Branża chwali rządowy projekt ustawy zwiększający zakres zastosowania dokumentów elektronicznych. Ale chciałaby pójść krok dalej
Przygotowana przez Kancelarię Prezesa Rady Ministrów regulacja ma zrównać elektroniczny dowód dostępny w mObywatelu z tradycyjnym. Zdaniem Konfederacji Lewiatan – której członkami są m.in. Orange, Plus, Siemens, T-Mobile i UPC – to „istotny krok w kierunku powszechnej digitalizacji”. Organizacja stwierdza, że wykorzystywanie aplikacji „do potwierdzania tożsamości abonentów jest jedną z oczekiwanych zmian przez przedsiębiorców, związanych z cyfryzacją procesów, szczególnie z sektora telekomunikacyjnego”.
Także Polska Izba Informatyki i Telekomunikacji w konsultacjach projektu ustawy o aplikacji mObywatel podkreśla poparcie dla pomysłu. Zapewnia, że rozwój mObywatela (działającego wcześniej jako mTożsamość) obserwuje „z wielką dumą i uznaniem”, uznając aplikację za „jedno z najlepiej działających rozwiązań portfela cyfrowej tożsamości w Europie”. mObywatel został po raz pierwszy udostępniony w 2017 r. przez ówczesne Ministerstwo Cyfryzacji. Dotychczas pobrano go z App Store i Google Play ponad 8 mln razy, z czego prawie 1,5 mln w tym roku. Aplikacja pozwala przechowywać na smartfonie cyfrowe wersje dokumentów: prawo jazdy i dowód rejestracyjny, mLegitymację dla uczniów i studentów oraz Kartę Dużej Rodziny.
Problem w tym, że główna funkcjonalność – czyli dowód osobisty – może obecnie służyć do potwierdzenia tożsamości tylko w niektórych okolicznościach, lecz nie znajduje zastosowania tam, gdzie poziom formalności jest wyższy, np. w banku czy przy zawieraniu umowy abonenckiej. „Użytkownicy aplikacji mObywatel zaczęli oczekiwać, aby dokumenty elektroniczne obsługiwane przy użyciu tej aplikacji pozwalały na ich wykorzystanie w sposób co najmniej tak szeroki, jak w przypadku odpowiadających im dokumentów tradycyjnych” – przyznaje KPRM w uzasadnieniu ustawy, która to oczekiwanie ma spełnić. Organizacje zrzeszające firmy cyfrowe chciałyby jednak wprowadzić jeszcze więcej funkcjonalności, niż przewiduje KPRM.
„Z punktu widzenia przedsiębiorców istotna jest szczególnie możliwość zdalnego potwierdzania okazywanych przez osobę fizyczną danych z dokumentu mObywatel” – stwierdza Lewiatan. Tymczasem w projekcie zapisano, że mObywatel działa, gdy jest okazywany „w relacjach wzajemnej fizycznej obecności stron”. Wprawdzie w uzasadnieniu jest mowa o możliwości zdalnego przekazywania danych, jednak nie znajduje to odbicia w treści regulacji. Więcej od mObywatela oczekuje też Polska Izba Informatyki i Telekomunikacji (PIIT), która chciałaby cyfrowego portfela dającego możliwość złożenia kwalifikowanego podpisu elektronicznego.
Izba zwraca też uwagę na bezpieczeństwo aplikacji. „Z uwagi na wzrost zagrożeń cyberbezpieczeństwa” rekomenduje, aby dodać do ustawy przepisy o zabezpieczeniu mObywatela „mechanizmami kryptograficznymi”. Takie zabezpieczenia są wprawdzie obecnie stosowane, ale brak odpowiednich wymagań w planowanej regulacji mógłby – zdaniem PIIT – „spowodować, że zostaną one zaniechane w przyszłości”. Izba proponuje ponadto, aby przy instalacji „wymusić na użytkowniku konieczność ustawienia metody na zabezpieczenie ekranu (biometria, hasło, znak)”. Stwierdza również, że przynajmniej raz w roku należy przeprowadzać szczegółową analizę ryzyka i techniczne testy bezpieczeństwa mObywatela.
Ponieważ „zrównanie dokumentu mObywatel z dowodem osobistym stanowić będzie rewolucję w dokonywaniu potwierdzeń tożsamości wśród tysięcy podmiotów”, PIIT uważa, że niezbędne jest wprowadzenie co najmniej sześciomiesięcznego vacatio legis (KPRM przewiduje, że ustawa wejdzie w życie po 14 dniach od ogłoszenia). Izba uzasadnia, że honorowanie aplikacji będzie wymagało od firm przeszkolenia pracowników, wdrożenia narzędzi i procedur weryfikacyjnych, „które obecnie nie są jeszcze znane”. Półroczne vacatio legis sugeruje też Lewiatan. Zgodnie z planami jej autorów ustawa o mObywatelu miałaby zacząć obowiązywać jeszcze w tym roku, choć niektóre nowe usługi – jak realizacja płatności na rzecz podmiotów publicznych – nie pojawią się od razu. Regulacja pozwoli też używać aplikacji do uwierzytelnienia profilu zaufanego.
