Megjelent a kormány új mesterterve: beköltözik az állam a mobilunkba, nagy viták a háttérben

Szeptembertől indul a kormány DÁP mobilappja, amely hamarosan több millió magyar számára jelenti majd a belépési pontot a digitális államhoz. Az alkalmazást a piac felé is kinyitják: a digitális aláírást és az azonosítást a bankok, biztosítók, közműszolgáltatók is használni fogják. Ám még mindig sok a kérdőjel és a megoldandó probléma: még nem jöttek ki a rendeleti szintű részletszabályok, januárban egy szerencsétlen együttállás miatt regisztrációs cunamira számíthatunk a kormányablakokban, az azonosítás részleteiről, a díjakról is meg kellene egyezni, és a csalási kockázatokkal is foglalkozni kell.

A rövid menetrend

Rogán Antal tavaly október közepén jelentette be a Digitális Állampolgárság Programot (DÁP), amely révén:

MOBILRA KÖLTÖZIK AZ IGAZOLVÁNY, AZ ALÁÍRÁS ÉS AZ ÜGYINTÉZÉS.

Május 21-e óta használható először a DÁP app az előregisztrációhoz (ami tapasztalataink szerint nagyjából 5 percet vett igénybe egy kormányablakban), és szeptembertől jönnek az első használható funkciók az appba: személyi igazolvány, útlevél vagy jogosítvány helyett azonosíthatjuk magunkat az appal pl. rendőr kérésére vagy más élethelyzetekben, állami weboldalakra és alkalmazásokba az appban elérhető QR-kóddal is bejelentkezhetünk (azonosítás funkció), egy gombnyomással igényelhető erkölcsi bizonyítvány, digitális aláírás is elérhető lesz, amivel hivatalos dokumentumokat is aláírhatunk, időpontot foglalhatunk a kormányablakokban, és az állam által nyilvántartott adatokat egy helyen érhetjük el az appból.

Ahogy arról korábban is írtunk, később további funkciókkal bővül majd az app, amelyet a piaci szolgáltatók is használni fognak:

2025 harmadik negyedévétől bankok, közműszolgáltatók felületeire is bejelentkezhetünk az appal, és ekkortól válik elérhetővé náluk a digitális aláírás is.

2025 negyedik negyedévétől a gépjármű adás-vételt is intézhetjük az appban, a digitális tárcában minden okmány elérhető lesz elektronikus formában, az életkorunkat is igazolhatjuk vele.

2026-tól jöhet az ePosta szolgáltatás, amely segítségével a közigazgatási szervekkel is levelezhetünk, jöhet az eFizetés is, mely egy online fizetési megoldás lesz, ha az ügyintézések során valamit ki kell fizetnünk, és a legfontosabb közigazgatási ügyeket is beépítik az appba.

Még mindig sok technikai részletre vár a piac

A bankok tavaly ősszel a kamatplafonért cserébe azt kérték a kormánytól, hogy az általuk javasolt digitalizációs javaslatokat is vegyék figyelembe a digitális állampolgárságra vonatkozó szabályok kialakításánál. Az idén tavaszra ígért rendeleti szintű szabályok adhatnák meg azt a keretet, amelyen belül a piaci szereplők a fejlesztéseket megtervezhetik, elkezdhetik, tesztelhetik és végül élesíthetik a rendszereiket jövő nyár közepén.

A DÁP app fejlesztésének előrehaladtával egyre több funkcióról derül ki, hogy néz majd ki a gyakorlatban, ugyanakkor a szóban forgó rendeleti szintű technikai részletszabályok, paraméterek még nem érkeztek meg. Úgy tudjuk, a projektet szorosan nyomon követi a piac, az előkészítés zajlik, azonosították azokat az üzleti és operatív területeket, amelyeket érinteni fognak a fejlesztések, de a fejlesztési munka a részletszabályok ismerete híján még nem kezdődhetett el.

Távoli aktiválás és elektronikus aláírás

Fontos kérdés, milyen folyamat révén válhatunk digitális állampolgárrá, ugyanis ettől is függ majd, mennyire gyorsan terjed el az alkalmazás a lakossági körben. Ugyan az előregisztráció egyelőre csak személyesen, kormányablakban tehető meg, de a DÁP alkalmazást távoli azonosítással, azaz digitális csatornán is lehet majd aktiválni. Ez a jelenlegi tervek szerint szeptember 1-től még nem lesz elérhető, de legkésőbb jövő január 31-ig jelenik meg a lehetőség.

Ez azért is lesz érdekes, mert októberben lép hatályba az új ingatlan-nyilvántartási törvény, amelynek az az egyik fontos eleme, hogy a rendszeren belül csak elektronikusan lehet aláírni. Az egyik elektronikus aláírási lehetőség a DÁP-ban szereplő minősített elektronikus aláírás lesz. Most még az Ügyfélkapun keresztül elérhető AVDH-val (Azonosításra Visszavezetett Dokumentum-Hitelesítés) is alá lehet írni, de ez a szolgáltatás idén december végével megszűnik a tervek szerint.

Az adásvételi szerződést, ingatlanügyleteket kötő lakossági ügyfeleknek a nagy része jelenleg nem rendelkezik piaci alapú elektronikus aláírással. Januárban tehát már nem lesz AVDH, aki pedig DÁP-pal szeretne aláírni, annak praktikusan be kell mennie majd egy kormányablakba, hogy aktiválja a funkciót. Úgy tudni, hogy arra is lesz lehetőség, hogy elektronikus aláírás nélkül a kormányablakban kérjünk hitelesítést az ingatlan-nyilvántartási ügylethez. Ekkor nem kell a DÁP-ot aktiválni, de valószínűleg ezt ajánlani fogják az ügyintézők. Mindez regisztrációs cunamit indíthat a kormányablakokban, ezért akinek januárra eshet például ingatlan adásvételi ügye, annak érdemes előbb lépnie.

Szintén érdekes kérdés lesz az AVDH kivezetése miatt, hogy míg ezt a cégek is használhatták dokumentumok hitelesítésre, azonban a jelenlegi tervek szerint a DÁP-pal céges ügyekben egyelőre nem írhatnak majd alá, így számukra elektronikus hitelesítésre csak a piaci alapú e-aláírások maradnak. Ez főleg a KKV-k számára jelenthet majd problémát.

Mire lesz jó az azonosítás?

A mobilappban az azonosítás egy QR-kódos megoldással történik majd. Piaci forrásaink szerint célszerű lenne ezt olyan egyszerűen megoldani, ahogy a bankoknál online vásárlásnál a tranzakció hitelesítése történik: felugrik a telefonon egy push-üzenet, amire csak rá kell bökni. Ám ez nem minden, a pénzintézetek számára az jelentene igazi előrelépést, ha az azonosítással a pénzmosási ügyfélátvilágítási szabályoknak megfelelő adatokat is kompletten átadná az app.  Ez azért fontos, mert amikor új ügyfélként lépünk be egy bankba, egy gombnyomásra megtörténhetne a DÁP-on keresztül a pénzmosási törvény szerinti azonosítás, így egyszerűben, gyorsabban, könnyebben nyithatnánk számlát vagy igényelhetünk hitelt.

Jelenleg úgy tudni, hogy az azonosítással öt adatot adnak át: az ügyfél nevét, születési helyét és idejét, anyja nevét (ezek az úgynevezett 4T adatok) és a DÁP azonosító számát. A pénzmosási törvény szerint ennél bővebb adatkörre lenne szükség, például okmányadatokra, állampolgársági és lakcímadatokra. A fejlesztő a piacnak adott jelzések alapján nem zárkózik el attól, hogy a jövő évi indulásra kibővítsék az adatkört, ha azokat össze lehet szedni különböző kormányzati rendszerekből.

Díjak

Az egyeztetéseken egyelőre továbbra sincs szó arról, hogy a piaci szereplők miért és mekkora díjakat fizetnek majd. A szabályokban csak annyit rögzítettek, hogy lesznek szolgáltatások, amikért díjat szedhet az állam. Forrásaink szerint érthető, ha némelyik szolgáltatásért az állam díjat kér. Ilyen például az elektronikus posta, logikus lenne, hogy ezért fizetni kell, hiszen ez kiváltja a papír alapú postai küldeményeket. Ehhez hasonlóan az adatváltozás-kezelés is fontos többletszolgáltatás lenne a piacnak.

Ám az furcsa lenne, ha az ügyfél elektronikus aláírásáért a piaci szereplőnek fizetnie kellene. Azok a bizalmi szolgáltatók sem kapnak díjat az aláírást elfogadó piaci szereplőktől, amelyek ma piaci alapon adnak hitelesített e-aláírást az ügyfeleiknek. Hasonló a helyzet a pénzmosás megelőzési célú ügyfélazonosításnál, ahol a bankok közfeladatot látnak el, így jelenleg jogszabály deklarálja az ezzel összefüggő adatátvétel ingyenességét.

A díjkérdés már csak azért is fontos, mert nem mindegy, hogy jön ki majd a matek. A vállalatoknak eleve jelentős befektetést kell tenniük, hogy a szolgáltatásokat integrálják a rendszereikbe. Egyes becslések szerint a piac egészét tekintve néhány tízmilliárd forintra tehető a DÁP-fejlesztések teljes költsége. Azaz a díjfizetés ott logikus, ahol a cégek tényleg többletszolgáltatásokhoz jutnak, illetve ahol egy szolgáltatást a jelenleginél egyszerűbben, digitálisabban és olcsóbban vehetnek igénybe.

Kockázatok

Jelenleg fejlesztés alatt áll az is, hogy néz majd ki, amikor egy dokumentumot alá kell írni a DÁP appban. Valószínűleg a folyamat úgy néz majd ki, hogy kapunk egy push-üzenetet a telefonra, majd egy gombnyomással alá tudjuk írni az adott dokumentumot. Ám a jelenlegi tervek szerint az állami infrastruktúrában nem szeretnék tárolni a dokumentumokat, a telefonokra csak a dokumentumhoz tartozó kódot (hash-eket) küldik ki. Tehát csak az jelenik meg a mobilon, hogy pl. egy bank küldött egy dokumentumot aláírásra, de magát a dokumentumot nem lehet itt elolvasni, ezt a folyamati megoldást forrásunk szerint célszerű kockázati szempontból felülvizsgálni.

A DÁP-ot a tervek szerint milliók fogják használni, a csalási trendeket látva pedig félő, hogy a csalók olyan módszereket dolgoznak ki, amivel megkárosíthatják az ügyfeleket. Gondoljunk például egy adathalász támadásra, amikor azzal riogatnak a csalók, hogy feltörték a bankszámlánkat, és a tranzakciók visszavonása érdekében alá kellene írnunk egy dokumentumot, amit a DÁP-ra küldenek ki. Ha sikerül ügyesen megcímezni az ügyfelet, lehet, hogy egy gyorskölcsönt vesznek fel a nevében vagy egy ingatlan szerződést íratnak vele alá. Ha nem derül ki idejében, hogy csalásról van szó, abból komoly pénzügyi károk keletkezhetnek. Minden bizonnyal lesznek a biztonságot támogató elemek az appban, viszont azzal a lehetőséggel is számolni kell, hogy az ügyfeleket a social engineering eszközeivel fogják támadni. Ezen segíthetne, ha a dokumentumot is meg tudja nézni aláírás előtt az ügyfél.