· Trwają prace nad Europejskim Portfelem Tożsamości Cyfrowej. Głosowanie w Komisji Europejskiej zaplanowano na 28 listopada.
· Ma być to aplikacja służąca realizacji różnych spraw administracyjnych przez Internet na poziomie Unii Europejskiej.
· Przepisy mające wprowadzić tę aplikację, regulują również kwestię certyfikacji stron internetowych, która wzbudza kontrowersje.
· Regulacje mogą doprowadzić do błędów przy certyfikacji stron internetowych oraz globalnego przechwytywania danych.
Europejski mObywatel
Trwają prace nad Europejskim Portfelem Tożsamości Cyfrowej (EUDI), aplikacji, która na poziomie Unii Europejskiej zapewniać usługi zbliżone do tych dostępnych w polskiej aplikacji mObywatel. Przede wszystkim aplikacja ta będzie umożliwiała, za pośrednictwem Internetu, załatwianie różnych spraw w administracji publicznej, korzystanie z usług prywatnych i publicznych (przez możliwość łatwego potwierdzenia tożsamości), jak również kontrolowanie zakresu danych, które miałoby się udostępniać platformom internetowym. Skorzystać z niej będą mogli wszyscy obywatele państw członkowskich Unii Europejskiej, a także inni mieszkańcy i firmy.
Możliwość używania tej aplikacji byłaby całkowicie dobrowolna. Przykładowo, podmioty weryfikujące tożsamość nie będą mogły uzależniać wykonania usługi od identyfikacji wyłącznie za pośrednictwem tej aplikacji. Użytkownicy aplikacji będą mieli pełną kontrolę nad swoimi danymi i będą mieć możliwość ich usunięcia w każdym czasie zgodnie z Ogólnym rozporządzeniem o ochronie danych osobowych (RODO).
Kwalifikowane Certyfikaty Uwierzytelnienia Stron Internetowych
Oprócz wyżej opisanych udogodnień, nowe przepisy wprowadzają także Kwalifikowane Certyfikaty Uwierzytelnienia Stron Internetowych (QWAC). Na ich podstawie użytkownicy będą mogli się dowiedzieć kto stoi za daną witryną. Co istotne, w świetle obecnie proponowanych przepisów, przeglądarki internetowe będą miały obowiązek uznawania tych certyfikatów. Jednocześnie nie umożliwiono odstąpienia od realizacji nałożonego obowiązku, gdy dany certyfikat nie będzie spełniał wymogów bezpieczeństwa. Dotychczas wszystkie certyfikaty uwierzytelnienia (SSL) były wydawane przez prywatne podmioty znane jako urzędy certyfikowania, nad którymi czuwało państwo, określając minimalne wymogi certyfikacji. To właśnie nałożenie tego obowiązku oraz fakt utworzenia centralnego urzędu certyfikacji stron internetowych wzbudziły największe kontrowersje.
Organizacje zajmujące się bezpieczeństwem Internetu, a także wielu naukowców i badaczy podpisało się pod listem wzywającym Parlament Europejski i Radę Unii Europejskiej do usunięcia kontrowersyjnych przepisów (art. 45 i 45a projektu rozporządzenia wprowadzającego QWAC). Zdaniem krytyków, ten akt prawny:
- odbiera możliwość samodzielnej certyfikacji przeglądarkom internetowym – w szczególności przeglądarki nie będą mogły ustanawiać dodatkowych wymogów uzyskania certyfikatu i będą zmuszone uznać certyfikat, który ich zdaniem nie zapewnia bezpieczeństwa;
- utrudnia szybkie wdrażanie zmian w celu dostosowywania się do nowych technologii;
- wprowadza zcentralizowany organ certyfikacji stron internetowych, co może doprowadzić do częstszych błędów przy certyfikacji;
- może ułatwiać globalne przechwytywanie danych i nadzór nad Internetem przez państwa członkowskie.
Europejski Portfel Tożsamości Cyfrowej niewątpliwe może zaoferować użytkownikom komfortowe korzystanie z wielu użytecznych funkcji. Wątpliwości wywołują jednak proponowane (razem z wprowadzeniem tej aplikacji) przepisy dotyczące certyfikacji stron internetowych. Należy zatem monitorować kształt regulacji z uwagi na wyżej wskazane wątpliwości i motywy krytyki, albowiem wejście w życie wadliwych przepisów normujących tak ważną sprawę, jak bezpieczeństwo w Internecie, może wywołać wiele negatywnych skutków. Centralizacja certyfikacji stron internetowych może również doprowadzić szeregu nadużyć ze strony urzędu certyfikacyjnego, który mógłby dyskrecjonalnie odmówić certyfikacji wybranych stron internetowych, które, w jego ocenie, przykładowo, zawierałyby „mowę nienawiści”, czy „rozpowszechniały dezinformację” W praktyce mogłoby się to wiązać z cenzurowaniem stron prezentujących treści odmienne od głównego dyskursu.
Źródło: https://www.chip.pl/2023/05/europejski-portfel-tozsamosci-cyfrowej-eudi
Wilk w owczej skórze?
Prace nad Europejskim Portfelem Tożsamości Cyfrowej wywołują szereg obaw wśród użytkowników Internetu. Wszak potencjalnie źle zaprojektowany system może stać realnym zagrożeniem dla prywatności. Nie brakuje także podejrzeń, że wprowadzane udogodnienia zostaną w przyszłości wykorzystane „przeciwko” obywatelom państw członkowskich. EUDI może docelowo stanowić platformę przechowywania pełnej dokumentacji medycznej i bankowej czy dokumentów poświadczających określone uprawnienia (np. prawo jazdy). Jednym z projektowanych zastosowań Europejskiego Portfela Tożsamości Cyfrowej jest także potwierdzanie transakcji finansowych – od przyjmowania środków od instytucji finansowych aż po płatności detaliczne w codziennym zakupie i sprzedaży towarów i usług. W takim wypadku EUDI byłby także klasycznie rozumianym portfelem przystosowanym do obrotu chociażby walutą cyfrową i kolejnym dobrowolnym udogodnieniem wypierającym gotówkę.
Na obecnym etapie prac nie ma dowodów, że unijnym urzędnikom przyświecają niecne intencje. Trzeba jednak pamiętać, że trwa dekada cyfryzacji w Unii Europejskiej, a dalsze inicjatywy z tym związane mogą zostać oparte o wykorzystanie Europejskiego Portfela Tożsamości Cyfrowej.
Łukasz Bernaciński – członek Zarządu Ordo Iuris
Kamil Smulski – starszy analityk Centrum Badań i Analiz Ordo Iuris
