• Michał Szymański, autor |
6 min

Self-Sovereign Identity – obiecujący model zarządzania danymi tożsamości

Naruszenia danych osobowych dotykają setek milionów ludzi każdego roku, a kradzież tożsamości może rodzić kosztowne konsekwencje.  Dzieje się tak głównie w wyniku ataków na podmioty, które zarządzają danymi w scentralizowany sposób. Polska nie stanowi tutaj wyjątku. Web3 - zdecentralizowana wersja Internetu, niesie ze sobą obietnicę zrewolucjonizowania cyfrowego świata, w tym koncepcji cyfrowej tożsamości oraz odzyskania kontroli nad własnymi danymi .

Obecnie, w miarę rozprzestrzeniania się interakcji cyfrowych, weryfikacja tożsamości staje się absolutnie kluczowa dla bezpiecznych transakcji cyfrowych. Dlatego suwerenna tożsamość cyfrowa (SSI - Self-Sovereign Identity) została uznana przez wielu za panaceum dla licznych wyzwań związanych z tożsamością cyfrową. Zresztą koncepcji, które mogą pomóc w tym obszarze jest więcej, zdecentralizowane identyfikatory (DIDs - Decentralized Identifiers) czy dowody wiedzy zerowej (Zero-Knowledge Proof) oferują rozwiązania zmieniające sposób kontroli i prezentacji weryfikowalnych danych, bez ujawniania nadmiernej liczby informacji.

Self-Sovereign Identity to koncepcja, w ramach której użytkownik zarządza prawem własności do swoich danych tożsamości. Umożliwia udostępnianie danych tożsamości tylko tym, którzy muszą je zweryfikować, bez polegania na żadnym organie centralnym. Samodzielna tożsamość opiera się na wykorzystaniu zdecentralizowanych identyfikatorów i weryfikowalnych poświadczeń (VCs - Verifiable Credentials), z wykorzystaniem technologii blockchain/rozproszonych rejestrów. Dzięki technologii blockchain i jej zdolności do tworzenia odpornego na manipulacje rozproszonego rejestru zdarzeń, każdy właściciel może aktualizować i śledzić zmiany w identyfikatorze, a każdy emitent ma możliwość unieważnienia ważności poświadczeń, bez potrzeby angażowania centralnego organu.

Podczas gdy potencjał Web3 i tożsamości cyfrowej jest obiecujący, jego wdrożenie nie jest pozbawione wyzwań. Kwestie związane z normalizacją, interoperacyjnością, zgodnością z prawem i regulacjami oraz przyjęciem przez użytkowników muszą zostać rozwiązane w celu płynnego przejścia do nowej ery tożsamości cyfrowej. Aby samodzielna tożsamość działała na dużą skalę, musi wykazać, że jest lepsza niż obecne alternatywy. 

EIDAS 2.0 przybliża europejski portfel cyfrowy

Dużą nadzieję na pokonanie tych trudności, dają zmiany prawne i techniczne wynikające z nowelizacji unijnego rozporządzenia eIDAS. Dotyczą one identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na jednolitym rynku europejskim, a ich celem jest zapewnienie prawnej ważność dokumentów elektronicznych oraz transgranicznych usług zaufania, takich jak podpisy elektroniczne.

Unia dostrzegła potrzebę zachowania autonomii, kontroli danych i prywatności użytkowników, jednocześnie przyznając, że dotychczasowe rozporządzenie nie jest w stanie sprostać nowym wymaganiom rynku. Dlatego kształt nowego rozporządzenia eIDAS 2.0, otwiera możliwości decentralizacji i potencjalnego wykorzystania suwerennej tożsamości, szczególnie w zakresie dostarczania cyfrowych poświadczeń i zarządzania atrybutami użytkowników. W tym celu Komisja Europejska opracowała koncepcję pomostu SSI eIDAS jako ram zaufania dla ekosystemu samodzielnej tożsamości. Pomost eIDAS ma pomóc emitentom weryfikowalnych poświadczeń w procesie ich podpisywania, a weryfikatorom w rozpoznaniu organizacji stojącej za identyfikatorem emitenta. Innymi słowy jeśli użyjemy pomostu eIDAS, weryfikowalne poświadczenie może zostać uznane za godne zaufania w UE.

Nowelizacja eIDAS oznacza również konieczność szerokiej współpracy administracji publicznej, dostawców usług zaufania oraz producentów urządzeń końcowych. Docelowo wprowadzenie Europejskiego Portfela Tożsamości Cyfrowej (EUDI Wallet) ma zagwarantować obywatelom Unii prawo do posiadania cyfrowej tożsamości uznawanej na terenie całej Unii, możliwości prostej i bezpiecznej kontroli nad zakresem informacji udostępnianych serwisom internetowym oraz da możliowść akceptacji cyfrowej tożsamości zarówno przez administrację publiczną, jak i sektor komercyjny.

Przewiduje się, że implementacja cyfrowego portfela przyczyni się do znaczącego obniżenia kosztów identyfikacji osób i podmiotów gospodarczych oraz ograniczy typowe trudności związane z procesem weryfikacji. Dzięki wprowadzeniu cyfrowego portfela, Unia Europejska ma szansę stać się również pierwszym tak dużym regionem na świecie posiadającym ramy regulacyjne zaufanej tożsamości. Portfel cyfrowy ma też potencjał narzędzia, które może znacząco wpłynąć na ograniczenie problemu wykluczenia cyfrowego.

Polskie podejście do cyfrowej tożsamości

Polska po za aktywnymi udziałem w pilotażowych programmach UE, już teraz posiada kilka obiecujących projektów w tym obszarze, dzięki czemu jest na bieżąco z trendem tożsamości cyfrowej.

mObywatel jako uznana prawnie aplikacja identyfikacji elektronicznej w kraju, skutecznie wpisuje się w założenia Europejskiego Portfela Tożsamości Cyfrowej. Aplikacja opiera się na infrastrukturze klucza publicznego i zarządzana jest przez Ministerstwo Cyfryzacji. Dane pochodzą bezpośrednio z oficjalnego rejestru państwowego i są cyfrowo zatwierdzone przez ten organ. Zezwala ona na pobieranie, przechowywanie i prezentowanie dokumentów elektronicznych, takich jak dowód osobisty czy prawo jazdy, a przyszłości może zastąpić ich plastikową wersję. Umożliwia również identyfikację elektroniczną offline poprzez prezentację danych między urządzeniami. Obecnie nie pozwala jeszcze na korzystanie i przechowywanie prywatnych danych uwierzytelniających. Aplikacja osiągnęła bardzo dobrą adopcję przebijając granicę 10 milionów pobrań. Po wejściu w życie europejskiego portfela cyfrowego jako krajowa tożsamość cyfrowa, stanie się uznawanym ponad granicami systemem identyfikacji elektronicznej, dzięki temu polscy obywatele uzyskają dostęp do usług online z innych krajach europejskich.

Innym przykładem jest usługa mojeID, która wychodzi poza usługi publiczne kładąc większy nacisk na wykorzystanie komercyjne i działa na podobnych zasadach do profilu zaufanego. System umożliwia bankom przejście do roli dostawcy tożsamości dla podmiotów oferujących usługi komercyjne. Kluczową cechą systemu jest zdalna weryfikacja tożsamości, dzięki czemu korzystanie z usług cyfrowych wymagających tego typu weryfikacji jest szybsze i dużo prostsze. Zresztą system priorytetowo traktuje wygodę i łatwy dostęp do usług cyfrowych, bez uszczerbku dla bezpieczeństwa danych. Dostęp do usługi jest bardzo szeroki, może z niej korzystać ponad 21 milionów użytkowników bankowości elektronicznej.

Polskie inicjatywy wskazują na zaawansowanie w kierunku ustanowienia solidnych ram tożsamości cyfrowej. Chociaż na chwilę obecną usługi te mają przede wszystkim zasięg krajowy, to są zgodne z szerszymi europejskimi strategiami dotyczącymi bezpiecznej identyfikacji cyfrowej. W miarę ewolucji systemów tożsamości cyfrowej, wyzwania związane z interoperacyjnością, dostępnością, kontrolą użytkownika i utrzymaniem aktualności atrybutów tożsamości będą musiały być stale rozwiązywane, a Polska jest na dobrej pozycji by odgrywać istotną rolę w kształtowaniu krajobrazu tożsamości cyfrowej oraz przyszłości suwerennej tożsamości w Europie.

Komentarz jest częścią artykułu pt. „W cichym zakątku Web3 wcale nie jest nudno” z magazynu MIT Sloan Management Review Polska poświęconego nowym technologiom (czerwiec-lipiec 2023).

  • Michał Szymański

    Michał Szymański

    autor, Digital Marketing and Customer Experience Expert, Clients & Markets

    Blog articles

Tags: