Bankowe ID ułatwi życie Polaków

Monika Krześniak-Sajewicz, Interia: Krajowa Izba Rozliczeniowa pracuje nad zupełnie nowym i uniwersalnym narzędziem potwierdzenia cyfrowej tożsamości. Jak to ma działać w praktyce?

Piotr Alicki, prezes Krajowej Izby Rozliczeniowej: - Kluczem do rozwoju usług cyfrowych jest dostarczenie narzędzia umożliwiającego jednoznaczną identyfikację tożsamości osoby, która z nich korzysta. Ten warunek doskonale spełnia bankowa tożsamość, bo gwarantuje silne i sprawdzone mechanizmy uwierzytelniania klientów w bankowości elektronicznej. Doświadczenia sektora bankowego są dobrą bazą do stworzenia międzybankowego węzła identyfikacji klientów. Z racji zadań pełnionych w sektorze bankowym, KIR jest naturalnym partnerem technologicznym do realizacji tej inicjatywy.

Udostępnimy możliwość wykorzystywania bankowej autoryzacji w dostępie do usługodawców komercyjnych, ale również do instytucji publicznych. Wprawdzie dziś kilka banków umożliwia założenie Profilu Zaufanego (PZ) poprzez serwis transakcyjny, ale służy on tylko do kontaktów obywatela z administracją. Nasze rozwiązanie będzie jeszcze szersze. W bezpieczny sposób pozwoli zalogować się do administracji publicznej, jak również do komercyjnych usługodawców (medycyna, media, ubezpieczenia), więc w efekcie da szanse na szybkie upowszechnienie się. Zakładamy również otwartość całego modelu na nowe technologie i funkcjonalności, których dziś jeszcze nie ma.

Czyli jak to w praktyce będzie działać w sektorze komercyjnym?

- Patrząc z perspektywy usługodawcy, to jego klient będzie się mógł uwierzytelnić zdalnie w tej instytucji za pośrednictwem banku. Nie oznacza to, że zniknie możliwość potwierdzenia swojej e-tożsamości przez dotychczasowe identyfikatory, ale pojawi się nowa opcja. Jest to szczególnie ważne w przypadku usługodawców, z którymi klienci mają rzadkie kontakty, bo wówczas często zapominają haseł i w konsekwencji konieczne jest nadawanie nowych loginów. A to wiąże się często z koniecznością wizyty w placówce.

Narzędzie oparte na bankowym ID, które wkrótce zaoferujemy, wpisuje się w federacyjny model potwierdzania tożsamości i opiera się na modelu węzła. Dzięki temu poszczególne banki nie będą musiały podpisywać bilateralnych umów z każdym usługodawcą, a co ważniejsze będzie też jeden technologiczny punkt styku. KIR jest naturalnym podmiotem, który może pełnić rolę technologicznego partnera sektora, nie tylko ze względu na swój profil działalności, ale także dlatego, że banki są jego akcjonariuszami.

Jakie instytucje są już na dziś zainteresowane używaniem nowego narzędzia do identyfikacji swoich klientów?

- To głównie dostawcy usług masowych, ale także pozabankowe firmy z sektora finansowego, które stosunkowo rzadko mają kontakt z klientami, a potrzebują dobrego uwierzytelnienia klientów, by ich cyfrowe usługi były lepiej wykorzystywane. Jest też zainteresowanie ze strony firm, dla których kluczowa jest ochrona dostępu do danych klienta, np. z sektora usług medycznych lub ubezpieczeniowych. To są instytucje, które muszą przestrzegać restrykcyjnych zasady weryfikowania tożsamości klientów. Prowadzimy także rozmowy z bankami czyli dostawcami e-tożsamości, bo do zaoferowania tej usługi potrzebne są obie strony.

Kiedy KIR zaoferuje tę usługę bankowego ID?

- Chcemy udostępnić tę usługę w drugiej połowie roku. Najpierw poprzez pilotażowe wdrożenia, ale zakładam, że ona bardzo szybko się upowszechni. Widzimy, że rynek czeka na taką usługę. Warto podkreślić, że dzięki upowszechnieniu bankowego ID najbardziej zyska klient czyli użytkownik. Zdecydowana większość banków detalicznych chce się przyłączyć do tego systemu jeszcze w tym roku.

To teraz spróbujmy opowiedzieć jak to będzie działać od strony użytkownika czyli zwykłego Kowalskiego? Zakładając np., że korzystam z prywatnej sieci medycznej i internetowego portalu pacjenta, który podpisał odpowiednią umowę z KIR ....

- Po pierwsze, na stronie internetowej instytucji klient widzi różne dostępne sposoby weryfikacji i wybiera, z którego z nich chce skorzystać. Jeśli wybiera opcję opartą na loginie swojego banku, to klika w nią i następuje weryfikacja. Co ważne, w procesie weryfikacji KIR przesyła jedynie żądanie potwierdzenia tożsamości, natomiast sam proces odbywa się poprzez system bankowy. W celu zwiększenia bezpieczeństwa klient każdorazowo musi wyrazić zgodę na uwierzytelnienie. Usługodawca dostaje jedynie zwrotne potwierdzenie. Będzie to wyglądać podobnie jak przy dokonywaniu płatności w sklepie internetowym, gdzie pokazuje się cała lista opcji, które mogę sobie wybrać. Podobnie będzie przy wyborze sposobu potwierdzania tożsamości. Może do tego służyć login i hasło czy kod BLIK. Muszę przyznać, że preferujemy ten drugi sposób, bo jest wygodniejszy w użyciu, a do tego kod jest jednorazowy, co dodatkowo wzmacnia bezpieczeństwo takich operacji. Warto podkreślić, że bank uwierzytelniający nie będzie miał informacji jakie czynności klient wykonuje na zewnętrznych portalach. Usługodawca natomiast dostaje jedynie potwierdzenie, że dany klient to ta osoba czyli np. Kowalski z konkretnym PESEL-em.

Czyli to oznacza, że przy upowszechnieni u tej usługi zniknie konieczność zapamiętywania ogromnej liczby loginów do różnych instytucji, z których korzystamy zdalnie czyli poprzez ich serwisy internetowe i mobilne?

- Tak, od strony zwykłego użytkownika to będzie właśnie taka korzyść. Ale nie tylko, bo jednocześnie uzyskamy wzmocnienie ochrony danych dostępowych, jako że te bankowe są zazwyczaj lepiej chronione przez samych użytkowników.

Co jeszcze KIR planuje w tym roku?

- W drugiej fali przygotowujemy tzw. podpis w chmurze, który będzie się opierał na podobnym mechanizmie. Będzie to odpowiednik kwalifikowanego podpisu elektronicznego. To oznacza, że będzie dawał takie same skutki prawne jak e-podpis czyli między innymi umożliwi podpisywanie umów. Przewaga podpisu w chmurze nad podpisem elektronicznym polega też na tym, że nie wymaga żadnego fizycznego narzędzia, czytnika czy tokena. Podpis w chmurze oznacza przede wszystkim możliwość pełnego upowszechnienia tego rozwiązania. Bo przecież podpis elektroniczny funkcjonuje od lat, ale w praktyce jest używany tyko w sektorze gospodarczym i tylko w wąsko określonych procesach, najczęściej w kontaktach przedsiębiorstw i sektora publicznego. Osoby prywatne z e-podpisu w zasadzie nie korzystają.

Kiedy takie narzędzie będzie dostępne?

- Zakładam, że na początku przyszłego roku. Technicznie gotowi będziemy wcześniej, ale czekamy na publikację ostatecznej wersji przepisów unijnych, dotyczących tego typu usług.

A przechodząc do sfery e-administracji, w której zachodzą duże zmiany. Coraz więcej usług będzie dostępnych zdalnie. Co jest w tym procesie najważniejszym wyzwaniem z punktu widzenia KIR, który też ma ważną rolę w tych zmianach?

- Dziś sytuacja wygląda tak, że jest otwarta ścieżka do zdalnego korzystania z usług publicznych, poprzez potwierdzanie tożsamości bankowymi narzędziami, ale same usługi jako takie muszą być kompletnym procesem. Wciąż dużo jest takich, które tylko częściowo można wykonać cyfrowo i na jakimś etapie i tak trzeba pójść do urzędu. Albo cały proces nie jest domknięty możliwością płatności zdalnych.

Rozumiem, że ogłodzony przez Ministerstwo Rozwoju i KIR program upowszechnienia płatności bezgotówkowych w urzędach ma to szybko zmienić?

- Tak, bo można powiedzieć, że w tej chwili płatności bezgotówkowe w urzędach są dyskryminowane. Zgadzam się z wiceministrem rozwoju Tadeuszem Kościńskim, że administracja publiczna powinna dawać w tym względzie dobry przykład. Natomiast my się nie przywiązujemy tyko do tej części, która wymaga fizycznej obecności terminala płatniczego, ale patrzymy na rozwiązania WebPOS, które są zbliżone do płatności zdalnych. To czy zapłacę telefonem stojąc przy okienku w urzędzie czy siedząc przed ekranem komputera, od strony technicznej jest bardzo podobne. A dodatkowo płatność WebPOS Paybynet wykonywana w urzędzie nie wymaga zintegrowania z konkretną usługą. Dlatego my działamy zarówno w kierunku jak najszerszego udostępnienia WebPOS na stanowiskach obsługi klienta w urzędach jak i udostępnienia usługi Paybynet dla płatności zdalnych na portalach www.

Na czym polega płatność WebPOS, w trakcie wizyty w urzędzie?

- Płatność jest inicjowana i zatwierdzana w trybie on-line. Można powiedzieć, że WebPOS jest rodzajem wirtualnego terminala, z którego urzędnik korzysta przez przeglądarkę internetową. W celu przyjęcia opłaty, urzędnik loguje się do systemu WebPOS Paybynet poprzez specjalną stronę internetową, a następnie - wypełniając odpowiednie dane - może przyjąć płatność od klienta. Do realizacji transakcji nie jest potrzebne żadne osobne urządzenie. Natomiast przy płatności czysto zdalnej musi być połączenie z konkretną usługą udostępnianą przez urząd, bo w tym przypadku urzędnik już nie pośredniczy. Już teraz funkcjonują takie usługi powiązane z płatnością (np. wydanie potwierdzonych kopii dokumentów, wydanie wtórnika tablic rejestracyjnych, wydanie wypisów i wyrysów z miejscowego planu zagospodarowania przestrzennego gminy, pozwolenie na przeprowadzenie zbiórki publicznej i inne).

Czyli teraz przeciętny Kowalski przyjdzie do urzędu, to oprócz tego, że będzie mógł fizycznie zapłacić kartą, będzie mógł także zrobić ta z pomocą aplikacji płatniczych w telefonie....

- Tak, będąc fizycznie w urzędzie, klient będzie mógł zrealizować płatność także przy użyciu BLIK i Peopay. Natomiast gdy chce wykonać transakcje zdalnie, czyli z przysłowiowej kanapy w domu, siedząc przed ekranem komputera czy smartfona, to będzie mógł zapłacić także przez Paybynet, który notabene też wykorzystuje kody BLIK.

A jakie wnioski z programu pilotażowego zostały wyciągnięte? Było coś zaskakującego?

- Po pierwsze okazało się, że - wbrew obiegowej opinii - mieszkańcy mniejszych miejscowości też są otwarci na płatności bezgotówkowe. Ale okazało się też, że niektóre samorządy mają takie regulacje, że do tego, by urząd mógł zacząć przyjmować płatności bezgotówkowe potrzebne są odpowiednie uchwały. Dostaliśmy relatywnie dużo zgłoszeń urzędów zainteresowanych wykorzystywaniem WebPOS-ów, co nas cieszy. Takie rozwiązania chcemy promować, bo przecież nie każdy urzędnik będzie miał przy okienku terminal POS. A kont do obsługi Web POS urząd może mieć nieograniczoną liczbę.

Jaki jest realny cel tego programu?

- Rządowy program "Od papierowej do cyfrowej Polski" przewiduje, że do 2020 roku 90 proc. urzędów będzie akceptowało płatności bezgotówkowe. Z pewnością Program pomoże w realizacji tego celu. Ważne jest by odwrócić relacje płatności bezgotówkowych do gotówkowych, tak aby w perspektywie 3-5 lat 80 proc. wszystkich płatności było realizowanych bez użycia gotówki.

Czy dyrektywa PSD2 mocno wpłynie na usługi KIR i funkcjonowanie banków?

- Z naszej perspektywy najważniejszy jest wpływ tej dyrektywy na ochronę e- tożsamości i danych dostępowych do banków. KIR wraz z bankami sprzeciwiał się idei screen scrappingu czyli udostępnianiu bankowych loginów na stronach innych instytucji, bo w dłuższej perspektywie byłoby to niebezpieczne. Ostatecznie nie można stosować tego mechanizmu, a w zamian będzie zbudowane sektorowe "Polish API." Chodzi o to, że dyrektywa nakłada obowiązek zbudowania takiego technicznego "łącznika", który pozwoli na możliwość inicjowania płatności bankowych przez podmioty niebankowe. My w KIR takie narzędzie zbudujemy, choć nie będzie ono dla banków obowiązkowe. Jeśli któryś bank będzie chciał zbudować własne "API", to będzie mógł to zrobić. Zakładam jednak, że większość banków skorzysta z naszego narzędzia, bo każdy z nich może do niego dołożyć swoje dodatkowe usługi. Przy czym warto zauważyć, że na polskim rynku już taka możliwość jest. Ten mechanizm jest wykorzystywany w paybylinkach, które pozwalają na to, żeby sama płatność była inicjowana np. na stronie sklepu internetowego, ale transakcja jest przekierowywana na stronę banku i tam jest realizowana.

Rozmawiała Monika Krześniak-Sajewicz