14 lipca 2023 r. weszła w życie ustawa z dnia 26 maja 2023 r. o aplikacji mObywatel. Umożliwi ona posługiwanie się m.in. nowym dokumentem tożsamości. Pozwoli też udostępnić w tej aplikacji kolejne usługi dla obywateli.
Nowy dokument tożsamości – mDowód
Głównym dokumentem w aplikacji mObywatel będzie cyfrowy dokument tożsamości mObywatel (mDowód). Będzie zawierał dane z Rejestru Dowodów Osobistych i rejestru PESEL.
Dokument ten pozwoli potwierdzić tożsamość i obywatelstwo polskie użytkownika aplikacji mObywatel:
- na terytorium Rzeczypospolitej Polskiej,
- w relacjach wzajemnej fizycznej obecności stron,
- w każdym przypadku, gdy z przepisu prawa wynika obowiązek stwierdzenia tożsamości na podstawie dokumentu tożsamości, w szczególności na podstawie dowodu osobistego.
Obywatele będą mogli z mDowodem załatwiać sprawy i potwierdzać swoją tożsamość w urzędach. Od 1 września 2023 r. również instytucje finansowe zobowiązane na podstawie ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu rozpoczną honorowanie nowego dokumentu. Natomiast nie będzie go można użyć w dwóch sytuacjach:
- w procesie wydawania dowodu osobistego (art. 34, pkt 5 ustawy),
- podczas przekraczania granicy Polski (art. 7 ust. 5 pkt 1 ustawy).
Weryfikacja dokumentu mDowód
Wszystkie dokumenty elektroniczne udostępnione w aplikacji mObywatel mają zaawansowaną pieczęć elektroniczną. Pozwala to na potwierdzenie ważności, integralności, autentyczności i pochodzenia tych dokumentów. Weryfikację autentyczności tych dokumentów zapewniają też elementy prezentacyjne tych dokumentów.
Dokument mDowód będzie można zweryfikować za pomocą metody wizualnej, funkcjonalnej i kryptograficznej. To osoba weryfikująca decyduje, z której z nich skorzysta.
Weryfikacja wizualna będzie podobna do sprawdzenia tradycyjnych dokumentów. Osoba weryfikująca będzie mogła sprawdzić następujące elementy mDowodu:
- fotografię,
- hologram, który zmienia barwę przy poruszaniu smartfonem,
- datę ostatniej aktualizacji danych,
- zegar pokazujący aktualną datę i godzinę,
- elementy dynamiczne, czyli ruchomy element graficzny prezentujący biało-czerwoną flagę,
- grafiki tła umieszczonego za danymi osobowymi.
Jeśli podczas wykorzystania tej metody osoba weryfikująca będzie miała wątpliwości dotyczące autentyczności dokumentu, możliwe jest skorzystanie z metody funkcjonalnej. Polega ona na okazaniu przez posiadacza aplikacji dowolnej funkcjonalności aplikacji (np. wyświetlenie certyfikatu) lub uruchomieniu określonej funkcji (np. przekazania danych).
W ramach rozwoju aplikacji uproszczony został proces weryfikacji dokumentu metodą kryptograficzną. Jest ona realizowana przez funkcję weryfikatora w aplikacji mobilnej (por. art. 19 ust. 1 pkt 7 lit. a ustawy) i nie będzie już potrzebna do tego aplikacja mWeryfikator. Osoba weryfikująca będzie musiała mieć urządzenie mobilne z nową wersją aplikacji mObywatel, ale do skorzystania z funkcjonalności nie będzie niezbędna rejestracja i logowanie do aplikacji. W procesie weryfikacji będzie walidowana zarówno ważność certyfikatu, jak również samego dokumentu. W załączeniu przekazujemy ulotkę na temat tego modelu weryfikacji.
Bezpieczeństwo
Proces potwierdzania tożsamości obywatela realizują zaufani dostawcy tożsamości. Dostęp do aplikacji mObywatel zabezpieczony jest hasłem o wymaganym poziomie złożoności lub uwierzytelnieniem z wykorzystaniem biometrii i numeru PIN lub biometrii.
Dane wrażliwe (wymagane do realizacji funkcjonalności aplikacji) są przechowywane na urządzeniach mobilnych użytkownika aplikacji w szyfrowanych kontenerach. Wykorzystują one złożone klucze kryptograficzne. Dostęp do danych przetwarzanych w ramach aplikacji mObywatel zabezpieczony jest przed dostępem z innych aplikacji zainstalowanych na urządzeniu mobilnym.
Komunikacja z back-end systemu mObywatel odbywa się z wykorzystaniem protokołu HTTPS i zabezpieczona jest mechanizmami Certificate Pinning. Chroni to aplikację przed nawiązaniem połączenia z niezaufanego serwera API oraz atakami „man in the middle”.
Aplikacja mObywatel poddawana jest też cyklicznym testom bezpieczeństwa.
Jeśli obywatel straci telefon z zainstalowaną aplikacją mObywatel, będzie mógł unieważnić certyfikat przez całodobową infolinię (numer +48 42 253 54 74).
Edukacja i kontakt
Sukcesywnie udostępniamy materiały szkoleniowe i edukacyjne dotyczące weryfikacji kryptograficznej. Szkolenia dla urzędników posiadających konto na platformie szkoleniowej PL.ID dostępne są adresem: https://szkolenia.obywatel.gov.pl/login/index.php.
Uruchomiliśmy także e-szkolenie dla obywateli dostępne dla każdego pod adresem https://www.gov.pl/web/szkolenia.
Aktualne informacje na temat aplikacji i jej funkcji można uzyskać także na stronie https://info.mobywatel.gov.pl/.
Janusz Cieszyński
Minister Cyfryzacji
il.: www.gov.pl