Letošní leden byl měsícem, kdy v ČR odstartovala bankovní identita. Nyní, na počátku února, už je čas na malé bilancování a přehled novinek:
- akreditaci mají stále jen tři banky: Česká spořitelna, ČSOB a Komerční banka
- nezbytná synchronizace identit mezi bankami a NIA stále probíhá
- Česká spořitelna a ČSOB už poskytují své služby „veřejnoprávní“ bankovní identity v řádném (ostrém) režimu, Komerční banka zatím jen v pilotním provozu
- Správa základních registrů zveřejnila aktuální statistiku již připojených identitních prostředků (i jejich skutečného využití): už jich je něco přes 2 miliony, z toho 1,6 milionu od bank
- zveřejněn byl první ceník služeb „soukromoprávní“ bankovní identity a v pilotním provozu spuštěn developerský portál pro budoucí komerční poskytovatele služeb
- v médiích se objevily zprávy naznačující, že banky by se přeci jen mohly dohodnout na jednotném řešení bankovní identity
Bude jen jedna SONIA?
Začněme posledním bodem, který je možná nejzajímavější zprávou, byť zatím jen neoficiální a vlastně jen předběžnou: Hospodářské noviny přinesly informaci o tom, že tuzemské banky by se ohledně bankovní identity přeci jen mohly domluvit a „táhnout za jeden provaz“. Přesněji: spojit své síly v jednom společném subjektu, který by pro ně řešil praktické využití bankovní identity.
Mohu potvrdit, že došlo k dohodě mezi původní aliancí a uskupením malých bank, řekl HN zdroj z velké banky, který je se situací obeznámen a přál si zůstat v anonymitě (zdroj).
Zatím to totiž vypadalo na to, že budou vedle sebe existovat a působit dva tábory: tři největší banky (ČS, ČSOB a KB) založily akciovou společnost s názvem Bankovní identita (BankID) a chtěly v ní mít tak velký vliv, že některým jiným (menším) bankám to přišlo neúnosné. A tak si tři z nich (Air Bank, Fio banka a Moneta) založily vlastní Alianci pro bankovní identitu a chtěly jít svou vlastní cestou.
Jak jsem popisoval již v nedávném ohlédnutí za loňským rokem zde na Lupě, reálně by to dopadalo jen na „soukromoprávní“ využití bankovní identity, pro přihlašování klientů bank k online službám poskytovatelů ze soukromého sektoru (jako například k e-shopům, k webům utilit, operátorů atd.). Protože jen toto přihlašování bude probíhat přes ono společné řešení bank, fungující jako ona „SOukromoprávní NIA“ (zkratkou SONIA), resp. jako agregátor (jak o něm dnes mluví samy banky).
Zde by dvě různá řešení (dva agregátoři, resp. dva různé uzly SONIA) mohly být problémem i pro koncové uživatele – jednotliví poskytovatelé služeb by se mohli domluvit s jednou skupinou bank (a připojit se na jejich společné řešení, resp. jejich uzel SONIA), ale už ne s tou druhou – a pak by se k některým službám komerčních poskytovatelů dalo přihlašovat pomocí některých bankovních identit, ale pomocí jiných nikoli.
To v rámci „veřejnoprávního“ využití bankovní identity, pro přihlašování ke službám eGovernmentu přes NIA, je to jinak – zde každá banka jedná a působí sama za sebe. Ze svého vlastního řešení (pro přihlašování klientů) musí udělat kvalifikovaný systém elektronické identifikace, musí se stát jeho kvalifikovaným správcem (musí na to získat akreditaci od státu) a musí ho sama napojit na (veřejnoprávní) NIA.
Ostatně, proto se dnes bavíme o tom, jak daleko je s bankovní identitou ta která banka – a máme tím na mysli onu „veřejnoprávní“ bankovní identitu, přesněji: přihlašování prostřednictvím bankovní identity „přes NIA“. Na „soukromoprávní“ bankovní identitu, resp. přihlašování „přes SONIA“, si musíme ještě nějakou chvíli počkat, protože ta se teprve připravuje (ale už jsou na světě první podklady, viz dále).
Co přináší bankovní identita?
A mimochodem: ona „veřejnoprávní“ bankovní identita (tj. přihlašování „přes NIA“) sama nepřináší žádné nové služby, ke kterým by se dalo přihlašovat – jak by se mohlo zdát z různých oslavných článků, které v poslední době vycházejí. Dokonce ani z principu nemůže, protože (veřejnoprávní) NIA funguje jako prostředník, který od sebe důsledně odděluje poskytovatele identit (tedy i banky) od poskytovatelů služeb (dnes téměř výlučně z oblasti eGovernmentu). Dokonce tak důsledně, že banka (či jiný poskytovatel identit) ani nesmí vědět o tom, k jaké službě se konkrétní uživatel právě přihlašuje.
Nové služby přinese až ona „soukromoprávní“ bankovní identita, díky tomu, že na SOukromoprávní NIA (resp. společné řešení bank) se již budou moci napojovat komerční poskytovatelé služeb bez principiálních omezení a na komerční bázi (zatímco na veřejnoprávní NIA se smí napojovat jen v dosti vzácných případech, kdy jim zákon explicitně ukládá ověřovat totožnost).
Přínos nynější „veřejnoprávní“ bankovní identity je hlavně v tom, že již dostupné služby (přes veřejnoprávní NIA) zpřístupňuje podstatně většímu okruhu potenciálních uživatelů. Mluví se o 5,5 milionu, což by ale měl být počet klientů všech bank dohromady.
Takže až „veřejnoprávní“ bankovní identitu spustí opravdu všechny naše banky, budou mít všichni klienti bank možnost přihlašovat se „přes NIA“ k těm službám, které jsou touto cestou dostupné (což jsou především služby eGovernmentu). Ale kolik jich tuto možnost skutečně využije?
Jak moc je bankovní identita využívána?
Na odpověď na tuto otázku je zatím příliš brzy. Nedává ji ani nedávno zveřejněná tisková zpráva Správy základních registrů (SZR), která provozuje uzel NIA, resp. celou Národní identitní autoritu. Uvádí sice, kolik bylo k NIA „připojeno aktivních identitních prostředků“ i kolik přihlášení „přes NIA“ s jejich využitím proběhlo (celkově, od spuštění příslušné možnosti). Vše k datu 4. února 2021, 11:52. Jenže v případě „veřejnoprávní“ bankovní identity i vzhledem ke způsobu a načasování jejího startu uváděná čísla zatím ještě nemají dostatečnou vypovídací hodnotu.
Konkrétní údaje, vyplývající z tiskové zprávy, ukazuje následující tabulka.
prostředek |
počet připojených prostředků |
počet přihlášení celkem |
počet přihlášení na 1 prostředek |
eOP |
310 889 |
544 795 |
1,752377858 |
NIA ID |
100 738 |
2 182 113 |
21,66126983 |
mobilní klíč eGov |
5232 |
26 384 |
5,042813456 |
bankovní identita |
1 637 172 |
79382 |
N/A |
mojeID |
7605 |
41 737 |
5,488099934 |
karta Starcos |
509 |
40 471 |
79,5108055 |
Celkem |
2 062 145 |
2 914 882 |
1,413519418 |
V případě bankovní identity je „počet připojených prostředků“ (1,63 milionu) ve skutečnosti počet již provedených synchronizací mezi elektronickými identitami na straně bank a státem vedenými elektronickými identitami v základních registrech, se kterými pracuje NIA (vysvětlení viz tento předchozí článek zde na Lupě).
Počet již provedených přihlášení pomocí bankovní identity (cca 79 tisíc) ale neříká nic o tom, kolik bankovních identit bylo reálně využito (pro alespoň jedno přihlášení). A hlavně: na přepočet počtu přihlášení na jeden prostředek je u bankovní identity ještě moc brzo.
V tomto ohledu má možná větší vypovídací hodnotu o něco málo starší tweet NIA z 1. 2. 2021, který již uvádí, kolik uživatelů bankovní identitu využilo (22 265) a kolik proběhlo přihlášení (68 370).
K 1. 2. jsme aktivovali 1 452 376 přístupů k e-bankingu jako identitní prostředek a všem vlastníkům zřídili identitní profil v NIA. Využilo jej celkem 22 265 unikátních uživatelů k 68 370 přihlášení.
— eIdentita.cz (@eIdentitaCz) February 3, 2021
To by odpovídalo průměru 3,07 přihlášení na jednoho uživatele, resp. jednu bankovní identitu. Stále ovšem jde o velmi předběžný údaj, který nejspíše bude zkreslený tím, jak uživatelé pouze zkouší novou možnost. Osobně proto tipuji, že v dlouhodobějším výhledu, až skončí počáteční „objevování“, bude tento poměr spíše klesat.
Z uvedeného tweetu vyplývá také první odhad toho, jaké procento již aktivovaných (synchronizovaných, resp. „zprovozněných“) bankovních identit bylo skutečně využito: k 1. 2. jich mělo být aktivováno (resp. synchronizováno) na 1,45 milionu a reálně využito jich bylo oněch 22 265. Což představuje cca 1,53 procenta.
Nicméně i zde je nutné mít na paměti, že uvedená čísla nemusí mít dostatečnou vypovídací hodnotu. Jednak je stále ještě hodně brzy. Ale hlavně: některé banky (jako např. Česká spořitelna) svou bankovní identitu aktivují dopředu a všem svým („digitálním“) klientům. Naopak jiné banky je aktivují na principu OPT-IN jen těm zákazníkům, kteří o to projeví zájem. Takže na výsledný součet pak dobře pasuje ono známé rčení o společném počítání různých druhů ovoce.
Jak jsou využívány jiné způsoby přihlašování přes NIA?
Když už jsem zde zmínil onu tiskovou zprávu NIA, udělejme si malou odbočku od bankovní identity a zastavme se u zajímavých čísel, která z ní (a z výše uvedené tabulky) také vyplývají – pokud jde o ostatní způsoby přihlašování přes NIA. Protože u nich by již mělo jít o údaje vztažené k delší době jejich používání, a tudíž i s větší vypovídací hodnotou.
Asi nepřekvapí, že největší „míru používanosti“ (coby poměru mezi počtem využití a počtem vydaných prostředků) má karta Starcos (s certifikátem od I.CA). Současně jde o prostředek, který je početně zastoupen zdaleka nejméně (jen 509 karet). Důvodem ale nejspíše není to, že vedle nové eOP jde o jediný prostředek, který má úroveň „vysoká“. Protože služeb, které by tuto úroveň vyžadovaly, je dnes minimum. Vlastně aktuálně o žádné nevím (a do budoucna, od 1. 2. 2022, půjde o legalizaci elektronického podpisu dle § 6 odst. 1 písm. b) zákona č. 12/2020 Sb., o právu na digitální služby).
Nejvyšší „míra používanosti“ u karty Starcos (přes 79,5 využití na jeden prostředek) nejspíše souvisí i s tím, že jde o prostředek, který je zpoplatněn. A tak když už si ho někdo pořídí, asi má důvod ho i skutečně používat. Dalším důvodem pak může být to, že jde o prostředek vhodný k tomu, aby jej zaměstnavatel „pořídil“ pro svého zaměstnance, pro plnění jeho pracovních úkolů (a nemusel jej nutit používat jeho „osobní“ prostředek).
Ostatně, nejčastěji si prý kartu Starcos pořizují uživatelé ze stanic technických kontrol (zřejmě pro přihlašování do informačního systému technických prohlídek) či dopravní společnosti (pro vstup do zákaznické samoobsluhy systému elektronického mýtného). Nejnověji pak uživatelé, kteří chtějí využít některý z programů podpory od Ministerstva průmyslu a obchodu (dnes např. COVID-Gastro či COVID-Nájemné), o které se žádá přes portál Agendového informačního systému MPO.
Jak je na tom NIA ID a nová eOP?
Druhou nejvyšší „míru používanosti“ (přes 21,6) má prostředek „Jméno, heslo a SMS“, známý nově jako NIA ID. Zde asi také platí, že když už si ho někdo pořídí, tak to dělá kvůli tomu, že ho potřebuje používat. A třeba na rozdíl od mobilního klíče eGovernmentu na to nepotřebuje chytrý telefon (stačí mu jakýkoli, schopný přijímat SMS zprávy). Zajímavý mi ale přijde právě poměr mezi NIA ID a mobilním klíčem: jejich celkové počty jsou nejspíše ovlivněny dostupností v čase (NIA ID je dostupné déle).
Ale u „míry používanosti“, coby poměru mezi počtem využití a počtem vydaných prostředků, bych očekával větší vyrovnanost. Protože u obou těchto prostředků platí, že uživatelé si je zřizují sami, z vlastní iniciativy (a tak lze předpokládat, že mají důvod je skutečně používat).
Zajímavé je to také u nových elektronických občanských průkazů: ty jsou od poloviny roku 2018 všechny vydávány již s čipem, ale držitel si jejich identifikační funkce aktivuje dobrovolně. Počáteční odhady byly hodně optimistické a hovořily o tom, že si je nechá aktivovat celá třetina nových držitelů. Podle zjištění NKÚ to ale na konci roku 2019 bylo jen 13 procent. To by mělo odpovídat onomu počtu 310 889 vydaných identitních prostředků v podobě eOP, o kterém hovoří tisková zpráva NIA.
Nejde tedy o všechny nové eOP, ale jen o ty, u kterých si jejich držitelé (z jakéhokoli důvodu) nechali aktivovat jejich identifikační funkce – a průměr počtu využití každé takové eOP k přihlášení „přes NIA“ tak vychází na cca 1,75. Což je hodně malé číslo, které naznačuje, že i mezi oněmi 13 procenty držitelů nových eOP je hodně těch, kteří nově aktivované identifikační funkce reálně nevyužijí vůbec, nebo si je jen jednorázově vyzkouší.
Jaké klíče se používají spolu s mojeID?
Pokud jde o službu mojeID, aktuální a konkrétnější čísla přímo od sdružení CZ.NIC hovoří o tom, že 6821 fyzických osob si napojilo na NIA svých 6834 účtů u služby mojeID, a to pomocí 7703 klíčů (odpovídajících „prostředkům“ ve statistice SZR).
Jen připomínám (jak jsem podrobněji popisoval v tomto článku), že uživatelé služby si v roli druhého autentizačního faktoru mohou napojit na NIA více klíčů (tokenů) s certifikací FIDO, alespoň na úroveň L1. Což nemusí být jen samostatné HW tokeny: potřebnou certifikaci má např. operační systém Android či Windows Hello.
Ve statistice klíčů, napojených na NIA (tj. prostředků v „kategorii mojeID“), je na prvním místě Windows Hello – alespoň pokud se sečte jeho čistě softwarová varianta (Windows Hello Software Authenticator, s počtem 1456 klíčů) a ta hardwarová (Windows Hello Hardware Authenticator, 1157 klíčů).
Na dalších místech již jsou samostatné HW tokeny: klíč GoTrust Idem Key, který sdružení CZ.NIC posílalo uživatelů v rámci kampaně #overenomojeid (2082 klíčů), a Security Key by Yubico with NFC (1283 klíčů). Teprve pak následuje operační systém Android v roli autentizačního tokenu (1192 klíčů).
Jak postupuje synchronizace?
Vraťme se ale k bankovní identitě, konkrétně k její „veřejnoprávní“ části. Ve svém prvním letošním článku o bankovní identitě zde na Lupě jsem podrobněji rozebíral, proč musí být elektronické identity klientů bank nejprve synchronizovány se státem vedenými elektronickými identitami v základních registrech – aby se z nich staly bankovní identity, reálně použitelné pro přihlašování „přes NIA“. Jak ale tento proces postupuje?
Podle vyjádření Správy základních registrů je každý den možné synchronizovat na 50 000 identit. Takže pro cca 5,5 milionu klientů všech bank by celý proces zabral přes čtvrt roku. Ve skutečnosti všechny banky nezačaly se synchronizací současně. Navíc ještě záleží na tom, zda banka takovouto synchronizaci dělá dopředu, pro všechny své klienty, nebo stylem „just in time“ až v okamžiku, kdy dotyčná osoba chce svou bankovní identitu skutečně využít.
Podle dostupných informací postupuje synchronizace identit (resp. „aktivace přístupů k e-bankingu jako identitní prostředek“ dle SZR) od začátku roku takto:
- ke 4. 1. 2021 bylo synchronizováno cca 200 000 identit (zdroj),
- k 25. 1. 2021 bylo synchronizováno 1 105 584 identit (zdroj),
- k 1. 2. 2021 bylo synchronizováno 1 452 376 identit (zdroj),
- ke 4. 2. 2021 to bylo již 1 637 172 identit (zdroj).
Jak ukazuje i následující graf s těmito počty, jde zatím o rovnoměrný (lineární) nárůst, který vcelku dobře koreluje s výše zmiňovaným (horním) odhadem „na 50 000 identit denně“.
Rozhodující část provozu, který graf ukazuje, zřejmě generují požadavky České spořitelny. Protože ta dopředu synchronizuje identity všech svých 1,8 milionu klientů, a postupuje přitom nejspíše podle abecedy (dle příjmení klienta). Například mé maličkosti byla bankovní identita od této banky zprovozněna (aktivována) 28. ledna, což by znamenalo, že k tomuto datu se dostala k písmenu P.
Podle své tiskové zprávy (z 13. ledna, informující o spuštění bankovní identity), i třeba podle tohoto tweetu, chtěla Česká spořitelna vše stihnout ještě do konce ledna. To se ale, nejspíše z kapacitních důvodů, zřejmě úplně nepodařilo.
To ČSOB také již ukončila testovací provoz a také 13. ledna oznámila oficiální spuštění své bankovní identity. Nicméně u ní je bankovní identita zřizována na žádost klienta (na principu OPT-IN), a k synchronizaci konkrétních identit mezi bankou a NIA by tak mělo docházet až „na žádost“, až když příslušný klient projeví zájem. Proto by i počet požadavků na synchronizaci identit měl být výrazně nižší a více rozložený v čase.
V případě Komerční banky, jejíž nabídka se již také objevila v seznamu poskytovatelů identit pro přihlašování přes NIA (viz obrázek), však jde stále jen o pilotní, resp. ověřovací provoz. Podle tiskové zprávy by měl skončit do konce února, kdy by bankovní identita od Komerční banky měla být dostupná pro všechny klienty této banky.
V pondělí spuštěný provoz do 7. února otestuje přibližně stovka zaměstnanců Komerční banky, 8. února k nim přibudou i ostatní zaměstnanci a vybraní klienti. Spuštění ostrého provozu pro všechny klienty Komerční banka plánuje do konce února 2021.
Pokusy klientů o přihlášení přes Komerční banku dnes končí ještě neúspěchem, na stránce slibující včasné oznámení o dostupnosti.
Dojde ke zjednodušení?
Předchozí obrázek s nabídkami přihlášení přes NIA, kde nově přibyla i Komerční banka, je už poněkud nepřehledný. Možností už je docela dost, a to jsou na obzoru ještě mnohé další, hlavně od bank. Je pak skutečně otázkou, zda každému uživateli předkládat stále stejnou, stále nepřehlednější a neměnnou nabídku, ze které může reálně využít jen malou část. A ze které opakovaně využívá nejspíše stále jen jednu možnost.
Jak naznačuje tento nedávný tweet pana Zmeškala, možná se časem dočkáme i toho, že se nabídka možností přihlašování bude přizpůsobovat uživateli. Konkrétně že si bude pamatovat naposledy použité možnosti a nabízet je nově jako první (nahoře). Na testovacím rozhraní NIA se již dnes zkouší seskupování možností přihlášení podle kategorií – všech na bázi bankovní identity a všech od komerčních poskytovatelů identit. Jen nabídky od státu se zatím nějak nechtějí „sbalit“.
Jaké služby bude nabízet SOukromoprávní NIA?
Na závěr tohoto článku se ještě jednou vraťme k problematice „soukromoprávní“ bankovní identity, závislé nikoli na „veřejnoprávní“ NIA, ale na onom společném řešení od bank. Toto řešení bude fungovat jako ona SOukromoprávní NIA (SONIA), resp. jako agregátor identitních služeb jednotlivých bank, které budou poskytovány soukromoprávním poskytovatelům služeb (SeP). Tedy například e-shopům, utilitám, operátorům atd. Připomeňme si roli uzlu SONIA skrze následující obrázek.
Jak jsme si již naznačili v úvodu tohoto článku, společné řešení bank (SONIA) by nakonec mohlo být jen jedno – a to od již založené společnosti s názvem Bankovní identita (BankID). Právě na jeho rozhraní by se tedy napojovaly systémy těch soukromoprávních poskytovatelů služeb, kteří by chtěli využívat „soukromoprávní“ bankovní identitu pro přihlašování zákazníků k jejich službám. A aby takovéto napojení mohlo být někdy v budoucnu spuštěno a prakticky fungovat, musí být včas zveřejněny jak technické podklady jako pro vývojáře (např. popis rozhraní API), tak i nezbytné „byznysové“ informace.
Právě to se nyní stalo, když na stránkách nově založeného subjektu (Bankovní identita, a.s.) byl na adrese https://developer.bankid.cz zprovozněn (byť zatím jen ve zkušebním režimu) developerský portál. Zveřejněn byl také první přehled budoucích poskytovaných služeb a jejich ceník.
V prvním přiblížení je asi nejzajímavější první stránka ceníku s popisem služeb: ukazuje, jaké konkrétní údaje o právě se přihlašujícím uživateli (atributy jeho identity) budou banky schopny (a ochotny) poskytovat soukromoprávnímu poskytovateli služby (např. e-shopu) skrze své společné řešení (uzel SONIA).