Vyšlo na Lupě, 11.01.2021
Vytištěno z adresy: http://www.earchiv.cz/b21/b0111001.php3

Bankovní identita startuje. Potrvá jí to nejspíše celý leden

Přihlašování přes tzv. bankovní identitu u České spořitelny a ČSOB již odstartovalo. Nikoli ale pro všechny klienty najednou, nýbrž postupně. Proč to zřejmě bude trvat celý měsíc?

Nedávno skončený rok 2020 byl rokem příprav tzv. bankovní identity. Její skutečné spuštění ale muselo počkat až na letošní rok, protože nezbytné legislativní změny nabyly účinnosti až k 1. 1. 2021. Klíčový byl nový § 1 odst. 4 písm. c) zákona č. 21/1992 Sb., o bankách, protože až ten umožnil bankám podnikání v oblasti elektronické identifikace a služeb vytvářejících důvěru.

První nabídky přihlášení pomocí bankovní identity „přes NIA“ se ale objevily ještě před loňskými vánočními svátky – ovšem s označením, že jde teprve o ověřovací provoz.

 
 

Při pokusu o využití těchto nově dostupných možností uživatel, nezapojený do ověřovacího provozu, skončil na stránce oznamující, že jde opravdu jen o ověřovací, resp. zkušební provoz. Nicméně třeba Česká spořitelna avizovala trvání zkušebního provozu do 1. 1. 2021 a možnost využití – již ne ve zkušebním provozu – někdy „po 1. 1. 2021“.

 
 

A je docela dobře možné, že ostrý provoz skutečně začal hned od 1. 1. 2021. Jen nějakou dobu trvá, než se dostane na všechny zájemce – protože banky musí projít procesem „ztotožnění“ elektronických identit svých zákazníků s elektronickými identitami občanů, které vede stát. Což nejspíše nešlo udělat dopředu (před 1. 1. 2021), ale banky s tím musely počkat až na účinnost příslušných zákonných ustanovení. A nyní jim to zabere docela dost času, viz i nedávná aktualita zde na Lupě.

 
 

Podle informací od Správy základních registrů (která provozuje uzel NIA) se totiž za den stihne provést potřebné ztotožnění jen u cca 50 000 uživatelů. A jelikož se obě banky rozhodly provést takovéto ztotožnění u všech svých „digitálních“ klientů, zabere jim to nejspíše celý leden. Třeba Česká spořitelna se nechala slyšet, že:

V průběhu ledna dojde k postupnému ověřeni identity ze strany státu u všech 1,7 mil. digitálních klientů ČS.

Existují tedy uživatelé, kterým již několik dní fungují obě možnosti přihlašování prostřednictvím jejich bankovní identity, přes Českou spořitelnu i ČSOB. Ale i tací, kterým stále nefunguje ani jedna (jako třeba autorovi tohoto článku, do redakční uzávěrky).

Jak to celé funguje?

Praktické důvody tohoto „postupného náběhu“ souvisí s celkovou koncepcí elektronické identifikace v rámci našeho eGovernmentu, která je postavena na nepřímém modelu. Nepřímém proto, že komunikace mezi poskytovateli služeb (SeP, Service Provider), k jejichž službám se uživatelé přihlašují, a poskytovateli identit (IdP, Identity Provider), přes které se uživatelé přihlašují, neprobíhá přímo – ale vždy jen přes prostředníka, kterým je tzv. národní bod, zjednodušeně: NIA.

 
 

V rámci tohoto nepřímého modelu mohou přibývat noví poskytovatelé identit (IdP), a to i z řad soukromoprávních subjektů. Musí ale projít formální akreditací a stát se kvalifikovanými správci kvalifikovaných systémů (elektronické identifikace). Nabízet mohou různé varianty přihlašování, nejrůznějšími kombinacemi jmen, hesel, klíčů, certifikátů atd. – formálně prostřednictvím tzv. prostředků pro elektronickou identifikaci. Každý z nich má určitou úroveň záruky, představující celkové hodnocení spolehlivosti přihlašování prostřednictvím tohoto prostředku (možné úrovně jsou: „nízká“, „značná“ a „vysoká“).

Postupně takto přibyla společnost I.CA, která nabídla přihlašování prostřednictvím své karty Starcos (s úrovní záruky „vysoká“). Jako další přišlo sdružení CZ.NIC, která umožňuje přihlašování pomocí své služby mojeID, doplněné o další autentizační faktor (zatím s úrovní záruky „značná“).

No a nyní v roli poskytovatelů identit přichází i první banky se svými bankovními identitami. Konkrétně jde o Českou spořitelnu a ČSOB, které mají v rámci svých akreditací (zde a zde) možnost nabízet prostředky (pro elektronickou identifikaci) s úrovní „značná“ (a ČSOB i jeden prostředek s úrovní „nízká“). V závěsu za nimi nejspíše již brzy přijde i Komerční banka, která také již získala potřebnou akreditaci.    

Výhodou nepřímého modelu je to, že když takto přibude nějaký nový poskytovatel identit (IdP), jako právě nyní první banky, pak jeho prostřednictvím (resp. přihlášením přes tohoto IdP) je ihned možné se dostat ke všem službám, které jsou v tomto modelu (tj. „přes NIA“) dostupné. Tedy přihlásit se ke všem poskytovatelů služeb (SeP).  

Jedinou zábranou může být úroveň záruka: každá poskytovaná služba vyžaduje určitou úroveň záruky ­– a tak je možné se k ní přihlásit jen pomocí prostředku, který má stejnou či vyšší úroveň záruky. Například budoucí legalizace elektronického podpisu, dle § 6 odst. 1 písm. b) zákona č. 12/2020 Sb., o právu na digitální služby, vyžaduje úroveň záruky „vysoká“, a nebude tak dostupná pro uživatele, kteří se budou přihlašovat prostřednictvím své bankovní identity. Nikoli z principu věci, ale kvůli tomu, že žádný z prostředků (pro elektronickou identifikaci), které banky mohou (dnes) vydávat, nemá požadovanou úroveň záruky („vysoká“).

Nepřímý model je výhodný i pro samotné poskytovatele služeb (SeP): oni se nemusí nijak přizpůsobovat novým poskytovatelům identit (IdP), jakmile tito začnou reálně fungovat – jako nyní první banky. Jediné, čemu se poskytovatelé služeb musí přizpůsobit a co se musí jednorázově „naučit“, je komunikace s NIA coby oním univerzálním prostředníkem v celém tomto nepřímém modelu.

Dokonce je to tak, že poskytovatelé služeb (SeP) vůbec nevědí o existenci nových poskytovatelů identit (IdP). Protože NIA, coby prostředník celého nepřímého modelu, od sebe obě strany (poskytovatele služeb a poskytovatele identit) odděluje tak dokonale, že o sobě vůbec nevědí: poskytovatel služby neví, jakým způsobem se k němu konkrétní uživatel přihlašuje – zda přes svou bankovní identitu, pomocí své eOP, přes mojeID, či jinak. A opačně: banka, přes kterou se někdo přihlašuje, neví, kam se dotyčný uživatel přihlašuje.

Tento způsob fungování nepřímého modelu má dva významné důsledky. Prvním z nich je to, že prostředník (NIA) ví o všem a také si to vše pamatuje. I vy se díky tomu můžete podívat na historii svého přihlašování přes NIA.

 
 

Proč to muselo jít postupně

Druhý důsledek je důvodem toho, proč bankám trvá určitou dobu, než dokáží poskytnout své služby bankovní identity všem svým klientům, resp. proč to musí jít postupně a trvá to tak dlouho.  

Vtip je v tom, že poskytovatelé identit (IdP), a tedy i banky, v našem nepřímém modelu vlastně žádnou identitu neposkytují. Tedy, přesněji: neposkytují ji poskytovatelům služeb (SeP). Těm ji poskytuje prostředník (NIA) a jde o onu státem vedenou a státem garantovanou elektronickou identitu, která je obsažena v základních registrech (kam si pro ni NIA „sahá“).  

To, co dělá banka, stejně jako kterýkoli jiný subjekt v roli IdP („poskytovatele identit“), jsou spíše služby charakteru autentizace: banka potvrzuje prostředníkovi (NIA), že jste to skutečně vy. Ne někdo jiný, kdo se za vás jen vydává.

Aby ale banka (či jiný IdP) mohla něco takového dělat, musí se nejprve obě strany shodnout na tom, že mají na mysli stejnou fyzickou osobu. Protože když se přihlašujete přes svou banku (když využíváte služeb bankovní identity), banka vás také musí nějak identifikovat – musí poznat, za koho se vydáváte. Právě k tomu slouží vaše bankovní identita: bance se představíte jako její klient XY. Přesněji: jako klient, kterého banka zná (a má ve své evidenci klientů) pod identifikátorem XY.

Pak ještě musíte banku přesvědčit, že jste skutečně oním klientem XY, a ne někým, kdo se za něj pouze vydává. To už je autentizace, a provádí se prostřednictvím určitého počtu tzv. autentizačních faktorů: minimálně zadáním správného hesla (což může stačit jen na úroveň „nízká“), častěji ještě pomocí něčeho dalšího (aby to mohla být alespoň úroveň „značná“). Může to být třeba jednorázové heslo (zaslané přes SMS, vygenerované aplikací apod.), certifikát (resp. odpovídající soukromý klíč), ale v případě bank jde stále častěji o nějaký „mobilní klíč“ (řádně nakonfigurovanou aplikaci, běžící na mobilním zařízení). V případě České spořitelny je to tzv. George klíč, u ČSOB její Smart klíč.

Teď ale: když jste úspěšně přihlášeni „jako klient XY u banky Z“ a banka ví, že jste to skutečně vy, musí tuto informaci předat prostředníkovi (uzlu NIA). Nedělá to ale tak, že by uzlu NIA předala vaše jméno, bydliště, datum narození a další vaše údaje, které dohromady tvoří vaši bankovní identitu u této banky („to, co o vás banka ví“).

To, co banka Z předává prostředníkovi (NIA), je tzv. bezvýznamový směrový identifikátor (BSI) příslušné konkrétní osoby. Můžeme si jej představit jako určitou přezdívku, pod kterou je stejná osoba známá oběma stranám (bance i NIA).

Jinými slovy: každý klient banky Z má (od NIA) přidělenu konkrétní hodnotu identifikátoru BSI, kterou zná jak banka, tak i NIA. Nechť je to v případě klienta XY hodnota PQ. Banka tedy v situaci, kdy se přes ni přihlašuje její klient XY, předá uzlu NIA informaci ve smyslu: „jde o osobu, kterou oba známe pod přezdívkou PQ, a je to skutečně ona“.

 
 

Prostředník (NIA) musí mít pro každého poskytovatele identit (a tedy i pro banku Z) k dispozici potřebný převod, ve smyslu: osoba, kterou společně s bankou Z známe pod přezdívkou PQ, je u mne (resp. v základních registrech) vedena jako osoba CD.

Další postup je pak již zřejmý: prostředník (NIA) se podívá do základních registrů, najde si zde údaje o osobě CD (tedy údaje z jeho státem vedené elektronické identity) a v požadovaném rozsahu je předá tomu poskytovateli služby (SeP), ke kterému se přihlašující se osoba právě přihlašuje.

No a to, co dnes stále ještě probíhá, a bude probíhat nejspíše ještě celý leden, je potřebná synchronizace mezi identitami klientů u bank a státem vedenými identitami v základních registrech. Tedy přidělování oněch bezvýznamových směrových identifikátorů (BSI) a sestavování potřebných převodních tabulek mezi jejich bankovními identitami a BSI na straně jedné a mezi BSI a státem vedenými identitami na straně druhé. Tak, aby mohl fungovat výše naznačený způsob komunikace, v rámci které se mezi bankou (či kterýmkoli jiným poskytovatelem identity) a uzlem NIA předává jen ona přezdívka (bezvýznamový směrový identifikátor).

Jak se přihlašuje s bankovní identitou „přes NIA“?

Ukažme si nyní, jak toto vše probíhá prakticky, z pohledu přihlašujícího se uživatele.

Když se chci přihlásit k některému poskytovateli služeb, ke kterému se lze přihlásit přes NIA (seznam zde), zvolím tuto variantu přihlášení. Samozřejmě je dobré již zde dbát na bezpečnost a zajímat se o to, zda jsem na skutečných stránkách příslušného poskytovatele, a ne na nějakých podvržených stránkách.

 
 

V dalším kroku mohu očekávat své přesměrování na stránky NIA (a i zde bych se měl ujistit, že jsem skutečně na stránkách NIA). V rámci tohoto přesměrování poskytovatel služby adresuje uzlu NIA požadavek ve smyslu: potřebuji, aby se uživatel přihlásil s úrovní záruky X (možnosti jsou opět: „nízká“, „značná“ a „vysoká“). Podle tohoto požadavku mi pak NIA nabídne výčet aktuálně dostupných možností přihlášení, které mají stejnou či vyšší úroveň přihlášení.

Pokud by poskytovatel služby požadoval přihlášení s úrovní „vysoká“, nabídla by NIA aktuálně jen dvě možnosti, které této úrovně dosahují: eOP a kartu Starcos od I.CA.

 
 

Banky ale cílí primárně na úroveň „značná“, i když v rámci své akreditace mohou mít i prostředky s úrovní „nízká“ (jako např. ČSOB, kde onen prostředek tvoří jen jméno a heslo).

Pokud poskytovatel služby požaduje (alespoň) úroveň „značná“, jako například při přihlašování k datovým schránkám, je už nabídka možností přihlášení (kterou mi předkládá NIA) výrazně bohatší a zahrnuje i možnosti přihlášení přes konkrétní banky, resp. bankovní identity.

 
 

No a pokud bych se chtěl přihlásit někam, kde akceptují i úroveň „nízká“ (jako například na Portálu občana), našel bych mezi dostupnými možnostmi přihlášení i prostředky (resp. dnes jen jeden prostředek, konkrétně od ČSOB), které odpovídají jen této úrovni („nízká“).

 
 

Pokud si v konkrétní nabídce vyberu některou z možností přihlášení přes banku, jsem opět přesměrován, a to na stránky příslušné banky. Zde se musím přihlásit tím způsobem (prostředkem pro elektronickou identifikaci), který jsem předtím zvolil v nabídce NIA. Podle toho, co jsme si popisovali výše, se budu přihlašovat jako osoba XY. Tedy k identitě, pod kterou mne zná moje banka.

Způsob, jak k tomuto přihlašování přistoupila Česká spořitelna a ČSOB, se ale poněkud liší. Nebo alespoň v současné době. V případě spořitelny je totiž přihlašovací stránka (na následujícím obrázku nahoře) velmi podobná té, která slouží pro přihlášení k internetovému bankovnictví této banky (dole) – jen s uvedením toho, že přihlášení „směřuje“ k NIA, resp. k národnímu bodu. Obě stránky také sídlí na stejné doméně (i konkrétním URL).

 
 

Naproti tomu při přihlašování přes ČSOB se uživatel, přesměrovaný z NIA, dostane na stránku (s nápisem: „Přihlášení bankovní identitou“), již výrazněji odlišnou od té, skrze kterou se jinak přihlašuje do internetbankingu této banky (na obrázku dole). Obě stránky také sídlí na jiné doméně třetí úrovně.

 
 

Další postup je závislý na tom, o jaký konkrétní způsob přihlášení (prostředek) jde. Dovolím si předpokládat, že pro úroveň „značná“ budou banky upřednostňovat varianty s jejich klíči. Tedy s nakonfigurovanými mobilními aplikacemi, které si uživatelé provozují na svých mobilních zařízeních a které představují další autentizační faktor (resp. faktory). I následující obrázek ukazuje, jak jsem po zadání svého uživatelského jména vyzván k potvrzení své identity právě skrze klíč České spořitelny (George klíč).

 
 

Další krok tedy již musím udělat na svém mobilu, na kterém mám řádně nastavený příslušný mobilní klíč.

 
 

Pokud svůj požadavek prostřednictvím mobilního klíče správně autentizuji, měl bych být přihlášen k příslušné bance. Zde tedy k České spořitelně, a to jako osoba XY (ve výše popisovaném smyslu).

Nicméně banka mne po úspěšném přihlášení ihned vrátí (přesměruje) zpět k NIA. V rámci tohoto přesměrování se NIA od banky (Z) dozvídá ono „jde o osobu, kterou oba známe pod přezdívkou PQ“, což si NIA přes svou převodní tabulku (tu pro banku, resp. poskytovatele identity Z) převede a zjistí, že v rámci její evidence (v rámci státem vedené elektronické identity) jde o osobu CD.

Následně si NIA „sáhne“ do základních registrů a získá z nich takový rozsah údajů o osobě CD, jaký je v daném případě požadován (jaký požaduje ten poskytovatel služeb, SeP, ke kterému se uživatel právě přihlašuje, pro konkrétní požadovanou službu).

Předání těchto údajů již probíhá zcela nezávisle na tom, jak („přes koho“) se uživatel přihlašuje, a tedy i nezávisle na případném využití bankovní identity: nejprve musí být získán souhlas s předáním požadovaného rozsahu údajů příslušnému poskytovateli. Takový souhlas mohl být dán někdy dříve jako trvalý (a pak je u NIA veden ve výčtu trvale udělených souhlasů příslušného uživatele).

 
 

Pokud nebyl souhlas udělen jako trvalý, je uživatel vyzván k jeho udělení. Přitom se samozřejmě dozví, komu má svůj souhlas udělit (kterému poskytovateli služby). Už ale nevidí, jakým způsobem se právě přihlašuje (přes kterého poskytovatele identity, resp. IdP).

 
 

Ostatně udělení souhlasu s poskytnutím údajů (konkrétnímu poskytovateli služeb) je nezávislé na způsobu, jakým se uživatel přihlašuje. Pokud je souhlas udělen jako trvalý, je aplikován (resp. není vyžadován znovu) bez ohledu na to, jak se uživatel přihlašuje. A znovu si připomeňme, že ani poskytovatel služby (SeP) neví, jakým způsobem (přes kterého poskytovatele identity) se k němu uživatel přihlásil. Zda přes svou bankovní identitu, nebo nějak jinak. To ví NIA, ale nechává si to pro sebe.

Jak si pořídit bankovní identitu?

Na první pohled by se mohlo zdát, že „zprovoznění“ bankovní identity bude u jednotlivých bank v zásadě stejné. Již příklad prvních dvou bank (České spořitelny a ČSOB) ale ukazuje, že každá z nich na to jde poněkud odlišně: u České spořitelny je vše postaveno na principu OPT-OUT, zatímco u ČSOB na principu OPT-IN.

Jinými slovy: v případě České spořitelny nemusíte sami dělat nic a bankovní identitu (resp. možnost jejího využití) získáváte automaticky. Můžete ale její používání následně zakázat (proto: OPT-OUT). Naproti tomu u ČSOB pro to musíte nejprve něco udělat (proto: OPT-IN). Mj. uzavřít s bankou dohodu o ČSOB Identitě.

Ukažme si to nejprve pro Českou spořitelnu: v rámci své akreditace má uvedeny dva prostředky pro elektronickou identifikaci, které může vydávat:

  • Uživatelské jméno a George klíč – úroveň záruky ZNAČNÁ,
  • Uživatelské jméno, heslo a SMS s jednorázovým kódem (OTP) – úroveň záruky ZNAČNÁ

Reálně ale uživatel může využít jen ten z nich, který má povolený (aktivní) i pro své přihlašování k internetbankingu.

 
 

Ať už ale uživatel používá kterýkoli z obou prostředků, zadává stejné uživatelské jméno, které používá i pro internetbanking. Jinými slovy: jeho přihlašovací údaj je stejný pro oba účely.

Jak jsme si již uvedli, pro získání přístupu ke své bankovní identitě (a tím i možnosti přihlašovat se jejím prostřednictvím „přes NIA“) klient České spořitelny nemusí nic dělat. Vlastně ani nemůže, například pokud by chtěl současné čekání na zprovoznění jeho bankovní identity nějak urychlit.

Naopak, pokud by si z jakéhokoli důvodu (například: bezpečnostního) nepřál používání své bankovní identity pro přihlašování „přes NIA“, může tuto možnost zablokovat. To udělá tak, že v rámci nastavení svého profilu v internetbankingu přejde do „správy třetích stran“ a zde v záložce „Správa bankovní identity“ najde možnost vypnutí.  

 
 

Naopak u ČSOB je vše postaveno na principu OPT-IN: zájemce musí nejprve uzavřít Dohodu o ČSOB identitě.

 
 

Může tak učinit i online, elektronickou cestou, pokud má přístup do internetového bankovnictví ČSOB a do jejího „identitního“ Portálu (na adrese https://identita.csob.cz).

 
 

Pak už si také může používání své bankovní identity (pro přihlašování „přes NIA“) zapínat i vypínat, stejně jako spravovat prostředky elektronické identifikace, které chce (či naopak nechce) používat.

 
 

Může se také podívat na historii svého přihlašování prostřednictvím bankovní identity u ČSOB – jak „přes NIA“, tak i ke službám samotné banky. Na následujícím obrázku si povšimněte, že v případě přihlášení „přes NIA“ (resp. Kanál = Národní identitní autorita) se nedozvíte, kam jste se přihlašovali. Není to tam proto, že díky nepřímému modelu to banka sama neví (viz výše).

 
 

Kdy se přes banku přihlásíme třeba k e-shopu?

Na závěr tohoto článku si ještě zdůrazněme, že právě popsané využití bankovní identity je vlastně jen začátkem, a to hned ve dvou ohledech. Prvním je ten, že zatím jde jen o první dvě banky a další budou teprve následovat. Příští bude nejspíše Komerční banka, dále se uvidí.

Druhý aspekt se týká toho, že „přes NIA“ se dá přihlásit jen k takovým poskytovatelům služeb (SeP), kteří jsou tzv. kvalifikovanými poskytovateli. To jsou obecně veřejnoprávní poskytovatelé služeb (resp. jde o služby eGovernmentu, služby měst a obcí atd.), a proto se o přihlašování „přes NIA“ hovoří obecně jako o přihlašování ke službám eGovernmentu.

V roli poskytovatelů služeb (SeP) ale mohou být na NIA napojeny i soukromoprávní subjekty: ovšem jen takové, které mají povinnosti ověřovat totožnost klienta (dle § 2 zákona č. 250/2017 Sb., o elektronické identifikaci). Aktuální výčet kvalifikovaných poskytovatelů najdete na stránkách NIA.

Většina soukromoprávních poskytovatelů služeb (například: e-shopy, utility, operátoři atd.) však nespadá do kategorie kvalifikovaných poskytovatelů a na NIA se napojit nesmí. Tím pádem se ale k jejich službám nedá (a ani do budoucna nebude možné) přihlašovat pomocí státem garantované elektronické identity a pomocí státem vydávaných prostředků (elektronické identifikace), protože ty jsou určeny výhradně pro přihlašování přes NIA. Například pomocí nové elektronické občanky.

Je to paradox odpovídající tomu, že stát nechce umožnit to, co je zcela běžné v neelektronickém („kamenném“) světě: že lidé se svými státem vydávanými osobními doklady (například právě svým občanským průkazem) mohou prokazovat i vůči komerčním subjektům. V elektronickém (resp. online) světě si něco takového stát nepřeje, zřejmě z důvodu odpovědnosti za případnou škodu při chybné identifikaci.

Právě proto vznikl projekt „paralelního“ uzlu k NIA, který by sloužil potřebám přihlašování k soukromoprávním subjektům. Tedy projekt „soukromoprávní“ NIA, zkratkou SONIA. Ta se ale bude chovat jinak než dosud popisovaná NIA: sama nebude poskytovat žádnou identitu, resp. identitní služby, ale bude jen jakousi „výhybkou“, která bude zprostředkovávat předávání identitních údajů přímo od bank (tedy údajů tvořících součást samotné bankovní identity) ke konkrétním poskytovatelům služeb. Zde, tedy při přihlašování „přes SONIA“, tak budou banky skutečnými poskytovateli identit, a ne pouze poskytovateli autentizačních služeb (jako při přihlašování „přes NIA“).

Nicméně na toto řešení, umožňující zapojovat čistě komerční poskytovatele služeb, si musíme ještě nějakou dobu počkat. A až se dočkáme, možná nepůjde jen o jeden uzel SONIA, ale o více takovýchto uzlů – protože banky se při hledání tohoto řešení již dnes rozdělily na dva různé tábory (podrobněji). Ale to si nechme na jiné povídání.