EU digitalna lisnica: Osobna iskaznica budućnosti s opasnim manama

Zamislite da vam država jednim klikom može 'ugasiti' život. Ne simbolično, nego doslovno. Odjednom vam ne radi osobna iskaznica, ne možete u banku, ne možete kupiti kartu, preuzeti lijek, pa ni potvrditi tko ste. Sve zato što vaš digitalni identitet, osobna iskaznica budućnosti više nije aktivan. Nije riječ o distopijskoj fikciji, nego o scenariju koji bi se, prema stručnjacima, mogao dogoditi ako Europska unija ne ispravi ključne propuste u svom projektu Digital Identity Wallet. Europski digitalni identitet ili EU digitalna lisnica će biti ponuđena svim građanima EU-a do kraja 2026. godine.

Na papiru, projekt zvuči praktično, građani bi putem digitalnog novčanika mogli dokazati identitet, otvoriti bankovni račun, potpisati ugovor, preuzeti zdravstvenu potvrdu ili putovati po Uniji bez potrebe za fizičkim dokumentima. Europska komisija ističe kako će 'građani moći upravljati svojim identitetom uz punu kontrolu nad osobnim podacima, uz sigurnost i privatnost u središtu projekta'.

No, stručnjaci za kriptografiju i privatnost upozoravaju da tehničko rješenje koje se testira ne štiti građane dovoljno, čak dapače, moglo bi postati sredstvo masovnog nadzora.

Zakon jedno, praksa drugo

Regulativa koja stoji iza projekta, poznata kao eIDAS (electronic Identification, Authentication and Trust Services), formalno zahtijeva da sustav omogućuje pseudonimnost i 'nepovezivost' korisnika, odnosno da nitko ne može pratiti kada i gdje osoba koristi svoj digitalni identitet. Međutim, kako upozorava profesorica kriptografije s Potsdamskog sveučilišta Anja Lehmann, zakon propisuje što bi se trebalo postići, ali ne i kako.

Kriptografske tehnologije koje to omogućuju već postoje. Primjerice zero-knowledge proofs, koje dopuštaju da osoba potvrdi identitet bez otkrivanja suvišnih osobnih podataka. No, EU-ov pilot projekt ih ne koristi. Dizajn sustava razvijen je, čini se, iza zatvorenih vrata, u krugu male skupine unutar njemačke agencije SPRIN-D, što dodatno potiče zabrinutost stručnjaka. Jedan od njih, koji je želio ostati anoniman, rekao je kako 'stručnjaci godinama razvijaju rješenja koja bi se uhvatila u koštac s ovim problemom, ali da je EU izabrala pristup star desetljećima'.

Phone home i kill switch: kako bi digitalni identitet mogao postati alat nadzora

Najveća prijetnja privatnosti u EU-ovu sustavu digitalnog identiteta skriva se u dvije mogućnosti koje stručnjaci nazivaju 'phone home' funkcijom i 'kill switchom'.

Prva označava mehanizam kojim bi digitalna iskaznica mogla automatski slati podatke izdavatelju, dakle, vladi ili agenciji i to svaki put kad se koristi. Primjerice, ako pokažete svoj digitalni identitet za kupnju vina, provjeru dobi ili ulazak u klub, sustav bi mogao zabilježiti tu radnju i poslati signal 'kući'.

Prema objašnjenju profesorice kriptografije Lehmann s Potsdamskog sveučilišta, 'wallet može povezati korisnikove transakcije s njegovim identitetom jer pri svakom skeniranju komunicira s poslužiteljem izdavatelja'. Drugim riječima, ono što je zamišljeno kao alat za praktičnost može postati precizan instrument praćenja.

Sličan je problem već zabilježen u SAD-u, u sustavu tzv. mobile driver’s licenses (mDLs),  digitalnih vozačkih dozvola koje također pri svakoj upotrebi generiraju trag o lokaciji i vremenu.

- Kada predate svoju mDL iskaznicu, vi zapravo predajete stopostotno pratljiv token - upozorio je Manu Sporny, direktor tvrtke Digital Bazaar i predsjednik nekoliko odbora pri World Wide Web Consortiumu (W3C).

Druga ranjivost, poznata kao 'kill switch', još je osjetljivija jer bi sustav tehnički omogućio državama da isključe ili opozovu digitalni identitet korisnika. Time bi osoba u trenu mogla izgubiti pristup uslugama koje ovise o digitalnoj iskaznici, od bankovnih računa do potvrda o prebivalištu.

- Ako imate vjerodajnicu koju izdaje država i nemate izbora osim da je pohranite u državni digitalni novčanik, to je vrlo loš ishod  - kaže Sporny.

Stručnjaci strahuju od scenarija u kojem bi država, namjerno ili pogreškom mogla 'ugasiti' digitalni identitet pojedinca, čime bi osoba postala nevidljiva za administrativne sustave. U svijetu u kojem se sve više javnih i privatnih usluga oslanja na elektroničku identifikaciju, to bi značilo de facto isključenje iz društvenog i gospodarskog života.

Da to nije samo teorijska prijetnja, pokazuje slučaj iz Kanade iz 2022. godine. Tijekom prosvjeda vozača kamiona protiv epidemioloških mjera, poznatih kao 'Freedom Convoy', kanadska je vlada posegnula za izvanrednim ovlastima i naložila bankama da blokiraju račune stotinama prosvjednika i donatora. U samo nekoliko dana, mnogi su ostali bez pristupa novcu, kreditnim karticama i osnovnim financijskim uslugama,  bez sudske odluke, bez optužnice, samo na temelju političke procjene da 'ometaju red i sigurnost'.

Taj presedan pokazao je koliko je tanka granica između digitalne udobnosti i digitalne kontrole. Kada država ili korporacija imaju tehničku mogućnost da 'isključe' vaš pristup sustavu, pitanje povjerenja postaje stvar preživljavanja. A u kontekstu europskog digitalnog identiteta, gdje bi ista aplikacija mogla biti ključ za sve,  od zdravstvene iskaznice do pristupa banci, posljedice jednog 'isključivanja' bile bi daleko šire od pukog gubitka dokumenta.

EU: Rizik ne postoji

Europska komisija, s druge strane, tvrdi da takav rizik ne postoji. U službenim dokumentima projekta stoji kako 'neće biti praćenja ni profiliranja' te da će 'svi podaci korisnika ostati lokalno pohranjeni u aplikaciji i pod njegovom kontrolom'.

No, kriptografska zajednica i neovisni istraživači upozoravaju da trenutačni tehnički standardi ne jamče da će to doista biti tako. Naime, ako digitalni novčanik mora komunicirati s poslužiteljima izdavatelja kako bi potvrdio vjerodajnice, 'povratni signal' i mogućnost isključenja već su ugrađeni u sustav, pitanje je samo hoće li ih netko iskoristiti.

Postoje rješenja ali traže volju i razumijevanje

Unatoč ozbiljnim rizicima, kriptografi i stručnjaci za digitalnu privatnost naglašavaju da tehnologija koja bi riješila većinu problema već postoji. Ključ je u korištenju tzv. zero-knowledge proofs - napredne metode kriptografije koja omogućuje da osoba dokaže identitet ili neki svoj atribut (primjerice, da je punoljetna) bez otkrivanja dodatnih osobnih podataka.

Na toj se ideji temelji i noviji standard nazvan BBS potpis (BBS signature). Riječ je o sustavu koji korisnicima omogućuje da potvrde točnost pojedinog podatka, ali da ostali podaci ostanu skriveni. Drugim riječima, moguće je dokazati da ste stariji od 18 godina bez da se otkrije vaše ime, prezime, adresa ili broj osobne iskaznice.

-Takav sustav omogućuje selektivno otkrivanje informacija i u potpunosti sprječava praćenje korisnika - objašnjava profesorica Lehmann, jedna od autorica otvorenog pisma kojim 16 europskih kriptografa traži redizajn EU digitalnog novčanika.

Ipak, postoji prepreka jer nijedna članica EU-a trenutačno ne smije koristiti BBS potpise, jer ta metoda još nije uvrštena na službeni popis odobrenih kriptografskih tehnologija. Da bi se to promijenilo, Europska komisija mora ažurirati svoje tehničke standarde što se, prema najavama, razmatra od ljeta 2024. godine, ali se ne događa.

Druga mogućnost, o kojoj govori Manu Sporny, jest uvođenje sustava jednokratnih vjerodajnica, odnosno tokeniziranih digitalnih potvrda koje bi se koristile samo jednom i odmah poništile, slično kao što danas funkcioniraju beskontaktne kartice Visa i Mastercard. U SAD-u se već testira takav sustav pod nazivom TruAge, koji omogućuje anonimnu provjeru dobi pri kupnji alkohola ili cigareta bez potrebe za otkrivanjem identiteta.

No, izgradnja takve infrastrukture u Europi bila bi golema i skupa, jer bi zahtijevala mrežu sličnu globalnim platnim sustavima. Upravo zato mnogi stručnjaci predlažu kombinirani pristup, otvorene tehničke standarde, više pružatelja digitalnih novčanika (a ne samo državne aplikacije), te zakonske garancije koje bi spriječile zlouporabu nadzora.

Profesorica Lehmann naglašava da se projekt još uvijek može preusmjeriti u pravom smjeru.

- Problem nije u ideji digitalnog identiteta, nego u načinu na koji se razumije odnos privatnosti i sigurnosti. Te dvije stvari nisu suprotstavljene, one moraju koegzistirati – kaže profesorica.

Ako se u sadašnjem obliku nastavi s razvojem, EU-ov Digital Identity Wallet mogao bi biti tehnološko čudo s opasnim posljedicama. No, ako prihvati moderne kriptografske standarde i dopusti građanima da sami biraju tko čuva njihove podatke, mogao bi postati upravo ono što Bruxelles najavljuje, sigurna, suverena digitalna iskaznica koja građanima vraća kontrolu nad vlastitim identitetom, umjesto da im je oduzima.

Ako se tehnički propusti ne isprave, jedino što bi građane moglo zaštititi bile bi političke garancije, primjerice, da države obećaju kako neće koristiti 'phone home' funkciju. No, takva rješenja ovise o povjerenju, a ne o tehnologiji, a to još vjeruje u ono što političari obećavaju. U konačnici, EU-ov projekt digitalnog identiteta mogao bi donijeti pravu revoluciju u javnim uslugama i upravi. No, ako ne osigura čvrste tehničke garancije privatnosti, riskira pretvoriti se u alat za nadzor koji bi bio opasniji od svih dosadašnjih sustava identifikacije.