Vlákno názorů k článku
CZ.NIC spouští projekt napojení služby mojeID na NIA od Ondřej Caletka - Bylo by moc pěkné, kdyby to naopak byly...

Bylo by moc pěkné, kdyby to naopak byly banky, které by umožňily přihlášení do svých systémů prostřednictvím mojeID. Ne nutně jako jediný způsob přihlašování, ale jako alternativu. Bylo by to rozhodně pohodlnější než nutnost starat se o autentizační aplikaci od každé banky zvlášť a bylo by to určitě i bezpečnější než současná praxe posílání kopií osobních dokladů a provisioningu pomocí SMS zpráv.

A je MojeID ochotno převzít na sebe plnou trestní a finanční zodpovědnost za škody v případě, že se přes MojeID k účtu přihlásí neoprávněný uživatel a účet vybílí?

To je samozřejmě dobrá otázka. Odpověď má podle mě dvě roviny:

1. Pokud se neoprávněný uživatel přihlásí pomocí správného hesla a zneužití druhého faktoru, asi se může mojeID odpovědnosti zříci, stejně jako se banky zříkají odpovědnosti za transakce kartou autorizované zadáním PIN.
2. Pokud se neoprávněný uživatel přihlásí zneužitím nějaké chyby v mojeID, pak to nepochybně bude odpovědnost provozovatele mojeID. Tuhle záruku by myslím dokázali poskytnout.

Nepochopil. Nejde o to, aby se MojeID odpovědnosti zřeklo, ale aby ji naopak přijalo. Bez toho, samozřejmě, si žádná banka nelajsne mu jakkoli důvěřovat.

Navíc zodpovědnost za zneužití není v bankovní oblasti zdaleka tak jednoduchá a řeší ji (celoevropské) regulace, například známá PSD2. Takže to není jen otázka důvěry banky, ale i regulatorního rámce. Pokud by přenesení zodpovědnosti na MojeID nebylo s ním v souladu, tak to samozřejmě žádá banka neudělá.

Banky mají nejen povinnost dvoufaktorové autorizace (zjednodušeně řečeno), ale musí zneužití aktivně předcházet monitoringem chování uživatelů, informováním o hrozbách (to jsou ty maily z banku "pozor, šíří se scam zaměřený na nás") atp. Tedy MojeID by muselo toto aktivně dělat a je otázka, zda vůbec má data na to, aby to provádělo.