Hlavní navigace

Přihlašování k službám přes internetbanking? Jak má fungovat SONIA?

Jiří Peterka

Stát nechce do svého systému elektronické identifikace pouštět ryze komerční poskytovatele služeb. Proto má pro ně vzniknout paralelní řešení, v jehož středu bude SOukromoprávní NIA, zkratkou SONIA.

Doba čtení: 8 minut

Sdílet

V předchozím článku této dvoudílné série jsme si naznačili, proč vlastně vzniká projekt tzv. bankovní identity. Že ve skutečnosti jde o dvě věci v jednom: o rozšíření stávajícího a již fungujícího „státního řešení“ elektronické identifikace o nové poskytovatele identit (kvalifikované správce kvalifikovaných systémů elektronické identifikace) z řad bank.

A dále že jde o vybudování druhého, v zásadě paralelního „soukromoprávního řešení“, které již bude otevřené i pro komerční subjekty v roli poskytovatelů služeb (SeP). Nebo spíše: bude určené výhradně jen pro ně, protože veřejnoprávní poskytovatelé služeb budou smět využívat jen minule popisované „státní řešení“.  

Proč SONIA?

Základní představu ukazuje následující obrázek, na kterém je v horní části vyobrazeno (zjednodušeně) „státní řešení“, a ve spodní části naznačeno chystané „soukromoprávní řešení“.

I nové „soukromoprávní řešení“, naznačené ve spodní části obrázku, vychází z nepřímého modelu. Ovšem přeci jen odlišného od toho, na kterém je založeno „státní řešení“ v horní části obrázku.

Rozdíl je hlavně v tom, kolikrát se vyskytují a kde se nachází údaje (atributy), které dohromady tvoří elektronickou identitu konkrétní osoby. V případě „státního řešení“ se vyskytují jen jednou a jsou uchovávány v základních registrech. Jinými slovy: elektronická identita je zde jen jedna. V případě „soukromoprávního řešení“ jich bude moci být více a budou se nacházet u příslušných bank – konkrétně u těch, které povedou příslušnou osobu jako svého zákazníka.

Důsledkem je pak ale i odlišnost v postavení prostředníka: zatímco ten „státní“ (tj. NIA) je tím, kdo vede a udržuje elektronické identity (fakticky v základních registrech), „soukromoprávní“ prostředník (tj. SONIA) sám žádné elektronické identity nebude vést ani udržovat. Bude fungovat spíše jako jakási inteligentní výhybka, která umožní, aby se uživatel přihlašoval jedním způsobem (pomocí přihlašovacích údajů/prostředků od jedné banky) k různým poskytovatelům služeb. Tedy například k různým e-shopům a dalším prodejcům či poskytovatelům služeb, pro které bude „státní řešení“ zřejmě navždy nedostupné.

Kdo spravuje elektronickou identitu

SONIA tedy žádné osobní údaje nepovede. Ty budou nadále jen u příslušných bank – a tedy vlastně stejně, jako je tomu dnes (resp. bez celého „soukromoprávního řešení“).

Tomu odpovídá i legenda na předchozím obrázku, podle které horní („státní“) řešení pracuje s veřejnoprávním identitním prostorem (neboli s identitami, které jsou obsaženy v základních registrech). Naproti tomu spodní („soukromoprávní“) řešení pracuje se soukromoprávním identitním prostorem, který vytváří identity vedené jednotlivými bankami.

Ještě si ale znovu zdůrazněme rozdíl v roli bank v rámci obou řešení: v tom „státním“ budou banky v postavení kvalifikovaného správce (kvalifikovaného systému elektronické identifikace) – a fakticky tak budou plnit spíše roli poskytovatele autentizačních služeb, než roli skutečných poskytovatelů identit, viz minulý článek. Jinými slovy: v tomto postavení banky nebudou tím, kdo spravuje (vede a udržuje) elektronickou identitu jednotlivých uživatelů. Budou spravovat jejich přihlašovací údaje, resp. jejich prostředky (pro elektronickou identifikaci).

Teprve v rámci „soukromoprávního“ řešení budou jednotlivé banky skutečnými správci elektronických identit. Tedy tím, kdo vede, spravuje a udržuje údaje (atributy), které dohromady tvoří elektronickou identitu konkrétní osoby. Tím pádem i skutečnými poskytovateli identit.

Aby se ale takovéto „identity u bank“ nelišily od (státem garantované) identity v základních registrech, pamatuje celý projekt i na potřebné udržování jejich vzájemného souladu. Například proto, aby když se přestěhujete, stačilo nahlásit změnu jednou – a ona se již automaticky promítla jak do obsahu základních registrů (a tím i do centrální, státem garantované elektronické identity), tak i do identit udržovaných těmi bankami, u kterých je příslušná osoba zákazníkem.

Aby něco takového mohlo fungovat, musí být nejprve vhodně nastaveny potřebné právní vztahy. Nejde přitom jen o možnost bank komunikovat se základními registry. Už i samotná možnost, aby banky vyvíjely aktivity, popisované v tomto (a předchozím) článku, vyžaduje jejich zakotvení v rámci platné legislativy. Protože celé bankovnictví je hodně regulovaným segmentem, a tak jednotlivé banky potřebují k takovýmto aktivitám explicitní oporu v zákoně.

Co je obsahem novel?

Potřebnou legislativní oporu mají přinést právě novely konkrétních zákonů, které nedávno ve třetím čtení schválila Poslanecká sněmovna (a který nyní míří do Senátu). Jak jsme si už řekli v prvním článku, jde o poslanecký návrh, u kterého to nakonec dopadlo obdobně jako u (také poslaneckého) návrhu zákona o právu na digitální služby: třetím čtením prošel komplexní pozměňovací návrh, a tedy něco „trochu jiného“, než co bylo původně navrhováno.

Pojďme si alespoň stručně naznačit, co všechno je obsahem legislativních změn. A pro jednoduchost vyjadřování předpokládejme, že změny již prošly a budou účinné.

První nezbytnou změnu bylo samotné umožnění toho, aby banky mohly vyvíjet zde popisované aktivity. Toho se dosáhlo tím, že ve „svém zákoně“ (č. 21/1992 Sb., o bankách) budou mít zakotvenu možnost poskytování tzv. identifikačních služeb. Ty budou vymezeny poměrně široce jako

Služby spočívající v poskytování elektronické identifikace, autentizace a služeb vytvářejících důvěru, jak jsou definovány přímo použitelným předpisem Evropské unie upravujícím elektronickou identifikaci a služby vytvářející důvěru pro elektronické transakce na vnitřním trhu, jakož i souvisejících služeb, zejména poskytování nebo potvrzování osobních identifikačních údajů klienta, informací o klientovi souvisejících s jeho osobními identifikačními údaji, informací o bankovních obchodech klienta a vytváření a uchování elektronických dokumentů

Takovéto „identifikační služby“ budou moci poskytovat přímo jednotlivé banky (míněno zřejmě „tuzemské“), dále pobočky zahraničních bank, ale také poskytovatelé identifikačních služeb. To je nový druh subjektu (v rámci zákona o bankách), zaváděný jeho novelou – a měly by to být dceřiné subjekty, vlastněné pouze bankami či pobočkami zahraničních bank. Jinými slovy by to měla být cesta, jak se banky mohou sdružit a vyvíjet zde popisované aktivity skrze společný a plně vlastněný dceřiný subjekt, který si za tímto účelem vytvoří.

Důležité je ale zmínit, že:

na informace získané a zpracovávané při poskytování identifikačních služeb se vztahují ustanovení o bankovním tajemství

Stejně tak je vhodné zmínit, že poměrně široká definice „identifikačních služeb“ umožní bankám (i pobočkám zahraničních bank a poskytovatelům identifikačních služeb) poskytovat také služby vytvářející důvěru (dle nařízení eIDAS) a stát se kvalifikovanými poskytovateli takovýchto služeb – a tedy například vydávat kvalifikované certifikáty pro elektronický podpis či pečeti, kvalifikovaná elektronická časová razítka, poskytovat kvalifikované služby ověřování platnosti elektronických podpisů či uchovávání dokumentů a další.

Pokud se skutečně rozhodnou stát kvalifikovaným poskytovatelem takovýchto služeb, budou muset projít stejným procesem pro získání takovéhoto statutu jako kterýkoli jiný podnikatelský subjekt. Není to tak, že by jim jejich novelizovaný zákon (o bankách) takovýto statut rovnou dával. Jenom jim umožňuje o něj usilovat (a příslušné služby poskytovat).

Další významnou oblastí, kterou novela upravuje, je nově zaváděné právo bank (a také poboček zahraničních bank a poskytovatelů identifikačních služeb) využívat údaje vedené v informačních systémech veřejné správy, včetně údajů vedených v základních registrech. A to skrze informační systém, který budou samy zřizovat a spravovat (jako tzv. systém pro využívání údajů).  

Důvody, kvůli kterým je to nezbytné, jsme si vlastně již popisovali – aby banky vůbec mohly fungovat v roli kvalifikovaných správců v rámci „státního řešení“ a aby v rámci „soukromoprávního řešení“ mohly být jimi spravované identity synchronizovány se státem vedenými a garantovanými identitami.

Jaká jsou legislativní omezení?

Na závěr tohoto článku i celé dvoudílné série se ještě zastavme trochu podrobněji u určitých omezení a povinností, které novela přinese – zejména pokud jde o možnosti využití „státního řešení“ a toho „soukromoprávního“.

Tak například: když bude banka chtít využívat nějaký prostředek (pro elektronickou identifikaci) v rámci „soukromoprávního“ řešení, formálně: „vydávat ho a umožnit jeho použití“, musí jej nabízet („vydávat a umožnit jeho použití“) i v rámci „státního“ řešení, v rámci kvalifikovaného systému elektronické identifikace.

Jinými slovy a zjednodušeně: banka nemůže nabízet nějaký svůj konkrétní způsob přihlašování k soukromoprávním službám (např. e-shopům, utilitám, operátorům atd.) bez toho, aby jej nabízela současně i pro přihlašování k veřejnoprávním službám (např. Portálu občana, datové schránce atd.).

S tím souvisí i další omezení (opět s určitým zjednodušením, pro lepší srozumitelnost): ony veřejnoprávní služby, resp. jejich poskytovatelé, se smí zapojovat pouze do „státního řešení“, a nikoli do toho soukromoprávního. 

To zřejmě reaguje na skutečnost, že v rámci „státního řešení“ bude vše zdarma, tj. i banky zde budou poskytovat (státu i uživatelům) své služby zdarma. Naopak v rámci „soukromoprávního řešení“ budou identifikační služby bank poskytovány na komerční bázi. Což by v praxi mělo znamenat, že pro přihlašující se uživatele bude stále vše zdarma a náklady ponesou (soukromoprávní) poskytovatelé služeb. Tedy různé e-shopy, utility, operátoři atd. 

„Soukromoprávní řešení“

A z opačného pohledu: jak jsme si již naznačili, do „státního řešení“ se přeci jen budou moci zapojovat, v roli poskytovatelů služeb (SeP), i některé soukromoprávní (komerční) subjekty. Konkrétně ty, kterým zákon nařizuje provádět ověření totožnosti jejich zákazníků (§ 2 zákona č. 250/2017 Sb.). Což jsou především opět banky, ale i další finanční instituce, a mohou jimi být i některé další subjekty. Nicméně banky (v roli IdP) je nebudou smět obsluhovat.

Přesněji: banky (i pobočky zahraničních bank a poskytovatelé identifikačních služeb) v roli kvalifikovaných správců kvalifikovaných systémů elektronické identifikace (neboli: poskytovatelů identit, IdP) budou v rámci „státního řešení“ moci poskytovat své služby jen těm kvalifikovaným poskytovatelům služeb (tj. SeP), kteří jsou státním orgánem nebo orgánem územního samosprávného celku. Podle důvodové zprávy je to kvůli řízení rizik na straně bank, které by bez tohoto omezení bylo příliš obtížné.

Pro lepší představu: jde třeba o možnost přihlásit se (skrze „státní řešení“, a tedy přes NIA) pomocí přihlašovacích údajů od jedné banky do internetbankingu jiné banky. Takovouto možnost tedy novela zakazuje. Připouští ji až v rámci „soukromoprávního řešení“.

NMI20-tip-obecny-temata1

Novela dokonce umožňuje realizovat v rámci „soukromoprávního řešení“ i zákonem předepsané ověřování totožnosti (ve smyslu § 2 zákona č. 250/2017 Sb., o elektronické identifikaci). To by se mohlo týkat například zřízení nového bankovního účtu na dálku – ale vyžadovalo by to prostředek s úrovní záruky „vysoká“. Případně jen prostředek s úrovní záruky „značná“, ale doplněný ještě o další spolehlivé ověření.  

Nicméně na to, jak budou všechny možnosti v praxi využity a skutečně realizovány, si musíme ještě chvíli počkat. Protože i když půjde další schvalování legislativních změn hladce, jejich navrhovaná účinnost byla z původního „patnáctým dnem po vyhlášení“ komplexním pozměňovacím návrhem posunuta až na 1. ledna 2021.