Česko je díky bankovní identitě o krok dál v digitalizaci, s implementací BankID firmám pomůže nový web

Již přes čtyři měsíce mohou Češi využívat nový systém elektronické identifikace BankID, který jim umožní bezpečné a snadné přihlášení online. S orientací v problematice bankovní identity a s adopcí technologie pomůže firmám nový informační web www.svetbankid.cz, který vznikl pod taktovkou předního českého softwarového studia Applifting. To také stojí za vývojem samotné technologie bankovní identity. Služby BankID plánují svým klientům zpřístupnit do konce roku všechny banky působící v České republice.
„Nový systém elektronické identifikace BankID je cestou, jak lidem zjednodušit život v komunikaci s úřady, v rámci peněžních transakcí i přihlašování do e-shopů. Abychom firmám pomohli s pochopením důležitosti bankovní identity a s adopcí této technologie do jejich obchodních procesů, vytvořili jsme informační portál svetbankid.cz,“ vysvětluje Vratislav Kalenda, CEO a spoluzakladatel předního českého vývojářského studia Applifting. To vedle informačního webu stojí právě za vývojem technologie pro bankovní identitu.
„Applifting byl od počátku naším partnerem číslo jedna, protože postavil celé BankID řešení. O jejich technické odbornosti jsme vůbec nepochybovali. Co nás mile překvapilo, byl jejich inovativní přístup, ochota a proaktivita,“ říká Jan Blažek, předseda představenstva ve společnosti Bankovní identita, která stojí za vznikem elektronické identifikace BankID. Ta projekt založila v roce 2019, od 1. června 2021 pak spustila ostrý provoz systému.
Již nyní na webovém portále najdou firmy informace o implementaci, provozu a novinkách, včetně technologicky zaměřených rozhovorů s Vratislavem Kalendou i Petrem Michalíkem, solution architektem BankID. Další obsah zaměřený na integraci a technologické řešení bude postupně přibývat. 20. října pak proběhne veřejný seminář na téma integrace BankID do firem. Na otázky, zda-li se firmám vyplatí BankID a jaké možnosti bankovní identita nabízí, budou odpovídat Vratislav Kalenda z Appliftingu a Jan Blažek z Bankovní identity. Registrovat se na seminář mohou zájemci zdarma na https://svetbankid.cz/bankid-pro-firmy-seminar.
(R)evoluce v digitalizaci
BankID umožní uživatelům používat jediný účet pro komunikaci s úřady, přihlašování do zákaznických zón, podepisování dokumentů i nákupy v e-shopech. Svou univerzálností se tak staví na úroveň čtyř technologických gigantů Google, Microsoft, Facebook a Apple. Přihlášení pomocí BankID je chráněno přísným, víceúrovňovým zabezpečením bankovních institucí. Samotný proces navíc vyžaduje dvoufázové ověření, například potvrzením v mobilní aplikaci či zadáním SMS kódu. Platforma přitom klientská data nesbírá ani neshromažďuje, pouze zajišťuje komunikaci mezi bankou a uživatelem, jehož ověřenou identitu následně předává třetí straně.
Bankovní identitu lze dnes již využít také k přihlášení do státem provozovaného Portálu občana veřejné správy. Zde například získají přístup do katastru nemovitostí, informace o svých dopravních přestupcích, výpis z rejstříku trestů, potvrzení o bezdlužnosti či podají daňové přiznání. Do budoucna by měla umožnit také komunikaci s pojišťovnami či sjednání smluv a uzavírání hypoték online bez nutnosti dokládat další doklady.
„Identifikace prostřednictvím BankID je správným krokem k digitálnímu Česku. Uživatelům umožní přihlašovat se k široké nabídce služeb i e-shopů pomocí jediného účtu. Protože však proces probíhá prostřednictvím bank, které mají velmi přísné bezpečnostní systémy, je proti přihlašování prostřednictvím e-mailů celý proces jednodušší a mnohem bezpečnější,“ dodává Kalenda. Službu BankID již mohou využívat klienti České spořitelny, ČSOB, Komerční banky a Moneta Money Bank, do konce roku by se měly zapojit také Fio banka, mBank, Raiffeisenbank i UniCredit Bank.
BANKID Z POHLEDU UŽIVATELE
BANKID OBECNĚ
Jaký je rozdíl mezi BankID, bankovní identitou a spol. Bankovní identita, a. s.?
Bankovní identita je metoda elektronického ověření uživatelské identity z bank pro přihlašování do komerčních i veřejných institucí. Banka tak zkrátka ví, že vy jste opravdu vy. A tuhle informaci pak s vaším svolením nebo na vaše vyžádání poskytuje dalším subjektům a usnadňuje například registraci v e-shopu či snadné ověření vaší plnoletosti. Nemusíte kvůli tomu složitě vyplňovat údaje, běhat na pobočku nebo fotit svou občanku - stačí se přihlásit vaší bankovní identitou, která váš věk i další informace potvrdí.
BankID od společnosti Bankovní identita, a. s., je společný projekt 10 českých bank (zaštítěný jimi pro tyto účely založenou firmou Bankovní identita, a. s.), který umožňuje využití bankovní identity komerčními subjekty.
K čemu slouží BankID?
Díky BankID můžete využívat svoji bankovní identitu pro komunikaci se soukromými společnostmi i úřady. Používáte stejný způsob, jakým se přihlašujete do svého internetového bankovnictví. Jednoduše, bezpečně a zdarma.
BankID řeší dva základní problémy pro uživatele:
► Umožní vám se bezpečně a snadno přihlásit do internetové služby bez nutnosti pokaždé vytvářet nový účet a vymýšlet nové heslo. S BankID vám stačí jeden účet na všechno.
► BankID je bezpečný způsob, jak poskytovat ověřené údaje o vaší osobě pro úkony, které ji vyžadují. Například při sjednávání smlouvy, uzavírání hypotéky, ověření osoby proti praní špinavých peněz či v případě nákupu drahých věcí.
V čem je výhodnější přihlášení pomocí bankovní identity, když mohu využít nebankovní elektronické identifikace, např. elektronickou občanku, NIA ID, mobilní klíč eGovernmentu, mojeID?
Na rozdíl od jiných elektronických identifikací není nutné pro založení bankovní identity nikam chodit. Její založení zvládnete z pohodlí domova, řada bank ji navíc uživatelům vytváří automaticky. Tuto službu už tak má prakticky k dispozici 5,5 milionu uživatelů. Současně očekáváme, že přihlášení skrze BankID bude nabízet mnohem více poskytovatelů (zejména v soukromém sektoru) než ostatní metody. Počet míst, kde budete moci BankID využít, tak bude růst.
ZALOŽENÍ BANKID
Jakým způsobem zařídím bankovní identitu?
Bankovní identitu získá automaticky každý, kdo si otevře účet u některé z bank zapojených do projektu BankID. Více informací naleznete také ve svém internetovém bankovnictví nebo na webových stránkách jednotlivých bank.
Lze bankovní identitu založit i jinak než přes internet?
Ano, tím, že si otevřete účet u banky, která je zapojená do BankID.
Jak dlouho trvá založit bankovní identitu?
Jakmile bude vaše banka zapojena do projektu BankID, získáte bankovní identitu automaticky ke svému účtu. Ve výjimečných případech, např. pokud jste si zřídili účet korunovou platbou, budete kontaktováni svojí bankou ohledně zřízení bankovní identity.
Jaké jsou poplatky spojené se založením a používáním bankovní identity?
Pro uživatele je zřízení, vedení i užívání bankovní identity zcela zdarma. Nejsou zde žádné dodatečné poplatky nad rámec toho, co platíte za vedení svého účtu.
Proč nelze při založení účtu na mojeID ověřit uživatele pomocí bankovní identity?
Provozovatel služby mojeID (sdružení CZ.NIC) není státním orgánem ani orgánem územního samosprávného celku. Proto na něj dopadají důsledky § 38ad odst. 3 zákona č. 21/1992 Sb., o bankách.
Je nutnost si zařídit eIdentitu, abych mohl/a používat BankID?
Ne. Pro použití BankID stačí mít účet v české bance, která je součástí projektu BankID.
Jak mohu aktivovat Mobilní klíč eGovernmentu pomocí bankovní identity?
Podrobný postup naleznete pod tímto odkazem https://info.eidentita.cz/mep/VznikNB.aspx.
OCHRANA DAT
Jakou nabízí BankID kontrolu nad aktivitou s mými daty? Mám například více bankovních účtů, a mám strach, aby mi je někdo skrze identitu nenaboural.
BankID zprostředkovává komunikaci mezi bankou (bankovní identita) a třetí stranou, která si potvrzení bankovní identity vyžádala. Kromě nezbytných základních anonymizovaných údajů předá pouze ta data, která uživatel potvrdil v nastavení svého internetového bankovnictví. Dochází pouze k přenosu těch dat, ke kterým dal uživatel souhlas, v rozsahu jím schváleném, a to jen té aplikaci, jíž to uživatel potvrdil. Firma ani BankID tak přihlašovací údaje uživatele ani jiná jejich data nevidí.
Budu mít kontrolu nad tím, kdo může mé údaje z BankID zpřístupnit? Chci je například omezit určitým institucím.
Informace o bankovní identitě jsou poskytnuty pouze těm aplikacím třetích stran, které si a) vyžádaly jejich zpřístupnění, a b) jimž toto uživatel současně povolil ve svém internetovém bankovnictví. Z uživatelského hlediska je tak možné předávat tato data pouze společnostem a aplikacím, které uživatel schválí. Plně v režii samotného uživatele je také to, která specifická data o něm budou poskytnuta (vyjma nezbytných základních údajů). Navíc lze nastavení kdykoliv změnit v internetovém bankovnictví a udělená oprávnění odvolat.
Mohu na úrovni NIA zablokovat (dočasně nebo trvale) jednotlivé poskytovatele BankID u své osoby?
Synchronizaci dat do systému Národního bodu pro identifikaci a autorizaci (NIA ID) můžete zrušit přímo ve svém internetovém bankovnictví. Tím však dojde k omezení možnosti využívat přihlášení přes BankID.
Na co potřebuji BankID, když mi často pro uzavření smlouvy stačí naskenovat doklady na internet nebo je nechat ofotit kurýrem?
Ověření totožnosti uživatele na internetu je složitá věc, která vyžaduje často focení např. občanky a pořizování selfie fotografie. To je jednak nepohodlné a zdlouhavé, hlavně však tento způsob není považován za nejvyšší úroveň ověření identity – k tomu by bylo potřeba, aby vás viděl někdo fyzicky z dané společnosti, obvykle přímo v kamenné pobočce. Oproti tomu BankID je přímo spárováno s vaší bankovní identitou, která umožní prokázat se právě nejvyšší úrovní ověření (pokud jste si například u vaší banky zřídili účet v pobočce nebo jste v ní byli osobně něco řešit).
Jaké údaje BankID od uživatele sbírá a předává dalším subjektům, které její použití umožňují?
BankID jako taková žádná data neukládá, pouze přeposílá informaci o ověřené bankovní identitě uživatele mezi bankou a aplikací třetí strany, která toto ověření vyvolala. Následně předává aplikaci informace, které uživatel potvrdil v bankovním rozhraní (potvrzení přihlášení skrze bankovní identitu).
K jakým účelům využívá provozovatel BankID i další subjekty data uživatele?
BankID data od uživatelů dále nevyužívá ani je neuchovává. Pouze zprostředkovává datovou komunikaci mezi bankou uživatele (přihlášení k bankovní identitě) a třetí stranou (e-shop, státní správa atd.), které uživatel udělil souhlas.
Může docházet k prodeji osobních dat uživatele třetím stranám?
Třetí strany, jimž uživatel schválil při přihlášení do BankID přístup ke svým datům, mohou tato data využívat k dalším účelům, včetně komerčních. Nakládání s daty uživatelů se řídí samostatnými smlouvami a obchodními podmínkami, které uživatel uzavírá se třetí stranou ve chvíli, kdy souhlasí s přihlášením pomocí BankID do aplikace této třetí strany.
Jakým způsobem je bankovní identita chráněna proti zneužití?
Komunikace mezi BankID a bankou je chráněna zabezpečením vysoké úrovně a data, která posílá banka třetí straně, jsou také šifrovaná a elektronicky podepsaná. Jejich čtení mimo komunikaci banky s třetí stranou není možné, komunikace pomocí BankID navíc ověřuje, že data přišla od správného zdroje.
Komunikace mezi BankID a aplikací třetí strany je možné nastavit podle požadavků aplikací třetích stran. Zabezpečení se tak může pohybovat od základního stupně až po úroveň, která je díky tomu srovnatelná s nejvyšším zabezpečením komunikace mezi BankID a bankou.
Kde, kým a za jakých podmínek jsou uživatelská data shromažďována a ukládána?
BankID data od uživatelů neshromažďuje ani neukládá. Pouze zprostředkovává datovou komunikaci mezi bankou uživatele (přihlášení k bankovní identitě) a třetí stranou (e-shop, státní správa atd.), které uživatel udělil souhlas.
Jaká opatření brání v tom, aby mi byla odcizena nebo zaměněna bankovní identita? Například se může stát, že někdo získá přístup do mé bankovní identity, přes ni se dostane do datové schránky a bude moci vytvářet podání vůči státní správě.
Odcizení identity a jejímu případnému zneužití je zabráněno hned na několika úrovních:
Přihlášení do BankID vyžaduje potvrzení 2. faktoru (například kód ze zaslané SMS, potvrzení notifikace v internetovém bankovnictví apod.). Bylo by tak uživateli krom přihlašovacích údajů do BankID nutné odcizit i další jeho zařízení, na kterém k dvoufaktorovému ověření dochází, a to včetně přístupu do tohoto zařízení.
Komunikace mezi BankID a bankou je vysoce chráněná a zašifrovaná.
Veškerá data předávaná zdrojovou entitou (banka, třetí strana) jsou opatřena elektronickým podpisem, díky němuž je možné ověřit zdroj těchto dat.
Má banka mi bankovní identitu aktivuje automaticky, bez možnosti jí to jakkoliv dopředu zakázat. Mohu ji pouze dodatečně vypnout. Získají tak banka a třetí strany mé údaje ze základních registrů, aniž o to mám zájem?
Většina bank umožňuje svým zákazníkům používat BankID automaticky, pokud u ní mají založený účet. Poskytování bankovní identity komerčním subjektům však vyžaduje explicitní souhlas uživatele, jinak k tomuto předání dat nedojde. Přístup do základních registrů bankám uděluje zákon, třetím stranám jsou však sdíleny pouze vybrané informace, a to jen s výslovným souhlasem uživatelem. 
Jak si mohu ověřit, že stránka vyžadující přihlášení je opravdu službou registrovanou v NIA jako kvalifikovaný poskytovatel veřejné správy? Chci tak zabránit případnému phishingu.
Nejjednodušším způsobem je ověření, že je daná stránka chráněna HTTPS komunikačním certifikátem (taková stránka má ikonu zámku vedle svého URL odkazu). Současně lze všechny subjekty, které jsou registrované v NIA jako kvalifikovaní poskytovatelé veřejné správy, ověřit pod tímto odkazem: https://info.eidentita.cz/sep/
Je přihlášení pomocí bankovní identity chráněno vícefaktorovým ověřováním?
Pokud vyžaduje třetí strana ověření více faktory, tak ano. Pokud však banka podporuje méně než druhý faktor ověření, dojde vždy k přihlášení za pomocí druhého faktoru.
UŽÍVÁNÍ BANKID
Mohu se s bankovní identitou přihlásit například ke své zdravotní pojišťovně, škole či nemocnici?
Nikoliv, ale lze ji například využít k jednorázové aktivaci Mobilního klíče eGovernmentu, díky čemuž se dá dostat i tam, kam bankovní identita přístup neumožňuje.
Lze přes bankovní identitu podat daňové přiznání?
Ano, pomocí bankovní identity lze podat daňové přiznání.
Lze přes bankovní identitu podat přehledy pro sociální a zdravotní pojištění?
Přehled pro sociální správu podat lze, komunikaci s pojišťovnou zatím BankID neumožňuje.
Které banky nabízí svým klientům používání bankovní identity?
Startovací fáze BankID začíná 1. června 2021. Od tohoto data budou moci využívat bankovní identitu k přihlášení klienti České spořitelny a ČSOB, další banky se budou zapojovat postupně.
Jak postupovat, když budu chtít svoji bankovní identitu zrušit?
Banky by měly po přihlášení v uživatelské sekci umožňovat vidět, kdo všechno má přístup k datům, a mělo by být možné zrušit povolení pro danou aplikaci. Každá banka tuto funkcionalitu implementuje odlišně a závisí jen na ní.
Co se stane s mými daty, když se rozhodnu svoji bankovní identitu zrušit?
Po zrušení bankovní identity již aplikace, která měla doposud možnost získávat uživatelská data z banky/BankID, nebude mít přístup k datům z banky/BankID. Přesto ta data, která si aplikace uložila z doby, kdy k nim měla přístup, jí zůstanou - toto Banka, potažmo BankID nemůže nikterak ovlivnit.
 
BANKID Z POHLEDU FIREM
BANKID OBECNĚ
V čem je výhoda pro e-shopy ve využití služby BankID?
BankID umožňuje uživatelům využívat bankovní identitu pro komunikaci se soukromými společnostmi i úřady.
Soukromým subjektům pomáhá řešit čtyři základní problémy:
► Umožňuje ověřit totožnost zákazníka a díky tomu po něm například vymáhat poštovné v případě nevyzvednutí zásilky na dobírku.
► Díky schopnosti předvyplnit data o uživateli zjednodušuje a zrychluje nákupní proces, čímž současně zvyšuje konverzi zákazníka.
► Odpadá potřeba registrace nových zákazníků a ukládání jejich profilů, prokáží se jednoduše svou bankovní identitou.
► BankID poskytuje třetím stranám ověřenou identitu uživatele pro úkony, které vyžadují nejvyšší úroveň zabezpečení. Například při sjednávání smlouvy, uzavírání hypotéky, ověření osoby proti praní špinavých peněz či v případě nákupu drahých věcí, aniž uživatel musí jít osobně na pobočku či skenovat své doklady a posílat je elektronicky.
K čemu NELZE využít bankovní identitu? Existují nějaká omezení?
Prozatím přes bankovní identitu nelze platit. Současně pro její využívání musí mít klient založený účet v některé z bank zapojených do projektu.
ZALOŽENÍ BANKID PRO FIRMU
Jaký je postup pro možnost využívání bankovní identity k ověření uživatele na mém webu/e-shopu?
Existují dva způsoby, jak integrovat BankID do vašeho e-shopu či webového portálu:
► Placená integrace skrze specialisty, kteří spolupracují s BankID
► Integrace BankID svépomocí. Informace o postupu naleznete v dalším bodě.
Jak mohu BankID integrovat do svého e-shopu/webu svépomocí?
Tento proces vyžaduje určité technické znalosti. Pokud si nejste opravdu jisti, že dokážete proces zvládnout svépomocí, obraťte se prosím na některého ze specializovaných integrátorů. V opačném případě postupujte následovně:
► Zaregistrujete se na vývojářském portále https://developer.bankid.cz.
► Nastavíte si aplikaci - můžete si také zdarma vyzkoušet kompletní integraci v Sandbox prostředí
► Podepíšete smlouvu s BankID a zaplatíte vstupní poplatek.
►Dostanete produkční klíče a můžete napojit svoji aplikaci na reálná data koncových uživatelů.
Co je potřeba pro získání akreditace k provozu elektronické identifikace?
Akreditace k provozování elektronické identifikace je vyžadována pouze pro bankovní subjekty. Třetí strany (e-shopy, webové portály aj.), které chtějí BankID na svém webu využívat, žádnou akreditaci nepotřebují.
Jaké jsou poplatky za zřízení a provoz BankID v rámci firmy?
Každý subjekt, který chce na svých stránkách využívat ověření identity uživatele pomocí BankID, musí zaplatit aktivační poplatek. Samotné používání produktů BankID pak spadá pod jeden ze dvou režimů, které si firmy mohou zvolit:
TARIF – jde o využívání služeb BankID na základě předplatného. Na výběr je měsíční, kvartální či roční předplatné, tato částka platí za jednoho uživatele. Tento způsob vyúčtování je výhodný pro velkoobjemová využívání BankID, například pro velké e-shopy.
API CALLS – v případě API CALLS je firmě účtováno každé technické volání (vyvolání požadavku stránky na ověření uživatele pomocí BankID) směrem k poskytovateli BankID. Tato metoda účtování se hodí zejména pro e-shopy a stránky s malým objemem uživatelů a požadavků na ověření identity.
BEZPEČNOSTNÍ OPATŘENÍ
Jakou získám záruku, že se do e-shopu přihlásil a vytvořil si objednávku opravdový vlastník identity, a nikoliv někdo jiný?
Identitu přihlášeného uživatele ověřuje a zajišťuje banka, přes kterou se uživatel přihlásil. Obvykle toto přihlášení vyžaduje zadání uživatelského jména, hesla a ověření pomocí druhého faktoru (SMS kód, telefonní ověření, potvrzení v mobilní aplikaci aj.).
Jaké bezpečnostní nastavení a certifikáty jsou na webu vyžadovány, pokud chci provozovat bankovní identitu?
Bankovní identitu provozují BankID a banky, poskytovatelé služeb ji pouze konzumují. Certifikáty záleží na míře požadovaného zabezpečení, které se nastavuje na vývojářském portále. Jedná se pouze o technické certifikáty, ne právně ověřené.
Má firemní uživatel BankID přístup k Registru obyvatel stejně jako banky stojící za BankID?
Ne, firmy využívající na svých stránkách BankID nemají přístup do Registru obyvatel. Přístup získají pouze k těm datům, k nimž dá uživatel explicitní souhlas při přihlášení ke své bankovní identitě na webu firmy. (15.10.2021)