INTERVJU: TOMISLAV BOŠNJAKOVIĆ

Nova pravila o digitalnom identitetu: 'Svaki građanin EU-a dobit će besplatan digitalni sef'

25.05.2024 u 14:34

Bionic
Reading

Pravila o uspostavi europskog digitalnog identiteta (eIDAS 2.0) stupila su na snagu u ponedjeljak, izvijestili su iz Europske unije. Time će se omogućiti da svi građani i stanovnici EU-a 2026. imaju koristi od osobnog europskog novčanika za digitalni identitet. Taj novčanik, koji izdaju sve države članice EU-a u obliku mobilne aplikacije, omogućit će potpunu sigurnost identifikacije na internetu za javne i privatne internetske usluge diljem Europe. Što nam sve donosi nova regulativa, doznali smo u razgovoru s Tomislavom Bošnjakovićem, suosnivačem i COO-om tvrtke Identyum

Prije više od četiri godine lansirali ste ID Wallet, digitalni novčanik za pohranu osobnih identitetskih podataka. Laiku će to zazvučati zanimljivo, ali nepoznato, pa o čemu se točno radi i kako ID Wallet funkcionira? Čime jamčite da je doista riječ o zaštićenom prostoru za pohranu osobnih podataka?

Naš Identyum ID Wallet zapravo je snažno zaštićen prostor u cloudu za pohranu identitetskih podataka, u koji građani mogu spremiti podatke iz svog identifikacijskog dokumenta i certifikat za elektroničko potpisivanje dokumenata. Uz to, u ID Wallet je moguće pohraniti razne druge dokumente i atestacije koje korisnik može koristiti na raznim online servisima kako bi brže dobio neku uslugu na daljinu.

ID Wallet je zaštićen snažnim autentifikacijskim faktorima, temeljenima na biometriji lica, što osigurava da podaci budu maksimalno sigurni i otporni na bilo kakve phishing ili druge hakerske napade. Osim biometrije, višefaktorska autentifikacija, bazirana na snažnim algoritmima enkripcije, štiti sve podatke pohranjene u ID Walletu. Zato spremljenim osobnim podacima nitko ne može pristupiti, čak ni Identyum.

Identyum ID Wallet možete zamisliti kao sef kojem samo vlasnik ima pristup. Svaki put kad netko traži privolu za pristup njegovim osobnim podacima, građanin mora unijeti PIN da se podaci dekriptiraju. Kada građanin da privolu i unese svoj PIN, podaci za čiju je razmjenu dao privolu dekriptiraju se, šalju i ponovo enkriptiraju. Građanin uvijek odlučuje s kim će podijeliti svoje identitetske podatke iz ID Walleta, odnosno ima isključivu kontrolu i uvid u to s kim je i koje podatke podijelio.

Od 30. travnja na snazi je nova uredba eIDAS 2.0. Pravila o uspostavi europskog digitalnog identiteta stupila su na snagu u ponedjeljak. Što nam donosi nadogradnja ovog zakonodavnog okvira, i građanima i tvrtkama?

Novi eIDAS 2.0 predstavlja poboljšanu inačicu postojeće uredbe eIDASe. Ovaj okvir se dugo i pažljivo pripremao i konačno je prihvaćen u Europskom parlamentu. U odnosu na prethodni eIDAS, donosi mnogo promjena i uvodi potpuno nove pojmove, poput digitalnog ID Walleta, koji će države članice EU-a morati besplatno omogućiti na korištenje svojim građanima.

Pojedine institucije, poput banaka, morat će omogućiti korištenje ID Walleta, odobrenih u državama članicama EU-a, na svojim digitalnim kanalima. To posebno vrijedi za velike platforme poput Googlea, Facebooka ili Amazona, a koje će morati uz postojeće metode autentifikacije omogućiti da koristite svoj ID Wallet kako biste se prijavili na svoj račun na tim platformama. Ovo predstavlja veliku promjenu paradigme u odnosu na dosadašnju praksu te će građani na neki način koristiti svoj ID Wallet kao univerzalni autentifikator i alat za identifikaciju, digitalno potpisivanje, pohranu i razmjenu različitih dokumenata, poput diploma, uvjerenja, medicinskih podataka i slično.

Hoće li eIDAS 2.0 povećati ili smanjiti sigurnost korisnika na internetu? Konkretno, neke udruge već su se žalile na članak 45. Kako to komentirate?

Cilj koji ima eIDAS 2.0 prvenstveno je omogućiti brži razvoj digitalnog društva i interoperabilnost između država članica. Naravno da se pritom vodilo računa o sigurnosti i zaštiti osobnih podataka, ali i interesima Europske unije i njenih građana naspram velikih tehnoloških divova, čija su sjedišta u svim slučajevima izvan Europske unije te podložna političkim i drugim utjecajima u matičnim zemljama.

Stoga s jedne strane imamo opravdanu zabrinutost Europske unije za sigurnost građana i podataka na internetu, a s druge strane tehnološke dobavljače koji imaju odgovornost omogućiti sigurnu razmjenu podataka preko interneta, ali su zabrinuti da im se pritom oduzima kontrola te da više ne mogu garantirati za sigurnost svoje usluge. Stoga mogu razumjeti stavove obje strane i njihove valjane argumente. Vjerujem da će se u narednom razdoblju operativne provedbe regulative eIDAS 2.0 pronaći rješenje koje će pomiriti interese svih zainteresiranih strana.

Kad smo kod zaštite građana, je li se što mijenjalo po tom pitanju, osim GDPR-a? Kako zaštititi privatnost i osobne i osjetljive podatke; je li to uopće (u potpunosti) moguće?

Potpuna zaštita ne postoji, ali kao društvo trebamo težiti podizanju svijesti građana o opasnostima u digitalnom svijetu. Kad spominjemo zaštitu privatnosti osobnih podataka, prva asocijacija su mjere tehničke zaštite, nakon toga regulatorne mjere poput spomenutog GDPR-a, a tek na zadnjem mjestu svijest je građana o opasnostima i ispravnom ponašanju. Najčešći slučajevi zloupotrebe osobnih podataka događaju se upravo zbog neinformiranosti građana koji olako dijele osobne podatke ili čak vjerodajnice za pristup povjerljivim informacijama. Socijalni inženjering je najveća prijetnja i tu mjere tehničke zaštite mogu pomoći do određene granice, ali ne sasvim.

GDPR je vrlo dobar pravni okvir, ali dosadašnja praksa pokazuje da provedba bez kvalitetnih specijaliziranih tehnoloških rješenja iziskuje jako puno resursa te da građani ne mogu biti sigurni da se s njihovim osobnim podacima doista postupa sukladno zakonu.

Je li Hrvatska prigrlila elektroničke potpise i elektronički identitet?

Nažalost, upotreba elektroničkog identiteta i potpisa u svakodnevnom životu još je uvijek daleko od razine na kojoj bi mogla biti čak i s postojećom infrastrukturom. Iako nismo na začelju među državama članicama EU-a, u usporedbi s npr. skandinavskim zemljama dosta zaostajemo. Razloge možemo tražiti u zakonima RH koji su u nekim stvarima zastarjeli, nedorečeni, pa čak i međusobno konfliktni kad je u pitanju upotreba digitalnih potpisa u svakodnevnom životu.

U kombinaciji s nedostatkom sudske prakse u sporovima vezanim uz digitalni potpis, to dovodi do nerazumijevanja i straha od prihvaćanja digitalno potpisanih dokumenata institucija, kako javnih, tako i privatnih. Na to treba dodati i dosadašnje iskustvo korisnika s kompliciranim procesom ishođenja digitalnog potpisnog certifikata i njegove upotrebe te u konačnici ne treba čuditi to da građani još uvijek nisu prihvatili digitalne potpise kao nešto normalno i svakodnevno.

Kakva je vaša suradnja s državom?

Voljeli bismo da je intenzivnija. Kontakti i komunikacija postoje zahvaljujući potpori Središnjeg državnog ureda za razvoj digitalnog društva, a Identyum je dio EWC-a, jednog od četiri velika EU-ova pilot-programa za razvoj digitalnih ID Walleta. Međutim, s obzirom na to da je pred nama vrlo intenzivno razdoblje prilagodbe na novi eIDAS 2.0, što uključuje donošenje odgovarajućih zakonskih akata RH, prilagodbu državne IT infrastrukture i uvođenje ID Walleta, voljeli bismo biti više uključeni u te procese te svojim znanjem i iskustvom doprinijeti izgradnji ekosustava od kojeg će svi građani i gospodarstvo RH imati maksimalno koristi.

Potrebe javnog sektora i potrebe gospodarstva u okvirima upravljanja digitalnim identitetom u mnogo čemu se preklapaju, ali isto tako razlikuju, jer pojedine gospodarske grane djeluju unutar različitih zakonodavnih okvira i pravila tržišta. Samo ako uzmemo u obzir interese i potrebe svih segmenata društva, možemo napraviti sustav koji će biti masovno prihvaćen i korišten. Mislimo da tu možemo kao predstavnici gospodarstva i privatnog sektora znatno doprinijeti kvaliteti buduće infrastrukture za eIDAS 2.0 u Hrvatskoj.

Je li potpis koji se napravi na Identyumu valjan?

Što se tiče valjanosti samih potpisa, eIDAS je regulatorni okvir na razini EU-a kojim su regulirana pravila ponašanja pružatelja usluga povjerenja. Uredbom eIDAS definirane su i vrste i razine digitalnih potpisnih i drugih certifikata, kao i vrste i razine digitalnih potpisa.

Sve države članice EU-a ugradile su u svoje zakonodavstvo regulatorni okvir eIDAS, stoga su certificirani pružatelji usluga povjerenja priznati u svim zemljama EU-a, kao i potpisi sukladni toj regulativi. Identyumovi digitalni potpisi usklađeni su s regulativom eIDAS, a ponosni smo na to da smo i partner FINA-e za usluge identifikacije, pa je preko naše platforme moguće ishoditi FINA-in digitalni certifikat u oblaku na daljinu i pomoću Identyum ID Walleta izraditi digitalni potpis koji će biti priznat na svakom sudu unutar EU-a.

Koliko korisnika bilježi Identyum i na kojim ste sve tržištima prisutni?

Većina korisnika našeg ID Walleta dolazi iz Republike Hrvatske, što je i logično s obzirom da je to domaće tržište s kojeg smo krenuli. Trenutno ih je oko 70.000. Ipak, ponosni smo na to što smo prisutni i na tržištima Slovenije, Mađarske, Albanije, a uskoro i BiH i Poljske. Naše rješenje je univerzalno primjenjivo te usklađeno sa zakonodavstvom država članica Europske unije. Ali kao i za svaki drugi proizvod, da bi bio prihvaćen na tržištu, potrebno je prepoznati potrebu za nečim takvim. Građani moraju imati mogućnost korištenja ID Walleta u svakodnevnom životu da bi brže, lakše i sigurnije ostvarili svoje potrebe za nekom uslugom javnog ili privatnog servisa. ID Wallet koji ne možete nigdje upotrijebiti tek je zgodan koncept.

Zbog toga su nam klijenti u ranije spomenutim državama izuzetno bitni za stvaranje ekosustava. Te organizacije, privatne i javne, koje su integrirale svoje sustave s našim ID Walletom kako bi svojim klijentima pružile kvalitetniju uslugu digitalnim kanalima, rano su prepoznale sve prednosti koncepta ID Walleta i budućnosti pred nama. Da bi ID Walleti postali općeprihvaćeni u društvu, potreban je što veći broj ovakvih organizacija koje imaju viziju i hrabrost shvatiti i prihvatiti promjenu današnjeg načina razmišljanja o digitalnom identitetu.