Jaka przyszłość czeka aplikację mObywatel w kontekście regulacji eIDAS 2.0?

Ale co to oznacza dla naszej aplikacji mObywatel? Cóż, czekają nas zmiany! Już na samym początku warto wspomnieć o zmianie sposobu aktywacji europejskiego portfela przez środki identyfikacji elektronicznej – aktywacja będzie musiała odbyć się na poziomie wysokim. Co to oznacza? Obecnie użytkownicy aplikacji mObywatel aktywują ją za pomocą profilu zaufanego, bankowości elektronicznej czy e-dowodu.  ale to będzie musiało się zmienić.. Dlatego mObywatel aktualnie identyfikowany jest jako środek identyfikacji na poziomie średnim – nie spełnia zatem warunków jakie wprowadza rozporządzenie eIDAS 2.0. W tej chwili środkiem identyfikacji elektronicznej na poziomie wysokim jest certyfikat w warstwie elektronicznej dowodu osobistego, jednak powszechność e-dowodu i jego wykorzystanie w załatwianiu codziennych spraw obywateli wciąż nie jest zbyt duże. Będziemy musieli więc zmierzyć się z wyzwaniem związanym z budową nowego procesu aktywacji tak, aby zapewnić wymagany poziom bezpieczeństwa i jednocześnie nie wpłynąć negatywnie na intuicyjność rozwiązania. Środki identyfikacji elektronicznej na poziomie wysokim zapewniają maksymalną ochronę i są wymagane do operacji o najwyższym poziomie wrażliwości, dlatego też w tym wymaganiu widzimy szansę na przyszły rozwój naszej aplikacji.

Druga duża zmiana dotyczy korzystania z dokumentów mobilnych i przekazywania danych do innych podmiotów – komercyjnych i publicznych. Obecnie nasza aplikacja posiada elektroniczne dokumenty z określonym zakresem danych, które możemy przekazywać do różnych instytucji. Ale z europejskim portfelem będziemy mogli przekazywać wybrane atrybuty tożsamości do instytucji, które będą uczestnikami systemu lub przekazywać atrybuty anonimowo np. tylko wiek podczas zakupu alkoholu bądź korzystania z treści dla osób dorosłych. I tutaj wkraczają jednolite standardy dla całej cyfrowej tożsamości, czyli OpenID, Verifiable Credentials, Selective Disclosure, które sprawiają, że proces przekazywania danych do instytucji publicznych oraz podmiotów komercyjnych będzie dużo prostszy i ustandaryzowany w całej Unii. Każda strona, uczestnik ekosystemu będzie w jednolity sposób mogła zweryfikować przekazywane przez nas dane. Znacząco uprości to cały proces integracji pomiędzy wszystkimi uczestnikami, co spowoduje, że rozwiązanie będzie dużo łatwiej adoptowalne na wszystkich rynkach Unii Europejskiej.

Kolejna ważna zmiana dotyczy wydawania elektronicznych podpisów kwalifikowanych. Obecnie podpisy kwalifikowane są dostępnie wyłącznie odpłatnie. Ale eIDAS 2.0 zapewnia, że państwo będzie zobowiązane dostarczyć taki podpis kwalifikowany bezpłatnie do portfela dla każdego obywatela. To oznacza, że podpis będzie powszechnie dostępny i będziemy mogli go użyć bez żadnych opłat, np. przy podpisywaniu umów.

Jak dostosować mObywatela 2.0 do nowych wyzwań, jakie stawia przed nami rozporządzenie eIDAS 2.0? Spotkania z przedstawicielami krajów członkowskich Unii pokazują, że Polska jest postrzegana jako lider w dziedzinie cyfrowych rozwiązań. Nasz mDowód, czyli pełnoprawny elektroniczny dokument tożsamości w mObywatelu, jest rozwiązaniem, które wyróżnia się na tle innych krajów Unii. To z jednej strony duża przewaga, w naszym kraju samo rozwiązanie posiadania dokumentów w telefonie komórkowym jest bardzo popularne (w momencie pisania artykułu mDowód pobrało ponad 7 mln Polaków), ale z drugiej strony to też spore wyzwanie przy dostosowywaniu istniejącego rozwiązania do zapisów rozporządzenia, ponieważ musimy myśleć o dużej bazie aktualnych użytkowników oraz instytucjach, które są obecnie „wpięte” do systemu.

Dostosowanie aplikacji wymaga przede wszystkim wymiany całego „serca” aplikacji, czyli sposobu przechowywania i przekazywania danych. Przy Komisji Europejskiej działa obecnie grupa robocza, która tworzy referencyjną wersję europejskiego portfela. Wykorzystuje ona wszystkie standardy (np. normy ETSI, czy określone protokoły komunikacyjne) i dostarcza biblioteki na zasadzie open source – już w tej chwili spora część repozytoriów została udostępniona w serwisie GitHub. W ten sposób tworzony jest tzw. ARF (European Digital Identity Architecture and Reference Framework), czyli dokument obejmujący architekturę techniczną, zestaw wspólnych norm i specyfikacji oraz wytycznych i najlepszych praktyk.Czerpiąc z tego źródła dostosowujemy  nasze rozwiązania do wymagań nowej regulacji. Planujemy maksymalnie wykorzystać obecne komponenty wykorzystywane w aplikacji mObywatel i połączyć je z bibliotekami dostarczonymi w ramach projektu referencyjnego. A nasze doświadczenie i kompetencje w rozwoju aplikacji mobilnych pomoże nam zaprojektować mObywatela 3.0 – zgodnego z wymaganiami wynikającymi z rozporządzenia eIDAS 2.0, ale działającego także efektywnie także na rynku krajowym.

Prace nad dostosowaniem już się rozpoczęły. Pierwszym dużym kamieniem milowym jest współpraca w ramach tzw. Large Scale Pilots (LSP). Polska jest członkiem największego konsorcjum realizującego projekty pilotażowe – Potential. Celem tych projektów jest przeprowadzenie pilotaży w ramach tzw. Use Cases, tak aby przetestować i zweryfikować wypracowane rozwiązania jeszcze przed pełną ich implementacją. Polska uczestniczy między innym w projekcie dotyczącym transgranicznego prawa jazdy czy uwierzytelnienia w usługach publicznych. Ważna jest tutaj też współpraca z innymi zespołami w poszczególnych krajach Unii. Na początku 2025 r. rozpoczną się pierwsze testy pomiędzy krajami, a wnioski z nich posłużą do ewentualnych korekt i zamian w przyjętych pierwotnie założeniach.

Jak widzicie, pomimo że eIDAS to perspektywa drugiej połowy 2026 roku, to pierwsze prace już się rozpoczęły i będą intensyfikowane w kolejnych miesiącach.

Czy jesteście gotowi na te zmiany? Ja na pewno jestem! Czekamy na Wasze komentarze i pytania na ten temat. Śledźcie tę stronę, ponieważ artykuły dotyczące implementacji rozporządzenia eIDAS 2.0 będą się jeszcze pojawiać.