Počínaje 1. lednem 2021 nabude účinnosti zákon č. 49/2020 Sb., kterým se mění zákon č. 21/1992 Sb., o bankách, ve znění pozdějších předpisů, a zákon č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu, ve znění pozdějších předpisů, a některé další zákony (dále jen „zákon o bankovní identitě“), který přináší zásadní změny na poli digitální identity a elektronické identifikace – tzv. bankovní identitu, bankovní ID či BankID. Nová právní úprava přináší jednoduchou a bezplatnou formu přístupu ke službám e-Governmentu i online službám soukromého sektoru pro uživatele internetového bankovnictví.[1] Banka nebo pobočka zahraniční banky bude oprávněna nově nabízet, poskytovat nebo zprostředkovávat identifikační služby a uzavírat smlouvy o nich jménem a na účet poskytovatele identifikačních služeb.
Bankovní identita
V České republice disponují bankovní identitou téměř všichni uživatelé internetu – jednoduše řečeno každý, kdo používá služeb internetového bankovnictví. To činí z bankovní identity v současnosti nejrozšířenější prostředek digitální identity. V reálném životě vypadá jeho využití tak, že se jako klient banky přihlásíte prostřednictvím svého klientského a telefonního čísla do internetového bankovnictví či do mobilní aplikace banky. Kombinace právě těchto údajů a jedné z bezpečnostních metod (typicky zadání hesla a ověřovacího kódu, který je klientovi zaslán na uvedené telefonní číslo) by měla zaručovat, že se do internetového bankovnictví přihlašuje opravdu daný klient.
V nordických zemích [2] je bankovní identita využívána jako standardní identifikační metoda, jejímž prostřednictvím mohou společnosti, banky, organizace a úřady ověřovat a uzavírat smlouvy s jednotlivci online. Tuzemské banky inspirované severskou zkušeností iniciovaly za účelem dosažení totožného cíle tzv. projekt SONIA (zkratka pro soukromoprávní bod pro identifikaci a autentizaci [3]). Samotný projekt vznikl na půdě České bankovní asociace a jeho podstatou je možnost využití ověřených bankovních identit občanů k vytvoření univerzální digitální identifikace pro čerpání služeb e-governmentu, nahlížení do katastru, placení poplatků za psa, nebo třeba komunikaci s finančním úřadem.
Dne 16. září 2020 vznikla společnost Bankovní identita, a.s., kterou založila Česká spořitelna ve spolupráci s Československou obchodní bankou a Komerční bankou za účelem budování infrastruktury pro poskytování služeb bankovní identity a rozvíjení spolupráce s dalšími bankami. Jejím úkolem je zajišťovat identifikační služby ve vztahu k různým službám poskytovaným soukromým sektorem (např. finančními institucemi, telekomunikačními operátory, dodavateli energie, e-shopy). Klienti, kteří používají internetové bankovnictví v bance, která naváže smluvní vztah nebo se stane akcionářem společnosti Bankovní identita, a.s., tak budou mít možnost elektronicky a jednoduše zařizovat své záležitosti se soukromými společnostmi. Vůči státu budou moci využívat klienti bankovní ID všech bank, které tuto možnost nabídnou. K datu uveřejnění tohoto článku udělilo Ministerstvo vnitra v souvislosti s tímto projektem první akreditaci pro správu kvalifikovaného systému elektronické identifikace. Akreditaci získala Československá obchodní banka.
Změny v oblasti AML
Změna zákona č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu, ve znění pozdějších předpisů (dále jen „ZoAML“) spočívá v doplnění nového ustanovení § 8a, které upravuje využití prostředku pro elektronickou identifikaci (dále jen „PEI“) [4] v rámci identifikace klienta. Podstatou nové úpravy je rozšíření způsobů identifikace klientů na dálku (bez fyzické přítomnosti) podle ZoAML [5], což by se v praxi mělo promítnout zejména ve zjednodušení procesu online onboardingu klientů.
Nová právní úprava stanoví, že „Povinná osoba může postup podle § 8 odst. 1 a § 8 odst. 2 písm. a) nahradit provedením identifikace fyzické osoby, která je klientem, nebo fyzické osoby jednající za klienta prostřednictvím prostředku pro elektronickou identifikaci…“. Povinná osoba však nadále plní ostatní povinnosti stanovené ustanovením § 8 upravujícím provádění identifikace, např. zjišťuje, zda klient není politicky exponovanou osobou či prověřuje klienta vůči sankčním seznamům. Povinná osoba může pro účely provádění identifikace zvolit buď PEI vydávaný a používaný v rámci kvalifikovaného systému podle zákona o elektronické identifikaci [6], nebo mimo rámec kvalifikovaného systému podle zákona upravujícího činnost bank. Zdůrazňujeme, že v případě využívání těchto druhů identifikace je nezbytné, aby povinná osoba vtělila tyto postupy do svého systému vnitřních zásad.
Podle ustanovení § 8a odst. 1 písm. a) bude možné identifikaci klienta nahradit pomocí PEI, který splňuje standardy pro vysokou úroveň záruky [7] a který je součástí kvalifikovaného systému podle zákona o elektronické identifikaci. V smyslu využití bankovní identity nás však více zajímá druhý způsob zakotvený v ustanovení § 8a odst. 1 písm. b), jímž je provedení identifikace prostřednictvím PEI, který splňuje podmínky podle zákona upravujícího činnost bank [8]. To znamená, že povinná osoba může pro účely identifikace použít PEI vydaný bankou, pobočkou zahraniční banky. [9] Podle nového ustanovení § 38aa zákona č. 21/1992 Sb., o bankách se poskytovatelem identifikačních služeb rozumí „osoba, která není bankou, je na základě jiného právního předpisu oprávněna poskytovat identifikační služby a ve které mají podíl pouze banky nebo pobočky zahraničních bank; tyto banky nebo pobočky zahraničních bank jsou povinny zajistit, že poskytovatel identifikačních služeb bude zachovávat získané údaje v tajnosti a chránit je před zneužitím.“. K datu uveřejnění tohoto článku má tuto roli plnit již zmíněná společnost Bankovní identita, a.s.
V případě, že povinné osoby tento nový způsob identifikace využijí, ukládá jim ustanovení § 8a odst. 2 povinnost „mít po dobu 10 let od uskutečnění obchodu mimo obchodní vztah nebo od ukončení obchodního vztahu s klientem k dispozici údaj o tom, kdo provedl identifikaci podle § 38ac odst. 1 písm. b) bodu 1 nebo 2 nebo § 38ac odst. 2 zákona upravujícího činnost bank.“. Jedná se o informaci o tom, kdo při vydávání PEI provedl identifikaci klienta za jeho fyzické přítomnosti nebo pomocí PEI s vysokou úrovní záruky podle eIDAS, a který je vydáván a používán v rámci kvalifikovaného systému, nebo jiného oznámeného systému elektronické identifikace. Cílem zákonodárce je zejména zvýšení bezpečnosti PEI a zajištění bezpečnosti a důvěryhodnosti tímto způsobem provedené identifikace. Zároveň se v této souvislosti vylučuje aplikace § 16 odst. 1 písm. c) ZoAML [10], který poskytuje obecnou úpravu povinnosti povinných osob uchovávat informace o tom, kdo provedl první identifikaci. Tato informace je velmi důležitá zejména pro Finanční analytický úřad v případě oznámení podezřelého obchodu ze strany povinné osoby.
Napříště se podíváme některé praktické příklady využití bankovní identity a vysvětlíme si, jak bude ověření jejím prostřednictvím fungovat.
[1] Důvodová zpráva k zákonu o bankovní identitě uvádí, že „Bankovní identita představuje jednoduchou a bezplatnou formu přístupu ke službám e-Governmentu i online službám soukromého sektoru pro přibližně 5 milionů občanů, kteří používají internetové bankovnictví.“.
[2] Severské země představují etalon pokroku na poli digitálních služeb, když zaujímají první čtyři příčky v indexu digitální ekonomiky a společnosti DESI sestavovaném Evropskou komisí. Dostupné na internetových stránkách Evropské komise: https://ec.europa.eu/digital-single-market/en/digital-economy-and-society-index-desi
[3] Jako soukromoprávní alternativa národního bodu pro identifikace (NIA). NIA slouží jako nástroj pro bezpečné a zaručené ověření totožnosti uživatele online služeb poskytovaných zejména veřejnou správou. K prokazování totožnosti online formou slouží různé identifikační prostředky, jejichž poskytovatelé jsou buď státní orgány anebo získali akreditaci a jsou napojeni na národní bod. Mezi ně patří například nový občanský průkaz s čipem, který je vydáván od 1. 7. 2018 nebo NIA ID, jehož správce je Správa základních registrů a mj. slouží pro přihlášení k uživatelskému účtu v portálu národního bodu. Více informací najdete na https://info.eidentita.cz/portal/.
[4] Podle nařízení eIDAS se prostředkem elektronické identifikace rozumí „hmotná či nehmotná jednotka obsahující osobní identifikační údaje, která se používá k autentizaci pro účely on-line služby“. Z již rozšířených prostředků elektronické identifikace lze jmenovat např. eObčanku – občanský průkaz s čipem vydaný po 1. červenci 2018 včetně, uživatelský účet portálu eIdentita.cz (ten používá k ověření jméno, heslo a autorizační SMS zprávu) nebo čipovou kartu Starcos společnosti První certifikační autorita, a.s.
[5] Současné znění ZoAML umožňuje provést identifikaci klienta bez fyzické jeho přítomnosti prostřednictvím tzv. identifikace první platbou, a to za kumulativního splnění podmínek uvedených v § 11 odst. 7 ZoAML a dále postupem podle ustanovení § 11 odst. 8 ZoAML, jenž spočívá v ověření totožnosti dotyčné fyzické osoby u kvalifikovaného poskytovatele služeb vytvářejících důvěru podle nařízení o elektronické identifikaci a službách vytvářejících důvěru (eIDAS). Těchto výjimek lze však využít pouze v případě, že povinná osoba provádějící identifikaci nemá pochybnost o skutečné totožnosti klienta.
[6] Viz ustanovení § 3 zákona č. 250/2017 Sb., o elektronické identifikaci.
[7] Úrovně záruk prostředků pro elektronickou identifikaci stanoví prováděcí nařízení Komise (EU) 2015/1502 ze dne 8. září 2015, kterým se stanoví minimální technické specifikace a postupy pro úrovně záruky prostředků pro elektronickou identifikaci podle čl. 8 odst. 3 nařízení Evropského parlamentu a Rady (EU) č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu.
[8] Zákon č. 21/1992 Sb., o bankách, ve znění pozdějších předpisů (ZoB). PEI vydaný bankou, pobočkou zahraniční banky nebo poskytovatelem identifikačních služeb pro účely identifikace dle ZoAML musí dosahovat požadované kvality (viz. §38 ac odst. 1 ZoB).
[9] Pouze však za předpokladu, že tato činnost není v rozporu s bankovní licencí příslušné pobočky zahraniční banky udělené jejím domovským státem.
[10] Podle § 16 odst. 1 musí povinná osoba uchovávat po dobu 10 let od uskutečnění obchodu nebo od ukončení obchodního vztahu s klientem údaj o tom, kdo a kdy provedl první identifikaci klienta.
Český kyberatašé v USA, momentálně žijící ve Washingtonu D.C. Autor národních bezpečnostních kyberstrategií, od roku 2013 spoluvytvářel Národní centrum kybernetické bezpečnosti při NBÚ a následně se podílel na vzniku Národního úřadu pro kybernetickou a informační bezpečnost, kde postavil Odbor kybernetických bezpečnostních politik, který se stal vzorem pro bezpečnostní instituce napříč kontinenty. Přednášel na Georgetown University, Elliott School of International Affairs a americké Národní obranné univerzitě v rámci akademických programů a odborných konferencí a to i v Austrálii, Japonsku a Německu.
Koncept kyberbezpečnostních cvičení na strategické úrovni se pod jeho vedením stal pomůckou ozbrojeným silám od Pentagonu po Africkou unii. Je autorem knihy o ruských vlivových operacích v kyberprostoru, která je např. součástí výuky pro budoucí generály na Joint Advanced Warfighiting School v Norfolku, USA. Studoval na Univerzitě Karlově, v Izraeli a na Bunderswehr univerzitě Mnichov/George C. Marshall Center for Security Studies v Německu. Jeho expertiza je žádána napříč globem, protože stejně tak jako praní peněz i kyberprostor a kyberzločin neznají hranice. Věděli jste, že existují státní aktéři v kyberprostoru, chovající se jako kriminální skupiny, útočící s cílem obohatit se na firmách jako je ta vaše a na uživatelích internetu, jako jste právě vy?