Čo sú “elektronické atesty atribútov” (EAA)?

Najdôležitejšie fakty v skratke

• Definícia: EAA sú právne bezpečné digitálne doklady o charakteristikách (napr. vek, odborná kvalifikácia, vodičský preukaz), ktoré sú overené dôveryhodnými zdrojmi.
  
• Strategický prínos: Umožňujú overenie konkrétnych skutočností bez nutnosti zverejniť celú identitu (selektívne zverejnenie – napr. “plnoletosť” namiesto presného dátumu narodenia).
  
• Integrácia peňaženky EUDI: EAA sú základným obsahom pripravovanej európskej digitálnej peňaženky.

• Interoperabilita: EAA fungujú v celej EÚ cezhranične, a to pre verejné orgány aj súkromné spoločnosti.

_______________________________________________________________

Zavedením nariadenia eIDAS 2.0 a peňaženky EUDI (European Digital Identity Wallet) sa mení spôsob preukazovania našej totožnosti . Predtým bola hlavná otázka: “Kto ste?”. V budúcnosti sa bude klásť dôraz na: “Na čo ste oprávnený?”, “Akú máte kvalifikáciu?” alebo “Čím sa vyznačujete?”.

Elektronické atesty atribútov (EAA) sú digitálnou odpoveďou na tieto otázky. Sú prevodom našich analógových osvedčení – od vodičských preukazov po diplomy – do digitálneho sveta.

Čo je to atribút?

Skôr ako začneme hovoriť o technológii, objasnime si pojem: atribút je vlastnosť alebo charakteristika, ktorá opisuje osobu alebo organizáciu (entitu). Môžete si ho predstaviť ako dielik skladačky, ktorý vykresľuje celkový obraz identity.

Atribúty zahŕňajú obrovské množstvo informácií:

• Osobné identifikačné údaje (PID): Ako je vaše meno, miesto narodenia alebo štátna príslušnosť.
  
• Profesijné vlastnosti: Akademické tituly, odborné tituly alebo úradné licencie.
  
• Práva a oprávnenia: Osobitné oprávnenia, ako napríklad podpisové právo v spoločnosti alebo vodičský preukaz.

Skok do digitálneho sveta

V kontexte digitálnej identity sa atribúty používajú na nepochybné preukázanie vlastností online bez fyzickej prítomnosti. Rozlišujú sa dve kategórie:

1. Statické atribúty: Informácie, ktoré sa (takmer) nikdy nemenia, ako napríklad dátum narodenia.
   
2. Dynamické atribúty: Charakteristiky, ktoré sa menia, ako napríklad vaša aktuálna registračná adresa, váš aktuálny profesionálny status alebo váš vek.

Aby sa tieto atribúty považovali za dôveryhodné online, musia pochádzať z bezpečného zdroja – napríklad z vládnych registrov, vzdelávacích inštitúcií alebo certifikovaných orgánov. Až toto digitálne potvrdenie zmení jednoduchý atribút na dôkaz odolný voči manipulácii (EAA), ktorý môžete použiť na identifikáciu v online službách.

Čo sú elektronické atesty atribútov?

EAA je teda digitálny záznam údajov, ktorý potvrdzuje jeden alebo viac atribútov osoby a bol elektronicky podpísaný alebo zapečatený kvalifikovaným alebo nekvalifikovaným poskytovateľom dôveryhodných služieb (TSP).

Rozhodujúci rozdiel: zatiaľ čo klasický eID často prenáša celý záznam údajov, EAA poskytuje špecifické informácie. Kvalifikovaný elektronický atest atribútov (QEAA) má najvyššiu výpovednú hodnotu, pretože ho vydávajú štátom kontrolovaní poskytovatelia.

3 typy osvedčení podľa eIDAS 2.0

Nie každý digitálny certifikát má rovnakú právnu silu. Na zabezpečenie interoperability v celej Európe EÚ definuje tri osobitné kategórie atribútových certifikátov. Tie sa líšia predovšetkým z hľadiska vydavateľa a právnej platnosti:

1. Samostatne vydané atribúty (self-asserted): Informácie, ktoré zadávate sami (napr. doručovacia adresa). Sú praktické pre formuláre, ale nemajú žiadnu úradnú dôkaznú hodnotu.
   
2. Elektronické osvedčenia (EAA): Vydávajú ich overené zdroje. Sú digitálne podpísané a výrazne bezpečnejšie ako bežné dokumenty. (EAA zahŕňajú EAA a PuB-EAA).
   
3. Kvalifikované elektronické atestácie (QEAA): Najvyššia úroveň . Vydávajú ich štátom kontrolovaní kvalifikovaní poskytovatelia dôveryhodných služieb (QTSP). QEAA je z právneho hľadiska rovnocenný papierovému dokumentu s úradnou pečaťou a je uznávaný v celej EÚ.

Typ	Zameranie & vydavateľ	Úroveň spoľahlivosti a dôkazná hodnota	Zdroj údajov	Praktický príklad
Q-EAA ( kvalifikovaný)	Štátne osvedčenie: Vydávajú kvalifikované dôveryhodné služby (QTSP).	Maximum: povinnosť uznania v celej EÚ a maximálna dôkazná hodnota na súde.	Úradné dokumenty alebo suverénne údaje.	akademické tituly, lekárske licencie alebo notárske listiny.
EAA ( nekvalifikované)	Súkromný sektor: Vydávajú ich spoločnosti alebo organizácie.	Flexibilita: Právna akceptácia závisí od kontextu (napr. všeobecné obchodné podmienky).	ľubovoľný zdroj (v závislosti od obchodných potrieb).	Digitálne preukazy zamestnancov, zákaznícke karty alebo vstupenky na podujatia.
PuB-EAA ( verejnosť)	Úradník: Priamo od orgánov verejného sektora.	Veľmi vysoká: závisí od integrity štátnych registrov; uznávaná v celej EÚ.	Oficiálne štátne registre (napr. registre obyvateľov).	rodný list, doklad o pobyte alebo vodičský preukaz.

Kontrola trhu: Ako rozšírený bude tento dôkaz?

Je dôležité si uvedomiť, že nie všetky typy EAA zaplaví trh v rovnakom čase. Na základe plánu eIDAS 2.0 možno distribúciu v peňaženkách odhadnúť takto:

• Q-EAA a PuB-EAA (veľmi vysoká): Tieto údaje budú tvoriť základ peňaženky EUDI. Keďže členské štáty sú povinné poskytovať úradné doklady (napríklad občianske preukazy a vodičské preukazy) v digitálnej podobe, každý používateľ peňaženky bude mať automaticky tieto vysoko bezpečné atribúty.

• EAA (stredná až rastúca): Loptička je tu na strane súkromného sektora. Rozšírenie závisí od toho, ako rýchlo spoločnosti (napríklad letecké spoločnosti, reťazce fitnescentier alebo zamestnávatelia) uznajú pridanú hodnotu a vydajú vlastné digitálne certifikáty.

Strategický význam pre spoločnosti a orgány

Integrácia EAA je oveľa viac ako len technický trik – je to obrovská páka pre obchodné procesy. V závislosti od prípadu použitia a požadovanej právnej sily sa používajú rôzne typy EAA:

1. Bezproblémový onboarding a KYC (Q-EAA)
   Prísne regulované odvetvia, ako sú banky alebo poisťovne, môžu v reálnom čase kontrolovať údaje o totožnosti a doklady (napr. o príjme alebo odbornej kvalifikácii). Namiesto manuálnej kontroly dokumentov systém okamžite overí Q-EAA – čo masívne znižuje počet storien počas onboardingu.
   
2. Správa digitálnych oprávnení (EAA a Q-EAA)
   V logistike alebo priemysle možno licencie, príslušnosť k spoločnosti alebo bezpečnostné pokyny overiť priamo v peňaženke EUDI.
   Príklad: Fitness štúdio poskytuje zľavy pomocou jednoduchého EAA (preukazu zamestnanca), zatiaľ čo vodič nebezpečného tovaru sa preukazuje Q-EAA pre svoj vodičský preukaz.
   
3. Automatizácia úradu (PuB-EAA)
   Vďaka zásade “jedenkrát a dosť” prijímajú online orgány PuB-EAA priamo z iných štátnych registrov. Doklad o pobyte alebo dôchodkovom statuse už nie je potrebné získavať v papierovej forme, čo minimalizuje byrokraciu občanov a úradov.
   
4. Ochrana údajov prostredníctvom “selektívneho zverejňovania”
   EAA umožňujú zverejniť len to, čo je absolútnenevyhnutné.
   Princíp: Systém potvrdzuje len “nad 18 rokov” na preukázanie veku bez toho, aby bolo potrebné prenášať presný dátum narodenia alebo meno.
   
5. Interoperabilita bez hraníc
   Vďaka celoeurópskej norme je atribút vydaný v Nemecku (napr. osvedčenie majstra remeselníka) okamžite digitálne uznaný v Španielsku alebo Poľsku. To výrazne uľahčuje cezhraničnú mobilitu kvalifikovanej pracovnej sily a služieb.

Dôležité pre súkromných používateľov

• Nulové sledovanie: Na rozdiel od veľkých technologických prihlášok vydavatelia nevedia, kde a kedy používate svoj atribút. Vaša digitálna stopa zostáva neviditeľná.

• Dobrovoľnosť: Používanie peňaženky a EAA je úplne dobrovoľné. Sami rozhodujete o tom, ktoré údaje budete digitálne uchovávať a komu ich ukážete.

Záver: Prečo sú EAA budúcnosťou identity

EAA sú oveľa viac ako len digitálne kópie papierových dokumentov. Sú kľúčom k dátovo efektívnej spoločnosti. Vďaka funkciám, ako je napríklad selektívne zverejňovanie, si používatelia zachovávajú plnú suverenitu nad svojimi údajmi, zatiaľ čo spoločnosti profitujú z automatizovaných procesov odolných voči manipulácii.

Strategická výhoda pre vašu spoločnosť: Spoločnosti, ktoré sa v počiatočnom štádiu umiestnia ako spoliehajúce sa strany alebo emitenti, výrazne znížia svoje úsilie o manuálne overovanie a zvýšia právnu istotu v digitálnych kanáloch.

Často kladené otázky k tejto téme

• Je EAA to isté ako digitálny podpis? Nie. Podpisom sa potvrdzuje vyhlásenie o zámere pre dokument. EPD potvrdzuje vlastnosť alebo vlastnosť osoby.
  
• Kedy budú EAA zavedené plošne? Po zavedení národných peňaženiek EUDI (od roku 2027/2028) sa EAA stanú štandardom pre digitálne doklady v EÚ.
  
• Môžu spoločnosti samy vydávať EAA? Áno, spoločnosti môžu vystupovať ako “emitenti” pre špecifické odborné alebo podnikové charakteristiky.
  
• Je certifikát EAA bezpečnejší ako certifikát PDF?
  Určite. PDF sa dá ľahko sfalšovať. EAA je kryptograficky zapečatený. Akákoľvek následná zmena okamžite zneplatňuje dôkaz. Okrem toho možno platnosť (napr. v prípade zrušených licencií) kontrolovať v reálnom čase.

• Aký je rozdiel medzi EAA a QEAA?
  EAA je elektronické potvrdenie atribútu (napr. veku, vzdelania alebo oprávnenia), ktoré je podpísané vydavateľom. QEAA (Qualified Electronic Attestation of Attributes) je jeho osobitná forma, ktorú vydáva kvalifikovaný poskytovateľ dôveryhodných služieb v súlade s nariadením eIDAS. QEAA spĺňajú prísnejšie právne a technické požiadavky, a preto sú právne záväznejšie a uznávané v celej Európe.
  
• Môže vydavateľ vidieť, kde zobrazujem svoj atribút?
  Moderné systémy EAA sú navrhnuté tak, aby vydavateľ nemohol sledovať, kde a kedy ste svoj atribút predložili. Overovanie prebieha priamo medzi vami a príjemcom. To znamená, že vaše súkromie zostáva chránené a neexistuje žiadne centralizované sledovanie vášho používania.
  
• Môžem zrušiť EAA?
  Áno, vydavateľ môže EAA zrušiť, napríklad ak sa zmení atribút alebo sa stane neplatným. Príjemcovia môžu počas overovania skontrolovať stav odvolania, aby sa uistili, že atribút je stále platný.
  
• Nahradia EAA klasický audit KYC?
  EAA môžu výrazne zjednodušiť alebo čiastočne nahradiť kontrolu KYC, najmä ak pochádzajú od dôveryhodných alebo kvalifikovaných emitentov. V mnohých prípadoch možno overené atribúty použiť priamo bez toho, aby bolo potrebné znovu absolvovať celý proces KYC. To, či EAA úplne nahradia KYC, však závisí od regulačných požiadaviek a príslušného prípadu použitia.

• Budú moje údaje uložené centrálne?
  Nie. Kontrola je na vás. EAA sú bezpečne zašifrované vo vašej osobnej peňaženke EUDI vo vašom smartfóne, nie v centralizovanej vládnej cloudovej databáze.