W 2014 roku Unia Europejska przyjęła rozporządzenie eIDAS 1.0 (Electronic Identification, Authentication and Trust Services). Była to próba stworzenie jednolitego rynku cyfrowego, w którym obywatele i przedsiębiorstwa mogą korzystać z usług zaufania takich jak podpis elektroniczny, pieczęć elektroniczna czy znacznik czasu w ustandaryzowany sposób w całej UE.
Celem eIDAS było ustandaryzowanie oraz zwiększenie zaufania do transakcji elektronicznych i ułatwienie współpracy transgranicznej. Dzięki niemu podpis elektroniczny złożony w Polsce stał się ważny również w Niemczech czy Hiszpanii. Jednak wraz z rozwojem technologii cyfrowych i potrzeb rynku, okazało się, że ówczesne rozwiązania mają swoje ograniczenia. Były one zbyt mało elastyczne, trudne w implementacji, a obywatele rzadko korzystali z nich w codziennym życiu.
Dlatego w 2021 roku Komisja Europejska zaproponowała eIDAS 2.0 - rozszerzoną regulację, która między innymi, poza wprowadzeniem nowego rodzaju usług zaufania, ma także doprowadzić do powstania Europejskiego Portfela Tożsamości Cyfrowej (EUDI Wallet).
Czym jest EUDI Wallet?
W skrócie można powiedzieć, że EUDI Wallet to aplikacja, która ma umożliwić przechowywanie cyfrowych dokumentów - takich jak np; dokument tożsamości, prawo jazdy, dyplomy, certyfikaty zawodowe oraz innych informacji, nazywanych “atrybutami”. Informacje te powinny być możliwe do udostępniania w sposób selektywny - to użytkownik ma decydować o tym, jaki zakres informacji będzie przekazywany do innej instytucji. Może to służyć np. do potwierdzenia wieku bez ujawniania pełnej daty urodzenia oraz innych informacji. Dodatkowo, w ramach cyfrowego portfela, będzie możliwe składanie kwalifikowanych podpisów elektronicznych a także logowanie do usług online.
Dotychczasowe doświadczenia z eIDAS 1.0 pokazały, że mimo wprowadzenia ram prawnych, adopcja elektronicznych usług zaufania była ograniczona. W każdym kraju funkcjonowały inne systemy, niestety nie zawsze kompatybilne. Różnice techniczne i proceduralne sprawiały, że np. obywatel z Polski nie zawsze mógł łatwo skorzystać z usług cyfrowych w innym państwie członkowskim Unii Europejskiej.
Komisja Europejska uznała, że brak wspólnego standardu jest barierą dla jednolitego rynku cyfrowego. Stąd pomysł na EUDI Wallet - uniwersalne narzędzie, które ma działać w całej Unii, zapewniając obywatelom i firmom prosty, bezpieczny i interoperacyjny sposób identyfikacji.
Szanse i wyzwania dla biznesu
Wprowadzenie cyfrowego portfela tożsamości będzie miało także wpływ na przedsiębiorstwa.
EUDI Wallet ma być rozwiązaniem uniwersalnym, które znajdzie zastosowanie w wielu obszarach życia gospodarczego i społecznego. Komisja Europejska wskazała zestaw priorytetowych scenariuszy użycia, które już są testowane w ramach pilotaży w państwach członkowskich.
Pierwszym i najbardziej oczywistym zastosowaniem będzie identyfikacja i uwierzytelnianie. Obywatel będzie mógł logować się do usług online – zarówno publicznych, jak i prywatnych – bez konieczności zapamiętywania haseł czy korzystania z dodatkowych metod weryfikacji. Tożsamość użytkownika zostanie potwierdzona w sposób jednolity i uznawany w całej Unii Europejskiej.
Kolejny istotny obszar to podpisywanie i potwierdzanie dokumentów. Portfel pozwoli korzystać z kwalifikowanego podpisu elektronicznego wprost z aplikacji mobilnej. Umożliwi to zawieranie umów na odległość – np. kredytowych, leasingowych czy najmu mieszkania – w pełni cyfrowo i zgodnie z prawem.
EUDI Wallet otwiera także drogę do prostego i bezpiecznego potwierdzania atrybutów. Użytkownik będzie mógł udowodnić, że ukończył 18 lat, nie ujawniając przy tym pełnej daty urodzenia. Podobnie, możliwe będzie potwierdzenie statusu studenta w celu uzyskania zniżki czy wykazanie posiadania określonych kwalifikacji zawodowych. Tego rodzaju mechanizmy znacznie ograniczą zakres udostępnianych danych osobowych i uproszczą procedury po stronie przedsiębiorców.
W sektorze finansowym EUDI Wallet usprawni procesy płatności i weryfikacji klientów (KYC/KYB). Banki, fintechy czy firmy ubezpieczeniowe będą mogły błyskawicznie potwierdzać tożsamość klientów i przedstawicieli firm, ograniczając koszty i czasochłonne procedury weryfikacyjne. W niektórych scenariuszach portfel pozwoli łączyć autoryzację płatności z równoczesnym udostępnieniem wybranych danych, co dodatkowo uprości cały proces. Kluczowa jest także kwestia bezpieczeństwa informacji oraz pewności co do prezentowanych danych - m.in. dotyczących tożsamości osoby. Według raportów Komisji Europejskiej, roczne straty związane z oszustwami tożsamościowymi w UE liczone są w miliardach euro. EUID Wallet, oparty na kryptografii i mechanizmach zaufania, znacząco ograniczy możliwość podszywania się pod inne osoby. Oczywiście, poziom bezpieczeństwa będzie zależny także od konkretnego modelu wdrożenia i zastosowania dodatkowych elementów takich jak np. biometria - w celu potwierdzenia, czy cyfrowym portfelem posługuje się jego właściciel.
Duży potencjał wiąże się także z transportem i podróżami. W portfelu przechowywać będzie można cyfrowe prawo jazdy (mDL), które posłuży przy wynajmie samochodu czy kontroli drogowej. Możliwe stanie się również przechowywanie kart pokładowych czy szybka identyfikacja przy rezerwacji hotelu – bez potrzeby kopiowania dokumentów.
Znaczącym obszarem są także edukacja i rynek pracy. Dyplomy i certyfikaty zawodowe wydawane w formie cyfrowych poświadczeń będą mogły być łatwo udostępniane pracodawcom. W procesach rekrutacyjnych kandydat przekaże tylko niezbędne informacje – np. potwierdzenie ukończenia określonego kierunku studiów – bez ujawniania pełnych danych z dyplomu.
Nie można zapominać o e-commerce i usługach cyfrowych. Sklepy internetowe i platformy subskrypcyjne będą mogły łatwiej potwierdzać tożsamość i wiek użytkowników, a podpisy kwalifikowane w portfelu umożliwią szybkie zawieranie kontraktów online. W efekcie procesy zakupowe staną się bardziej bezpieczne i przyjazne użytkownikowi.
Dostosowanie systemów IT poszczególnych instytucji do obsługi walleta będzie wymagało pewnego rodzaju inwestycji. Firmy będą musiały zainwestować w integrację API, certyfikację rozwiązań i szkolenia pracowników. Konieczna będzie także zmiana regulaminów i procesów. Można przewidywać, że powstaną firmy, które będą integrowały się poszczególnymi portfelami i oferowały ujednolicony dostęp do tych systemów.
Nowe rozwiązania technologiczne zawsze budzą pytania i obawy. Firmy, które będą zobowiązane do akceptacji cyfrowych portfeli tożsamości lub zdecydują się na ich użycie z powodów biznesowych, będą musiały zadbać o komunikację z klientami: dlaczego wallet jest bezpieczny, jakie daje korzyści i jak z niego korzystać. Można jednak przewidywać, że ze względu na potencjalne korzyści i wygodę użytkowania, adaptacja nowych rozwiązań i akceptacja ich ze strony końcowych klientów będzie przebiegała bardzo sprawnie. Dobrym odniesieniem jest tutaj wdrożenie w Polsce systemu mObywatel - który pełni już teraz rolę cyfrowego portfela tożsamości, chociaż nie jest jeszcze dostosowany do wymogów regulacji eIDAS 2.0. W krótkim czasie po wdrożeniu to rozwiązanie zyskało ogromną popularność, obecnie posługuje się nim ponad 11 mln użytkowników. Pozwala m.in. na łatwiejsze logowanie się do systemów administracji państwowej, wiarygodne potwierdzenie tożsamości w sposób cyfrowy oraz posługiwanie się różnymi dokumentami.
Bezpieczeństwo i prywatność
Wśród obaw co do wdrożenia i stosowania cyfrowego portfela tożsamości jedną z największych jest, że EUDI Wallet stanie się narzędziem nadzoru państwowego. W tej kwestii należy podkreślić, że według założeń, informacje przetwarzane przez cyfrowy portfel tożsamości powinny być zdecentralizowane, a wymiana i weryfikacja informacji pomiędzy klientem o daną instytucją powinna być możliwa do realizacji bez rejestracji tej transakcji w centralnym systemie. Z punktu widzenia wdrażania systemu, kluczowe będzie transparentne wyjaśnienie, że to obywatel kontroluje swoje dane, a system został zaprojektowany w duchu „privacy by design”.
Biorąc pod uwagę prywatność jeszcze raz warto podkreślić, że portfel będzie umożliwiał ograniczenie przekazywania i przetwarzania zakresu danych, a to pozwala na zwiększenie prywatności użytkownika. Na przykład jeżeli potrzebne jest przekazanie danej instytucji wyłącznie mojego imienia i nazwiska, nie muszę udostępniać swojego numeru pesel, a więc także daty urodzenia czy też numeru dokumentu. Dodatkowo, przy założeniu stosowania portfela na szeroką skalę, bezpieczeństwo tożsamości każdego z nas będzie zdecydowanie wyższe, ze względu na większą trudność sfałszowania przekazywanych informacji przez oszustów.
Jak przygotować się na wdrożenie cyfrowego portfela tożsamości?
Biorąc pod uwagę możliwości, jakie niesie ze sobą wdrożenie i używanie cyfrowego portfela tożsamości, warto z uwagą monitorować ten temat. Obecnie wiele się dzieje w zakresie przygotowywanej legislacji. Są także realizowane projekty pilotażowe, wypracowywane referencyjne standardy technologiczne i operacyjne.
W międzyczasie, zanim te rozwiązania będą dostępne na szeroką skalę, warto przeanalizować procesy biznesowe w swoim przedsiębiorstwie - dla których z nich wartością dodaną może być użycie cyfrowego portfela tożsamości? Być może będzie to moment obsługi klienta, proces zatrudniania nowych osób czy też podpisywania umów z kontrahentami. Można także w niektórych przypadkach określić informacje - atrybuty, które warto będzie udostępniać swoim klientom w ramach cyfrowego portfela tożsamości. Założenia EUID zawierają także taką możliwość, chociaż sam proces wystawiania atrybutów musi być realizowany przez dostawcę usług zaufania.
Bez wątpienia używanie cyfrowych portfeli tożsamości będzie stanowiło przewagę konkurencyjną na rynku, dlatego warto już wkrótce, w miarę udostępnianych rozwiązań i publikowanych standardów technicznych, rozpocząć implementacje integracji z portfelami i testy tych rozwiązań. Pozwoli to na wcześniejsze uruchomienie usług jak tylko będą w pełni dostępne. Oczywiście wymaga to budowania kompetencji wewnętrznych, lub outsourcowania tych tematów do wyspecjalizowanych podmiotów.
Podsumowanie
Od eIDAS 1.0 z 2014 roku po EUDI Wallet planowany w ramach eIDAS 2.0 minęła dekada, w której zmienił się sposób, w jaki postrzegamy cyfrową tożsamość. Dziś stoimy przed kolejnym krokiem – stworzeniem jednego, europejskiego rozwiązania, który uprości życie obywateli, otworzy nowe możliwości dla biznesu i zwiększy bezpieczeństwo w świecie cyfrowym.
Warto zauważyć, że tego typu rozwiązania mogą usprawnić lub pomóc całkowicie cyfrowo przeprowadzić procesy, które dzisiaj są jeszcze przynajmniej częściowo realizowane w sposób analogowy. Wykorzystanie EUID może np. uprościć i przyspieszyć wynajem samochodu całkowicie online - m.in. dzięki możliwości potwierdzenia prawa jazdy i wieku w aplikacji. Znacznym usprawnieniem w wielu procesach będzie także możliwość podpisywania umów na odległość z wykorzystaniem podpisu kwalifikowanego w ramach portfela.
Jedną z najbardziej istotnych funkcjonalności będzie możliwość udostępniania wybranych danych i informacji bez konieczności pokazywania np. całego dowodu osobistego czy też paszportu. Z punktu widzenia przedsiębiorcy - będzie on mógł pozyskiwać i przetwarzać dane wyłącznie te, które są potrzebne i odpowiednie w konkretnym scenariuszu a to pozwoli lepiej kontrolować przetwarzanie danych osobowych i spełniać wymogi regulacyjne z tym związane. Użycie cyfrowego portfela w codziennej obsłudze klienta będzie się wiązało nie tylko z przyspieszeniem pozyskania danych, większym stopniem zaufania co do ich poprawności i oryginalności, usprawnieniem procesu obsługi klienta ale także ze zwiększeniem poczucia bezpieczeństwa ze strony klientów. To wszystko może być użyte przez poszczególne firmy wykorzystujące cyfrowy portfel tożsamości do budowania przewagi konkurencyjnej na rynku.
Dla przedsiębiorców to zarówno szansa, jak i wyzwanie. Ci, którzy przygotują się wcześniej, zyskają przewagę konkurencyjną. Ci, którzy zignorują zmiany, mogą wkrótce znaleźć się w sytuacji, w której brak zgodności z nowym standardem będzie blokował ich rozwój.
