Bankovní identita se vyvíjí postupně a "v běhu". Lze říci, kolik ji nyní ve skutečnosti používá lidí? Tedy neptám se na uživatele, kteří ji mají automaticky přidělenou, ale kteří jsou skutečně aktivní.
Když sečteme všechna unikátní přihlášení k on-line službám státu prostřednictvím bankovní identity za jednotlivé banky, pak se k 10. květnu 2021 dostaneme zhruba ke 160 tisícům. Někdo se ale může v tomto výsledném čísle objevit i vícekrát. Někteří lidé jsou totiž klienty více bank a službu bankovní identity mohou využít u každé. Akreditované banky už nicméně ztotožnily přes 5,5 milionu svých klientů.
Hodně se mluví o tom, že s bankovní identitou již nebude nutné chodit na úřad a podobně. Co vše si s ní ale vyřídím reálně teď, respektive kam všude se s ní právě teď dostanu?
V sektoru veřejné správy se občan může pomocí bankovní identity přihlásit prostřednictvím národního bodu pro identifikaci a autentizaci (NIA) k on-line službám, které jsou poskytovány státními orgány a orgány územně samosprávných celků. Identifikační prostředky ale musí splňovat požadavek na danou úroveň záruky vyžadovanou poskytovatelem on-line služby. Příkladem je Portál občana, portál datových schránek, portál eReceptu, Očkovací portál, portál Moje daně nebo ePortál ČSSZ.
Nejkomplexnější službou je tedy, předpokládám, v tuto chvíli Portál občana.
K zahájení využívání elektronické služby státu prostřednictvím bankovní identity je nejvhodnější přihlášení do Portálu občana. Odtud budete mít z jednoho místa snadný přístup do více než 40 portálů státní správy nebo územních samospráv. V Portálu občana také najdete přehled o svých dokladech, údaje z katastru nemovitostí nebo bodové hodnocení řidiče.
V prostředí Portálu občana si navíc lze kdykoliv a zdarma zažádat o výpisy z rejstříku trestů, z bodového konta řidiče, živnostenského rejstříku nebo si založit datovou schránku. Pokud si k Portálu občana připojíte i svou datovou schránku, máte k dispozici perfektní a komplexní přístup k on-line komunikaci s veřejnou správou.
Zmiňujete datovou schránku. Jak s ní bude bankovní identita provázaná, nebude identita schránku postupem času upozaďovat?
Bankovní identita a datové schránky jsou dvě různé věci. Bankovní identita slouží jako prostředek pro prokázání totožnosti on-line. Datové schránky jsou primárně státem garantovaný komunikační kanál. Oba nástroje koexistují v dokonalé harmonii. Datové schránky mají nezastupitelnou úlohu, protože jsou jediným státem garantovaným nástrojem pro elektronické doručování mezi úřady a veřejností.
Bankovní identita oproti tomu představuje vítané rozšíření nabídky prostředků pro elektronickou identifikaci - tedy vzdálené prokázání totožnosti. Už dnes se může uživatel pomocí bankovní identity přihlásit do své datové schránky, a dokonce je možné si datovou schránku zřídit on-line pomocí elektronické identity, tedy například právě bankovní identitou nebo jiným elektronickým identifikačním prostředkem.
Jak se funkce bankovní identity rozšíří letos a jak bude vypadat bankovní identita v horizontu pěti let?
Vůči on-line službám poskytovaným státem - tedy státními orgány a orgány územně samosprávných celků - nepředpokládáme rozšíření funkcionality bankovní identity. Samozřejmě ale mohou přibýt další banky, které získají akreditaci pro správu kvalifikovaného systému elektronické identifikace - pro poskytování důvěryhodné elektronické identifikace.
Bankovní identita je ale jen jeden ze způsobů, jak mohou uživatelé prokázat svoji totožnost on-line. Dalšími prostředky pro elektronickou identifikaci jsou i mobilní klíč eGovernmentu, elektronický občanský průkaz a další.
Banky se nyní pravděpodobně zaměří zejména na možnosti využití bankovní identity mimo NIA, tedy použití bankovní identity především směrem ke komerčním poskytovatelům, což jsou různé e-shopy, dodavatelé energií a tak dále.
Jak velký vidíte potenciál ve využití bankovní identity skrze firmy?
Nás z pohledu ministerstva vnitra zajímá použití bankovní identity vůči on-line službám veřejné správy. Toto je otázka spíše určená pro banky, Českou bankovní asociaci a společnost Bankovní identita a.s.
Někteří bezpečnostní experti bankovní identitu kritizují, protože se v podstatě "sama zapne" každému klientovi, který používá internetové bankovnictví banky, jež identitu používá. Když přihlédneme k tomu, jak v Česku stoupá počet útoků, kdy lidé nevědomky své bankovní údaje vydají podvodníkům, nejde o zvýšení bezpečnostního rizika? Spolu s účtem pak útočník získá i přístup k osobním dokladům a dalším klíčovým údajům.
Klienti bank měli možnost požádat v rámci aktualizace obchodních podmínek, kdy se bankovní identita zaváděla, svou banku, aby jim vůbec bankovní identitu nevydala. Mají také možnost si bankovní identitu následně vypnout, pokud jim byla vydána.
Pokud jde o aspekt bezpečnosti, je nutné říct, že je povinností klienta chránit své přihlašovací údaje do internetového bankovnictví. A to bez ohledu na to, zda používá přihlašovací údaje pouze pro přístup do internetového bankovnictví nebo jako prostředek pro prokázání totožnosti on-line vůči jiným subjektům. Každá banka k tomuto uživatele zavazuje ve svých podmínkách a například na svém webu uvádí bezpečnostní zásady.
Zákon o elektronické identifikaci pak stanovuje povinnost pro držitele identifikačních prostředků, aby chránil tento prostředek jako "oko v hlavě" a minimalizoval tak riziko jeho zneužití. Pokud má uživatel podezření, že došlo nebo může dojít ke zneužití jeho identifikačního prostředku, je jeho povinností to neprodleně oznámit vydateli prostředku, tedy například bance.
Je to podobné, jako když uživatel například ztratí svou platební kartu, měl by ji také okamžitě zablokovat. Je samozřejmě potřeba neustále edukovat uživatele, jak se bezpečně chovat a nakládat s přihlašovacími údaji do internetového bankovnictví.
Dalo by se ovšem namítnout, že platební kartu si uživatel pořizuje vědomě s jasně daným záměrem. Bankovní identita a s ní související rizika jsou klientovi přidělena jaksi automaticky s běžným účtem. Soukromá banka vlastně klienta automaticky propojí se službami státu, přitom účel zřízení účtu v bance je primárně jiný.
Jak jsem řekl, bez ohledu na to, zda s přihlašovacími údaji do internetového bankovnictví je, nebo není spojena bankovní identita, je nutné, aby klient chránil svoje přihlašovací údaje do internetového bankovnictví tak, aby nemohlo dojít k jejich zneužití.
Banka musí každému klientovi dát možnost si bankovní identitu zrušit - například v elektronickém bankovnictví lze bankovní identitu vypnout. Banka má rovněž povinnost klienta informovat cestou změny obchodních podmínek o tom, že pro své klienty zavádí bankovní identitu. Klient má pak možnost s těmito novými podmínkami vyslovit nesouhlas. Tím, že klient případně nevyslovil nesouhlas se změnami obchodních podmínek - zavádějících bankovní identitu, se má za to, že klient s novými obchodními podmínkami souhlasí.
Jak to funguje v případě, že mám účet u několika bank? Mám pak automaticky aktivovanou bankovní identitu na několika místech, není v tom zmatek?
Pokud je fyzická osoba klientem několika bank a každá z těchto bank nabízí bankovní identitu pro své klienty, pak tento člověk může mít několik bankovních identit. Samozřejmě každá z nich musí "ukazovat" na stejnou osobu.
Dokáží banky v tuto chvíli ověřit, že bankovní identitu někdo nevyužívá za mě? Přijde mi i od banky upozornění, když se přes bankovní identitu přihlásím například na Portál občana?
Identifikační prostředky jsou obecně konstruovány tak, aby se dalo předpokládat s určitou úrovní důvěry - záruky, že je používá pouze osoba, které identifikační prostředek patří. Identifikační prostředek se skládá z takzvaných autentizačních faktorů: Něco, co znám (např. heslo). Něco, co vlastním (např. SIM karta). Něco, čím jsem (např. otisk prstu). Autentizačními faktory se ověřuje, že prostředek je používán pouze osobou, které byl vydán.
Pro prostředky s úrovní záruky značná a vysoká platí, že musí být vícefaktorové. To znamená, že prostředky v sobě kombinují minimálně dvě z výše uvedených tří kategorií. Tímto požadavkem se tak ztěžuje situace pro útočníka, kterému například nestačí ukrást mobilní telefon, kam chodí jednorázové SMSky pro potvrzení transakcí. Musel by znát také heslo daného uživatele. Dále jsou samozřejmě u identifikačních prostředků, respektive u jeho jednotlivých faktorů, stanoveny bezpečnostní mechanismy, jako je maximální počet neúspěšných zadání hesla či PINu.
Pokud držitel prostředku vědomě sdělí někomu jinému své heslo a například hodnotu jednorázového kódu obdrženého v SMS, pak samozřejmě vydavatel prostředku nemá možnost zjistit, že prostředek používá někdo jiný než osoba, které byl tento prostředek vydán. I proto je důležité nejen dbát na technickou bezpečnost identifikačních prostředků, ale také neustále edukovat uživatele, jak se mají bezpečně chovat, a to nejen na internetu.
Může si sám uživatel kontrolovat historii přihlášení?
Uživatel si v rámci svého profilu na NIA může zkontrolovat v historii, kdy, kam a pomocí jakého prostředku se přihlašoval. V rámci svého profilu si uživatel může dále zobrazit Připojené identifikační prostředky, to jest identifikační prostředky, které byly zaregistrovány na jeho identitu. Uživatel může rovněž využít notifikace o přihlášení k NIA, které mu mohou být zasílány do aplikace Mobilní klíč eGovernmentu, pokud si mobilní aplikaci nainstaluje na svůj chytrý telefon a připojí k NIA.
To, zda vydavatel identifikačního prostředku posílá například e-mail o použití identifikačního prostředku, závisí zejména na daném vydavateli. Minimálně jeden z nich to nabízí uživatelům jako možnost.
Existuje dle vašeho názoru něco, co by mohlo lidi od používání bankovní identity naopak odradit?
Pokud má někdo obavu z on-line komunikace nebo si není takříkajíc "jistý v kramflecích" v elektronickém světě, pak lze předpokládat, že nebude chtít používat bankovní identitu ani jiné identifikační prostředky.
O bankovní identitě:
- Pro lidi je bankovní identita něco jako digitální občanský průkaz, pomocí které se mohou bezpečně a jednoduše elektronicky prokázat při používání online služeb.
- S bankovní identitou tak lze potvrzovat i transakce a formuláře vyplněné online nebo podepisovat dokumenty na úrovni zaručeného podpisu. Používá se stejně jako přihlašování k internetovému bankovnictví.
- K poskytování bankovní identity je nutná akreditace od ministerstva vnitra. Tu prozatím získaly Air Bank, Česká spořitelna, ČSOB, Komerční banka a Moneta Money Bank.
- Dosud se s bankovní identitou mohou klienti bank vedle přístupu na účet přihlásit jen ke službám státu. Nově by se mohli přihlašovat i ke komerčním službám. Podle odhadů společnosti Bankovní identita by mohly do června nabízet využití identity 15 až 20 firem a do konce roku 40 až 50 firem.
- Zákon o bankovní identitě zvítězil v 12. ročníku ankety Zákon roku. Anketu organizuje poradenská společnost Deloitte a její advokátní kancelář Deloitte Legal od roku 2010.