Bankovní identita bude dražší, firmy za aktivaci zaplatí 30 000 Kč

Fakt by mě zajímal způsob cenotvorby, zejména z jakých dat vycházeli. I kdyby předpokládali masové rozšíření a "malé domů" od státu, nelze přece vycházet z nejistých předpokladů.

> Důvodem zdražení je podle SZ to, že aktivace BankID u firemních klientů bude nakonec nákladnější, než provozovatel služby původně očekával.

Snad podle té společnosti. Skutečným důvodem zdražení budou spíš jejich představy o budoucím monopolu.

To vystřeluje SLA 98,5 za 15 000 Kč / měsíc, o kterém jsem tady s údivem psal už minule, na úplně nový level...

Ten obchodník co to bude prodávat to bude mít fakt těžký: "Kupte si naši službu, za 30k si to můžete naimplementovat. Ale když budete chtít aby vám to aspoň trochu chodilo, musíte si mimo základní poplatky, které jsou už tak mastné, koupit ještě SLA 98,5, jinak to nemá cenu. Jo a na Vánoce, to to radši na eshopu úplně vypněte, protože to určitě nepojede."

Ten ceník snad nemůže nikdo myslet vážně. To je jako příprava na podpultové ceny jako u mobilních operátorů?

25. 2. 2021, 17:34 editováno autorem komentáře

Typické banky. Ty nedělají nikdy nic zadarmo. Udělají si z toho pěkný business s podporou státu. P.S. není toto náhodou kartelová dohoda?

Může mi někdo vysvětlit, proč to má ty firmy vůbec zajímat?

Jako občan to beru, jsem jednoznačně identifikovan a dostanu se na nějaký ten portalobcana.cz a další služby státu bez zbytečného běhání po ouřadech, abych dostal přístup, ale jako firma?

Když potřebuji kontaktovat nějaký úřad, tak to udělám datovou schránkou, kterou má snad minimálně každý jednatel s.r.o. automaticky.

ale tohle snad nemá nic společného s tou státní bankovní identitou? Tohle je vyloženě komerční aktivita a jak to chápu není potřeba ani žádné extra povolení od státu nebo změna legislativy, prostě budou fungovat jako již funguje jistou řádku let mojeid.

To jen banky využily PR státní bankovní identity a udělali hodně podobnou věc pro soukromý sektor. Nebo mi něco uniká?

Právě že to úplně oddělené od té státní identity není. Banky si vylobovaly přístup k registrům (který nikdo jiný mimo veřejnou správu nemá), takže díky tomu budou mít aktuální data. Teoreticky může kdokoli další udělat podobnou komerční věc, z hlediska záruk to bude to samé, ale banky mají navíc ten nadstandardní kanál k registrům.

Ale to PR bank kolem toho je opravdu dokonalé – nabízejí horší službu, než MojeID, přišly později, ještě mají nadstandardní podmínky od státu, a k tomu je ještě stát propaguje.

Firmy to může zajímat, protože mohou mít ověřenou identitu zákazníka či žadatele o službu
a to v relativně jednoduché formě a bez komplikací.
Dnes se to často řeší poslíčkama, případně že někam musíte nahrávat kopie dokladů.
Uzavření smlouvy tím může být rychlejší a spolehlivější.

Nebo může být prodej či služba omezena věkem a takto tu informaci obchodník dostane. Např. Sazka apod.

A vás jako klienta opět může zajímat zjednodušení uzavření smluv apod. a také, že nemusíte nikam posílat kopie dokladů.

Úplně přesně to asi není.

Definoval bych to tak, že Bankovní identita je validní pro veřejný a soukromý sektor.
Každý klient banky má/může mít svou bankovní identitu.

A ta se dá použít pro příhlášení ke službám státu (NIA) nebo k soukromým subjektům (tzv. SONIA).

Bankovní identita asi začala jako systém pro veřejný sektor, ale banky v tom uviděly možnost monetizace již vybudovaného systému.
Jak a kolik firem ji využije, těžko říct.

Pro uzavření smluv to budou používat jen dobrodružné povahy (z řad firem), protože nebudou mít v ruce ni než své vlastní tvrzení, že dotyčný tu smlouvu uzavřel. Jde o autentizaci, ne o podepisování. Takže od banky bude mít ta firma maximálně tak potvrzení, že se přihlásil dotyčný občan. Ale co prováděl dál a jestli odsouhlasil nějakou smlouvu, to už bude jen v záznamech té firmy.

Jenže tady se celou dobu bavíme o tom, zda ten podpis budou uznávat všichni ostatní mimo té firmy. Asi bude potřeba si to uvést na příkladu. Firma prohlásí, že jsem si u nich objednal výrobu něčeho na míru a bude to chtít zaplatit. Bude argumentovat, že má ten bankovní podpis. Že ten podpis uznává firma je logické, ale zároveň nezajímavé. Já ale budu tvrdit, že jsem si nic takového neobjednal a že podpis na objednávce není můj. Takže já ten podpis neuznávám a to už začíná být problém, protože tím pádem tvrdím, že já s tou objednávkou nemám nic společného a platit nic nebudu. Ta firma to samozřejmě může dát k soudu, a pak bude záležet na tom, zda ten podpis uzná soud. Což nebude vůbec snadné, pokud se můj právník bude snažit – protože věrohodný elektronický podpis má dost technických i právních předpokladů. Proto máme normy na kvalifikované elektronické podpisy, kde jsou všechny ty technické i právní předpoklady ověřené tak, aby se podpisu dalo důvěřovat.

Jste, mírně řečeno, trochu mimo.
Pokud si zřídíte bankovní identitu, tak je použita taková autentizace, aby šlo prokázat, že jste se přihlásil opravdu Vy a ne nikdo jiný. Zároveň pokud se Vaše identita přihlásí k eshopu a něco objedná, tak lze prokázat, že to objednala Vaše bankovní identita a ne nikdo jiný.
Pokud firma prohlásí, že jste si něco objednal skrz jejich eshop, tak musí mít v ruce důkaz, že to byla vaše identita. Což není nic složitého. Takže se bere, že jste to byl opravdu Vy. Pokud Vám někdo třeba ukradl bankovní identitu (autentizační prostředek a znalost hesla, atd.), tak důkazní břemeno je na Vaší straně, abyste prokázal, že objednávku jste nevytvořil Vy, ale zloděj, který ukradl vaši bankovní identitu..
Je to něco jako 3DSecure u plateb. Pokud eshop nepodporuje 3DSecure, tak v případě reklamace platby je důkazní břemeno na eshopu, aby prokázal, že platbu provedl majitel karty. Pokud to neprokáže (když šlo o zboží, tak zasílací adresu, atd.), vrací peníze. Pokud eshop podporuje 3DSecure, tak eshop má záruku, že platbu provedl majitel karty (něco jako bankovní identita, ale tady se prokazujete jako skutečný majitel karty) a pokud budete reklamovat platbu eshopu, kde bylo zaplaceno pomocí 3DSecure, tak důkazní břemeno je na straně majitele karty, aby prokázal, že nezaplatil on.
S uznáním kvalifikovaného elektronického podpisu (který lze získat snadno na kterékoliv poště, kde mají Czechpoint) nemají soudy žádné problémy. Nevím, co myslíte tím "věrohodným" podpisem, protože zákon nic takového nezná. Takže Váš právník se může snažit jak chce, ale to je asi tak všechno. Ty technické a právní předpoklady jsou pro tvorbu a vytváření elektronických podpisů, aby se právě elektronické podpisy daly jednoduše a prokazatelně používat k podepisování.
A pokud soud bude rozhodovat o platnosti jiného elektronického podpisu než je kvalifikovaný (v rámci bankovní identity), tak ten se bude řídit dle smlouvy, kterou jste uzavřel mezi sebou a bankou ohledně této služby. Pokud jste se v ní zavázal, že elektronický podpis pomocí bankovní identity je pro Vás závazný, tak soud nemá problém se tímto řídit.

A hned tu máme i první příspěvek k vaší víře, že banky budou při poskytování služeb autentizace naprosto bezchybné: Komerční banka má kvůli bezpečnostnímu incidentu zablokovanou bankovní identitu: „Důvodem je bezpečnostní incident spočívající v pravděpodobné záměně identity.“

Firmy jsou na opačné straně, než píšete vy. Tj. ten, kdo se přihlašuje, bude pořád občan. Ale nepřihlašuje se ke státním službám, ale k firmě. Třeba k e-shopu – a ten e-shop pak má od banky zaručenou (nebo „zaručenou“) informaci o tom, kdo se přihlásil. Tj. e-shop pak může být ochotnější něco zaslat třeba na dobírku, protože má o uživateli údaje, které mu dala banka – ne údaje, co o sobě ten člověk vyplnil sám. Takže pokud si to dotyčný nevyzvedne, má e-shop věrohodnější údaje, po kom vymáhat poštovné. (Na základě běžné registrace uživatele nic vymáhat nemůže, protože kdyby to zkusil, první, co ten uživatel udělá, bude to, že prohlásí, že se neregistroval on.)

E-shopy a jiné on-line služby získají možnost odmítnout někoho, s kým už měly problém. Takový zákazník si už novou (bankovní) identitu nenakliká. Ještě může nějakou dobu používat příbuzné a známé, ale ti mu dojdou a je to komplikace.

Já bych si to představoval i pro diskuze pod články. Zde by se redakcím také hodila možnost někoho umlčet tak, že to neobejde novou identitou. Takovému použití ovšem brání navržené ceny.

Ale banky již teď mají ověřené osobní údaje o zákaznících. Informace z registrů ale nestahují, pouze je kontrolují (aspoň takhle zatím vidím implementace). Česká spořitelna oslovovala klienty, aby u ní údaje aktualizovali u těch, u kterých to nesouhlasilo s registrem, tj. neproběhlo správně spárování.

Mně to připadá, že využili PR, udělali stejně pojmenovanou službu a svezou se na vlně státní podpory.

Kde by ty údaje vzaly? Opíšou si údaje z občanky, když si někdo zakládá účet. Ale o změnách už se dozví jedině tehdy, pokud majitel účtu změnu svědomitě nahlásí. Tedy to platilo doteď, nově se o změně dozví z registru obyvatel, protože si to kvůli BankID prolobovaly. No a jistě ty údaje nebudou udržovat odděleně, tedy si je zaktualizují i ve svých interních systémech a v SONIA.

ohlášení změny trvalé adresy při změně je do bank povinné. Prakticky drtivá většina lidí 99%+ tu změnu nahlásí (pracuji v bankovním sektoru), protože to je pro ně důležité.

On ani ten počet změn trvalých adres není nijak vysoký počet, takže tohle podle mě není ten důvod.

Dnešní banky mají svoje systémy dost rozmělnění a v nejbližší době nedojde k integracím do všech CRM a synchronizaci napříč systémy, takže se ani ohlašovací změně zatím nevyhneš, ale doufám, že i tohle se v budoucnu změní. Je otravné měnit adresu dva roky, protože nevíš do kterých všech systémů v bance to máš nahlásit.

Hlášení změn je povinné všude možně, ale reálně se moc nedodržuje. Zajímalo by mne, jak jste došel k těm procentům – když se o těch nenahlášených změnách nedozvíte, těžko je můžete zahrnout do statistik. Samozřejmě, že někdy v budoucnosti tu změnu bance spousta lidí ohlásí, protože je banka ověřuje proti občance, takže spousta lidí potřebuje, aby banka měla správný údaj. Nicméně spousta lidí má zase víc účtů, přičemž třeba nepoužívá aktivně všechny. Motivace hlásit změnu u toho nevyužívaného účtu nebude vysoká.

Jako vlastníkovi účtu je mi samozřejmě jedno, v kolika systémech to banka má – já změnu nahlásím bance, a je už starostí banky, aby věděla, kde všude to eviduje.

Mimochodem, před pár lety jsem při změně trvalé adresy využil možnost CzechPointu nechat zaslat změnu trvalého bydliště do datových schránek různých institucí, jednou z nich byla i banka. A byla také jednou z institucí, které tohle oznámení ignorovaly.

informace o změně trvalého pobytu se vždy nějak do banky dostane, při změně služeb, při zrušení účtu, při vydání nové platební karty atd. Pokud vezmeš prodlevu mezi změnu a získáním informace vedlejší cestou, můžeš s určitou přesností odhadnout jaká je báze uživatelů, kteří to hlášení neprovedli. Případů, kdy se o změně dozvíš po 10 letech je opravdu minimum, skoro ty lidi můžeš znát osobně.

Řada bank u nás nejsou jediný právní subjekt, ale mají spousty dcer, bratrů a strýců. Prakticky změnu musíš nahlásit pro každou smlouvu, kterou s nimi máš, nepředávají si to. Např. ČSOB (účet u Poštovní spořitelny a hypotéka u ČSOB) nebo KB (účet vs penzijní připojištění u KB Penzijní společnosti). Třeba pojištění k debetním/kreditním kartám je podobně divně u všech bank, musíš jmenovitě udělat změnu u té pojistné smlouvy, ne vždy to je automatické na pobočce a ne vždy jsou schopní sami dohledat, kde všude to máš.

A to je přesně i problém toho Czechpointu, oni to na moc míst nehlásí, banky nemají automatický proces na zpracování takových datových zpráv a někdy ta informace se nedostane ke všem místům. Neobahuji to, také mi to extrémně vadí a proto se mi i docela zamlouvá stav, kdy banka změny bude přebírat automaticky.

Že se změna musí hlásit každému subjektu zvlášť (i když jsou ty subjekty provázané), to chápu. Ale moje zkušenost je taková, že i přímo v bance se to muselo měnit na několika místech (v jednom systému z pohledu uživatele, ale buď za tím byly různé systémy, nebo to v tom jednom systému bylo oddělené).

Předpokládám, že banka se typicky o změně trvalého bydliště dozví nejčastěji během pár měsíců, nicméně pro to poskytování služeb třetím stranám je docela podstatné, aby se o změně dozvěděla „hned“ (ve skutečnosti je tam nějaké zpoždění, než to probublá až do základních registrů). Ale to si banky prolobovaly, takže jako jediné čistě soukromprávní subjekty ty informace budou mít.

Kouknul jsem do ceníku a jde i o podepisování, ne jen o autentizaci. Byť tedy za příplatek.

To podepisování je ovšem čistě soukromoprávní záležitost – záleží na každém, zda takovému podpisu bude věřit.

Tak určitě. Je to na dohodě obou stran. A pokud firma si bude připlácet za možnost podpisu, tak lze snad předpokládat, že podpis druhé strany bude uznávat. Jinak by nedávalo logiku, proč by si za službu podpisu měla připlácet.

Mimo jste vy, protože vůbec nechápete základní technologické principy, jak to funguje.

Zároveň pokud se Vaše identita přihlásí k eshopu a něco objedná, tak lze prokázat, že to objednala Vaše bankovní identita a ne nikdo jiný.
Pokud na tomhle trváte, tak napište, jak přesně se to udělá. Dejme tomu, že mám u e-shopu identitu představovanou identifikátorem „filip.jirsak“. Jak teď v e-shopu zapíšete objednávku tak, aby bylo prokazatelné, že jsem ji učinil já s touto identitou? Takže když třeba zlomyslný správce vloží do databáze záznam s objednávkou, kde použije mou identitu, jakým způsobem to odlišíte od záznamu, který s tou identitou vložila aplikace na můj pokyn?

Drobná nápověda: k přihlášení přes bankovní identitu dochází před tím, než v e-shopu učiním objednávku. Až si vyberu zboží, s poskytovatelem identity už se nijak nekomunikuje. Takže po přihlášení můžu vytvořit jednou objednávku ale také sto objednávek, na té objednávce může být jeden šroubek nebo jedna lokomotiva.

Pokud firma prohlásí, že jste si něco objednal skrz jejich eshop, tak musí mít v ruce důkaz, že to byla vaše identita.
Ne, musí mít v ruce důkaz, že si moje identita objednala právě tu danou věc. Jenže ten „důkaz“ je něco, co vyrábí ta samotná firma a může si jich vyrobit kolik chce. Takže to není žádný důkaz.

Je to něco jako 3DSecure u plateb.
Není. 3D secure se provádí až po objednávce, takže součástí potvrzení je i kolik a komu platím. Tedy na straně uživatele. Na straně banky je to stejně neprůkazné, jako autentizace – když banka umí vygenerovat PIN, aby mi ho mohla poslat přes SMS, umí ho vygenerovat i tak, aby si tu transakci sama potvrdila. Jenže 3D secure je něco jiného – tam jde o potvrzení pro banku o uzavření transakce mezi uživatelem a obchodníkem. A banka samozřejmě svému vlastnímu potvrzení důvěřuje.

S uznáním kvalifikovaného elektronického podpisu nemají soudy žádné problémy.
:-D Vždyť to jsem psal v předchozím komentáři. A víte, proč s tím nemají žádné problémy? Protože kvalifikovaný elektronický podpis musí uznávat všichni v celé EU, je to dané legislativou EU.

Nevím, co myslíte tím "věrohodným" podpisem, protože zákon nic takového nezná. Takže Váš právník se může snažit jak chce, ale to je asi tak všechno. Ty technické a právní předpoklady jsou pro tvorbu a vytváření elektronických podpisů, aby se právě elektronické podpisy daly jednoduše a prokazatelně používat k podepisování.
Důležité není podepisování, ale ověření podpisu. Elektronický podpis je i to, když na konec e-mailu napíšu „Filip Jirsák“. Takový podpis ale pro nikoho příčetného nebude věrohodný, protože každý ví, že takový podpis může vytvořit úplně kdokoli. Proto máme legislativně definovaný kvalifikovaný elektronický podpis, kde je spousta technických i legislativních záruk, které zajišťují to, aby kvalifikovaný elektronický podpis byl důkazem projevu vůle podepisující osoby, nebo-li aby byla dostatečná záruka, že ten podpis provedla skutečně osoba, které podpisový certifikát patří.

U bankovního podpisu to bude pořád záviset jenom na tom, zda věříte té bance. Zda věříte, že banka udělala vše správně, že nemá v systému chybu, že neudělal chybu nikdo z personálu.

Mimochodem, asi zapomínáte na tom, že zájmem banky je mít co nejvíc klientů, zájmem banky bude prodat co nejvíc podpisů. Banka má nějaké zákonné povinnosti na ověřování majitelů účtů, ale rozhodně nepůjde nad tyto povinnosti – naopak se snaží s co nejmenšími náklady a co nejmenším odrazováním zákazníků dospět k něčemu, u čeho bude moci prohlásit, že ty povinnosti ještě plní.

Pokud jste se v ní zavázal, že elektronický podpis pomocí bankovní identity je pro Vás závazný, tak soud nemá problém se tímto řídit.
Ve smlouvě s bankou se rozhodně nemůžu zavázat k tomu, že můj bankovní podpis bude závazný vůči libovolné třetí straně.

Naopak, hned první odpovědí jste dal najevo, že vůbec nechápete, jak to funguje. protože to právě bankovní identita (stejně jako třeba MojeID, byť bez "státní podpory") řeší. Další diskuze nemá význam, to není diskuze o detailech bankovní identity, ale o základech, o kterých nemám chuť tady ztrácet čas.
Přeji hezký zbytek týdne.

Ano, nechápete základy – nechápete rozdíl mezi autentizací (přihlášením) a podpisem. Bankovní identita i NIA je autentizace. Zkusím upozornit ještě na jednu věc, třeba vám to dojde – aby bylo ověřitelné, co jste podepsal (odsouhlasil, schválil), musí to existovat vždy před tím, než něco provedete. Když podepíšete prázdný papír a teprve dodatečně se na něj dotiskne smlouva, nemohl jste v okamžiku podpisu bezpečně znát její obsah. (Akorát u toho papíru nebude možné zpětně určit, co bylo dřív, zda tisk smlouvy nebo podpis.) Takže když se nejprve do e-shopu přihlásíte přes bankovní identitu a teprve pak vytvoříte objednávku, nemůže být ta objednávka věrohodně svázaná s přihlášením (s vaší identitou).

Třeba vám při pochopení těchto základů pomůže přirovnání k fyzickému světu. Zkuste si to představit na předání dopisu na poště. Autentizace je, když si od vás pošťačka vyžádá občanku, zkontroluje, že je na ní jméno a adresa stejná jako na dopisu a na základě toho vám dopis dá. Podpis je, když vám po předání toho podpisu nechá podepsat doručenku, na které je trasovací kód dopisu, odesílatel apod. Rozdíl poznáte v okamžiku, když budete rozporovat, že jste dopis nedostal. V prvním případě (autentizace) to bude tvrzení proti tvrzení – vy budete tvrdit, že jste dopis nepřevzal, pošťačka bude tvrdit, že vám ho přidala. Když to bude druhý případ, na doručence bude váš podpis a dá se to kdykoli dodatečně zkoumat – jestli to je opravdu váš podpis.

Když vás pošťačka ověří proti občance, může třeba opsat její číslo do nějaké knihy. Ale už nikdy nikdo zpětně neověří, zda vám na základě toho ověření občanky dala dopis, prodala dálniční známku, vyplatila složenku nebo prodala los pro 18+.

Jestli se nemýlím, tak použití pro diskuze by bylo i v rozporu s GDPR legislativou.

Psal jsem o tom, jak bych si to představoval já, ne co je aktuálně legální. To se liší prakticky ve všem.
Ale i toto by snad nyní šlo, kdyby diskutující předem udělil souhlas se zpracováním osobních údajů a ten server dodržel nějaké související podmínky.

Nebylo. Je velmi málo věcí, které GDPR zakazuje tak, že to není možné smluvním ujednáním přebít.