E-government přes internetové bankovnictví. Vláda schválila zavedení BankID

Při důkladnějším čtení návrhu a zejména jeho důvodové zprávy jsem došel k závěru, že pod pozlátkem s nápisem "skrze internetové bankovnictví snadněji k egovernmenut" platí spíše slogan "privatizace státem uznané identity do rukou bank".

Návrh totiž sice umožňuje bankám vydávat prostředky pro elektronickou identifikaci dle eIDAS a tak skrze NIA "bankovní identitou" přistoupit ke službám eGov, ale zároveň umožňuje bankám usnadnit si život v rámci plnění povinností plynoucích z AML regulace ale hlavně s identitou občana obchodovat.

Za vydání a správu prostředku el. identifikace totiž stát bankám nic neplatí - banky tedy ověřují identitu pro stát zdarma. A v online světě platí poučka, že pokud je nějaká služba na internetu zdarma, je skutečným zbožím uživatel a jeho soukromí.

Za elektřinu stát platí, za IT služby stát platí, za výrobu pasů a občanek stát platí. Proč by bankám neměl hradit náklady za netriviální službu ověření identity? Zadarmo to ale není, výměnou budou mít banky monopol na obchodování se státem garantovanou online identitou - tedy službou, kterou by měl poskytnout občanům přímo stát. Hlubší zamyšlení na toto téma: https://github.com/l-ra/writings/blob/master/lesk-a-bida-ceskeh-eid.md

Nevím, kde v Návrhu čtete, že se bankam umožňuje vyloženě s identitou občana obchodovat, prosím o nějaké bližší určení místa v Návrhu, o kterém se lze konkrétně bavit.

To co vy označujete "...zároveň umožňuje bankám usnadnit si život v rámci plnění povinností plynoucích z AML regulace..." - v Návrhu se vysloveně uvádí, že v ZoAML se na banky nově uvalily povinnosti, ale jejich plnění ZoAML neumožňuje, čimž banky vystavuje rizikům atp. a tento Návrh se snaží tuto situaci, do které banky uvedl stát, nějakým způsobem řešit. Z vyznění vašeho příspěvku si odnáším, že si myslíte, že to tam ty banky nějak prosadily/pro­lobovaly, aby to měly jednodušší a nějak se z těch povinností vyvlékly, přitom je to podle autorů Návrhu obráceně a stát řeší problematickou situaci, kterou sám vytvořil.

"...Zadarmo to ale není, výměnou budou mít banky monopol na obchodování se státem garantovanou online identitou - tedy službou, kterou by měl poskytnout občanům přímo stát..." - stát ji samozřejmě poskytuje, nicméně to by znamenalo, že se všichni občané musí znovu identifikovat (fyzicky dostavit = podniknout nějaké kroky), aby jim ta identita byla vytvořena/zpřís­tupněna. Zde jde tedy o to, že banky toto již provedly pro 5 miliónů jejich klientů, tak proč toho nevyužít a neposunout se dále - prioritou je rozšíření služeb eGov a jejich dostupnost skrze již existující identitu by mohla významně pomoci. Toto není novinka, o "bankovní identitě" se mluví již velmi dlouho.

Zadarmo - nikdo neříká, že banky mají automaticky začít tu "službu bankovni identity" poskytovat, tady se nezákládá povinnost! Jde o to, že autoři počítají s tím, že náklad, který s tím banky mají jim v podstatě plyne už z jiných zákonů, takže náklady jsou/budou všechny již vynaloženy (ano, banky musí ověřovat identitu klientů již dnes, překvapení!), tak proč nad ty vynaložené náklady neposkytnout i tu službu bankovní identity navíc, která už o tolik moc nestojí. Jde o potenciální win-win řešení pro všechny.

První, co je třeba říci je, že jde o poslanecký návrh zákona sepsaný samotnými bankami v kontextu připravovaného projektu Sonia, v jehož oznámení bankovní asociace uvádí:

Česká bankovní asociace připravuje přelomový digitalizační projekt s názvem SONIA. Budou-li úspěšně prosazeny potřebné legislativní změny, dostane 5,5 milionů Čechů možnost při využívání služeb eGovernmentu či soukromých firem prokazovat svoji „digitální identitu“ prostřednictvím své stávající bankovní identity. ....
Identita pro čerpání služeb státu i soukromých firem
Vzdálené prokazování identity je podmínkou, aby lidé mohli čerpat digitální služby poskytované státem, v Česku například z Portálu občana, či od soukromých společností, typicky např. od dodavatelů energií, operátorů, ale i mnohých dalších.

V prvním odstavci stojí:
§ 38aa(1) Banka nebopobočka zahraniční banky je oprávněna nabízet, poskytovat nebo zprostředkovávat identifikační služby a uzavírat smlouvy o nichtéž jménem a na účet poskytovatele identifikačních služeb.
Předpokládám, že to je ona úprava legislativy, o které se mluví při představování Sonia.

Dále v důvodové zprávě:
Cíle navrhované úpravy: ... rozšířit možnost využití jednotné bezpečné a důvěryhodné elektronické identifikace pro veřejný a soukromý sektor;
...
Navrhovaná právní úprava však zejména přináší významné přínosy, neboť má ambicizásadním způsobem přispět rozvoji e-Governmentu, nabídky a využívání elektronických služeb státu, obcí a krajů. Těchto služeb by díky bezplatnému využívání identifikačních prostředků bank, financovaného zjejich komerčního využití pro služby e-Commerce,
...

Z uvedených citací mi vyplývá, že kromě napojení na NIA (viz odst. 2) může banka poskytovat identitní služby dle svého uvážení komukoli - tedy obchodovat s identitou resp. se službou ověřování identity.

Stát neposkytuje obecně použitelnou elektronickou dentitu. Soukromý sektor nemůže využívat důvěryhodnou státní identitu přímo, bude ji tedy muset využít nepřímo skrze Soniu. Takto pojatým návrhem se banky dostávají do výlučného postavení a mohou používat marketinovou rétoriku "my máme tu jedinou spolehlivou identitu, vždyť ji poskytujeme i pro přístup k eGov".
To co dodávám já je, že přesně takovou identitu by měl poskytnout přímo stát jako obecnou službu v digitálním světě, a měl by za ni přímo zaplatit, pokud ji nakupuje od třetí strany.

Říkáte, že stát uvalil na banky povinnost v ZoAML a neumožňuje jim ji plnit. Odhaduji, že se jedná o možnost (nikoli povinnost) provést AML identifikaci na dálku pomocí eIDAS elektronické identifikace. Pokud by služby NIA byly obecně dostupné pro soukromoprávní spoléhající strany, bylo by po problému a banky by se bez dalších zákonů mohly napojit stejně, jako kdokoli jiný. Pokřivení začíná právě v té výlučnosti, kdy "online občanka" je jen pro přístup k eGov.

Kromě toho, banky by i bez novely mohly požadovat napojení na NIA, protože jim ověření klienta ukládá zákon a tudíž mají nárok služby NIA využívat za stávajícího právního stavu.

Místo toho si obohatily návrh o úlevu v ověřování identity. Nad podivnou konstrukcí "retězení" identit pro ůčely AML se pozastavuje i vláda ve svém vyjádření k návrhu.

Jsem jednoznačně pro, aby se banky mohly stát poskytovatelem identity (dle eIDAS vydavatelem prostředku pro elektronickou identifikaci), tak, jak to dnes může udělat kdokoli, kdo splní podmínky. A ano, banky mají velký náskok, když mají většinu potřebné infrastruktury už připravenou. Nevidím ale důvod, proč jejich výlučné postavení ještě umocňovat a dál podivně komplikovat prostředí důvěryhodné elektronické identity v ČR, kdy si dostatečně důvěryhodnou elektronickou identitu pro soukromoprávní užití budu moci pořídit právě a jen u banky.

Pořád bych chtěl skutečnou alternativu občanského průkazu pro digitální svět, kde bude figurovat stát jako vydavatel, já jako držitel a ostatní, kterým mohu průkaz dle svého uvážení předložit a oni se dle svého uvážení rozhodnou, nakolik mu uvěří. Bez dalšího zprostředkovatele.

• Oznámení Sonia: https://www.czech-ba.cz/cs/media-servis/tiskove-zpravy/projekt-sonia-bankovni-identita-jako-nova-digitalni-obcanka-pro-sluzby-statu-i-soukromych-firem
• Návrh, o kterém je řeč: https://apps.odok.cz/attachment/-/down/2LBSBFA9YXIA
• Vyjádření vlády: http://www.psp.cz/sqw/text/orig2.sqw?idd=167309

BankID není žádná novinka. Je to skvělý nápad, protože banky už z podstaty své činnosti a zákonů musí při vytváření účtu kontrolovat občanský průkaz (a dokonce mít jeho kopii kvůli zákonu proti praní špinavých peněz). Z dalších vyplývajících zákonů a norem (PSD2) musí být přihlášení k IB velmi bezpečné (SMS potvrzení, mobilní klíče apod.).

Ten skvělý nápad spočívá v tom, že když už banky tyto údaje mají, lze je použít pro bezpečné přihlášení i jinam. Na rozdíl od FB loginu, Google loginu apod. banky znají reálné jméno uživatele, rodné číslo, datum narození. Díky tomu lze toto přihlášení použít i tam, kde jiná přihlášení nefungují. Pokud se nemýlím, používají to například s@zkové společnosti, jelikož banky jim dokáži poskytnout informaci, že uživateli už bylo 18 let, a tedy není pří internetovém s@zení nutné, aby uživatel nejprve došel na kamennou pobočku a osobně se ověřil občanským průkazem.

Využití BankID státem jenom chválím, jelikož je to logické využití už existujících dat, ačkoliv je vlastní soukromé společnosti. Tyto soukromé společnosti jsou totiž při implementaci a využití už vázány množstvím zákonů a norem, které brání jejich zneužiti. Viz výše.

Problém vidím v tom, že tu službu by měl zajistit stát jako základní stavební kámen právní jistoty v online prostředí.
Občanům zdarma tak, jak vydává klasické občanky. Bankám umožnit spravovat prostředky pro elektronickou identifikaci, tak, jak je ukotveno v eIDAS a za běžných komerčních podmínek, kdy za ni bude bankám platit. Spoléhajícím stranám v určité rozumné míře také zdarma, při větším využití za poplatek.

Moc rád bych viděl jasné a transparentní prostředí bez křížového financování služby pro stát z prodeje komerčních služeb a legislativně zakotvených úkroků stranou v plnění AML povinností obzvláště ve chvíli, kdy je předmětem "obchodování" identita a soukromí.

Bez toho AML úḱroku stranou (bankám se nechce resp. neumí úroveň záruk "vysoká" dle eIDAS, proto ten úkrok potřebují) by nejspíš business case nevyšel. Stejně, jako nevycházel v historii a proto se o něj nepokoušely a stejně, jako myslím nevychází MojeID.

Takže shrnuto - kořenovou příčinou problému je nechuť MV najít cestu, jak poskytovat oficiální eIdentitu v online prostředí přímo skrze službu státu nejen pro eGovernment.

Online důvěryhodná eIdentita je nevýdělečná součást všem dostupné základní digitální infrastruktury státu, který to s digitalizací myslí vážně.

Nebudou, pouze budou poskytovat autentizaci. Mohly by tu autentizaci zfalšovat (tj. přihlásit se jako vy bez vás), což by samozřejmě byl pro tu banku obrovský průšvih. NIA by měla logovat, kdo, kdy a jakým způsobem se přihlásil, takže pokud by to nebyl jediný případ, přišlo by se na to.

Pořád nechápu, co podle vás umožní bankám s tím ověřováním identity obchodovat. Pokud by takovou komerční službu chtěly provozovat, mohou to přece klidně dělat už dnes – podobně jako to už dnes nabízí třeba MojeID. A pokud by to chtěly propagovat tím, že takové služby poskytují i pro stát – to by přece zase nebylo nic specifického pro banky, dle eIDASu to může dělat každý, kdo splní podmínky.

Navíc si nemyslím, že by to banky chtěly poskytovat jako univerzální službu. Že byste se setkával s: „Chcete u nás nakupovat? To si musíte zřídit uživatelský účet u banky X. Že už ho máte u banky Y, Z a W? To máte smůlu, my používáme banku X.“ Podle mne je to myšleno naopak jako služba pro klienty konkrétní banky. „Máte už účet u nás, takže si nemusíte zřizovat přístup k NIA, protože se můžete přihlásit přes své internetové bankovnictví.“

Banky nebudou mít přístup k údajům které jsou v rámci portálu občana? S nebo díky tomu budou znát prakticky vše co tam i já najdu?

Na data co vidíte na portál občana nikoliv, nově ale budou mít přístup do některých základních registrů a dalších informačních systémů veřejné správy, jejich seznam a rozsah poskytovaných údajů je v Návrhu přesně uveden. Jde především i identifikační údaje osob/dokladů atp., souvisí to s AML, banky potřebují ověřit identitu fyzické osoby, jeho dokladu proti něčemu, dosud tu možnost de facto neměly, nově by se jim to umožnilo právě za tímto účelem.

Když jsem viděl, jak banky (ne)ověřují identitu občana, tak bych je pro veřejnoprávní idendifikaci nepoužil.

Účet lze založit on-line, banka se spokojí jen s tím, že uživatel už měl účet u předchozí banky a s obrázkem OP. Nejspíš spoléhá na to, že důkladné ověření provedla ta předchozí banka. Ale ten řetězec může být dlouhý, což moc důvěryhodné není.