Rozporządzenie eIDAS, czyli rozporządzenie Parlamentu Europejskiego i Rady (UE) Nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym, to obowiązujący od 2016 r. unijny akt prawny, który umożliwia obywatelom, przedsiębiorstwom i organom administracji publicznej korzystanie ze środków identyfikacji elektronicznej i usług zaufania (tj. podpisów elektronicznych, pieczęci elektronicznych, znakowania czasem, rejestrowanego doręczenia elektronicznego i uwierzytelniania stron internetowych) w celu uzyskania dostępu do usług online lub zarządzania transakcjami elektronicznymi. 

Czytaj też: Środowiska biznesowe wciąż obawiają się wpływu AI Act na konkurencyjność

Rozporządzenie eIDAS stworzyło ramy prawne dla uznawania i wykorzystywania elektronicznych dowodów tożsamości w państwach członkowskich Unii Europejskiej, a jego głównym celem było i jest ułatwienie identyfikacji osób fizycznych jak i prawnych w dowolnym kraju UE, poprzez utworzenie transgranicznych ram prawnych zapewniających interoperacyjność systemów identyfikacji elektronicznej we wszystkich państwach członkowskich UE.   

Ocena rozporządzenia eIDAS, przeprowadzona przez Komisję Europejską w 2021 r. w ramach przeglądu stosowania rozporządzenia wykazała jednak, że w jego obecnym kształcie nie wszystkie potrzeby rynkowe w zakresie cyfrowej identyfikacji są zaspokojone, a dodatkowo niektóre rozwiązania w zakresie tożsamości budziły obawy dotyczące prywatności i ochrony danych.

Zgodnie z analizą przedstawioną w uzasadnieniu do wniosku dotyczącego rozporządzenia eIDAS 2.0., od wejścia w życie części rozporządzenia dotyczącej identyfikacji elektronicznej tylko 14 państw członkowskich notyfikowało przynajmniej jeden system identyfikacji elektronicznej, co oznacza, że jedynie 59 proc. mieszkańców UE ma dostęp do zaufanych i bezpiecznych systemów identyfikacji elektronicznej o wymiarze transgranicznym. Dodatkowo wskazano, że jedynie siedem systemów to rozwiązania w pełni mobilne, a ze względu na ograniczenia infrastruktury technicznej z bardzo niewielu usług publicznych online dostępnych w kraju można korzystać transgranicznie za pośrednictwem sieci eIDAS.

Komisja Europejska dostrzegła zatem potrzebę podjęcia dalszych działań, w celu poprawy jednolitego rynku cyfrowego. Wobec tego, na początku czerwca 2021 roku Komisja opublikowała propozycję zaktualizowanej regulacji z 2014 r. – tzw. eIDAS 2.0, której celem jest rozwiązanie ograniczeń pierwotnej regulacji eIDAS oraz ustanowienie bardziej efektywnego systemu uzyskiwania uznanej cyfrowej tożsamości dla obywateli państw członkowskich Unii Europejskiej.  

Propozycje wskazane w projekcie zaktualizowanej regulacji mają na celu zapewnienie dostępu do bezpiecznych i wiarygodnych rozwiązań w zakresie tożsamości elektronicznej. Istotną kwestią jest również zapewnienie osobom fizycznym i prawnym możliwości korzystania z rozwiązań w zakresie tożsamości cyfrowej przy korzystaniu z usług publicznych i prywatnych, które oparte byłyby na zaufanych i bezpiecznych rozwiązaniach w zakresie tożsamości cyfrowej. Adresując obawy dotyczące prywatności i ochrony danych, projekt rozporządzenia eIDAS 2.0 przewiduje wprowadzenie rozwiązań, które umożliwiałyby ukierunkowane udostępnianie danych dotyczących tożsamości ograniczone do potrzeb konkretnej żądanej usługi.  

W odpowiedzi na dynamikę rynków i szybki rozwój technologiczny, w projekcie rozporządzenia eIDAS 2.0 rozszerzono dotychczasowy wykaz usług zaufania eIDAS o trzy nowe kwalifikowane usługi zaufania, tj. świadczenie usług archiwizacji elektronicznej, rejestry elektroniczne oraz zarządzanie urządzeniami do składania podpisów i pieczęci elektronicznych na odległość.

Jedną z istotnych z nowości proponowanych przez eIDAS 2.0 jest zobowiązanie państw członkowskich do wydania w ramach notyfikowanego systemu identyfikacji elektronicznej europejskiego portfela tożsamości cyfrowej.  EIDAS 2.0 dąży zatem do dalszej harmonizacji rozwiązań w zakresie cyfrowej tożsamości dla wszystkich obywateli UE, mając na celu stworzenie jednolitego systemu, który jest szeroko dostępny i spójny we wszystkich państwach członkowskich. 

Co to jest tożsamość cyfrowa?

Zanim jednak zagłębimy się w zagadnienie samego europejskiego portfela tożsamości cyfrowej, warto przeanalizować co ten termin tak naprawdę znaczy. Standardowe jego zrozumienie, w kontekście ogólnym obszaru zarządzania tożsamością i dostępem (z ang. Identity and Access Management – IAM) określa tożsamość cyfrową jako zestaw danych umożliwiający systemom informatycznym jednoznaczne zidentyfikowanie jednostki zewnętrznej, niezależnie od tego czy jednostką tą będzie osoba fizyczna, organizacja czy inny system komputerowy. 

W kontekście dyrektywy eIDAS pojęcie tożsamość cyfrowa będzie rezonować dużo lepiej ze stwierdzeniem, iż jest to zestaw danych pozwalający jednoznacznie zidentyfikować osobę fizyczną lub prawną. Taka definicja pozwala nam zdecydowanie zawęzić obszar, w którym będziemy poruszać się na łamach niniejszego artykułu, gdyż jest ona charakterystyczna dla podobszaru IAM znanego jako Zarządzanie Tożsamością i Dostępem Klienta (z ang. Customer Identity and Access Management – CIAM). Powyższy podobszar obejmuje swoim zakresem procesy, procedury oraz technologie wspierające elementy takie jak identyfikacja w celu uwierzytelnienia (wstępna identyfikacja tożsamości bez jej potwierdzenia) czy chociażby samo uwierzytelnienie klientów - w tym kontekście, obywateli UE. 

Wykorzystanie tożsamości cyfrowej

Przy pomocy dyrektywy eIDAS w UE zbudowano podwaliny do utworzenia międzynarodowej sieci zaufanych dostawców tożsamości cyfrowej. Kraje członkowskie implementują węzły sieci eIDAS, które mają pozwalać na bezpieczną wymianę tożsamości obywatela EU pomiędzy podmiotami z krajów będących częścią danej sieci.

W Polsce węzeł sieci eIDAS stanowi Krajowy Węzeł Identyfikacji Elektronicznej (login.gov.pl), który pozwala na uwierzytelnienie w serwisach takich jak Internetowe Konto Pacjenta czy mObywatel (aktualnie pełna lista usług zintegrowanych z Krajowym Węzłem Identyfikacji Elektronicznej obejmuje ponad 1500 systemów {1}.

Nowość

Nowość

Akt o usługach cyfrowych. Komentarz

Dominik Lubasz, Monika Namysłowska

Sprawdź  

Pojawia się teraz pytanie – jak to działa w praktyce? W przypadku gdy obywatel postanowi skorzystać z jednej ze zintegrowanych usług, trafi on na stronę logowania - login.gov.pl, a więc do wcześniej wspomnianego węzła. Tam będzie mógł wybrać sposób logowania się, a więc Środek Identyfikacji Elektronicznej. Na powyższe składa się zestaw danych pozwalających na zidentyfikowanie osoby uwierzytelnianej (a więc nasza tożsamość) oraz dane pozwalające na potwierdzenie tożsamości osoby zidentyfikowanej. W ramach dyrektywy eIDAS określone są dokładne wymagania, jakie spełnić musi podmiot wydający Środek Identyfikacji Elektronicznej {2}. W zależności od wyboru następnym krokiem będzie przejście przez sam proces logowania, czyli potwierdzenie tożsamości, czyli uwierzytelnienie.

W ramach Krajowego Węzła Identyfikacji Elektronicznej można wykorzystać następujące środki identyfikacji elektronicznej:

• Profil Zaufany
• Bankowość elektroniczna
• E-Dowód
• Aplikacja mObywatel
• eID – logowanie przy pomocy innych węzłów sieci eIDAS (logowanie poprzez węzły innych państw członkowskich UE)

Europejski Portfel Tożsamości Cyfrowej

Jako kolejny krok inicjatywy eIDAS rozpoczęto fazę prototypu dla aplikacji pełniącej funkcję elektronicznego portfela tożsamości, a więc pozwalającej na uniwersalny dostęp do danych opisujących tożsamość obywatela.

W ramach wspomnianego prototypu opracowywane są standardy architektoniczne dotyczące 11 przypadków użycia {3}:

• Dostępu do oficjalnych usług państwowych,
• Otwarcia konta w banku za pośrednictwem usług online,
• Rejestracji i aktywacji karty SIM,
• Mobilne prawo jazdy,
• Podpis elektroniczny,
• Recepty elektroniczne,
• Pozostałe dokumenty tożsamości wymagane do przemieszczania się poza strefą Schengen (takie jak paszport czy wiza),
• Dowód zatrudnienia,
• Weryfikacja płatności online,
• Dowód posiadanego wykształcenia,
• Dostęp do świadczeń ubezpieczeniowych.

Oznacza to, iż gotowa aplikacja będzie nie tylko naszym elektronicznym dokumentem tożsamości, ale pełnoprawnym portfelem pozwalającym na bezpieczne potwierdzenie chociażby naszego wykształcenia bez potrzeby dostarczania fizycznego dyplomu. 

Wpływ na rzeczywistość

Implementacja Portfela pozwoli na uproszczenie wielu procesów, takich jak chociażby aplikowanie na uczelnie wyższe, zakładanie konta bankowego czy wydawanie nowych kart SIM poprzez ucyfrowienie (przy jednoczesnym zwiększeniu poziomu bezpieczeństwa) potwierdzeń, które dziś mają zazwyczaj formę fizyczną.

Ponadto, dzięki wymogom eIDAS 2.0, korzystając z powyższego portfela obywatel UE będzie mógł kontrolować dokładnie jakie dane udostępniane są podmiotom i dostawcom.

Co to znaczy dla dostawców usług – popularyzacja wykorzystania sieci eIDAS umożliwi oszczędności w obszarze procesów wymagających potwierdzenia tożsamości, a także uprości proces uwierzytelnienia online dla klientów końcowych jednocześnie nie obniżając poziomu bezpieczeństwa. Przedsiębiorcy, których usługi pozwalają na wykorzystanie portfela będą mogli w prostszy i tańszy sposób docierać do klientów w obrębie całej Unii.

Maciej Łabędzki, Manager Cyber Practice, Risk Advisory, Deloitte

Aleksandra Kraśnicka, Senior Consultant w zespole Cyber Strategy, Risk Advisory, Deloitte