Czy jesteśmy gotowi na cyfrową rewolucję, która uporządkuje chaos procedur, podpisów i silosowych rozwiązań?

W wielu obszarach regulowanych, takich jak cyberbezpieczeństwo czy przeciwdziałanie praniu pieniędzy, wciąż dominuje podejście silosowe – zarówno w interpretacji przepisów, jak i w doborze rozwiązań technicznych. Każdy sektor opracowuje własne narzędzia, formularze i procedury zgodności, nierzadko ignorując fakt, że cele i środki techniczne są w dużej mierze tożsame. 

Przykładem może być równoległe wdrażanie wymogów wynikających z Dyrektywy NIS2 i Rozporządzenia DORA – regulacji mających wspólną oś bezpieczeństwa, a mimo to egzekwowanych w całkowitym oderwaniu od siebie.

W rezultacie instytucje, niezależnie od ich podstawowego profilu działalności, obciążane są obowiązkami wykraczającymi daleko poza ich naturalny zakres. Przykładowo, instytucja finansowa musi równocześnie świadczyć usługi, zarządzać ryzykiem, odpowiadać za bezpieczeństwo systemów informatycznych, realizować procesy uwierzytelniania i podpisywania dokumentów, a także zapewniać zgodność z lokalnymi i unijnymi przepisami.

Taki model obciąża wewnętrzne zasoby, zwiększa koszty i prowadzi do fragmentaryzacji podejścia, które powinny być wspólne. Zamiast dążyć do standaryzacji i ponownego wykorzystania istniejących ram prawnych – takich jak Rozporządzenie eIDAS – często obserwuje się próby tworzenia odrębnych, niekompatybilnych rozwiązań. Efektem jest marnotrawstwo potencjału, zarówno technologicznego, jak i organizacyjnego.

Unijna odpowiedź: eIDAS 2.0 i AMLR

Tymczasem są już dostępne i rozwijane rozwiązania na poziomie unijnym, które adresują potrzeby zdalnej identyfikacji w sposób spójny, bezpieczny i zgodny z przepisami. Z jednej strony mamy eIDAS 2.0 – rozporządzenie definiujące technologie i poziomy zaufania dla usług identyfikacji i uwierzytelnienia.

Z drugiej – dyrektywę unijną w sprawie przeciwdziałania praniu pieniędzy (AMLD) i towarzyszące jej regulacyjne standardy techniczne (RTS), które wprost wskazują, że identyfikacja klienta bez jego fizycznej obecności powinna opierać się na środkach określonych w eIDAS, w szczególności na poziomach bezpieczeństwa średnim (substantial) lub wysokim (high) oraz kwalifikowanych usługach zaufania.

Co więcej, zarówno w motywach, jak i artykułach nowego rozporządzenia AMLR, pojawia się bezpośrednie odniesienie do Rozporządzenia eIDAS jako rekomendowanej podstawy technicznej. Zapisy te nie tylko pozwalają na stosowanie rozwiązań wprowadzanych przez eIDAS w celu realizacji obowiązków AML, ale wręcz zachęcają do ich wykorzystania.

Zgodnie z motywem 66 AMLR: „Rozwiązania eIDAS umożliwiają bezpieczne środki identyfikacji i weryfikacji klienta […] i mogą obniżać poziom ryzyka do standardowego lub nawet niskiego.” W przypadku, gdy taka identyfikacja elektroniczna nie jest dostępna (np. klient zamieszkuje państwo spoza Unii Europejskiej), należy użyć kwalifikowanych usług zaufania.

Rozporządzenie AMLR oraz planowane projekty regulacyjnych standardów technicznych określają m.in. wymogi w zakresie należytej staranności wobec klienta, w tym identyfikacji zdalnej. Niemniej Komisja Europejska nie ukrywa, że jej celem jest ujednolicenie metod zdalnej weryfikacji i identyfikacji klientów – niezależnie od sektora.

Prace legislacyjne idą w kierunku przeciwdziałania powstawaniu tzw. „wysp”, czyli sytuacji, w których bank może coś zrobić, a leasingodawca czy operator telekomunikacyjny już nie. W przyszłości punktem odniesienia do zdalnej identyfikacji klienta mają nie być lokalne wytyczne sektorowe, ale właśnie zapisy rozporządzenia eIDAS – bez względu na to, czy identyfikuje bank, kwalifikowany dostawca usług zaufania czy firma z branży telekomunikacyjnej.

Czym jest Europejski Portfel Tożsamości Cyfrowej (EUDI Wallet)?

Konkretną odpowiedzią na te potrzeby jest Europejski Portfel Tożsamości Cyfrowej (EUDI Wallet), który musi być akceptowany przez sektor finansowy od grudnia 2027 roku. Rozwiązanie to umożliwi zdalną identyfikację, uwierzytelnienie, bezpieczne udostępnianie danych oraz składanie kwalifikowanych podpisów – bezpłatnie dla osób fizycznych do celów nieprofesjonalnych.

Co istotne, jeśli instytucja zaakceptuje portfel, to nie tylko spełni obowiązki dotyczące przeciwdziałania praniu brudnych pieniędzy, ale również zyska możliwość rezygnacji z tradycyjnej formy dokumentowej – bo ten sam portfel zawiera funkcjonalność złożenia kwalifikowanego podpis elektronicznego.

Powyższy opis jasno wskazuje, że Rozporządzenie AMLR oraz Rozporządzenie eIDAS 2.0 w zakresie identyfikacji klienta wzajemnie się uzupełniają. Rozporządzenie AMLR określa co trzeba zrobić (czyli obowiązek należytej staranności wobec klienta i wymagania przy identyfikacji).

Natomiast rozporządzenie eIDAS 2.0 definiuje jak to zrobić (czyli technologie, poziomy zaufania i standardy, jakie należy stosować).

W praktyce oznacza to, że spełnienie wymagań AMLR w zakresie identyfikacji wymaga użycia narzędzi zgodnych z eIDAS, a usługi dostosowane do eIDAS 2.0 (np. portfel cyfrowy, kwalifikowany epodpis) mogą być wykorzystywane do zgodnego z prawem onboardingu klienta.

Po co tworzyć kosztowne, niespójne i trudne w utrzymaniu alternatywy, skoro zbliża się rozwiązanie kompleksowe, regulacyjne i uniwersalne? Portfel cyfrowy spełni wymagania w przedmiotowym zakresie AML, eIDAS zadba o zgodność techniczną, a podpis kwalifikowany pozwoli odejść nie tylko od dokumentów papierowych, ale też od mozaiki cyfrowych podpisów na rzecz jednego, spójnego standardu. To rozwiązanie przyszłości. I to bardzo bliskiej.