1
2021Mobile ID – Elektronski identitet današnjice
Autor: Saša Šćekić, potpredsjednik Komiteta za digitalnu transformaciju
Verifikovani elektronski identitet, koji je dostupan svim građanima, danas je postao neophodan kako bi omogućili puni potencijal digitalne ekonomije. Upravo sa ovim ciljem su u protekle dvije decenije obavljane i koordinirane značajne aktivnosti.
EU je 2014. usvojila eIDAS regulativu (Elektronska Identifikacija i usluge povjerenja) kako bi utvrdila temelje i zajednički pravni okvir koji omogućava da građani, kompanije i javna administracija na bezbjedan način pristupaju digitalnim servisima i obavljaju online transakcije, kako u matičnoj zemlji tako i u inostranstvu.
Implementacija eIDAS-a donosi eID, elektronski identitet zasnovan na nacionalnim šemama za elektronsku identifikaciju, koji se može koristiti za pristup uslugama eUprave, kao podrška u Know-Your-Client procesu identifikacije (KYC) prilikom otvaranja bankovnih računa, za izdavanje eSIM kartica klijentima, upis na strani univerzitet i slično.
Jednako važno, eIDAS definiše Usluge poverenja (eng. Trust Services) – prije svega elektronski potpis, elektronski pečat, vremenski žig i elektronsku dostavu – koji omogućavaju pravnu valjanost ugovora i drugih dokumenata koji se razmjenjuju online, tj. da njihova elektronska forma ima jednak pravni status kao i tradicionalno potpisana i razmijenjena papirna dokumenta.
Nakon usvajanja eIDAS-a, zemlje EU, kao i one koje teže da postanu članice, usredsredile su se na usklađivanje svojih pravnih okvira sa ovom uredbom i izgradnju nacionalnih platformi nazvanih: eID šeme (eng. eID scheme). Ove šeme su zapravo IT sistemi koji omogućavaju elektronsku identifikaciju i usluge povjerenja. Iz perspektive građanina/korisnika, riječ je o sredstvima eID (eng. eID means) koja im omogućavaju pristup sistemima, da se elektronski identifikaciju i potpisuju dokumenta. To mogu biti materijalna sredstva, poput lične karte sa ugrađenim mikročipom, ili nematerijalna, poput posebnog softvera za mobilni telefon, biometrijski podaci i slično.
Njemačka je bila prva zemlja koja je implementirala eID i Usluge povjerenja koje su usklađene sa eIDAS regulativom i zasnovane na ličnoj karti. Zatim su to učinile i mnoge druge članice EU: Estonija, Belgija, Hrvatska, Slovačka, Italija, Španija, Portugal…
Lične karte su bile logičan prvi izbor, s obzirom na dugu istoriju njihovog izdavanja, a samim tim i veliku dostupnost među stanovništvom. Mogućnosti elektronske identifikacije i elektronskog potpisa implementirane su ugrađivanjem mikročipa u plastiku lične karte i čuvanjem odgovarajućih podataka na njemu. Da bi dobio ličnu kartu, građanin prolazi uobičajeni postupak potvrde identiteta tokom neposredne provjere nadležnog organa – na primjer, na šalteru Ministarstva unutrašnjih poslova (MUP).
Funkcionisanje ovog servisa je, možda, najbolje pojasniti povlačenjem paralele sa korišćenjem platnih kartica. Kada kupac izvrši plaćanje, prvo svoju karticu ubacuje u POS uređaj ili je približava POS terminalu u cilju beskontaktnog plaćanja – a zatim, kao drugi korak, unosi PIN za verifikaciju tog plaćanja. Slično se koristi i lična karta. Kada osoba želi da se identifikuje online, ili da elektronski potpiše dokument, prvi korak je pokretanje odgovarajuće aplikacije, zatim insertovanje lične karte u čitač pametnih kartica i na kraju unos svog PIN-a korišćenjem računara – i to je to. Ovo, naravno, samo daje opštu predstavu o korisničkom iskustvu, bez ulaska u složenu komunikaciju koja se, ustvari, odvija u pozadini.
Najveći nedostatak ovog pristupa leži u činjenici da osoba treba da ima pristup čitaču pametnih kartica i kompjuteru sa odgovarajućim operativnim sistemom i pratećim softverom. Ovo često nije jednostavno podesiti, a korisnik mora nositi sve ove elemente sa sobom, kako bi mogao da se identifikuje i digitalno potpiše dokument dok je u pokretu.
Uvođenje beskontaktnog čipa na ličnu kartu učinilo je čitav proces udobnijim, s obzirom na to da danas gotovo svi pametni telefoni mogu čitati beskontaktne kartice. Čak je i Apple otvorio svoj tipično zatvoreni ekosistem i omogućio upotrebu NFC-a u ove svrhe (od iOS-a 13). Građanin može koristiti ovo rješenje da potvrdi svoj elektronski identitet tako što će mobilnim telefonom očitati podatke sa beskontaktne lične karte, a zatim unijeti PIN kod u mobilnu aplikaciju.
Uvođenjem beskontaktnih ličnih karti, sveukupno korisničko iskustvo je postalo bolje – i sve to je doprinijelo širem prihvatanju ovog servisa. Ipak, to iskustvo nije u ravni s očekivanjima koje danas imaju mobilni korisnici.
Mobile ID osvaja scenu
Šeme identifikacije koja se zasnovane na mobilnim uređajima ili Mobile ID stvorene su kao odgovor na nedostatke pristupa sa ličnom kartom, kako bi se obezbijedilo mnogo brže usvajanje u državnoj administraciji i kompletnom privatnom sektoru. Pored veće udobnosti u korišćenju, sistemi zasnovani na mobilnim uređajima takođe mogu pružiti veću sigurnost – korišćenjem biometrijskih i kriptografskih modula (npr. zaštićeni element i pouzdano izvršno okruženje na mobilnom uređaju). Ovo rješenje donosi i bržu isporuku većem procentu populacije, posebno kada se razmatra logistika izdavanja nove lične karte u odnosu na dobijanje SIM kartice, ili čak bez potrebe za nabavkom bilo čega novog.
Elektronski potpisi na telefonu – su jedna od uobičajenih implementacija Mobile ID. Često je nazvan i implementacija na strani klijenta. Ovaj pristup podrazumjeva korišćenje posebne SIM kartice, na kojoj se skladište podaci neophodni za kreiranje potpisa, dok se mobilni telefon koristi za unos PIN-a koji omogućava da se sprovede proces potvrde identiteta korisnika ili kreiranja potpisa. SIM kartica u ovom slučaju ima istu funkciju kao mikročip na ličnoj karti, dok mobilni telefon deluje kao čitač pametnih kartica – time što očitava podatake sa SIM kartice. Neke od zemalja koje su primijenile ovaj model su Švedska, Finska, Estonija i Moldavija.
Studija Moldova Mobile ID Case Study from 2018 detaljno opisuje projekat kojim je Moldavija implementirala model elektronskih potpisa na telefonu, kroz javno-privatno partnerstvo sa mobilnim operaterima. U ovom modelu, Vlada je obezbijedila osnovu eID sistema – infrastrukturu javnih ključeva (PKI) za izdavanje elektronskog identiteta i kvalifikovanih elektronskih potpisa, kao i servis za validaciju potpisa – dok su mobilni operateri obezbijediili postupak registracije korisnika, izdavanja SIM kartica sa podrškom za PKI (eng. PKI-Enabled SIM) i razmjenu potrebnih podataka preko svojih mobilnih mreža. Projekat je trajao 18 meseci, od čega je implementacija tehničkog rešenja završena u roku od pola godine. Svaki od tri uključena mobilna operatera imao je trošak od približno 400 hiljada eura, dok je državna investicija iznosila oko 30 hiljada. Rešenje nije besplatno za građane, jer mobilni operateri naplaćuju naknadu za korišćenje servisa i dio prihoda prenose Vladi, u okviru sporazuma o dijeljenju prihoda.
Potpisivanje na daljinu – je drugi inovativan i još manje ograničavajući model za Mobile ID. Često je nazvan i implementacija na strani servera. U ovom slučaju se kriptovani podaci korisnika čuvaju na udaljenoj lokaciji, a autentikacija se obavlja putem udaljenog hardverskog sigurnosnog modula (HSM). Ovo znači da se može koristiti bilo koji mobilni telefon i SIM kartica, sve dok je podržano slanje i primanje SMS-a. Iz perspektive korisničkog iskustva – pristup je sličan rješenjima koja koriste banke za prijavu na e-bankarstvo, gde nakon unosa broja telefona (kao korisnički ID) i lozinke korisnik dobija SMS sa jednokratnom lozinkom, koja se u ovom slučaju, zapravo, naziva TAN. Unosom primljenog TAN-a pokreće se kreiranje elektronskog potpisa na osnovu sertifikata i podataka potrebnih za kreiranje potpisa koji se čuvaju na udaljenom serveru.
Više informacija o tome kako je ovaj model primijenila Vlada Austrije, može se naći u izveštaju ITU’s 2017 report on Mobile identification: implementation, challenges and opportunities. U ključne faktore uspjeha ovog modela, navodi se da nije potreban nikakav dodatni hardver, te da sistem radi nezavisno od dobavljača mobilnih telefona i mobilne mreže. S obzirom da je rješenje zasnovano na logici koja se nalazi na serveru, nije potrebna promjena SIM kartice, servis se brže aktivira za građane i uz sve to je za njih besplatan. Na kraju je konstatovano i da je model implementiran uz niske troškove razvoja.
Postoji više eID implementacija, baziranih na upotrebi mobilnih uređaja – a za detalje o ovome preporučujem izvještaj ENISAs report on eIDAS compliant eID solutions from March, 2020.
Mobile ID za digitalnu Crnu Goru
I gdje se nalazi Crna Gora u sveukupnoj eID šemi?
U proteklih nekoliko godina napravljeni su značajni rezultati u usaglašanju crnogorskog pravnog okvira sa eIDAS regulativom.
Zakon o elektronskoj identifikaciji i elektronskom potpisu, sa svojim podzakonskim aktima reguliše uslove korišćenja elektronskog potpisa, elektronskih pečata, elektronskih vremenskih žigova i usluga elektronske dostave. Definisana je eID šema, kao i uslovi za priznavanje sredstava elektronske identifikacije drugih zemalja. MUP je ovlašćen, u skladu sa izmenama Zakona o ličnoj karti, da u okviru lične karte dodaje dva sertifikata – jedan za elektronsku identifikaciju, a drugi za kvalifikovani elektronski potpis. Može se konstatovati da je uspostavljen osnovni regulatorni okvir za implementaciju eID i Usluga povjerenja, koje su usklađene sa eIDAS-om.
Odredbama Zakona o elektronskoj upravi uređeno je kako državni organi, državna uprava i drugi vladini organi komuniciraju elektronskim putem sa građanima i kompanijama, te kako obrađuju, razmjenjuju i objavljuju podatke. Regulisano je uspostavljanje registara podataka i integracija sa portalom eUprave, kao i da sve to bude u skladu sa propisima koji se odnose na eID i Usluge povjerenja. Na ovaj način je kreirana zdrava osnova za razvoj javnih digitalnih servisa u Crnoj Gori.
Iako trenutni pravni okvir pruža snažnu podršku digitalizaciji privatnog sektora, potrebna su dodatna unapređenja, posebno u zakonima koji se primenjuju na regulisane oblasti. Kvalifikovani elektronski potpis je definisan kao pravno ekvivalentan svojeručnom potpisu – što bi trebalo da osigura validnost bilo kog dokumenta potpisanog online. Ovo je posebno važno za online prodaju i ugovaranje. Sa druge strane, u procesima kreditiranja bankarstvo se upravlja prema Zakonu o potrošačkim kreditima, a on zahtijeva pisani ugovor o kreditu. Proces otvaranja računa se, takođe, obavlja neposredno – licem u lice, zbog odredbi Zakona o sprečavanju pranja novca i finansiranja terorizma. Usklađivanjem ovog Zakona sa Petom direktivom EU za sprečavanje pranja novca uvodi se mogućnost sigurne udaljene, ili elektronske identifikacije klijenata, koja je inače razrađena u crnogorskom Zakonu o elektronskoj identifikaciji i elektronskom potpisu. Slično tome, Telco industrija se upravlja prema Zakonu o elektronskim komunikacijama, koji takođe zahtijeva pisana dokumenta. Ovi zakoni se ne odnose na eID i Usluge povjerenja na način na koji to čini Zakon o elektronskoj upravi. Suprotstavljene odredbe, u kombinaciji sa nedostatkom sudske prakse rezultiraju pravnom nesigurnošću, koja dalje dovodi u pitanje razvoj opisanih online servisa.
Na pravni okvir se naslanjaju neophodna infrastruktura i tehnologije koje omogućavaju implementaciju eID i Usluga povjerenja u Crnoj Gori. Vlada se odlučila za eID šemu zasnovanu na ličnoj karti, koju podržava infrastruktura javnih ključeva (PKI), kao i drugi sistemi neophodni za proizvodnju i personalizaciju ličnih karata koje sadrže informacije o elektronskom identitetu i potpisu. Sistem je pušten u rad 2019. godine, dok je prva nova lična karta izdata u junu 2020. U okviru MUP-a je uspostavljeno sertifikaciono tijelo pod nazivom TrustMEkoje je odgovorno za izdavanje i funkcionisanje sertifikata koji se čuvaju na novim ličnim kartama. Važno je napomenuti da se sertifikati izdaju besplatno građanima.
Iako model sa ličnom kartom koji je Crna Gora implementirala slijedi primjer mnogih zemalja EU, ipak je promakla jedna od ključnih naučenih lekcija: korisnici preferiraju rješenja bazirana na mobilnim telefonima, a ako je već izbor da se koristi lična karta, onda ne treba insistirati na korišćenju čitača pametnih kartica, već osigurati da ta lična karta radi u kombinaciji sa mobilnim telefonom. Evropska komisija je u svom izvještaju to opisala: „Svijet postaje mobilan, a kao odgovor na to vlade su počele da istražuju mobilni digitalni identitet i strategije orijentisane ka mobilnim tehnologijama. eID rješenja moraju od starta biti koncipirana tako da rade jednako dobro na mobilnim uređajima kao i na personalnim računarima, a ne da se naknadno prilagođavaju za mobilnu upotrebu“ (Embracing Mobile Identity for eGovernment, May 2020). Isti izveštaj, takođe, ukazuje na Uredbu EU 2019/1157 koja nalaže upotrebu beskontaktne tehnologije, te da su od avgusta 2021. godine države članice EU u obavezi da počnu sa izdavanjem novih ličnih dokumenata u skladu sa ovom uredbom. Ovo je važna informacija i za zemlje koje teže da postanu članice EU – poput Crne Gore.
Da bi mogao koristiti crnogorsku ličnu kartu za elektronsku identifikaciju i potpisivanje, građanin mora imati instaliran čitač pametnih kartica i personalni računar sa Windows operativnim sistemom i odgovarajućim softverom. Da bi se kartica mogla koristiti, prvo ju je potrebno aktivirati – što, iako nije visoko kompleksan proces, jeste dovoljno složen da obeshrabri prosječnog građanina. To je možda najbolje ilustrovalo Fonda za zdravstveno osiguranje Crne Gore, na svojoj web stranici, gdje objašnjava kako pruža uslugu aktiviranja nove lične karte, da bi se mogla koristiti kao zdravstvena kartica: „Ovo je postupak gdje se mnogi, posebno stariji građani ne bi snašli, a osim toga ovo zahtijeva i posjedovanje potrebnog uređaja (CardReader), što bi za njih bio dodatni trošak”.
Vlada se potrudila da u okviru za to namijenjenog web sajta ca.servis.mup.gov.me (poddomen bi mogao biti jednostavniji za pamćenje), obezbijedi korisnička uputstva i druge relevatne informacije o novoj ličnoj karti. Međutim, to ne mijenja činjenicu da predviđena upotreba – sa računarima, čitačima pametnih kartica i softverom koje je potrebno konfigurisati – može biti opterećujuća i odbojna za prosječnog građanina.
Veoma dobra vijest je da lična karta koja se trenutno izdaje građanima ima beskontaktne mogućnosti i da bi razvojem mobilnih aplikacija ova funkcija mogla postati dostupna građanima Crne Gore – kako je potvrđeno u komunikaciji sa MUP-om. Postoji snažan argument za Vladu da pokrene ovaj razvoj i da mu da visok priortet. Uspjeh pristupa sa ličnom kartom je u direktnoj korelaciji sa lakoćom korišćenja i pristupačnošću servisa. Statistika jasno ukazuje sa su mobilni telefoni veoma dostupni u Crnoj Gori. Ovo je zemlja sa jednom od najvećih penetracija korisnika mobilne telefonije u Evropi – 174%, prema MONSTAT-ovom izvještaju ICT usage in Montenegro in 2020. Isti izvještaj ukazuje na to da iz godine u godinu postoji značajan rast upotrebe mobilnih uređaja kao primarnih platformi za pristup Internetu – sa 10,5% rasta zabilježenog između 2019. i 2020. Tokom prošle godine 96,9% domaćinstava pristupilo je Internetu putem mobilnog telefona, dok je 34,8% koristilo samo personalni računar. Jednostavno, u Crnoj Gori postoji snažna usredsređenost na mobilne tehnologije i jasno da će korisničko iskustvo sa mobilnim telefonom i mobilnom aplikacijom biti bolje prihvaćeno u odnosu na iskustvo sa računarom, čitačem pametnih kartica i posebnim softverom.
Crna Gora bi, takođe, trebalo da slijedi njemački primjer i da aktivira lične karte u trenutku izdavanja građanima. Da bi podstakla onlajn korišćenje lične karte, Njemačka je propisala da se od juna 2017. svaka nova lična karta izdaje sa aktiviranom funkcijom elektronske identitifikacije. Ovo je obezbedilo značajan porast aktivacije sa manje od jedne trećine na 50% za samo godinu i po dana od uvođenja ove odluke (podaci iz izveštaja Thales grupe iz 2020, Overview of the German identity card project and lessons learned).
Ipak, Vlada bi trebalo da uzme u obzir jasan trend prelaska na identifikacione servise bazirane na mobilnim tehnologijama i da razmotri implementaciju ovih tehnologija. Pomenuti austrijski model sa implementacijom na strani servera bi se mogao pokazati kao dobro rješenje. Sa svojim nultim zahtjevima ka klijentu (bilo koji telefon i SIM kartica su dovoljni) i lakoćom upotrebe (slično prijavljivanju na e-bankarstvo), moglo bi se zaključiti da ima potencijal da ga brzo usvoji šira populacija. A, ako se ovaj model ne uklapa, s obzirom na trenutno postavljenu nacionalnu infrastrukturu i potencijalnu složenost i troškove potrebnih prilagođavanja, onda bi se mogla razmotriti i implementacija na strani klijenta sa PKI-enabled SIM karticama. U ovom slučaju građani bi trebalo da zamijene svoje SIM kartice, ali to ne bio problem, uzimajući u obzir jaku mrežu filijala svih mobilnih operatera u zemlji. U ovom slučaju, crnogorska Vlada bi mogla da po primjeru Moldavije realizuje ovaj projekat u javno-privatnom partnerstvu sa telekomunikacionim kompanijama. Ovaj pristup bi mogao pomoći u umanjenju određenih troškova i upravljanju izazovima koji proizilaze iz složene infrastrukture. To bi, svakako, trebalo da bude partnerstvo sa sva tri mobilna operatera u zemlji – uzimajući u obzir da imaju približno po trećinu tržišnog udjela (34,89%, 33,56% i 31,55% prema Agenciji za elektronske komunikacije i poštansku djelatnost, Informacija o stanju tržišta elektronskih komunikacija za decembar 2020. godini). Na ovaj način Mobile ID servisi bi bili dostupni svim građanima, bez obzira na to kojeg provajdera mobilne telefonije koriste.
Pored uključivanja građana, podjednako je važno da se u ekosistem eID i Usluga povjerenja integririše i crnogorski privatni sektor. Kompanije imaju snažan interes da u okviru svojih online rešenja omoguće klijentima da koriste servise elektronske identifikacije i potpisivanje ugovora kvalifikovanim elektronskim potpisom. Ovo otvara širok spektar mogućnosti za online prodaju i rezultirajuće nove izvore prihoda – od banaka do telekomunikacionih kompanija, osiguravajućih društava i drugih koji žele da akviziraju nove kupce i prodaju svoje proizvode i usluge online. Interes privatnog sektora da se integriše raste sa brojem građana koji su uključeni u nacionalni eID sistem.
Međutim, da bi omogućila ovu integraciju, Vlada bi prvo trebalo da izloži infrastrukturu svog eID sistema i obezbijedi instrukcije za programere. To znači, da se obezbijede potrebni API (integracioni interfejsi), bezbjedno okruženje za testiranje i tehnička uputstva – kako bi nezavisni proizvođači mogli da ugrade u svoje proizvode eID funkcionalnosti (ubuduće, nadamo se, i Mobile ID). Da bi ispunila ovaj izazovni zadatak, Vlada bi mogla ponovo da se obrati privatnom sektoru i da crnogorske kompanije koje se bave razvojem softvera isporuče neophodne softverske pakete i dokumentaciju, ili se čak uspostave kao pružaoci usluge koji obezbjeđuju softver kao servis (eng. Software-as-a-Service) za potvrdu identiteta, potpisivanje i validaciju u okvirima nacionalne eID šeme.
Da sumiram, Vlada bi trebalo da se fokusira na dalja unapređenja pravnog okvira, omogućavanje beskontaktne funkcionalnosti lične karte i njenu aktivaciju u trenutku izdavanja građanima, uvođenje Mobile ID-a i omogućavanje integracije privatnog sektora. Ovi napori bi osigurali da implementacija nacionalnog eID i Usluga povjerenja dostigne svoj puni potencijal u Crnoj Gori i da društvo bez papira postane više od fraze – obećanje naše nove stvarnosti.
Fotografije, izvor:
https://paytechlaw.com/en/eidas-and-amld5-a-perfect-match/
https://www.pymnts.com/mobile/2018/id-verification-mobile-trulioo-banking-data-mno/