Hlavní navigace

Bankovní identita je dobrý sluha. Existují ale i důvody, proč ji nechtít

19. 1. 2021
Doba čtení: 10 minut

Sdílet

 Autor: Depositphotos
Proč by někdo chtěl mít možnost své bance zřízení bankovní identity zakázat? I když jde o užitečný nástroj, existují i důvody pro jeho nepoužívání.

Vznik tzv. bankovní identity umožnila novela zákona č. 21/1992 Sb., o bankách, a zákona č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu. Na konci minulého roku 2020 došlo ke spuštění ověřovacího provozu u prvních dvou bank – České spořitelny a ČSOB, který v první polovině ledna 2021 přešel do provozu ostrého. 

Pro zákazníky bank, které službu nabízejí, to znamená, že jakmile se podaří ztotožnit jejich identita evidovaná v bance vůči registru obyvatel (ROB), mohou pro přihlašování ke státním službám prostřednictvím Portálu národního bodu pro identifikaci a autentizaci (NIA) svou bankovní identitu využívat.

Na rozdíl od jiných nestátních poskytovatelů kvalifikovaného systému elektronické identifikace (mojeID, I.CA) dostaly banky i poměrně luxusní rozsáhlý přímý přístup do základních registrů

Zřízení bankovní identity

Banky k řešení problematiky přistoupily různými způsoby. Například bankovní identita České spořitelny pro přihlašování využívá stejné identifikační prostředky jako do internetového bankovnictví a tuto službu postupně plošně aktivuje všem uživatelům (OPT-OUT režim).

ČSOB na to šla trochu jinak a vytvořila tzv. ČSOB Identitu (ČSOB ID), která může být současně použita i jako bankovní identita (ČSOB eID). Tato identita využívá jiné identifikační údaje, než které se používají pro přihlášení do internetového bankovnictví. ČSOB do budoucna plánuje, že se bude možné pomocí ČSOB ID přihlásit i do internetového bankovnictví a ostatních služeb:


Autor: Kamil Zmeškal

Plánované využití ČSOB ID

Na rozdíl od České spořitelny není ČSOB Identita vytvořena automaticky, klient si ji musí vytvořit po přihlášení do internetového bankovnictví (OPT-IN režim). Z něj je přesměrován na portál ČSOB Identity, kde po odsouhlasení smluvních podmínek zadá přístupové údaje, které chce pro ČSOB Identitu používat. Po ověření údajů uživatele v registru obyvatel se zpřístupní i funkce ČSOB eID, oba možné prostředky elektronické identifikace s úrovní záruk „nízká“ a „značná“ jsou po zpřístupnění automaticky zapnuty (lze je jednotlivě vypnout). 

Po zřízení bankovní identity se uživatel její pomocí může přihlašovat k poskytovatelům služeb, kteří požadují úroveň záruk „nízká“ nebo „značná“ (bankovní identita necílí na nejvyšší úroveň záruky „vysoká“). Protože účet v bance má většina občanů a většina jich využívá internetové bankovnictví, zpřístupní se rázem elektronické služby státu velkému počtu uživatelů, aniž by k tomu potřebovali jiný prostředek a museli jít na CzechPOINT ověřit svou totožnost nebo ověření provést jiným způsobem. 

Lze bankovní identitu odmítnout?

Co když ale majitel bankovního účtu nebude chtít bankovní identitu využívat a nebude mít o tuto službu zájem, protože k přístupu k elektronickým službám státu používá jiné identifikační prostředky? 

U České spořitelny je mu identita zřízena automatizovaně, bez možnosti jejího odmítnutí. Uživatel může používání bankovní identity pro přihlašování ke službám státu zakázat v internetovém bankovnictví George:

V případě ČSOB mi uživatelská podpora na můj dotaz odpověděla, že možnost zřízení ČSOB Identity nelze předem odmítnout: 

Mohu jako váš zákazník tuto službu odmítnout s tím, že na mém účtu nepůjde vůbec aktivovat/zapnout (nikoli že bude pouze vypnutá, prostě nechci, aby tato možnost vůbec u mě byla)?

ČSOB identitu není možné nijak zakázat. Do budoucna se budou možnosti ČSOB Identity rozšiřovat. V rámci ČSOB identity je však možné vypnout/zapnout možnost eIdentity.

Nicméně obdobně jako u České spořitelny lze používání ČSOB Identity zakázat v roli bankovní identity (ČSOB eID).

Tyto zákazy bych označil jako „měkké“. „Tvrdý“ zákaz, tzn. znemožnění aktivace bankovní identity, u žádné z obou zmíněných bank možný není. 

V případě ČSOB sice není ČSOB Identita zřízena automatizovaně, ale pro zřízení stačí přístup do internetového bankovnictví. Pokud by útočník pronikl do internetového bankovnictví oběti, může jí identitu zřídit. Oběť se o zřízení identity nedozví, protože jí nepřijde žádné upozornění na kontaktní údaje, které má evidované ve svém internetovém bankovnictví. Při zřízení ČSOB Identity se zadává e-mail, na který přijde ověřovací odkaz, ten ale může být libovolný. Obě banky umožňují bankovní identitu vypnout/deaktivovat, ale lze ji opět jednoduše online zapnout.

U ČSOB by možná šel použít postup, kdy se služba paradoxně zřídí, ale následně se provede „dočasná blokace“ vstupního hesla. Tato blokace lze zrušit pouze na pobočce, jak uvádí bod 6.5 obchodních podmínek:

6.5 Můžete požádat o dočasnou Blokaci vstupního hesla (zejména z bezpečnostních důvodů) na základě písemné žádosti v Pobočce nebo prostřednictvím Klientského centra. Zrušení dočasné Blokace můžete provést pouze v Pobočce na základě písemné žádosti.

Pokud ale ČSOB zavede přihlašování pomocí ČSOB ID do svých služeb, je pravděpodobné, že jiné způsoby přihlašování zruší a bude potřeba ji mít aktivní.

Proč bankovní identitu nechtít?

Proč by někdo chtěl mít možnost zřízení bankovní identity zakázat? Důvodem může být bezpečnost. Například já nechci, aby v mém případě bankovní identita byla zřízena nebo tato možnost vůbec existovala, protože si nepřeji nijak propojit dvě tak rozdílné věci, jakými jsou přístup do banky a přístup ke službám státu. 

Pokud by došlo k nejhoršímu a někdo se „naboural“ do mého internetového bankovnictví, měl by otevřenou cestu k elektronickým službám státu pod mou identitou. Proto mám pro přístup ke službám e-governmentu vyhrazenu eObčanku. Banku a stát považuji za dvě zásadní věci, které chci oddělit, aby se v případě průniku minimalizovaly škody.

Lze sice namítat, že si mám jako uživatel internetového bankovnictví hlídat a chránit identifikační prostředky před zneužitím a například ČSOB má přísné obchodní podmínky (prokazování, či naopak vyvracení podmínek na straně 6 by bylo zajímavé), ale proč se mi takto, v podstatě bez možnosti volby nebo aktivní obrany, pomocí bankovní identity podstatně zhoršuje situace a zvyšuje riziko případných škod, například přes nepodstatný účet v bance se zůstatkem 500 Kč? 

Nemám a nechci mít banku jako prostředníka ke službám státu. Nestojím o to. Mám si teď hledat jinou banku, která nebude bankovní identitu poskytovat? Pomyslel na to stát, když bankovní identitu zákonem umožnil?

Bankovní identita má u zmiňovaných bank úroveň záruk „značná“, ale stačí na zřízení datové schránky, protože zákon č. 12/2020 Sb., o právu na digitální služby, změnil požadavky na zřizování nových datových schránek, kdy z původně požadované úrovně záruky „vysoká“ nově není žádná konkrétní úroveň záruky požadována. U datových schránek platí tzv. fikce podpisu, a pokud by se někdo přes bankovní identitu dostal do datové schránky oběti, může za ni vytvářet podání vůči státní správě.

Je možné se bránit?

Jednou z možností je na stránkách eidentita.cz pravidelně kontrolovat, kde a pomocí jakých identifikačních prostředků bylo prováděno přihlašování. To moc pohodlný způsob není:


Autor: Kamil Zmeškal

Ukázka záznamů přihlašování v NIA

Další možností je Mobilní klíč eGovernmentu, u kterého lze nastavit příjem notifikací v případě přihlášení jakýmkoliv identifikačním prostředkem připojeným k NIA. Znamená to další aktivní (nechtěný) identifikační prostředek. Na možnost nastavení notifikací o přihlášení přes NIA např. na e-mail jsem nepřišel:


Autor: Kamil Zmeškal

Nastavení notifikací Mobilního klíče v NIA

Nechci moc zabředávat do problematiky spolehlivosti notifikací, ať už hlediska jednotlivých mobilních telefonů, nebo jejich přehlédnutí, ale tento způsob z mého pohledu také moc vhodný není a stejně jako u předchozího způsobu, případný problém zjistíte až „po“, nedokážete mu zabránit.

Na skutečně proaktivní opatření, jak znemožnit přihlášení jiným identifikačním prostředkem, jsem nepřišel. Jedno z řešení by mohlo být založené na principu, že by si uživatel v NIA po přihlášení identifikačním prostředkem s úrovní záruky „vysoká“ mohl zakázat aktivaci/připojení nových identifikačních prostředků. To ale bohužel možné není, v NIA lze pouze deaktivovat Mobilní klíč eGovernmentu nebo NIA ID, a nelze tedy zabránit aktivaci/připojení nových identifikačních prostředků k uživatelově identitě.

Další možný problém – phishing

S bankovní identitou se též může podstatně více rozšířit phishing, protože se zkomplikuje kontrola ze strany uživatele, zda je stránka/služba, ke které se chce přihlásit, opravdová služba českého eGovernmentu.

Uživatel si nemůže nijak ověřit, že stránka, která po něm požaduje přihlášení, je opravdu službou registrovanou v NIA jako kvalifikovaný poskytovatel služby. Pro příklad můžeme vzít Daňový portál – Elektronické služby Finanční správy, který je v NIA reprezentován následující dlaždicí:


Autor: Kamil Zmeškal

Dlaždice Daňového portálu v NIA

Tlačítko „Vstoupit“ vede na URL https://www.daneelektronicky.cz/. Pokud se ale podíváte na Daňový portál, tak přihlášení probíhá na stránce s doménou https://adisepo.mfcr.cz/. Uživatel si tak z principu nemůže „ze své strany“ ověřit, že není na podvodné stránce. V dalším kroku je uživatel přesměrován do NIA na výběr autentizačního prostředku a ve třetím kroku se zobrazí stránky banky pro vlastní přihlášení.

Uživatel při přihlášení projde přes minimálně tři různé URL s různými doménami. První nijak neověří (max. se může zkusit podívat na certifikát, ale správnost/oprávněnost URL neověří), druhou (eidentita.cz) už pomocí patřičné znalosti ověřit lze a na třetí již může zkontrolovat podle instrukcí banky, že je skutečně správně.

To, co uživatel ještě celkem zvládl v případě své banky a jejího internetového bankovnictví, se komplikuje. Banky se snaží instruovat uživatele, že jejich internetové bankovnictví má určitou adresu a SSL certifikát, že nikdy neposílají e-maily nabádající na přihlášení atd. Jenže s bankovní identitou a přihlašováním ke službám státu je to horší. Phishing lze nyní vymyslet v podstatě libovolný (výzva k úhradě pokuty za překročení rychlosti, informace o změně vlastníka nemovitosti, …) a může zahrnovat i zahraniční domény. Phishingové útoky jsou na majitele bankovních účtů poměrně časté. Banky proto budou muset své uživatele detailně instruovat, co vše by měli při přihlašování bankovní identitou kontrolovat.

V případě ČSOB mohou být pro úspěšný phishingový útok postačující i jen vlastní údaje pro přihlášení, bez dalšího faktoru (aplikace v mobilu, SMS, …), protože nabízí i prostředek s úrovní záruky „nízká“. Tato úroveň nevyžaduje druhý faktor a stačí tedy z uživatele pouze vylákat jméno a heslo. I přes úroveň „nízká“ se lze její pomocí dostat k zajímavým informacím.

Jiří Peterka vyzkoušel, že se datová schránka přihlášením s úrovní záruky „nízká“ vytvořit nedá. V rámci legislativního návrhu (sněmovní tisk č. 765) je navrženo automatické zakládání datové schránky nepodnikající fyzické osoby při jejím prvním přihlášení:

§ 3 Datová schránka fyzické osoby
Datovou schránku fyzické osoby zřídí ministerstvo bezplatně fyzické osobě, která je plně svéprávná, bezodkladně poté, co fyzická osoba poprvé použije prostředek pro elektronickou identifikaci vydaný v rámci kvalifikovaného systému elektronické identifikace (dále jen „kvalifikovaný prostředek“) vůči tomu, kdo umožňuje prokázání totožnosti podle zákona upravujícího elektronickou identifikaci.

Není stanoveno, jakou úroveň záruky tento prostředek musí splňovat. Pokud se do konečné verze příslušného paragrafu požadovaná minimální úroveň záruky ještě nedostane, zafunguje automatické zřízení i při použití prostředku s úrovní „nízká“? 

Pokud ano, stačilo by to na „odklonění“ od korespondence ze strany státu. Útočníkovi by se například zjednodušil podvodný převod nemovitosti oběti, které by nedorazila informace o zaplombování nemovitosti a následné vyrozumění o provedení vkladu a díky fikci doručení nemusí mít útočník do datové schránky oběti přístup.

Problém phishingu a nemožnosti ověřit hned první krok při přihlášení se netýká pouze bankovní identity, ale všech identifikačních prostředků. Dovolím si nicméně zaspekulovat, že budou převažovat útoky právě na bankovní identitu.

Vyšší komfort i více starostí

Mohlo by se zdát, že jsem proti bankovní identitě, ale není tomu tak. Bankovní identita může být užitečná věc, která ovšem vedle dobrých dopadů přináší i ty horší. Na jednu stranu zvýší komfort mnoha uživatelům, na stranu druhou jiným uživatelům může přidělat starosti, o které nestojí a které by bez její existence neměli.

Tip do článku - EBF21 tematické bloky

Banky vystupují v roli kvalifikovaného správce, stejně jako například mojeID. Rozdíl je v tom, že mojeID nebo jiný identifikační prostředek si vědomě pořizuji za účelem mé elektronické identifikace. Účet v bance pořizuji za zcela jiným účelem a o jeho míchání s bankovní identitou nestojím. Stát umožnil vznik bankovní identity, ale nabízí se otázka, zda zajistil občanům adekvátní ochranu proti postupu bank.

Podobný problém může vzniknout i u připravovaného využití bankovní identity u soukromoprávního řešení SONIA, ale tam je na závěry zatím brzy.

Autor článku

Autor pracuje v Českém úřadu zeměměřickém a katastrálním (ČÚZK) v oddělení řízení projektů a rozvoje Informačního systému katastru nemovitostí.