Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Prezydent podpisał ustawę o appce mObywatel. Będzie można mieć dowód osobisty tylko w telefonie? Prawie tak ;)
Treść ustawy dostępna jest w tym miejscu, chociaż ostrzegam, że lektura tego materiału jest dość żmudna (tutaj wersja skrócona, nieco mniej żmudna, ale cały czas dość ciężka ;-)
Aplikacja reklamowana jest, zawierająca mobilny dokument (dokumenty) tożsamości, a sama ustawa ma wejść w życie 14 dni od ogłoszenia. Czy to znaczy że już za kilka(naście) dni chętni będą mogą korzystać w pełni z „dowodu osobistego” w mObywatelu? Niekoniecznie. Jak czytamy:
znaczna część przepisów wejdzie w życie „w terminach określonych w komunikatach ministra właściwego do spraw informatyzacji określających dzień wdrożenia poszczególnych rozwiązań technicznych” – wskazała KPRP w poniedziałkowej informacji.
Jednym z istotniejszych fragmentów ustawy jest paragraf 7. w którym czytamy dość jednoznacznie:
4. Jeżeli z przepisu prawa wynika obowiązek stwierdzenia tożsamości lub obywatelstwa polskiego na podstawie dokumentu tożsamości, w szczególności na podstawie dowodu osobistego, obowiązek ten uznaje się za spełniony w przypadku stwierdzenia tożsamości lub obywatelstwa polskiego na podstawie dokumentu mObywatel.
Dalej jednak mamy wyjątki, które na razie nie wiadomo jak wyglądają:
5. Dokument mObywatel:
1) nie uprawnia do przekraczania granicy państwowej; [to jest jasne – przyp. sekurak]
2) nie może być wykorzystywany do stwierdzenia tożsamości lub obywatelstwa polskiego w przypadku wystąpienia albo uzasadnionego przypuszczenia wystąpienia okoliczności, w których wykorzystanie tego dokumentu nie zapewni niezbędnego poziomu pewności i bezpieczeństwa stwierdzenia tożsamości lub obywatelstwa polskiego albo nie może być przeprowadzone w warunkach zapewniających taki poziom.
6. W razie wystąpienia okoliczności albo uzasadnionego przypuszczenia wystąpienia okoliczności, o których mowa w ust. 5 pkt 2, Rada Ministrów określi, w drodze rozporządzenia, przypadki, w których dokument mObywatel nie może być wykorzystywany do stwierdzenia tożsamości lub obywatelstwa polskiego, mając na uwadze zapewnienie niezbędnego poziomu pewności i bezpieczeństwa stwierdzania tożsamości lub obywatelstwa polskiego.
Może się czepiam, ale w tych wyjątkach, które będą wskazane „później”, może być bardzo dużo… albo może ich nie być wcale.
Warto zaznaczyć też, że pojawiają się też pewne konkretne obietnice datowe, tj.:
Obowiązek respektowania dowodu osobistego w aplikacji mObywatel przez banki wejdzie w życie 1 września 2023 r.
Jak to wyjdzie w praktyce? Pożyjemy, zobaczymy.
~ms
Michał, będziesz miał zainstalowaną tą aplikację? Czy paranoia weźmie górę i nie będziesz instalował rządowych apek? Ja sam się zastanawiam…
MS: ja to nawet nie mam poczty firmowej na telefonie :-)
A to można mieć pocztę w telefonie?
Czekamy na odpowiedz :)
To akurat jest szacunek do samego siebie i swojego czasu.
w szczególności dla zdrowia oczu :-)
A sieci komórkowe i urzędy?
Też.
Ustawa nie nakłada na nikogo obowiązku uznawania danych z mObywatela. Art. 7 ust. 4 uznaje taką weryfikację za ważną, ale nie obowiązkową. Czyli co do zasady każdy może dalej domagać się fizycznego dokumentu. Więc nawet nie trzeba powoływać się na ust. 5. :D
Z drugiej strony brak informacji o możliwości pobrania certyfikatu w celu weryfikacji go poza narzędziami Ministerstwa.Ministerstwo ma obowiązek dostarczyć mechanizm weryfikacji dostępny „pod adresem”, ale brak gwarancji, że to będzie otwarte i publiczne API.
W cytowanym fragmencie jest napisane, że jeśli gdziekolwiek masz obowiązek wylegitymowania się, to wylegitymowanie się przez mObywatel jest wystarczające.
A ten zabieg z rozporządzeniem to jest takie typowe „życie pokaże”. Rozporządzenie się łatwiej zmienia i co do zasady rozporządzenia zapisane w ustawie mają tą samą moc co ustawa. Czyli to taki wygodny wytrych na szybką zmianę prawa gdy zmienią się okoliczności (czyt. gdy ludzie coś wykombinują co trzeba zablokować).
Odnoszę się do kwestii poruszonej w artykule: opcji chodzenia tylko z apką — bez dowodu. Ustawa zdaje się robić z certyfikatu dokument, który można zaakceptować, ale w sumie to można też olać. I to bez nadużywania wyjątków, jak miałoby to miejsce w ust. 5.
Delegowanie uchwalania istotnej części prawa do władzy wykonawczej to oddzielny temat i nawet szkoda już komentować. Za duże ryzyko, że zejdzie na politykę poziomu imienin u cioci. ;)
Teraz też masz obwarowania typu „dwa ważne dokumenty ze zdjęciem” ;)
A jak to będzie z weryfikacją? Na oko czyli każdy na telefonie może być każdym po 5 min roboty czy może będzie dla każdego urzędnika urządzenie z apką do weryfikacji?
„… nie może być wykorzystywany do stwierdzenia tożsamości ….. twierdzenia tożsamości lub obywatelstwa polskiego albo nie może być przeprowadzone w warunkach zapewniających taki poziom” – czyli jak trafisz na upartego szeryfa w mundurku na drodze to dojedzie cię mandatem za brak dokumentu tożsamości, no bo przecież okoliczności mogą zawsze nie sprzyjać według władzy…..
Brak dokumentu tozsamosci nie jest w zaden sposob obecnie karane, wiec w tym przypadku rowniez nie bedzie, po prostu nie stwierdzi tozsamosci z dokumentu i kaze Ci sie ustnie przedstawic.
Ciekawe czy w banku zamiast kserowania telefonu będą akceptować wysyłkę zrzutu ekranu na maila :)
Aplikacja blokuje możliwość robienia zrzutów przynajmniej na fabrycznych androidach, podobnie jak przynajmniej niektóre banki.
Obecna i pewnie przyszła apka mObywatel nie pozwalają na robienie zrzutów.
Będą kserować ekran telefonu
Skoro możesz założyć konto/lokatę „na wideo rozmowę”…
Par.7 ust.5 pkt 2 to sensowna praktyka obsługi wyjątków przez legislaturę.
Czyli na wyborach nie można potwierdzić tożsamości i obywatelstwa apką mObywatel? Ale duplikat karty SIM u operatora można wyrobić?
Ciekawe ile będzie potencjalnych nadużyć i unieważnień głosów, jak lktos w komisji jednak to uzna ;)
Przy okazji raczej to młodsi mają apki i mogą się zdziwić, jak bedą chcieli zaglosować mając tylko smartfon z mObywatel. Tez będą skargi.
W komisji wyborczej można się było legitymować aplikacją na pewno już w 2020 i jakiś afer z tego powodu nie było.
Ja tam nie zrezygnuję z targania ze sobą „plastiku”. Przynajmniej w razie jakiegoś wypadku nie będzie problemu żeby mnie zidentyfikować. Bo w takim przypadku mObywatela to można sobie głęboko.
Opcja ciekawa bo bedzie trzeba odblokowac tel, a niektorym moze tylko o to chodzic tylko by miec dostep do reszty zaszyfrowanych danych do ktorych nie mieli by inaczej dostepu.
Jeżeli aplikacja jakaś rządowa melduje rządowi gdzie aktualnie znajduje się jej użytkownik, to przekreśla to jej wszystkie (potencjalne) zalety.
Trzeba być kretynem żeby instalować jakieś rządowe apki na telefonie – i to jeszcze dobrowolnie xD
Zgadzam się :)
Czy w razie wypadku, służby są w stanie wyciągnąć jakoś tą tożsamości z aplikacji? Z zablokowanego telefonu, znalezionego przy nieprzytomnej osobie, bez fizycznego dokumentu?
Chyba lepszym pomysłem w takich sytuacjach jest wprowadzenie numeru ICE który jest wyświetlany nawet na zablokowanym wyświetlaczu.
To jest standard, że RM doprecyzowuje szczegóły prawa w rozporządzeniach. Właściwie trudniej o anty-przykład
To niech prezydent jeszcze podpisze, aby aplikacja działała na każdym aktualizowanym ROMie.
Mam LineageOS, aplikacje bankowe nawet działają, co najwyżej wyświetlają pojedynczy monit, a ta grymasi, że są uprawnienia root (a nie ma), nie puszcza dalej.
Wprowadzili to w jednej z aktualizacji.
Uniemożliwia to korzystanie z mObywatel.
Chyba lepiej mieć aktualne poprawki bezpieczeństwa niż system dziurawy jak sito, po porzuceniu aktualizacji na oficjalnym sofcie przez producenta.
Kiedy to poziom poprawek bezpieczeństwa będzie wyznacznikiem bezpieczeństwa, a nie odblokowany bootloader?
Na komputerach aplikacjom raczej to nie przeszkadza.
Podejrzewam, że głównym celem tych rządowych – pożal się Boże – „usług” nie jest bezpieczeństwo i wygoda, tylko zbieranie informacji o ludziach z nich korzystających.
Jak można nazywać „usługą dla obywatela” procedurę ubiegania się o wydanie dowodu osobistego, skoro jest posiadanie jest obowiązkowe przez mieszkających w Polsce obywateli RP? Podobnie z zameldowaniem?
Przymusowa „usługa” to nie usługa.
Magisk nie załatwia sprawy?
Jak rozumiem, w treści ustawy została wpisana precyzyjnie nazwa aplikacji „mObywatel”. Tak się zastanawiam czy to na pewno dobry pomysł? Pewnie niedługo któremuś z (wice)ministrów zechce się odświeżyć apkę i zmienić nazwę. Co wtedy? Czy dalej będzie można posługiwać się „nową apką” bez konieczności zmian w ustawie?
PS. Czy przypadkiem rządowa apka covidowa nie zmieniała swojej nazwy?
Banki i Operatorzy będą od teraz skanować na xero nasze telefony komórkowe :-)
Apka jako taka ciekawa jest. Proste porownanie:
aplikacja bankowa banku 1: na moim fonie NIE idzie. co bym nie robil, widzi ze mam magiska i koniec.
aplikacja bankowa banku 2: na moim fonie idzie, o ile ukryje ze mam roota przy odrobinie gimnastyki
mObywatel: panie, ja wariat, ja nie pojde? co tam root, co tam magisk, co tam inne wynalazki na fonie – ja Panie ,zasuwam jak ten Sasin kominem elektrowni Ostroleka w kierunku lotniska zw Radomiu. Na rootowanym fonie nie pojde? Poczymej mi piffo.
PS: to ze toto sie odpalilo na Galaxy S4 (z odpowiednio archiwalnym, niepatchowanym andkiem) to juz wbilo mnie w totalne uznanie dla tfurcuf.
Cos jak skrzyzowanie Albosepolklikla (czy jakos tak) z UselessCryptem.
Banki będą mogły weryfikować na podstawie tej appki? A jak będą tego dokonywać? Przecież stworzyć fałszywy duplikat takiego dokumentu tylko do okazania to raczej 15 minut roboty. I nabrać na kogoś setkę „chwilówek”. Czy coś mi umyka i będzie jakaś podwójna ochrona (podaj kod obsłudze banku, on weryfikuje zgodność w prawdziwym mObywatelu)?
Pewnie nadal będzie do tego używana aplikacja mWeryfikator
Powyżej pisałam że włamali mi się na mobywatela autentycznego.
Natomiast hakerzy również stworzyli fałszywego obywatela w celu uzyskania dostępu do haseł do konta bankowego