ROeID este numele aplicației prin care Autoritatea pentru Digitalizarea României (ADR) a încercat să le ofere românilor identitate digitală. Din păcate – cu toate că a costat deja 20 de milioane de euro – ROeID nu funcționează cum ar trebui.
De ce am ajuns în această situație și cine și ce poate face pentru a rezolva problemele, a explicat expertul în e-guvernare Andrei Nicoară, invitat la podcastul Digital Shift.
Avem nevoie de identitate digitală pentru că ea ne dă posibilitatea să interacționăm simplu și sigur cu instituțiile statului.
Sunt deja state europene în care multe dintre procedurile legale se fac online, fără mers la ghișee pentru acte și plăți.
Ca să se poată și la noi, avem nevoie de 2 elemente:
- un mediu digital, în care să lucreze instituția (și instituțiile au medii digitale, chiar dacă momentan sunt insulare, create pentru fiecare în parte)
- identitate digitală pentru fiecare dintre noi
„Garanție” este cuvântul cheie
Prima oară când spui „identitate digitală” te-ar ar putea duce gândul la ceea ce ne oferă orice site: un cont și posibilitatea să fim identificați corect online.
Problema este că, în relația cu statul, un cont și o procedură de identificare oarecare nu sunt suficiente, a explicat Andrei Nicoară, la Digital Shift.
„Aici nu ajunge doar să mai identificați corect. Trebuie să avem garanția că suntem identificați corect.
«Garanție» este un cuvânt foarte important, pentru că identitatea digitală este în primul rând o provocare juridică și după aceea este o provocare tehnică.
Tehnologie de identități electronice există pe toate platformele. Fiecare site îți oferă un cont: Facebook, Google sau alte aplicații. Unele chiar guvernamentale.
Problema este că noi, de fapt, ne dorim un singur cont pentru toate aplicațiile și acel cont unic trebuie să fie garantat de cineva, astfel încât toate aplicațiile care mă primesc în baza acelui cont să se simtă confortabil că lucrează cu persoana declarată a fi.
Această garanție, ca să fie universală, trebuie făcută prin mijloace legale. Mijloacele legale sunt cele la nivel european. Pentru că noi ne dorim să ne folosim identitate electronică oriunde în Uniunea Europeană.
Există Regulamentul eIDAS. Acesta, printr-un mecanism de audit – care presupune evaluare între state și alte lucruri de acest gen - conferă anumitor sisteme electronice de identitate un statut legal care materializează un așa-numit nivel de încredere. Nivelul de încredere poate fi: substanțial sau ridicat.
Deci cine are o tehnologie de identitate digitală - oricare ar fi ea, nu contează, pot fi multe - trebuie să obțină acest statut legal. Ca apoi acea identitate digitală să poate fi folosită de cei care o au în relația cu oricine.
În Uniunea Europeană noi am încercat să rezolvăm această problemă prin ROeID.
În urmă cu un an jumătate, s-a solicitat recunoașterea acestui statut legal. Au fost mai multe state dispuse să auditeze. Iar recunoașterea a fost respinsă”, a precizat Andrei Nicoară.
De ce nu face ROeID tot ce ne-am dori
Creatorii ROeID și-au dorit ca milioane de români și sute de instituții din țară să se înroleze în aplicație. Până acum, cifrele sunt cu mult sub așteptări.
Iată ce n-a mers.
„ROeID este un proiect pe fonduri europene în valoare de 20 de milioane de euro. A fost conceput de Sabin Sărmaș, care conducea la acel moment ADR. Și a fost contractat de domnul Octavian Oprea, în perioada în care se afla la conducerea ADR.
Ce au greșit amândoi - și lucrul ăsta s-ar putea să aibă repercusiuni!- nu au scris în caietul de sarcini că finalitatea proiectului și condiționare a plății este legată de recunoașterea sa de către Uniunea Europeană.
Furnizorul a livrat ceva ce comisia tehnică a ADR a considerat că ar corespunde cerințelor din caietul de sarcini.
Dar ori caietul de sarcini n-a fost bine scris, ori au avut lucruri scăpate din vedere, ori s-au bazat pe nu știm ce ... Uite că, în final, lucrurile n-au ieșit cum trebuie.
Dacă scriau în caietul de sarcini că nu se termină până nu cântă soprana, știți expresia, atunci măcar știam un lucru. Dar așa ...
Când i-am întrebat de ce nu au făcut lucrul ăsta, au spus că nu este corect și acceptabil să condiționezi furnizorul de o acțiune a unui terț (adică de recunoașterea statutului legal de către alte entități).
Însă de curând, în proiectul de cloud guvernamental, exista obligația nediscutabilă, prin PNRR, ca centrele de date să fie energetic și să fie Tier 3 și Tier 4. Întâmplător, aceste cuvinte înseamnă niște recunoașteri care sunt date de o entitate privată.
Faptul că nu s-a trecut în caierul de sarcini cerința această (ca ROeID să fie recunoscut la nivel european – n.red.) nu e o eroare simplă.
Pentru că poate o astfel de condiție ar fi justificat prețul de 20 de milioane de euro. În lipsa acestei condiții, platforma respectivă nu are de ce să coste nici pe departe suma asta. S-a livrat doar o platformă tehnică.
Și după cum spuneam, evaluarea se referă și la proceduri, la personal și la multe alte lucruri, în afară de partea de biți și bytes”, a mai declarat expertul în e-guvernare consultat de spotmedia.ro.
Salvarea e la Ministerul Afacerilor Interne (MAI). Ce-ar trebui făcut
„În momentul în care o instituție vrea să folosească ROeID – din cauză că nu există o garanție legală - toată răspunderea este a instituției respective. Deci instituția respectivă își asumă că ADR face o treabă bună. Că așa crede ea. Și mizează pe faptul că niciodată o identitate emisă de ADR nu va fi contestată.
Din cauză că dacă este contestată, va pierde instituția care utilizează serviciul, nu ADR-ul. Pentru că, de fapt, se contestă efectele juridice ale actelor administrative îndeplinite în contextul identității digitale respective.
Cum se rezolvă? Există două variante mari și late.
Prima: vine MAI și salvează situația.
Problema ADR-ului – probabil, pentru că ei n-au spus care au fost observațiile negative primite pentru ROeID - ține de zona de identificare.
Din punct de vedere tehnic, putem presupune că platforma este corectă.
Dar inițializarea identității, cu partea de identificare la distanță, e o problemă. Cine poate rezolva această problemă? MAI, care este originea identității în România și are 300 de birouri de Evidența Populației în țară. Și acolo să emită și identități electronice.
După părerea mea, ca un subset sau un serviciu asociat cărții electronice de identitate, ăsta este un drum de urmat.
Pe scurt: identitatea va fi cea din Cartea Electronică de Identitate (CEI), iar ROeID nu va mai fi un produs de sine stătător, ci un mijloc tehnic asociat cărții electronice de identitate”, a explicat Andrei Nicoară.
De ce întârzie eliberarea Cărților Electronice de Identitate (CEI)
Din păcate, eliberarea Cărții Electronice de Identitate (CEI) întârzie. De la prima astfel de carte de identitate emisă, în 2021, proiectul a întâmpinat mai multe piedici.
Primii care ar pierde bani, dacă s-ar elibera milioane de cărți de identitate, ar fi furnizorii privați de semnături private.
Ar pierde, de asemenea, oamenii politici care au susținut alte soluții de furnizare a identității electronice pentru români, cum ar fi ROeID ca produs de sine stătător.
Compania Națională „Imprimeria Națională” a lansat pe 10 iulie 2022, o licitație pentru a-și alege furnizori de cip-uri și de plastic (numit policarbonat cu antenă - n.red.) pentru fabricarea noilor cărți electronice de identitate. Detalii, aici.
A câștigat firma franceză Idemia Identity & Security France. Cu aceasta, Imprimeria Național, a semnat, pe 28 februarie 2023 - deci în urmă cu un an și jumătate - un contact cadru în valoare de 8.730.000 euro.
Și pe fondul crizei microcipurilor, instituția n-a prea consumat banii. În mai 2023 a dat un contract subsecvent de doar 4.656 euro. Iar în aprilie 2024 a mai încredințat unul, în valoare de 303.420 euro. Per total, instituția a dat abia 4% din sumă prin contracte subsecvente.
Imprimeria Națională a lansat, pe 27 iulie 2022, încă o licitație pentru a-și alege furnizor de sistem PKI (public key insfrastructure). Au fost contestații, s-a ajuns și la Curtea de Apel. Instituția a selectat un câștigător: firma Advice Information Technology SRL. Și a semnat un contract cu ea abia pe 20 august 2024. Detalii despre condițiile atribuirii, aici.
România și-a renegociat alocarea din PNRR pentru eliberarea cărților electronice de identitate, din cauză că i-a rămas mai puțin timp să se încadreze în plan și va putea cheltui o sumă mai mică.
Ministerul Afacerilor Interne (MAI) a anunțat, pe 25 august, că se află în faza finală de testare a tehnologiei.
„În prezent, se află în fază finală de dezvoltare infrastructura necesară emiterii unui nou prototip C.E.I., testele tehnice finale fiind programate în perioada 9-15 septembrie 2024.
În funcție de rezultatul acestora, se estimează posibilitatea elaborării unui calendar de extindere, etapizat, începând cu județul Cluj, urmând municipiul București, iar la finalul lunii octombrie, extinderea să fie realizată la nivelul fiecărui municipiu reședință de județ”, a comunicat MAI, pe site-ul său.
Potrivit expertului în e-guvernare Andrei Nicoară - dacă nu folosim ROeID cu Cartea Electronică de Identitate - avem alternativă: privatizarea identității electronice.
„E o soluție care va duce la un scandal cu repercusiuni”, susține Andrei Nicoară.
Ce-ar înseamna privatizarea identității electronice
Dacă ne dorim semnătură digitală - necesară pentru a semna acte pe care le depunem - trebuie să ne-o cumpărăm de la furnizorii privați.
Guvernul ar vrea și el să le ofere o semnătură digitală cu grad mare de încredere românilor. Și probabil că o va face, prin intermediul Cărții Electronice de Identitate (CEI). Dar proiectul eliberării acesteia a întâmpinat mai multe probleme și întârzie.
L-am întrebat, deci, pe Andrei Nicoară dacă în același mod am putea înțelege și identitatea electronică privată.
„Există o oarecare echivalență între semnătură electronică și identitate electronică, în sensul că dintr-o identitate electronică de nivel de încredere substanțială pot să degenerez o semnătură calificată. Manipulând puțin lucrurile, companiile care emit semnături calificate ar putea să emită și identități de nivel substanțial încredere.
Numai că - dacă era o decizie de luat aici - trebuia luată înainte să facem platforma națională, nu?
Plus că oportunitatea, în acest caz, este foarte discutabilă.
Într-adevăr, în Europa există furnizorii privați de identitate electronică. Dar ei sunt adiacenți furnizorului oficial.
Adică sunt persoane care zic «Am o identitate electronică oficială, dar nu vreau să o folosesc în toate situațiile. Că mă simt eu mai confortabil să fie un privat furnizorul meu de identitate. Și atunci poți să jonglez între mai multe variante, după priorități.
O situație în care identitatea este doar privată ... e mai greu de înțeles”, a mai spus Andrei Nicoară.
Pentru mai multe detalii despre ritmul digitalizării, în România, ascultați integral episodul podcastului Digital Shift al cărui invitat este expertul în e-guvernare Andrei Nicoară.