Pomen ustreznega sredstva elektronske identifikacije za elektronsko poslovanje
Začetek veljave Zakona o elektronski identifikaciji in storitvah zaupanja (v nadaljevanju: ZEISZ) 7. 8. 2021 je pri ponudnikih in uporabnikih elektronskih storitev tako javnega kot zasebnega sektorja aktualiziral nekatera vprašanja, vezana na način elektronske identifikacije uporabnikov elektronskih storitev ter način uporabe elektronskih podpisov in drugih storitev zaupanja (npr. e-žigov in e-vročanja). Ker je ZEISZ uredil le osebno elektronsko identiteto, vezano na prihajajočo e-osebno izkaznico, in z njo povezana sredstva e-identifikacije, ki jih izdaja država, ter še nekaj elementov elektronskega podpisovanja, ki jih evropska uredba eIDAS prepušča državam članicam, predvsem ponudniki in uporabniki e-storitev zasebnega sektorja iščejo odgovore na vprašanja, katero rešitev oz. storitev elektronske identifikacije in, najpogosteje, elektronskega podpisa izbrati, da bo njihovo poslovanje skladno s predpisanimi zahtevami, hkrati pa še učinkovito in uspešno.
Temeljni evropski predpis, ki ureja elektronsko identifikacijo in storitve zaupanja, je Uredba (EU) št. 910/2014 o elektronski identifikaciji in storitvah zaupanja za elektronske transakcije na notranjem trgu (Uredba eIDAS). Določbe uredbe se v državah članicah uporabljajo neposredno, vsebinsko pa se Uredba eIDAS deli v dva dela.
Prvi del zajema elektronsko identifikacijo, kjer ne posega v elektronske sisteme za upravljanje identitete in z njimi povezane infrastrukture držav članic, temveč zgolj določa pogoje, pod katerimi države članice priznajo sredstva elektronske identifikacije fizičnih in pravnih oseb, ki so vključena v pri Evropski komisiji priglašeno shemo elektronske identifikacije druge države. Slovenija do zdaj še ni priglasila nobene sheme.
ZEISZ ureja izdajanje sredstev elektronske identifikacije v okviru sheme, s katero upravlja Ministrstvo za javno upravo, izdajanja teh sredstev s strani drugih ponudnikov pa prepušča sektorskim predpisom oz. pogodbenemu urejanju razmerij med ponudnikom sheme, uporabnikom sredstva e-identifikacije, izdanega v okviru dotične sheme, in ponudnikom e-storitve, ki se zanaša na določeno shemo. Med slednjimi je v Sloveniji najbolj uveljavljena shema ponudnika kvalificiranih storitev zaupanja Rekono, ki imetnikom računa Rekono omogoča avtentikacijo in prijavo v bančne, zavarovalniške in druge elektronske storitve zasebnih in javnih ponudnikov ter potrjevanje plačilnih storitev.
Shemo elektronske identifikacije Uredba eIDAS opredeljuje kot sistem za elektronsko identifikacijo, v okviru katerega se fizični ali pravni osebi ali fizični osebi, ki zastopa pravno osebo, izda sredstvo elektronske identifikacije. Sredstvo elektronske identifikacije so identifikacijski podatki osebe, ki so lahko shranjeni na fizičnem mediju (npr. na čipu osebne izkaznice) ali v programski rešitvi, namenjeni predstavitvi ali potrditvi identitete osebe na daljavo (npr. uporabniški račun za prijavo v informacijski sistem).
Oseba svojo identiteto v neposrednem fizičnem stiku s ponudnikom storitve izkazuje s fizičnimi identifikacijskimi dokumenti, ki lahko vsebujejo tudi sredstvo e-identifikacije. Tak dokument bo npr. nova e-osebna izkaznica. V takem primeru ponudnik storitve za identifikacijo uporabnika ob aplikaciji za prijavo potrebuje le ustrezni čitalnik sredstva e-identifikacije. Kadar pa oseba želi uporabiti neko spletno storitev, ki je dostopna le po predhodni potrditvi identitete uporabnika (npr. spletno banko, prijavo škodnega dogodka ipd.), pa mora pridobiti sredstvo elektronske identifikacije, ki omogoča potrditev identitete na daljavo, praviloma prek spleta.
Seveda pa vsa sredstva elektronske identifikacije ne zagotavljajo enake ravni zaupanja. Uredba eIDAS sredstva elektronske identifikacije razvršča glede na stopnjo obvladovanja nevarnosti zlorab ali spreminjanja identitete imetnika sredstva v tri ravni zanesljivosti: nizko, srednjo ali visoko. Raven zanesljivosti sredstva elektronske identifikacije je odvisna od postopka dokazovanja in preverjanja identitete imetnika sredstva, načina izdaje in mehanizma avtentikacije imetnika, samega izdajatelja sredstva ter seveda tehničnih in varnostnih specifikacij izdanega sredstva.
Med naštetimi elementi je še posebej treba omeniti način potrjevanja identitete osebe ob posamični prijavi za dostop do spletne storitve, ki se lahko izvaja s postopkom eno- ali večfaktorske avtentikacije. Ponudnik elektronskih storitev raven zanesljivosti sredstva e-identifikacije in način prijave uporabnika storitve določi na podlagi ocene tveganj za zlorabo ali spreminjanje identitete uporabnika oz. v skladu s predpisi, ki urejajo izvajanje določenih elektronskih storitev. Tak primer je zakon, ki ureja izvajanje plačilnih storitev in od uporabnika zahteva prijavo z močno avtentikacijo, ki temelji na uporabi dveh od treh elementov avtentikacije (kaj imam, kaj vem ali kaj sem), ali zakon, ki ureja preprečevanje pranja denarja in financiranje terorizma, ki identifikacijo stranke izrecno veže na uporabo sredstva elektronske identifikacije z visoko ravnijo zanesljivosti.
V Sloveniji se za namen elektronske identifikacije in avtentikacije uporablja tudi kvalificirano potrdilo za elektronski podpis, kar je leta 2016 določila vladna uredba o izvajanju Uredbe eIDAS. ZEISZ je omenjeno uredbo razveljavil in določil petletno prehodno obdobje, to je do 7. 8. 2026, ko fizična oseba še lahko uporablja kvalificirano potrdilo za dostop do elektronskih storitev v javnem sektorju. Za ponudnike storitev v zasebnem sektorju ta omejitev ne velja in lahko uporabljajo kvalificirano potrdilo kot sredstvo elektronske identifikacije, če je tak način avtentikacije uporabnika določene elektronske storitve opredeljen v sektorskih predpisih ali v splošnih pogojih uporabe elektronske storitve.
Drugi del Uredbe eIDAS pa zajema storitve zaupanja elektronskih podpisov, elektronskih žigov, elektronskih časovnih žigov, storitve elektronske priporočene dostave, hrambe kvalificiranih elektronskih podpisov in žigov, potrjevanja veljavnosti elektronskih podpisov in žigov ter storitve v zvezi s potrdili za avtentikacijo spletišč, ki jih uredba ureja v celoti in veljajo neposredno na območju Evropske unije. V praksi je najpogostejša – da ne rečemo najpomembnejša – storitev zaupanja elektronski podpis.
Uredba eIDAS razvršča elektronske podpise na:
- »navadne« elektronske,
- napredne elektronske podpise in
- kvalificirane elektronske podpise.
Pri tem se napredni elektronski podpisi delijo na dve podvrsti:
- napredni elektronski podpis in
- napredni elektronski podpis, ustvarjen s kvalificiranim potrdilom za elektronske podpise.
Glede na način izvedbe elektronske podpise delimo na e-podpise, pri katerih ima podpisnik v času e-podpisa sredstva za ustvarjanje e-podpisa v fizični posesti, in na e-podpise na daljavo, pri katerih podpisnik sredstva za ustvarjanje e-podpis prepusti v upravljanje ponudniku storitve e-podpisa na daljavo, ki zagotovi zanesljivo okolje za ustvarjanje e-podpisa in uporabo tega okolja pod izključnim nadzorom podpisnika.
Uredba eIDAS določa zahteve le za napredni in kvalificirani e-podpis, tako imenovanih »navadnih« e-podpisov pa ne ureja. Po Uredbi eIDAS mora napredni e-podpis izpolnjevati naslednje zahteve:
- enolično je povezan s podpisnikom;
- z njim je mogoče identificirati podpisnika;
- ustvari se na podlagi podatkov za ustvarjanje elektronskega podpisa, ki jih podpisnik z visoko stopnjo zaupanja lahko uporablja izključno pod svojim nadzorom, in
- s podatki, ki so na ta način podpisani, je povezan tako, da je opazna vsaka naknadna sprememba podatkov.
Kvalificirani e-podpis je napredni e-podpis, ki se ustvari z napravo za ustvarjanje kvalificiranega e-podpisa in temelji na kvalificiranem potrdilu za e-podpis.
Iz zahtev Uredbe eIDAS izhaja, da mora elektronski podpis omogočiti identifikacijo podpisnika ter zagotoviti preverljivo povezavo podpisnika s posamičnim e-podpisom in e-podpisano vsebino. Ena od definicij podpisa je tudi, da gre za dokumentiran izraz volje določenega posameznika v zvezi z določeno vsebino. Naštete funkcionalnosti imata le napredni in kvalificirani e-podpis, medtem ko jih »navadni« e-podpis, kamor na primer uvrščamo poskeniran lastnoročni podpis, »clickwrap« podpise, podpise s podpisnimi tablicami, podpis z miško in podobne rešitve, ne zagotavlja.
Posledično morajo ponudniki in uporabniki e-storitev, ki obsegajo tudi elektronsko dokumentiranje volje posameznika v zvezi s podpisano vsebino, oceniti, katera raven e-podpisa ustreza njihovim zakonskim ali pogodbenim obveznostim oziroma poslovnim potrebam. Predmet ocene tveganj oz. učinkov e-podpisanega dokumenta na poslovanje so tako tveganja morebitne neskladnosti s predpisanimi oziroma pogodbenimi obveznostmi kot tudi morebitnih stroškov spora z uporabnikom e-storitve, podprte s postopkom e-podpisovanja, in stroškov dolgoročnega ohranjanja izvirnosti in celovitosti e-podpisanih dokumentov ter zagotavljanja dokazil o izvedenem e-podpisu.
Katero rešitev oz. storitev izbrati, da bo stroškovno učinkovita, hkrati pa zagotavljala ustrezno varnost?
Uporabnik storitve elektronskega podpisovanja ali drugih storitev zaupanja se mora zavedati razlik med uporabo kvalificiranih ali nekvalificiranih storitev zaupanja. Predvsem kadar bi zaradi uporabe teh storitev utrpel škodo. Dokazno breme o naklepu oz. malomarnosti za škodo, nastalo zaradi uporabe nekvalificirane storitve (npr. navadnega e-podpisa), je na strani uporabnika storitve, pri uporabi kvalificirane storitve pa na strani ponudnika te storitve.
Pri kvalificiranem e-podpisu bodo podatki o podpisniku, podpisu in podpisani vsebini integralni del e-podpisanega dokumenta, ki ga bo uporabnik prejel po opravljeni storitvi. Pri navadnem e-podpisu pa bodo omenjeni podatki razpršeni po revizijskih sledeh in drugih sledilnih zapisih – če sploh obstajajo – ponudnika storitve, ki bo z njimi razpolagal skladno s svojimi interesi, ki niso nujno enaki interesom uporabnika. Ne nazadnje je dobro tudi opozoriti, da inšpekcijski organ za e-poslovanje nadzira le ponudnike kvalificiranih storitev zaupanja.
Z naraščanjem obsega spletnega poslovanja naraščajo tudi potrebe po e-podpisovanju na daljavo in po natančnejši ureditvi načina izvajanja te storitve. Predlog novele Uredbe eIDAS, ki je bil objavljen lani junija, določa novo kvalificirano storitev zaupanja upravljanja naprav za ustvarjanje elektronskega podpisa na daljavo. Poleg storitve e-podpisa na daljavo, ki ga v zvezi s storitvami javne uprave zagotavlja Ministrstvo za javno upravo, je v Sloveniji najbolj razširjena storitev naprednega in kvalificiranega e-podpisa na daljavo, ki jo zagotavlja podjetje Rekono.
Naročnik oglasne vsebine je Rekono
