Zamiast wielu różnych loginów będzie jeden bezpieczny: mojeID

- Chcemy, żeby usługa mojeID wystartowała jeszcze przed końcem roku. W pierwszej połowie 2018 roku będzie mogło z niej skorzystać 80 proc. klientów banków i chciałbym, żeby do tego czasu co najmniej 100 firm z różnych branż umożliwiło ten sposób identyfikacji. Poprzez mojeID będzie można założyć swój profil u danego usługodawcy czy w e-sklepie, a także logować się - zapowiada Piotr Alicki, prezes Krajowej Izby Rozliczeniowej w rozmowie z Moniką Krześniak-Sajewicz.

KIR pracuje nad udostępnieniem identyfikatora bankowego, który będzie mógł zastąpić dziesiątki loginów do różnych instytucji. Zapowiedział pan tę usługę w kwietniu w wywiadzie dla Interii. Jest już nazwa usługi - mojeID. Kiedy będziemy mogli się w ten sposób logować na różnych portalach?

Piotr Alicki, prezes Krajowej Izby Rozliczeniowej: - W tej chwili jesteśmy na etapie testów z siedmioma bankami i prowadzimy rozmowy z około 30 firmami prywatnymi. Chcemy, żeby usługa mojeID wystartowała jeszcze przed końcem roku. Będzie wtedy dostępna w ofercie 2-3 dużych banków z jednej strony, a z drugiej u kilku usługodawców komercyjnych, choć w pierwszym etapie zapewne obejmie ograniczoną grupę klientów. Nie wszystkie podmioty, które uczestniczą w testach, będą gotowe już na starcie, bo niektóre z nich muszą wprowadzić zmiany w swoich procesach biznesowych. Do współpracy w projekcie zapraszamy firmy z różnych branż, o rozmaitej specyfice, tak, żeby pilotaż dał nam pełen obraz zastosowania mojegoID na rynku.

Reklama

- Samo wdrożenie od strony informatycznej, nie jest problematyczne dla firm, bo sprawdzanie tożsamości odbywa się w systemach bankowych, a instytucja dostaje jedynie komunikat czy dana osoba to rzeczywiście ten konkretny Kowalski, z danym Peselem. Należy podkreślić, że w tym procesie np. sklep, ubezpieczyciel czy telekom nie ma wglądu w loginy bankowe. A z drugiej strony bank nie widzi jakie czynności klient wykonuje w danej instytucji i nie ma dostępu do jego danych na portalu, któremu weryfikuje tożsamość użytkownika. Ważną kwestią jest świadoma akceptacja użytkownika, który decyduje o uwolnieniu danych - będzie się to odbywać tylko i wyłącznie za jego zgodą. W Polsce nie ma praktyki, inaczej niż w niektórych krajach w Europie, gdzie dane bankowe czyli loginy i hasła, są podawane na stronie podmiotu trzeciego. Jesteśmy temu przeciwni ze względu na bezpieczeństwo. Warto zaznaczyć, że oferowane przez KIR rozwiązanie nie wymaga budowania systemu od nowa, a bazuje na wykorzystaniu tego, który już działa i jest sprawdzony. Nasza rola to pośredniczenie w jego szerszej implementacji.

Jakie firmy, z jakich branż są najbardziej zainteresowane zastosowaniem usługi mojeID?

- Widzimy zainteresowanie ze strony prywatnego sektora medycznego, co nie powinno dziwić, bo w tym przypadku silne i wiarygodne potwierdzanie tożsamości klienta, ze względu na dane wrażliwe jest wyjątkowo ważne. Wśród zainteresowanych są także firmy dostarczające usługi finansowe, które chcą się rozwijać w świecie zdalnym, a muszą się opierać na silniejszym uwierzytelnieniu niż np. logowanie przez Facebooka czy poprzez przelew autoryzacyjny, bo z tymi sposobami wiąże się duża liczba fraudów. Jest też grupa instytucji, które mają rozwinięty biznes w świecie internetowym i mobilnym, ale ze względu na specyfikę działalności ich klienci kontaktują się z nimi sporadycznie, kilka razy w roku, co w praktyce oznacza, że najczęściej zapominają haseł dostępowych. Mam na myśli firmy ubezpieczeniowe, leasingowe czy energetyczne. Znam przykłady, w których 80 proc. klientów logując się ponownie nie pamięta identyfikatorów i musi przejść cały proces od początku. W ich przypadku wykorzystanie autoryzacji bankowymi loginami zmniejszy ten problem. Dodatkowo KIR zaoferuje mocniejsze uwierzytelnienie niż te, które są stosowane poza bankami. Zastrzegam przy tym, że nie rościmy sobie prawa do wprowadzania monopolu na takie usługi.

Jak to będzie w praktyce? Czy na każdym portalu będzie podobnie?

- Po pierwsze poprzez mojeID będzie można założyć swój profil u danego usługodawcy czy w e-sklepie, a po drugie można będzie logować się przy jego wykorzystaniu. O tym czy ta usługa będzie umożliwiała jedną czy obydwie te czynności będzie decydować firma.

Podobnie, to od danej firmy będzie zależało czy logowanie za pomocą mojeID będzie jedną z opcji do wyboru czy też jedynym sposobem identyfikacji klienta. Możliwe, że część firm, które obecnie stosują własne narzędzia uwierzytelniające po jakimś czasie zrezygnują z dotychczasowego modelu. Będą to ich decyzje biznesowe.

Jak obrazowo będzie przebiegać logowanie za pomocą mojeID?

- Na stronie internetowej wyświetli się kafelek "zaloguj się z mojeID". Po kliknięciu wyświetlą się ikonki banków, które umożliwiają taką identyfikację i klient będzie mógł wybrać, przez który z nich chce się uwierzytelnić.

- W kolejnym kroku wygląda to tak samo jak przy płatnościach typu pay-by-link w sklepach internetowych: zostajemy przekierowani automatycznie na stronę banku i tam wpisujemy login i hasło. Całe uwierzytelnienie odbywa się w systemie banku. W tej usłudze chcemy na szeroką skalę wykorzystywać kod BLIK, co skróci ten proces, a dodatkowo jest jednym z najlepszych narzędzi pod względem użyteczności i bezpieczeństwa. Zapewnia zarówno identyfikację jak i oświadczenie woli, ponieważ jest opatrzony stemplem czasowym czyli jest ważny przez krótką chwilę. Korzystając z kodu BLIK możemy go wpisać od razu, bez wybierania banku, ale będzie to oczywiście wariant opcjonalny. Myślę jednak, że przy rosnącej popularności BLIK z czasem stanie się on dominującym sposobem, tak jak przy płatnościach w sklepach internetowych.

- W procesie, o którym mówimy jako dostawców tożsamości wskazujemy banki, ponieważ w tej chwili mają najsilniej zweryfikowaną tożsamość swoich klientów. W rezultacie dane bankowe są najbardziej wiarygodne, a ich wykorzystanie jest naturalne z perspektywy klienta. Jesteśmy jednak otwarci na współpracę w tym zakresie z wszystkimi podmiotami, które spełnią standardy bezpieczeństwa wyznaczone przez usługę mojeID.

Kiedy usługa stanie się powszechna, a nie tylko oferowana pewnej grupie?

- Każdy z banków, który zakończy testy, udostępni tę możliwość wszystkim swoim klientom. Natomiast jeśli chodzi o usługodawców, to oni zdecydują czy od razu umożliwią korzystanie z mojeID wszystkim klientom czy na początek wybranej grupie. Zakładam, że jeszcze w pierwszej połowie 2018 roku z usługi mojeID będzie mogło skorzystać 80 proc. klientów banków, natomiast w odniesieniu do drugiej strony czyli usługodawców, to oszacować tę skalę jest trudniej, ale chciałbym, żeby do tego czasu co najmniej 100 firm z różnych branż umożliwiło ten sposób identyfikacji.

Czy mojeID zastąpi profil zaufany w kontaktach z urzędami publicznymi?

- Zgodnie z założeniem węzła krajowego nie ma sensu stosować dwóch ścieżek identyfikacji, więc zakłada się migrację w kierunku docelowego rozwiązania - czyli zastosowanie mojeID jako narzędzia w potwierdzaniu tożsamości z wykorzystaniem identyfikatorów bankowych zarówno u usługodawców komercyjnych, jak i w urzędach.

- Jednocześnie to jest platforma, na której można zbudować wiele usług, zwłaszcza przez innowacyjne firmy technologiczne. Polska chce być hubem fintechowym, a to rozwiązanie może być jednym z kluczowych elementów na tej drodze. To jest przełomowa usługa dla wszystkich użytkowników serwisów internetowych i dla całej gospodarki.

- Ministerstwo Cyfryzacji zdecydowało wcześniej, że potwierdzanie tożsamości będzie mogło być przeprowadzane poprzez tzw. węzeł krajowy, który jest już zbudowany właśnie z myślą o tym, żeby dostawcy tożsamości (na razie są nimi banki, ale w przyszłości mogą pojawić się też inne instytucje) podłączały się do tego węzła. My jesteśmy pośrednikiem, który ułatwia korzystanie z tego mechanizmu, bo dzięki KIR znika konieczność podpisywania dwustronnych umów z każdym bankiem z osobna. Wykorzystanie tego narzędzia do potwierdzania tożsamości w komercyjnym świecie będzie przełomowe, zwłaszcza, że częstotliwość korzystania z usług w sektorze prywatnym jest niewspółmiernie większa niż załatwianie spraw urzędowych. Dzięki mojeID będziemy mogli się uwierzytelnić w firmie komercyjnej i w usługach publicznych. Liczba firm, które mogą korzystać z identyfikacji cyfrowej jest praktycznie nieograniczona. Często ci, którzy prowadzą biznes "naziemny" nie prowadzą obsługi internetowej tylko dlatego, że nie mają do dyspozycji odpowiednio silnego narzędzia do potwierdzania tożsamości.

Czy to jest drogie narzędzie dla usługodawców?

- Docelowy cennik powstanie po zakończeniu pilotażu, ale w tym modelu główny koszt jest po stronie banków, które te identyfikatory nadają, utrzymują, weryfikują itd. Sam hub jest niewielką częścią tych kosztów. Trzeba też zaznaczyć, że inaczej będzie wyceniana usługa zakładania konta przy użyciu bankowej autoryzacji, a inaczej sama weryfikacja przy logowaniu. Na pewno nasza oferta będzie tak skalkulowana, żeby była opłacalna dla firm, z możliwie szybkim zwrotem inwestycji po ich stronie.

Kiedy KIR udostępni podpis cyfrowy w chmurze?

- Zaraz po udostępnieniu mojegoID, bo to jest konsekwencja zdalnego potwierdzania tożsamości. Podpis w chmurze spełni dwa cele: po pierwsze wyeliminuje konieczność stosowania dodatkowych narządzi takich jak czytniki i tokeny, a po drugie umożliwi udostępnianie podpisu przy zdalnej identyfikacji. Podpis elektroniczny w dotychczasowej formie był relatywnie słabo upowszechniony, właśnie z tego powodu. Dlatego zaoferowanie go przed udostępnieniem mojego ID nie miałoby sensu. To są usługi, które postrzegamy jako komplementarne. A co więcej, w obu przypadkach będziemy się opierać na tych samych dostawcach tożsamości.

Rozmawiała Monika Krześniak-Sajewicz

INTERIA.PL
Reklama
Reklama
Reklama
Reklama
Strona główna INTERIA.PL
Polecamy
Finanse / Giełda / Podatki
Bądź na bieżąco!
Odblokuj reklamy i zyskaj nieograniczony dostęp do wszystkich treści w naszym serwisie.
Dzięki wyświetlanym reklamom korzystasz z naszego serwisu całkowicie bezpłatnie, a my możemy spełniać Twoje oczekiwania rozwijając się i poprawiając jakość naszych usług.
Odblokuj biznes.interia.pl lub zobacz instrukcję »
Nie, dziękuję. Wchodzę na Interię »