Projekt tzv. bankovní identity odstartoval s počátkem kalendářního roku 2021. Jak jste se ale mohli dočíst i zde na stránkách Lupy, jde o start pozvolný, protože banky musely nejprve provést synchronizaci elektronických identit svých uživatelů s jejich státem vedenými identitami na straně tzv. národního bodu (NIA) – viz Bankovní identita startuje. Potrvá jí to nejspíše celý leden.

ČSOB ve středu vydala tiskovou zprávu naznačující, že tento pozvolný start dokončila. Zřejmě díky tomu, že na rozdíl od České spořitelny postavila služby své bankovní identity na principu OPT-IN, a její klienti se tak musí o zprovoznění služby sami přihlásit. Mj. uzavřít Dohodu o ČSOB identitě.

Vzhledem k tomu byl počet identit, které potřebovala synchronizovat na samotném počátku (ještě v rámci testovacího provozu) relativně nižší – a tak mohla tato banka již 13. ledna vydat tiskovou zprávu oznamující ukončení testovacího provozu a oficiální spuštění služby (prezentované jako „přihlašování do Portálů státní správy prostřednictvím bankovní identity“).

Současně došlo ke změně i v nabídce možností přihlášení, které nabízí národní bod (NIA): varianty využívající bankovní identitu ČSOB už nejsou označeny jako „ověřovací provoz“. Připomeňme si, že tyto varianty jsou (na rozdíl třeba od České spořitelny) rovnou dvě – protože ČSOB nabízí možnost přihlášení pomocí prostředků s různými úrovněmi záruky: „značná“ a „nízká“. Je tak první jak mezi bankami, tak i mezi ostatními poskytovateli identit (IdP), kdo nabízí prostředek s úrovní „nízká“.

Současně s odstraněním zmínky o ověřovacím (resp. testovacím) provozu došlo i k přejmenování obou možností přihlášení, s různými úrovněmi záruky:

varianta přihlášení pomocí prostředku s úrovní záruky „značná“ se přejmenovala z předchozího dvoufaktorového ověření na plně ověřený přístup . Reálně jde o přihlášení pomocí dvoufaktorové autentizace buď s využitím ČSOB Smart klíče, nebo s využitím autentizačního certifikátu (resp. soukromého klíče, ke kterému byl certifikát vystaven).

na . Reálně jde o přihlášení pomocí dvoufaktorové autentizace buď s využitím ČSOB Smart klíče, nebo s využitím autentizačního certifikátu (resp. soukromého klíče, ke kterému byl certifikát vystaven). varianta přihlášení pomocí prostředku s úrovní záruky „nízká“ se přejmenovala z původního jméno, heslo na rychlý přístup. Reálně jde stále o přihlášení pomocí jména a jediného (opakovaně použitelného) hesla.

V obou případech (vynecháme-li dílčí variantu s certifikátem) tak přihlašující se uživatel musí nejprve zadat své uživatelské jméno a heslo.

V prvním případě (tedy při přihlašování s úrovní záruky „značná“) pak musí uživatel přidat ještě druhý autentizační faktor – potvrdit své přihlášení ve svém ČSOB Smart klíči.

V mém nejbližším okolí došlo ke zprovoznění služby (připojení prostředku pro elektronickou identifikaci k NIA) o den dříve, 12. ledna 2021. Díky tomu jsem si mohl prakticky vyzkoušet bankovní identitu od ČSOB a také odpovědět na některé zajímavé otázky. Zejména na to, k čemu všemu stačí úroveň záruky „nízká“ a kde už je nutná úroveň „značná“.

Dá se s úrovní „nízká“ založit datová schránka?

Asi nejvíce mne zajímalo to, zda se s úrovní „nízká“ dá založit nová datová schránka. Protože jak už jsem psal v nedávném článku zde na Lupě, díky zákonu č. 12/2020 Sb., o právu na digitální služby, došlo ke značné redukci požadavků na zřízení datové schránky elektronickou cestou: zatímco dříve byla nutná úroveň záruky „vysoká“ (což stále považuji za správné), nově byl požadavek na konkrétní úroveň záruky nahrazen požadavkem na přihlášení pomocí prostředku (pro elektronickou identifikaci), který je vydán v rámci kvalifikovaného systému (elektronické identifikace). Ale to jsou všechny prostředky, které vydávají (kvalifikovaní) správci (kvalifikovaných) systémů elektronické identifikace – kterými musí být i všechny banky, které chtějí poskytovat služby bankovní identity (pro přihlašování „přes NIA“). Jinými slovy: takovýmto prostředkem, vydaným v rámci kvalifikovaného systému elektronické identifikace, je i „jméno a heslo“ od ČSOB coby prostředek s úrovní „nízká“.

Dá se tedy jen pomocí jména a hesla (resp. přihlášení s úrovní „nízká“) založit nová datová schránka?

Nejjednodušší a také nejlogičtější cestou k založení nové schránky pro toho, kdo má k dispozici (jakýkoli) prostředek s úrovní „značná“, je přihlásit se k datovým schránkám, resp. k jejich portálu (na https://mojedatovaschranka.cz). Protože když portál pozná, že právě přihlášený uživatel ještě vlastní datovou schránku nemá, nabídne mu její zřízení (resp. zřízení schránky nepodnikající i podnikající fyzické osoby). Toto funguje i v případě, kdy se uživatel přihlásí pomocí „plně ověřeného přístupu“, skrze svou bankovní identitu u ČSOB, viz následující obrázek.

Nicméně s úrovní „nízká“ tudy cesta nevede: pokud se přihlašujete právě popsaným způsobem, v nabídce možností přihlášení (již na úrovni NIA) variantu s úrovní „nízká“ nenajdete.

Už tato skutečnost by mohla signalizovat, že zřídit novou datovou schránku (či se jen přihlásit do již existující schránky) s úrovní „nízká“ nejde. Ale nejde to nějak jinak?

Další možností by mohla být cesta přes Portál občana, který také nabízí možnost zřízení datové schránky. A k němu se dá přihlásit pomocí úrovně „nízká“. Nicméně ani tudy cesta ke zřízení nové datové schránky nevede – jak ukazuje následující obrázek, při přihlášení s úrovní „značná“ (v levé horní části) je uživateli nabídnuto zřízení nové datové schránky, zatímco v případě přihlášení s úrovní „nízká“ (v pravé spodní části obrázku) již nikoli.

Co jsem z praktických důvodů nemohl sám vyzkoušet, je možnost připojit si vlastní datovou schránku k Portálu občana (viz ono „přidat účet“). Mohu jen tipovat, že to také půjde jen při přihlášení s úrovní „značná“. Nicméně: když už máte svou datovou schránku ke svému účtu u Portálu občana připojenu, je zajímavou otázkou, zda bude příslušné propojení (resp. přístup do datové schránky přes portál) fungovat i v případě, kdy se k portálu připojíte jen s úrovní „nízká“. Mohl by to některý z laskavých čtenářů vyzkoušet a podělit se v komentářích o výsledek?

Celkově asi stojí za povšimnutí, že datové schránky jsou v provozu od roku 2009 a drtivá většina uživatelů se k nim (nejspíše dodnes) přihlašuje „napřímo“ jen pomocí jména a hesla. Což odpovídá úrovni „nízká“. Tím nekritizuji současné požadavky na vyšší úroveň zabezpečení, resp. záruky, při práci s datovými schránkami, právě naopak. Mělo to přijít mnohem dříve.

Co nabízí Portál občana při úrovni „nízká“?

Pojďme se podívat dál, kam všude (a „k čemu“) se může dostat uživatel, který v rámci bankovní identity (od ČSOB) disponuje jen prostředkem s úrovní záruky „nízká“.

Na samotném Portálu občana se i s úrovní „nízká“ dostanete například k údajům, které o vás vede registr řidičů. Vidíte zde například stav svého bodového konta. Ovšem pro žádost o výpis bodového hodnocení řidiče je už nutné mít datovou schránku.

Co jde i bez datové schránky, je získání výpisu z rejstříku trestů.

Získáte ho v elektronické podobě, bohužel stále bez zákonem předepsaných náležitostí (kvalifikované elektronické pečeti a kvalifikovaného elektronického časového razítka). Jde o PDFko opatřené pouze zaručenou elektronickou pečetí, založenou na kvalifikovaném certifikátu (uznávanou elektronickou pečetí), bez časového razítka. Ale to by bylo na jiné povídání.

Bez datové schránky, stále i s úrovní „nízká“, můžete získat také výpis z registru živnostenského podnikání.

Stejně tak se i s úrovní „nízká“ dostanete k šikovné funkci Portálu občana, kterou je výčet vašich nemovitostí. Po rozkliknutí se dostanete na přehled listů vlastnictví, ze kterého se pak můžete dále prokliknout již přímo do katastru nemovitostí a zde si prohlédnout obsah jednotlivých listů vlastnictví (tak, jak jsou dostupné v rámci služby pro (veřejné) nahlížení do katastru).

Pokud byste se ale přihlašovali („přes NIA“) do aplikace Nahlížení do katastru nemovitostí, už byste potřebovali úroveň „značná“.

Jak jsou na tom další služby?

S úrovní záruky „nízká“ se dostanete („přes NIA“) například k Daňovému portálu, ePortálu ČSSZ, klientskému portálu MPSV, k Úřadu práce, Portálu Pražana či třeba k samotnému portálu NIA.

Naopak třeba Elektronický recept či již zmiňované Nahlížení do katastru, Jednotný registrační formulář MPO a další již vyžadují úroveň „značná“.

Co se mi naopak nepodařilo s bankovní identitou od ČSOB ani na úrovni záruky „značná“, je založení dalšího prostředku pro elektronickou identifikaci na stejné úrovni. Konkrétně aktivaci (připojení) mobilního klíče eGovernmentu. Pokus učinit tak (a to jak s úrovní „značná“, tak i „nízká“) končil chybovým hlášením, jehož důvodem by mělo být nedostatečné oprávnění.

Je to zajímavé i z toho pohledu, že nedostatečné oprávnění zřejmě nesouvisí s úrovní záruky, ale s tím, jaký prostředek byl použit pro přihlášení k NIA. Jak jsem již psal v tomto loňském článku, připojení mobilního klíče je možné tehdy, jste-li k portálu NIA přihlášeni pomocí své eOP (s úrovní „vysoká“) nebo NIA ID (ta má úroveň „značná“). Naopak výše uvedenou chybovou hláškou to skončí v případě, kdy jste přihlášeni jiným způsobem. Včetně karty Starcos (s úrovní „vysoká“) či pomocí mojeID – a nyní i pomocí bankovní identity.

Stejně tak se nedá ani zřídit NIA ID s využitím bankovní identity (na stejné úrovni „značná“), a to i přesto, že NIA inzeruje možnost toto udělat:

Na výběr máte následující 3 způsoby aktivace účtu: Přihlášení prostředkem se stejnou nebo vyšší úrovní záruky (např. eObčanka) Přihlášení prostřednictvím Informačního systému datových schránek Poskytnutí referenčních údajů z registru obyvatel jiné osobě na pobočce Czech POINT

Jak ukazuje i následující obrázek, s pokusem o využití této možnosti při snaze o aktivaci NIA ID jsou nabízeny jen ostatní dva státem vydávané prostředky.

Toto mimochodem znemožňuje docela zajímavý scénář: že by lidé, kteří si úplně nepřejí používat bankovní identitu k přihlašování na rutinní bázi, ji využili jen jednorázově, k získání nějakého jiného „nebankovního“ prostředku (mobilního klíče eGovernmentu či NIA ID) a dále používali tento jiný prostředek. Vlastně by tak díky bankovní identitě ušetřili jednu cestu na CzechPOINT.