eIDAS 2.0 w Europie – Implementacja i przypadki użycia

W bieżącym roku przypada dziesiąta rocznica ustanowienia rozporządzenia eIDAS. Rozporządzenie eIDAS jest regulacją Unii Europejskiej wprowadzoną w roku 2014, która miała na celu stworzenie ujednoliconych ram prawnych i technicznych dla elektronicznych transakcji na wspólnym rynku UE, wykorzystując elektroniczną identyfikację i usługi zaufania działające w ramach państw członkowskich.

Rozporządzenie to ustanowiło fundamenty dla tożsamości cyfrowej w UE, opartej na elektronicznej identyfikacji opartej o krajowe środki. W lutym 2024 roku, Parlament Europejski przyjął nowelizację tego rozporządzenia (tzw. eIDAS 2.0), która ma na celu aktualizację przepisów do dynamicznie zmieniającego się środowiska cyfrowego. Aktualnie, w kwietniu 2024 roku, rozporządzenie to zostało oficjalnie podpisane, kończąc proces legislacyjny i oczekuje się jedynie na jego opublikowanie w Dzienniku Urzędowym UE. Po upływie dwudziestu dni od publikacji, rozporządzenie wejdzie w życie i zacznie obowiązywać. 

Przykłady wdrożenia eIDAS w różnych krajach UE 

W ramach Unii Europejskiej, państwa członkowskie podjęły liczne inicjatywy mające na celu podniesienie standardów usług w obszarze identyfikacji elektronicznej oraz usług zaufania. Niemcy, z systemem bezpiecznej komunikacji DE-Mail wprowadzonym w 2012 roku i nowym elektronicznym dowodem tożsamości nPA (neuer Personalausweis), mimo deklarowanego zainteresowania i wsparcia ze strony rządu federalnego, nie osiągnęły oczekiwanej adopcji. Z kolei we Włoszech, system identyfikacyjny SPID oraz usługa PEC (Posta Elettronica Certificata) zyskały znacząco na popularności. Belgia również odnotowała sukces dzięki inicjatywie itsme, wspieranej przez sektor bankowy i operatorów telekomunikacyjnych, która w ciągu zaledwie pięciu lat osiągnęła rentowność i szeroką adopcję wśród dorosłych obywateli. 

Pomimo tych przykładów trzeba stwierdzić, że większość z wymienionych rozwiązań ma zasięg ograniczony do narodowych granic, a niektóre skoncentrowane są wyłącznie na usprawnieniu komunikacji pomiędzy administracją a obywatelami, pomijając sektor prywatny. 

Kontrastując z powyższymi, Estonia plasuje się jako awangarda w dziedzinie usług cyfrowych. Wykorzystuje platformę X-Road – zdecentralizowaną infrastrukturę do wymiany danych międzysystemowej – gwarantującą bezpieczeństwo i niezawodność transferu danych zgodnie z eIDAS. Estonia wprowadziła również program e-Residency, który zapewnia status i cyfrową tożsamość osobom nierezydującym w Estonii i umożliwia im dostęp do estońskiej infrastruktury cyfrowej. W krajach bałtyckich popularność zdobyło również estońskie rozwiązanie Smart-ID. Natomiast w regionie skandynawskim, na duże uznanie zasługuje system identyfikacyjny Bank-ID, współpracujący z bankami i funkcjonujący w dwóch wersjach – szwedzkiej oraz norweskiej. 

Generalnie jednak mnogość narzędzi pozwalających na identyfikację podmiotów, ich różnorodność, czasami lokalność, stanowi poważne wyzwanie współczesnego biznesu, ale także europejskiej administracji. Numeryczny system identyfikatorów przypisanych do obywateli jest używany przez większość rządów na całym świecie, jednak długość numeru, jego konkretny cel i termin używany w odniesieniu do niego mogą się różnić. Najpopularniejsze (aczkolwiek przecież nie wszystkie) z nich  to kod osobisty lub kod identyfikacyjny lub numer identyfikacyjny, osobisty kod identyfikacyjny, numer ubezpieczenia społecznego, krajowy numer ubezpieczenia, stanowy kod podatkowy, numer podatkowy, krajowy numer identyfikacyjny, numer rejestracyjny, numer ubezpieczenia społecznego, numer osobisty itp. 
Takie podejście sprawdza się na poziomie danego kraju, utrudnia jednak współpracę transgraniczną. Niektóre państwa, jak chociażby Niemcy, nie stosują w ogóle jednego uniwersalnego identyfikatora. Obecnie w wyniku implementacji rozporządzenia eIDAS z 2014 roku państwa mogą identyfikować obywateli innych państw na podstawie imienia, nazwiska, daty urodzenia, miejsca zamieszkania jednak w praktyce, jak to się dzieje np. w Polsce, najważniejszy i kluczowy pozostaje nr Pesel. Nowelizacja eIDAS wprowadza znaczne ulepszenie poprzez stosowanie tzw. mechanizmu identity matching. 

Kolejnym problemem związanym z procesem potwierdzania tożsamości jest brak jednolitego podejścia na rynku w zakresie akceptacji różnych metod potwierdzania tożsamości oraz związanej z tym interoperacyjności. Kraje UE posiadają różne systemy prawne i regulacyjne. Utrzymanie zgodności z ciągle ewoluującymi standardami technologicznymi i regulacyjnymi oraz jednoczesne zapewnienie elastyczności systemu na przyszłe zmiany, jest również znaczącym wyzwaniem. 

Wiele krajów UE już posiada własne systemy eID i e-usług, co stwarza wyzwanie w zakresie integracji tych systemów z ramami eIDAS w sposób, który jest zarówno efektywny, jak i ekonomiczny. Pamiętać trzeba również o rosnącej liczbie zagrożeń cybernetycznych i konieczności ochrony danych. 

Nie dziwi więc, że Unia Europejska wskazuje na podstawowe problemy w zakresie tożsamości w dostępnych obecnie systemach identyfikacji cyfrowej oferowanych przez rządy w UE: 

  • systemy nie są dostępne dla całej populacji, często ograniczają się do usług publicznych online i nie umożliwiają płynnego dostępu transgranicznego; 
  • tylko 14% kluczowych dostawców usług publicznych we wszystkich państwach członkowskich pozwala na transgraniczne uwierzytelnianie za pomocą systemu e-ID, 
  • Ilość zdarzeń identyfikacji pomiędzy krajami członkowskimi jest powolna, 

Nowe koncepcje cyfrowej tożsamości

Tożsamość suwerenna (SSI) to podejście do tożsamości cyfrowej, które daje jednostkom kontrolę nad informacjami, których używają, aby udowodnić, kim są, w witrynach internetowych, usługach i aplikacjach w Internecie. 

SSI jest odpowiedzią na potrzebę ewolucji w zakresie modeli zarządzania tożsamością cyfrową. Dzięki SSI, użytkownicy mogą bezpośrednio przekazywać swoje dane do dostawców usług, zwiększając tym samym poziom prywatności i bezpieczeństwa. Ten model suwerennej tożsamości skupia się na indywidualnej autonomii, umożliwiając użytkownikom samodzielne zarządzanie i kontrolowanie swoich danych tożsamościowych. 

Niezależna (Suwerenna) tożsamość (SSI) zmienia sposób, w jaki ludzie identyfikują się w sieci, zapewniając im kontrolę nad własnymi danymi bez potrzeby pośrednictwa centralnych systemów identyfikacji. SSI funkcjonuje podobnie do fizycznego portfela z dokumentami, umożliwiając użytkownikowi wybór danych, które chce ujawnić, co dodatkowo zwiększa ich prywatność i bezpieczeństwo online. 

Komisja Europejska w nowelizowanym rozporządzeniu eIDAS realizuje projekt wdrożenia Europejskich Ram Tożsamości Cyfrowej i wprowadza narzędzie Europejskiego Cyfrowego Portfela Tożsamości, którego koncepcja opiera się na modelu tożsamości niezależnej. 

Cyfrowy portfel tożsamości ma na celu umocnienie jednolitego rynku europejskiego, umożliwiając obywatelom, mieszkańcom i przedsiębiorstwom identyfikację i uwierzytelnianie zarówno online, jak i offline, w sposób: 

  • bezpieczny: dane dot. tożsamości muszą być przechowywane i udostępniane za pomocą bezpiecznych protokołów komunikacji, 
  • godny zaufania: dane dot. tożsamości muszą pochodzić z wiarygodnych źródeł, 
  • przyjazny użytkownikowi, wygodny i dostępny -> prosty interfejs umożliwiający każdemu użytkownikowi skorzystanie z tożsamości cyfrowej, 
  • zharmonizowany w całej Unii: rozpoznawanie tożsamości w ramach EDIW przez wszystkie kraje członkowskie, bez żadnych barier. 

Wpływ znowelizowanego eIDAS na cyfrowy jednolity rynek w Unii Europejskiej 

W najbliższej przyszłości stosowanie SSI stanie się standardem w Unii Europejskiej, co wymusi na każdej usłudze online akceptowanie tego typu identyfikacji. Państwa członkowskie będą mogły wydawać weryfikowalne poświadczenia, a kwalifikowani dostawcy usług zaufania będą mogli wydawać potwierdzenia określonych atrybutów, co zrewolucjonizuje obecne systemy identyfikacji. Zharmonizowane ramy tożsamości cyfrowej mają na celu zmniejszenie barier cyfrowych między państwami członkowskimi, umożliwiając obywatelom i rezydentom Unii korzystanie z cyfryzacji przy jednoczesnym zwiększeniu przejrzystości i ochrony ich praw. 

Możliwość integracji kilku różnych procesów w ramach jednego narzędzia da rynkowi bodziec do jeszcze lepszej obsługi klienta i potencjalnie do budowania usług i produktów, które do tej pory realizowane były etapami, wymagały wykorzystania chociażby skanów dokumentów przesyłanych za pośrednictwem poczty e-mail czy nie były możliwe do realizacji w pełni online. 

Dodatkowo, nowelizacja rozporządzenia koncentruje się na usprawnieniu procesów certyfikacji usług zaufania poprzez wprowadzenie jednolitych procedur certyfikacji, co ma na celu ułatwienie ich wdrożenia oraz zagwarantowanie wysokiego poziomu bezpieczeństwa i zaufania. 

Rozporządzenie eIDAS 2.0 stanowi kluczowy element strategii Unii Europejskiej mającej na celu zapewnienie pełnej harmonizacji zasad i warunków stosowania usług zaufania w państwach członkowskich, co umożliwi pełną interoperacyjność pomiędzy krajowymi systemami identyfikacji elektronicznej (eID) oraz usługami zaufania. Ma to na celu ułatwienie realizacji transgranicznych transakcji cyfrowych zarówno w sektorze publicznym, jak i prywatnym. Dąży również do zaangażowania sektora prywatnego w większym stopniu w rozwój i wykorzystanie usług zaufania, co przyczyni się do przyspieszenia adopcji cyfrowych tożsamości i samych usług zaufania. Lepsze ramy regulacyjne zwiększają ochronę konsumentów w środowisku cyfrowym, co ma istotne znaczenie dla budowania zaufania do usług cyfrowych i elektronicznego handlu. Poprzez ułatwienie cyfrowej współpracy i transakcji transgranicznych, znowelizowane rozporządzenie eIDAS przyczynia się do wzrostu gospodarki cyfrowej, co ma kluczowe znaczenie dla konkurencyjności i innowacyjności europejskiej gospodarki we współczesnym świecie. 

 

 

 

Data publikacji: 18.04.2024

Powiązane