Abstrakt
Od decembra 2013 sú v Slovenskej republike vydávané nové typy občianskych preukazov – občianske preukazy s čipom, tzv. eID karty. V súčasnosti je ich využívanie v elektronickom prostredí už čiastočne povinné pre určitý okruh právnických osôb (štatutárne orgány alebo členovia štatutárneho orgánu právnických osôb zapísaných v obchodnom registri SR), ale stále plne dobrovoľné pre fyzické osoby – občanov. Využívanie tohto výdobytku modernej techniky má však svoje nástrahy. V článku sú rozobraté výhody, aj nevýhody a tiež (ne)bezpečnosť jeho používania.
Podmienky a postup pri vydávaní občianskych preukazov a vedenie evidencie občianskych preukazov upravuje zákon č. 224/2006 Z. z. o občianskych preukazoch a o zmene a doplnení niektorých zákonov, v znení neskorších predpisov (ďalej len „zákon o OP“). Podľa tohto zákona (§ 2 ods. 1) je občiansky preukaz verejnou listinou, ktorou občan preukazuje svoju totožnosť, štátne občianstvo a ďalšie údaje v ňom uvedené. Nové typy občianskych preukazov – občianske preukazy s čipom (tzv. elektronické identifikačné karty – skrátene eID alebo eID karty) vydáva Slovenská republika od decembra 2013.[1] Doba platnosti nového typu dokladu zostala nezmenená – 10 rokov (§ 5 ods. 4 zákona o OP) a rovnako, ako predošlý občiansky preukaz bez čipu, slúži na preukazovanie totožnosti občana SR pri osobnom styku s úradmi a inštitúciami a tiež ako cestovný doklad.[2] Nový typ dokladu však navyše obsahuje elektronický čip, ktorý umožňuje preukazovanie totožnosti občana v elektronickom prostredí pri využívaní elektronických služieb verejnej správy (tzv. e-služieb, či e-Government služieb).[3]
Dobrovoľný pre občanov, povinný pre štatutárov
Pre občanov je využívanie elektronických občianskych preukazov s čipom na prístup k elektronickým službám len dobrovoľné (či vo forme elektronickej schránky[4] alebo kvalifikovaného elektronického podpisu). Povinne ich však musia používať štatutárne orgány alebo členovia štatutárneho orgánu právnických osôb (ďalej v texte len „štatutári“) zapísaných v obchodnom registri SR.[5] Odo dňa 1. júla 2017 totiž majú povinnosť komunikovať so štátnou správou prostredníctvom elektronických schránok (po prihlásení sa cez portál www.slovensko.sk), do ktorých majú prístup len ak majú vydané nové typy dokladov. Firmám so sídlom v SR zapísaným v obchodnom registri sú od tohto dátumu zasielané úradné rozhodnutia, či oznámenia výhradne prostredníctvom elektronických schránok (ak štatutár nemá aktivovaný občiansky preukaz s čipom a bezpečnostný osobný kód – tzv. BOK (ďalej v texte aj len „BOK“), k zaslaným rozhodnutiam, či oznámeniam sa jednoducho nedostane). Povinná je však len elektronická komunikácia smerom od orgánu verejnej moci k účastníkom (a to aj v prípade podania na orgán v papierovej forme), nie naopak, tzn., že na písomnosť od orgánu verejnej moci doručenej do elektronickej schránky môže účastník odpovedať aj v papierovej forme.
V prípade štatutárov – cudzincov s pobytom na Slovensku je potrebný elektronický doklad o pobyte – tzv. eDoPP karta (§ 73 a § 73a zákona č. 404/2011 Z. z. o pobyte cudzincov a o zmene a doplnení niektorých zákonov, v znení neskorších predpisov), ktorý funguje z hľadiska e-služieb rovnako ako občiansky preukaz s čipom. V prípade štatutárov s pobytom mimo územia SR je to komplikovanejšie a týmto ostávajú len dve možnosti – požiadať o tzv. alternatívny autentifikátor (§ 21 ods. 1 písm. b) a § 22 zákona o e-Governmente) alebo si zvoliť za splnomocnenca osobu s občianskym preukazom s čipom (prípadne s dokladom o pobyte s čipom) a bezpečnostným osobným kódom (splnomocnenie ju možné formou listiny alebo elektronicky a rozsah právomocí splnomocnenca je možné nastaviť).
Úradná elektronická schránka bola aktivovaná automaticky každému štatutárovi firmy zapísanej v obchodnom registri a je v záujme každého štatutára si do nej zabezpečiť prístup, keďže v momente uloženia úradnej korešpondencie do elektronickej schránky začína plynúť tzv. úložná lehota.[6] Ak v tejto lehote nebude štatutár konať, nastane tzv. fikcia doručenia a úradná korešpondencia bude považovaná za doručenú aj v prípade, ak si ju nepreberie a neprečíta, pričom na moment doručenia môžu byť viazané lehoty (napr. na podanie odvolania, či na splnenie nejakej povinnosti). Ide o obdobný postup, ako keby si štatutár neprebral listovú zásielku na pošte; preto by si mali všetci štatutári zriadiť prístup k svojej elektronickej schránke a prezerať v nej poštu pravidelne – aby boli nielen informovaní, ale aby aj nezmeškali príslušné zákonné lehoty.[7] Za neaktivovanie, či nepoužívanie elektronickej schránky síce nie sú stanovené žiadne pokuty, avšak finančné dopady môžu byť pre majiteľa schránky značné (napr. sa nedozvie o uložení pokuty a suma bude narastať o sankčné úroky).[8] Zriadenie a používanie kvalifikovaného elektronického podpisu je aj pre štatutárov dobrovoľné.
V prípade, že si adresát elektronickej správy z objektívnych príčin nemohol správu prevziať a oboznámiť sa s jej obsahom, je v zákone o e-Governmente ustanovený inštitút neúčinnosti elektronického doručovania (§ 33).
Právnickým osobám so sídlom na území SR, ktoré nie sú zapísané do obchodného registra SR (ide napr. o občianske združenia, nadácie, neziskové organizácie a pod.) bude elektronická schránka automaticky aktivovaná na doručovanie až dňa 1. júna 2020 (§ 60b ods. 3 zákona o e-Governmente). Do tohto termínu si svoje elektronické schránky môžu aktivovať na doručovanie úradných rozhodnutí, či oznámení dobrovoľne.[9]
(Ne)Bezpečnosť eID
„Bezpečnosť údajov uložených v kontaktnom čipe chránia bezpečnostné mechanizmy a tiež bezpečnostný osobný kód (BOK).“[10]
Podľa zákona o OP (§ 4b) slúži bezpečnostný osobný kód spolu s občianskym preukazom na potvrdenie totožnosti držiteľa pri elektronickej komunikácii s informačnými systémami orgánov verejnej správy alebo s inými fyzickými alebo právnickými osobami. Ide o kombináciu najmenej šiestich a najviac desiatich číslic, ktorú si občan zvolí a tento kód slúži na prihlasovanie sa k príslušnej elektronickej službe.
Zadanie BOK-u s následnou aktiváciou eID funkcie nie je povinné – občan sa môže rozhodnúť, či bude alebo nebude využívať elektronické služby. V prípade, že bol vydaný občiansky preukaz s elektronickým čipom, ale jeho držiteľ nemá zvolený BOK, môže si ho ísť kedykoľvek zvoliť dodatočne na okresné riaditeľstvo Policajného zboru (ďalej v texte aj len „OR PZ“) a v rámci záruk bezpečnosti si tiež držiteľ občianskeho preukazu s čipom môže svoj BOK kedykoľvek zmeniť, a to aj opakovane (§ 17b ods. 2 a § 4b ods. 3 zákona o OP).
Ako ochrana pred zneužitím občianskeho preukazu s čipom formou náhodného skúšania zadávania BOK-u slúži funkcia automatického zablokovania po piatom po sebe nesprávnom zadaní BOK-u pri elektronickej komunikácii, pričom odblokovanie môže vykonať len OR PZ (§ 4b ods. 4 zákona o OP).
Podľa dôvodovej správy k novele zákona o OP malo byť technicky možné prečítať údaje z občianskeho preukazu len so súhlasom občana zadaním BOK-u a súčasným priložením občianskeho preukazu k čítačke kariet. „Len oprávnení poskytovatelia služieb a fyzické osoby a právnické osoby budú môcť požiadať o prečítanie údajov z občianskeho preukazu, pričom bude zabezpečené prostredníctvom príslušného certifikátu, ktoré z údajov budú z občianskeho preukazu prečítané a odovzdané poskytovateľovi služieb.“[11]
Napriek tomu, že čip občianskeho preukazu mal byť účinne chránený proti zneužitiu, koncom roka 2017 – dňa 31. októbra 2017 o 18.23 hod. bola z dôvodu potenciálnej zraniteľnosti certifikátov hromadne zrušená platnosť certifikátov s veľkosťou kľúčov 2048-bitov,[12] ktoré boli vydané na elektronických občianskych preukazoch.[13] Výskumný česko-slovenský tím z Masarykovej univerzity v Brne totiž zistil, že tieto certifikáty sú ľahko napadnuteľné – neoprávnenej osobe stačilo získať dokument podpísaný takýmto podpisovým certifikátom[14] a za relatívne nízke náklady[15] mohla prelomiť bezpečnostné šifrovanie podpisového certifikátu.[16] Neoprávnená osoba by sa následne v prostredí e-Governmentu mohla vydávať za osobu, ktorej podpisový certifikát prelomila – mohla by napr. v mene zneužitej osoby prevádzať nehnuteľnosti alebo obchodné podiely v spoločnostiach, podávať žaloby alebo sa k žalobám vyjadrovať, komunikovať s finančnou správou atď. Čiže neoprávnená osoba mohla zneužiť prelomený podpisový certifikát všade tam, kde sa v rámci e-Governmentu vyžaduje tzv. kvalifikovaný elektronický podpis.
Po zrušení platnosti certifikátov s veľkosťou kľúčov 2048-bitov bolo možné eID kartu bez získania nových certifikátov naďalej používať na preukazovanie totožnosti, prihlasovanie sa do elektronickej schránky, potvrdzovanie doručeniek a na ďalšie elektronické služby, pri ktorých stačilo zadávať BOK, nebolo však možné uskutočňovať úkony, pri ktorých sa vyžadovalo použitie elektronického podpisu. Na obnovenie tejto funkcie bolo potrebné požiadať o výmenu za bezpečnejšie – 3072-bitové certifikáty. Okresné riaditeľstvá Policajného zboru poskytovali túto službu na počkanie a bezplatne (nešlo o výmenu občianskych preukazov, ale iba o nahratie nových podpisových certifikátov).[17]
Samotné odcudzenie občianskeho preukazu s čipom ešte nepredstavuje riziko jeho zneužitia v prostredí e-služieb. Veľkým problémom je, ak sa zlodej dostane spolu s elektronickým občianskym preukazom aj k BOK-u a KEP PIN-u majiteľa – v takom prípade už jeho zneužitiu nestojí nič v ceste. Z uvedeného dôvodu je naozaj vhodné dodržiavať zásady bezpečného používania eID kariet,[18] a to najmä neprezrádzanie týchto kódov a ich prípadné uchovávanie mimo eID karty.
Môžeme tak rozlišovať dve situácie, kedy môžu vyššie uvedené bezpečnostné kódy prispieť k zneužitiu eID karty:
a) nesprávny výber bezpečnostných kódov a
b) nesprávne nakladanie s bezpečnostnými kódmi.
V prípade nesprávneho výberu kódov máme na mysli voľbu jednoduchých, ľahko uhádnuteľných kódov (napr. 000000, 111111, 123456 atď.), aby boli tieto ľahšie zapamätateľné pre svojich užívateľov alebo voľbu rovnakých kódov pre rôzne prístupy. Jednou z hlavných príčin, prečo si ľudia dávajú jednoduché heslá, alebo na všetky prístupy heslá rovnaké či podobné je, že sa boja ich zabudnutia.
V prípade nesprávneho nakladania s bezpečnostnými kódmi máme na mysli ich priame vyzradenie inej osobe alebo nesprávne uchovávanie týchto kódov. „Bezpečnostné kódy sú len vaše tajomstvo, takže ich v žiadnom prípade nikde neoznamujte, aj keď vás o to požiadajú.“ … …
Celé znenie článku nájdete na nižšie uvedenom zdroji.
Autor
JUDr. Jana Matejová
Zdroj
https://www.sak.sk/web/sk/cms/sak/bulletin/archiv/proxy/list/form/picker/event/page/20