Vlákno názorů k článku
Bankovní identita bude dražší, firmy za aktivaci zaplatí 30 000 Kč od brk - Může mi někdo vysvětlit, proč to má ty...

Tak určitě. Je to na dohodě obou stran. A pokud firma si bude připlácet za možnost podpisu, tak lze snad předpokládat, že podpis druhé strany bude uznávat. Jinak by nedávalo logiku, proč by si za službu podpisu měla připlácet.

Jenže tady se celou dobu bavíme o tom, zda ten podpis budou uznávat všichni ostatní mimo té firmy. Asi bude potřeba si to uvést na příkladu. Firma prohlásí, že jsem si u nich objednal výrobu něčeho na míru a bude to chtít zaplatit. Bude argumentovat, že má ten bankovní podpis. Že ten podpis uznává firma je logické, ale zároveň nezajímavé. Já ale budu tvrdit, že jsem si nic takového neobjednal a že podpis na objednávce není můj. Takže já ten podpis neuznávám a to už začíná být problém, protože tím pádem tvrdím, že já s tou objednávkou nemám nic společného a platit nic nebudu. Ta firma to samozřejmě může dát k soudu, a pak bude záležet na tom, zda ten podpis uzná soud. Což nebude vůbec snadné, pokud se můj právník bude snažit – protože věrohodný elektronický podpis má dost technických i právních předpokladů. Proto máme normy na kvalifikované elektronické podpisy, kde jsou všechny ty technické i právní předpoklady ověřené tak, aby se podpisu dalo důvěřovat.

Jste, mírně řečeno, trochu mimo.
Pokud si zřídíte bankovní identitu, tak je použita taková autentizace, aby šlo prokázat, že jste se přihlásil opravdu Vy a ne nikdo jiný. Zároveň pokud se Vaše identita přihlásí k eshopu a něco objedná, tak lze prokázat, že to objednala Vaše bankovní identita a ne nikdo jiný.
Pokud firma prohlásí, že jste si něco objednal skrz jejich eshop, tak musí mít v ruce důkaz, že to byla vaše identita. Což není nic složitého. Takže se bere, že jste to byl opravdu Vy. Pokud Vám někdo třeba ukradl bankovní identitu (autentizační prostředek a znalost hesla, atd.), tak důkazní břemeno je na Vaší straně, abyste prokázal, že objednávku jste nevytvořil Vy, ale zloděj, který ukradl vaši bankovní identitu..
Je to něco jako 3DSecure u plateb. Pokud eshop nepodporuje 3DSecure, tak v případě reklamace platby je důkazní břemeno na eshopu, aby prokázal, že platbu provedl majitel karty. Pokud to neprokáže (když šlo o zboží, tak zasílací adresu, atd.), vrací peníze. Pokud eshop podporuje 3DSecure, tak eshop má záruku, že platbu provedl majitel karty (něco jako bankovní identita, ale tady se prokazujete jako skutečný majitel karty) a pokud budete reklamovat platbu eshopu, kde bylo zaplaceno pomocí 3DSecure, tak důkazní břemeno je na straně majitele karty, aby prokázal, že nezaplatil on.
S uznáním kvalifikovaného elektronického podpisu (který lze získat snadno na kterékoliv poště, kde mají Czechpoint) nemají soudy žádné problémy. Nevím, co myslíte tím "věrohodným" podpisem, protože zákon nic takového nezná. Takže Váš právník se může snažit jak chce, ale to je asi tak všechno. Ty technické a právní předpoklady jsou pro tvorbu a vytváření elektronických podpisů, aby se právě elektronické podpisy daly jednoduše a prokazatelně používat k podepisování.
A pokud soud bude rozhodovat o platnosti jiného elektronického podpisu než je kvalifikovaný (v rámci bankovní identity), tak ten se bude řídit dle smlouvy, kterou jste uzavřel mezi sebou a bankou ohledně této služby. Pokud jste se v ní zavázal, že elektronický podpis pomocí bankovní identity je pro Vás závazný, tak soud nemá problém se tímto řídit.

Mimo jste vy, protože vůbec nechápete základní technologické principy, jak to funguje.

Zároveň pokud se Vaše identita přihlásí k eshopu a něco objedná, tak lze prokázat, že to objednala Vaše bankovní identita a ne nikdo jiný.
Pokud na tomhle trváte, tak napište, jak přesně se to udělá. Dejme tomu, že mám u e-shopu identitu představovanou identifikátorem „filip.jirsak“. Jak teď v e-shopu zapíšete objednávku tak, aby bylo prokazatelné, že jsem ji učinil já s touto identitou? Takže když třeba zlomyslný správce vloží do databáze záznam s objednávkou, kde použije mou identitu, jakým způsobem to odlišíte od záznamu, který s tou identitou vložila aplikace na můj pokyn?

Drobná nápověda: k přihlášení přes bankovní identitu dochází před tím, než v e-shopu učiním objednávku. Až si vyberu zboží, s poskytovatelem identity už se nijak nekomunikuje. Takže po přihlášení můžu vytvořit jednou objednávku ale také sto objednávek, na té objednávce může být jeden šroubek nebo jedna lokomotiva.

Pokud firma prohlásí, že jste si něco objednal skrz jejich eshop, tak musí mít v ruce důkaz, že to byla vaše identita.
Ne, musí mít v ruce důkaz, že si moje identita objednala právě tu danou věc. Jenže ten „důkaz“ je něco, co vyrábí ta samotná firma a může si jich vyrobit kolik chce. Takže to není žádný důkaz.

Je to něco jako 3DSecure u plateb.
Není. 3D secure se provádí až po objednávce, takže součástí potvrzení je i kolik a komu platím. Tedy na straně uživatele. Na straně banky je to stejně neprůkazné, jako autentizace – když banka umí vygenerovat PIN, aby mi ho mohla poslat přes SMS, umí ho vygenerovat i tak, aby si tu transakci sama potvrdila. Jenže 3D secure je něco jiného – tam jde o potvrzení pro banku o uzavření transakce mezi uživatelem a obchodníkem. A banka samozřejmě svému vlastnímu potvrzení důvěřuje.

S uznáním kvalifikovaného elektronického podpisu nemají soudy žádné problémy.
:-D Vždyť to jsem psal v předchozím komentáři. A víte, proč s tím nemají žádné problémy? Protože kvalifikovaný elektronický podpis musí uznávat všichni v celé EU, je to dané legislativou EU.

Nevím, co myslíte tím "věrohodným" podpisem, protože zákon nic takového nezná. Takže Váš právník se může snažit jak chce, ale to je asi tak všechno. Ty technické a právní předpoklady jsou pro tvorbu a vytváření elektronických podpisů, aby se právě elektronické podpisy daly jednoduše a prokazatelně používat k podepisování.
Důležité není podepisování, ale ověření podpisu. Elektronický podpis je i to, když na konec e-mailu napíšu „Filip Jirsák“. Takový podpis ale pro nikoho příčetného nebude věrohodný, protože každý ví, že takový podpis může vytvořit úplně kdokoli. Proto máme legislativně definovaný kvalifikovaný elektronický podpis, kde je spousta technických i legislativních záruk, které zajišťují to, aby kvalifikovaný elektronický podpis byl důkazem projevu vůle podepisující osoby, nebo-li aby byla dostatečná záruka, že ten podpis provedla skutečně osoba, které podpisový certifikát patří.

U bankovního podpisu to bude pořád záviset jenom na tom, zda věříte té bance. Zda věříte, že banka udělala vše správně, že nemá v systému chybu, že neudělal chybu nikdo z personálu.

Mimochodem, asi zapomínáte na tom, že zájmem banky je mít co nejvíc klientů, zájmem banky bude prodat co nejvíc podpisů. Banka má nějaké zákonné povinnosti na ověřování majitelů účtů, ale rozhodně nepůjde nad tyto povinnosti – naopak se snaží s co nejmenšími náklady a co nejmenším odrazováním zákazníků dospět k něčemu, u čeho bude moci prohlásit, že ty povinnosti ještě plní.

Pokud jste se v ní zavázal, že elektronický podpis pomocí bankovní identity je pro Vás závazný, tak soud nemá problém se tímto řídit.
Ve smlouvě s bankou se rozhodně nemůžu zavázat k tomu, že můj bankovní podpis bude závazný vůči libovolné třetí straně.

Naopak, hned první odpovědí jste dal najevo, že vůbec nechápete, jak to funguje. protože to právě bankovní identita (stejně jako třeba MojeID, byť bez "státní podpory") řeší. Další diskuze nemá význam, to není diskuze o detailech bankovní identity, ale o základech, o kterých nemám chuť tady ztrácet čas.
Přeji hezký zbytek týdne.

Ano, nechápete základy – nechápete rozdíl mezi autentizací (přihlášením) a podpisem. Bankovní identita i NIA je autentizace. Zkusím upozornit ještě na jednu věc, třeba vám to dojde – aby bylo ověřitelné, co jste podepsal (odsouhlasil, schválil), musí to existovat vždy před tím, než něco provedete. Když podepíšete prázdný papír a teprve dodatečně se na něj dotiskne smlouva, nemohl jste v okamžiku podpisu bezpečně znát její obsah. (Akorát u toho papíru nebude možné zpětně určit, co bylo dřív, zda tisk smlouvy nebo podpis.) Takže když se nejprve do e-shopu přihlásíte přes bankovní identitu a teprve pak vytvoříte objednávku, nemůže být ta objednávka věrohodně svázaná s přihlášením (s vaší identitou).

Třeba vám při pochopení těchto základů pomůže přirovnání k fyzickému světu. Zkuste si to představit na předání dopisu na poště. Autentizace je, když si od vás pošťačka vyžádá občanku, zkontroluje, že je na ní jméno a adresa stejná jako na dopisu a na základě toho vám dopis dá. Podpis je, když vám po předání toho podpisu nechá podepsat doručenku, na které je trasovací kód dopisu, odesílatel apod. Rozdíl poznáte v okamžiku, když budete rozporovat, že jste dopis nedostal. V prvním případě (autentizace) to bude tvrzení proti tvrzení – vy budete tvrdit, že jste dopis nepřevzal, pošťačka bude tvrdit, že vám ho přidala. Když to bude druhý případ, na doručence bude váš podpis a dá se to kdykoli dodatečně zkoumat – jestli to je opravdu váš podpis.

Když vás pošťačka ověří proti občance, může třeba opsat její číslo do nějaké knihy. Ale už nikdy nikdo zpětně neověří, zda vám na základě toho ověření občanky dala dopis, prodala dálniční známku, vyplatila složenku nebo prodala los pro 18+.

A hned tu máme i první příspěvek k vaší víře, že banky budou při poskytování služeb autentizace naprosto bezchybné: Komerční banka má kvůli bezpečnostnímu incidentu zablokovanou bankovní identitu: „Důvodem je bezpečnostní incident spočívající v pravděpodobné záměně identity.“