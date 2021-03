V současné euforii kolem bankovní identity se trochu zapomíná na to, že má i svá omezení. Trochu zjednodušeně se věci prezentují tak, že když máte nějakou svou bankovní identitu zřízenu a aktivovánu, dostanete se s ní ke všem službám, které jsou „přes NIA“ dostupné.

Že to není tak úplně pravda, dokládá i následující obrázek: ve své levé části ukazuje možnosti přihlášení k ePortálu České správy sociálního zabezpečení. Zde nabídka zahrnuje i možnost přihlášení pomocí bankovní identity. V pravé části obrázku pak jsou možnosti přihlášení ke Všeobecné zdravotní pojišťovně (resp. k její službě Moje VZP). A zde již nabídka přihlášení pomocí bankovní identity chybí.

Podobně jako u VZP (resp. její služby Moje VZP) dopadnete i u ostatních zdravotních pojišťoven, které již také umožňují přihlášení „přes NIA“ (konkrétně u OZP a ČPZP) – ani zde s bankovní identitou neuspějete. Stejně tak dopadnete i u škol (např. Mateřské škole Měřín, Základní školy Měřín, Základní školy Oslavice či třeba Základní umělecké školy Velké Meziříčí) či nemocnic (např. Oblastní nemocnice Příbram, Úrazové nemocnice v Brně či NMB Brno).

Co mají takovéto subjekty (školy, nemocnice) společného a co je vylučuje z možnosti přihlásit se k nim pomocí bankovní identity, když už podporují přihlašování „přes NIA“?

Jen státní nebo samosprávní orgány

Odpověď dává ustanovení § 38ad odst. 3 zákona č. 21/1992 Sb., o bankách, které řeší použití bankovní identity:

(3) Správce národního bodu poskytne službu národního bodu pro identifikaci a autentizaci při využití kvalifikovaného systému, jehož kvalifikovaným správcem podle zákona o elektronické identifikaci je banka, pobočka zahraniční banky nebo poskytovatel identifikačních služeb, pouze kvalifikovanému poskytovateli podle zákona o elektronické identifikaci, který je státním orgánem nebo orgánem územního samosprávného celku.

Přeloženo do lidské řeči toto ustanovení znemožňuje přihlašování pomocí bankovní identity cestou „přes NIA“ k takovým (online) službám, které poskytuje někdo, kdo sám není ani státním orgánem, ani orgánem územního samosprávného celku.

Do příslušné definice (kdo je „státním orgánem nebo orgánem samosprávného celku“) nespadají zejména komerční subjekty. Pomocí bankovní identity se tak nelze (a nebude možné) přihlašovat, cestou „přes NIA“, k jimi provozovaným službám – například k různým e-shopům, portálům utilit či operátorů atd. Což ani tak nepřekvapuje, protože takovéto komerční služby (komerčních poskytovatelů) by stejně neměly šanci se připojit k NIA a využívat jejích služeb (neboli: služeb národního bodu).

Je to dáno celkovou uzavřeností našeho národního systému elektronické identifikace, opakovaně diskutovanou i zde na Lupě (např. zde či zde). Cesta „přes NIA“ je totiž dostupná jen pro tzv. kvalifikované poskytovatele (služeb). A těmi mohou být jen takové subjekty, které mají ze zákona (či z výkonu své působnosti) povinnost ověřovat totožnost. Pravdou je, že jimi mohou být i komerční subjekty (například samy banky). A pokud se podíváme do aktuálního seznamu kvalifikovaných poskytovatelů, najdeme zde třeba advokátní kancelář či akciovou společnost. Ale celkově půjde asi spíše o výjimky z obecného pravidla, že cesta „přes NIA“ je pro komerční subjekty zavřená.

Co už může překvapovat, je skutečnost, že citované ustanovení zákona o bankách svými důsledky dopadá i na ony výjimky. Či spíše: primárně na ně. A to včetně služeb takových subjektů, které jsou běžně vnímány spíše jako veřejnoprávní než jako komerční: tedy například již uváděné školy či nemocnice. Nebo zdravotní pojišťovny.

Právní status takovýchto subjektů ale skutečně nemusí vyhovovat podmínce „je státním orgánem nebo orgánem územního samosprávného celku“, obsažené v bankovním zákoně. A tak na ně příslušné ustanovení dopadá – a prostřednictvím bankovní identity se k nim („přes NIA“) nepřihlásíte.

Proč?

Prvním, co při zamyšlení nad právě popsanou situací člověka zákonitě napadne, jsou ekonomické důvody: v rámci cesty „přes NIA“ poskytují banky své služby elektronické identity zdarma. Pro online služby komerčních subjektů pak banky chystají „paralelní“ řešení, dříve označované jako SONIA (od: Soukromoprávní NIA). Toto řešení budou banky provozovat již na komerční bázi, a tedy „za peníze“. Tak proč by měly nechávat oněm „výjimkám“ (ve výše popisovaném smyslu) možnost výběru, kterou cestou jít?

Pokud se ale podíváme do důvodové zprávy k zákonu č. 49/2020 Sb., který novelizací „vsunul“ zmiňované ustanovení do zákona o bankách, najdeme zde jiné zdůvodnění, týkající se řízení rizik. Naráží na to, že při poskytování služeb bankovní identity „přes NIA“ nemají banky kontrolu nad tím, komu jsou tyto služby poskytovány:

Kvalifikovaný správce je [po získání akreditace] obecně povinen svůj kvalifikovaný systém elektronické identifikace dle § 3 ZoEI zpřístupnit všem potenciálním příjemcům elektronické identifikace (tzv. kvalifikovaným poskytovatelům –viz § 18 odst. 1 ZoEI) prostřednictvím NIA, a to zdarma.

Banky a pobočky zahraničních bank v postavení kvalifikovaných správců tak nemají kvůli této úpravě možnost kontrolovat, kdo a v jakém rozsahu využívá jimi vydaný prostředek pro elektronickou identifikaci, a za jakých podmínek tak činí. Tento fakt s sebou nese pro banky a pobočky zahraničních bank nezanedbatelná rizika.

Lze proto shrnout, že bankám a pobočkám zahraničních bank v souvislosti se získáním akreditace pro správu kvalifikovaného systému a s jeho následným provozem vznikají nezanedbatelné náklady a současně se banky vystavují řadě rizik (zejm. v rovině odpovědnosti za nesprávně provedenou identifikaci, resp. obecně za škodu způsobenou při správě kvalifikovaného systému podle § 9 ZoEI), to vše bez možnosti kontroly nad okruhem příjemců poskytovaných služeb a jejich podmínkami.

Soudě podle důvodové zprávy banky nejvíce trápí řízení rizika právě v souvislosti s oněmi „výjimkami“ (ve výše popisovaném smyslu):

… podmínky upravené ZoEI, zejména povinnost zpřístupnit kvalifikovaný systém elektronické identifikace dle § 3 ZoEI všem potenciálním příjemcům elektronické identifikace (kvalifikovaným poskytovatelům) prostřednictvím NIA, významně ztěžují řízení rizik na straně bank. To platí především pro neomezené zpřístupnění kvalifikovaného systému elektronické identifikace těm kvalifikovaným poskytovatelům, kteří jsou soukromoprávními subjekty a jejichž množina je v současné době obtížně určitelná…

A tak vznikl onen návrh omezit přihlašování „přes NIA“ prostřednictvím bankovní identity jen na služby poskytované státními orgány a orgány územně samosprávných celků:

Konkrétně se [ … ] navrhuje úprava, kterou bude přístup ke službám bank a poboček zahraničních bank jakožto komerčních kvalifikovaných správců prostřednictvím NIA omezen pouze na státní orgány a územní samosprávné celky v postavení kvalifikovaných poskytovatelů. Navrhovaná úprava tak jinými slovy zakotvuje situaci, kdy státní orgány a územní samosprávné celky budou moci zdarma a bez omezení skrze NIA využít prostředky bank pro elektronickou identifikaci dostupné v NIA. Ostatní kvalifikovaní poskytovatelé v NIA, kteří nejsou státním orgánem nebo územním samosprávným celkem, nebudou jakkoli dotčeni v možnosti i nadále využívat veškeré dostupné prostředky pro elektronickou identifikaci, zejména elektronický občanský průkaz.

Pokud se nad tím zamyslíme hlouběji, nelze si nevšimnout, že kvalifikovaní správci (a to nejenom banky, ale i všichni ostatní) nezpřístupňují své kvalifikované systémy elektronické identifikace přímo jednotlivým „příjemcům“ elektronické identifikace (tedy: kvalifikovaným poskytovatelům služeb). Tak by tomu bylo v přímém modelu – ale u nás jsme zvolili model nepřímý, kdy mezi oběma stranami (kvalifikovanými správci kvalifikovaných systémů elektronické identifikace, zkráceně: IdP, resp. poskytovateli identity, a kvalifikovanými poskytovateli služeb, zkráceně: SeP) stojí prostředník v roli NIA (národního bodu), který obě strany důkladně a důsledně odděluje. A to i v tom smyslu, že IdP neví, k jakému SeP se uživatel přihlašuje, a SeP zase neví, přes jakého IdP se k němu někdo přihlašuje.

Striktně vzato každý IdP, a tedy i banka, poskytuje své služby elektronické identifikace pouze prostředníkovi (tedy NIA): jemu říká (a odpovídá za to), koho a jak ověřil. A teprve prostředník (NIA) pak „ze svých zásob“ sestavuje ty informace o konkrétním uživateli, které následně dostává poskytovatel služby (SeP).

Zjednodušeně: banky v roli IdP jsou „ve vztahu“ k NIA, kterému také za poskytované služby odpovídají. A až NIA je pak „ve vztahu“ k SeP (poskytovatelům služeb). Vztah mezi bankami (jako IdP) a poskytovateli služeb (SeP) je tak jen nepřímý (zprostředkovaný fungováním NIA a celého nepřímého modelu).

Stejně tak si zdůrazněme, že v roli IdP (poskytovatelů identit, resp. kvalifikovaných správců kvalifikovaných systémů elektronické identifikace) nepůsobí dnes jen banky, ale i další soukromoprávní subjekty zcela mimo bankovní sektor. Konkrétně společnost I.CA (která v rámci svého kvalifikovaného systému elektronické identifikace vydává jako prostředek elektronické identifikace kartu Starcos s autentizačním certifikátem), a sdružení CZ.NIC (se službou mojeID a tokenem s certifikací FIDO). A ani tyto subjekty neví, kam se uživatelé jejich prostřednictvím „přes NIA“ přihlašují, a nemají nad tím kontrolu. Z pohledu řízení rizik jsou na tom tedy tak, jak by byly banky bez uvedeného ustanovení v zákoně o bankách. Přesto fungují a poskytují své služby elektronické identifikace.

Praktický důsledek je pak ten, že „dělící čára“ toho, kam se pomocí různých způsobů elektronické identifikace „přes NIA“ dostanete, není vedena po linii rozdílu mezi soukromoprávním a veřejnoprávním poskytovatelem identit (IdP), ale po linii rozdílu mezi bankovním a nebankovním IdP.