Drodzy Państwo!
dnia 14 lipca 2023 r. wchodzi w życie ustawa z dnia 26 maja 2023 r. o aplikacji mObywatel. Umożliwi ona posługiwanie się m. in. nowym dokumentem tożsamości. Pozwoli też udostępnić w tej aplikacji kolejne usługi dla obywateli.
Nowy dokument tożsamości – mDowód
Głównym dokumentem w aplikacji mObywatel będzie cyfrowy dokument tożsamości mObywatel (mDowód). Będzie zawierał dane z Rejestru Dowodów Osobistych i rejestru PESEL.
Dokument ten pozwoli potwierdzić tożsamość i obywatelstwo polskie użytkownikaaplikacji mObywatel:
- na terytorium Rzeczypospolitej Polskiej,
- w relacjach wzajemnej fizycznej obecności stron,
- w każdym przypadku, gdy z przepisu prawa wynika obowiązek stwierdzenia
tożsamości na podstawie dokumentu tożsamości, w szczególności na podstawie dowodu osobistego.
Obywatele będą mogli z mDowodem załatwiać sprawy i potwierdzać swoją tożsamość w urzędach. Od 1 września 2023 r. również instytucje finansowe zobowiązane na podstawie ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu rozpoczną honorowanie nowego dokumentu. Natomiast nie będzie go można użyć w dwóch sytuacjach:
- w procesie wydawania dowodu osobistego (art. 34, pkt 5 ustawy),
- podczas przekraczania granicy Polski (art. 7 ust. 5 pkt 1 ustawy).
Weryfikacja dokumentu mDowód
Wszystkie dokumenty elektroniczne udostępnione w aplikacji mObywatel mają
zaawansowaną pieczęć elektroniczną. Pozwala to na potwierdzenie ważności, integralności, autentyczności i pochodzenia tych dokumentów. Weryfikację autentyczności tych dokumentów zapewniają też elementy prezentacyjne tych dokumentów. Dokument mDowód będzie można zweryfikować za pomocą metody wizualnej, funkcjonalnej i kryptograficznej. To osoba weryfikująca decyduje, z której z nich skorzysta. Weryfikacja wizualna będzie podobna do sprawdzenia tradycyjnych dokumentów. Osoba weryfikująca będzie mogła sprawdzić następujące elementy mDowodu:
1. fotografię,
2. hologram, który zmienia barwę przy poruszaniu smartfonem,
3. datę ostatniej aktualizacji danych,
4. zegar pokazujący aktualną datę i godzinę,
5. elementy dynamiczne, czyli ruchomy element graficzny prezentujący białoczerwoną
flagę,
6. grafiki tła umieszczonego za danymi osobowymi.
Jeśli podczas wykorzystania tej metody osoba weryfikująca będzie miała wątpliwości dotyczące autentyczności dokumentu, możliwe jest skorzystanie z metody funkcjonalnej. Polega ona na okazaniu przez posiadacza aplikacji dowolnej funkcjonalności aplikacji (np. wyświetlenie certyfikatu) lub uruchomieniu określonej funkcji (np. przekazania danych). W ramach rozwoju aplikacji uproszczony został proces weryfikacjidokumentu metodą kryptograficzną. Jest ona realizowana przez funkcję weryfikatora w aplikacji mobilnej (por. art. 19 ust. 1 pkt 7 lit. a ustawy) i nie będzie już potrzebna do tego aplikacja mWeryfikator.
Osoba weryfikująca będzie musiała mieć urządzenie mobilne z nową wersją aplikacji mObywatel, ale do skorzystania z funkcjonalności nie będzie niezbędna rejestracja i logowanie do aplikacji. W procesie weryfikacji będzie walidowana zarówno ważność certyfikatu, jak również samego dokumentu. W załączeniu przekazujemy ulotkę na temat tego modelu weryfikacji.
Bezpieczeństwo
Proces potwierdzania tożsamości obywatela realizują zaufani dostawcy tożsamości. Dostęp do aplikacji mObywatel zabezpieczony jest hasłem o wymaganym poziomie złożoności lub uwierzytelnieniem z wykorzystaniem biometrii i numeru PIN lub biometrii. Dane wrażliwe (wymagane do realizacji funkcjonalności aplikacji) są przechowywane na urządzeniach mobilnych użytkownika aplikacji w szyfrowanych kontenerach. Wykorzystują one złożone klucze kryptograficzne. Dostęp do danych przetwarzanych w ramach aplikacji mObywatel zabezpieczony jest przed dostępem z innych aplikacji zainstalowanych na urządzeniu mobilnym. Komunikacja z back-end systemu mObywatel odbywa się z wykorzystaniem protokołu HTTPS i zabezpieczona jest mechanizmami Certificate Pinning. Chroni to aplikację przed nawiązaniem połączenia z niezaufanego serwera API oraz atakami „man in the middle".
Aplikacja mObywatel poddawana jest też cyklicznym testom bezpieczeństwa.
Jeśli obywatel straci telefon z zainstalowaną aplikacją mObywatel, będzie mógł unieważnić certyfikat przez całodobową infolinię (numer +48 42 253 54 74).
Edukacja i kontakt
Sukcesywnie udostępniamy materiały szkoleniowe i edukacyjne dotyczące weryfikacji kryptograficznej. Szkolenia dla urzędników posiadających konto na platformie szkoleniowej
PL.ID dostępne są adresem: https://szkolenia.obywatel.gov.pl/login/index.php.
Uruchomiliśmy także e-szkolenie dla obywateli dostępne dla każdego pod adresem
https://www.gov.pl/web/szkolenia.
Aktualne informacje na temat aplikacji i jej funkcji można uzyskać także na stronie
https://info.mobywatel.gov.pl/.
Z wyrazami szacunku,
Janusz Cieszyński
Minister Cyfryzacji
