dostawcy usług potwierdzenie tożsamości oraz nasze dane niezbędne do realizacji usługi oferowanej przez dostawcę. Przekazanie danych odbywa się wyłącznie po potwierdzeniu zgody przez użytkownika. Każdorazowo zgoda jest wyrażana na przekazanie konkretnych danych do dostawcy usług w celu realizacji określonej usługi.

To jest mechanizm, który był wykorzystywany dzięki bankowości elektronicznej przy Programie 500+, kiedy Polacy aplikowali, żeby otrzymać to świadczenie. Tylko, że ten mechanizm był wtedy używany do komunikacji z administracją państwową.

− Była to usługa w ramach e-PUAP, podobna w założeniach, ale z innym mechanizmem, gdyż wnioski były składane w bankowości elektronicznej. W kontaktach z podmiotami komercyjnymi dotychczas nie istniało podobnie wygodne i zaufane rozwiązanie.

Teraz dzięki usłudze cyfrowego potwierdzania tożsamości, zdalne uwierzytelnienie jest rozwijane zarówno w sektorze usług publicznych ‒ w postaci węzła krajowego tożsamości („login.gov.pl”), jak i prywatnych ‒ w postaci mojeID.

W przyszłości, korzystając z usług zdalnych, będziemy potwierdzać swoją tożsamość właśnie w ten uniwersalny sposób, zarówno w usługach publicznych, jak i sektorze prywatnym.

Co się stanie z usługą mojeID, kiedy będą już w użyciu dowody elektroniczne, czyli plastikowy dowód z „zaszytą” funkcjonalnością cyfrową?

− Równoległe wprowadzanie różnych rozwiązań, umożliwiających zdalną identyfikację tożsamości i rosnąca konkurencja na tym polu jest całkowicie naturalnym zjawiskiem. Warto zauważyć, że w Polsce przyjęto federacyjny model potwierdzania tożsamości – to oznacza, że różne rozwiązania mogą współistnieć na zasadzie komplementarności.  

Dowód elektroniczny może być zatem jedną z dopuszczalnych form pozyskania środka identyfikacji na potrzeby systemu identyfikacji (w tym zakresie można wyobrazić sobie sytuację, gdy sektor publiczny staje się dostawcą tożsamości poprzez środek uwalniany z warstwy elektronicznej dowodu dla usługi mojeID).

Zastosowanie elektronicznego dowodu osobistego w świecie cyfrowym wiąże się z pewnymi dodatkowymi wymogami, które wszyscy uczestnicy będą musieli spełnić (np. posiadać czytnik).

Dotychczasowe doświadczenia pokazują, że tylko 30% nowych użytkowników aktywuje warstwę elektroniczną, a to oznacza, że sama wymiana dowodów nie wystarczy, by dowód elektroniczny stał się elementem systemu eID. Warto również pamiętać, że proces wymiany dowodów elektronicznych będzie trwał do końca okresu ważności wydanych wcześniej dokumentów (najczęściej 10 lat).

Mamy też inne bariery dla tego rozwiązania. Przykładowo, dowód elektroniczny wykorzystuje technologię NFC, lecz w tej chwili jego użycie wymaga czytnika, który musi spełniać wysokie standardy bezpieczeństwa i wiąże się z poniesieniem dodatkowego kosztu.

Natomiast z usługi mojeID można korzystać już dzisiaj i bez konieczności posiadania żadnych dodatkowych urządzeń, takich jak czytniki.

Dodatkowo mojeID zapewnia dynamiczne potwierdzenie danych, w przeciwieństwie do statycznego, jak w przypadku e-dowodu czy certyfikatu. W ramach mojeID dostawca usługi otrzyma tylko takie dane, jakich faktycznie potrzebuje i których przekazanie zaakceptuje klient, a nie wszystkie, jakie są w e-dowodzie.

Czytaj także: Digital ID: przyszłość sektora płatności elektronicznych ?

W mojeID nie działa zasada „daj wszystko albo nic”, lecz „daj tyle, ile jest konieczne”. Dodatkowo mojeID pozwala na uwolnienie znacznie szerszego zakresu danych niż e-dowód, ale z drugiej strony również ograniczenie tego zakresu do pojedynczych danych o kliencie.

Nie zapominajmy, że dowód, będący fizycznym nośnikiem naszej tożsamości, może być wykorzystywany analogowo, np. w urzędach administracji. Dla zastosowań internetowych obywatele mają do dyspozycji Profil Zaufany, który jest również wspierany przez tożsamość bankową.

Nie jest uzasadnione przeciwstawianie tych rozwiązań, lecz raczej spojrzenie na nie jako uzupełniające się systemy nowoczesnego państwa cyfrowego.

To wszystko wiąże się przede wszystkim z identyfikacją konsumenta. Obecnie pojawiają się nowe metody weryfikacji, behawioralne, które polegają na obserwacji danej osoby. I na podstawie tego, jak się zachowuje, jaki ma tryb działania, jak pisze, np. na tablecie – można ją zweryfikować. Czy tego typu możliwość autentykacji może być konkurencją dla mojeID?

− Metody behawioralne nie dostarczają danych identyfikacyjnych, typu imię, nazwisko czy PESEL. Metody te dotyczą raczej klientów już istniejących i bardziej odnoszą się do kwestii zabezpieczeń. Dlatego też, mimo swych niewątpliwych zalet w zakresie podwyższenia poziomu bezpieczeństwa, nie są one konkurencyjne dla identyfikacji elektronicznej.

Domyślam się jednak, że chodzi tu o metody weryfikacji użytkowników alternatywne do mojeID.

Obecnie na rynku nie są dostępne metody weryfikacji tożsamości stanowiące konkurencję sensu stricto dla mojeID, które spełniają wymogi formalne rozporządzenia Parlamentu Europejskiego eIDAS nr 910 z roku 2014.

To oznacza, że w przypadku powstania jakiegokolwiek sporu czy wątpliwości wobec potwierdzonej tożsamości, zastosowanie mają konkretne przepisy prawa. W tak rozumianych usługach identyfikacji elektronicznej zidentyfikowani są wszyscy uczestnicy systemu, a szczegółowe regulaminy definiują pola odpowiedzialności w całym procesie. Zgodność z regulacjami powinna stanowić o zaufaniu do danej usługi i wpływać na decyzje konsumenta.

Niekiedy próbuje się zapewnić identyfikację online poprzez wykorzystanie wideoweryfikacji. Nie rozwodząc się na temat poziomu bezpieczeństwa tej metody, jest to proces czasochłonny, nieintuicyjny i zwykle trudny do zaakceptowania dla klienta.

Głównie ze względu na konieczność poddania się procedurze naruszającej naszą prywatność i wymagającej udostępnienia szerszego zakresu danych osobowych niż to jest konieczne dla usługodawcy, np. wizerunku. W rezultacie jej zastosowanie wymaga sporej dozy determinacji ze strony klienta.

Czytaj także: Czego potrzeba do stworzenia nowoczesnej bankowości 2.0?

Warto by klient był świadomy poziomu bezpieczeństwa zapewnianego przez mojeID. Wierzymy, że w trosce o własne dane wielu użytkowników będzie wybierało usługę dostarczaną przez spółkę, która ma stosowne certyfikaty i kompetencje, jako dostawca usług świadczonych w oparciu o tożsamość potwierdzaną przez banki, czyli instytucje zaufane, które podlegają nadzorowi regulatora i są poddawane przeprowadzanym okresowo audytom.

Zapotrzebowanie na usługi zaufania i identyfikacji elektronicznej będzie rosło, ponieważ są sektory gospodarki, których rozwój uzależniony jest od bezpieczeństwa danych i odpowiedzialnego podejścia do ryzyka.

Cyfrowa identyfikacja z wykorzystaniem takiego narzędzia jak mojeID jest optymalnym rozwiązaniem, bo tożsamość potwierdza się bardzo prosto, kilkoma kliknięciami, w czasie rzeczywistym. Tym samym zachowujemy pełen komfort dla klienta i najwyższe bezpieczeństwo.

Czy Pana zdaniem jakaś instytucja państwowa, może KNF albo UOKiK powinna wyrazić opinię, które metody identyfikacji są bardziej bezpieczne, a które mniej bezpieczne?

− Bez wątpienia, jeśli chodzi o usługi cyfrowe, kwestią nadrzędną jest bezpieczeństwo danych klienta. Dla KIR jest to absolutny priorytet, który potwierdzamy na co dzień poprzez jakość dostarczanych rozwiązań. Nasze usługi od ponad dwóch dekad są weryfikowane przez regulatorów i przez rynek.

KIR poddając się ustawowej procedurze i uzyskując decyzję ministra cyfryzacji w zakresie przyłączenia systemu mojeID do Węzła Krajowego, a także integrując usługę z systemem Profilu Zaufanego w Ministerstwie Cyfryzacji, potwierdził już – niejako urzędowo – bezpieczeństwo i legalność mojeID.

Pojawianie się wielu różnych rozwiązań zdalnej identyfikacji dowodzi rosnącego zapotrzebowania na tego typu usługi. Rośnie także społeczna świadomość wartości danych osobowych i konieczności ich właściwego chronienia. Dlatego zapytania o bezpieczeństwo poszczególnych rozwiązań już się pojawiają i należy się spodziewać, że będą coraz częstsze.