Portfel cyfrowy EUDI: wymagania techniczne i regulacje UE

Cyfrowe portfele (e-wallety) są dziś jednym z najważniejszych narzędzi w cyfrowym świecie. Wraz z projektem EUDI Wallet (European Digital Identity Wallet) Unia Europejska tworzy jednolity standard dla cyfrowej tożsamości obywateli. Nowy portfel pozwoli na bezpieczne logowanie do usług publicznych i komercyjnych, podpisywanie dokumentów czy udostępnianie danych – wszystko w pełnej zgodzie z zasadami prywatności oraz z kontrolą użytkownika nad zakresem ujawnianych informacji (tzw. selektywne ujawnianie). W tym artykule przedstawiamy pełen obraz techniczny i regulacyjny EUDI Wallet – od architektury i standardów po przyszłość wdrożeń w UE.

1. Ramy regulacyjne: eIDAS → EUDI Wallet

eIDAS 2.0 – fundament prawny cyfrowej tożsamości – to Rozporządzenie (UE) 2024/1183, które rozszerza ramy pierwotnej regulacji z 2014 roku i wprowadza obowiązek stworzenia przez każde państwo członkowskie co najmniej jednego portfela cyfrowej tożsamości – EUDI Wallet.
To rozporządzenie buduje spójne przepisy, które zapewnią obywatelom dostęp do usług w całej Unii Europejskiej przy użyciu jednego, bezpiecznego narzędzia.

Nowe akty wykonawcze – w szczególności 2024/2977 (dot. PID/EAA i formatów), 2024/2980 (notyfikacje, rejestry, listy zaufania) oraz 2024/2982 (interfejsy i protokoły) – precyzują techniczne wymagania wobec walletów: sposób certyfikacji, format danych identyfikacyjnych (PID), zasady przechowywania i wymiany poświadczeń (EAA) oraz poziomy bezpieczeństwa. Wdrożenie EUDI Wallet jest więc nie tylko inicjatywą technologiczną, ale i obowiązkiem prawnym, który ma wzmocnić europejską suwerenność cyfrową.

2. Architektura referencyjna (ARF) — komponenty i role

Architecture and Reference Framework (ARF) stanowi centralny punkt techniczny projektu EUDI. Zawiera wytyczne dotyczące struktury, interfejsów, standardów bezpieczeństwa i interoperacyjności, które muszą spełniać wszystkie krajowe implementacje portfeli.

Główne role w systemie

• Użytkownik (Wallet Holder) – osoba lub podmiot, który korzysta z portfela i kontroluje swoje dane.
• Dostawca (Wallet Provider) – organizacja (zwykle pod nadzorem państwa), która udostępnia i utrzymuje aplikację walleta oraz uzyskuje certyfikację na poziomie „High”.
• Dostawca PID (PID Provider) – instytucja wydająca dane identyfikacyjne, np. organ administracji publicznej, według wymogów aktu 2024/2977.
• Dostawca EAA / QEAA (EAA / QEAA Provider) – dostawca poświadczeń atrybutów, w tym kwalifikowanych usług zaufania (QEAA).
• Relying Party – usługa lub firma, która polega na danych w portfelu cyfrowym (np. bank, uczelnia, platforma cyfrowa) i integruje się poprzez standardy OpenID4VP.

Każdy z tych podmiotów komunikuje się w oparciu o zdefiniowane protokoły i poziomy zaufania, dzięki czemu cały system działa spójnie w skali europejskiej.

Struktura i zabezpieczenia portfela

• WSCD (Wallet Secure Cryptographic Device) – sprzętowy element przechowujący klucze prywatne, odporny na manipulacje.
• WSCA (Wallet Secure Cryptographic Application) – aplikacja wykonująca operacje kryptograficzne, podpisy, uwierzytelnienia.
• Wallet Unit Attestation – mechanizm, który potwierdza autentyczność konkretnej instancji walleta i jego integralność, co wspiera wymogi certyfikacyjne na poziomie „High”.

3. Dane i poświadczenia: PID oraz EAA

W sercu każdego EUDI Walleta znajdują się dwa typy danych: dane identyfikacyjne osoby PID (Person Identification Data) i EAA (Electronic Attestations of Attributes) – elektroniczne poświadczenia atrybutów.

Person Identification Data (PID)

PID to zestaw podstawowych danych identyfikacyjnych, takich jak imię, nazwisko, data urodzenia, obywatelstwo czy numer identyfikacyjny. Dane te są wydawane przez autoryzowany organ po weryfikacji na najwyższym poziomie zaufania, a ich format został szczegółowo opisany w załącznikach do Rozporządzenia Wykonawczego 2024/2977 i musi być interoperacyjny w całej Unii.

Electronic Attestations of Attributes (EAA)

EAA to cyfrowe zaświadczenia potwierdzające określone cechy użytkownika, np. uprawnienia zawodowe, dyplomy, prawo jazdy czy status studenta. Mogą one być wydawane przez różne organizacje, zarówno publiczne, jak i prywatne, pod warunkiem zgodności ze standardami ARF i formatami W3C Verifiable Credentials 2.0.
EAA wystawiane przez kwalifikowanego dostawcę usług zaufania (QTSP) mają status QEAA – kwalifikowanego poświadczenia równoważnego dokumentom urzędowym.

4. Standardy komunikacyjne i protokoły

Kluczowym elementem interoperacyjności w EUDI Wallet są wspólne standardy komunikacji. Najważniejszym z nich jest rodzina OpenID for Verifiable Credentials – OIDC4VCI (definiuje wydawanie credentiali do portfela) oraz OIDC4VP (opisuje ich prezentację do usługi – relying party). Dzięki oparciu na fundamentach OpenID Connect, portfel łatwo integruje się z istniejącymi systemami uwierzytelniania.

ISO/IEC 18013-5 – komunikacja offline

Standard ISO/IEC 18013-5 umożliwia prezentowanie credentiali w trybie offline (mDL), np. podczas kontroli drogowej. Dane są przekazywane przez NFC, Bluetooth lub kody QR, co pozwala potwierdzić tożsamość bez połączenia z internetem. Dla zdalnej weryfikacji uzupełnia go ISO/IEC 18013-7.

5. Bezpieczeństwo i prywatność

Bezpieczeństwo i ochrona danych są podstawą projektu EUDI Wallet. Każdy komponent – od aplikacji po urządzenie – musi spełniać rygorystyczne wymogi certyfikacyjne i pozostawać w zgodzie z ogólnymi regulacjami cyberbezpieczeństwa i ochrony danych w UE. Projekt opiera się na zasadzie privacy-by-design, czyli ochrony prywatności już na etapie projektowania architektury. W praktyce oznacza to zastosowanie mechanizmów opisanych w eIDAS i aktach wykonawczych, przy jednoczesnym respektowaniu horyzontalnych wymogów takich jak NIS2, DORA, PSD2, Data Act, AI Act i Cyber Resilience Act (CRA).

• Selektywne ujawnianie (Selective disclosure) – użytkownik ujawnia tylko te dane, które są niezbędne (np. potwierdzenie pełnoletności bez daty urodzenia), co wspiera model W3C VC 2.0.
• Pseudonimizacja – każdy usługodawca widzi inny identyfikator użytkownika, co ogranicza możliwość śledzenia aktywności w wielu serwisach.
• WSCD i WSCA – bezpieczne środowiska do przechowywania kluczy i wykonywania podpisów.
• Wallet Unit Attestation – zapewnia, że wallet nie został naruszony ani zmodyfikowany; stanowi podstawę egzekwowania zgodności na poziomie „High”.

6. Interoperacyjność i obowiązki akceptacji

EUDI Wallet ma być w pełni interoperacyjny w całej Unii Europejskiej. Usługi publiczne i największe platformy cyfrowe (VLOPs) będą zobowiązane do akceptacji portfela natychmiast po jego wdrożeniu, a sektor prywatny – w określonych ramach czasowych do 2027 roku. Interoperacyjność obejmuje zarówno wspólne formaty danych (PID, EAA), jak i jednolite protokoły wymiany (OpenID4VC), co oznacza, że obywatel Niemiec będzie mógł bez problemu korzystać z usług we Francji czy w Polsce, używając tego samego portfela.

7. Wdrożenie i wyzwania techniczne

Wdrożenie EUDI Wallet to złożony proces, który wymaga ścisłej współpracy między rządami, dostawcami technologii i sektorem prywatnym. Choć architektura jest jednolita, każde państwo członkowskie musi dostosować rozwiązania do własnych uwarunkowań technicznych i prawnych.

Model przechowywania danych

• Lokalny – wszystkie dane są zapisane na urządzeniu użytkownika; gwarantuje większą prywatność, ale komplikuje proces odzyskiwania danych.
• Hybrydowy – część danych jest przechowywana zdalnie w bezpiecznej infrastrukturze; wygodniejszy, lecz wymaga dodatkowych zabezpieczeń i ścisłej zgodności z zasadami minimalizacji danych.

Skalowalność i wydajność

• Systemy muszą obsługiwać miliony transakcji i zapytań w czasie zbliżonym do rzeczywistego (rozproszone architektury, buforowanie, wysokie SLA, odporność na awarie).

Zgodność regulacyjna

• Dostawcy portfeli i usług muszą spełniać wymogi RODO i NIS2, wdrożyć procedury raportowania incydentów, audytu i zarządzania ryzykiem, a także przejść wymagane oceny zgodności (w tym dla komponentów kryptograficznych i urządzeń).
• Komisja Europejska przewiduje programy certyfikacji i testów interoperacyjności, które mają zapobiec fragmentacji rynku i różnicom w poziomie bezpieczeństwa pomiędzy krajami; reżimy notyfikacji i list zaufania określono m.in. w Rozporządzeniu 2024/2980.

8. Przyszłość EUDI Wallet

EUDI Wallet to dopiero początek drogi w kierunku pełnej cyfrowej tożsamości w Europie. W kolejnych latach rozwój projektu będzie przebiegał w kilku równoległych kierunkach.

• Rozszerzenie interoperacyjności poza UE – dzięki otwartym standardom (OpenID4VCI, OpenID4VP, W3C VC) EUDI może stać się wzorem ponad granicami.
• Zero-knowledge proofs (ZKP) – potwierdzanie faktów bez ujawniania pełnych danych (np. posiadania uprawnienia bez ujawniania numeru dokumentu).
• Integracja z nowymi platformami – przeglądarki, systemy operacyjne, mobilne API dla credentiali.
• Adaptacja społeczna i UX – prostota podobna do „logowania jednym kliknięciem”, pełna kontrola użytkownika nad danymi i przejrzystość logów.

9. Wnioski

EUDI Wallet to nie tylko kolejny krok w cyfryzacji, ale strategiczna inwestycja w zaufanie, prywatność i bezpieczeństwo obywateli Europy. Łączy prawo (eIDAS 2.0), technologię (ARF, OpenID4VCI/OpenID4VP, W3C VC, ISO/IEC 18013-5) i praktyczne zastosowania, tworząc jednolity ekosystem, który zdefiniuje przyszłość tożsamości cyfrowej w UE.

Dzięki niemu Europejczycy zyskają realną kontrolę nad swoimi danymi, a organizacje – nowe możliwości bezpiecznej weryfikacji klientów.

Nasi eksperci w IDENTT pomogą Ci przygotować się do wdrożenia bezpiecznej i nowoczesnej tożsamości cyfrowej. Jako jedyni w Polsce uzyskaliśmy pełny dostęp do usług mObywatela i możemy integrować je z systemami naszych klientów.
Skontaktuj się z nami, aby dowiedzieć się więcej.