mojeID – bankowy odpowiednik Profilu Zaufanego uwolni e‑usługi od haseł

Krajowa Izba Rozliczeniowa (KIR) przedstawiła oficjalną nazwę ilogotyp masowej usługi uwierzytelniania, znanej do tej pory podroboczą nazwą eID. Teraz nosić ona będzie nazwę ciekawszą ibardziej swojską – mojeID. Ten informatyczny system potwierdzaniatożsamości, który bazuje na loginach i hasłach stosowanych wbankowości, może przynieść w naszym kraju prawdziwy przełom,jeśli chodzi o cyfryzację usług, handlu, a nawet usługpublicznych. Będzie bowiem bankowym odpowiednikiem ProfiluZaufanego, dostępnym jednak dla wszystkich użytkownikówelektronicznej bankowości bez konieczności przechodzenia mozolnychprocedur.

Jak donosi Cashless.pl, Piotr Alicki, prezes KIR, podczas obchodów25-lecia Krajowej Izby Rozliczeniowej, zaprezentował nowe logo inową nazwę tego, co do tej pory było znane jako eID. Zapowiedziałteż, że już niebawem ruszy pilotażowe wdrożenie programu w tychbankach, które są na to gotowe technicznie, pełne komercyjnewdrożenie ma nastąpić w przyszłym roku.

Dzięki mojeID internauci będą mogli logować się zwykorzystaniem potwierdzonej przez bank tożsamości w serwisachwymagających naszych danych podmiotów, takich jak np. firmyubezpieczeniowe, operatorzy telekomunikacyjni, prywatne przychodniezdrowia czy wreszcie sklepy internetowe. Zniknie potrzeba wymyślaniai zapamiętywania nowych loginów i haseł, notorycznie późniejprzez klientów zapominanych wskutek narzuconej odgórnie złożoności.

Co najważniejsze, mojeID działać ma w modelu węzła – wktórym bank jako dostawca tożsamości nie musi podpisywać umów zdostawcami usług dla klientów. Ujawnia im po prostu API, z któregomogą skorzystać dla potwierdzenia tożsamości logującego się donich użytkownika. Logowanie ma przypominać płatności typu pay bylink stosowane dziś w sklepach internetowych – kliknięcieprzenosi na stronę banku, gdzie zachodzi logowanie i potwierdzeniepłatności.

W tym rozwiązaniu zachowano do jakiegoś stopnia prywatnośćklientów. Potwierdzający tożsamość bank nie będzie miałdostępu do informacji na temat czynności, które klient będziewykonywał w zewnętrznych serwisach (choć będzie wiedział, zktórych usług jego klient korzysta). Z kolei dostawca usług nieotrzyma danych logowania czy innych wrażliwych informacji wdyspozycji banku, jednak otrzyma potwierdzenie, że logujący się jestosobą o takim imieniu i nazwisku oraz numerze PESEL.

Czy można by było osiągnąć wyższy poziom anonimowości?Zapewne tak, teoria dowodów z wiedzą zerową jest dobrzezbadaną dziedziną kryptografii, ale co z tego? W rozwiązaniachtego typu, przeznaczonych dla masowego użytkownika, chodzi przedewszystkim o zgodność z systemem prawnym, a nie zapewnienienajwyższej możliwej ochrony prywatności. A tutaj KIR może pochwalić się przejściem audytu, który potwierdził zgodność świadczonych usług z wymaganiami określonymi w unijnym rozporządzeniu eIDAS.