Spis treści
Rozporządzenie eIDAS 2.0, które weszło w życie 20 maja 2024 roku, jest przedstawiane przez Unię Europejską jako przełom w cyfryzacji i ochronie tożsamości obywateli.
Europejski Portfel Tożsamości Cyfrowej (EUDI Wallet) ma „zapewnić wygodę, bezpieczeństwo i interoperacyjność” na poziomie całej wspólnoty.
Jednak za fasadą technologicznej modernizacji kryje się seria fundamentalnych zagrożeń dla bezpieczeństwa internetu, prywatności użytkowników i niezależności infrastruktury sieciowej.
Artykuł 45: Broń w rękach państwa
Najbardziej alarmującym elementem eIDAS 2.0 jest artykuł 45, który obliguje przeglądarki internetowe do bezwarunkowego akceptowania certyfikatów TLS wydawanych przez rządy państw członkowskich.
To fundamentalna zmiana w sposobie działania infrastruktury bezpieczeństwa internetu, która odbiera producentom przeglądarek możliwość samodzielnej oceny wiarygodności certyfikatów.
Obecnie certyfikaty wydają niezależne, międzynarodowe organizacje, które podlegają rygorystycznemu audytowi i transparentnemu procesowi akredytacji. Nowe przepisy przekazują tę funkcję unijnemu organowi ds. standardów IT (ETSI), eliminując mechanizmy kontroli, które przez lata chroniły użytkowników przed nadużyciami.
W praktyce oznacza to, że rządy państw członkowskich otrzymają możliwość wydawania certyfikatów dla dowolnych witryn internetowych, co otwiera drogę do masowej inwigilacji zaszyfrowanego ruchu.
Hipotetycznie polski czy węgierski rząd będzie miał takie same uprawnienia jak niezależna organizacja DigiCert, ale bez konieczności spełniania międzynarodowych standardów bezpieczeństwa. Co więcej, przeglądarki nie będą mogły usunąć złośliwych dostawców certyfikatów z listy zaufanych, nawet jeśli dojdzie do udokumentowanych nadużyć.
Ostrzeżenia branży zignorowane
Mozilla Foundation, Cloudflare, Linux Foundation i dziesiątki innych organizacji technologicznych opublikowały wspólne oświadczenie, w którym ostrzegają, że artykuły 45 i 45a „mogą osłabić bezpieczeństwo internetu jako całości”.
Mozilla wprost stwierdziła, że nie będzie w stanie dłużej honorować zobowiązań bezpieczeństwa wobec setek milionów użytkowników przeglądarki Firefox, jeśli przepisy wejdą w życie w obecnej formie. Eksperci ds. cyberbezpieczeństwa porównują potencjalne zagrożenie do możliwości legalnego zastosowania ataków typu „man-in-the-middle” na miarę systemu Pegasus.
Pomimo szerokiej krytyki technicznej i wsparcia ze strony wielu komitetów parlamentarnych dla zmiany tekstu rozporządzenia, Rada Europejska zatwierdziła kontrowersyjny plan certyfikatów w niezmienionej formie. Proces legislacyjny odbywał się w dużej mierze za zamkniętymi drzwiami, co dodatkowo budzi podejrzenia co do rzeczywistych intencji autorów regulacji.
Iluzja kontroli nad danymi
Unia Europejska obszernie reklamuje, że eIDAS 2.0 zapewni użytkownikom „pełną kontrolę” nad swoimi danymi osobowymi i możliwość ich selektywnego udostępniania.
Jednak w praktyce obywatele będą zmuszeni do korzystania z centralnego systemu zarządzanego przez państwo, który będzie gromadził wszystkie kluczowe dokumenty tożsamości w jednym miejscu. To nie jest decentralizacja – to scentralizowana baza danych wrażliwych informacji, która staje się idealnym celem dla cyberataków i narzędziem kontroli państwowej.
Choć rozporządzenie formalnie zabrania łączenia danych z różnych usług bez zgody użytkownika, egzekwowanie tych przepisów różni się drastycznie między państwami członkowskimi.
Koordynacja działań na poziomie międzynarodowym może napotkać poważne trudności, prowadząc do luk w ochronie, zwłaszcza gdy metadane są przetwarzane przez różnych pośredników.
Dodatkowo tylko 43% Polaków posiada podstawowe kompetencje cyfrowe, co stawia pod znakiem zapytania efektywność systemu opartego na aktywnym zarządzaniu prywatnością przez użytkowników.
Koszty dla przedsiębiorstw i ryzyko fragmentacji internetu
Wdrożenie eIDAS 2.0 wymaga od firm znaczących inwestycji w dostosowanie systemów IT, przeprowadzenie audytów zgodności i ciągłe monitorowanie zmian w regulacjach.
Przedsiębiorstwa będą musiały zapewnić integrację z EUDI Wallet, co generuje dodatkowe koszty związane z zarządzaniem bezpieczeństwem i ochroną rosnącej ilości przetwarzanych danych cyfrowych. Dla małych i średnich przedsiębiorstw może to oznaczać barierę nie do przejścia.
Organizacje technologiczne ostrzegają również przed fragmentacją globalnej sieci. Istnieje prawdopodobieństwo, że użytkownicy i firmy spoza Europy będą korzystać z oddzielnej listy certyfikatów, bez obowiązkowych dodatków narzuconych przez UE.
To ograniczyłoby konsekwencje bezpieczeństwa wyłącznie do obywateli europejskich, ale mogłoby również doprowadzić do sytuacji, w której niektóre strony spoza Europy staną się niedostępne dla użytkowników z UE.
Brak pełnej implementacji i przejściowy chaos
Rozporządzenie wchodzi w życie etapami, a pełne wdrożenie wymaga dostosowania krajowych systemów identyfikacji elektronicznej, co może potrwać do 2026-2027 roku.
W okresie przejściowym nieuniknione są problemy z interoperacyjnością systemów w różnych krajach członkowskich. Zarówno pracownicy firm, jak i obywatele będą potrzebować kompleksowej edukacji na temat nowych możliwości i zasad działania EUDI Wallet, co stanowi dodatkowe wyzwanie logistyczne i kosztowe.
eIDAS 2.0 to nie jest neutralna modernizacja cyfrowa – to regulacja, która pod pretekstem bezpieczeństwa i wygody przekazuje bezprecedensową kontrolę nad infrastrukturą internetu w ręce państw członkowskich.
Ignorowanie ostrzeżeń ze strony największych organizacji technologicznych świata i forsowanie kontrowersyjnego artykułu 45 w niezmienionej formie stawia pod znakiem zapytania rzeczywiste intencje europejskich regulatorów.