Počevši od 1. siječnja 2021. stupa na snagu zakon br. 49/2020 Sb. kojim se mijenja zakon br. 21/1992 Sb. o bankama s izmjenama i dopunama, zakon br. 253/2008 Sb. o određenim mjerama protiv legalizacija dobiti od kriminalne aktivnosti i financiranja terorizma, s izmijenjena i dopunama, te neki drugi zakoni (u daljnjem tekstu samo “zakon o bankarskom identitetu”), koji donosi temeljne promjene na polju digitalnog identiteta i elektroničke identifikacije – tzv. bankarski identitet, bankarski ID ili BankID. Novo zakonodavstvo donosi jednostavan i besplatan oblik pristupa uslugama e-Governmenta kao i online uslugama privatnog sektora za korisnike internetskog bankarstva.[1] Banka ili podružnica strane banke bit će nadalje ovlaštena za ponudu, pružanje ili posredovanje usluga identifikacije i sklapanje ugovora o njima u ime i na račun davatelja usluga identifikacije.
Bankarski identitet
U Češkoj Republici imaju bankarski identitet gotovo svi korisnici Interneta – jednostavno rečeno, svi koji koriste usluge internetskog bankarstva. Stoga je bankarski identitet danas najrasprostranjenije sredstvo digitalnog identiteta. U realnom životu izgleda njegovo korištenje tako da se vi kao klijent banke pomoću klijentskog i telefonskog broja prijavljujete u internetsko bankarstvo ili mobilnu aplikaciju banke. Kombinacija ovih podataka i jedne od sigurnosnih metoda (obično unošenje lozinke i kontrolnog koda koji se šalje na telefonski broj klijenta) trebala bi osigurati da se u internetsko bankarstvo prijavi točno određeni klijent.
U nordijskim zemljama [2] bankarski identitet koristi se kao standardna metoda identifikacije kojom tvrtke, banke, organizacije i vlasti mogu provjeravati i sklapati ugovore s pojedincima putem interneta. Kako bi postigle isti cilj, domaće banke nadahnute nordijskim iskustvom pokrenule su tzv. projekt SONIA (kratica za privatnopravnu točku za identifikaciju i ovjeru [3] ). Sam projekt stvoren je u Češkoj asocijaciji banaka, a njegov je cilj mogućnost korištenja provjerenih bankarskih identiteta građana za izradu univerzalne digitalne identifikacije za korištenje usluga e-Governmenta, uvid u katastar, plaćanje naknada za pse ili primjerice komunikaciju s poreznom upravom.
16. rujna 2020. nastalo je društvo Bankovní identita, a.s. (Bankarski identitet) koje je osnovala Česká spořitelna (Češka štedionica) u suradnji s Československá obchodní banka (Čehoslovačka komercijalna banka) i Komerční banka (Komercijalna banka) kako bi se izgradila infrastruktura za pružanje usluga bankarskog identiteta i razvila suradnja s drugim bankama. Njegova je zadaća pružanje usluga identifikacije u odnosu na različite usluge koje pruža privatni sektor (npr. financijske institucije, telekomunikacijski operateri, distributeri energije, e-trgovine). Klijenti koji koriste internetsko bankarstvo u banci koja stupi u ugovorni odnos ili postane dioničar društva Bankovní identita, a.s. moći će elektronički jednostavno rješavati svoje poslove s privatnim tvrtkama. Prema državi klijenti će moći koristiti bankovne ID-ove svih banaka koje nude ovu opciju. Sa danom objavljivanja ovog članka Ministarstvo unutarnjih poslova ČR dodijelilo je u vezi s ovim projektom prvu akreditaciju za upravljanje kvalificiranim sustavom elektroničke identifikacije. Akreditaciju je dobila Čehoslovačka komercijalna banka.
Promjene u području AML-a
Izmjena Zakona br. 253/2008 Sb., o određenim mjerama protiv legalizacije dobiti od kriminalne aktivnosti i financiranja terorizma, s izmijenjena i dopunama (u daljnjem tekstu „ZoAML”), temelji se na dopuni nove odredbe § 8a, koja regulira upotrebu sredstava za elektroničku identifikaciju ( u daljnjem tekstu “PEI”) [4] u okviru identifikacije klijenta. Bit nove uredbe je proširenje metoda daljinske identifikacije klijenata (bez fizičke prisutnosti) prema ZoAML-u [5] , što bi se u praksi trebalo odraziti prvenstveno na pojednostavljenju postupka online onboardinga klijenata.
Novi zakon propisuje da „Obveznik može postupak u skladu s § 8 stavkom 1 i § 8 stavkom 2 slovom a) zamijeniti izvođenjem identifikacije fizičke osobe koja je klijent, ili fizičke osobe koja djeluje u ime klijenta putem elektroničke identifikacije…“ Međutim, obveznik nastavlja ispunjavati druge obveze utvrđene u odredbi § 8 koje reguliraju provedbu identifikacije, npr. utvrđuje da klijent nije politički izložena osoba ili provjerava klijenta prema sankcijskim listama. U svrhu identifikacije obveznik može odabrati PEI izdan i korišten u kvalificiranom sustavu prema zakonu o elektroničkoj identifikaciji [6] , ili izvan opsega kvalificiranog sustava prema zakonu kojim se uređuju poslovanje banaka. Naglašavamo da je u slučaju upotrebe ovih vrsta identifikacije neophodno da obveznik te postupke uvrsti u svoj sustav internih pravila.
Prema odredbama § 8a stavka 1 slova a) bit će moguće zamijeniti identifikaciju klijenta PEI-om koji udovoljava standardima visoke razine jamstva [7] i koji je dio kvalificiranog sustava prema zakonu o elektroničkoj identifikaciji. U pogledu upotrebe bankarskog identiteta nas više zanima druga metoda sadržana u odredbama § 8a stavka 1 slova b), što je provedba identifikacije putem PEI-a koja udovoljava uvjetima prema zakonu koji uređuje aktivnosti banaka [8]. To znači da obveznik može u svrhu identifikacije koristiti PEI izdan od banke, koja je podružnica strane banke. [9] Prema novoj odredbi § 38aa zakona br. 21/1992 Sb. o bankama, pružatelj usluga identifikacije znači „osobu koja nije banka, ima pravo pružati usluge identifikacije prema drugom zakonskom propisu i u kojoj imaju udio samo banke ili podružnice stranih banaka; ove banke ili podružnice stranih banaka dužne su osigurati da će pružatelj usluga identifikacije čuvati dobivene podatke u tajnosti i štiti ih od zlouporabe“. U trenutku objavljivanja ovog članka tu ulogu obavlja već spomenuto društvo Bankovní identita, a.s.
U slučaju da obveznici koriste ovaj novi način identifikacije, nameće im odredba § 8a stavka 2 obvezu „u razdoblju od 10 godina od izvršenja transakcije izvan poslovnog odnosa ili od prestanka poslovnog odnosa s klijentom imati na raspolaganju dostupne podatke o tome tko je izvršio identifikaciju prema § 38ac stavka 1 slovo b) točke 1 ili 2 ili § 38ac stavka 2 zakona koji uređuje poslovanje banaka“. Radi se o informaciji o tome tko je prilikom izdavanja PEI-a identificirao klijenta u njegovoj fizičkoj prisutnosti ili putem PEI-a s visokom razinom jamstva prema eIDAS-u, a koji se izdaje i koristi u kvalificiranom sustavu ili drugom prijavljenom sustavu elektroničke identifikacije. Cilj zakonodavca je povećanje sigurnosti PEI-a i osigurati sigurnost i vjerodostojnost identifikacije izvedene na ovaj način. Istodobno se u ovom kontekstu isključuje primjena § 16 stavka 1 slovo c) ZoAML-a [10] koji propisuje opće obveze obveznika da čuvaju podatke o tome tko je izvršio prvu identifikaciju. Ova je informacija vrlo važna prvenstveno za Ured za financijsku analitiku u slučaju obavijesti o sumnjivoj transakciji od strane obveznika.
Idući put ćemo pogledati nekoliko praktičnih primjera upotrebe bankarskog identiteta i objasniti kako će funkcionirati provjera putem njega.
[1] U obrazloženju Zakona o bankarskom identitetu stoji da je “Bankarski identitet predstavlja jednostavan i besplatan oblik pristupa uslugama e-Governmenta i online uslugama privatnog sektora za približno 5 milijuna građana koji koriste internetsko bankarstvo.”
[2] Nordijske zemlje su mjerilo napretka na području digitalnih usluga, gdje zauzimaju četiri najbolja mjesta na ljestvici u indeksu digitalne ekonomije i DESI koji sastavlja Europska komisija. Dostupno na web stranici Europske komisije: https://ec.europa.eu/digital-single-market/en/digital-economy-and-society-index-desi
[3] Kao privatnopravna alternativa nacionalnoj točki za identifikaciju (NIA). NIA služi kao alat za sigurnu i zajamčenu ovjeru identiteta korisnika mrežnih usluga koje pruža prvenstveno javna uprava. Za dokazivanje online identiteta koriste se različita sredstva identifikacije, čiji su pružatelji ili državna tijela ili su stekli akreditaciju i povezani su s nacionalnom točkom. Tu spada, na primjer, nova osobna iskaznica s čipom koja se izdaje od 1. srpnja 2018. ili NIA ID čiji je administrator Uprava osnovnih registara i između ostalog se koristi za prijavu na korisnički račun na portalu nacionalne točke. Više informacija možete pronaći na https://info.eidentita.cz/portal.
[4] Prema uredbi eIDAS-u se kao sredstvo elektroničke identifikacije podrazumijeva “materijalna ili nematerijalna jedinica koja sadrži osobne podatke, a koja se koristi za autentikaciju u svrhu online usluge”. Od već raširenih sredstava za elektroničku identifikaciju možemo navesti npr, eObčanka – osobna iskaznica s čipom izdana nakon 1. srpnja 2018. godine, korisnički račun portala eIdentita.cz (koji za provjeru koristi ime, lozinku i autorizacijsku SMS poruku) ili čip karticu Starcos društva První certifikační autorita, a.s.
[5] Trenutna formulacija ZoAML-a omogućuje identifikaciju klijenta bez njegove fizičke prisutnosti putem takozvane identifikacije prvom transakcijom, uz uvjet kumulativnog ispunjavanja uvjeta navedenih u § 11. stavka 7. ZoAML-a i dalje postupku prema § 11. stavka 8. ZoAML-a, koji se sastoji od provjere identiteta dotične fizičke osobe kvalificiranim pružateljem usluga povjerenja prema uredbi o elektroničkoj identifikaciji i uslugama povjerenja (eIDAS). Međutim, ove se iznimke mogu koristiti samo ako obveznik koji vrši identifikaciju ne sumnja u stvarni identitet klijenta.
[6] Vidi odredbe § 3 zakona br. 250/2017 Sb. o elektroničkoj identifikaciji.
[7] Razine jamstva sredstava za elektroničku identifikaciju utvrđene su provedbenom uredbom Komisije (EU) 2015/1502 od 8. rujna 2015. kojom se utvrđuju minimalne tehničke specifikacije i postupci za razine garancije sredstava elektroničke identifikacije iz članka 8. stavka 3. uredbe Europskog parlamenta i Vijeća (EU) br. 910/2014 o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu.
[8] Zakon br. 21/1992 Sb. o bankama, s izmjenama i dopunama (ZoB). PEI koji izdaje banka, podružnica strane banke ili pružatelj usluga identifikacije u svrhu identifikacije prema ZoAML-u mora postići traženu kvalitetu (vidi § 38 ac. stavka 1 ZoB-a).
[9] Međutim, samo pod uvjetom da ova aktivnost nije u suprotnosti s bankarskom licencom odgovarajuće podružnice strane banke koju joj je izdala njena matična država.
[10] Sukladno § 16 stavka 1 je obveznik obvezan u razdoblju od 10 godina od izvršenja transakcije ili od prestanka poslovnog odnosa s klijentom čuvati podatke o tome tko je i kada izvršio prvu identifikaciju klijenta.
Češki kiberataše u SAD-u koji trenutno živi u Washingtonu D.C. Autor je nacionalne strategije kibernetičke sigurnosti. Od 2013. godine suosnivač je Nacionalnog centra kibernetičke sigurnosti pri Uredu za nacionalnu sigurnost, te je zatim sudjelovao u osnivanju Nacionalnog ureda za kibernetičku i informacijsku sigurnost unutar kojeg je izgradio Odjel za politiku kibernetičke sigurnosti koji je postao uzor za sigurnosne institucije na svim kontinentima. Predavao je na Georgetown University, Elliott School of International Affairs i američkom Sveučilištu nacionalne obrane u okviru akademskih programa i stručnih skupova, te u Australiji, Japanu i Njemačkoj. Koncept vježbi kibernetičke sigurnosti na strateškoj razini pod njegovim vodstvom predstavlja pomoć oružanim snagama od Pentagona do Afričke unije. Autor je knjige o ruskim utjecajnim operacijama u kibernetskom prostoru koja je napr. dio obuke za buduće generale na Joint Advanced Warfighiting School u Norfolku, SAD. Studirao je na Karlovom sveučilištu u Pragu, u Izraelu i na Bunderswehr sveučilištu u Münchenu/George C. Marshall Center for Security Studies u Njemačkoj. Njegova je stručnost tražena diljem svijeta zato što jednako kao pranje novca niti kibernetski prostor i kiberkriminal ne poznaju granice. Jeste li znali da u kibernetskom prostoru djeluju državni akteri koji se ponašaju kao kriminalne skupine, napadaju vas s ciljem obogaćivanja na tvrtkama poput vaše i na korisnicima interneta kao što ste upravo vi?