Artykuł

Bezpieczna i wiarygodna identyfikacja elektroniczna

eIDAS 2.0: kiedy możemy spodziewać się pierwszych portfeli tożsamości cyfrowej i kto będzie zobowiązany do ich akceptowania?

Biuletyn prawny dla branży finansowej

eIDAS 2.0, czyli Rozporządzenie Parlamentu Europejskiego I Rady (UE) 2024/1183 z dnia 11 kwietnia 2024 r. w sprawie zmiany rozporządzenia (UE) nr 910/2014 w odniesieniu do ustanowienia europejskich ram tożsamości cyfrowej, wprowadza istotne zmiany na rynku usług zaufania i identyfikacji elektronicznej. Jedną z najistotniejszych jest wprowadzenie Europejskiego Portfela Tożsamości Cyfrowej („EDIW”), który wpłynie na wiele sektorów, w tym finansowy.

eIDAS 2.0 - najważniejsze terminy

eIDAS 2.0 wszedł w życie 28 maja 2024 roku. Moment ten jest istotny dla przyjęcia implementujących standardów technicznych (ITS), które mają w sposób bardziej szczegółowy określić m.in. zasady wdrażania przez strony prywatne Europejskich Portfeli Tożsamości Cyfrowej oraz ich certyfikacji. Ma to nastąpić co do zasady do 21 listopada 2024 roku. Pierwszych portfeli wydanych na podstawie eIDAS 2.0. możemy z kolei spodziewać się w ciągu 24 miesięcy licząc od tej daty, czyli w listopadzie 2026 roku.

Co jednak istotne, podmioty z sektora prywatnego, czyli tzw. prywatne strony ufające w rozumieniu eIDAS, które będą zobowiązane do przyjmowania EDIW, będą musiały akceptować portfele w ciągu 36 miesięcy od dnia wejścia w życie ITS-ów, a zatem od listopada 2027 roku.

Powyższe można w praktyce traktować jako okres dostosowawczy do nowych wymogów, które - w zależności od sektora - mogą wymagać zaimplementowania nowych lub dostosowania istniejących już rozwiązań technologicznych i prawnych, tak, aby zapewnić zgodność z eIDAS 2.0.

Czym jest EDIW?

EDIW jest środkiem identyfikacji elektronicznej wydawanym w ramach notyfikowanego systemu identyfikacji elektronicznej. Oznacza to w uproszczeniu, że dzięki EDIW będzie możliwe jednoznaczne potwierdzenie tożsamości osoby z niego korzystającej. Dodatkowo eIDAS 2.0 doprecyzowuje, że EDIW ma służyć w szczególności do przechowywanie danych dotyczących tożsamości i elektronicznych poświadczeń atrybutów. Warto też zwrócić uwagę, że za pomocą EDIW będzie możliwe selektywne przekazywanie danych, zgodnie z wolą użytkownika portfela. EDIW będzie służył ponadto do korzystania z usług oferowanych zarówno przez podmioty publiczne, jak i prywatne oraz umożliwi generowanie kwalifikowanych podpisów elektronicznych, czy pieczęci elektronicznych, co znacząco wpłynie na rozwój i uproszczenie m.in. zdalnego nawiązywania relacji.

Należy także pamiętać, że EDIW będzie się charakteryzował wysokim poziomem bezpieczeństwa w rozumieniu eIDAS, co oznacza m.in., że jako środek identyfikacji elektronicznej ma chronić przed powielaniem i manipulacją i wykorzystywać co najmniej dwa czynniki uwierzytelniania należące do różnych kategorii (wiedza, posiadanie, cechy).

Każde państwo członkowskie będzie musiało zapewnić co najmniej 1 EDIW.

EDIW a silne uwierzytelnianie klienta w rozumieniu PSD2

EDIW będzie miał także istotne znaczenie dla sektora finansowego, w szczególności w odniesieniu do wymogów jakie dostawcom usług płatniczych stawia PSD21 (choć w niedalekiej przyszłości już PSD3 oraz PSR2) w zakresie silnego uwierzytelniania klienta („SCA”).

Otóż eIDAS 2.0 przewiduje dla niektórych prywatnych stron ufających (czyli takich podmiotów z sektora prywatnego, które polegają na identyfikacji elektronicznej lub usłudze zaufania) obowiązek akceptowania EDIW. Taki obowiązek ma być wprowadzony w sytuacji, w której przepisy prawa nakładają na dany podmiot obowiązek zastosowania silnego uwierzytelniania użytkownika lub obowiązek taki wynika ze zobowiązania umownego (z wyłączeniem mikro i małych przedsiębiorstw). Definicja „silnego uwierzytelniania” w eIDAS 2.0 jest przy tym bardzo zbliżona do tej z PSD2:

SUA – Strong User Authentication w rozumieniu eIDAS 2.0

SCA – Strong Customer Authentication w rozumieniu PSD2

oznacza uwierzytelnienie w oparciu o zastosowanie co najmniej dwóch składników uwierzytelniania należących do różnych kategorii: wiedza, czyli coś, co wie wyłącznie użytkownik, posiadanie, czyli coś, co posiada wyłącznie użytkownik, albo cecha użytkownika, czyli coś, czym jest użytkownik, niezależnych w tym znaczeniu, że naruszenie jednego z nich nie osłabia wiarygodności pozostałych, które to uwierzytelnienie jest zaprojektowane, tak aby zapewniać ochronę poufności danych uwierzytelniających

oznacza uwierzytelnianie w oparciu o zastosowanie co najmniej dwóch elementów należących do kategorii: wiedza (coś, co wie wyłącznie użytkownik), posiadanie (coś, co posiada wyłącznie użytkownik) i cechy klienta (coś, czym jest użytkownik), niezależnych w tym sensie, że naruszenie jednego z nich nie osłabia wiarygodności pozostałych, które to uwierzytelnianie jest zaprojektowane w sposób zapewniający ochronę poufności danych uwierzytelniających


Oznacza to w praktyce, że podmioty takie jak np. banki czy instytucje płatnicze, będą musiały przyjmować EDIW w procesie stosowania SCA, czyli choćby w ramach logowania online do rachunku płatniczego, czy potwierdzania transakcji. Taki proces co do zasady ma ułatwić korzystanie z usług finansowych, niemniej jednak wiąże się też z licznymi wyzwaniami dla sektora finansowego w zakresie choćby zapewnienia zgodności oferowanych rozwiązań z eIDAS 2.0 i jednocześnie z wymogami stawianymi przez PSD2 (PSR) np. w zakresie dynamic linking, czy zasad postępowania z indywidualnymi danymi użytkownika wydawanymi przez dostawcę usług płatniczych.

Należy przy tym także pamiętać, że posiadanie statusu prywatnej strony ufającej może się wiązać z dodatkowymi wymogami, takimi jak dokonanie rejestracji w danym państwie członkowskim, wraz ze wskazaniem danych identyfikacyjnych a także ze wskazaniem celu wykorzystania EDIW i danych jakie będą pozyskiwane z jego wykorzystaniem.

Co jednak istotne, akceptacja EDIW ma następować wyłącznie na wyraźne żądanie tego przez użytkownika. Oznacza to, że opcja skorzystania z EDIW musi być zawsze dostępna dla klienta (np. w procesie zakładania rachunku płatniczego, uruchamiania dla klienta nowej usługi płatniczej, autoryzowania przez klienta transakcji płatniczej), niemniej jednak to on będzie każdorazowo decydował o tym, czy chce skorzystać z takiej metody potwierdzania tożsamości, czy woli pozostać przy metodach dotychczasowych.

eIDAS 2.0 a AML/CFT (przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu)

EDIW może mieć również istotny wpływ na instytucje obowiązane w rozumieniu przepisów o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu. Obecnie finalizują się prace nad przyjęciem na poziomie Unii Europejskiej tzw. pakietu AML3, w tym rozporządzenia AML, gdzie wskazuje się, że rozwiązania wynikające z eIDAS 2.0 mogą wpływać na ograniczanie ryzyka wynikającego ze zdalnego nawiązywania relacji i powinny być akceptowane przez instytucje obowiązane.

Potwierdza to dotychczasowe podejście przewidziane w ramach przepisów AML/CFT, gdzie powszechnie przyjmuje się, że usługi zaufania i środki identyfikacji elektronicznej minimalizują ryzyko związane z np. zawieraniem umowy bez fizycznej obecności klienta.4 (takie podejście jest też co do zasady widoczne w Wytycznych EBA dot. zdalnego nawiązywania relacji , czy stanowisku UKNF5 odnoszącym się do tego samego zagadnienia). EDIW będzie tym samym istotnym narzędziem w procesie stosowania środków bezpieczeństwa finansowego wobec klienta, pozwalającym na zapewnienie odpowiedniego poziomu bezpieczeństwa oraz pewną identyfikację i weryfikację tożsamości klienta. Korzystanie z takich rozwiązań przez instytucje obowiązane wymagać będzie jednak odpowiedniego przygotowania do akceptacji EDIW i dostosowania wewnętrznych procesów i rozwiązań. Konieczne może być także przeprowadzenie weryfikacji i aktualizacji wewnętrznych procedur w zakresie przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, w szczególności procedur odnoszących się do zdalnego onboardingu.
 

1 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 roku w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniająca dyrektywy 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010 oraz uchylająca dyrektywę 2007/64/WE
2 PSR: https://oeil.secure.europarl.europa.eu/oeil/popups/ficheprocedure.do?reference=2023/0210(COD)&l=en
PSD3: https://oeil.secure.europarl.europa.eu/oeil/popups/ficheprocedure.do?reference=2023/0209(COD)&l=en

3 Rozporządzenie: https://oeil.secure.europarl.europa.eu/oeil/popups/ficheprocedure.do?reference=2021/0239(COD)&l=en

Dyrektywa: https://oeil.secure.europarl.europa.eu/oeil/popups/ficheprocedure.do?reference=2021/0250(COD)&l=en

Rozporządzenie AMLA (organ nadzoru): https://oeil.secure.europarl.europa.eu/oeil/popups/ficheprocedure.do?reference=2021/0240(COD)&l=en

4
https://www.eba.europa.eu/publications-and-media/press-releases/eba-publishes-guidelines-remote-customer-onboarding

5
https://www.knf.gov.pl/knf/pl/komponenty/img/Stanowisko_UKNF_dot_prawidlowego_wykorzystania_w_sektorze_finansowym_rozwiazan_w_zakresie_nawiazywania_stosunkow_gospodarczych_bez_fizycznej_obecnosci_klienta_84094.pdf

Czy ta strona była pomocna?