Pošta stále overuje doklady v mobiloch len pohľadom. Štát v tom problém nevidí

Od mája tohto roka môžu občania Slovenska využívať digitálny občiansky preukaz v aplikácii eDoklady už na všetkých pobočkách Slovenskej pošty. Predbežne však funguje len v provizórnom režime, ktorý má vplyv na bezpečnosť. Klienti sa na pobočkách pošty môžu preukazovať konkrétne mobilným telefónom.

Overenie ich totožnosti prebieha iba vizuálnou kontrolou obrazovky, bez technických nástrojov na overenie pravosti, na čo sme už upozorňovali. U doručovateľov na adresy takéto preukázanie sa nie je možné.

Čo sa dočítate v článku:

• čo sa zmení od júla,
• prečo sa rozhodla ísť pošta do projektu,
• prečo pilotný projekt nestopli,
• čo na overovanie hovorí rezort vnútra,
• či boli nejaké pokusy o zneužitie.

Zatiaľ bez skenerov. Len „voľným okom“

Tento spôsob identifikácie ľudí, ktorí prídu k poštovej priehradke, je veľmi sporný. Bez ochranných prvkov môže dôjsť k zneužitiu – napríklad prostredníctvom napodobenín aplikácie.

Až v budúcnosti má pošta využívať skenery QR kódov a takto automaticky online overiť pravosť dokladu cez štátny register. Tým sa má zvýšiť bezpečnosť a zrýchliť vybavovanie klientov. Ešte to však neplatí.

Obmedzenia pri tejto možnosti existujú – s digitálnym dokladom sa nateraz nedajú prebrať úradné zásielky, zásielky do vlastných rúk a sociálne dávky a dôchodky. Prebrať sa naopak dajú listy, balíky aj poistené listy, pričom všetky zásielky môžu byť podané aj ako doporučené. Na pošte zároveň takto vyplatia aj poštovú poukážku.

My sme zisťovali, ako aktuálny stav hodnotí Ministerstvo vnútra SR. Tiež nás zaujímalo, prečo pošta išla do rizika. V článku prinášame aj plány rezortu a pošty do budúcnosti.

Rezort vnútra: Pripravuje sa zákon, ide o pilot

Pošta aktuálne umožňuje klientom preberať zásielky aj po overení prostredníctvom digitálneho občianskeho preukazu cez aplikáciu eDoklady. Zatiaľ ale overuje totožnosť len vizuálne. Takáto forma môže byť ľahko zneužiteľná:

• napríklad cez falošnú aplikáciu, ktorá by mala rovnaký názov ako pravá ukázala by doklad v podobnom rozhraní a s podobným vizuálom ako originálna aplikácia. Falošnú aplikáciu si môže vytvoriť a do mobilu nainštalovať ktokoľvek, kto je digitálne zručnejší a vyhradí si čas na naštudovanie postupov. Stačí, aby aplikácia ukázala realistické obrázky v správnom slede. Bližší opis ani postup z pochopiteľných dôvodov neuvádzame.
• alebo cez obrázok s vizuálom dokladu. Podvodník by sa ale musel spoľahnúť, že pracovník pošty nebude kontrolovať celý postup otvárania aplikácie, napríklad pre ušetrenie času. Útočník by si ale musel pripraviť vizuál alebo si urobiť screenshot z aplikácie. To bežne nie je v aplikácii povolené, ale za istých okolností to je možné cez špeciálne postupy obísť.

„Tieto vaše hypotetické úvahy, samozrejme, sú v hypotetickom priestore možné. Nepredpokladám, že by niekto takúto aplikáciu urobil ako ‚fejkovú‘ a na základe toho si išiel niečo prevziať,“ reagoval pre Živé.sk šéf sekcie informatiky rezortu vnútra Martin Hrachala počas konferencie ITAPA.

Je podľa neho čisto na pošte, že akceptuje aj takéto doklady. „Majú vlastné interné predpisy, pri ktorých požadujú overovanie totožnosti osoby. A to je asi otázka na poštu. Viem povedať, že si zvážili nejaké riziká a stanovili si, do akej úrovne overujú osobu,“ hovorí. Dodáva, že zneužité môžu byť aj doklady vo fyzickej podobe.

Nevidia dôvod na stopku

Na otázku, prečo ministerstvo takýto pilot z bezpečnostných dôvodov nezastavilo, odpovedal, že nevidí dôvod, prečo by to mali urobiť. Podľa neho ide o prechodné riešenie, ktoré by malo skončiť po zavedení iných nástrojov.

„Počas pilotnej fázy tejto aplikácie to je umožnené. Následne, ak budú spustené aplikácie na overovanie (pravosti digitálnych dokladov, pre pracovníkov pošty, pozn. red.), tak ani to už nebude možné. Čiže je to dočasný stav, počas ktorého overujeme použiteľnosť aplikácie,“ dôvodí.

Zástupca rezortu tvrdí, že závažné zneužitie je málo pravdepodobné. Argumentuje aj tým, že každé vedomé zneužitie aplikácie môže byť trestným činom: „Ak by toto niekto spravil, ide o zneužitie identity, dopúšťa sa trestného činu, bude dopátraný a bude potom niesť následky za svoje konanie,“ upozornil.

Overovacie aplikácie, ktoré by umožnili technickú verifikáciu pravosti dokladov cez QR kódy a štátne registre, by mali prísť v najbližších mesiacoch. „Približne v horizonte okolo jedného až dvoch mesiacov,“ uviedol pre Živé.sk Hrachala v stredu.

Tieto aplikácie budú nielen pre pracovníkov pošty, ale aj pre iné úrady, organizácie aj súkromný sektor.

Pošta: Chceli sme podporiť nový projekt

Pošta na otázku, prečo sa pustila do tohto testu, uviedla, že chcela podporiť projekt digitálnych dokladov.

„Do tohto pilotu sme sa rozhodli zapojiť po dohovore s Ministerstvom vnútra SR. Chceli sme podporiť, aby si ľudia danú aplikáciu sťahovali, aby ju využívali, lebo nám to, samozrejme, v budúcnosti pomôže pri zrýchlení procesov,“ povedala pre Živé.sk vedúca úseku obchodu Slovenskej pošty Melinda Burdanová na konferencii ITAPA.

Aktuálne musí klient pred pracovníkom otvoriť aplikáciu, použiť biometriu a umožniť zobrazenie údajov. Tak to pracovníkom kážu interné predpisy. Burdanová priznáva, že ide zatiaľ o prácnejší proces a novinka pracovníkom nešetrí čas ani námahu.

„Dnes, v pilotnej prevádzke sa musím priznať, že nie (nepomáha, pozn. red.). Je to pre pracovníka skôr prácnejšie, nakoľko musí dbať na to, aby klient otvoril svoj mobilný telefón, použil biometriu, aby otvoril aplikáciu, použil biometriu, aby vyscrolloval aplikáciu a dostal sa k občianskemu preukazu,“ uviedla Burdanová.

Pošta si podľa nej vyhodnotila riziká a zapojenie do pilotu považuje za vhodné. „Vyhodnotili sme si, že úkony, kde to používame, nie sú natoľko rizikové, aby sme do toho rizika nemohli ísť,“ hovorí.

Doteraz bez problémov

Napriek bezpečnostným obavám Burdanová tvrdí, že reálne incidenty sa zatiaľ neobjavili. Platí, že ak pracovník pošty nadobudne pochybnosti o predloženom doklade, má právo odmietnuť ho a požiadať o doklad vo fyzickej podobe.

„My sme počas pilotnej fázy, čiže v priebehu apríla, kedy sme to spustili na ôsmich pobočkách, ani v máji, kedy sa pripojili ostatné pošty, nezaznamenali žiadnu sťažnosť, žiadnu reklamáciu, vôbec žiadny podnet na nejaké zneužitie tohto typu,“ spresnila Burdanová.

Zatiaľ chýba presný termín, kedy budú na poštách dostupné čítačky QR kódov. Zástupkyňa verí, že to bude v priebehu niekoľkých mesiacov. Tiež zdôrazňuje, že ak by zamestnanec pošty vydal zásielku bez splnenia všetkých postupov, môže čeliť dôsledkom.

„Ak by došlo k nejakému pochybeniu a zistíme, že neboli dodržané všetky metodické, technologické kroky, tak máme možnosť siahnuť pracovníkovi na variabilnú časť mzdy,“ dodala.

Platnosť ako pri fyzických dokladoch

Oficiálna legislatíva, ktorá by umožnila overovať digitálnu identitu aj mimo Policajného zboru, nadobudne účinnosť až 1. júla 2025. Pošta tak zatiaľ overuje „na priehradkach“ akési potvrdenie, ktoré ani nie je oficiálny doklad.

„Od 1. júla bude účinná zmena o občianskych preukazoch, ktorá nám umožňuje overovanie nielen príslušníkmi Policajného zboru, ale bude to umožnené všetkým,“ vysvetlil pre Živé.sk Hrachala z ministerstva vnútra.

Štátny tajomník na ministerstve vnútra Patrik Krauspe rovnako nevníma ako sporné to, akým spôsobom teraz pošta overuje digitálne doklady. „V tom nevidím vôbec žiadny problém. Najmä nie z toho hľadiska, že od 1. júla bola prijatá novela zákona, ktorá už aj legálne všetkým štátnym orgánom a inštitúciám takéto overenie dokladov umožní,“ vysvetľuje Krauspe pre Živé.sk.

Digitálna aplikácia eDoklady bude po účinnosti novely odpisom občianskeho preukazu, čiže jeho digitálnou kópiou, ozrejmuje Krauspe. Bude podľa neho platiť to, že všade, kde sa dá na identifikáciu použiť občiansky preukaz, sa bude dať použiť aj aplikácia s dokladmi v mobile.