• W drodze są nowe rozporządzenia dotyczące ePUAP. 
• Planowane są zmiany w procedurze tworzenia i autoryzowania operacji konta.
• Będzie możliwość korzystania z systemów identyfikacji stosowanych przez banki i inne podmioty niepubliczne. 

Ministerstwo Cyfryzacji pracuje obecnie nad dwoma nowymi rozporządzeniami dotyczącymi ePUAP, czyli elektronicznej platformy pozwalającej obywatelom na korzystanie z e-usług urzędów. W przygotowaniu są następujące rozporządzenia.

• Rozporządzenie Ministra Cyfryzacji w sprawie zasad i warunków potwierdzania, przedłużania ważności, unieważniania oraz wykorzystania profilu zaufanego ePUAP;
• Rozporządzenie Ministra Cyfryzacji w sprawie zakresu i warunków korzystania ze ePUAP.

Linki zawarte powyżej prowadzą do projektów rozporządzeń.

Konieczność przygotowania tych nowych rozporządzeń jest m.in. następstwem zmian, jakie ma wprowadzić nowa Ustawą o usługach zaufania oraz identyfikacji elektronicznej. Ponadto ministerstwo dostrzega konieczność "wydzielenia, pod względem technicznym, profilu zaufanego ePUAP w ramach ePUAP". Ma to generalnie zwiększyć niezawodność ePUAP i podnieść bezpieczeństwo.

Zmiany w zakładaniu kont

Pierwsze z rozporządzeń (to dotyczące Profilu Zaufanego) zakłada połączenie procedury utworzenia konta w systemie ePUAP oraz składania wniosku o potwierdzenie Profilu Zaufanego ePUAP. W związku z tym założenie konta będzie wymagało podawania numeru PESEL. Możliwe będzie również podanie imion (nie tylko jednego imienia).

Rozporządzenie ureguluje też kwestię możliwości odzyskania przez użytkownika zapomnianego identyfikatora użytkownika lub hasła poprzez przesłanie danych na adres e-mail użytkownika. 

Współpraca z bankami

W rozporządzeniu określono też warunki nieodpłatnego wykorzystywania w ePUAP środków identyfikacji stosowanych przez banki z kraju lub innych przedsiębiorców. Wykorzystanie w ePUAP takich środków identyfikacji będzie realizowane będzie na podstawie porozumienia zawartego pomiędzy ministrem a bankiem czy innym podmiotem niepublicznym. 

Zmiany w zasadach autoryzacji 

Drugie ze wspomnianych rozporządzeń (w sprawie warunków korzystania z ePUAP) zakłada m.in., że dane użytkownika zawarte we wniosku o potwierdzenie profilu zaufanego ePUAP będą weryfikowane w sposób automatyczny z danymi zawartymi w zbiorze PESEL. 

Co ważne, osoba wnioskująca o potwierdzenie Profilu Zaufanego będzie zobowiązana do wskazania we wniosku zarówno adresu poczty elektronicznej jak i numeru telefonu komórkowego (do tej pory wystarczał adres e-mail).

Ministerstwo chce zrezygnować z wykorzystywania do autoryzacji poczty elektronicznej, czyli koniec z kodami jednorazowymi przesyłanymi na e-mail. Ministerstwo uważa, że kody przesyłane na e-mail są niebezpieczne gdyż przejęcie kontroli nad komputerem użytkownika rodzi ryzyko przejęcia konta ePUAP (w ramach ciekawostki warto dodać, że autoryzacja oparta na SMS-ach też zaczyna być uważana za mało bezpieczną - zob. PC World, SMS-based two-factor authentication may be headed out the door).    

W projekcie rozporządzenia określono procedurę dokonywania zmiany sposobu autoryzacji lub adresu poczty elektronicznej, numeru telefonu komórkowego lub środka identyfikacji elektronicznej stosowanego do uwierzytelniania w systemie teleinformatycznym podmiotu niepublicznego. Użytkownik może dokonać tej zmiany samodzielnie w ePUAP, potwierdzając to Profilem Zaufanym. Możliwe będzie również zrobienie tego w punkcie potwierdzającym profil zaufany ePUAP (nawet po utracie dostępu do telefonu) na zasadach dotyczących potwierdzania profilu zaufanego ePUAP w punkcie potwierdzającym. Rozwiąże to opisywany przez nas problem możliwej utraty dostępu do konta ePUAP.

Jeśli ktoś będzie korzystał z systemów identyfikacji swojego banku (wszak ma być taka możliwość) to zmiana środka identyfikacji elektronicznej będzie możliwa wyłącznie osobiście w punkcie potwierdzającym profil zaufany ePUAP.

Zastrzeżenia GIODO

W ramach konsultacji wspomnianych rozporządzeń swoje uwagi zgłaszał Generalny Inspektor Ochrony Danych. Jego wątpliwości wzbudza wykorzystanie numeru PESEL, który może pozwolić na profilowanie internautów i powiązanie danych obywatela z innymi rejestrami. Zdaniem GIODO należy poszukiwać innych efektywnych rozwiązań jak np. wykorzystywanie  w tym celu innego numeru pozwalającego na uwierzytelnianie ważności certyfikatu i tożsamości osoby podpisującej się podpisem elektronicznym, przy zastosowaniu rozwiązania, że szerszy zestaw danych byłby znany podmiotowi świadczącemu usługi certyfikacyjne. 

GIODO ma też wątpliwości co do konieczności obowiązkowego podawania numeru telefonu w celu założenia konta. GIODO zauważa, że Ministerstwo Cyfryzacji powątpiewa w bezpieczeństwo poczty elektronicznej, ale jednocześnie wprowadza w nowym rozporządzeniu procedurę odzyskiwania hasła opartą na poczcie elektronicznej. 

Chcesz wiedzieć więcej o załatwianiu spraw urzędowych przez internet? Zajrzyj do naszego cyklu "Oswajamy e-administrację".