čtvrtek 7. dubna 2016

Jak si zřídit datovou schránku za jiného člověka

aneb

Zřiďte si svoji datovou schránku dřív, než Vám ji zřídí někdo jiný, bez vašeho vědomí


Na proběhlé konferenci ISSS 2016 kolegové popsali proces, jak zřídit datovou schránku (DS) na jiného člověka bez jeho vědomí a tím ho "odklonit" od korespondence s úřady. Způsobů zneužití se najde spousta, například v našem případě lze před daným člověkem zatajit vyznačení plomby na jeho nemovitostech a o zápisu návrhu na vklad (viz postup odstavec "Postup katastrálního úřadu v řízení o návrhu na vklad"). Zákon č. 300/2008 Sb. totiž ukládá, je-li to objektivně možné, elektronickou komunikaci. Proto i u reakcí na ta podání, která úřady obdrží v listinné podobě, musí orgán veřejné moci využít datovou schránku, má-li ji odesílatel podání zřízenu a aktivní.

Princip, na kterém je toto zneužití postaveno využívá vlastnosti kvalifikovaných zaměstnaneckých certifikátů , ve kterých je prakticky z identifikačních údajů jen jméno a příjmení.
Mějme tedy oblíbeného Josefa Nováka, označme ho  JN1. Tento JN1 si nechá vystavit zaměstnanecký kvalifikovaný certifikát na své jméno a následně si vyplní žádost o zřízení DS za jiného Josefa Nováka (označme ho JN2), tedy člověka, se stejným jménem. Do žádosti o zřízení DS ale vyplní svoji (JN1) doručovací adresu. Na JN1 udanou doručovací adresu pak přijde poštou dopis s přístupovými údaji. Zde si řeknete, že přeci pošta nevydá tuto obálku člověku sice stejného jména, ale s jiným datem narozením (přestože i to se stává, ale to považujme za selhání jedince, ne systému). Další trik je ale v tom, že ten dopis si nikdo nemusí vyzvednou, protože platí fikce doručení a daná DS je po 15 dnech automaticky zpřístupněna (aktivována), viz Zpřístupnění datové schránky. No a to je vlastně vše, tím je JN2 "odkloněn" od korespondence, kterou mu zasílají úřady. Příklad s návrhem na vklad je pouze jeden možných případů takového zneužití.

ICT Unie vznesla tuto připomínku v rámci legislativního procesu k zákonu o službách vytvářejících důvěru pro elektronické transakce, kterou ale Ministerstvo vnitra neakceptovalo, stejně jako naše připomínky ke stejnému problému:

Zásadní připomínka: Návrh nezohledňuje potřebu jednoznačné identifikace podepisující osoby zaručeným nebo kvalifikovaným elektronickým podpisem založeném na kvalifikovaném certifikátu podle Nařízení 910/2014 – viz čl. 26 písm. b) a čl. 32 písm. d) nařízení. 

1) V §4 požadujeme u zaručeného a kvalifikovaného elektronického podpisu povinný zápis údaje do kvalifikovaného certifikátu umožňující jednoznačnou identifikaci podepisující osoby službami dálkového přístupu.

Hlavním problémem, který nás trápí, nejsou ale DS. Tím problémem je fakt, že ani kvalifikovaný certifikát stále nestačí pro určení identity jeho vlastníka a tím je pro e-goverment obtížně použitelný. Nelze na něm postavit některé podstatné automatizované procesy, například určení vlastníka nemovitostí (oprávněný subjekt). Možných řešení je jistě více, jedním z nich by mohla být evidence těchto certifikátů (sériové číslo + další potřebné atributy) v ROB, nebo naopak. Bohužel se ale zatím nic takového nepodařilo prosadit a situace se paradoxně po příjetí změn v zákonech souvisejících s eIDAS ještě zhorší.

Na závěr třešnička na dortu - uvedený postup ještě vylepší fakt, že zaměstnanecký certifikát může za zaměstnance vyřídit tzv. oprávněná osoba, takže ani JN1, ani JN2 o tom nemusí vědět.....