Vyšlo na Lupě, 10.12.2019
Vytištěno z adresy: http://www.earchiv.cz/b19/b1210001.php3

O čem je bankovní identita?

Jde vlastně o dvě věci v jednom: o rozšíření státem vybudovaného systému elektronické identifikace a o vybudování paralelního řešení, otevřeného pro komerční poskytovatele služeb.

Jak jste se mohli dočíst i zde na Lupě, minulý týden prošel Poslaneckou sněmovnou ve třetím čtení návrh tzv. bankovní identity (jinak též sněmovní tisk č. 554). Jde o poslanecký návrh (výčet předkladatelů), který novelizuje zákon č. 21/1992 Sb., o bankách, a s ním i další související zákony (jako např. zákon č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu). Možná je tedy na čase seznámit se trochu podrobněji s tím, o čem celý záměr je, co by měl přinést a jak by mělo výsledné řešení vypadat.

Asi nejjednodušší bude vyjít z představy, že jde o určitou kompenzaci (abych nemusel psát: nápravu) nedostatků a omezení našeho národního systému pro elektronickou identifikaci, který vybudoval stát, spustil jej v polovině loňského roku, a který byl letos v září úspěšně notifikován v EU (jako Czech eID Scheme).

Tedy toho řešení, které jsem si zde na Lupě dovolil označit za nepřímý model – kdy mezi poskytovateli identit (IdP) a poskytovateli služeb (SeP) stojí prostředník v podobě tzv. národního bodu (pro identifikaci a autentizaci), zkratkou NIA.

 
Představa národního schématu elektronické identifikace
 

Tato představa nám umožní snáze pochopit skutečnost, že celý projekt tzv. bankovní identity jsou vlastně dvě věci v jednom – přičemž každá z nich „kompenzuje“ jiný nedostatek státem vybudovaného řešení.

První nedostatek: máme málo uživatelů

Jedním z nedostatků stávajícího „státního řešení“ je malý počet uživatelů. Například tato statistika MV ČR z poloviny letošního roku (tedy po celém roce od spuštění) uvádí jen cca 22 tisíc zaregistrovaných uživatelů Portálu občana, který je jakousi „vlajkovou lodí“ mezi službami, které jsou v rámci celého řešení poskytovány. 

 
Registrace na Portálu občana
 

Malé počty uživatelů jsou přímým důsledkem dlouhodobého trendu, v rámci kterého náš eGovernment myslel spíše na sebe a na své vlastní fungování než na uživatele z řad nejširší veřejnosti. A tak se mu to dnes vrací i v podobě malého zájmu o poskytované služby. Nebo možná přesněji: malého zájmu překonat ty překážky, které stojí v cestě využití služeb, které již jsou dostupné skrze státem vybudovaný systém elektronické identifikace.

Pokud totiž dnes chcete využít některou z již dostupných služeb, potřebujete buď novou elektronickou občanku (a to s aktivovanými identifikačními funkcemi), nebo tzv. prostředek „Jméno, heslo a SMS“, či vlastní datovou schránku. Ale těch mezi širší veřejností zase až tak moc není.

Nových elektronických občanek bylo k polovině roku (podle již zmiňované statistiky MV ČR z června 2019) vydáno na 1,1 milionu s tím, že identifikační funkce si nechala aktivovat třetina nových držitelů. To by mělo být cca 367 tisíc. Ale třeba tato prezentace (z 24. 4. 2019) hovoří jen o cca 135 tisících. Stejně tak oficiální statistika uvádí cca 163 tisíc držitelů datových schránek nepodnikajících fyzických osob a cca 153 tisíc držitelů datových schránek podnikajících fyzických osob. Co se týká prostředku „Jméno, heslo a SMS“, u něj jsem žádnou dostupnou statistiku nezaznamenal. Jeho zřízení ale vyžaduje dostavit se osobně na kontaktní místo veřejné správy (CzechPOINT).

Zpět ale k bankovní identitě: ta by měla eliminovat ony překážky, dosud stojící v cestě k využití státem vybudovaného a provozovaného řešení. A to tím, že umožní přihlášení k poskytovaným službám každému, kdo má možnost přihlásit se do některého z internetbankingů. Jinými slovy: vedle současných možností přihlášení (pomocí eOP, pomocí „Jména, hesla a SMS“ či pomocí datové schránky) bude možné se přihlásit i prostřednictvím přihlašování k bankovnímu účtu. Jak konkrétně toho bude dosaženo, si ještě popíšeme podrobněji.

Podstatné je, že díky tomu se cesta ke službám, poskytovaným v rámci „státního řešení“ (tedy například ke službám Portálu občana, ale i dalším, aktuální výčet) otevře všem, kteří již mají od své banky přiděleny potřebné přihlašovací (přístupové) údaje. A hlavně: nebudou muset nic dělat – nikam chodit (třeba na CzechPOINT), nebo si nechávat vystavit novou eOP, či dokonce zřizovat datovou schránku. Nebo se někde registrovat. Pokud budou mít zájem, budou se moci rovnou přihlásit k dostupným službám.  Samozřejmě ale až poté, co bude vše realizováno a uvedeno do provozu. Což nebude dříve než v roce 2021 (vzhledem k navrhované účinnosti potřebných legislativních změn k 1. 1. 2021).

 
Projekt bankovní identity
 

Počet takovýchto osob, a tedy i počet dalších potenciálních uživatelů celého „státního řešení“, se dnes odhaduje na 5,5 milionu.

Druhý nedostatek: není to pro komerční sféru

Další významnou charakteristikou celého „státního řešení“ je to, že není dostupné pro komerční sféru. Přesněji: stát jej nechce zpřístupnit komerčním subjektům v roli kvalifikovaných poskytovatelů služeb (neformálně: SeP, Service Provider). Tedy tak, aby se uživatelé mohli přihlašovat (například pomocí své eOP) třeba do e-shopů, různých (komerčních) portálů, ke službám operátorů, utilit apod.

Je to obdobná situace, jako kdyby v „kamenném světě“ stát umožňoval využití osobních dokladů, které vydává svým občanům, jen vůči veřejnoprávním subjektům, ale nikoli vůči soukromoprávním subjektům. Tedy že byste se svou občankou (či pasem) mohli prokazovat vůči nejrůznějším úřadům, ale nikoli třeba vůči bankám, přepravcům, utilitám, operátorům, různým prodejcům atd.

Důvodem je nejspíše neochota státu nést odpovědnost za případnou škodu (viz článek 11 nařízení eIDAS), která by při elektronické identifikaci mohla eventuálně vzniknout. Proto již při spuštění celého řešení bylo deklarováno, že „Aktuálně je funkcionalita pro kvalifikované poskytovatele přístupná pouze pro orgány veřejné moci (OVM) (viz můj tehdejší článek).

Do budoucna stát zřejmě „pustí“ do celého řešení, v roli poskytovatelů služeb (SeP), alespoň takové soukromoprávní subjekty, kterým sám (skrze zákon) ukládá takové povinnosti, které ani jinak splnit nejdou. Konkrétně povinnost ověření totožnosti, což od poloviny příštího roku půjde provést (díky § 2 zákona č. 250/2017 Sb., o elektronické identifikaci) jen skrze tzv. kvalifikovaný systém (elektronické identifikace), který je součástí onoho „státního řešení“, viz dále. Půjde tedy například o banky a pojišťovny. Ale ostatní subjekty ze soukromoprávní sféry nejspíše mají i do budoucna smůlu.

Právě proto zřejmě vznikla myšlenka postavit vedle „státního řešení“ ještě jedno „soukromoprávní“, fungující na obdobných principech – ale již otevřené pro celou komerční sféru. No a jelikož středobodem onoho nepřímého modelu, na kterém je postaveno „státní řešení“, je prostředník v podobě národního bodu (pro identifikaci a autentizaci, zkratkou NIA), ujalo se u „soukromoprávního řešení“ pro jeho obdobu jméno SONIA. I to je zkratkou, od: SOukromoprávní NIA.

Pojďme si nyní popsat první záměr trochu podrobněji (s tím, že druhý si popíšeme v dalším samostatném článku).

Banky jako kvalifikovaný správce

Začneme záměrem přivést do celého „státního řešení“ oněch cca 5,5 milionu nových potenciálních uživatelů.

V terminologii relevantních zákonů (hlavně zákona č. 250/2017 Sb., o elektronické identifikaci) to znamená, že by se banky (nejspíše společně, skrze nějaký dceřiný subjekt) staly novým kvalifikovaným správcem (kvalifikovaného systému elektronické identifikace). Neformálně poskytovatelem identit (IdP), viz též následující obrázek.

 
Kvalifikované systémy, prostředky a správci
 

Dnes máme jen jednoho takového poskytovatele identit (kvalifikovaného správce), kterým je sama Správa základních registrů (SZR). Dalším se tedy chtějí stát banky, ale nejsou jedinými zájemci: svůj zájem už deklarovala společnost I.CA a také sdružení CZ.NIC (viz např. tato prezentace na nedávné konferenci IT19).

I když všichni tito noví zájemci jsou soukromoprávními subjekty, jejich působení v roli IdP (resp. kvalifikovaného správce) možné je. Protože celé „státní řešení“ je pro ně otevřené, díky § 4 písm. b) zákona č. 250/2017 Sb. Zdůrazněme si ale, že to platí jen pro roli poskytovatele identit (IdP, resp. kvalifikované správce), a nikoli pro opačnou stranu (pro poskytovatele služeb, SeP, viz výše). Podmínkou pro statut kvalifikovaného správce je získání potřebné akreditace (nutnost stát se akreditovanou osobou).

Kvalifikované systémy (elektronické identifikace)

Každý kvalifikovaný správce (IdP) poskytuje své služby skrze nějaké konkrétní řešení, které se formálně označuje jako kvalifikovaný systém (elektronické identifikace). V případě sdružení CZ.NIC by se jednalo o jeho systém MojeID, zatímco ostatní noví zájemci (i banky) by jej zřejmě museli teprve vybudovat, resp. vhodně upravit svá dosavadní řešení.

V případě SZR, coby již existujícího a fungujícího kvalifikovaného správce, je oním kvalifikovaným systémem (elektronické identifikace) samotná NIA, resp. národní bod (pro identifikaci a autentizaci). To je poněkud matoucí, protože NIA zde vystupuje ve dvou rolích současně – jednou jako prostředník (národní bod) a jednou jako kvalifikovaný systém (elektronické identifikace). Stejně tak SZR (Správa základních registrů) je současně kvalifikovaným správcem i správcem národního bodu.

Každý kvalifikovaný správce (IdP) přitom v rámci svého kvalifikovaného systému vydává konkrétním uživatelům konkrétní přihlašovací údaje. V nejjednodušším případě tedy dvojici údajů, tvořenou uživatelským jménem a heslem.

Prostředky (pro elektronickou identifikaci)

Zákon ale místo o přihlašovacích údajích hovoří o prostředcích (pro elektronickou identifikaci), což také může být v některých situacích poněkud matoucí, jako například právě u jména a hesla. Ale v jiných situacích to naopak může být docela výstižné – jako třeba tehdy, když naopak jde o „kus“ něčeho hmotného, jako například o čipovou kartu či USB token. Nebo o novou elektronickou občanku. Tak si pamatujme, že „prostředkem“ (pro elektronickou identifikaci) může být jak něco hmotného, tak i něco nehmotného.

Ostatně, ono i v případě „hmotných“ prostředků stejně vždy jde o kombinaci s něčím nehmotným. Nejčastěji se soukromým klíčem (na čipu čipové karty) a k němu vystaveným certifikátem. A ještě s ochranou pomocí jednoho či více PINů, či jinak pojmenovaných kódů, případně hesel.

Dnes je situace taková, že SZR jako kvalifikovaný správce vydává v rámci svého kvalifikovaného systému jeden prostředek elektronické identifikace:

  • (nehmotný) prostředek s názvem „Jméno, heslo a SMS“ a s úrovní záruky „značná“

Vedle toho dnes existuje ještě další vydávaný prostředek, a to nová eOP (s aktivovanými identifikačními funkcemi), a s úrovní záruky „vysoká“. Kdo jej formálně vydává (a v rámci jakého kvalifikovaného systému), není úplně jasné, a tak jej pro jednoduchost považujme za prostředek, který vydává přímo SZR (viz i předchozí obrázek). 

 
Zájem I.CA stát se kvalifikovaným správcem kvalifikovaného systému
 

To v případě I.CA by prostředkem (pro elektronickou identifikaci) podle dostupných informací měla být čipová karta Starcos 3.5, obsahující soukromý klíč a k němu vystavený certifikát. V případě CZ.NICu a jeho MojeID by prostředkem měl být token dle standardu FIDO2. V obou případech by se mělo jednat o prostředky s úrovní záruky „vysoká“. Tedy stejnou, jakou má i nová eOP.

U bank a jejich bankovní identity se zřejmě setkáme s podstatně širším repertoárem jimi vydávaných prostředků (pro elektronickou identifikaci). I když „vydávaných“ spíše ve smyslu „již vydaných“, protože hlavním přínosem celé bankovní identity má být to, že uživatelé nebudou potřebovat žádné nové přihlašovací údaje, resp. prostředky, a budou moci využívat ty, které již mají a kterými se již přihlašují ke svým bankovním účtům.

Pokud mám správné informace, banky u svých prostředků aspirují na úroveň záruky „značná“. To znamená, že nemusí jít o něco, co by zahrnovalo hardwarový token, ve kterém je soukromý klíč pevně „zadrátován“ a nejde ho dostat ven (to je podmínkou až pro úroveň záruky „vysoká“).

Na druhou stranu i úroveň „značná“ vyžaduje dvoufaktorovou autentizaci, a to zase znamená, že není přípustné jen jméno a (jedno) heslo. Musí zde být nějaký další faktor, kterým ale může být třeba i jednorázové heslo zasílané SMSkou na mobil. Dovolím si předpokládat, že to bude asi nejčastější řešení, nabízené bankami, byť určitě ne jediné.

Spíš autentizace než identifikace

Noví zájemci o roli kvalifikovaného správce (kvalifikovaného systému pro elektronickou identifikaci), neboli o roli poskytovatele identit (IdP), se budou muset vyrovnat ještě s jednou charakteristikou nepřímého modelu, na kterém je celé „státní řešení“ postaveno.

Nesmíme totiž zapomenout na (pravdivé) dogma, tolikrát inzerované a propagované u celého „státního řešení“: že elektronická identita je (zde) jen jedna a že je garantovaná státem. A že se nachází v základních registrech (obyvatel, případně osob).

Co ale potom dělají všichni ti poskytovatelé identit (resp. kvalifikovaní správci a jimi provozované kvalifikované systémy elektronické identifikace), když skutečným poskytovatelem elektronické identity je až prostředník v podobě národního bodu, který potřebné údaje (dílčí atributy v rámci identity konkrétní osoby) získává ze základních registrů?

Odpověď je taková, že poskytovatelé identit jsou v rámci nepřímého modelu našeho „státního řešení“ spíše poskytovateli autentizačních služeb: uživateli umožňují zvolit si, za koho se chce vydávat (obvykle skrze zadání, resp. volbu uživatelského jména) – a pak ověřují, zda uživatel je skutečně tím, za koho se hodlá vydávat (což je autentizace).

Výsledkem je pak zjištění, které si můžeme zjednodušeně představit jako tvrzení ve smyslu:

Žadatel je osobou, kterou ty (národní bode) znáš pod identifikátorem 987654321. A já jsem ověřil, že je to skutečně on/ona.

Toto tvrzení je pak odesláno prostředníkovi (národnímu bodu), a teprve ten získá (ze základních registrů) konkrétní atributy k příslušné osobě (například: jméno a příjmení, datum narození, bydliště atd.). A následně tyto atributy (se souhlasem toho, koho se týkají) předá příslušnému poskytovateli služby.

Výhodou takového řešení s jedinou (centrální, státem garantovanou) elektronickou identitou je to, že všechny případné změny stačí provést jednou, na jednom místě (v základních registrech), a není nutné o ní informovat jednotlivé poskytovatele identit (správce kvalifikovaných systémů elektronické identifikace). A že je vlastně úplně jedno, „přes koho“ se uživatel přihlašuje k nějaké konkrétní službě (samozřejmě jen pokud jsou dodrženy požadavky na celkovou „bytelnost“ identifikace a autentizace, dané požadovanou úrovní záruky: nízkou, značnou či vysokou).

Ale i tak je nutné určité „zesouladění“ mezi prostředníkem (a základními registry) na straně jedné a poskytovateli identit (kvalifikovanými správci) na straně druhé. Minimálně kvůli tomu, aby si rozuměli, když si navzájem říkají informace typu „jde o osobu s identifikátorem 987654321“ – a měli přitom na mysli skutečně stejnou osobu.

Nutné změny zákonů

Významnou charakteristikou „státního řešení“ je to, že všechny vztahy v něm jsou nastaveny cestou zákona. Právě proto je nutná novelizace stávající legislativy – která minulý týden prošla třetím čtením v Poslanecké sněmovně a nyní míří do Senátu.

Nově navrhovaná právní úprava musí nejprve bankám vůbec umožnit působit (podnikat) v oblasti identifikace a identifikačních služeb, jak je potřeba pro jejich výše naznačované zapojení do celého „státního řešení“. Stejně tak nastavuje některé „parametry“ tohoto řešení – jako například to, že veřejnoprávní poskytovatelé služeb (SeP) by měli (resp. budou muset) využívat právě toto „státní řešení“, a nikoli to druhé (soukromoprávní). Nebo že banky, v roli IdP (kvalifikovaných správců kvalifikovaných systémů elektronické identifikace), budou v rámci státního řešení smět „obsluhovat“ jen veřejnoprávní poskytovatele služeb.

Těmto (a dalším) právním aspektům, stejně jako detailnějšímu popisu paralelního „soukromoprávního řešení“ (s prostředníkem jménem SONIA), se ale budeme podrobněji věnovat až v dalším pokračování tohoto článku.