Europejski portfel tożsamości cyfrowej (rozporządzenie eIDAS2)

A skoro lada dzień wchodzi w życie rozporządzenie eIDAS2, ale media już od jakiegoś czasu huczą, tak mnie właśnie naszło sprawdzić czym ma być europejski portfel tożsamości cyfrowej (rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1183 z 11 kwietnia 2024 r. w sprawie zmiany rozporządzenia (UE) nr 910/2014 w odniesieniu do ustanowienia europejskich ram tożsamości cyfrowej).


Palermo Centrale
Ujęcie kompletnie ilustracyjne — tyle, że jest jakaś maszyna elektroniczna i zostało cyknięte zagranicą (fot. Magdalena Rudak, CC BY-SA 4.0)

A mianowicie, w pewnym skrócie:

  • generalne założenie jest proste: świat się zmienia, informatyzuje się nawet sfera publiczno-administracyjna (w Polsce jest piekielnie wygodna aplikacja mObywatel) — Unia Europejska nie może tego przeoczyć, więc należy wdrożyć bezpieczne i wygodne rozwiązania cyfrowe;
  • narzędziem takim ma być europejski portfel tożsamości cyfrowej — mobilny środek identyfikacji pozwalający każdemu użytkownikowi na łatwe uwierzytelnienie i potwierdzanie tożsamości, zarówno w życiu online jak i offline (tutaj rozumiany jako wykorzystanie przy fizycznej obecności, acz przy użyciu technologii zbliżeniowych , tak we własnym kraju, jak i w zakresie usług transgranicznych;

art. 3 pkt 42 rozporządzenia 910/2014 w/s identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym 
„europejski portfel tożsamości cyfrowej” oznacza środek identyfikacji elektronicznej, który umożliwia użytkownikowi bezpieczne przechowywanie i walidację danych identyfikujących osobę i elektronicznych poświadczeń atrybutów oraz bezpieczne zarządzanie tymi danymi i poświadczeniami na potrzeby udostępniania ich stronom ufającym oraz innym użytkownikom europejskich portfeli tożsamości cyfrowej, i który umożliwia składanie kwalifikowanych podpisów elektronicznych lub kwalifikowanych pieczęci elektronicznych

  • dla jasności: wszystkie cyfrowe portfele muszą być wzajemnie uznawane w całej UE, ale nic nie wskazuje na to, by europejski portfel tożsamości cyfrowej miał zastąpić paszporty — o cyfrowych dokumentach podróży mówi się w kontekście przyszłości, natomiast jako przykład „elektronicznie poświadczanych atrybutów” wskazuje się „kwalifikacje zawodowe, tytuły i licencje”, a także „publicznoprawne zezwolenia i licencje” (zaś w motywach regulacji dookreśla je np. jako prawo jazdy);
  • korzystanie z elektronicznego portfela tożsamości cyfrowej nie będzie obligatoryjne — jego używanie i zaprzestanie używania jest prawem, a nie obowiązkiem użytkownika, a także będę wydawane nieodpłatnie;
  • ważne: elektroniczne portfele tożsamości cyfrowej będą wydawane przez dostawców usług zaufania — i tu jest chyba największa różnica wobec aplikacji mObywatel, której wydawcą jest ministerstwo — acz pod nadzorem władz, które w tym celu będą musiały wyznaczyć odpowiedni organ nadzorczy;
  • stąd też rozporządzenie eIDAS2 wprost mówi o umożliwieniu konkurencji między usługodawcami: każdy powinien mieć prawo wyboru i zmiany dostawcy (acz tylko w obrębie państwa), włącznie z możliwością przenoszenia danych; biorąc natomiast pod uwagę potrzebę integracji z rozwiązaniami sprzętowymi zwraca się uwagę na obowiązki sprzętu mobilnego i dostawców usług łączności elektronicznej, a także strażników dostępu w/g rozporządzenia DMA;
  • dla bardziej technicznych: rozporządzenie eIDAS2 zapewnia najwyższy poziom ochrony danych i bezpieczeństwa (kryptografia, etc.) portfeli, odpowiednie rozwiązania mają być uwzględniane już na etapie projektowania — wśród wskazanych zagadnień znajdziemy m.in. ochronę przed kradzieżą tożsamości, ale też zapewnienie prywatności wykonywanych operacji nawet przed dostawcą portfela („nieobserwowalność”);
  • zaś państwa będą miały obowiązek ujawnienia i opublikowania na otwartej licencji kodu źródłowego oprogramowania — a to dla zwiększenia zaufania użytkowników — z wyjątkiem jednak takich elementów jak „bibliotek programistycznych, kanału komunikacji lub innych elementów, które nie są przechowywane na urządzeniu użytkownika”, które ze względów bezpieczeństwa mogą być nieujawniane;
  • zgodnie z założeniem europejski portfel tożsamości cyfrowej ma wykorzystać doświadczenia z już istniejącymi rozwiązaniami (nasza rodzima aplikacja mObywatel ma szansę posłużyć jako wzorzec dla innych rozwiązań), zaś jego imponujący katalog funkcjonalności obejmuje m.in. prezentację danych o tożsamości użytkownika i „przedstawianie się” poprzez wymianę tych danych, uwierzytelnianie offline i online, np. przy logowaniu do serwisów internetowych;

art. 5a ust. 4 rozporządzenia 910/2014
Europejskie portfele tożsamości cyfrowej muszą umożliwiać użytkownikowi, w sposób przyjazny, przejrzysty i identyfikowalny dla użytkownika:
a) bezpieczne żądanie, otrzymywanie, wybieranie, łączenie, przechowywanie, usuwanie, udostępnianie i prezentację – pod wyłączną kontrolą użytkownika – danych identyfikujących osobę oraz, w stosownych przypadkach, w połączeniu z elektronicznymi poświadczeniami atrybutów, uwierzytelnianie wobec stron ufających w trybie online oraz, w stosownych przypadkach, w trybie offline, w celu uzyskania dostępu do usług publicznych i prywatnych, przy jednoczesnym zapewnieniu możliwości selektywnego ujawniania danych;
b) generowanie pseudonimów i przechowywanie ich w zaszyfrowanej formie i lokalnie w europejskim portfelu tożsamości cyfrowej;
c) bezpieczne uwierzytelnianie europejskiego portfela tożsamości cyfrowej innej osoby oraz otrzymywanie i udostępnianie danych identyfikujących osobę i elektronicznych poświadczeń atrybutów w bezpieczny sposób między dwoma europejskimi portfelami tożsamości cyfrowej;
d) dostęp do rejestru wszystkich transakcji przeprowadzonych z wykorzystaniem europejskiego portfela tożsamości cyfrowej za pomocą wspólnego panelu zarządzania umożliwiającego użytkownikowi:
(i) przeglądanie aktualnej listy stron ufających, z którymi użytkownik ustanowił połączenie, oraz, w stosownych przypadkach, wszystkich udostępnionych danych;
(ii) łatwe zażądanie od strony ufającej usunięcia danych osobowych zgodnie z art. 17 rozporządzenia (UE) 2016/679;
(iii) łatwe zgłaszanie strony ufającej właściwemu krajowemu organowi ochrony danych, w przypadku otrzymania przypuszczalnie niezgodnego z prawem lub podejrzanego żądania udostępnienia danych;
e) składanie kwalifikowanych podpisów elektronicznych i kwalifikowanych pieczęci elektronicznych;
f) pobieranie, w zakresie, w jakim jest to technicznie wykonalne, danych użytkownika, elektronicznych poświadczeń atrybutów i konfiguracji;
g) korzystanie z praw użytkownika do przenoszenia danych.

  • ba, europejski portfel tożsamości cyfrowej powinien umożliwiać użytkownikowi tworzenie i używanie” kwalifikowanych podpisów elektronicznych i pieczęci elektronicznych (tworzenie, czyli aplikacja taka nie będzie tylko nośnikiem dla e-podpisu, jak nasz fizyczny dowód osobisty z warstwą elektroniczną — ja to rozumiem w ten sposób, że ma być narzędziem umożliwiającym wygenerowanie dla siebie podpisu „bez konieczności przechodzenia przez jakiekolwiek dodatkowe procedury administracyjne”, czyli auto-potwierdzenie tożsamości w aplikacji powinno być traktowane jak potwierdzenie tożsamości w punkcie czy via bankowość elektroniczną);
  • (ciekawostka na marginesie: rozporządzenie eIDAS2 zakłada, iż „użycie kwalifikowanego podpisu elektronicznego powinno być nieodpłatne dla wszystkich osób fizycznych do celów innych niż profesjonalne”, natomiast państwa mogą wprowadzić środki zapobiegające używaniu tych darmowych e-podpisów w celach profesjonalnych);
  • ciekawą nowością będzie także możliwość generowania pseudonimów służących do uwierzytelniania się w celu uzyskania dostępu do usług online — prawodawca wprost wskazuje, iż nie można zakazywać identyfikowania się pseudonimami w zakresie usług elektronicznych (chyba że prawo krajowe wprost wymaga identyfikacji tożsamością „rzeczywistą”);
  • dla jasności: ten katalog zastosowań portfela cyfrowego nie jest zamknięty, albowiem w motywach rozporządzenia mówi się o zintegrowaniu portfeli z ekosystemem publicznych i prywatnych usług cyfrowych, a to m.in. poprzez umożliwienie wprowadzania dodatkowych funkcji — oraz zobowiązanie bardzo dużych platform internetowych akceptowania europejskiego portfelu tożsamości cyfrowej jako sposobu uwierzytelniania się w celu dostępu do usług online;

art. 5f ust. 3 rozporządzenia 910/2014
W przypadku gdy dostawcy bardzo dużych platform internetowych, o których mowa w art. 33 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2065, wymagają uwierzytelniania użytkownika do celów dostępu do usług online, akceptują i ułatwiają oni również używanie europejskich portfeli tożsamości cyfrowej, które są zapewniane zgodnie z niniejszym rozporządzeniem, do celów uwierzytelnienia użytkownika, wyłącznie na dobrowolny wniosek użytkownika oraz w odniesieniu do minimalnych danych niezbędnych do celów konkretnej usługi online, która wymaga uwierzytelnienia użytkownika.

  • dla jasności: każdy podmiot („strona ufająca”), który będzie zamierzał wykorzystywać portfele tożsamości cyfrowej w celu świadczenia usług, będzie miał obowiązek zarejestrować się, wskazując w szczególności sposób ich używania, w tym zakres danych pozyskiwanych od użytkowników (taki usługodawca nie będzie miał prawa pozyskiwać innych danych, niż wskazane w publicznym rejestrze).

Od kiedy to wszystko? Ano:

  • rozporządzenie 2024/1183 opublikowano w Dzienniku Urzędowym UE w dniu 30 kwietnia 2024 r., a wchodzi ono w życie już 20 maja 2024 r.;
  • teraz piłeczka jest po stronie Komisji Europejskiej, która ma obowiązek, najpóźniej do 21 listopada 2024 r., opublikować regulacje dotyczące wdrożenia europejskich portfeli tożsamości cyfrowej (m.in. specyfikacje i procedury umożliwiające uzyskanie funkcjonalności, mechanizmy integracji, weryfikacji autentyczności i ważności, a także certyfikacji portfeli, etc.);
  • natomiast każde państwo będzie miało obowiązek zapewnić co najmniej jeden europejski portfel tożsamości cyfrowej najpóźniej w terminie 24 miesięcy od wejścia w życie tych regulacji.

Wydaje się więc, że jest szansa, iż jakoś pod koniec roku 2026 (może na początku 2027) pierwsze takie rozwiązania zaczną być dostarczane zainteresowanym użytkownikom.

subskrybuj
Powiadom o
guest

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.

7 komentarzy
Oldest
Newest
Inline Feedbacks
zerknij na wszystkie komentarze
7
0
komentarze są tam :-)x