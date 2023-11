Je tomu 13 let, co správce českých domén, sdružení CZ.NIC, spustil autentizační službu mojeID. Ten kus historie si připomeňme v tehdejším článku Jiřího Peterky. MojeID tenkrát bylo a i dnes zůstává svým způsobem revoluční. Tehdy šlo o první autentizační nástroj postavený na protokolu OpenID a provozovaný na neutrální bázi neziskovým sdružením. To mírnilo obavy, že se osobní údaje uživatelů budou hromadit v rukou někoho, kdo na nich bude chtít vydělávat.

Zároveň se jednalo o win-win řešení, ze kterého profitovali všichni. Stát, který nesměle spouštěl první vlaštovky eGovermentu, potřeboval snadno ověřovat, s kým jedná. Kvalifikovaný elektronický podpis, respektive certifikát, na kterém byl založený, toto ověření poskytoval, masového rozšíření se ale nikdy nedočkal. Byl a stále je okrajovou variantou, doménou úzkého okruhu fajnšmekrů. Řešení postavené na OpenID, kdy přihlašovací údaje neopouštějí servery poskytovatele ověření, je proti tomu dostatečně bezpečné, robustní, a přitom jednoduché, aby si popularitu u uživatelů našlo. A zkrátka nepřišel ani CZ.NIC. Ten mohl s různými výhodami ztotožnění uživatelů navázat na jím provozovaný registr domén.

Tenkrát bylo mojeID státu dobré

Bez přehánění bylo mojeID průkopníkem ověřeného přístupu k elektronickým nástrojům státu. Jak čas plynul, přibývaly další identitní prostředky, ke kterým stát pojal tolik důvěry, aby je zahrnul do množiny způsobů, přes které se lze vůči jeho webům ověřovat. Jsou mezi nimi vpravdě primitivní nástroje založené jen na jménu, heslu a jednorázovém kódu zaslaném v SMS (NIA ID), mobilní klíč eGovermentu vyžadující mobilní aplikaci na chytrých telefonech nebo o něco zabezpečenější eObčanka s čipem. Dále je k dispozici ověřování přihlášením k datové schránce, eurounijní brána IIG pro cizince a čipová karta Starcos.

A pak přišla bankovní identita. Do českého práva se dostala jako pozměňovací návrh prolobbovaný bankami, které, když už byly obtěžkány povinností klienty ztotožňovat pro vzdálený přístup k účtům, ucítily příležitost z toho vytřískat něco pro sebe. Vznikla dohoda, že banky spustí autentizační nástroj, který státu bude poskytovat tuto ověřovací službu zdarma.





Není stát jako stát

Jenže banky si uměly dobře pohlídat, že okruh příjemců této bezplatné autentizace bude minimalistický. Jak víme, součástí prolobbované právní úpravy je, že se musí jednat buď o státní orgán, nebo orgán územního samosprávného celku. Tím pádem z tohoto privilegovaného sektoru vypadly zdravotní pojišťovny, nemocnice, školy, sociální zařízení a podobné entity. Všichni spadají do komerční kategorie, kde už povinnost bank ověřovat uživatele bankovní identitou zdaleka není bezplatná.

To přitom není jediná piha na kráse, kterou bankovní identita oproti ostatním nástrojům trpí. Zatímco například mojeID v rámci vícefaktorové autentizace dokáže využívat daleko bezpečnějších hardwarových FIDO tokenů, u bankovní identity bude druhým faktorem vždy jen mobilní aplikace, nebo dokonce jen SMS kód. A protože přes bankovní identitu se přihlašujete stejnými údaji a stejným způsobem jako do internetového bankovnictví, logicky kompromitací bankovní identity se útočníkům otevírá cesta nejen k různým informativním portálům státu, ale i přímo k vašim penězům.

Bankovní identita opanuje televizní prime time

I přes tyto nedostatky stát bankovní identitu setrvale protežuje. Když informuje na sociálních sítích o možnosti ověřit si trestné body na kartě řidiče, neopomene vyjmenovat všechny možné způsoby, jak se k údajům dostat, až na mojeID.

A podobné manýry jako Ministerstvo vnitra na sociálních sítích pochytily i VZP…

Nikoho už pak moc nepřekvapí, že pokud před hlavním večerním pořadem na veřejnoprávní televizi Aleš Háma vybízí k troše toho digitálního dobrodružství v podobě ověření si, jaký důchod a kdy nás čeká, že tu s logem Ministerstva vnitra je podporovaná zase jen bankovní identita.





CZ.NIC: chceme férové podmínky

Korunu všemu nasadil na začátku listopadu provozovatel Identity občana Digitální a informační agentura (DIA), když se skrze NAKIT pustil do faceliftu svého přihlašovacího rozhraní. To by se už všem mělo zobrazovat v nové podobě. Dneškem totiž končí přechodné období, kdy se stará a nová verze mohly náhodně míchat.

Všechny autentizační prostředky v Identitě občana nově nejsou dostupné na jedno kliknutí, ale jsou rozděleny do tří podkategorií: státní prostředky, bankovní identitu a ostatní prostředky. MojeID napřed z tohoto seznamu vypadlo úplně, později bylo dosazeno do kategorie ostatní. „Toto rozhodnutí vzešlo z dat o počtu využívání jednotlivých způsobů přihlášení a z testování UX, kde se toto řešení ukázalo jako pro uživatele nejvíce přehledné,“ uvedla mluvčí DIA Anna-Marie Lichtenbergová.

Stát se vůči mojeID zachoval nanejvýš macešsky. Těch příkladů je tolik, že to není a nemůže být náhoda. Toho si všiml i CZ.NIC. Jeho šéf Ondřej Filip k tomu pro Lupu uvedl: „Na jednu stranu vítáme, že banky 10 let po nás projevily zájem o oblast digitální identity, ale zároveň bychom byli rádi, aby podmínky v této oblasti byly nastaveny fér a rovnocenně.“

Všichni, kteří by měli do budoucna záchvaty altruismu vůči státu a zvažovali snad, že něčím přispějí k dobré věci, by si měli ze smutného příkladu osudu mojeID vzít ponaučení, jak se tato země odvděčuje úspěšným projektům.

