Digitális Állampolgárság Program, mint európai digitális személyiadat-tárca (3. rész)
A Digitális Állampolgárság Program egyes elemeivel és az elektronikus aláírás gyakorlati kérdéseivel foglalkozó cikksorozatunk harmadik részében részletesen elemezzük, hogy milyen problémák merülnek fel a hatályos szabályozással az elektronikus ügyintézés során, és milyen megoldásokat fog kínálni a DÁP.
A korábbi cikkekben bemutattam az eIDAS rendelet módosítása által létrehozott új jogintézményeket, közöttük az ún. európai digitális személyiadat-tárcát is. Az erre vonatkozó keretszabályok teremtik meg a lehetőségét, illetve az eIDAS további rendelkezései minden tagállam számára annak kötelezettségét, hogy legalább egy ilyen digitális személyiadat-tárca keret-alkalmazást biztosítsanak a tagállam állampolgárai számára.
A DÁP-ról, valamint a szabályozási kereteket adó jogszabályok változásiaról szóló írásainkat, interjúinkat és podcastokat itt gyűjtöttük össze, és folyamatosan frissítjük
Fentiek alapján a Digitális Állampolgárság Program nem magyar találmány, hanem egy uniós kötelezettség teljesítésének a megvalósulása, tekintettel arra, hogy az EU deklarált célja az, hogy 2030-ra az uniós állampolgárok 80%-a elektronikusan intézze ügyeit. Ennek oka az, hogy az elektronikus ügyintézés gyors, egyszerű, energiatakarékos, valamint papír- és környezetkímélő.
Sokan tartanak attól, hogy ez eszköz lehet az állam számára az állampolgárok megfigyelésére, azonban az általános jogállami fékek és ellensúlyok rendszerén túlmenően maga az eIDAS rendelet is tartalmaz (az első cikkben felsorolt) biztosítékokat, valamint erre tagállami és uniós felügyeletet is biztosítani kell.
Ahogy arról korábban már szót ejtettünk, az elektronikus ügyintézés alapvető rész-funkciói, vagy pillérei az
- azonosítás,
- hitelesítés
- (aláírás),
- kézbesítés,
- archiválás,
- fizetés.
Jelenleg ezeket a funkciókat a digitális államról és a digitális szolgáltatások nyújtásának egyes szabályairól szóló 2023. évi CIII. törvény (DÁPtv.) átmeneti rendelkezései alapján még a már hatályon kívül helyezett, az elektronikus ügyintézés és a bizalmi szolgáltatások általános szabályairól szóló 2015. évi CCXXII. törvény (Eüsztv.), és annak még jelenleg is hatályos végrehajtási rendelete, az elektronikus ügyintézés részletszabályairól szóló 451/2016. (XII. 19.) Korm. rendelet szabályozza. Ezen rendelkezések alapján az
- az azonosítási funkciót a Központi Azonosítási Ügynök (KAÜ, és annak jelenleg még működő 5 fiókja: a DÁP eAzonosítás, az emelt szintű kétfaktoros Ügyfélkapu+, a “sima” Ügyfélkapu, az elektronikus személyi igazolvány, a telefonos azonosítás és az arcképes azonosítás) valósítja meg,
- a hitelesítési funkciót az azonosításra visszavezetett dokumentumhitelesítés (AVDH),
- a kézbesítési funkciót az ún. Biztonságos Kézbesítési Szolgáltatás (BKSZ), ismertebb nevén az Ügyfélkapu és Cégkapu “tárhely” (a nehezebb érthetőség érdekében hívják még “Központi Ügyfél-regisztrációs Nyilvántartáshoz tartozó tárhely”-nek (KÜNY-tárhely) is),
- az archiválási funkciót a fenti BKSZ “Tartós tár”,
- a fizetési funkciót (amit egyébként nem szabályoz az eIDAS) pedig az Elektronikus Fizetési és Elszámolási Rendszer (EFER)
biztosítja.
A fenti szolgáltatások azonban nem felelnek meg az eIDAS elvárásainak, így azokat le kell cserélni, de az eIDAS megfelelőségen kívül az alábbi problémák merülnek még fel:
Az azonosítás kapcsán felmerülő problémák
A telefonos azonosítás nem a legbiztonságosabb megoldás, de szerencsére nem is használták sokan, így az ezek miatt kivezetésre kerül. Szintén kivezetésre kerül a nehezen használható arcképes azonosítás, valamint az egyébként nagyon biztonságos, de szintén nehézkesen és ezért kevesek által használt eSzemélyi azonosítás. Ezek azonban keveseknek fognak hiányozni.
Ugyanakkor nagyon fontos, hogy 2025. január 15-én kivezetésre kerül a “sima” Ügyfélkapu is, azaz eddig az időpontig mindenkinek, aki eddig ügyfélkapus bejelentkezést használt, döntenie kell, hogy bekapcsolja magának a jóval biztonságosabb, ún. kétlépcsős azonosítást biztosító Ügyfélkapu+t (“Ügyfélkapu plusz”), vagy regisztrál a Digitális Állampolgárság Programra.
Az átállás oka, hogy egyrészt az egyszerű felhasználónév és jelszó páros nem megbízható azonosítás, könnyen ellopható kamerás megfigyeléssel is akár, vagy ún. keylogger, azaz billentyűleütéseket rögzítő kémszoftverrel, illetve szándékosan, vagy akár véletlenül is lementhető a böngészőbe, nem beszélve arról, hogy ha valaki mindenhol ugyanazt a felhasználónév és jelszó párost használja, akkor az meglehetősen sebezhetővé teszi a feltörésekkel szemben, továbbá a rossz nyelvek szerint több tízezer Ügyfélkapu felhasználónév és jelszó páros vehető a darkweben.
Fentieken túlmenően tapasztalat az is, hogy sokan megadják a felhasználónév és jelszó párosukat a könyvelőnek, mondván, hogy ő csak így tud bevallásokat benyújtani, ami egész egyszerűen nem igaz. A könyvelő részére meghatalmazást tudunk adni a NAV ONYA rendszerben az ÚJEGYKE nevű nyomtatvánnyal, vagy cégkapu-megbízotti státusz adható a https://cegkapu.gov.hu oldalon, vagy akár külön meghatalmazás a Rendelkezési Nyilvántartásban, amit követően a könyvelő (de természetesen akár más megbízott, vagy adminisztrátor, ügyvédek esetében ügyvédasszisztens, vagy ügyvédjelölt is) a saját KAÜ bejelentkezési azonosítóival tud hozzáférni a szükséges felületekhez a megbízója/meghatalmazója nevében.
Az Ügyfélkapu+ viszonylag egyszerűen és gyorsan bekapcsolható bárki által, aki már rendelkezik Ügyfélkapu hozzáféréssel. Ehhez a https://ugyfelkapu.gov.hu oldalon bejelentkezve az “Ügyfélkapu+ igénylés” menüpontot választva tudunk eljutni. Az Ügyfélkapu+ bekapcsolásához szükségünk lesz egy okostelefonra, amire már előtelepítettük – választásunk szerint – vagy a Google Authenticator, vagy a Microsoft Authenticator applikációt (telepítésnél nagyon figyeljünk oda, mert kihasználva a figyelmetlenségünket, sok fejlesztő ajánlja a saját, nem megbízható termékét, ezért jól nézzük meg, hogy pontosan mi a szoftver neve. (A Google Authenticator hivatalos elérhetősége Androidon: https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=hu, iOS-en: https://apps.apple.com/us/app/google-authenticator/id388497605, a Microsoft Authenticator hivatalos elérhetősége Androidon: https://play.google.com/store/apps/details?id=com.azure.authenticator&hl=hu, iOS-en: https://apps.apple.com/us/app/microsoft-authenticator/id983156458).
Az Ügyfélkapu+ aktiválása során a felület ad egy QR-kódot, amit a mobiltelefonra előtelepitett autentikációs alkalmazással le kell olvasnunk, majd a telefon 30 másodpercenként kódokat dob fel. Ezt a kódot kell beírnunk az Ügyfélkapu+ aktiválási folyamat következő lépéseként a számítógépen, amivel a folyamat befejeződik. Ekkor kapunk egy törlőkódot, amit jól tároljunk el egy biztonságos helyen, mert ha kizárnánk magunkat az Ügyfélkapu+-ból, akkor ezzel tudunk újat beállítani.
Nagyon fontos, hogy mind a számítógép, mind a telefon órája pontosan legyen beállítva, mert ennek hiányában nem fogjuk tudni használni a rendszert!
Az Ügyfélkapu+ sikeres aktiválását követően a “sima” Ügyfélkapu többé nem használható, minden bejelentkezési felületen az Ügyfélkapu+ opciót kell választanunk, és a megszokott felhasználónév valamint jelszó páros megadása után még be kell írnunk a telefonunk által feldobott kódot is, csak így tudunk bejelentkezni.
Ettől jóval egyszerűbb bejelentkezési megoldást biztosít a DÁP applikáció, mivel ott vagy az alkalmazásban kell jóváhagynunk a bejelentkezést, ha mobileszközről kívánunk belépni, vagy pusztán egy QR-kód mobiltelefonos leolvasásával, ha számítógépen (vagyis semmilyen kódot nem kell begépelnünk). Fontos azonban tisztában lenni azzal, hogy aki aktiválja a DÁP regisztrációját, az ugyan még 2025. december 31-ig használhatja az Ügyfélkapu+ bejelentkezési módszert, de többé már nem térhet vissza rá még akkor sem, ha inaktiválja a DÁP regisztrációját.
A DÁP regisztrációt az alkalmazás letöltését követően kormányablakban tudjuk elvégezni, vagy akinek olyan személyi igazolványa van, aminek a bal felső sarkában található egy uniós zászló, és ismeri az igényléskor – zöld szélű borítékban – kapott PIN kódját, az a mobiltelefonon is tud regisztrálni az alkalmazás segítségével.
Ez a bejelentkezés jóval biztonságosabb, mint bármelyik másik, mivel itt minden esetben egyrészt a telefonunkat is fel kell oldani, valamint a DÁP applikációt is vagy egy általunk megadott PIN-kóddal, vagy a telefonon bekapcsolt biometrikus azonosítással (ujjlenyomat, vagy arckép), és ezt követően tudjuk jóváhagyni a bejelentkezést. Vagyis a tudtunk és engedélyünk nélkül más bizonyosan nem tud bejelentkezni.
A hitelesítés kapcsán felmerülő problémák
A jelenleg széles körben alkalmazott AVDH 2024. december 31. napjával megszüntetésre kerül. Ehelyett biztosít (a törvény szerint 2024. szeptember 01. napjától, azonban jelenleg még nem működik, így csak) majd ún. eAláírási funkciót a DÁP keretrendszer és maga az applikáció is. Ez már az eIDAS szerinti ún. minősített elektronikus aláírás lesz majd, ami minden EU tagállamban egyenértékű a kézi aláírással, azonosításra is alkalmas (az aláírás ún. tanúsítványán keresztül), és a magyar jog szerint teljes bizonyító erejű magánokirat létrehozására alkalmas, valamint ügyvéd által ellenjegyezhető. Ennek megfelelően cégeljárásban és ingatlan-nyilvántartási eljárásban is használható lesz, fontos korlátozás azonban, hogy kizárólag magánszemélyként, azaz üzleti célra és jogi személy képviseletében nem lesz használható.
Az eAláírás előnye az AVDH-val szemben, hogy míg az AVDH tartalmazza az ún. 4T (természetes) személyazonosító adatainkat (így a születési név, születési hely és idő, valamint édesanyánk születési neve), addig az eAláírás tanúsítványa kizárólag a nevünket, esetleg az e-mail címünket és a tanúsítvány azonosítóját fogja tartalmazni. Ezzel kiküszöbölhető például az a probléma, hogy a jogi képviselő személyes adatai utaznak a képviselt ügyfél nevében elektronikusan benyújtott iratokkal. De fentieken túlmenően, míg az AVDH külföldön nem használható, addig az eAláírás minden más EU tagállamban is azonos hatályú hitelesítést jelent.
A kézbesítés tekintetében felmerülő problémák
A BKSZ legnagyobb problémája jelenleg az, hogy azon keresztül kizárólag az állam és hatóságai tudják a kapcsolatot tartani az állampolgárokkal, vagy a gazdálkodó szervezetekkel, de nincs lehetőség arra, hogy állampolgár állampolgárnak, gazdálkodó szervezet gazdálkodó szervezetnek, vagy állampolgár gazdálkodó szervezetnek (és viszont) tudjon hitelesen elektronikus küldeményt kézbesíttetni.
Ezen túlmenően a BKSZ nem az eIDAS szerinti ún. minősített ajánlott kézbesítési szolgáltatás, ami minden tagállamban kézbesítési fikciót keletkeztetne. Ennek megfelelően szükséges lesz lecserélni a BKSZ-t egy eIDAS-nak megfelelő, és mindenki számára egységesen elérhető, bárki számára kézbesítésre alkalmas felületre, ez lesz az ún. ePosta szolgáltatás. Fontos hangsúlyozni, hogy az eIDAS módosítása alapján ezeket a szolgáltatásokat összekapcsolhatóvá kell tenni, mivel lehetőséget kell biztosítani arra, hogy az egyes – különböző tagállami – digitális személyiadat-tárcák között az állampolgárok bármilyen adatot megoszthassanak. Ez azt is jelenti, hogy ezeket a – hiteles (“tértivevényes”) – elektronikus kézbesítési szolgáltatásokat ugyanúgy össze kell kapcsolni majd, mint ahogy az egyes tagállami postaszolgáltatások összekapcsolásra kerültek már jóval korábban, és természetes számunkra az, hogy a postán feladott küldeményünk minden probléma nélkül megérkezzen bármelyik másik tagállamban élő/működő címzett számára.
Az archiválás tekintetében felmerülő problémák
Az elektronikus okirataink hosszú távú megőrzéséről nekünk kell gondoskodnunk. Ennek (az eIDAS rendelet és a jelenleg hatályos 1/2018 ITM rendelet rendelkezései alapján) háromféleképpen tehetünk eleget:
- az eIDAS szerinti minősített archívum szolgáltatás igénybevételével, mely esetben az elektronikus okiratainkat átadjuk egy minősített bizalmi szolgáltatónak és így ez a szolgáltató köteles gondoskodni az elektronikus okirat hosszú távú olvashatóságáról és hitelességének biztosításáról. Az eIDAS módosítása alapján az ilyen szolgáltatással eltárolt okiratokhoz az a vélelem kapcsolódik, hogy azok a megőrzés időszaka alatt sértetlenek és hitelesek.
- Mi magunk gondoskodunk az elektronikus okiratok biztonságos megőrzéséről, ennek keretében az olvashatóság, sértetlenség és a hitelesség biztosításáról. Ez technikailag úgy történik, hogy a legutolsó időbélyeg érvényességi idejének lejárta előtt újabb időbélyeggel felülidőbélyegezzük az okiratainkat. Ez viszonylag egyszerűen algoritmizálható folyamat, és már vannak a piacon ezt biztosító szoftveres megoldások.
- Megbízunk egy piaci – de nem bizalmi – szolgáltatót, hogy a fenti követelményeknek megfelelő őrzést és felülhitelesítést biztosítsa.
Amennyiben külső szereplőt bízunk meg ezzel, úgy fontos megfelelően megvizsgálni az üzleti (ügyvédi) titkok biztosítását is.
A magánszemélyek és gazdálkodó szervezetek számára a részükre az állam és hatóságai által küldött hiteles okiratok hosszú távú megőrzésére állami megoldásként jelenleg kizárólag a BKSZ “Tartós tár” áll rendelkezésre, ami csak az oda érkező küldemények eltárolását teszi lehetővé, és magánszemélyként legfeljebb 30Mb, míg gazdálkodó szervezet (Cégkapu) tárhelyén legfeljebb 300Mb mennyiségű irat tárolható el, ami borzasztóan kevés.
Az ígéret szerint az ezt felváltó eDokumetumtár eIDAS-megfelelő archívum-szolgáltatás lesz, ahová nem csak az ePostán érkező hiteles okiratainkat tudjuk eltárolni, hanem bármilyen, általunk oda feltöltött iratot.
A fizetés tekintetében felmerülő problémák
A fizetés tekintetében nyilván fontos biztosítani, hogy az egyes eljárási költségeket az elektronikus ügyintézés folyamatában, annak megszakítása nélkül biztonságosan és ügyfélbarát módon meg tudjuk valósítani (hiszen nyilván nem lenne ügyfélbarát, ha a számítógép elől felállva a postára kellene mennünk, hogy ott “sárga” csekken befizessük az ügyintézés díját és utána ezt a csekk beszkennelésével igazoljuk vissza). Ezt hivatott biztosítani majd az EFER-t leváltó eFizetés, ami az ígéret szerint az összes jelenleg használatos elektronikus fizetési megoldást (bankkártya, azonnali átutalás, qvik) biztosítani fogja.
Ugyanakkor fontos kihangsúlyozni, hogy az eAzonosítási, eAláírási, ePosta, eDokumentumtár és eFizetési szolgáltatás kizárólag a DÁP-ra regisztrálók és regisztrációjukat aktiválók számára, a DÁP keret-alkalmazásban lesz elérhető; azok számára, akik maradnak az Ügyfélkapu+ azonosítási megoldás mellett, azok ezeket a szolgáltatásokat nem fogják tudni élvezni.
Alábbi táblázatban foglaltam össze az egyes ügyintézési szolgáltatásokat a könnyebb áttekinthetőség érdekében:
Offline |
eIDAS |
Eüsztv/Vhr. |
DÁP |
Személyes Azonosítás okmánnyal |
Elektronikus Azonosítás |
KAÜ (5 fiók) |
KAÜ eAzonosítás |
KAÜ Ügyfélkapu+ |
Kézi aláírás |
Hitelesítés (Aláírás) |
AVDH |
eAláírás |
? |
Posta |
Kézbesítés |
BKSZ (“Tárhely”) |
ePosta |
? |
Irattár |
Archiválás |
BKSZ Tartós Tár |
eDokumentumtár |
? |
“Sárga” Csekk/
illetékbélyeg |
|
EFER |
eFizetés |
? |
A cikk szerzője dr. Kósa Ferenc ügyvéd, a VI. Wolters Kluwer Jogászdíj Közönségdíjasa, a Magyar Elektronikus Aláírás Szövetség Egyesület elnöke.