Český eGovernment v roce 2021: Bankovní identita, zákon DEPO a unijní digitální peněženky
O největší rozruch se v českém eGovernmentu letos postarala bankovní identita. Pozadu ale nezůstal ani zákon DEPO, jehož dopady pocítíme až v dalších letech. To už možná budeme nosit i nové unijní peněženky digitální identity.
Rok 2021 se v oblasti eGovernmentu nesl ve znamení příprav opravdu velkých a zásadních změn. Vlastně se ale jednalo spíše o pokračování trendu, který byl nastolen již v roce 2019 přípravou zákona o právu na digitální služby (pozdějšího zákona č. 12/2020 Sb.), který bývá označován i jako „digitální ústava“. Chtěl by během nadcházejících let postavit celou oblast eGovernmentu a digitalizace na nové základy a vdechnout jí novou životodárnou mízu (podrobněji).
Ovšem ještě než k plánovaným změnám z digitální ústavy stačilo dojít (většina jich má „nastoupit“ k počátku února či července 2022), přišlo v průběhu roku 2021 další legislativní „přitvrzení“. Konkrétně v podobě (dnes již platného) zákona č. 261/2021 Sb., s přezdívkou DEPO (od: další elektronizace postupů OVM). Jeho zřejmou ambicí je významně posílit elektronickou podobu veřejnoprávní i soukromoprávní komunikace. A to bez větších ohledů na to, zda je na to kdo připraven a zda mu to vyhovuje, či nikoli – zejména odblokováním poštovních datových zpráv (již v roce 2022), a především pak cestou zřizování velkého počtu nových datových schránek, které bylo nakonec odsunuto až na rok 2023 (povinně mj. všem živnostníkům a automaticky všem fyzickým osobám, které se někam přihlásí „přes NIA“).
Bude velmi zajímavé sledovat, zda po letech mírného pokroku v mezích platné legislativy opravdu zvládneme naplánovaný „tygří skok“ (podrobněji zde a zde). Nebo zda ambiciózní plány zůstanou jen na papíře.
To Evropská unie se inspirovala rychlým prosazením svých covidových certifikátů a rozhodla se pro ještě ambicióznější a ještě rozsáhlejší plány v oblasti digitalizace – s projektem evropských peněženek digitální identity (EU digital identity wallet), založených na konceptu tzv. decentralizované („self-sovereign“) identity. Tedy na jiném principu, než je ten, ze kterého dosud vycházíme u nás (který je založen na centrální, státem vedené a spravované elektronické identitě v základních registrech).
Bude proto také velmi zajímavé, jak dopadne budoucí soužití obou světů elektronické identifikace, postavených na různých základech. Zajímavé to bude i z toho důvodu, že v roce 2021 došlo k dalšímu významnému rozvoji našeho „veřejnoprávního“ řešení. Postaraly se o to naše banky, které se do něj zapojily s bankovními identitami svých klientů. A vedle toho vybudovaly ještě paralelní „soukromoprávní“ řešení, postavené na stejném principu a se dvěma možnostmi využití: pro přihlašování ke službám komerčních poskytovatelů služeb (služba BankID) s úrovní záruky „značná“ (případně jen „nízká“), a pro elektronické podepisování (služba BankID Sign), na úrovni zaručeného elektronického podpisu (nikoli uznávaného či kvalifikovaného).
Naštěstí se přitom nepotvrdily signály z předchozího roku (2020) o tom, že naše banky nepotáhnou za jeden provaz, ale rozdělí se na (nejméně) dva tábory, které půjdou vlastní cestou a budou budovat samostatná řešení. Nakonec se všechny banky dohodly na společném řešení, které pro ně buduje a provozuje jejich společný podnik: společnost Bankovní identita, a.s.
Není Bankovní identita a.s. jako bankovní identita
Pojďme nyní trochu podrobněji k tomu, jak během roku nastupovala a rozvíjela se bankovní identita. Protože právě ona letos přinesla asi nejvíce „hmatatelné“ přínosy pro nejvíce koncových uživatelů a také se dočkala asi největší mediální publicity. Současně s tím si udělejme trochu pořádek v základních pojmech, abychom se v tom vůbec vyznali.
Takže: bankovní identita (jako generický pojem s malým počátečním písmenem, nikoli jako jméno akciové společnosti) je „to, jak vás zná vaše banka“. Co o vás ví a jak dokáže poznat, že jste to skutečně vy (jak dokáže ověřit vaši totožnost). Velmi zjednodušeně si bankovní identitu můžeme přirovnat k uživatelskému (nikoli bankovnímu) účtu u příslušné banky, ke kterému se můžete přihlašovat – a za tímto účelem vám banka dává nějaké přístupové údaje (jméno, heslo) či prostředky (mobilní klíč atd.).
Původně tato bankovní identita (i když se jí tak ještě moc neříkalo) vznikla proto, abyste se mohli přihlašovat do internetbankingu své banky a zde využívat konkrétní bankovní služby (například nakládat se svým bankovním účtem či účty, zadávat platby atd.). Pak se ale přišlo na to, že tato možnost (tedy: možnost přihlásit se ke své bance) se dá šikovně využít i pro další účely.
O „bankovní identitě“ se pak začalo hovořit až v souvislosti s možností využít „přihlašování k bance“ i v rámci celého veřejnoprávního řešení elektronické identifikace pro „přihlašování přes NIA“. Hlavně až v roce 2021, kdy už to umožnila novelizovaná bankovní legislativa a kdy jednotlivé banky začaly zpřístupňovat tuto možnost svým klientům.
Sice se to prezentovalo tak, že banky nově „zřizují“ svým klientům jejich bankovní identitu, ale ve skutečnosti byl hlavní přínos právě v tom, že jim nic nového zřizovat – a hlavně přidělovat a předávat – nemusely. Uživatelé, resp. klienti bank již měli potřebná uživatelská jména, hesla, mobilní klíče, certifikáty atd., kterými se dosud přihlašovali ke své bance – a nově se s nimi mohli přihlašovat „přes NIA“ také k dostupným veřejnoprávním službám.
Banky ale nejprve potřebovaly „posvěcení“ (akreditaci) od MV ČR. Pak musely ještě uvést do souladu „to, jak znají své klienty“ (tj.: jejich bankovní identity) s „tím, jak je zná stát“ (s jejich státem vedenou a státem garantovanou identitou).
Toto „uvádění do souladu“ (synchronizace identit, někdy označovaná také jako jejich aktivace) začalo na počátku roku 2021 a vlastně stále probíhá – s tím, jak se postupně přidávají další a další banky. Různé banky přitom volily a volí různé strategie pro tento nezbytný krok, který se obecně týká všech jejich klientů: například Česká spořitelna se rozhodla provést tuto synchronizaci dopředu pro všech svých cca 1,7 milionu klientů – čímž ale na počátku roku značně vytížila kapacitu národního bodu (NIA). Jiné banky nezbytnou synchronizaci identit provádí až v okamžiku prvního použití bankovní identity.
Aktuálně, na konci roku 2021, umožňuje využití bankovní identity pro přihlašování „přes NIA“ (ke službám veřejnoprávních poskytovatelů a úzkého okruhu vybraných soukromoprávních poskytovatelů) celkem 6 bank působících v tuzemsku. Patrné je to na jejich výčtu, který je uživatelům nabízen při přihlašování „přes NIA“, po rozkliknutí záložky „BANKOVNÍ IDENTITA“. Jako poslední se zatím (koncem listopadu) přidala Raiffeisenbank.
Podle dostupných údajů z následující tabulky (dle statistiky od MV ČR z konce listopadu 2021) banky aktivovaly bankovní identitu pro téměř 5,4 milionu svých klientů (přesněji: unikátních identit). K tomu, aby klienti mohli své bankovní identity používat, jim banky vydaly a aktivovaly na 8,3 milionu prostředků elektronické identifikace.
|
Počet aktivovaných prostředků |
Počet unikátních identit |
Počet uskutečněných přihlášení |
Počet přihlášení na 1 prostředek |
|
|
ČSOB |
2623997 |
1060101 |
716728 |
0,68 |
|
Spořitelna |
2355179 |
1951462 |
1611528 |
0,83 |
|
Air Bank |
1139894 |
557755 |
437683 |
0,78 |
|
Komerční banka |
968257 |
893255 |
819258 |
0,92 |
|
Moneta Money Bank |
903677 |
572132 |
226096 |
0,40 |
|
Raiffeisenbank |
350660 |
342327 |
7788 |
0,02 |
|
Celkem |
8341664 |
5377032 |
3819081 |
0,71 |
K tomu je vhodné dodat, že jedna fyzická osoba může být klientem více bank současně, takže v onom počtu 5,4 milionu identit může být započítána vícekrát (tisková zpráva hovoří o „rozprostření“ mezi 4,7 milionu občanů, zřejmě bez opakovaného započítání). A od každé banky může mít každý klient vydáno více prostředků elektronické identifikace současně (proto je počet vydaných a aktivovaných prostředků vyšší než počet unikátních identit).
Navíc počty aktivovaných prostředků (a samozřejmě i jejich součet) zřejmě zahrnují i takové, které již nejsou v oběhu (byly zrušeny, resp. nahrazeny novými). Takže těch, které jsou reálně dostupné, bude méně (tisková zpráva hovoří o „skoro 7,4 milionu“ místo čísla 8,3 milionu, které vychází jako prostý součet).
Zajímavý je také počet uskutečněných přihlášení („přes NIA“) a jeho přepočet na počet identit: zde čísla vychází relativně velmi nízká. To naznačuje, že bankovní identita je sice už dostupná pro hodně potenciálních uživatelů veřejnoprávních služeb, ale skutečně využívaná zatím až tak moc není. Znovu si zdůrazněme, že tato čísla se týkají pouze využití bankovní identity pro přihlašování „přes NIA“ k veřejnoprávním službám.
Pro srovnání: následující tabulka ukazuje obdobné počty pro prostředky vydávané státem (eOP, NIA ID a mobilní klíč eGov) či soukromoprávními subjekty (Starcos a mojeID).
|
Počet aktivovaných prostředků |
Počet unikátních identit |
Počet přihlášení |
Počet přihlášení na 1 prostředek |
|
|
eObčanka |
472963 |
411295 |
1011230 |
2,46 |
|
NIA ID |
151081 |
143961 |
4080379 |
28,34 |
|
eGovernment |
85566 |
70698 |
1166934 |
16,51 |
|
mojeID |
49429 |
35974 |
480977 |
13,37 |
|
STARCOS |
1063 |
547 |
84651 |
154,76 |
|
Celkem |
760102 |
662475 |
6824171 |
10,30 |
Zde jsou celkové počty vydaných (resp. aktivovaných) prostředků elektronické identifikace výrazně nižší, což ale má jednoduché vysvětlení: tyto prostředky si nechávají vydat (aktivovat) ti, kteří je chtějí. Kdežto banky započítávají aktivace své bankovní identity obecně všem svým zákazníkům.
Tomu pak odpovídá i výrazně vyšší četnost skutečného využití (počtu přihlášení na jeden prostředek) pomocí „nebankovních“ prostředků. Podle očekávání je zdaleka nejvyšší u karty Starcos, a nejnižší naopak u nové eOP.
A ještě jedna zajímavá statistika, byť se netýká bankovní identity, ale služby mojeID: ukazuje, s jakou četností se uživatelé pomocí této služby přihlašují k různým službám „přes NIA“.
S bankovní identitou se nedostanete úplně všude a nemusí vám vyhovovat
Když už jsme u využití bankovní identity v rámci „veřejnoprávního“ řešení (pro přihlašování „přes NIA“ ke službám veřejnoprávních poskytovatelů), připomeňme si, že existují služby, ke kterým se dostanete s „nebankovním“ prostředkem elektronické identifikace, ale nikoli s bankovní identitou (resp. prostředkem elektronické identifikace na bázi bankovní identity, vydaným bankou). Jde například o zdravotní pojišťovny, některé školy, nemocnice a další subjekty. Obecně jde o takové subjekty (resp. jimi poskytované služby), které nejsou ani státním orgánem, ani orgánem územního samosprávného celku. Důvody jsem podrobněji popisoval zde na Lupě v tomto článku a možné řešení (skrze aktivaci „nebankovního“ prostředku pomocí bankovní identity) pak zde.
Dalším důvodem, proč se pomocí bankovní identity k některým veřejnoprávním službám nedostanete, je úroveň záruky: banky své prostředky elektronické identifikace vydávají jen s úrovní záruky „značná“ (a ČSOB i jeden s úrovní záruky „nízká“). A ačkoli drtivá většina dnes poskytovaných služeb vystačí s úrovní „značná“, přeci jen existují takové, které vyžadují vyšší úroveň záruky („vysoká“). Například založení majetkového účtu u státu či (od poloviny příštího roku) legalizace elektronických podpisů.
A ještě jedna důležitá věc: ne každý musí být z víceméně plošné a automatické aktivace bankovních identit nadšený, například kvůli obavám o bezpečnost. Již v lednu 2021 vzbudil docela velký ohlas tento článek zde na Lupě („Bankovní identita je dobrý sluha. Existují ale i důvody, proč ji nechtít“), který se zaměřuje i na problematické stránky bankovní identity.
Samozřejmě to nebyl jediný kritičtější pohled. Možným rizikům a slabinám bankovní identity se věnovaly další články, jako např. zde či zde.
Není BankID jako bankovní identita
Vraťme se na chvíli ještě k terminologii: pojem „bankovní identita“ se často plete s termínem BankID. Nejsou to ale vůbec synonyma. Rozdíl mezi nimi je poměrně zásadní a nejsnáze si ho vysvětlíme na tom, co původně měla být SONIA, alias SOukromoprávní NIA.
Takže: v rámci centralizovaného „veřejnoprávního“ řešení, v jehož středu stojí prostředník v podobě tzv. národního bodu (zjednodušeně: NIA), se obecně lze přihlašovat jen ke službám veřejnoprávních poskytovatelů služeb a úzkého okruhu soukromoprávních poskytovatelů (pokud tito musí ze zákona ztotožňovat své uživatele). V případě využití bankovní identity je těchto služeb ještě méně (viz výše).
Ovšem pro přihlašování ke službám ryze soukromoprávních poskytovatelů služeb typu e-shopů, utilit, operátorů atd. se veřejnoprávní řešení („přes NIA“) využít nedá, neb si to zřizovatel tohoto řešení (stát) aktivně nepřeje. Mimochodem, nové návrhy EU v oblasti elektronické identifikace, postavené na principu decentralizované identity, naopak přímo počítají s tím, že budoucí peněženky digitální identity budou dostupné i pro ryze komerční poskytovatele služeb. A pro ty největší má být jejich podpora a využití dokonce povinností.
Zpět ale do ČR a do současnosti: nemožnost přihlašovat se „přes NIA“ ke službám komerčních poskytovatelů (a to jak s využitím bankovní identity, resp. bankami vydávaných prostředků elektronické identifikace, tak i s využitím „nebankovních“ prostředků), vedla naše banky k záměru vybudovat paralelní a nyní již ryze „bankovní“ řešení. Tedy bez možnosti zapojení jiných poskytovatelů identit (IdP), než jsou samotné banky, ale otevřené pro jakéhokoli (komerčního) poskytovatele služeb.
Toto paralelní „soukromoprávní“ řešení je přitom postaveno na stejném nepřímém modelu jako řešení „veřejnoprávní“: v jeho středu stojí určitý prostředník, přes kterého komunikují z jedné strany banky (jako poskytovatelé identit) a z druhé strany komerční poskytovatelé služeb. I když konkrétní mechanismus fungování tohoto prostředníka (který se původně měl jmenovat právě SONIA, od: Soukromoprávní NIA) je v některých aspektech přeci jen odlišný od fungování „veřejnoprávní“ NIA.
Mimochodem, oním prostředníkem je ten, kdo vám v rámci celého paralelního („soukromoprávního“) řešení dává na výběr, přes kterou banku se chcete přihlásit (viz následující obrázek). Obdobně, jako vám to v rámci „veřejnoprávního“ řešení nabízí NIA (viz dnešní první obrázek).
Později se ale přestala role prostředníka zdůrazňovat, a to v obou řešeních. Možná i proto, aby tolik neevokoval představu velkého bratra, přes kterého prochází veškeré transakce a který díky tomu „ví o všem“. Raději se nejde do detailů a vše se prezentuje jako určitá služba: v případě „soukromoprávního“ řešení, provozovaného bankami, jde o službu označovanou právě jako BankID a chápanou jako „využití bankovní identity pro soukromý sektor“.
V případě „veřejnoprávního“ řešení také došlo k určitým změnám terminologie, i když z poněkud jiného důvodu: místo názvu „eIdentita“ se přešlo na „Identitu občana“. Ale také zde se tento pojem chápe spíše ve smyslu služby, či dokonce celého řešení, a nikoli v užším smyslu pro označení onoho prostředníka (NIA, resp. národního bodu), dosud dostupného na adrese eidentita.cz a nově na identitaobcana.cz.
Není BankID jako BankID Sign
Služba BankID, využívající bankovní identitu pro přihlašování (a v rámci toho pro identifikaci i autentizaci), si podle informací z konce listopadu našla již přes 40 firemních zákazníků v roli poskytovatelů služeb (výčet). Jinými slovy: jako uživatelé bank se prostřednictvím služby BankID (tedy podle dříve navrhované terminologie: „přes SONIA“) můžete přihlásit již ke službám více jak 40 komerčních poskytovatelů.
Jak jsem se ale snažil popsat i v tomto článku z letošního června, přihlašování bankovní identitou prostřednictvím služby BankID je zatím využíváno spíše jednorázově a „na pozadí“. Nejčastěji v rámci nějaké počáteční registrace, kdy je nutné spolehlivěji ověřit identitu žadatele – kterému jsou pak přiděleny vlastní prostředky elektronické identifikace přímo samotným poskytovatelem služby. Takže pro rutinní použití (opakované přihlašování k poskytované službě) zatím není bankovní identita až tolik využívána. Důvody jsou nejspíše ekonomické: něco to stojí, protože jde o ryze komerční (a tudíž zpoplatněnou) službu.
Ve druhé polovině roku 2021 pak banky, resp. jejich společný podnik Bankovní identita, a.s., připravily další službu, využívající bankovní identitu, a to jakoby paralelně ke službě BankID. Jde o službu BankID Sign, sloužící pro elektronické podepisování. V listopadu ohlásily začátek jejího používání tři naše banky (Česká spořitelna, ČSOB a Komerční banka).
Službě BankID Sign se budu zde na Lupě věnovat v samostatném článku, proto zatím jen velmi stručně: nejde ani tak o službu, pomocí které by někdo (fyzická osoba) elektronicky podepisoval své vlastní dokumenty. Jde o řešení určené k uzavírání smluvních dokumentů (v elektronické podobě) mezi dvěma stranami. Například mezi utilitou, operátorem, finanční institucí apod. na straně jedné a koncovým zákazníkem na straně druhé.
Základním úskalím, které tato služba má za úkol překonat, je absence „digitální vybavenosti“ na straně zákazníků: toho, aby se uměli sami řádně elektronicky podepsat a také měli čím. A tak služba BankID Sign podepíše příslušný smluvní dokument jakoby za ně. Podmínkou je to, aby zákazník disponoval bankovní identitou od některé z bank zapojených do poskytování služby BankID Sign (což obecně nemusí být ty samé banky jako v případě službě BankID, viz dále).
Funguje to tak, že zákazník se přihlásí prostřednictvím své bankovní identity, čímž se poskytovateli služby BankID Sign identifikuje a také autentizuje. Pak již zbývá jen to, aby projevil svůj souhlas s obsahem příslušného dokumentu – a služba BankID Sign se již postará o zbytek.
Konkrétně tak, že ve svých technických prostředcích vygeneruje nezbytná párová data (soukromý a veřejný klíč) a u své vlastní certifikační autority nechá vystavit (nekvalifikovaný) certifikát na jméno (a příjmení) příslušného zákazníka, určený pro jednorázové použití. Pak odpovídajícím soukromým klíčem podepíše dokument a připojí k němu certifikát se jménem zákazníka. Jelikož nejde o kvalifikovaný certifikát, výsledný podpis je pouze zaručeným elektronickým podpisem. Navíc pak služba BankID přidá k dokumentu ještě svou vlastní kvalifikovanou elektronickou pečeť (ale žádné časové razítko).
Předpokládaný způsob využití je pak takový, že k dokumentu následně (ev. i předem) připojí svůj elektronický podpis i druhá smluvní strana, resp. ta fyzická osoba, která za ni jedná.
Není identita občana jako bankovní identita a BankID jako BankID Sign
Na závěr si udělejme malou rekapitulaci: když si odmyslíme přihlašování přes datové schránky, máme dnes v zásadě tři „cesty“, kterými se uživatelé mohou vydat se svými elektronickými identitami vstříc poskytovaným službám.
Jedna cesta je „přes NIA“ a vede k veřejnoprávním službám (a několika málo službám soukromoprávních subjektů). Vydat se po ní mohou ti, kteří mají buď některý z prostředků elektronické identifikace vydaných státem (eOP, NIA ID či mobilní klíč eGovernmentu), nebo kartu Starcos s certifikátem od I.CA, nebo účet u služby mojeID. Dále se po této „cestě“ mohou vydat ti, kdo mají (aktivní) bankovní identitu od některé z bank zapojených do této „cesty“. Těchto bank je v době psaní článku (polovina prosince 2021) celkem 6.
Ne úplně přesně se dá tato „cesta“ označit termínem „Identita občana“. A kam se po ní dá dojít, záleží i na tom, s jakou identitou a prostředkem elektronické identifikace na ni uživatel vstupuje (viz výše, kvůli nedostupnosti některých služeb pomocí bankovní identity).
Další cestou, která ale striktně vzato již není součástí eGovernmentu, je cesta prezentovaná jako služba BankID. Vydat se po ní dá pouze s bankovní identitou, a to od jedné z (aktuálně) 5 zapojených bank (když oproti „identitě občana“ chybí Raiffeisenbank, která se do služby BankID hodlá zapojit až v roce 2022). Nelze se po ní vydat např. se státem vydávaným prostředkem elektronické identifikace či s účtem mojeID nebo kartou Starcos. Dojít se po této „cestě“ dá (aktuálně) k cca 40 službám, viz výše.
Konečně třetí „cestou“, prezentovanou jako služba BankID Sign, se zatím lze vydat s bankovní identitou od 3 bank (oproti BankID chybí Moneta Money Bank a AirBank).
