eIDAS 2.0 i portfel tożsamości – co zmienia się dla firm

Czym jest eIDAS 2.0 i skąd się wzięło?

Oryginalne rozporządzenie eIDAS (nr 910/2014) weszło w życie ponad dekadę temu z głównym celem: umożliwienia wzajemnego uznawania elektronicznych tożsamości między państwami UE. W praktyce implementacja była nierówna – każdy kraj tworzył własne systemy, a integracja transgraniczna pozostawiała wiele do życzenia. Polak chcący skorzystać z usługi publicznej w Niemczech online trafiał na ścianę.

W 2024 roku weszło w życie rozporządzenie (UE) 2024/1183, powszechnie zwane eIDAS 2.0. Kluczowe zmiany obejmują:

• Wprowadzenie jednolitego Europejskiego Portfela Tożsamości Cyfrowej (EUDIW) – jednej aplikacji działającej w całej UE
• Rozszerzenie zakresu danych – od podstawowej tożsamości po kwalifikacje zawodowe, dokumenty medyczne i atrybuty firmowe
• Obowiązek udostępnienia portfela przez wszystkie państwa członkowskie w 2026 roku
• Nowe wymogi dla tzw. relying parties – podmiotów zobowiązanych do akceptowania portfela

eIDAS 2.0 to odpowiedź UE na rosnące zapotrzebowanie na bezpieczną, privacy-first identyfikację cyfrową, która działa jednakowo w Warszawie, Berlinie i Barcelonie – bez konieczności skanowania dokumentów i przesyłania ich e-mailem.

Europejski Portfel Tożsamości – jak działa w praktyce?

EUDIW (EU Digital Identity Wallet) to aplikacja mobilna, którą każdy obywatel UE może pobrać od swojego państwa. Portfel przechowuje poświadczone cyfrowo atrybuty tożsamości, a użytkownik sam decyduje, które z nich udostępnia konkretnemu podmiotowi – i wyłącznie na czas jednej transakcji.

Co może znaleźć się w portfelu:

• Dowód osobisty lub paszport w formie cyfrowej
• Prawo jazdy
• Kwalifikacje zawodowe i dyplomy uczelni
• Europejska Karta Ubezpieczenia Zdrowotnego (EKUZ)
• Atrybuty podatkowe i rejestrowe firmy (NIP, REGON, KRS)
• Recepty i wybrane dokumenty medyczne

Kluczową innowacją jest mechanizm selective disclosure – użytkownik może np. udowodnić, że ma ponad 18 lat, bez ujawniania dokładnej daty urodzenia ani żadnych innych danych. To przełom z perspektywy zgodności z RODO i zasady minimalizacji danych.

W Polsce naturalną bazą do implementacji EUDIW jest aplikacja mObywatel, która już dziś przechowuje cyfrowe dokumenty. Ministerstwo Cyfryzacji zapowiedziało jej dostosowanie do standardów unijnego portfela – polska wersja EUDIW ma bazować na tej sprawdzonej infrastrukturze.

Kto musi zaakceptować portfel cyfrowy – obowiązki firm

Nie każda firma musi natychmiast integrować EUDIW, ale zakres obowiązkowych relying parties jest szerszy, niż się wydaje. Rozporządzenie wskazuje następujące sektory zobowiązane do akceptacji portfela:

• Banki i instytucje finansowe – procesy KYC, AML i weryfikacji klientów przy zawieraniu umów
• Operatorzy telekomunikacyjni – weryfikacja tożsamości przy zawieraniu umów abonamentowych
• Administracja publiczna – usługi wymagające silnego uwierzytelnienia obywatela
• Duże platformy internetowe objęte rozporządzeniem DSA (powyżej 45 mln użytkowników w UE)
• Operatorzy transportowi – linie lotnicze, operatorzy kolejowi przy sprzedaży biletów
• Podmioty ochrony zdrowia – zarówno publiczne, jak i prywatne

Dla większości polskich małych i średnich firm bezpośredni, ustawowy obowiązek nie istnieje. Jednak dostawcy oprogramowania dla sektora finansowego, firmy e-commerce obsługujące produkty z ograniczeniami wiekowymi, biura rachunkowe objęte AML oraz pracodawcy weryfikujący kwalifikacje kandydatów – wszyscy oni będą mogli, a w wielu przypadkach wręcz będą chcieli, korzystać z EUDIW jako wygodnej i prawnie uznanej metody weryfikacji tożsamości.

Co eIDAS 2.0 realnie zmienia dla polskich MŚP?

Choć główne zmiany dotyczą dużych podmiotów, małe i średnie firmy odczują skutki pośrednio – i wcześniej, niż sądzą. Oto praktyczne obszary, w których eIDAS 2.0 wpłynie na codzienne IT i procesy MŚP:

Rekrutacja i onboarding pracowników
Weryfikacja dyplomów i certyfikatów zawodowych przy zatrudnianiu zdalnym staje się prosta – kandydat okazuje poświadczony atrybut z portfela w kilka sekund. Koniec ze skanowaniem dokumentów i ręczną weryfikacją ich autentyczności przez HR.

Obsługa klientów wymagających weryfikacji tożsamości
Sprzedaż produktów z ograniczeniami wiekowymi, usługi finansowe, najem pojazdów – EUDIW umożliwi legalną, RODO-zgodną weryfikację bez konieczności przechowywania kopii dokumentów tożsamości w firmowych bazach danych.

Uwierzytelnianie w usługach B2B
W perspektywie kilku lat EUDIW może zastąpić loginy i hasła w usługach B2B – silna tożsamość cyfrowa poświadczona przez państwo eliminuje ryzyko przejęcia kont firmowych przez ataki phishingowe.

Procedury AML i KYC dla branż objętych przepisami
Biura rachunkowe, pośrednicy finansowi i doradcy inwestycyjni zobowiązani do weryfikacji klientów w ramach AML zyskają nowe, standaryzowane i automatyzowalne narzędzie – zamiast ręcznych procedur dokumentacyjnych.

Wymagania wobec dostawców oprogramowania
Firmy rozwijające aplikacje dla klientów z sektora finansowego, telekomunikacyjnego czy medycznego będą musiały implementować interfejsy zgodne z EUDIW – to nowe wymaganie w specyfikacjach przetargowych i umowach SLA.

Jak przygotować firmę na erę cyfrowej tożsamości?

eIDAS 2.0 to nie zagrożenie, lecz szansa na uproszczenie wielu kosztownych i czasochłonnych procesów. Aby nie zostać w tyle, warto działać już teraz – zanim portfele cyfrowe staną się standardem rynkowym:

1. Obserwuj harmonogram wdrożenia w Polsce – Ministerstwo Cyfryzacji i CERT Polska publikują aktualizacje dotyczące integracji mObywatel z EUDIW. Śledź oficjalne komunikaty, aby nie przegapić terminów.
2. Zidentyfikuj procesy wymagające weryfikacji tożsamości – sprawdź, gdzie w firmie weryfikujesz tożsamość klientów, kontrahentów lub pracowników. To te miejsca skorzystają na integracji z EUDIW jako pierwsze.
3. Zaktualizuj polityki prywatności i procedury – EUDIW zmienia sposób przetwarzania danych osobowych przy weryfikacji. Twoje polityki powinny odzwierciedlać zasadę minimalizacji danych i selective disclosure.
4. Oceń systemy IT pod kątem gotowości integracji – jeśli prowadzisz e-commerce lub platformę SaaS, sprawdź, czy rozwiązanie będzie obsługiwać API portfela. Wiele nowoczesnych platform będzie to oferować jako funkcję standardową.
5. Przeszkol kluczowe zespoły – pracownicy HR, sprzedaży i helpdesk IT powinni rozumieć podstawy EUDIW, aby obsługiwać klientów i kandydatów korzystających z portfela sprawnie i bez tarć.
6. Skonsultuj się z dostawcą IT – pełna ocena gotowości infrastruktury, systemów i procesów to zadanie dla specjalistów, którzy znają zarówno regulacje, jak i Twój konkretny stos technologiczny.

Firmy, które wdrożą obsługę EUDIW wcześnie, zyskają przewagę konkurencyjną – szczególnie w branżach, gdzie szybki, bezpieczny i bezszelestny onboarding klientów lub partnerów jest kluczowym wyróżnikiem.