sâmbătă, 1 aprilie 2023

Costul ignorat al identității electronice (eIDAS #71)

Identitatea electronică stă la baza oricărei interacțiuni electronice online. Rolul ei este de a singulariza utilizatorul din grupul general, al clienților sau chiar al cetățenilor. Limitele sale sunt limite naturale pentru serviciile care o utilizează, riscurile sale sunt riscuri ale serviciului online prestat.

În continuare voi analiza limitele acceptate pentru riscul asociat identității electronice azi, pornind de la practicile comerciale și până la întrepătrunderea acestora cu activitatea guvernamentală în cel mai recent mediatizat serviciu public – cazierul online.

Identitatea electronică eID are o componentă inițială - identificare utilizatorului, uneori cu verificarea existenței unei persoane reale cu acel set de atribute, și o componentă repetitivă – autentificarea la fiecare accesare a serviciului prin care utilizatorul își demonstrează asocierea cu identitatea inițială.

Ambele componente au costuri care cresc exponențial odată cu nivelul de siguranță dorit. Este firesc așadar ca orice prestator de servicii online să-și dorească o optimizare prin reutilizarea unor eID deja existente, emise de altcineva. Acel altcineva, la rândul său, nu dorește riscuri și răspundere față de activitatea unui terț de pe urma căreia nu are un beneficiu.

Este important de reținut că o reutilizare corectă a unui eID este cea în care asumarea, respectiv așteptarea, din partea părților sunt egale.


Pentru claritate voi da un exemplu din zona furnizorilor mei de servicii.

Banca mea promovează sistemul de aprobare a plăților online bazat și pe un cod unic trimis prin SMS. Practic se prezumă siguranța faptului că acel SMS ajunge doar la clientul său. Însă în contractul bancar spune că:

8.1.6. Banca nu va fi răspunzătoare pentru nerecepționarea de către client a mesajelor SMS-OTP aferente serviciului (...) in cazul in care clientul a declarat băncii un număr de telefon eronat si nici pentru recepționarea acestor mesaje de către alta persoana care utilizează in fapt, la orice moment pe perioada derulării contractului (), numărul de telefon declarat de către client pentru acest serviciu.

Cum ar putea „altă persoană” să utilizeze, fără acordul tău, numărul tău de telefon?

O metodă frecventă la nivel mondial constă în păcălirea operatorului de telefonie să emită un nou SIM către cel care îți asumă identitatea. Acest lucru este mai simplu sau mai complicat în funcție de procedurile operatorului, practic de costurile pe care acesta este dispus să le aibă. Într-un context economic, aceste costuri sunt justificate de riscul financiar asociat iar operatorul meu a ales să-l limiteze astfel:

9.3. In cazul nerespectării oricăror clauze contractuale de către (...), valoarea maxima a despăgubirilor acordate Beneficiarului la cererea acestuia este limitată la valoarea unui abonament lunar și va fi stabilita proporțional cu perioadele de nefuncționare a serviciului sau va fi stabilita cel mult la contravaloarea unui abonament lunar pentru alte situații.

Așadar despăgubirea maximă la care mă pot aștepta dacă greșeala lor dă acces altei persoane la numărul meu de telefon este de 5 euro.

Astfel un factor de autentificare limitat la 5 euro este folosit curent ca bază pentru operațiuni bancare de mii de euro. Diferența dintre valoarea pagubei și suma de 5 euro va fi suportată de utilizator.

Situația aceasta a apărut spontan, prin congruența unor interese distincte.


Există însă și o abordare holistică, într-un domeniu foarte apropiat, cel al semnăturilor electronice calificate. Este o zonă acoperită preponderent tot de furnizori privați însă legiuitorul a organizat un sistem de asigurare bazat pe doi piloni.

În abordarea interesului economic propriu, furnizorul de certificate calificate este obligat să-și asigure capacitatea de a acoperii pierderi ale utilizatorului de un prag minim, care în România este de 10.000 euro.

În abordarea clasică guvernamentală există o Autoritate dedicată (Autoritatea pentru Digitalizarea României ADR) care verifică calitatea tehnică a activității furnizorului.

Atunci când furnizorul nu urmărește profitul fiind o instituție de stat, precum STS, nu mai este necesară demonstrarea capacității financiare, acesta neavând o presiune de reducere a costurilor și nici perspectiva anulării răspunderii prin faliment.

Într-o piață matură a certificatelor calificate totuși, pe lângă preț, și celelalte condiții de tip limitări din partea furnizorului ar trebui luate în considerare.


Putem observa că interacțiunea între cei care măsoară riscul și răspunderea în cheie economică și cei care o fac în cheie legală (penală) este natural dificilă din perspectiva alinierii riscului. Un astfel de ecosistem mixt este Sistemul Național Electronic de Plăți SNEP, vizibil sub forma ghiseul.ro și reglementat de HG 1235/2010. Este un proiect de succes care a reușit să aducă flexibilitatea și productivitatea mediului comercial într-o zonă specifică instituțiilor publice.

Cheia succesului a fost acoperirea cheltuielilor și riscului asumate de emitenții de carduri care au creat Ghiseul.ro pentru ADR prin valoarea comisioanelor aferente plăților către instituțiile publice. În acest sistem nu mai există clauze restrictive de tipul celor citate mai sus, totul este reglementat prin HG și normele subsecvente.


Odată cu interconectarea cu HUB MAI pentru emiterea cazierului online, ADR devine, aparent, pentru prima dată, furnizor de eID pentru altă instituție publică. Este necesar să analizăm această relație strict din perspectiva normelor legale aplicate, mă voi axa pe acele eID apărute prin procedura înrolării în ghiseul.ro cu ajutorul unui card bancar. Etapele analizate sunt următoarele:

Utilizatorul își deschide cont prin simularea unei plăți cu cardul său bancar. Tehnic acesta a fost deja identificat de banca sa atunci când i s-a emis cardul, acum este o procedură de autentificare. După autentificare bancă îi creează credențiale în SNEP.

Conform informațiilor primite de la ADR singura normă incidentă pentru această activitate se regăsește în Norma Metodologică emisă de ADR în 25.01.2021, respectiv doar această prevedere:

(3) Datele de acces necesare pentru autentificarea contribuabililor în SNEP sunt puse la dispoziția contribuabililor de către distribuitorii de date de acces prin unul dintre următoarele mijloace, după caz:

b) prin mijloace electronice securizate.

Cum nu există norme tehnice naționale cu privire la autentificarea electronică putem accepta că procedura reprezintă un „mijloc tehnic securizat” prin care se emite un nou mijloc de autentificare SNEP.


Din ghiseul.ro utilizatorul accesează un link către MAI prin care ajunge în pagina de înrolare în HUB MAI. Această pagină reprezintă o procedură de identificare aferentă MAI iar tăria sa este dată de componentele sale. Evident, MAI verifică existența persoanei în bazele sale de date, rămâne doar întrebarea calității serviciului de autentificare oferit de ADR, respectiv de creatorul respectivului eID – Emitentul Cardului EC.

Observăm că nu există o relație directă între EC și MAI, obligațiile EC sunt doar față de SNEP. Face parte MAI din SNEP? Nu cu procedura cazierului online deoarece aceasta nu implică o plată electronică (scop limitat al SNEP definit de HG1235) și nici nu tranzitează serverele SNEP.

Suntem așadar într-o situație neclară, o construcție juridică incompletă, din cauza mai multor motive decât descrierea simplificată de mai sus. Nu știm dacă cazierul online se obține cu o identificare care angajează răspunderea MAI, ADR sau a emitentului cardului.


Am putea încheia în acest ton pesimist însă mai există un factor important – GDPR. Acesta nu condiționează protecția datelor personale de valoarea serviciului, în egală măsură sunt protejate și scenariile gratuite. Clauzele contractuale pot limita valoarea despăgubirii civile dar nu pot limita răspunderea și amenda pentru o greșeală care duce la afectarea datelor personale. Răspunderea rămâne chiar dacă scenariul de utilizare ulterioară nu-i aparține și nu a fost aprobat de operatorul de date în culpă.


Astăzi, odată cu perspectiva clară a Cărții Electronice de Identitate, care nu suferă de acest întreg complex de probleme fiind o construcție autonomă, ar trebui decis dacă continuăm cu astfel de improvizații în zona serviciilor guvernamentale sau ne axăm pe o singură soluție, asumată de MAI. În privința operatorilor de telefonie mobilă și a instituțiilor bancare, ambele industrii au Autorități de supraveghere dedicate care ar trebui să analizeze contractele standard și din această perspectivă, a drepturilor minimale acordate utilizatorilor.

Niciun comentariu:

Trimiteți un comentariu