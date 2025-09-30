Digitalno osebno izkaznico smo napovedali že prejšnji mesec (Tri leta pozneje, Monitor 09/25), saj je vlada 14. avgusta objavila novelo Uredbe o določitvi sredstev elektronske identifikacije in uporabi centralne storitve za spletno prijavo in elektronski podpis. Ta je uvedla novo sredstvo za elektronsko identifikacijo (virtualno sredstvo visoke ravni), s čimer jih imamo zdaj petero. Že prej so namreč obstajali sredstvo visoke ravni na osebni izkaznici (čip in PIN), sredstvo nizke ravni na osebni izkaznici (čip), virtualno sredstvo srednje ravni (smsPASS) in virtualno sredstvo nizke ravni. S smsPASS je bilo mogoče storiti skorajda vse, za tisto manjkajoče pa bo zdaj poskrbelo virtualno sredstvo visoke ravni – ali po domače digitalna osebna izkaznica.

Tri leta po uvedbi elektronskih osebnih izkaznic smo dobili še virtualno osebno izkaznico, ki jo namestimo na telefon; omogoča enostavno izkazovanje istovetnosti pri spletnih storitvah. Če smo še prejšnji mesec ugotavljali, da je postopek identifikacije s telefonom in z osebno izkaznico zapleten, je zdaj bistveno enostavnejši.

Novosti uredbe

­- Virtualna osebna izkaznica

­- Naročilo kode PUK neposredno v aplikaciji in ne več na upravnih enotah

­- Izdaja smsPASS tudi na Fursu in ZRSZ

Namestitev so res poenostavili, saj je nastavitev aplikacije trajala vsega petnajst sekund. Še najbolj se zamudimo pri posodobitvi aplikacije eOsebna, ki je ključ za uporabo elektronske osebne izkaznice in nove digitalne storitve. Če bomo počakali dovolj dolgo, bo to za nas tako in tako storil operacijski sistem na telefonu (iOS ali Android), sicer pa lahko posodobitev sprožimo sami (v App Storu ali Play Storu).

Ob prvi naslednji prijavi v aplikacijo nam ta ponudi virtualizacijo svoje osebne izkaznice. Ustvarimo jo lahko za eno osebo na eni napravi in omogoča prijavo brez prislanjanja fizične osebne izkaznice k napravi. Če se odločimo za virtualizacijo, bomo morali prvikrat k telefonu prisloniti izkaznico, vpisati njen PIN (izkaznice, ne telefona!) in nato še potrditi prijavo s sistemskim geslom ali z biometrično prijavo v telefon (prstni odtis, prepoznavanje obraza). Virtualizacija traja nekaj sekund in na seznamu se pojavi nova virtualna osebna izkaznica. Aplikacija nato ponudi seznam vseh storitev, ki omogočajo prijavo z digitalno identiteto, ki pa je v resnici zgolj povezava do spletne strani s tem seznamom. Virtualizacija je s tem končana.

Virtualna osebna izkaznica je neločljivo povezana z osebno izkaznico. V praksi to pomeni, da jo lahko ustvarimo le z njo in da ima tudi enako obdobje veljavnosti. Dobi jo lahko vsakdo, ki ima elektronsko osebno izkaznico in je starejši od 12 let. Mogoče jo je tudi preklicati, če bi telefon izgubili ali kaj podobnega.

Omenimo še, da obstaja evidenca imetnikov virtualne osebne izkaznice. V njej so shranjeni naslednji podatki: identifikacijska oznaka sredstva elektronske identifikacije, identifikacijska oznaka nosilca sredstva elektronske identifikacije (telefona), osebno ime imetnika, identifikacija oznaka sredstva visoke ravni na osebni izkaznici, ki je bila podlaga za izdajo virtualne osebne izkaznice, EŠEI (enotna številka elektronske identifikacije), davčna številka, status sredstva elektronske identifikacije, obdobje veljavnosti in morebitni datum preklica.

Kode PIN ne pozna in ne sme poznati nihče

Moderni telefoni postajajo skorajda pomembnejši od lastnoročnega podpisa, saj lahko z njimi upravljamo denar, sklepamo pogodbe in se prijavljamo v najrazličnejše sisteme. Zid, ki stoji med varno uporabo in popolno zlorabo, je biometrična prijava ali PIN. Sistemski PIN na ravni operacijskega sistema je treba čuvati kot lastnega otroka in ga nikoli in pod nobenim pogojem nikomur zaupati. Enako velja tudi za kode PIN, ki jih uporabljajo posamezne aplikacije, denimo bančne ali eOsebna.

Nihče razen telefona oziroma aplikacije vas nikoli ne bo povprašal po kodi PIN. V zadnjem času so se pojavile različne prevare, s katerimi poskušajo nepridipravi dobiti to informacijo. Žrtve tatvin telefonov pogosto dobijo lažna sporočila, da je njihov telefon lociral Find My Phone in da morajo na internetu vpisati PIN za dostop do lokacije ali pa se morajo z njim prijaviti na kakšno sumljivo spletno stran. Vse to so prevare. Sistemski PIN ni shranjen v nobeni zbirki podatkov, zato ga lahko le ponastavite, ne pa obnovite, in se nikoli ne uporablja zunaj naprave. Kdor želi vaš PIN, vas želi opehariti.

V praksi

Daleč za nami so že časi, ko so bila digitalna potrdila na osebnih računalnikih edini način za elektronsko identifikacijo. Takrat smo s spleta z uporabo dveh gesel prenašali datoteke .p12 in pazili, da smo jih primerno uvozili v shrambo na računalniku. Če nismo odkljukali, da morajo biti izvozljive, smo imeli težave pri zamenjavi računalnika ali ponovni namestitvi operacijskega sistema (ki je bil z neuradnimi orodji rešljiv). Večji problem je bilo nespametno prehitro formatiranje sistema. Neredki so bili tudi primeri, ko je kdo poskusil digitalno potrdilo prevzeti z mobilno napravo, kar se je običajno ponesrečilo, ponovni poskus pa ni bil mogoč. Vlogo za izdajo smo morali na upravni enoti oddati še enkrat! Tudi uporaba je bila sila nepraktična, saj smo bodisi nameščali digitalno potrdilo na vse računalnike, kjer bi ga potrebovali (ne-varno!), bodisi se borili z mlini na veter v prenosnih napravah.

Elektronska osebna izkaznica je poenostavila prijave v SI-PASS od vsepovsod, pri čemer povejmo pošteno, da ni edini način za prijavo, saj je zelo priljubljen tudi smsPASS, obstaja pa še cela kopica drugih načinov. A še vedno smo se morali za prijavo z visoko ravnijo ukvarjati s fizično kartico, PIN-om, z zaščito na ravni operacijskega sistema (biometrija) in seveda s skeniranjem kode QR.

Aplikacije so varnejše kot esemesi

Da je smsPASS, ki je izjemno priročen, opredeljen kot virtualno sredstvo srednje ravni, obstajajo dobri razlogi. Esemesi, ki jih različni sistemi za dvostopenjsko preverjanje istovetnosti tako radi uporabljajo, so inherentno manj varni od potrditev v namenskih aplikacijah.

Prvič, medtem ko je aplikacija vezana na konkretno napravo, ki je v lasti posameznika, lahko esemes prejme katerikoli telefon, ki omrežje prepriča, da mu pripada telefonska številka. Drugi, nekoliko bolj paranoičen razlog, je s prvim povezan in temelji na nezaščitenosti omrežja. S kloniranjem kartic SIM ali preprostim socialnim inženiringom – v tujini so vdori že dogajali tako, da so nepridipravi operaterjevo pomoč uporabnikom prepričali, da so izgubili kartico SIM – je mogoče esemese prestrezati. Za običajnega državljana, ki želi zgolj oddati davčno napoved ali podaljšati prometno dovoljenje, bo smsPASS povsem zadoščal, za dostop do trgovalnih računov ali sodnih pisanj pa je preveč tvegan. Produkt verjetnosti za zlorabo in magnitude posledic je preprosto prevelik.

Virtualna osebna izkaznica je postopek resnično približala uporabniku. Preverili smo, kako deluje na Googlovi platformi (z najnovejšim Androidom 16 na Pixlu 9 Pro) v treh brskalnikih: Chrome, Firefox in Iceraven. Ko obiščemo stran, ki zahteva prijavo s SI-PASS, denimo eUprava, se nam v mobilnem brskalniku izriše že znani seznam dopustnih načinov prijave. Na vrhu je naveden »Mobilna aplikacija eOsebna«. Od tam je pot najenostavnejša z brskalnikom Chrome, ki samodejno odpre aplikacijo eOsebna. Prijavo moramo le še potrditi in se izkazati z biometrično potrditvijo v telefonu (ali s sistemskim geslom), pa nas bo brskalnik prijavil. V Firefoxu je bil potreben korak več, saj nas je brskalnik vprašal, ali želimo res odpreti aplikacijo eOsebna. Zasebnostno in varnostno usmerjen Iceraven pa je vztrajno trdil, da aplikacije eOsebna ni napravi. To ni kritika aplikacije, temveč funkcionalnost IceRavena, ki se podobno vede tudi v nekaterih drugih primerih.

In s tem je bila prijava dokončana v desetih sekundah, brez iskanja izkaznice, prislanjanja na zadnjo stran telefona in ugotavljanja, kje točno je tuljava za NFC. S tem je tudi podpisovanje dokumentov sila preprosto. Če so ti kje v kakšnem oblaku, tako in tako uporabljamo vzpostavljeni sistem (denimo zavarovalnice imajo to dobro urejeno). Če pa jih imamo v elektronskem predalu ali na telefonu v obliki PDF, se preprosto prijavimo v SI-PASS, izberemo podpisovanje, vpišemo geslo za podpis in naložimo dokument z naprave. Izgovori, da dokumentov ne moremo podpisati, ker smo na poti brez prenosnega računalnika, so bili že doslej iz trte izviti, zdaj pa so dokončno preteklost.

Ovir ni več

Virtualna osebna izkaznica je to, kar bi morala biti že elektronska osebna izkaznica. Njena uporaba je enostavna in preprosta, hkrati pa tudi varna. Zgolj s pametnim telefonom lahko odslej od koderkoli in kadarkoli komuniciramo z javno upravo in s številnimi drugimi institucijami, kakor da bi bili v živo pri okencu. Poleg stotine storitev v SI-PASS je izjemno pomembno tudi digitalno podpisovanje dokumentov, ki so po slovenski zakonodaji enakovredni ročno podpisanim. Občasno je treba na to spomniti tudi kakšen del javnega sektorja ali kakšno podjetje, dasiravno ta pogosto uporabljajo komercialne storitve za digitalno podpisovanje (Podpiši me večkrat, Monitor 09/24).

Virtualna osebna izkaznica

Kje: aplikacija eOsebna (Play Store ali App Store)

Cena: Brezplačno.

Za: Za prijavo v storitve javne uprave ne potrebujemo več fizične osebne izkaznice, deluje v različnih brskalnikih, varna uporaba na poljubni napravi (prek QR-kod).

Proti: Za začetno vzpostavitev potrebujemo elektronsko osebno izkaznico (leto 2022 in novejše).