Jedním z důležitých témat, kterým jsme se na konferenci e-government 20:10 v Mikulově věnovali, byla realizace Evropské peněženky digitální identity. Jedná se o projekt, který by nám měl umožňovat nejen prokazovat naši identitu na dálku (on-line), ale rovněž takto dokládat naše oprávnění, doklady o vzdělání a další důležitá fakta, a to vše napříč Evropou. Stát by se tak mělo ke konci roku 2026. I proto nás zajímalo, v jaké fázi se nyní nacházíme, zda je projekt v uvedeném termínu skutečně realizovatelný a hlavně, co nám doopravdy přinese, případně za jakých podmínek.  Do diskuze se zapojili – Martin Mesršmíd, ředitel, DIA, Petr Budiš, generální ředitel I.CA, Pavel Kolář, Česká bankovní asociace a Jan Matuš, Vice President společnosti Aricoma.

Martin Mesršmíd v úvodu debaty navázal na své první vystoupení a znovu upozornil, že z pohledu realizace Evropské peněženky digitální identity bylo zcela zásadní, že vláda se přiklonila k formě koncese. Jedná se o postup, který doporučila poradenská společnost Ernst and Young jako variantu spolupráce soukromého a veřejného sektoru. Předpokladem je, že takto vysoutěžený poskytovatel elektronické peněženky bude po určitý čas mít hrazenu část nákladů, což bude podmíněno plněním určitých ukazatelů. Předpokladem je rovněž skutečnost, že poskytovatel peněženky bude mít nastaven obchodní model, kterým bude následně část nákladů pokrývat. Protože by se mělo jednat o projekt, u kterého nejen naše vláda předpokládá velký zájem veřejnosti, a tedy rozvoj, a především generování prostředků na provoz, považuje jej za životaschopný a ekonomicky udržitelný.

                  Petr Budiš potvrdil, že komerční sektor je s tímto modelem srozuměn a že to i koresponduje s určitou základní představou role státu a soukromých firem. Stát by se měl v tomto případě postarat o samotný back-office projektu, to je oblast, ve které ví, co je potřeba a jak to nastavit. Naopak na projektech jako elektronická občanka a dalších se ukázalo, že stát neumí dělat jednotlivým projektům řádný marketing. Je tedy dobře, že dá prostor komerčním společnostem, které jsou zvyklé své produkty prezentovat.  Je totiž realistické předpokládat, že elektronická peněženka by měla být velkým přínosem jak pro občany, tak pro banky, ale i komerční sektor jako takový. Podstatné však je, aby obě strany byly schopny vyčíslit jak náklady na realizaci projektu, tak jeho přínosy. Bude to byznys model a pro ten je samozřejmě podstatné znát čísla na obou stranách.

                  Martin Mesršmíd připustil, že průzkum zájmu zatím vlastně neexistuje, protože není možné se ptát na to, zda by občané elektronickou peněženku chtěli používat, když jim ještě nejsme schopni představit celý rozsah jejího použití. Při těchto odhadech zájmu se tedy vychází z cíle Evropské komise, který říká, že v roce 2030 by mělo EIDW používat 80 % populace EU. Jak už zaznělo v samostatném vystoupení Martina Mesršmída, DIA dala, ve spolupráci s jednotlivými sektory, dohromady jakýsi prvotní seznam možného použití a tento seznam nadále rozšiřuje. Nicméně Martin Mesršmíd upozornil, že to, co bude digitální peněženku skutečně prodávat, nebudou zdaleka možnosti, které nabídne stát, a to především s ohledem na nízkou frekvenci s jakou občané řeší určité úkony vůči státu. To, co by mělo být skutečným lákadlem, bude nabídka komerčního sektoru, tedy bank, operátorů a dalších subjektů.

                  I Pavel Kolář, zastupující Českou bankovní asociaci, potvrdil, že je v podstatě se současným stavem spokojený, a to i proto, že vláda svým rozhodnutím potvrdila skutečnost, že bankovní sektor je již delší dobu v ČR podstatnou součástí řady digitalizačních projektů. K těm 80 % populace je potřeba říci, že se jedná o cíl, který bude nabíhat pozvolna. Bankovní sektor dal jasně najevo, že chce být určitým nositelem této myšlenky a stát se jakýmsi motivátorem rozvoje celého projektu.  Neboť i když je přístup státu velice důležitý, jeho služby, jak bylo řečeno, v tomto směru tím největším lákadlem nebudou. Proto ČBA vnímá digitální peněženku jako impulz k nastartování řady procesů a digitalizačních aktivit, o kterých možná v tuto chvíli ještě ani nevíme.

                  K otázce určitého časového presu, když by měla být digitální elektronická peněženka k dispozici na konci roku 2026, Martin Mesršmíd zdůraznil, že to je termín podstatný pro spuštění funkční peněženky. Ale že to neznamená, že ve stejné chvíli bude k dispozici celá šíře možností jejího využití, tak jak se o tom bavíme. Je velice pravděpodobné, že tento náběh bude postupný. A určitě platí, že lákadlem budou nabídky komerčních subjektů, ale na druhou stranu právě možnost komunikace se státem, jakési „státní“ zastřešení, to je určitá důvěryhodnost a zároveň služba zajímavá pro všechny včetně soukromého sektoru. Nyní tedy je budována ona státní část peněženky, která bude sloužit právě k potvrzení různých atributů a identifikaci, které jsou v „držení“ státu. Zároveň je nutné připravit certifikační schéma, neboť nebude k dispozici jen jedna peněženka jednoho poskytovatele, ale postupně, zcela jistě, bude na výběr z většího množství produktů různých dodavatelů. A zároveň je ještě nutno dobudovat registr spoléhajících se stran. To jsou v tuto chvíli zásadní kroky pro samotný důvěryhodný provoz projektu. A navěšování služeb, které budou lákavé pro občany, to bude tedy teprve otázkou času.

Jan Matuš v tomto směru zdůraznil, že celý projekt je vlastně určitým impulsem pro další v jistém smyslu klientsky orientovaný rozvoj e-governmentu. Nařízení eIDAS 2.0 jednoznačně říká, že každý občan EU bude mít svou digitální identitu. A zcela zásadní změna paradigmatu je v tom, že občan bude mít tuto svou identitu skutečně u sebe a bude rozhodovat, jak tuto identitu a která konkrétní data použije, a to bez účasti státu, bez zásahu nějakého centrálního orgánu. To je opravdu něco nového, na co jsme nebyli doposud zvyklí. A právě proto je zřejmé, že bez soukromého sektoru, ale ani bez občanů a případné jejich kritiky a připomínek, není možné realizovat tento projekt. Kritiku projektu stát většinou vnímá negativně, ale v tomto případě je nutné to brát jako podnět k posunu správným směrem, tak aby se jednalo o uživatelsky přívětivý přístup. Celý problém samozřejmě umocňuje skutečnost, že se nejedná pouze o národní projekt, ale napříč celou Evropou (státy EU povinně, ostatní se mohou připojit).

Určitým zádrhelem odborných diskuzí byla otázka nekomerčního použití elektronických podpisů zdarma.  Je to zakódováno přímo v nařízení eIDAS, nicméně bylo důležité například v rámci RVIS jasně vymezit, kde je ona hranice komerčního a nekomerčního použití. Protože samozřejmě platí, že i když je podpis poskytnut zdarma, musí jej ve výsledku někdo zaplatit a zároveň není možné poskytováním zdarma „nad míru“ narušovat trh. Nekomerční použití je tedy nyní vymezeno pro komunikaci mezi fyzickými osobami navzájem a mezi fyzickými osobami a státem. Představa je tedy taková, že pro tuto formu použití by certifikační autority měly poskytovat elektronický podpis občanům zdarma, a to recipročně za určitou „reklamu“, respektive odkazování na jejich služby. Petr Budiš potvrdil, že certifikační autority jsou s tím takto srozuměny a skutečnost, že peněženka nabízí jako povinnou součást jistou formu kvalifikovaného elektronického podpisu, je pro certifikační autority skutečně přínosem. Byla totiž nastavena jednotná úroveň napříč Evropskou unií, kdy tím uznávaným podpisem je právě kvalifikovaný elektronický podpis. Trochu problematické je samozřejmě ono dělení na komerční a nekomerční použití, což bylo ponecháno na lokálních orgánech. V rámci ČR se s řešením tohoto problému však DIA popasovala skutečně dobře. A pokud jde o rentabilitu, certifikační autority si v tomto směru udělaly kalkulace a rozbory a dospěly k názoru, že i takto nastaven dává projekt z jejich pohledu smysl.

V závěru diskuze pánové připomenuli důležitost otázky bezpečnosti projektu, a to jak v souvislosti se zachováním důvěry občanů v samotnou peněženku, tak samozřejmě v souvislosti s požadovanou změnou kryptografických algoritmů k 1.1. 2026, což při velikosti diskutovaného projektu je samozřejmě krok zcela zásadní.  I jeho konkrétní řešení bylo ponecháno na rozhodnutí jednotlivých lokálních orgánů, takže DIA, certifikační autority a provozovatelé bezpečnostních systémů mají v tuto chvíli skutečně napilno.