Korzystanie z usług internetowych stało się codziennością dla wielu z nas. Usługi te obejmują szeroki zakres działań, począwszy od codziennych transakcji, przez obsługę płatności, sprawy pracownicze, aż po interakcje z administracją publiczną. Warto zastanowić się nad liczbą kont i haseł, które posiadamy, oraz nad poziomem zaufania, jakim darzymy używane przez nas platformy. Z każdym dniem liczba tych interakcji rośnie, co skłania do refleksji nad bezpieczeństwem naszych danych w sieci.

Czytaj też: Komisja Europejska zbada, czy cyfrowi giganci naruszyli zasady konkurencji

W odpowiedzi na rosnące znaczenie bezpieczeństwa transakcji online, Unia Europejska wprowadziła w 2016 roku rozporządzenie eIDAS. Jego celem było stworzenie solidnych ram prawnych dla elektronicznej identyfikacji oraz usług zaufania. Dzięki eIDAS, we Wspólnocie możliwe stało się wdrożenie środków identyfikacji elektronicznej i ustanowienie zabezpieczeń dla nich oraz ich wymiany. Obecnie, dzięki tym narzędziom, możemy logować się do usług administracji publicznej za pomocą konta bankowego, a nasze profile zaufane mają zastosowanie nie tylko w kraju, ale i pośrednio w całej Unii Europejskiej. eIDAS wprowadziło także usługi zaufania, takie jak elektroniczne podpisy i pieczęcie, co zwiększa wiarygodność transakcji online.

Trudności z wdrożeniem

Pomimo potężnych możliwości, jakie oferuje rozporządzenie eIDAS, jego implementacja napotykała trudności. Usługi publiczne i prywatne rozwijały się w różnym tempie, czasami nawet wchodząc w konflikt. Administracja publiczna skupiła się na rozwijaniu własnych usług. Z kolei sektor prywatny często opierał się na własnych, nie zawsze bezpiecznych rozwiązaniach. To spowodowało, że kwalifikowane podpisy elektroniczne, z jednej strony bezpieczne, ale trudno dostępne dla przeciętnego użytkownika, nie są powszechnie wykorzystywane. W tym samym czasie użytkownicy są zmuszeni polegać na jakości i wiarygodności portali, bez możliwości solidnego zabezpieczenia swoich transakcji.

Problemy z integracją i bezpieczeństwem transakcji online nie są unikalne tylko dla Polski. Podobne wyzwania występują w wielu krajach. Brakuje synergii między działaniami sektora publicznego a potrzebami rynku, co skutkuje niejednolitym poziomem zabezpieczenia transakcji. Z jednej strony mamy doświadczenia akceptacji przez administrację publiczną narzędzi o niskiej wiarygodności, a z drugiej obserwujemy przypadki nakładania wymagań nieadekwatnych do ryzyka na dostawców usług zaufania. Istnieją jednak wyjątki, takie jak Estonia, Austria czy Włochy, gdzie udało się osiągnąć wysoki poziom integracji usług publicznych i prywatnych oraz powszechnego stosowania bezpiecznych narzędzi elektronicznych 

Nowość
Nowość

Bogdan Fischer, Adam Pązik, Marek Świerczyński

Sprawdź  

Nadchodzi Europejski Portfel Cyfrowej Tożsamości

W odpowiedzi na te wyzwania, Unia Europejska podjęła działania mające na celu rewizję rozporządzenia eIDAS. Już za kilka tygodni wprowadzona zostanie jego nowelizacja, znana jako eIDAS2, która ma na celu zwiększenie synergii między rynkiem publicznym a prywatnym w całej Unii. Nowelizacja ma dostarczyć rozwiązania umożliwiające jednolitą identyfikację elektroniczną oraz powszechną dostępność kwalifikowanych podpisów elektronicznych, co ma przyczynić się do zwiększenia bezpieczeństwa i efektywności transakcji online.

Kluczowym elementem nowelizacji jest Europejski Portfel Cyfrowej Tożsamości, który ma zapewnić jednolity, wysoki poziom wiarygodności i bezpieczeństwa w całej Unii. Użytkownicy będą mogli bezpiecznie przechowywać i udostępniać swoje dane identyfikacyjne oraz elektroniczne poświadczenia atrybutów, co ułatwi korzystanie z różnorodnych usług online. Portfel ten będzie obowiązkowo akceptowany w szerokim zakresie usług, co stanowi znaczący krok w kierunku cyfryzacji i ujednolicenia usług w całej Unii.

Nowe rozwiązanie będzie dostępne nie tylko dla osób fizycznych, ale również dla przedsiębiorstw i innych organizacji. Dzięki temu będą one mogły efektywniej zarządzać swoimi danymi, uprawnieniami oraz udostępniać niezbędne informacje w bezpieczny sposób, co ma znacząco ułatwić prowadzenie działalności gospodarczej, w tym w obszarze zamówień, finansów, pełnomocnictw czy koncesji.

W ramach Europejskiego Portfela Cyfrowej Tożsamości będą gromadzone elektroniczne poświadczenia atrybutów, które będą mogły pochodzić zarówno od administracji publicznej, jak i podmiotów prywatnych. Wydawanie tych poświadczeń przez usługi zaufania, w szczególności prywatne kwalifikowane usługi zaufania, zapewni wysoką wiarygodność dokumentów i ułatwi realizację transakcji elektronicznych.

Portfel będzie charakteryzował się jednolitym interfejsem i modelem bezpieczeństwa, niezależnie od tego, czy będzie to aplikacja mobilna, aplikacja komputerowa czy usługa chmurowa. Jednocześnie usługa zostanie poddana rygorystycznym procedurom certyfikacji bezpieczeństwa, a jego głównymi wydawcami będą państwa członkowskie UE.

E-podpis bardziej dostępny

Po co nam w ogóle Europejski Portfel Cyfrowej Tożsamości? Rozwiązanie ma na celu po prostu ułatwienie dostępu każdego użytkownika do kwalifikowanego podpisu elektronicznego, eliminując potrzebę dodatkowych wizyt u kwalifikowanych dostawców, posiadania specjalistycznych kart kryptograficznych czy innych barier, z którymi użytkownicy mieli do czynienia w przeszłości. Dzięki temu modelowi oraz intuicyjnym interfejsom portfela, interakcja z usługami online stanie się prostsza, umożliwiając skorzystanie z kwalifikowanego podpisu elektronicznego w szerokim zakresie aplikacji. Już od dawna istnieje wymóg uznawania takich podpisów, ale ich powszechna dostępność i łatwość użycia mają sprawić, że staną się one podstawowym narzędziem do wyrażania woli i podpisywania dokumentów. Co więcej, złożenie kwalifikowanego podpisu elektronicznego przez osobę fizyczną dla celów osobistych będzie bezpłatne, podobnie jak korzystanie z kart płatniczych nie wiąże się z dodatkowymi opłatami. Dążenie do takiego modelu ma na celu stopniowe eliminowanie rozwiązań ograniczonych do pojedynczych sektorów, takich jak podpisy zaufane czy osobiste.

Wprowadzenie nowych podpisów i pieczęci elektronicznych w ramach portfela wiąże się z nowymi przepisami, które mają ułatwić zdalne uzyskiwanie certyfikatów, poświadczeń atrybutów, możliwość zdalnego potwierdzania tożsamości oraz stosowania do identyfikacji europejskiego portfela cyfrowej tożsamości. Dzięki temu użytkownicy będą mieli łatwiejszy dostęp do kwalifikowanych usług zaufania, niezależnie od ograniczeń prawa krajowego. Zapewnienie odpowiedniego stosowania tych rozwiązań przez kwalifikowanych dostawców będzie możliwe dzięki stosowaniu norm i przeprowadzaniu audytów bezpieczeństwa.

Nowelizacja rozporządzenia wprowadza także nowe usługi zaufania w zakresie archiwizacji danych i elektronicznego rejestru, które zyskają na znaczeniu w obliczu rosnącej liczby dokumentów i transakcji elektronicznych. Elektroniczne archiwum zapewni firmom i osobom fizycznym możliwość bezpiecznego przechowywania dokumentów o znaczeniu prawnym lub biznesowym. Dowody z archiwum lub elektronicznego rejestru będą miały uznanie prawne i dowodowe na mocy eIDAS 2.0.

Rozporządzenie ma wejść w życie wkrótce, a wraz z nim zostaną wdrożone nowe usługi zaufania. Chociaż pełne wdrożenie Portfeli Cyfrowej Tożsamości w państwach członkowskich nastąpi dopiero w 2026 roku, trwają już pilotaże i wdrażane są pierwsze rozwiązania, które pozwalają na korzystanie z portfeli i nowych usług.

Michał Tabor i Artur Miękina, eksperci Związku Cyfrowa Polska