Jak se pomocí BankID (ne)přihlašuje ke službám komerčních poskytovatelů?
První komerční poskytovatelé služeb (např. sázkové kanceláře, pojišťovny apod.) už reálně využívají bankovní identitu. Zatím ale spíše k jednorázovému ověření svých klientů při jejich registraci než k jejich rutinnímu přihlašování.Společnost Bankovní identita a.s., která pro tuzemské banky provozuje službu BankID, minulý týden oznámila, že její produkt již využívají „první inovativní české firmy“. A pravdou je, že jejich výčet až tak krátký není. Na následujícím obrázku jde o firmy v levém sloupci (zatímco ty v pravém sloupci na zprovoznění služeb bankovní identity teprve pracují).
Nicméně, pokud jako běžní uživatelé internetu zabrousíte na webové stránky uvedených firem do míst, kde byste nabídku využití bankovní identity očekávali, nejspíše ji tam nenajdete. Tedy s výjimkou společnosti na prvním místě v levém sloupci, kde nabídku přihlášení pomocí bankovní identity skutečně najdete.
Důvody si zaslouží malé vysvětlení a souvisí s tím, že elektronická identifikace je jeden termín, který se používá ve dvou odlišných významech, resp. pro dvě docela odlišné věci. A to platí jak obecně, tak i pro služby elektronické identifikace, které nabízí BankID. V praxi se to často plete a vznikají kvůli tomu různá nedorozumění.
Shodou okolností jsem to nedávno rozebíral ve svém příspěvku na konferenci Internet a technologie 21: jeden význam „elektronické identifikace“ je ve smyslu jednorázového vytvoření (a „naplnění“) elektronické identity. Můžeme si to nejsnáze představit jako určité „zavedení do systému“, zahrnující získání potřebných atributů příslušné fyzické osoby, vytvoření jeho elektronické identity a přidělení „prostředků elektronické identifikace“ pro možnost prokazovat se právě zřízenou elektronickou identitou. V praxi jde nejčastěji o jednorázovou registraci, vytvoření uživatelského účtu (a jeho naplnění požadovanými údaji) a vydání přístupových údajů.
Druhý význam pojmu „elektronická identifikace“ pak odpovídá častěji se opakující situaci, kdy již existuje (bylo vytvořeno) více elektronických identit a je potřeba mezi nimi vybrat jednu konkrétní. Nejčastěji k tomu dochází při přihlašování, kdy přihlašující se uživatel výběrem jedné konkrétní identity chce deklarovat, za koho se vydává (a pak musí následovat ještě fáze autentizace, v rámci které přihlašující se uživatel prokazuje, že je skutečně tím, za koho se vydává).
Zpět ale ke službám bankovní identity: ty jsou strukturovány do tří variant, z nichž dvě (IDENTIFY a CONNECT) vychází vstříc oběma výše popisovaným významům termínu „elektronická identifikace“: IDENTIFY se využívá pro ověření při jednorázovém „zavádění do systému“ (registraci, zřízení účtu atd.) a má více možných úrovní (IDENTIFY, IDENTIFY PLUS a IDENTIFY AML) podle toho, co všechno poskytovatel služby chce (resp. potřebuje) o svém zákazníkovi vědět. Služba CONNECT je pak už podle svého názvu určena k opakovanému „připojování“ (přihlašování) klientů.
Jednotlivé varianty služeb bankovní identity, která je ryze komerční službou, se pochopitelně liší i co do svých cenových podmínek (v příslušném ceníku služeb). No a z toho, jaká je realita v online světě (kde jsem možnost přihlašování pomocí bankovní identity našel jen u jedné společnosti), usuzuji, že komerční poskytovatelé služeb – alespoň prozatím – dávají přednost službám IDENTIFY a využití bankovní identity jen pro jednorázové „zavedení“ klienta do svého systému.
Ostatně, i nedávná tisková zpráva společnosti Bankovní identita a.s., která oznamuje využití služeb bankovní identity „prvními inovativními firmami“, hovoří o ověřování, a nikoli o přihlašování.
Proto se i u firem, které deklarují podporu bankovní identity, s jejím praktickým využitím „na první pohled“ nesetkáte. Většinou na ni narazíte až „hlouběji“, v rámci konkrétních registračních postupů, v některém z dalších kroků, kdy je zapotřebí vaše dostatečně spolehlivé ověření. Třeba takové, kvůli kterému byste jinak museli osobně na pobočku, případně potřebovali úředně ověřený podpis apod.
Konkrétní příklad: zřízení účtu v klientské zóně
Jako příklad vám zde mohu ukázat zřízení účtu v klientské zóně pojišťovny Generali Česká pojišťovna, který jsem si nechal zřídit pro potřeby tohoto článku.
Zřizování účtu začalo ještě bez jakéhokoli náznaku, že v procesu zřizování bude možné ověření pomocí bankovní identity, to jsem si musel sám dovodit z tiskové zprávy.
Teprve v dalším kroku se objevila nabídka na využití bankovní identity k mému ověření.
Když jsem tuto možnost navolil, dostal jsem se na rozcestník s možností vybrat si banku, přes kterou se chci autentizovat.
Není BankID jako bankovní identita
Na rozcestníku pro volbu banky mne poněkud překvapily dvě věci. Jednou z nich je nabídka pouhých dvou bank, konkrétně ČSOB a České spořitelny pro zde popisované „soukromoprávní“ přihlašování, resp. ověřování – zatímco při „veřejnoprávním“ přihlašování přes NIA je výčet bank větší.
Vysvětlení je takové, že jde opět o dvě různé věci: „veřejnoprávní“ (a bezplatné) využití bankovní identity pro přihlašování přes NIA ke službám „veřejnoprávních“ poskytovatelů služeb (plus některých dalších, kteří mají právo využívat služby NIA), kdy jsou banky v postavení kvalifikovaných správců kvalifikovaných systémů elektronické identifikace, je něco jiného než (zpoplatněné) poskytování služeb elektronické identifikace komerčním poskytovatelům skrze společné řešení bank, provozované společností Bankovní identita a.s. a nabízené pod označením BankID.
Ale dovolím si předpokládat, že je spíše jen otázkou času, kdy se počty zapojených bank vyrovnají.
Je to ale mimochodem docela nepříjemná terminologická komplikace: jak od sebe odlišit obě varianty, aby tomu rozuměla i širší veřejnost a nepletlo se to?
Původně, když se ještě používal termín SONIA (jako zkratka od: SOukromoprávní NIA), to ještě mohlo být relativně jednoduché a intuitivní: přihlašování (či ověřování) „přes NIA“ bylo to veřejnoprávní a „přes SONIA“ bylo to soukromoprávní. Byly to dva různé scénáře, resp. způsoby využití bankovní identity, chápané ve smyslu samotné metody identifikace a autentizace fyzických osob (s využitím toho, co jednotlivé banky vědí a svých klientech).
Jenže pak termín „SONIA“ vyšel z módy a byl nahrazen pojmem BankID, čímž se setřel původně dobře patrný rozdíl mezi (bankovní) identitou a jejím využitím. Protože termín „BankID“ je běžně chápán jak ve smyslu samotné (bankovní) identity, tak i jejího využití (jako služba). Nahrává tomu i jeho tvar, zahrnující zkratku ID.
Podle terminologického doporučení bankovní asociace i samotné společnosti Bankovní identita a.s. by ale pojem „BankID“ měl být chápán v užším smyslu, jen jako způsob využití bankovní identity – jeden ze dvou, a to „ten soukromoprávní“. Zjednodušeně: jen ve smyslu původního „přes SONIA“. Nikoli „přes NIA“.
Jinými slovy: „přes NIA“ se můžeme přihlásit různými způsoby a jedním z nich je „pomocí bankovní identity“. Dnes přitom máme na výběr z 5 bank, resp. jimi vedených bankovních identit (viz obrázek výše).
Naproti tomu ke komerčním (soukromoprávním) poskytovatelům služeb, typu právě popisované Generali České pojišťovny, se také můžeme přihlásit pomocí bankovní identity, ale „přes BankID“. Dnes přitom máme na výběr ze 2 bank, resp. jimi vedených identit.
Ještě jednodušeji: „přes NIA“ a „přes BankID“ jsou dvě vzájemně se vylučující alternativy. Obě ale využívají bankovní identitu (jako metodu).
Kdo provozuje rozcestník?
Po tomto malém terminologickém exkurzu se již můžeme vrátit zpět k praktické ukázce s ověřením pomocí bankovní identity „přes BankID“.
Další věc, která mne trochu překvapila, byl samotný rozcestník: v případě mého ověřování u Generali České pojišťovny je rozcestník provozován touto společností (viz červený rámeček na obrázku s rozcestníkem). Tedy poskytovatelem služby, a nikoli prostředníkem (službou BankID). Připomeňme si to na levé části následujícího obrázku.
Zajímavé je, že při přihlašování pomocí bankovní identity (u jediné společnosti, kde jsem jej našel, v pravé části obrázku) není rozcestník pro výběr banky provozován samotným poskytovatelem služby, na jeho doméně, ale prostředníkem – společným řešením bank, které provozuje společnost Bankovní identita a.s. Tedy službou BankID.
Asi se tedy způsob řešení rozcestníku liší podle toho, zda je využíván ve službě CONNECT (pro opakované přihlašování), nebo IDENTIFY (pro jednorázové ověření).
Souhlas s předávanými údaji
Když jsem pokračoval ve zřizování účtu v klientské zóně Generali České pojišťovny a z nabídky dvou bank vybral Českou spořitelnu, dostal jsem se na její obvyklou přihlašovací stránku.
Zde bych očekával nějakou detailnější identifikaci toho, odkud požadavek pochází (pro eventuální souběh požadavků), ale aspoň jsem se dozvěděl, že požadavek se týká klientské zóny. To druhá banka (ČSOB) mi v tomto ohledu přijde přeci jen o něco sdílnější. Srovnání ukazuje i následující obrázek, na kterém je přihlašování pomocí BankID.
Zpět ale ke konkrétnímu postupu: ten je v zásadě stejný jako při využití bankovní identity „přes NIA“ (či při přihlašování ke službám banky jako takové) – musíte se přihlásit (ke své bance) takovým způsobem, jaký máte (u své banky) nastavený či navolený. V mém případě jsem po zadání čísla klienta musel potvrdit přihlášení (k bance) pomocí jejího (mobilního) klíče.
Když jsem to udělal, musel jsem ještě vyjádřit souhlas s předáním svých údajů (od banky, tj. České spořitelny, směrem k poskytovateli služby, tj. Generali České pojišťovně).
Zde mne trochu překvapilo, že po rozkliknutí detailu k předávaným informacím jsem se nedozvěděl (resp. nenašel možnost zobrazit si) jejich konkrétní hodnoty, a tudíž ani zkontrolovat jejich správnost. Také mne (již trochu více) překvapilo, že výčet předávaných údajů neodpovídá žádné z inzerovaných variant služby IDENTIFY (ani CONNECT).
Přesto jsem předání údajů odsouhlasil a to mělo řádně proběhnout.
Pokud jsem správně pochopil konstrukci služeb BankID, je v rámci nich vždy předáváno minimálně jméno (a příjmení) a také telefonní číslo a e-mail. Připomeňme si to následujícím obrázkem.
Přesto po mně poskytovatel služby ještě následně chtěl ověřit právě e-mail a telefonní číslo.
Pravdou je, že e-mail a telefonní číslo nebyly ve výčtu předávaných údajů, které jsem musel odsouhlasit (ale zadával jsem je v úplně prvním kroku). Znamená to tedy, že konkrétní varianty služeb BankID (CONNECT, IDENTIFY) nabízí určitý výčet údajů o klientovi, ale ten, kdo je využívá, je nemusí přebírat všechny a může si z nich vybrat jen určitou podmnožinu? A „vynechané“ údaje si pak poskytovatel služby zjišťuje či ověřuje sám?
No, moc práce s tím nebylo, ale stejně mi to přijde zbytečné. Nebo je to ještě ne úplně dokončená implementace služeb BankID na straně Generali České pojišťovny, kdy bankovní identita nahrazuje jeden z původně vyžadovaných kroků, ale ještě nedošlo k odstranění dalších, nyní již nadbytečných kroků?
No, uvidíme, určitě o využití bankovní identity „přes NIA“ i „přes BankID“ zde na Lupě nepíšeme naposledy.
