Názory k článku Marek Růžička, Jan Blažek (Bank iD): Až 80 procent lidí se k online státním službám hlásí přes nás

Hádám, že to musel být opravdu velmi vydařený lobbing, dát soukromým firmam do rukou právo autentizovat kohokoli i bez jeho přání. Pokud vím opt in nebyl, mají to všichni, opt out není, lze jen na straně banky, což je naprostá blbost. Opt out by měl být možný pro každého na straně státu.

To, že je banka schopna dát úvěr do minuty, na to už jsme zvyklí, to že přes ní můžeme změnit i trvalé bydliště apod, to už je novinka.

Přesně tak, a navíc u některých bank (např. AirBank) je to implementováno tak, že opt-out možný není. Jen dočasná deaktivace v el. bankovnictví, kde se to zase na jeden klik bez jakéhokoliv potvrzování aktivuje (to alespoň FIO umožňuje deaktivaci v bankovnictví s možností reaktivace pouze na pobočce).

Navíc se přes BankID dá sjednat úplně nová smlouva u jiné banky (např. zřízení KB+) bez nutnosti cokoliv dalšího, identifikujícího oprávněnost žadatele, poskytnout.

Na straně státu nejde nejen zablokovat, ale třeba do mobilního klíče e-governmentu nechodí informace o aktivaci/deaktivaci prostředku bankovní identity, takže člověk s deaktivovanou bankovní identitou ani nezjistí, že se něco děje. Spojte to s přihlašováním do datových schránek přes BankID a důsledky člověk ani nechce domýšlet...

Jde o různé prostředky, ale oba umožní z hlediska systémů státní správy poskytnou stejnou úroveň důvěry při přihlášení. Bank ID navíc umí i komerční funkce. Šlo mi o to, že na https://www.identitaobcana.cz/Cul je sice záznam akcí, ale mobilní klíč na telefonu poskytuje notifikace při přihlášení skrze něj (a jeho instance na různých zařízeních) a notifikace k DS, ale o aktivaci/deaktivaci jiného prostředku, tedy třeba té bankovní identity vůči státní správě ("Změna stavu prostředku" na identitě občana) nenotifikuje.

Problém je, že BankID má u většiny bank stejnou "Úroveň důvěry" jako ten mobilní klíč nebo el. občanka - Značná / "Substantial", a na identitě občana nejdou zakázat ani vypnout. Takže musíte věřit bankám, že někdo z jejich vnitřních systémů nezneužije Vaši identitu vůči státu.

Snad jsem to osvětlil.

Souhlasím, je fajn, když stát nedělá věci, které dělat nemusí. Jenže stát stejně vlastní prostředky e-identity vyvíjí, takže nic neušetřil.
Navíc je otázka, zda by stát k tomu měl vůbec soukromé subjekty pouštět. Jsou věci, za které by stát měl ručit občanům sám a sám za ně zodpovídat. Myslím, že přístup do databází které stát o občanech vede, by k tomu měl patřit.

S tím se nedá než souhlasit, ale budou ty soukromé subjekty zodpovídat za případné škody? A proč konkrétní subjekty neumožní plný opt-out, když jejich službu nechci využívat?

O kvalitě implementace zabezpečení přihlašovacích informací jsem si přestal dělat iluze od převodu klientů z Wustenrot do MMB a posláním již změněných hesel v cleratextu poštou.

Škoda že jste se v rozhovoru vůbec nevěnovali ochraně soukromí.

Řeší nějak aby se nepředávaly osobní údaje tam kde to není potřeba? Dá se předat jen informace že jsem 18+ tak abych si mohl koupit alkohol i bez toho aby obchod věděl kdo jsem? Proč jsou v podmínkách nesmysly jako že mobil a počítač nemůžu používat k ničemu jinému než tomu přihlašování?

Nebo je to navržené klasicky bezohledně plnou parou k digitální totalitě?

EU si dělá co chce, české komerční subjekty si dělají co chtějí. Potud je vše v pořádku a mějme si identit třeba 50.
Bohužel je tu i český stát, v roli rádobyužitečného i*d*i*ota. Úkolem státu by mělo být, poskytnout občanům bezpečí a neplýtvat přitom jejich penězi. Takže by neměl pokud možno dát nikomu cizímu právo identifikovat jeho občany a neměl by plýtvat (svými = našimi) penězi na různá řešení stejné věci, ale vybrat jedno. A zde je tedy zjevně naopak víceméně všechno špatně.

Ano ví, píšu to v tom příspěvku. Na "Identitě občana" je to v záznamu činností na zmiňovaném https://www.identitaobcana.cz/Cul . Jsou tam jednak záznamy typu "Odeslání notifikace" které informují o přihlašování, info o push notifikaci na mobilní klíč eGovernmentu, a jednak "Změna stavu prostředku", která se zaznamená v okamžiku aktivace/deaktivace bankovní identity v elektronickém bankovnictví. Ale můžete mít oba pravdu v tom, že nějaké legislativní/technic­ké omezení brání odesílání notifikací do aplikace na mobilním zařízení pro přihlášení prostředky 3. stran.

Příklady:
Typ záznamu Změna stavu prostředku
Datum a čas DD.MM.2023 HH:MM:SS
Název poskytovatele ověření Air Bank
Úroveň důvěry Substantial
Stav Neaktivní
Textový popis Aktualizace stavu identifikátoru prostředku pro elektronickou identifikaci

Typ záznamu Odeslání notifikace
Datum a čas DD.MM.2023 HH:MM:SS
Typ zprávy Notifikace na mobilní zařízení
Odesílatel Národní bod IČO 17651921
Úvod zprávy Dne DD.MM.2023 v HH:MM jsme zaznamenali Vaše přihl...
Stav odeslání Odesláno

Tím, že stát umožnil tu identifikaci dělat soukromým subjektům, právě neplýtvá veřejnými penězi, protože náklady nesou ty soukromé subjekty. Za mne je fajn, když stát nedělá věci, které dělat nemusí a může je místo něj dělat soukromý sektor.

Zajímavé, díky. Ta mobilní aplikace by se o přihlášeních jinými prostředky neměla dozvědět. To, že se ve výpisu v NIA zobrazují akce jednoho z identitních systémů je podle mne špatně – NIA má být jenom zprostředkovatel a má být vůči všem poskytovatelům identity neutrální.

Pavle, dobrý den. Jak to myslíte s tím mobilním klíčem eGOV a BankID? Myslel jsem, že to jsou různé identitní prostředky od různých vydavatelů a není mezi nimi žádná vazba... Nebo? Díky.

Nějak jsem se ztratil, jak mluví o e-dokladech a evropské peněžence. To jako budou dvě aplikace v mobilu a bubu muset řešit, co mám kterou dělat? To doufá, že ne. Pokud má být technický standard napříč EU, tak proč řešíme lokální českou appku?

Jeden identitní prostředek samozřejmě nemůže notifikovat o ničem, co dělá jiný identitní prostředek. To je jako kdybyste chtěl, aby vás Vodefone notifikoval o tom, co se děje s vaším telefonním číslem u T-Mobile.

Vi vubec stat o aktivaci/deaktivaci Bank ID nebo treba MojeID nebo jineho prostredku, ktery primo nespada pod nej?
Ja jsem mel za to, ze o tom nikterak informovan neni, dokud nedojde k pouziti.

Realitě neodpovídá ani to dívat se na stát jako na jednu entitu. Takže i když nějaká složka státu vystaví jeden identitní prostředek, neznamená to, že o tom vědí jiné složky státu. Navíc identitu mohou poskytovat subjekty z celé EU. Ale myslím, že žádná složka státu neví o zřízení nestátního prostředku ani v rámci ČR. Poskytovatel identity v ČR potřebuje mít danou osobu ztotožněnou se základními registry, ale nevidím důvod, proč začátek poskytování služby pro konkrétní osobu někam hlásil.

Ano, Mobilní klíč e-governmentu je chyba a doufám, že brzy zanikne.

Diky, to neznam, ja se snazim statu spise vyhybat a zadnych nepovinnych akci se neucastnit, takze na identituobcana se nepodivam. Se priznam, ze tohle jsem netusil a byl jsem si temer jist, ze to takhle nefunguje. Budu si muset doplnit mezery ve vzdelani.

Identifikaci klidne muzou delat soukrome subjekty, ale opravnit prislusne soukrome subjekty by k tomu mel identifikovany. Stat ma zakladni registry, tak by stacilo, aby v nich byl zaznam, kteri poskytovatele identity jsou opravneni identifikovat konkretni osobu. Samozrejme zmenu tohoto by clovek musel udelat na Czechopintu, kam ale u jinych poskytovatelu identity nez BankID stejne musi zajit kvuli ztotozneni.