Makay József: Érdekes dologra hívták fel a figyelmemet a magyar hírportálok. Mielőtt az Ügyfélkapu+-hoz a TOTP.app-ot kezdjük el használni, érdemes tisztában lennünk az alábbi kapcsolódási kísérlettel a szolgáltatás részéről. Ezzel a követőkóddal az IP-címünket, a hozzávetőleges tartózkodási helyünket, az általunk használt eszköz típusát, annak operációs rendszerét, a böngészőnk típusát, annak nyelvét és a képernyőnk felbontását követik. Kieg.: ideális esetben ezeket az adatokat a felhasználói élmény javítására szokták használni. Mivel a szolgáltatás nem teljesíti a GDPR követelményeit és adatkezelési tájékoztató sem található az oldalon, a felhasználók nem kapnak tájékoztatást a fentiekről. Remélhetőleg ez hamarosan pótlásra kerül.

https://www.facebook.com/photo/?fbid=9678114955549383

https://www.facebook.com/photo/?fbid=9678142922213253

Előzmény

Válasz

Jön az arcképes azonosítás – új funkciókat kap a DÁP 2025-ben | 2025. 01. 15.

A Digitális Állampolgár alkalmazás és az Ügyfélkapu+ fejlesztéséért felelős Idomsoft Zrt. egy, a szerkesztőségünkhöz eljuttatott e-mailben indokolta meg, miért volt szükségszerű a sima Ügyfélkapu kivezetése, illetve hogy milyen funkciókkal bővülhet idén a DÁP mobilapp.

A döntést IT biztonsági szempontok indokolják, erről szól az EU elektronikus azonosításról és aláírásról szóló eIDAS 2.0 rendelete is, amelynek az egyszerű egyfaktoros Ügyfélkapu azonosítási mód nem felel meg. Elmondásuk szerint az EU-tagországok között alig van olyan (mindössze három), ahol nem kezdődött volna meg ez az átállás. Az eredmények is arra utalnak, hogy az átállás az elvárható tempóban folyik: január 13-án reggel 2,6 millió Ügyfélkapu+-szal rendelkező ügyfél volt, emellett 1,35 millió DÁP-letöltés történt.

Azaz körülbelül 3,8 millió állampolgár már gondoskodott arról, hogy biztonságosabb módon tudjon bejelentkezni az állami szolgáltatásokba.

2024-ben a magyar állampolgárok kb. 300 millió alkalommal jelentkeztek be az állami weboldalakra Ügyfélkapuval, ennek a számnak a 97 százalékát 3 millió fő végezte el – vagyis azok, akik eddig is rendszeresen használták az állami elektronikus ügyintézési felületeket, mostanra lényegében elvégezték az átállást. Az Ügyfélkapu+ használatát egyszerűsíti az is a cég szerint, hogy az állampolgári visszajelzések nyomán a hitelesítő alkalmazások mellett január 14-től e-mailben is kérhető a hitelesítéshez szükséges visszaigazoló kód.

Milyen új funkciók jönnek 2025-ben?

-- Már megjelent a minősített digitális aláírás, amihez a hasonló jelentőségű szolgáltatások gyakorlatának megfelelően, fokozatosan, a visszajelzések alapján kapnak hozzáférést a felhasználók – körülbelül egy hónapon belül minden regisztrált felhasználó számára élesedik majd ez a lehetőség.

-- Még az év elején újabb távoli azonosítási mód érkezik: a szelfis azonosítás révén még egyszerűbbé válik regisztrálni az alkalmazásba. Az eSzemélyivel és a kormányablakban történő regisztráció mellett így már háromféleképpen lesz erre lehetőség.

-- Még 2025 első negyedévében érkezik az a funkció is, amely akkor jelent segítséget, ha valaki készüléket cserél és szeretné az új készülékre is átvinni a Digitális Állampolgár alkalmazását, vagy több készüléken szeretné használni azt – ma még újra el kell végezni a regisztrációt ezekben az esetekben.

-- Az alkalmazásban elérhető adatok – köztük a TAJ-szám, az adószám, a lakcímkártya-adatok, a személyi azonosító és a jogosítvány száma – rövidesen hitelesített formában is letölthető és továbbítható lesz.

-- 2025 első félévében tovább bővül majd azon élethelyzetek sora, ahol a Digitális Állampolgár alkalmazást személyes megjelenéskor személyazonosításra lehet majd használni: kormányablakokban, postákon, és így tovább, fokozatosan.

-- A DÁP- bejelentkezéssel elérhető elektronikus ügyintézési felületek száma is bővül: a közműszolgáltatók, telekommunikációs szolgáltatók, bankok online felületeire is be lehet majd lépni így – sőt, a Fővárosi Vízművek online rendszerébe már most is be lehet lépni így, néhány napon belül pedig az MVM felületére is be lehet majd.

-- Rövidesen megújul több állami szolgáltatási felület: az EgészségAblak az első ilyen alkalmazás, ehhez csatlakoznak majd a NAV és a MÁV felületei, illetve a fejlesztők az egyes ügyfélportálok funkcióit is egyértelműsítik és egységesítik.

-- Fontos mérföldkő lesz emellett, hogy megjelenik az első életesemény-alapú ügyintézési folyamat: a magánszemélyek használtautó-adásvételének teljes folyamata megújul, és mintaként szolgál majd a további életeseményeknek – mint például a lakóhely-változás, a házasságkötés vagy a gyerekszületés –, amelyek köré az ügyintézési teendők szerveződnek majd.

-- Előreláthatólag az év második felében érkeznek az olyan elektronikus igazolások is, mint például a digitális TB-igazolás és jövedelemigazolás, amelyeket a Digitális Állampolgár mobilalkalmazásban, néhány kattintással lehet majd beszerezni.

-- Új értesítési rendszer is várható, melynek részeként az alkalmazás értesítést küld majd többek között az okmányok lejáratáról vagy az elkészült egészségügyi leletekről.

-- Az Idomsoft Zrt, azt ígéri, folyamatosan bővülnek majd az alkalmazás biztonsági funkciói is, e-mail értesítések lesznek majd kérhetők, illetve telefonos ügyintézésben is használható lesz a Digitális Állampolgár alkalmazás hitelesítésre – mind az állam, mind az állampolgár részéről.

https://24.hu/tech/2025/01/15/digitalis-allampolgarsag-program-dap-ujdonsagok-2025-ugyfelkap-plusz/

Előzmény

Válasz

Mivel úgy tűnik, hogy az előző poszt kissé virálisabb lett, mint amire szántam és jobban terjed, mint holdudvarban a közpénz, közszolgálati jellegű kötelességemnek tekintem, hogy leírjam: ugyan ráment egy nap, mire kitaláltuk miért és hogyan, de végül sikerült aktiválnom az ügyfélkapu pluszt és ez most az előzővel ellentétben működik is.

Ha minden igaz, sikerült az okot is megtalálni (bár hangsúlyozom, hogy csak felhasználói információim vannak, lévén nem vettem részt ennek a sorscsapásnak sem tervezésében, sem a kivitelezésében), szóval ez most leginkább egy technológiai jellegű poszt lesz arról, hogy hogyan NE tervezzünk meg egy ilyen szolgáltatást, hacsak nem az elrettentő jelleg az egyetlen célunk.
Akinek nincs türelme a tovább olvasáshoz, vagy nem érdeklődik a technológiai részletek iránt, azok számára az egymondatos vezetői összefoglaló TLDR jelleggel így szól: PIPÁLD BE AZT A RAGYAVERT CHECKBOXOT A TÖRLŐKÓDOS KÉPERNYŐN ÉS MENNI FOG.

És akkor a részletek:

Az előző posztban részletezett megpróbáltatások után (és miután végigdolgozva egy napot kellően lenyugodtam és már nem akartam a laptopomat senkinek a fején szétverni) sikerült törölnöm az ügyfélkapu pluszt és visszatérni a hagyományos ügyfélkapuhoz, majd sikerrel végignyomni egy teljes új folyamatot, minek következtében most van végre egy működő ügyfélkapu pluszom. Az első és a második próbálkozás (vagyis a csúfos kudarc, életcéljaim és szakmai kompetenciáim teljes megkérdőjelezése, valamint a fényes siker között) mindössze egy apró különbség volt: a második menetben bepipáltam az "Elmentettem a törlőkódot" checkboxot. Többen írták, hogy náluk is ez formálta a különbséget a "minden működik" és a "nem működik semmi" között, ezért feltételezem, hogy a hiba valóban ekörül keresendő. Ugyanis a 2FA azóta valóban stabil, nincs benne bizonytalanság, tehát a korábbi (rendszeridők elmászásával kapcsolatos) feltételezéseim hamisnak bizonyultak, akkor ugyanis továbbra is bizonytalan lenne az egész hóbelevanc.

Ha azonban így van és valóban itt van a kutya elásva, akkor annak legalább 3 oka kell, hogy legyen:

1. három, csapnivalóan megtervezett folyamat,
2. egy hibásan megtervezett képernyő, és
3. egy hazugság.

Lássuk sorjában:

Csapnivalóan megtervezett folyamat 1:

A kétfaktoros azonosítás (2FA) sehol a világon nem úgy működik, hogy egy teljesen új bejelentkezési eljárást csinálnak köré. A 2FA ugyanis egy HOZZÁADOTT LÉPES az egyébként már létező, működő authentikációs folyamathoz. A hozzáadott lépés azt jelenti, hogy van valahol a háttérben egy flag (egy logikai igaz/hamis érték valahol egy adatbázis mélyén), ami azt mondja el a többi folyamatnak, hogy az adott, bejelentkezést éppen végző felhasználó esetében be van-e kapcsolva a kétfaktoros azonosítás. Ha a flag azt mondja, hogy be van kapcsolva, akkor a felhasználónév-jelszó megadása után megjelenik egy másodlagos képernyő, ahol a 2FA kódot be lehet ütni és a háttérben a protokoll szerint leellenőrizni; ha pedig azt mondja, hogy nincs bekapcsolva, akkor a felhasználónév-jelszó megadása után egyből be lesz a felhasználó jelentkeztetve. Az első képernyő teljesen ugyanaz, a mögötte levő folyamatok is teljesen ugyanazok, csak épp a 2FA esetben egy második képernyő is szükségessé válik. Tehát vagy 2FA nélkül tudunk bejelentkezni, vagy 2FA-val. Harmadik eset nincs.

Ehhez képest itt most a folyamat úgy lett megtervezve, hogy a 2FA folyamatot "Ügyfélkapu+" néven egy teljesen új bejelentkeztetési eljárásba csatornázták be, ráadásul a felhasználóra bízták azt, hogy a folyamatok közül melyiket választja és a háttérben egy darab igaz/hamis érték helyett minden egyes folyamatra nézve van egy hasonló flag, amelyik az adott folyamatra vonatkozóan elmondja, hogy a folyamat aktív-e. Nem tűnik nagy különbségnek, mégis az: az első esetben (helyes tervezés esetén) nem fordulhat elő, hogy minden eljárást kikapcsolunk (mert vagy van 2FA vagy nincs, de ha nincs, akkor is működik a belépés sima felhasználónév-jelszó párossal), a mi esetünkben viszont előfordulhat az, hogy egy adott időpillanatban minden folyamattípus (a 2FA nélküli és a 2FA-s is) ki lesz kapcsolva és a felhasználó sehogy nem tud belépni, pedig birtokában van egy helyes felhasználónév-jelszó párosnak és egy RFC szabványnak megfelelő időkódnak. Amint a későbbiekben látni fogjuk, pontosan ez történt.

Csapnivalóan megtervezett folyamat 2:

A törlőkóddal kapcsolatos folyamat is hibás. A törlőkódok elmentésének (már ahol léteznek ilyenek) általában egy logikus értelme van: ha az ember később a törlőkódhoz kapcsolódó szolgáltatást ki akarja kapcsolni (esetünkben az Ügyfélkapu pluszt), akkor ez a plusz kód és ennek a szolgáltatástól való külön tárolása biztosítja azt, hogy a felhasználó ne tudja ezt a törlést véletlenül, vagy hirtelen felindulásból megtenni. Ezzel önmagában nincs is probléma.

A probléma azzal kezdődik, hogy a megoldás tervezői kötelezővé tették a törlőkód elmentését már a bekapcsolási folyamatban (vagyis nem engedik aktiválni az Ügyfélkapu pluszt a törlőkód elmentése nélkül), miközben egyébként a törlőkód minden egyes bejelentkezett felhasználó számára később is bármikor elérhető egy kattintással. Ennek viszont így már semmi értelme. Ha ugyanis bármikor elérem ezt a kódot, akkor mi a búbánatos halál rojtos, véreres hímtagjának a kedvéért kötelező már az aktiváláskor elmentenem? Ez így gyakorlatilag nemcsak kiheréli a törlőkód valódi biztonsági funkcióját, de egy fölösleges, kötelező lépést is beiktat egy olyan folyamatba, aminek egyébként minél gördülékenyebben kellene működnie. Ez így egy fölösleges nehezítés, nem több. Értelme nincs.

Csapnivalóan megtervezett folyamat 3:

A harmadik folyamat, amit sikerült már tervezéskor elrontani az a két különböző eljárás közötti átmenet folyamata. Vagyis az, amit úgy hívunk, hogy "az ügyfélkapu plusz aktiválása". Ilyen esetekben ugyanis az aktiválásnak (szolgáltatás 1 kikapcsolása, illetve szolgáltatás 2 bekapcsolása) még akkor is egy tranzakción belül kellene végrehajtódnia, ha egyébként (a csapnivalóan megtervezett első folyamat eredményképp) külön eljárások vannak mögéjük rakva és emiatt nem egy darab igaz/hamis érték jelzi a használt folyamat aktív mivoltát, hanem több. Ha ugyanis egy tranzakcióba gyűjtjük az első folyamat kikapcsolását és a második bekapcsolását, akkor nem fordulhat elő, hogy mindkettő kikapcsolva marad. Egy helyesen megtervezett átmeneti folyamat tehát ki tudta volna küszöbölni az első, csapnivalóan megtervezett folyamat (a 2FA mint új eljárás) hitványságát is.

Nem így történt, sőt az átmenetet sikerült úgy megtervezni, hogy ELŐSZÖR kapcsolja ki a sima ügyfélkaput (ez feltehetően legkésőbb a QR-kód beolvasása utáni visszaírt számkód beküldésekor és ellenőrzésekor megtörténik), és csak UTÁNA, a törlőkódos képernyő végigvitele után kapcsolja be a második folyamatot, az ügyfélkapu pluszt. Ha tehát a törlőkódos képernyőn (ami, mint fentebb részleteztük, eleve fölösleges) bármi nem sikerül tökéletesen, akkor a folyamat abban az átmeneti állapotában marad, hogy a sima ügyfélkapu már ki van kapcsolva, az ügyfélkapu plusz pedig még nincs bekapcsolva, vagyis a szerencsétlen ügyfél akármit csinál, nem tud belépni. Mintha a solution architectek egyetlen célja egy amúgy jól kitalált és sokezer helyen tökéletesen működő folyamat elrontása lett volna. Ha csak itt megfordítják a sorrendet (és először kapcsolják be a pluszt, utána pedig a simát ki), akkor is az lett volna a legrosszabb következménye az elrontott folyamatnak, hogy az ügyfél mind a hagyományos, mind a pluszos ügyfélkapuval be tud lépni. Így azonban maradt a keser, a nyomor, a véletlenszerűen működő-nemműködő szolgáltatások és a kínos magyarázkodás.

A hibásan megtervezett képernyő:

A hibásan megtervezett képernyő természetesen az, amin az egész folyamat sikeressége áll vagy bukik: a törlőkódos képernyő. Elemi, triviális hibák sorakoznak ezen a képernyőn:

1. A legfontosabb: ha egy mező kitöltése vagy checkbox kipipálása egy folyamat sikerességéhez elengedhetetlen, akkor annak a mezőnek/checkboxnak kötelezőnek kell lennie, enélkül a beviteli formot nem szabad elküldeni. Ez lehet egy pofon egyszerű HTML attribútum, egy JS snippet, egy komponensbe épített bármi, de ezt az "elmentettem a törlőkódot" checkboxot mindenképp kötelezővé kellett volna tenni. Pont. Elemi UI hiba.

2. A képernyő sehol nem írja, hogy a checkbox kipipálása szükséges a sikeres aktiváláshoz. Azt írja, hogy "kérjük, hogy pipálja be", ami mint kérés természetesen ignorálható (elsőre én is ignoráltam), de sehol nem ad a képernyő olyan információt, hogy a bepipálás feltétele volna a sikeres aktiválásnak és természetesen a submit gomb is simán megnyomható a bepipálás nélkül. Vagyis a felhasználó sem a checkbox kötelezőségéből, sem szöveges információból nem értesül arról, hogy van egy "rejtett" sikerkritériuma az aktiválásnak és ez a sikerkritérium a checkbox bepipálása.

A hazugság:

A hazugság az eredményképernyő. Az ugyanis teljesen függetlenül attól, hogy a törlőkódos képernyőn bepipáltuk-e azt a checkboxot vagy nem, vagyis hogy sikeres volt-e a folyamatunk vagy nem, azt írja ki, hogy az "Ügyfélkapu+ megrendelése sikeres volt".

Ez az esetünkben nettó hazugság. Nem volt sikeres. Ilyen esetekben elvárás lenne egy olyan képernyő megjelenítése, amely értesíti a felhasználót, hogy az aktiválás nem sikerült ezért meg azért, jobb esetben egy linkkel vissza is navigálja a kedves felhasználót oda, ahol az elrontás megtörtént. Ilyen itt nincs, a képernyő azt hazudja, hogy az aktiválás sikeresen megtörtént. Ez a felhasználó félrevezetése.

Összegezve:

Sikerült elrontani már eleve a 2FA koncepciót: nem hozzáadott authentikációs lépésként, hanem teljesen új folyamatként tervezték meg, aminek a marketingértéken kívül semmi értelme nincs, viszont bevitt a rendszerbe egy hibalehetőséget, miszerint egyidejűleg minden folyamat ki lehet kapcsolva. Sikerült bevezetni egy gyakorlatilag fölösleges lépést (a törlőkód elmentését és annak visszaigazolását) a folyamatba, ráadásul úgy, hogy erről a képernyők nem tájékoztatják a felhasználót, aki így simán azt gondolhatja, hogy a lépés valóban fölösleges, ezért kihagyja, ezzel az előző pontban említett hibalehetőséget a rendszer szomorú valósággá változtatta. Sikerült az átmenet folyamatát is hibásan megtervezni, először kikapcsolni a sima ügyfélkaput és csak egy következő lépésben kapcsolni be a pluszt, majd habként a tortán, egy ilyen módon mesterségesen sikertelenné tett folyamat után sikerült kiírni egy olyan képernyőt, ami sikertelenség esetén is sikert hazudik.

Ami működik a folyamatban, az maga a 2FA, amit egyébként részletes RFC (internetes szabványszerűség) szabályoz és amire egyébként van sokezer működő, bizonyított implementáció is a világban. Ami viszont nem vagy nem jól működik a folyamatban, az kb. minden, amivel a 2FA-t megpróbálták az ügyfélkapu rendszerébe beilleszteni.

És az egészben a legszomorúbb, hogy egy alapszintű UAT (felhasználói tesztelés) ezeket a hibákat 99%-os valószínűséggel felszínre hozta volna. Ezt persze jó eséllyel teljesen kispórolták.

Hogy a szűk határidő vagy más okok miatt, azt nem tudni. Azt is csak sejtem, hogy az egész Ügyfélkapu Plusz mögött az elsődleges szándék nem egy a felhasználók szempontjából jól működő és a szakmai standardoknak megfelelő megoldás szülessen, hanem hogy a megrendelő egy alapvetően nem nagy változás kapcsán is hamar bejelenthessen valami nagyot. Kis lépés az Ügyfélkapunak, de hatalmas ugrás Rogán Antalnak.

Csak a felhasználókat hagyták ki a képletből.

Előzmény

Válasz

Ma reggel megpróbáltuk aktiválni az Ügyfélkapu pluszt, merthogy állambácsi aszonta, jövő héttől már a sima ügyfélkapu nem fog működni. Nem aggódtam a folyamat miatt: informatikus vagyok, használom a Google Authenticatort vagy 10 helyen, mindenhol működik mint késavajban, hát mi baj lehet, ugye.

Ennél nyomorultabbul nem is tévedhettem volna.

A folyamat eleje viszonylag sima: belépek a sima ügyfélkapus jelszavammal, ráklikkolok az "Ügyfélkapu+" igénylése gombra, jön a QR kód, beolvasom az Authenticator appal, a kidobott számot visszaírom a QR kód alá, kész, passz, megvagyunk, kezicsókolom. Kilépek, cookie-kat törlöm manuálisan (az mondjuk külön megérne egy misét, hogy miért az ügyfélkapu az egyetlen oldal a világegyetemben, aminél a cookie-kat manuálisan kell törölnöd, hogy minden működjön a következő belépéskor is, de ezt hagyjuk).

Boldog vagyok, hogy végre sikerült a magyar államnak egy működő alkalmazást legyártania, ez ugyanis eddig nem volt jellemző. És még kivételesen amiatt sem dühöngök most, hogy sikerült ezt is egy elég nyilvánvaló lopásba csomagolni: a NISZ Authenticator appot teljesen fölöslegesen fejlesztették le, mivel van már az RFC6238 implementálására számos bizonyított alkalmazás a Google Authenticatortól a Microsoft-féléig, szóval az egész sztori nem több, mint a melegvíz ismételt feltalálása és lefeljesztése (haverokkal, jó pénzért, satöbbi).

No, lépjünk be akkor.

Böngésző, odaklikk az Ügyfélkapu+ azonosításra, felhasználónév-jelszó beír, megjelenik a bűvös számablak, ahova az Authenticator által köpött számot el kell helyeznem (kis szépséghiba, hogy a beviteli mező nem numerikus, így telefonon sem a számbillentyűzetet hozza fel és amúgy sem egyértelmű, hogy ide mit kellene beírni, de hát informatikus vagyok, megoldom). Szerencsére a mező hossza 6 karakterben van limitálva, ez eligazít, hogy ez az, amit keresek.

Számot beírom, nem működik.

Mi a ganyé? Most csináltam meg, máris elromlott? Na, próbáljuk meg mégegyszer, hátha csak a rendszerórák vannak pár másodperccel odébb kalibrálva, vagy nem használnak NTP-t, ami egy ilyen appnál ugyan főbenjáró vétek, de talán csak ez a hiba.

Újra beverem a számot, megint nem működik.

Közben lent elindul egy számláló, hogy ez már a második sikertelen próbálkozásom az ötből (hogy az ötödik után mi lesz, azt nem tudom, talán személyesen Rogán Antal szabadalmaztatott titkosító algoritmusával fogják az egész életemet a gyehennára vetni, vagy hasonló).

Harmadszor is beírom a számot, harmadszor se megy.

Gyerekek, ez nem kóser.

Félve a Rogán Antal szabadalmaztatott titkosító algoritmusa általi gyehennára vettetéstől nyitok egy másik böngészőt, próbáljuk meg onnan is. Odamegyek az oldalra, Ügyfélkapu plusz azonosítás, első faktor, felhasználónév-jelszó beír, enter, és ....
már ez sem működik.

Hibaképernyő, miszerint vagy eltoltam a jelszavamat, vagy rossz metódust választottam.
Mivel a jelszavaimat NordPass-ban tárolom (ez itt nem a reklám helye) az kissé valószínűtlen, hogy azt toltam volna el, hát BIZTOSAN a rossz linkre kattintottam és VÉLETLENÜL a hagyományos ügyfélkapus belépést választottam. Visszamegyek, cookie-kat ismét törlöm (eddigre, vagyis ahhoz, hogy be se tudjak lépni, már összegyűlt 9 darab), újrapróbálom, gondosan ügyelve arra, hogy a pluszos gombot nyomjam meg, ne a plusznélkülit.

Ugyanaz. Rossz jelszó vagy rossz metódus képernyő. Már el sem jutok a második faktorig.

Hát akkor biztosan valami/valaki a háttérben gonoszul átírta a jelszavamat. Nyomjunk egy "elfelejtett jelszó" kört, az még senkinek nem ártott. Klikk a linkre, felhasználónév és email-cím beír, submit, minden rendben, jön a levél. A levélben ott az egyszerhasználatos link, kattintok, új jelszót megadom kétszer, el is mentem a NordPass-ban legott, enter, MÁSODIK FAKTOR. Legalább az új jelszó biztosan jó akkor.

Második faktorba az Authenticator számát beírom, megint nem jó.

Ejha, ez már kezd veszélyes lenni, megint elindult a sikertelenbejelentkezés-számláló is összevont szemöldökkel figyelmeztetve arra, mi fog történni, ha 5 alkalommal rossz számot ütök be. Megint elmegyek 4 sikertelenig, gondosan ügyelve arra, hogy mindig megvárjam az új számot, persze egyik szám sem működik.

Feladom.

Csendesen sírdogálok a sarokban.

Új böngésző, új cookie-törlés, új bejelentkezés. Immáron az új, frissiben megváltoztatott jelszóval.

Felhasználónév beír, jelszó, beír, BUMM.

Rossz jelszó vagy rossz metódus képernyő.

Akkor próbáljuk meg a régi jelszóval, hátha a jelszót csak a sikeres kétfaktoros azonosítás után változtatja meg a rendszer, odáig meg ugyebár nem jutottunk el. Felhasználónév, régi jelszó beüt.
Ismét a rossz jelszó vagy rossz metódus képernyő.

Ez az a pont, ahol feladom. A második faktor (az egyszeri kód) soha nem működik és mostanra sikerült az első faktort is tönkrevernem, mert sem a régi, sem az új jelszavammal nem megy.

Kedves NAV!

Ha innentől kezdve nem érkezne tőlem egyetlen huncut adóbevallás sem a cégemmel kapcsolatban, a panaszokkal-bírságokkal kapcsolatban kérjük keressék fel orvosukat, gyógyszerészüket, vagy ennek a halom fekáliának a fejlesztőit. Én ugyanis mostantól nem tudok belépni.

P.S.: Szilvi is hasonlókat tapasztalt, de ő bátor volt és egy tutorial video hatására amikor látta, hogy neki sem működik a 2FA, rákattintott az "Ügyfélkapu+ törlése" gombra, mondván majd újracsinálja később, de addig tudja a hagyományosat használni.

Ő sem tévedhetett volna ennél nyomorultabbul, a gombbal sikerült a TELJES ügyfélkapuját kitörölnie mindenestül, ráadásul az olyan sokat hangoztatott törlőkódra sem volt mindehhez szüksége. Most elment az ocsmányirodába, hogy rájuk borítsa az asztalt.

Vidám hétköznapjaink, Magyarország, 2025. Ha ilyen a repülőrajt, inkább maradnék a hagyományos rajtnál.

UPDATE: Időközben meglett a megoldás és került mellé némi root cause analysis is, szóval szépen gördítsetek feljebb, a következő poszt pont erről szól.

https://www.facebook.com/share/p/1AzhXK8oMz/

Előzmény

Válasz

* Máris kivezetik az Ügyfélkapu+ azonosítási módot 2025. végén?
https://csabamolnar.hu/2024/11/27/maris-kivezetik-az-ugyfelkapu-azonositasi-modot/

* Privát és biztonságos kétfaktoros hitelesítési eszközök
https://www.bitcoinbazis.hu/privat-es-biztonsagos-ketfaktoros-hitelesitesi-eszkozok/

* TOTP.app mint második faktor – avagy öntsünk tiszta vizet a pohárba
https://csabamolnar.hu/2025/01/05/totp-app-mint-masodik-faktor-avagy-ontsunk-tiszta-vizet-a-poharba/

* Már az ujjlenyomat használata sem véd meg a kibertámadásoktól
https://www.bitcoinbazis.hu/ujjlenyomat-hackerek-adatbiztonsag/

* Ügyfélkapu+ és a Digitális Állampolgár alkalmazás használatával összefüggésben Kósa Ferenc, a Magyar Elektronikus Aláírás Szövetség Egyesület (MELASZ) elnöke
https://index.hu/belfold/2025/01/05/ugyfelkapu-digitalis-allampolgarsag-kormanyablak-ugyintezes-kosa-ferenc/

Really rusted 2FA applications
- without being exhaustive - the lesser known ones, which have been around for a long time, are used by many

*** Keepass
https://keepassxc.org/download/
https://www.keepassdx.com/

*** Aegis
https://getaegis.app/

Előzmény

Válasz

Az Ügyfélkapu+ és a Digitális Állampolgár alkalmazás használatával összefüggésben

nyilatkozott Kósa Ferenc, a Magyar Elektronikus Aláírás Szövetség Egyesület (MELASZ) elnöke, aki egyben az elektronikus ügyintézés tantárgy megbízott egyetemi oktatója a Károli Gáspár Református Egyetemen. | 2025.01.05.

Kósa Ferenc leszögezte:

-- Az Ügyfélkapu+ mint emelt szintű kétfaktoros azonosítást biztosító bejelentkezési megoldás nem egy új ügyfél-azonosítási módszer, hanem a már létező Ügyfélkapu azonosítási rendszer biztonságosabbá tétele.

A szakértő kifejtette, „figyelemmel arra, hogy az Ügyfélkapu-regisztrációra 2016. január 1. napját megelőzően kizárólag okmányirodai személyes jelenléttel történő regisztráció során, azt követően pedig vagy kormányablaki személyes jelenléttel történő regisztrációval, vagy a 2016. január 1. napját követően kiállított személyazonosító igazolvánnyal (úgynevezett »eSzemélyi«), személyes jelenléttel, a kormányablakban történt igénylésekor kapott zöld szélű borítékban személyesen átvett plasztikkártyán található regisztrációs kóddal lehetséges, így a személyazonosítás az Ügyfélkapu-regisztráció során teljes mértékben és megbízhatóan biztosított”.

A MELASZ elnöke arra is felhívta a figyelmet, hogy a kizárólag felhasználónév és jelszó által történő – egyfaktoros – bejelentkezés már nem kellően biztonságos, tekintettel arra, hogy az egy részről könnyen megfigyelhető akár kamerafelvétellel, akár úgynevezett keylogger – a billentyűleütéseket naplózó számítógépes programmal vagy hardvereszközzel, másrészről óvatlanul lementhető a böngészőalkalmazás tárolójába, ezért azt szükséges kivezetni és biztonságosabbá tenni.

Miután az emberek többségében az a képzet él, hogy az Ügyfélkapu kizárólag az adóbevallás benyújtására szolgál, Kósa Ferenc szerint sajnos az a tapasztalat, „hogy az Ügyfélkapu-azonosítóikat kiadják a könyvelők részére, ami teljességgel rossz gyakorlat. A személyazonosító adatok egy személy azonosítására szolgálnak, és nem máséra – így például nem az adott személy könyvelőjének azonosítására”.

-- „Ha azt szeretnénk, hogy valaki a nevünkben járjon el, arra a meghatalmazás jogintézménye biztosít lehetőséget”

Kósa Ferenc arra is emlékeztetett, hogy „az Ügyfélkapu-bejelentkezéssel olyan rendszerekhez lehet hozzáférni, mint például a Rendelkezési Nyilvántartás, ahol bárki részére meghatalmazást lehet adni (akár arra is, hogy minden pénzünket felvegye a bankból), illetve 2024. december 31-ig az úgynevezett Azonosításra Visszavezetett Dokumentumhitelesítéshez (AVDH), amivel akár ingatlan-adásvételi szerződést is alá lehetett írni, azaz aki jogosulatlanul hozzáfért az Ügyfélkapu-azonosítóinkhoz, jogosulatlanul felvehette az összes pénzünket, vagy eladhatta a kocsinkat vagy akár az ingatlanunkat is”.

-- Ha azt szeretnénk, hogy valaki a nevünkben és helyettünk járjon el, akkor arra a meghatalmazás jogintézménye biztosít lehetőséget, és nem az, hogy átadjuk a személyazonosító igazolványunkat. Ahogy a személyi igazolványunkat sem adjuk át személyes ügyintézésre történő meghatalmazás esetén, úgy az elektronikus azonosítóinkat sem adjuk át elektronikus ügyintézés esetén. Ahogy a bank mentesül a felelősség alól, ha valaki a bankkártyáját és az ahhoz tartozó PIN (personal identification number, azaz személyes azonosító szám) kódját kiadja harmadik személynek, és ez a személy pénzt vesz fel a bankkártya-tulajdonos számlájáról, ugyanúgy a személyazonosító rendszert üzemeltető szolgáltató sem tehető felelőssé a felhasználó által kiadott személyazonosító kódokkal történt eljárásért

– tette világossá a szakértő. Hozzátéve: „Ami ettől sokkal rosszabb – és ügyvédi praxisomban is felmerült sajnos –, a kiadott kódokkal eljáró személy felelősségre vonása is elnehezül. Előfordult ugyanis, hogy a vállalkozó szóban megbízást adott a könyvelőjének bizonyos iratok benyújtására az adóhatóság részére, amiket a könyvelő ezután a vállalkozó Ügyfélkapu-azonosítóival nyújtott be hibásan. A vállalkozó szerette volna ezt követően a könyvelőjét felelősségre vonni és kártérítést érvényesíteni a könyvelővel szemben, de miután nem tudta bizonyítani azt, hogy az iratokat nem ő (azaz a vállalkozó maga) nyújtotta be, így nem lehetett a könyvelő felelősségét megállapítani.”

Kósa Ferenc hangsúlyozta, a fentiek ismeretében mindenki maga döntse el, megfelelő gyakorlatnak tartja-e azt, hogy meghatalmazás helyett inkább az azonosítóit adja ki mások számára. „Pedig az elektronikus meghatalmazás egyáltalán nem bonyolult, akár a meghatalmazó adhat a meghatalmazottja részére meghatalmazást mind a NAV ONYA rendszerében (korábban a NAV eBEV felületén), akár az úgynevezett Rendelkezési Nyilvántartásban, de lehetőség van a meghatalmazottnak is ugyanezen rendszerekben a meghatalmazást előkészíteni, és a meghatalmazónak ezt követően pusztán jóvá kell csak azokat hagynia” – húzta alá a szakértő.

Az elektronikus kapcsolattartásra kötelezett gazdálkodó szervezetek a cégkapu felületen tudnak „cégkapumegbízott” státuszt adni akár a munkavállalójuk, akár a könyvelőjük részére, ugyanakkor fontos megjegyezni, hogy utóbbi esetben a megbízott minden, a cégkapu tárhelyre érkező küldeményt látni fog.

-- Mind az Ügyfélkapu+ (ami már több mint két éve problémamentesen működik), mind a DÁP eAzonosítási funkciója készen van (ez utóbbi pedig 2024. szeptembere óta működik problémamentesen). Az, hogy valaki önszántából kiadja akár az Ügyfélkapu-azonosítóit, akár az ahhoz tartozó második faktort, az a saját döntése, de legyen tisztában a fent részletezett veszélyekkel. Ugyanakkor a kétfaktoros bejelentkezés mindenképpen megvéd attól, hogy az illetéktelenül az azonosítókat megszerző a tudtunk nélkül be tudjon lépni, így tehát a saját biztonságunkat szolgálja

– hangsúlyozta Kósa Ferenc.

Tipikus problémák a regisztrációnál

Szombati cikkünkben írtunk az Ügyfélkapu+ regisztrációjával kapcsolatos problémáról is, amely az „Ön nem jogosult a kiválasztott azonosítási szolgálat igénybevételére” hibaüzenettel jár. Kósa Ferenc szerint a tipikus probléma az, hogy a felhasználók minél előbb túl akarnak esni a folyamaton, és nem olvassák végig a tájékoztatót.

-- Ugyanis a folyamat végén a rendszer egy úgynevezett törlőkódot ad arra az esetre, ha kizárnánk magunkat az Ügyfélkapu+ második faktorából (mert például elromlik a telefon, vagy elvész/ellopják), amit elmenteni szükséges. Ehhez egy nyilatkozat jelenik meg (»A fenti törlőkód mentéséről gondoskodtam«), amit be kell pipálni, és ezt követően kell a »Befejezés« gombra kattintani. Aki ezt elmulasztja, az ténylegesen nem aktiválta az Ügyfélkapu+ szolgáltatást

– részletezte a MELASZ elnöke, egyúttal jelezve, hogy ezzel nincs probléma, „mert a »sima« Ügyfélkapu-felhasználónév és jelszó beírásával továbbra is be tud jelentkezni a https://ugyfelkapu.gov.hu oldalon, és újra tudja kezdeni az Ügyfélkapu+ bekapcsolási folyamatát, ez esetben csak arra kell ügyelni, hogy újrakezdés előtt törölje a telefon hitelesítő alkalmazásából a be nem fejezett folyamatban kapott kódgenerátort, mert az a későbbiekben megzavarhatja”.

Kósa Ferenc másik tipikus problémaként azonosította, hogy „a telefon vagy a számítógép órája nincs megfelelően – automatikus szinkronizálás – beállítva. Ennek hiányában az időalapú kódok nem működnek, így ilyen esetben szükséges a telefon és/vagy a számítógép óráját automatikus szinkronizálásra állítani”.

A szakértő egyébként úgy tudja, hogy már több mint 1,5 millióan aktiválták az Ügyfélkapu+ szolgáltatást, és 1 millióan a DÁP applikációt, ez a szám folyamatosan emelkedik. Ha pedig valaki elfelejtené 2025. január 16-ig aktiválni az Ügyfélkapu+-t, az január 16-át követően továbbra is meg fogja tudni ezt tenni.

Kósa Ferenc végül az eSzemélyiről mint második faktorról elmondta: „Az eSzemélyivel lehetőség van arra, hogy a DÁP applikációban aktiváljuk a Digitális Állampolgár-regisztrációnkat. Jelenleg ehhez 2021. június 23-át követően kiállított eSzemélyi szükséges (ez könnyen ellenőrizhető: akinek ilyen személyije van, annak a személyi bal felső sarkában egy EU-zászló található), valamint az ahhoz tartozó PIN kód (amit szintén a fent említett, zöld szélű borítékban lévő plasztikkártyán kaptunk). Ha esetleg nem lett aktiválva az eSzemélyi, akkor az az eSzemélyiM mobilapplikációval néhány perc alatt elvégezhető. Ha valaki elfelejtette a PIN kódját, akkor a szintén ezen a plasztikkártyán található PUK kóddal tud új PIN kódot adni az eSzemélyiM mobilapplikáció segítségével.”

Azoknak sem kell csüggedniük, akiknek régebbi személyi igazolványuk van: az érintettek jelenleg kormányablakban tudnak regisztrálni, de hamarosan érkezik a „szelfis” regisztráció is a DÁP alkalmazásba.

https://index.hu/belfold/2025/01/05/ugyfelkapu-digitalis-allampolgarsag-kormanyablak-ugyintezes-kosa-ferenc/

Előzmény

Válasz

Változnak az igazoltatás szabályai | 2024. december. 31.

Nem feltétlenül kell odaadnunk a rendőrnek a személyi igazolványunkat. Eljött a digitális állam kora.

Az eddigi szabály az volt, hogy „az igazoltatás során a rendőr elkéri az igazoltatott személyazonosító igazolványát vagy egyéb, a személyazonosságot hitelt érdemlően igazoló okmányát”.

Ezentúl viszont a hétfőn késő este megjelent belügyminiszteri rendelet szerint „ha az igazoltatott ezt választja, a digitális államról és a digitális szolgáltatások nyújtásának egyes szabályairól szóló törvényben meghatározott digitális okmányának adatai vagy adattároló kódja hozzáférhetővé tételére szólítja fel”.

Az természetesen nem változik, hogy ha az igazoltatott személyazonossága kétséges, a rendőr ellenőrző kérdéseket tehet fel, felszólíthatja az igazoltatott személyt adatainak bemondására, a bemondott adatokat az okmánnyal összehasonlíthatja. Az adatokat minden esetben ellenőrizni kell a Schengeni Információs Rendszerben, a körözési nyilvántartási rendszerben, – szükség szerint – a személyiadat- és lakcímnyilvántartásban vagy az okmány-nyilvántartásban, valamint a bűnügyi felügyelet, a távoltartás keretében előírt magatartási szabályok megtartásának ellenőrzésére jogosult rendőri szerv állományának tagja által végzett igazoltatás során az e célt szolgáló adatállományban.”

Ez a rendelet a kihirdetését követő napon, azaz kedden máris hatályba lépett, vagyis aki Szilveszter éjjelén találkozik rendőrrel, akár rögtön kipróbálhatja.

https://hvg.hu/itthon/20241231_Valtoznak-az-igazoltatas-szabalyai

Előzmény

Válasz

A cáfolat ellenére pénzbe fog kerülni a személyi igazolvány és az útlevél | 2024. december. 31.

Szilveszter éjjelén jelent meg Rogán Antal rendelete.

Ugyan a Kormányzati Tájékoztatási Központ december 21-én azt közölte:
https://hvg.hu/itthon/20241221_szemelyi-igazolvany-fizetos-dij-ktk-cafolat

-- a sajtóban megjelent hírekkel ellentétben a személyi igazolvány kiállítás minden magyar állampolgár számára ingyenes marad. Az okmány lejárta esetén is ingyen állítják ki az újat. Csak a személyi igazolvány lejárati határidőn belüli elvesztése esetén kell a pótlásért fizetni.

Ezzel szemben Szilveszter este, december 31-i keltezéssel megjelent a Magyar Közlönyben a Miniszterelnöki Kabinetirodát vezető Rogán Antal miniszteri rendelete – ugyanis már nem a Belügyhöz, hanem hozzá tartozik ez a téma –, hogy február 1-től a felsorolt „okmányoknak az ügyfél kérelmére fizikai úton történő kiállításáért az ott meghatározott díjat kell fizetni”.
https://magyarkozlony.hu/dokumentumok/99a109bc1e6e930aaec42146dd7ceb4a5f78576e/megtekintes

Ezek között pedig szerepel az állandó személyazonosító igazolvány 7700 forintos tétellel, továbbá például a magánútlevél, a második magánútlevél 17 000 Ft és a kérelem benyújtásának időpontjában 12. életévét be nem töltött személy magánútlevele, második magánútlevele 8500 Ft díjjal. Ezen felül kell fizetni a belföldi ajánlott küldeményként történő kézbesítésként, és csak ezt az utóbbi költséget engedik el még akkor is, ha a csere oka gyártáshiba, tévesen bejegyzett adatok helyesbítése vagy az igazolvány tároló elemének nem működése.

Ez 2025. február 1-től érvényes. 2026-tól pedig erre a díjra is bevezetik az inflációkövetést, bár nem kötelezően: a díjak a tárgyévet megelőző év első hónapjához viszonyított fogyasztóiár-index mértékének megfelelően módosíthatók lesznek.

https://hvg.hu/itthon/20241231_A-cafolat-ellenere-Rogan-rendeletbe-adta-penzbe-fog-kerulni-a-szemelyi-igazolvany-es-az-utlevel-ebx

Válasz

Az ügyfélkapu megszüntetését el kell halasztani és oktatási programot kell indítani!
Budapest, 2024. december 21., szombat (OS)

A Magyar Könyvelők Országos Egyesülete szeptember óta sürgeti a
Miniszterelnöki Kabinetirodánál, hogy plakátkampány helyett tegyen
intézkedéseket, ami javít az ügyfélkapu+ és a DÁP elutasítottságán.

Ezért az MKOE a DÁP és ÜK+ témájában zajló országjárása során
Ruszin Zsolt alelnök sorra tartja az előadásokat, akár a
mobiltelefonon, vagy az asztali alkalmazásokban működő authentikátor
használatát is betanítva, de egy ilyen oktatást ez a kör biztosan
nem fogadna el a hivatalnokoktól. Az eddigi tapasztalatok szerint az
elektronikus ügyintézésre kötelezettek negyede teljesen alkalmatlan
az ügyfélkapu+ áttérésére, nagyjából a fele pedig képtelen
megbirkózni a DÁP alkalmazás telepítésével és használatával.

Mindeközben beindult a Google Play Áruházban a szponzorált, pénzt
kérő alkalmazások megjelenése is. A Google most már 3 ilyen
alkalmazást is beengedett, egy kisebb képernyőről kiszorítva még a a
Google Authenticatort. Az MKOE hiába kérte ezek eltávolítását, a
szponzorált státuszért pénzt gyűjtő Google nem kívánja ezeket
eltávolítani, még akkor sem, ha ezek az alkalmazások megtévesztőek.

Az sem segít, hogy a DÁP miatt igényelt személyi igazolvány 7700
forintba, vagy 9700 forintba kerülne 2025.02.01-től.

Az MKOE tovább folytatja az országjárást, hangsúlyozva, hogy
hosszabb átmeneti időszakra van szükség, amit hasznosan kell
eltölteni, ehhez az ügyfélkapu megszüntetését el kell halasztani!
Kiadó: Magyar Könyvelők Országos Egyesülete

Válasz

Ügyfélkapu+

Amit mindenképpen tudni kell

*** 2025. január 16-án az Ügyfélkapu néven ismert belépési megoldás megszűnik, ami a gyakorlatban annyit tesz, hogy pusztán felhasználónév és jelszó segítségével nem lehet majd belépni az olyan felületekre, mint például az EESZT, a magyarorszag.hu, az eSZJA, az ONYA és a többi ügyintézésre szolgáló állami webfelület.

*** Az Ügyfélkapu+ január 16. után is használható lesz belépésre az állami webfelületeken.

*** Az Ügyfélkapu+ mellett már a DÁP alkalmazás is használható, illetve január 16-át követően is alkalmas lesz arra, hogy belépjünk azon oldalakra, amiket korábban az Ügyfélkapu segítségével értünk el.

Összefoglalva: 2025. január 16. után a felhasználók azt fogják tapasztalni, hogy az ügyintézős oldalakon (EESZT, eSZJA, ONYA stb.) a belépés gombra kattintva a jelenlegi Ügyfélkapu, Ügyfélkapu+ és DÁP mobilalkalmazás opciók helyett már csak két lehetőség lesz elérhető: az Ügyfélkapu+ és a DÁP mobilalkalmazás.

Fontos kiemelni továbbá azt is, hogy 2025. január 16-tól az olyan kevésbé elterjedt megoldások, mint az elektronikus személyi igazolvány, a telefonos azonosítás és az arcképes azonosítás sem lesz használható arra, hogy belépjünk az állam által üzemeltetett, ügyintézésre használható webfelületekre.

A folytatásban abban nyújtunk segítséget, hogy az Ügyfélkapu január 16-ai megszűnése a lehető legkevesebb fejfájást okozza olvasóinknak.

https://24.hu/tech/2024/11/19/ugyfelkapu-plus-megszunes-dap-digitalis-allampolgarsag-program-regisztracio-segitseg-utmutato/

Előzmény

Válasz

2024. szeptember 1-jétől indul a nemzeti digitálisirattárca-szolgáltatás, a rendőrség ismerteti, hogyan zajlik majd az igazoltatás | 2024. augusztus 9.

„Szeptemberben indul a Digitális Állampolgárság Program (DÁP), ősztől egyre több ügyet lehet mobil- és okostelefonról intézni. A DÁP ugyanakkor nemcsak az ügyintézést könnyíti meg, hanem például hordozható eszközeinkkel is igazolhatjuk magunkat a rendőrnél, miután nem kell magunknál tartanunk a személyi igazolványt. „Az előírásoknak megfelelően 2024. szeptember 1-jétől a digitális állampolgárság-szolgáltatások közül a nemzeti digitálisirattárca-szolgáltatás is elérhetővé válik. Ezt minden 14. életévét betöltött, személyazonosító okmánnyal és az alkalmazás működtetéséhez megfelelő operációs rendszerrel működő mobiltelefonnal rendelkező személy igénybe veheti” – válaszolta a Világgazdaságnak az Országos Rendőr-főkapitányság Kommunikációs Szolgálata.

Minden 14. életévét betöltött, személyazonosító okmánnyal és a digitálisállampolgárság-alkalmazás működtetéséhez megfelelő operációs rendszerrel működő mobiltelefonnal rendelkező személy igénybe veheti a nemzeti digitálisirattárca-szolgáltatást. A rendőrség arról is tájékoztatta a Világgazdaságot, hogy a szolgáltatást igénybe vevő személyek igazoltatása – ha a rendőr rendelkezik úgynevezett Novamobil eszközzel – az applikáció által generált QR-kód beolvasásával történik. Azt is közölték, hogyan.

Rendőrség: Novamobil, applikáció, QR-kód kell az igazoltatáshoz

Hozzátették: a fejlesztéseket követniük kell a rendőrségre vonatkozó törvényi, jogszabályi előírásoknak, valamint az intézkedési protokolloknak is, ezért eszerint módosították a Rendőrségről szóló 1994. évi XXXIV. törvény igazoltatásra vonatkozó rendelkezéseit. A változtatások 2024. augusztus 1-jén léptek hatályba. A Digitális Állampolgárság Programmal párhuzamosan folyik a rendőrség Novamobil-eszközparkjának folyamatos fejlesztése és bővítése – közölte az ORFK.

A szolgáltatást igénybe vevő személyek igazoltatása – ha a rendőr rendelkezik úgynevezett Novamobil eszközzel – az applikáció által generált QR-kód beolvasásával történik. A kód alapján az igazoltatott személy adatait az intézkedő rendőr által kiválasztott adatbázisokban a rendszer automatikusan ellenőrzi, eredményét pedig a Novamobil eszközön megjeleníti.

Azzal folytatják, ha az igazoltatás alá vont személy személyazonosító adatait a DÁP-törvényben meghatározott digitális okmány vagy adattároló kód hozzáférhetővé tétele útján kívánja igazolni, akkor hatósági igazolvány bemutatására az igazoltatott kizárólag abban az esetben kötelezhető, ha a digitális okmány adatainak vagy az adattároló kód alapján a közhiteles nyilvántartásból megjeleníteni kívánt adatoknak a megismeréséhez, illetve ellenőrzéséhez szükséges műszaki feltételek az igazoltatás során nincsenek biztosítva.

Ezenkívül digitális aláírásra is lehet majd használni az alkalmazást, az így létrehozott dokumentum közhiteles magánokiratnak minősül, amit az Európai Unió minden tagországában elfogadnak – ezt már Dömötör Csaba, a Miniszterelnöki Kabinetiroda parlamenti államtitkára erősítette meg nemrégiben.

Szerinte az is segítséget jelent, hogy ősztől az új alkalmazással egy gombnyomással lehet majd igényelni erkölcsi bizonyítványt. „Ez lesz az első magyar digitális okmányfajta” – jelezte, kiemelve: az új applikáció segítségével mobiltelefonról lehet időpontot foglalni a kormányablakokba a legnépszerűbb ügytípusokban.

Dömötör hangsúlyozta: az előregisztrációhoz egy alkalommal fel kell keresni valamelyik kormányablakot, vinni kell egy arcképes igazolványt – ami lehet személyi igazolvány, jogosítvány vagy útlevél –,
és egy olyan mobiltelefont, amelyre már telepítették a digitálisállampolgárság-appot.

Digitális állampolgárság: a program már a spájzban van – letölthető a mobilapplikáció

Több mint két éve tervezik, tavaly elfogadták és törvénybe iktatták, idén pedig el is indul. Ez a Digitális Állampolgárság Program (DÁP), amelynek tesztüzeme 2024 őszén startol, de a legelső lépés sokkal hamarabb megtehető: májustól letölthető ugyanis a mobilapplikáció, így már több hónapja megkezdhető a csatlakozási folyamat. Szeptemberben pedig már QR-kóddal is igazolhatjuk magunkat, nem kell a fizikai személyi igazolvány.”
https://hirlevel.egov.hu/2024/08/09/2024-szeptember-1-jetol-indul-a-nemzeti-digitalisirattarca-szolgaltatas-a-rendorseg-ismerteti-hogyan-zajlik-majd-az-igazoltatas/

Előzmény

Válasz

Digitális Állampolgárság / DÁP: hatásvizsgálat | 2024. augusztus 2.

„A GDPR értelmében ha az adatvédelmi hatóság nem talál kockázatot, akkor valóban nem kell írásban visszajeleznie – mondta a Szabad Európának Remport Ádám, a TASZ magánszféraprogramjának szakértője. – Szerintem viszont egyáltalán nem életszerű, hogy egy ilyen jelentős törvényi változtatás esetén, ahol ekkora volumenű adatkezelés történik, a NAIH ne azonosítson semmilyen kockázatot. A DÁP kiterjedhet minden állampolgárra, a teljes közigazgatásra, érinthet magánszolgáltatókat is, gyakorlatilag az egész országot digitalizálják: hogy mindebben az adatvédelmi hatóság ne lásson semmilyen kockázatot, és elegendő legyen két szóbeli egyeztetés, aminek semmiféle írásos nyoma nem marad, az egyáltalán nem életszerű. A NAIH ráadásul az ombudsmani feladatokat is ellátja. Ha más miatt nem, akkor legalább az alapjogok védelme érdekében fel kellett volna merülnie az egységes azonosító jelentette kockázatoknak.

-- Hiszen épp ezt, az egységes azonosító használatát minősítette korábban alkotmányellenesnek az Alkotmánybíróság.

A NAIH-nak az lenne a feladata, hogy akár az Alaptörvény-módosítás ellenére is fellépjen az alapvető jogok védelme érdekében, Péterfalviéknak nagyon is lett volna tehát tennivalójuk a DÁP-pal kapcsolatban, amit, úgy tűnik, elmulasztottak”

– fogalmazott a jogász.

A hatásvizsgálat

A GDPR értelmében az ilyen, magas kockázattal járó adatkezelés megkezdése előtt nemcsak az egyeztetés kötelező az adatvédelmi hatósággal, de az adatkezelőnek – esetünkben a kabinetirodának – egy hatásvizsgálatot is le kell folytatnia. Ennek részletes dokumentumnak kell lennie, amelyben azt vizsgálják, hogy a törvényi változások milyen kockázatokat jelentenek az állampolgárok adataira; épp azt kell tehát vizsgálni, aminek mi is megpróbáltunk utánajárni. Mivel a kabinetiroda azt állította, hogy minden törvényt betartottak, ezért kikértük tőlük a hatásvizsgálatot is.

Adatigénylés Rogánéktól

Kivárva a törvényben adott maximális időt, a kabinetiroda harminc nap elteltével tájékoztatott, hogy nem adják ki a hatásvizsgálatot, csak személyesen nézhetjük meg a minisztériumban, ahová nem vihetünk semmilyen elektronikai eszközt: azaz csak kézzel jegyzetelhetjük ki a hosszú jogi szöveget. A közérdekű adatokra vonatkozó infótörvényben azonban ilyen lehetőség nincs: ha elektronikusan kérünk egy dokumentumot, azt elektronikusan kell megküldeni. Mivel Rogán minisztériuma nem küldte el a hatásvizsgálatot, bírósághoz kellett fordulnunk: első e-mailünk után majdnem öt hónap telt el, mire megkaptuk azt a hatásvizsgálatot, amely elvileg már 2023 októberében elkészült. Úgy küldték el a 25 oldalas dokumentumot, hogy csak egyenként lehetett letölteni a lapokat – képfájlként. Így nem lehet ellenőrizni, valójában mikor készült a dokumentum (keresni is csak szövegfelismerő segítségével lehet benne), és nem derül ki, hogy a kabinetirodán belül ki vagy kik készítették.

Azt a hatásvizsgálat is kiemeli, hogy a DÁP-törvény kockázatait nem lehet pontosan értékelni, mert a legfontosabb részletszabályokat majd kormányrendeletekkel rendezik. „Meglehetősen nehéz úgy hatásvizsgálatot csinálni valamiről, hogy még nem tudni, mire fog vonatkozni. A legtöbb részletszabályt, a konkrét adatkezeléseket majd rendeletben szabályozzák, ahogyan azt is, mi az az életesemény, ami a digitális állampolgárság egyik központi fogalma” – mondta Remport Ádám a Szabad Európának.

(Ahogy februárban írtuk, a rendeleti szabályozás azért is problémás, mert az Alaptörvény szerint csak törvényben lehet korlátozni az állampolgárok alapvető jogait – amilyen a személyes adatok védelme is. Ráadásul míg egy törvény vitája a nyilvánosságban zajlik, addig egy kormányrendeletet bármiféle külső kontroll nélkül meg lehet hozni, csak akkor értesül róla a nyilvánosság, amikor megjelenik.)

Remport szerint a részletszabályok ismerete nélkül a hatásvizsgálatnak arra kellett volna koncentrálnia, „miért van szükség az egységes azonosító bevezetésére, miközben annak léte korábban alkotmányellenesnek minősült. Erről viszont egyáltalán nem esik szó, csak arra hivatkozik, hogy ez egyszerűsíti majd a felhasználók dolgát, de hogy milyen aggályai vannak egy ilyen egységes azonosítónak, azt egyáltalán nem taglalja a dokumentum.”

Ahhoz ugyanis, hogy használni lehessen a DÁP-ot, hogy egy helyről el tudjuk érni a különböző hivatalokban és cégeknél folyó (azaz különböző adatbázisokban lévő adatokra épülő) ügyeinket, kell egy digitális azonosító. Ennek létrehozásához még az Alaptörvényt is módosították.

-- 1991-ben ugyanis a Sólyom László vezette Alkotmánybíróság kimondta, hogy nem lehet senkinek egyetlen olyan azonosítószáma (ez akkor a személyi szám volt), amellyel az összes állami adatbázisban szerepel.

Egy ilyen azonosító ugyanis könnyen összekapcsolhatóvá teszi a különböző adatbázisokat, ami alapján bárkiről személyiségprofilt lehet összeállítani. Pedig akkoriban még papíralapon voltak az adatbázisok, még nehézkes lett volna összekötni a különböző helyeken tárolt információkat – ma viszont, a digitális világban, mindez sokkal egyszerűbbé vált. Épp ez jelenti a legnagyobb kockázatot.

„Van-e módja bárkinek arra, hogy az egységes azonosító alapján minden adatot lekérjen valakiről, vagy mindenhez hozzáférjen, akár a kormányzati adatközpontban? Vagy megvan-e a lehetősége arra bármilyen szervnek, hogy az azonosító birtokában hozzáférjen több adatbázishoz, és létrehozzon egy személyiségprofilt? Lehetséges-e mindez a felhasználó tudta nélkül? Akár döntéseket hozni ez alapján, miközben az sem biztos, hogy pontos következtetéseket vonnak le a profil megalkotása után. Ezeknek a kockázataival a hatásvizsgálat egyáltalán nem foglalkozik. Pedig a DÁP létrejöttével nagyon nagy információs hatalom központosul az adatkezelői oldalon, azaz az államnál” – fogalmazott a TASZ szakértője.

A másik legfontosabb kérdéssel sem foglalkozik érdemben a hatásvizsgálat, mégpedig azzal, hogy a profilt csak aktiválni és inaktiválni lehet; a tárolt adatokat még ötven évig megtartják az inaktiválás után – hívta fel rá a figyelmet Remport, aki szerint egyáltalán nem indokolja meg a DÁP-törvény sem, miért kell ilyen hosszú ideig megtartani az adatokat. A hatásvizsgálat szerint erre „az elektronikus azonosítás hitelességének visszavezethetősége, továbbá a polgárok jogai és jogos érdekeinek védelme érdekében” van szükség.

A hatásvizsgálat olyan kockázatokat azonosít, mint a szerverek fizikai biztonsága; ha valaki kívülről, jogosulatlanul hozzáfér az adatokhoz; jogosulatlanul változtatja meg azokat; vagy törlődnek. Ezek a kockázatok minden esetben súlyosak, de kezelhetők a dokumentum szerint.

https://www.szabadeuropa.hu/a/peterfalvi-attila-naih-rogan-digitalis-allampolgarsag-dap/33056546.html

A DÁP-törvény hatásvizsgálatát teljes terjedelmében innen lehet letölteni.

https://docs.rferl.org/hu-hu/2024/07/30/01000000-0aff-0242-7943-08dcb09b456c.pdf

Válasz

Már letölthető az alkalmazás, ami 2025-től kiváltja a fizikai okmányainkat | 2024 / 05 / 25

Az okostelefonokra letölthető Digitális Állampolgár alkalmazás az ígértek szerint két éven belül teljesen ki fogja váltani a személyes ügyintézést, de már szeptembertől is használhatjuk olyan dolgokra, mint például a személyazonosságunk igazolása vagy a dokumentumok elektronikus aláírása.

A Digitális Magyarország Ügynökség (DMÜ) az Európai Parlament és a Tanács hétfőn életbe lépett rendeletével összhangban múlt szombaton elérhetővé tette a Digitális Állampolgár applikációt, amelynek célja, hogy kényelmesebbé és hatékonyabbá tegye az elektronikus közigazgatást az állampolgárok számára, emellett pedig számos egyéb hasznos funkcióval is rendelkezik majd.

Az Androidra és iOS-re is letölthető alkalmazást szeptembertől lehet majd aktiválni, a felhasználók a regisztrációt viszont már most is elvégezhetik; ehhez nincs más dolguk, mint hogy egy kormányablakban igazolják a személyazonosságukat, majd az alkalmazásban megadják az ügyintézőtől kapott egyszer használatos kódot.

A DMÜ oldalán található tájékoztató szerint az alkalmazást több lépcsőben fogják fejleszteni, így a szeptemberi induláskor még csak korlátozott funkcionalitással fog bírni. Ezek a következők:

-- Igazolhatjuk vele a személyazonosságunkat rendőrségi igazoltatáskor

-- Egy helyen megtalálhatók lesznek a személyes adataink, okmányaink és a gépjárművünk adatai. Ezek az adatok, okmányok hitelesítve tovább is küldhetőek az alkalmazással, így többé nem kell szkennelnünk őket

-- E-mail cím és jelszó megadása nélkül jelentkezhetünk be az állami weboldalakra és alkalmazásokba

-- Digitális aláírással hitelesíthetjük a szerződéseket és egyéb dokumentumokat

-- Digitális erkölcsi bizonyítványt igényelhetünk, amely igazolja büntetlen előéletünket

-- Valamint időpontot is foglalhatunk a kormányablakokba

A tervek szerint a Digitális Állampolgár alkalmazás a jövőben ennél jóval szélesebb funkcionalitással fog rendelkezni, 2025 második felétől például az állami weboldalak mellett már bankok, közműszolgáltatók és egyéb szolgáltatók weboldalaira is bejelentkezhetünk a segítségével, 2025 végére pedig teljesen kiválthatjuk vele a fizikai okmányainkat és a gépjárművünk adásvételi folyamatát is online végezhetjük az appal. 2026-tól bármilyen közigazgatási ügyet elintézhetünk majd az alkalmazásban, emellett elvileg fizethetünk is vele, bár ennek részleteit egyelőre nem pontosították.
https://raketa.hu/digitalis-allampolgar-alkalmazas-regisztracio
___

Az Európai Parlament és a Tanács hétfőn életbe lépett rendelete:
https://digital-strategy.ec.europa.eu/en/policies/eudi-regulation

Tájékoztató oldal a Digitális Állampolgárság Programról:
https://kormany.hu/hirek/tajekoztato-oldal-a-digitalis-allampolgarsag-programrol

A DMÜ oldalán található tájékoztató:
https://www.dmu.gov.hu/cikkek/nemzeti-digitalis-allampolgarsag-program

Android:
https://play.google.com/store/apps/details?id=hu.gov.dap.app

iOS:
https://apps.apple.com/hu/app/digit%C3%A1lis-%C3%A1llampolg%C3%A1r/id6471090161?uo=2

Válasz

Mégis jobb a személyes ügyintézés, mint az online közigazgatási szolgáltatás?

A France Services kezdeményezés célja, hogy a segítségre szoruló polgárok valódi emberekkel, a felmerülő kérdésekben valamekkora tudással rendelkező szakértőkkel kerüljenek kapcsolatba. Az ilyen „tanácsadók” által lefedett közszolgáltatások között megtalálni az egészségbiztosítás, a munkanélküli segély, a családtámogatás és az adók kérdését. Ezen segítők szerepe gyakran inkább a megnyugtatás és a felmerült aggodalmak enyhítése, mint a speciális szakmai információk nyújtása.

Bár az állam "arcát" képviselő dolgozók toborzása kihívást jelenthet, a France Services irodáinak kiépítése sikeres volt. A kormány túlteljesítette a 2050 iroda megnyitására vonatkozó célját, jelenleg közel 2700 ilyen ügyfélközpont működik országszerte, ahol az alapvető szolgáltatások mindenki számára 30 percen belül elérhetők.
https://www.portfolio.hu/gazdasag/20240508/megis-jobb-a-szemelyes-ugyintezes-mint-az-online-kozigazgatasi-szolgaltatas-684991

Válasz

2023. évi CIII. törvény
a digitális államról és a digitális szolgáltatások nyújtásának egyes szabályairól

10. Az elektronikus ügyintézés módja

20. § A felhasználó az elektronikus ügyintézéshez szükséges nyilatkozatokat, eljárási cselekményeket és egyéb kötelezettségeket

a) elsősorban a digitális állampolgárság keretalkalmazás útján,

b) az egységes, személyre szabott ügyintézési felületén, vagy

c) a digitális szolgáltatást biztosító szervezet által közzétett tájékoztatásban foglaltaknak megfelelő elektronikus úton

teljesíti.
https://njt.hu/jogszabaly/2023-103-00-00

___

Az Európai Parlament 2024. február 29-i jogalkotási állásfoglalása a 910/2014/EU rendeletnek az európai digitális személyazonossági keret létrehozása tekintetében történő módosításáról szóló európai parlamenti és tanácsi rendeletre irányuló javaslatról (COM(2021)0281 – C9-0200/2021 – 2021/0136(COD))
az eIDAS 2.0 (vagy eID) alapján (5a. cikk (3) bekezdés) a keretalkalmazásnak nyílt forráskódúnak kell lennie. Aki pedig nem akar, vagy nem tud csatlakozni, az marad a jó öreg személyes és papír alapú ügyintézésnél.
https://www.europarl.europa.eu/doceo/document/TA-9-2024-0117_HU.html

Válasz

A kapuőrnek minősített vállalatoknak a mai naptól kezdve eleget kell tenniük a digitális piacokról szóló jogszabályban foglalt összes kötelezettségnek

A Bizottság által 2023 szeptemberében kapuőrnek minősített hat vállalat – az Apple, az Alphabet, a Meta, az Amazon, a Microsoft és a ByteDance – a mai naptól kezdve köteles teljes mértékben eleget tenni a digitális piacokról szóló jogszabályban foglalt összes kötelezettségnek.

A digitális piacokról szóló jogszabály célja, hogy versengőbbé és tisztességesebbé tegye a digitális piacokat az EU-ban. Új szabályokat állapít meg 10 meghatározott alapvető platformszolgáltatásra – például a keresőmotorokra, az online piacterekre, az alkalmazás-áruházakra, az online hirdetésekre és az üzenetküldésre – vonatkozóan, és új jogokat biztosít az európai vállalkozások és végfelhasználók számára.
https://ec.europa.eu/commission/presscorner/detail/hu/IP_24_1342
___

De még az új szabályok kidolgozói szerint sem reális feltételezni, hogy az új törvények és rendeletek azonnal kiszorítanák az olyan domináns vállalatokat, mint a Google vagy az Apple. Andreas Schwab - az Európai Parlament DMA-ért felelős előadója - elmondta, hogy a remény az, hogy idővel a szabályok, ha szigorúan betartják őket, teret adnak az új belépőknek a megjelenéshez és a növekedéshez. "A fordulópontot akkor érjük el, ha nagyobb lesz a verseny, és nem csak néhány termék változik" - mondta Schwab, aki az elmúlt évben Brazíliába, Japánba, Dél-Koreába és Szingapúrba utazott, hogy bemutassa az Európai Unió új technológiára vonatkozó szabályait. "Lehet, hogy egy év múlva azt mondjuk, hogy fontosak voltak, de lehet, hogy egy év múlva azt mondjuk, hogy ez egy vicc, mert a változások nem jelentettek semmit."

Kevés törvény kényszerítette a technológiai cégeket annyi kiigazításra, mint a digitális piacokról szóló törvény. Az EU 2022-ben fogadta el, hogy megakadályozza, hogy a legnagyobb techcégek egymásra épülő szolgáltatásaikat és mély zsebeiket arra használják, hogy a felhasználókat bezárják saját ökoszisztémájukba és a riválisokat elnyomják. A törvény az online hirdetéstől kezdve az üzenetküldő alkalmazásokon át az alkalmazásfizetési módszerekig mindent érint. A jogsértők globális bevételeik akár 20 százalékának megfelelő büntetésre is számíthatnak. A technológiai vállalatok már több mint egy éve tárgyalnak a brüsszeli uniós szabályozókkal termékeik, szolgáltatásaik és üzleti tevékenységeik módosításáról, hogy megfeleljenek a törvénynek.
https://sg.hu/cikkek/it-tech/156837/eletbe-lepett-az-europai-unio-digitalis-piacokrol-szolo-jogszabalya

Válasz