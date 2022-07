Ještě nedávno, když se tuzemský uživatel (přesněji: držitel tuzemského prostředku elektronické identifikace) chtěl přihlásit k nějaké zahraniční veřejnoprávní službě (například ke slovenské obdobě našeho Portálu občana), mohl k tomu využít jen svou novou elektronickou občanku. Samozřejmě jen pokud na ní měl aktivované potřebné identifikační funkce.

Od minulého pondělí (4. července 2022) už má větší výběr, když kromě nové eOP může využít i mobilní klíč eGovernmentu (označovaný také jako MEG) a svůj účet u služby mojeID.

Samozřejmě ale ještě záleží na tom, jakou úroveň záruky požaduje ta zahraniční služba, ke které se uživatel chce přihlásit. Pokud např. požaduje úroveň „vysoká“, bude mít uživatel na výběr jen ty prostředky, které mají požadovanou úroveň. Odpadne tedy MEG (mobilní klíč eGovernmentu s úrovní „značná“) a také mojeID s úrovní „značná“. Zbude tak nová eOP a mojeID s úrovní „vysoká“.





Další postup „přeshraničního“ přihlašování (z ČR do zahraničí) je pak již stejný jako „v tuzemsku“.

Proto jen stručně: když si uživatel u zahraniční služby vybere Českou republiku (jako zdroj svého prostředku elektronické identifikace), je přesměrován na stránky našeho národního bodu (NIA) – a právě ta mu nabídne možnosti přihlášení pomocí všech „tuzemských“ prostředků, které připadají v úvahu. Jinými slovy: to, co na předchozích obrázcích není zašedlé, jsou již stránky naší české NIA (nia.identitaobcana.cz).

Když si uživatel vybere jednu z dostupných možností, je přesměrován k vydavateli příslušného prostředku (např. na stránky služby mojeID, pokud si vybral tuto variantu přihlášení). Jakmile se zde úspěšně identifikuje a autentizuje, je přesměrován zpět do národního bodu (NIA). Ten ze svých zdrojů (hlavně z ROBu) sestaví údaje o uživateli, které zahraniční služba požaduje, a vyžádá si od uživatele souhlas s jejich předáním (jednorázový, či trvalý). Po udělení souhlasu je uživatel přesměrován k zahraniční službě, která by jej již měla brát jako řádně přihlášeného uživatele.

Celý postup můžete vidět i na následujícím videu.

K čemu je to dobré?

Zahraničních služeb, ke kterým je možné se přihlásit právě naznačeným „přeshraničním“ způsobem (pomocí tuzemského prostředku elektronické identifikace), je čím dál tím více. Bohužel ale neexistuje žádný jejich systematický výčet či seznam.

Dostupné jsou jen různé dílčí seznamy, které navíc nemusí být (a nejspíše nejsou) úplné. Některé jsou zaměřeny „dovnitř“, na přehled národních služeb dostupných pro zahraniční uživatele, jako třeba tento italský či nizozemský seznam. Jiné jsou naopak zaměřeny „ven“, na zahraniční služby dostupné pro „národní“ uživatele (jako třeba tento slovenský seznam, viz obrázek).

Možnost přihlašovat se „přeshraničně“, pomocí národních prostředků elektronické identifikace, je zabudována i do autentizačního systému Evropské komise, který se do listopadu 2016 jmenoval ECAS (European Commission Authentication System) a dnes je znám jako EU Login.

Prostřednictvím EU Loginu se lze přihlašovat k celé řadě unijních služeb – ale ani zde není k nalezení nějaký jejich ucelený seznam. Zmínit lze alespoň několik příkladů, jako třeba Evropskou občanskou iniciativu, v rámci které můžete (elektronicky) podpořit různé iniciativy (petice). Případně přijít s nějakou vlastní iniciativou.

Dalšími příklady jsou třeba portál pro dotace a výběrová řízení, Evropská platforma pro školní vzdělávání, portál EURES pro zájemce o zaměstnání, portál Erasmus+, portál s nabídkami stáží, portál Europass pro studium a práci v Evropě, portál k předkládání prohlášení o vysílání pracovníků v silniční dopravě a mnohé další.

Jde ale vesměs o služby veřejnoprávního charakteru, a nikoli o služby poskytované soukromoprávními (komerčními) subjekty. Na ty systematičtěji cílí až nově navrhovaná revize celého nařízení eIDAS, které upravuje celou oblast elektronické identifikace, včetně jejího přeshraničního využití.

Co je dobré mít na paměti

Možnost „přeshraničního“ přihlašování, pomocí národních prostředků elektronické identifikace, má pochopitelně i některá úskalí. Jedním z nich je obtížnost samotného rozpoznání toho, že je takováto možnost k dispozici. Neexistuje zde totiž žádný jednotný prvek ani označení či něco podobného evropské značce důvěry, která se používá pro označení kvalifikovaných služeb vytvářejících důvěru.

V praxi se tak lze setkat s prezentováním této možnosti skrze různé symboly a různé výrazy. Některé z nich ukazuje následující obrázek. V jeho horní části jsou příklady toho, s čím se může setkat tuzemský uživatel, který se chce přihlásit „do zahraničí“. Ve spodní části pak je to, co uvidí zahraniční uživatel (držitel zahraničního prostředku elektronické identifikace), který by se chtěl přihlásit k nějaké tuzemské službě.

Dalším a dosti zásadním úskalím je to, že možnost přihlásit se „přeshraničně“ ještě neznamená, že uživatel bude skutečně obsloužen – že mu bude zahraniční služba skutečně poskytnuta. Zde velmi záleží na jejím konkrétním charakteru, zda vůbec připadá v úvahu pro zahraniční uživatele. A pokud ano, zda je na zahraniční uživatele již skutečně připravena a ochotna jim poskytnout požadovanou službu.

Navíc je nutné mít na paměti, že již samotným „přeshraničním“ přihlášením může dojít k určitým (i nevratným) krokům. Třeba rakouský eIDAS uzel vás informuje, že v rámci prvního přihlášení „do Rakouska“ budou vaše údaje zapsány do místní obdoby registru obyvatel (aby vás dokázali jednoznačně identifikovat i při dalších přihlášeních). Podobně tomu dost možná bude i v dalších zemích.

Jinde (jako třeba v Estonsku) vám při prvním přihlášení rovnou zřídí místní schránku („mailbox“), a to bez ptaní, zda ji chcete, či nechcete.

To na Slovensku vám nejprve řeknou, že se vám chystají zřídit místní „elektronickou schránku“, a zeptají se, zda chcete pokračovat.

Pokud odmítnete (dáte „Cancel“), přihlášení se nepovede a zobrazí se vám poněkud matoucí chybová hláška (jako kdyby došlo k technické chybě, a nikoli k záměrnému odmítnutí).

Ale pokud neodmítnete (zvolíte „Submit“), je vám schránka ihned zřízena.

A hned vám do ní také přijde uvítací zpráva.

Mimochodem, slovenská elektronická schránka je obdobou naší datové schránky. Je zřizována automaticky mj. všem fyzickým osobám starším 18 let. Ty se ale mohou samy rozhodnout, zda ji budou chtít využívat (a pak si ji musí nechat aktivovat), či nikoli. Aktivace zřízené datové schránky tedy není ani automatická, ani povinná – a v konečném důsledku tak jde o princip opt-in. Toto na Slovensku platí jak pro nepodnikající, tak i pro podnikající fyzické osoby. Naproti tomu právnické osoby schránky používat musí.

Připomeňme si, že u nás tomu bude od počátku roku 2023 jinak, a to „přísněji“: pro podnikající fyzické osoby budou datové schránky povinné (stejně jako pro právnické). A pro nepodnikající fyzické osoby, které na sebe prozradí základní informační gramotnost (poprvé se někam přihlásí „přes NIA“), bude datová schránka zřízena a povinně aktivována (buď prvním přihlášením, nebo do 15 dnů). A budou moci ji zpětně znepřístupnit – takže celkově půjde o princip opt-out.

Proč jsou nutné brány a notifikace?

Další úskalí „přeshraničního“ přihlašování vyplývají z toho, jak byla celá elektronická identifikace zavedena do unijního práva nařízením eIDAS: tak, že jednotlivé členské země mají relativní volnost v tom, jaké konkrétní řešení zvolí. A také kdy, resp. zda vůbec jej zavedou.

Proto dnes máme v EU více různých řešení i zemí, které ještě nemají žádný prostředek, kterým by se dalo přihlašovat „přeshraničně“ (tzv. notifikovaných prostředků). Rozdíly jsou ale i v základních principech zvoleného řešení: třeba u nás jsme si zvolili nepřímý model s prostředníkem v podobě národního bodu (NIA), přes který prochází veškeré transakce. Jinde zvolili přímý model, kde žádný prostředník není.

Výsledkem pak je existence určitého počtu specifických národních řešení, která nejsou přímo kompatibilní a vyžadují vzájemné přizpůsobení prostřednictvím bran (dnes obvykle označovaných jako eIDAS node, u nás ji pro stát provozuje sdružení CZ.NIC).

Tyto brány pochopitelně musí „znát“ jednotlivá národní řešení a rozumět jejich fungování. I proto existuje mechanismus vzájemného oznamování (a také schvalování) jednotlivých národních řešení, neboli tzv. notifikace, zahrnující i jejich posouzení ostatními zeměmi (tzv. peer review).

Toto ostatně byl důvod toho, co zaznělo v úvodu článku: do 4. července celým tímto procesem úspěšně prošla jen nová eOP, a proto pouze ona se (jako jediný „tuzemský“ prostředek elektronické identifikace) mohla používat pro přeshraniční přihlašování. Ke zmíněnému datu pak byl celý proces završen i pro další, již zmiňované prostředky: MEG (mobilní klíč eGovernmentu) a službu mojeID. Posledním krokem bylo jejich zařazení do nabídky, kterou uživatelům předkládá náš národní bod (NIA), viz druhý dnešní obrázek. Pro podrobnější popis celého procesu doporučuji např. tento článek.

A jen pro úplnost si dodejme, že „přeshraniční“ přihlašování dnes ještě zdaleka nefunguje stylem „každý s každým“: jsou členské země, které dosud nemají žádný úspěšně notifikovaný prostředek elektronické identifikace. Uživatelé těchto zemí se tak nemají čím přihlásit k zahraničním službám v rámci celé popisované možnosti. Proto i následující mapa s výběrem členských zemí (které vydaly prostředek elektronické identifikace) je poněkud „řídká“.

Nehledě na to, že ne všechny (veřejnoprávní) služby již umožňují „přeshraniční“ přihlašování.

Proč nestačí autentizace přes datové schránky

Pokud jste si zde popisované „přeshraniční“ přihlášení sami zkoušeli, možná jste narazili na problém, který ukazuje následující obrázek:

Autor: Jiří Peterka

Mohlo se vám to stát jak s mobilním klíčem eGovernmentu (MEG), tak i se službou mojeID s úrovní „značná“. Důvodem je výsledek posouzení těchto prostředků v rámci procesu peer review, který identifikoval u obou potenciální slabé místo: jejich držitelé se mohli autentizovat (stvrdit svou totožnost při aktivaci prostředku) různými způsoby, včetně varianty „přihlášením do datové schránky“. No a tato varianta může zahrnovat i použití pouhého jména a hesla – což bylo shledáno jako příliš slabé a nedostatečné pro požadovanou úroveň záruky (značná, či vysoká).

Proto odborné posouzení nakonec dopadlo ve smyslu: „ano, můžete oba prostředky (MEG i mojeID) používat pro přeshraniční přihlašování, ale nesmí to být ty, které byly aktivovány s využitím přihlášení do datové schránky. Ty je nutné dodatečně ověřit.“

Proto ona hláška na předchozím obrázku, která se objeví při pokusu o přihlášení dotčeným prostředkem (aktivovaným přes datovou schránku), a nutnost provést dodatečné ověření. To by mělo být velmi snadné: když kliknete na „Ověřit klíč přihlášením“, dostanete se na standardní nabídku možností přihlášení (kterou vám dává národní bod, resp. NIA) a zde si můžete vybrat to, které máte k dispozici (což může být např. i bankovní identita).

S mobilním klíčem eGovernmentu se mi to nepodařilo: zkoušel jsem dodatečné ověření jak pomocí nové eOP, tak pomocí bankovní identity i služby mojeID, ale vždy to skončilo neúspěšně.

Autor: Jiří Peterka

To u služby mojeID jsem dopadl lépe: ta nově upravila svůj přehled bezpečnostních klíčů a ukazuje, které z nich se aktuálně dají použít pro přeshraniční přihlašování („služby EU“).

Autor: Jiří Peterka

Nabízí také jednoduché ověření, které je možné provést všemi obvyklými způsoby pro tuto službu.

Tedy kromě přihlášení k datové schránce, které „nemá dostatečnou úroveň zabezpečení“. To je ostatně věc, na kterou osobně upozorňuji dlouhodobě – že způsob přihlašování k datovým schránkám (jen pomocí jména a hesla) zásadně neodpovídá tomu, jak závažné (a závazné) právní kroky je možné realizovat skrze datové schránky.

Pravdou je, že datové schránky byly spuštěny v roce 2009, a tedy ještě před účinností nařízení eIDAS s jeho úrovněmi záruky a požadavky na zabezpečení elektronické identifikace a autentizace. Dnes jsou již upřednostňovány spolehlivější varianty přihlašování k nim a samy datové schránky důrazně varují před používáním pouhého jména a hesla:

Přihlašování pouze základní metodou jméno/heslo je z přihlašovacích metod nejsnáze napadnutelné a zneužitelné. Množství škodlivých programů dokáže jméno a heslo odposlechnout a poslat je přes Internet mimo Váš počítač. Informační systém datových schránek (ISDS) podporuje několik bezpečnějších přístupových metod a důrazně všem uživatelům datových schránek doporučujeme používat některou z nich …

Přesto, podle dostupných informací, se samotné jméno a heslo stále využívá v 90 % případů. Na mobilní klíč eGovernmentu (zřejmě „přímo do ISDS“, nikoli „přes NIA“) připadají 3 % a „přes NIA“ vede 7 % přihlášení. To o něčem vypovídá.

Pokud má někdo ze ctěných čtenářek a čtenářů praktickou zkušenost s nějakou užitečnou zahraniční službou, prosím podělte se o ni v komentářích k článku.