Identiteta je nova nadzorna plošča
Prihajajoča digitalna identiteta prebivalcev Evropske unije, ki vključuje digitalno denarnico s kopico podprtih storitev, dobiva vse bolj jasne obrise. Čeprav smo do množične rabe oddaljeni še tri do štiri leta, so prvi koraki že opravljeni, eden teh pa je tudi nova slovenska osebna izkaznica, ki vsebuje digitalne poverilnice.
Digitalne identitete, e-identifikacija in storitve zaupanja so v zadnjih časih ene najbolj vročih tem v Evropi in tudi po vsem svetu. Zagotavljanje univerzalne in zaupanja vredne digitalne identifikacije je temelj za nadaljnjo digitalizacijo družbe, tako v razmerju posameznik – država, kupec – prodajalec kot za elektronsko poslovanje med podjetji. Če k temu dodamo še željo in praktično potrebo, da postanejo e-identitete uporabne tudi zunaj meja in storitev v sami državi, se na tem področju soočamo s številnimi izzivi, ki jih rešujejo tako na ravni Evrope kot naše države.
Na Brdu pri Kranju je v sodelovanju z združenjem EIDES potekala že šesta konferenca ZEIDES, ki najbolje ponazarja trenutno stanje napredka na tem področju e-identifikacije in vsega, kar je s tem povezano. Srečanje, ki so se ga udeležili tako predstavniki državnih in javnih institucij kot tudi predstavniki podjetij iz zasebnega sektorja, je postreglo tako s teoretičnimi, strateškimi, pravnimi kot praktičnimi vidiki uporabe e-identitet.
Zakaj pravzaprav potrebujemo e-identitete? Strateška usmeritev družbe nas pelje v smer digitalizacije praktično vseh vidikov življenja, s tem pa tudi postopkov pri interakciji z državo in javnimi storitvami ter nenazadnje na področju varnega poslovanja (B2B in B2C). E-identitete, kot jih predvideva evropska iniciativa eIDAS, bodo v elektronski obliki nadomestile osebno izkaznico, vozniško dovoljenje, zdravstveno izkaznico in tudi potrdila, kot so izpit in diplome.
Zgodnji zametek že poznamo – to je digitalno potrdilo o cepljenju proti covidu 19, ki je bilo sicer pripravljeno na hitro, a ima številne elemente tega, kar želi EU sčasoma standardizirati in pri tem zaščiti posameznika ter njegove osebne podatke pri interakcijah s tistimi, ki tovrstne podatke zahtevajo in preverjajo.
Razpravo o uvedbi e-identifikacije in e-identitet traja že vrsto let. Evropska unija je že leta 2014 sprejela uredbo eIDAS, ki države članice poziva k uvedbi tako imenovanih e-identitet (eID), toda že nekaj let za tem, še pred pandemijo covida 19, je klavrno ugotovila, da projekt ni uspel, saj ga je tedaj uporabljalo le kakih 13 odstotkov prebivalcev EU. Odločno premalo, da bi postal prevladujoči standard in način interakcije med prebivalci in javnimi službami.
Toda prvotni neuspeh EU ni odvrnil od načrtov. Sledil je projekt analize in odprave pomanjkljivosti, ki pravkar dobiva novo podobo. Letos je Evropski parlament potrdil smernice za eDIAS 2.0, do drugega leta pa bo pripravljen akcijski načrt, ki bo dal konkretne usmeritve in oprijemljivejše datume uvedbe novih storitev.
Velja poudariti, da se je vmes zgodila pandemija, ki je celotno prebivalstvo prisila v uporabo digitalnih storitev, kot so digitalni podpis, digitalna potrdila in podobna sredstva. Povpraševanje po teh storitvah se je hipoma povečalo in pospešilo razvoj in usklajevanje na tem področju.
Dr. Alenka Žužek Nemec z ministrstva je na srečanju predstavila ključna izhodišča. Prizadevamo si (kot tudi drugi v Evropi), da bi bile do leta 2030 vse ključne javne storitve dosegljive prek spleta in z uporabo mobilne denarnice. Do tedaj naj bi tudi vsi državljani imeli e-identiteto. Cilj je, da bi do tedaj vsaj 80 odstotkov prebivalstva uporabljajo digitalni način identifikacije.
Kdor misli, da gre samo za prazne načrte, se moti. Znani so povsem konkretni koraki, ki so potrebni za implementacijo tega monumentalnega projekta. V izdelavi so enotni gradniki, ki bodo zagotavljali standardiziran način uporabe e-identitet in e-poverilnic. Za Slovence najprej znotraj države, potem tudi v ostalih državah EU. V načrtu je izgradnja mobilnega vozlišča, ki je ključno za uporabo storitev. V pripravi so podatkovni centri, ki bodo ustrezali zahtevam storitev eIDAS 2.0.
Ključni element, ki ga bodo videli vsi prebivalci EU, so tako imenovane e-denarnice. Lahko bi rekli kar denarnice EU. Gre za aplikacije, ki bodo omogočile dostop in uporabo e-podpisa, e-poverilnic in vsega, kar je povezano z eID posameznika. Tehnične karakteristike naj bi bile znane nekje do konca naslednjega leta, tedaj pa lahko pričakujemo tudi prve pilote.
Povsem konkretno lahko na e-denarnico gledamo kot na aplikacijo na mobilnem telefonu. EU sicer ne narekuje uporabe mobilnih naprav, na voljo bodo tudi druga sredstva za digitalno identifikacijo, toda pričakujemo lahko, da bo večina prebivalcev uporabljala prav telefone za uporabo storitev in identifikacijo. E-denarnica bo varno sredstvo za hrambo in uporabo digitalnih identitet, ki bo delala z internetno povezavo in brez nje. Strokovnjaki poudarjajo, da gre tehnično gledano za razmeroma preproste »vsebovalnike« varovanih podatkov. Kompleksnost je v načinu njihove izdaje in uporabe, ne pa same hrambe podatkov.
V Sloveniji poteka pilotni projekt uporabe e-denarnice, ki temelji na izhodiščih evropske uredbe eIDAS.
E-denarnica se bo sicer pojavljala v različnih oblikah. Predvidevajo, da bo najbolj razširjena v obliki mobilne aplikacije na telefonu, toda na voljo bo tudi za spletne brskalnike (podobno kot Metamask za kriptovalute), kot denarnica v oblaku, predvidevajo pa tudi uporabo posebnih strojnih naprav, podobnih današnjim ključkom USB. Temeljne specifikacije trenutno pripravljajo na ravni EU, vendar bodo denarnice v končni fazi ponujali različni ponudniki storitev. Predvidevamo, da bo vsaka država imela vsaj eno e-denarnico, verjetno pa jih bo še precej več.
Po sedanjih načrtih naj bi nekatere izmed držav EU prve denarnice predstavile konec leta 2023, če le ne bo na poti do tam kaka nova ovira. Množično uporabo in s tem tudi promocijo pa lahko pričakujemo nekje v letih 2025 oziroma 2026.
V zvezi z e-denarnicami trenutno poteka nekaj pilotnih projektov. V enega je vključena tudi Slovenija, ki skupaj s Portugalsko in Španijo pripravlja preverjanje veljavnosti potrdil o študiju in priznavanje elektronskih potrdil o diplomi. Trenutno še brez fizične denarnice, vendar načrtujejo kasneje rešitev nadgraditi z e-denarnico, ko bodo zanje dorečene tehnične zahteve.
Čeprav se avtorji in podporniki nenehno trudijo, da bi javnosti pojasnili vse elemente, povezane z e-identitetami, e-podpisom in e-denarnicami, za zdaj njihova uporaba pač ostaja nekoliko bolj zapletena. To je posledica dejstva, da želimo z uporabo digitalne identitete najprej zadostiti varnosti rabe in varovanju osebnih podatkov. Digitalna denarnica nas bo tu celo bolj varovala, kot je pri rabi klasičnih identifikacijskih sredstev, na primer osebne izkaznice.
Poglejmo nekaj primerov. Danes nas uradniki mimogrede (denimo pri jemanju kreditov) prepričajo, da fotokopirajo/skenirajo osebno izkaznico. Kdo in kako uporablja te podatke, je le načelno znano. Če pa to zahtevajo manj regulirane institucije, je tveganje razkrivanja podatkov še toliko večje. Varnostnik, ki nas pri vhodu v objekt vpraša za identifikacijo, lahko pogosto izve več, kot bi moral vedeti. Poleg fotografije mimogrede prebere naslov bivališča ali pa datum rojstva. Z digitalnimi denarnicami bo uporabnik imel možnost, da prikrije podatke, ki niso nujni za zahtevano preverjanje. Obenem bo lažje zagotoviti sledljivost prebranih podatkov, lažje bo zahtevati izbris.
E-identitete, e-poverilnice in e-podpis bodo poskušali rešiti številne probleme, ki nastajajo zaradi pomanjkljivosti dosedanjih identifikacijskih sredstev in možnosti preverjanja njihove pristnosti. V EU se menda letno obrne okoli 110 milijard evrov zaradi opranega denarja in ponarejenih dokumentov. Letno je zaseženih okoli 17 milijonov ponarejenih izdelkov v vrednosti 740 milijonov evrov. Nekoliko starejši podatek iz leta 2015 priča, da je vsako leto izgubljenih ali ukradenih 30 milijonov dokumentov.
Strokovnjaki ocenjujejo, da ima skoraj 20 odstotkov izdelkov na trgov neresnične navedbe. Le ugibamo lahko, koliko je ponarejenih dokumentov o izobrazbi, delovnih izkušnjah, koliko je lažnih profilov uporabnikov in nenazadnje, koliko je lažnih potrdil o cepljenju ali prebolelosti covida 19.
Nova osebna e-izkaznica je novo sredstvo za podpisovanje s kvalificiranim elektronskim podpisom.
Na podlagi uredbe eIDAS je Slovenija že sprejela ustrezno zakonodajo. Zakon uvaja koncept osebne elektronske identitete. Prebivalci lahko danes identiteto dokazujemo z več sredstvi elektronske identifikacije. Trenutno obstajajo štiri sredstva: osebna in biometrična osebna izkaznica, smsPASS ter digitalni certifikat.
V Sloveniji nova osebna izkaznica že omogoča izvedbo e-podpisa. Ta funkcionalnost je bila aktivirana sredi oktobra, čeprav so nove osebne izkaznice začeli izdajati že v začetku leta. Trenutno to velja le v Sloveniji, sledi naslednji korak, da bo to priznano in veljavno tudi v Evropi. Trenutno je v načrtu, da se bo to zgodilo v naslednjem letu, vendar je to odvisno od naših evropskih partnerjev.
Uredba eIDAS uporablja s tehnične plati precej inovativen in zanimiv sistem za izmenjavo ter preverjanje digitalnih poverilnic. Uporabnik ali podjetje, ki bo uporabljajo digitalno denarnico, bo od izdajatelja najprej pridobilo želene e-poverilnice in jih naložilo vanjo. Te bodo nato uporabniki delili s preveritelji, ki bodo želeli preveriti identiteto. Med preverjanjem identitete bo preveritelj preveril tudi akreditacijo izdajatelja iz registra javnih informacij.
Ključno vlogo pri tem bo imelo evropsko omrežje za veriženje blokov EBSI (European Blockchain Services Infrastructure), porazdelitev in decentraliziran sistem za dostop do javnih informacij, ki ga podpira 29 držav (vse članice EU, Norveška in Lihtenštajn). Veriga blokov bo uporabljena za preverjanje poverilnic, zaupanja vredno izmenjavo podatkov, upravljanje intelektualne lastnine in zagotavljanje sledljivosti izdelkov. Celotna rešitev je zgrajena na stabilnih in odprtih standardih, kot so W3C, OpenID, eIDAS, JWT.
Ob pomoči digitalne identitete in digitalnega podpisa bomo kmalu lahko opravljali tudi storitve, kjer tega še ni bilo in nismo bili vajeni. V Sloveniji pravkar poteka digitalizacija notarskih zapisov (ZN-H), ki jo je predstavil Bojan Podgoršek iz Notarske zbornice Slovenije. V redno rabo pravkar prihaja nova zakonodajna podlaga, ki je že bila objavljena v uradnem listu in bo izenačila lastnoročni ter e-podpis in uvedla celo možnost sklepanja notarskih storitev na daljavo.
Trenutno se pripravlja notarska aplikacija (NotApp), razvoj vodi ministrstvo za pravosodje, ki bo pripravljena do konca leta 2023 in nared za javno rabo od leta 2024 dalje. Z njo se bo prek e-podpisa lahko podpisovalo listine. Notarska zbornica bo tudi uvedla enotno aplikacijo za video komunikacije za poslovanje s strankami na daljavo. Osebo se bo prek video konference primerjalo s fotografijo, ki bo v javno evidenco vnesena pri izdaji osebne izkaznice.
Drugi primer projekta rabe digitalnih e-poverilnic so na srečanju predstavili partnerji evropskega projekta uporabe e-denarnice in e-identitet. V projektu sodelujejo podjetji Rekono in Netis, Univerza v Mariboru in Slovenske železnice. Prikazani scenarij prikazuje študenta, ki pri Slovenskih železnicah kupuje vozovnice z znižano ceno in to dokazuje z e-poverilnico, pridobljeno od Univerze v Mariboru, hrani pa jo v e-denarnici Rekono OnePass.
Na poti do univerzalne uporabe e-denarnic in e-identitet po vsej Evropski uniji so še vedno številne ovire. Moti predvsem počasnost usklajevanja in pa predvsem dvom, ali bo na koncu rezultat res to, kar pričakujemo. Lep del krivde za to gre na račun pretiravanja v zagotavljanju suverenosti posameznih držav članic.
Najbolj se to kaže v dejstvu, da se vsaka država posebej odloča, katero stopnjo zanesljivosti bo zahtevala v svojem pravnem redu. Večina držav je za srednjo stopnjo zanesljivosti, nekatere, med njimi je tudi Slovenija, pa za visoko. Nihče ne oporeka pravici do izbire, toda v meddržavnem delovanju bo to predstavljalo problem. Vprašanje je, ali bo država, ki zahteva visoko stopnjo zanesljivosti, priznala e-podpise, ki zadostijo samo srednji stopnji zanesljivosti. Poleg tega ni vse samo v tehnični združljivosti. Vsaka država namreč posebej priglasi, do katerih portalov in storitev v tujini lahko dostopajo njeni državljani.
Razlog, da ni primerne politične volje za bolj poenoten pristop, so najbrž stroški, povezani s prenovo ali z implementacijo določene stopnje zanesljivosti glede na trenutno stanje v posamezni državi. eIDAS namreč ne uvaja novih identifikatorjev, ampak harmonizira obstoječe državne rešitve. Ker so nekatere države investicijo v tovrstno digitalizacijo že opravile, zdaj niso najbolj navdušene nad spreminjanjem že doseženega.
E-denarnice uvajajo novi sistem uporabe e-poverilnic. Upamo, da nekega dne tudi v vseh državah EU.
Lep primer so skandinavske države, kjer so e-identitete že rešili s sistemom bank.id (bankid.com), in to prek bančnega (zasebnega) sektorja, kjer so države samo moderator, ne pa ponudnik storitev. Tam zato celotno dogajanje okoli eIDAS jemljejo z rezervo. V Nemčiji so po drugi strani močno investirali v sistem video identifikacije in ga ne želijo nadomestiti. Vse to pa utegne povzročati nevšečnosti in zmedo tudi po morebitno uspešni implementaciji eIDAS 2.0 v vseh državah. Upajmo, da bo vendarle na koncu prevladala potreba po enostavnejši rabi za vse prebivalce EU.
Dogodek na Brdu pri Kranju je strnil Marjan Antončič, predsednik Slovenskega združenja za elektronsko identifikacijo in elektronske storitve zaupanja (ZEIDES). V svojem govoru je najprej pohvalil napredek, opravljen v Sloveniji, na področju e-identitet, a je hkrati bil precej kritičen do naše zakonodaje.
Antončič, pa tudi drugi govorci, so večkrat poudarili, da poskušamo biti v Sloveniji, pogosto povsem nepotrebno, bolj papeški od papeža. V današnjem predlogu zakonodaje, denimo, dovoljujemo razkritje in uporabo fotografij v e-denarnicah samo pri prehodu meje. Za druge namene pa ne, čeprav direktiva EU tega ne omejuje. V tej isti zakonodaji pa dovoljujemo skeniranje in fotografiranje osebnih izkaznic, kar je s stališča varnosti in zasebnosti bistveno bolj sporno. Motijo nesorazmernosti ukrepov, ki bi jih morali predlagatelji odpraviti.