Od początku lutego głośno jest w Polsce o problemie handlu i obrotu fałszywymi mDowodami, czyli cyfrowymi dowodami tożsamości. 7 lutego pomorska policja poinformowała, że 16-latka, pokazując mDowód z nieprawdziwymi danymi, kupiła sobie i nieletnim kolegom alkohol. Wpadła na pomysł obejścia weryfikacji wieku i posłużyła się przerobioną grafiką na wzór dokumentu tożsamości z aplikacji mObywatel. Teraz z kolegami odpowie przed sądem rodzinnym.
Serwis Demagog.pl napisał, że oferty fałszywych mDowodów najczęściej w mediach społecznościowych na zamkniętych grupach. "Konta o nazwach nawiązujących do oficjalnej nazwy aplikacji zachęcają, by wysyłać w tej sprawie wiadomości prywatne lub dołączyć do wskazanych kanałów (najpopularniejszy, który znaleźliśmy, miał ponad 6,5 tys. członków). Link do strony internetowej z fałszywym mDowodem kosztuje 20 zł" - czytamy.
Fałszywe mDowody a wybory prezydenckie. Resort reaguje
Taki mDowód może posłużyć też do wylegitymowania się przed oddaniem głosu w wyborach. Według informacji, jakie można znaleźć na stronach rządowych, mDowód ma w telefonach w Polsce ponad 8 milionów osób. Wielu z nich pójdzie w maju do wyborów prezydenckich, a część przed oddaniem głosu wylegitymuje się cyfrowym dokumentem.
Ministerstwo Cyfryzacji w odpowiedzi na pytania money.pl zapewnia, że przeprowadzało i planuje kolejne kampanie informacyjne, które wyjaśnią zasady i korzyści płynące z weryfikacji mDowodu oraz rekomendacje dotyczące własnie jego weryfikacji.
Dalsza część artykułu pod materiałem wideo
W ramach działań pojawiają się artykuły informacyjne na stronie info.mobywatel.gov.pl, posty w mediach społecznościowych ministerstwa oraz Centralnego Ośrodka Informatyki, a także filmy instruktażowe, ulotki, informatory i komunikaty prasowe - informuje w odpowiedzi na pytania money.pl Klaudia Szumielewicz z biura komunikacji Ministerstwa Cyfryzacji.
I zaznacza, że zespół Centralnego Ośrodka Informatyki "regularnie sprawdza strony internetowe w poszukiwaniu ofert sprzedaży takich dokumentów". - Jeśli podejrzewa, że ktoś działa niezgodnie z prawem, zgłasza to odpowiednim służbom - dodaje Szumielewicz.
Weryfikacja mDowodu. Eksperci: tylko jedna metoda jest pewna
Za wydawanie fałszywych dokumentów i używanie ich następnie jako prawdziwych grozi od trzech miesięcy do pięciu lat więzienia. Eksperci z serwisu Niebezpiecznik.pl podkreślają, że nie ma innej prawidłowej metody sprawdzania mDowodów, niż przez zeskanowanie kodu QR.
Ciężko w ogóle mówić o "weryfikacji na oko", bo nawet widok ruszającej się flagi czy zmieniającego się koloru hologramu nie oznacza, że pokazywany dokument jest prawdziwy. Fałszywe mDowody posiadają te atrybuty. Dlatego jedyna poprawna forma weryfikacji to weryfikacja przez zeskanowanie kodu QR - mówi money.pl Łukasz Grzmot, audytor ds. bezpieczeństwa w Niebezpiecznik.pl.
Resort podkreśla, że autentyczność mDowodu można potwierdzać na kilka sposobów, ale najbezpieczniejszą jest rzeczywiście metoda kryptograficzna z kodem QR. "W przypadku weryfikacji mDowodu metodą wizualną powinna ona obejmować 7 punktów kontroli: czas z aktualną datą i godziną, zdjęcie, które pobierane jest z rejestru dowodów osobistych, flaga biało-czerwona, hologram w kształcie godła, ornamentowy wzór (gilosz), status dokumentu (który powinien być aktualny) oraz data ostatniej aktualizacji — wyjaśnia przedstawicielka resortu cyfryzacji.
I dodaje, że dodatkowo do kontroli jest tak zwana forma funkcjonalna, czyli "sprawdzenie, czy prezentowany mDowód nie jest wydrukiem lub PDF-em". "W tym celu weryfikujący powinien poprosić o pokazanie innych funkcji aplikacji. Jeśli działają, potwierdzi to, że ma do czynienia z faktyczną aplikacją, a nie tylko jej zapisanym obrazem" - wyjaśnia Klaudia Szumielewicz z MC.
Za pomocą kodu QR autentyczność mDowodu może sprawdzić m.in. policja. Aplikacja mObywatel daje możliwość "Potwierdź swoje dane", aby po zeskanowaniu kodu QR z urządzenia mobilnego np. funkcjonariusza, potwierdzić autentyczność cyfrowego dokumentu.
Nie tak łatwo o fałszerstwo wyborcze z mDowodem
Czy takie sposoby wystarczą, by oddać głos w wyborach? Zdaniem eksperta Niebezpiecznik.pl trudno ocenić skalę zagrożenia w kontekście oddawania głosów w wyborach na podstawie fałszywych danych.
- Głosowanie jest dość specyficzną czynnością, oszuści musieliby nie tylko podrobić mDowody (co jest trywialne), ale przede wszystkim wiedzieć pod kogo się podszyć (kto jest na listach wyborczych w danym lokalu), a dodatkowo oddać głos przed tą osobą i dla sensownego efektu odwiedzić wiele różnych komisji. O ile koszt generowania fałszywego mDowodu jest pomijalny, to aby wpłynąć na wybory, ktoś musiałby ponieść koszty dotyczące pozostałych kwestii — podkreśla Łukasz Grzmot z Niebezpiecznik.pl.
Animacja flagi i hologram dają złudne bezpieczeństwo
Podkreślmy, że rząd mógłby — po uznaniu sytuacji za niebezpieczną — ograniczyć w wybranych przypadkach stosowanie mObywatela do stwierdzenia tożsamości lub obywatelstwa polskiego" (art. 7 par. 6 ustawy o aplikacji mObywatel), np. w głosowaniach w wyborach. Łukasz Grzmot uważa, że nie ma to sensu.
- Wprost przeciwnie. Rząd powinien wykonać dwa działania: Po pierwsze powinien uświadomić obywateli jak poprawnie weryfikować mDowód, bo mało kto wie, jak to zrobić, a weryfikacja mDowodu poprzez kod QR daje jednoznaczną informację, czy dokument zawiera prawdziwe dane. Po drugie, rząd powinien usunąć z mDowodu animacje flagi i hologramu, bo większość osób mylnie zakłada, że jeśli flaga się rusza, a hologram zmienia kolor, to zaprezentowany im dokument jest prawdziwy, a to nie jest prawda. Obecność tych animacji daje fałszywe poczucie bezpieczeństwa. Zamiast nich na dowodzie powinien pojawiać się napis 'zweryfikuj ten dokument kodem QR, tylko wtedy masz pewność, że jest prawdziwy' - podsumowuje ekspert.
PKW czeka na zalecenia ministerstwa
O sprawę zapytaliśmy też Państwową Komisję Wyborczą, odpowiadającą za przebieg całego procesu głosowania. Chcieliśmy dowiedzieć się m.in. czy członkowie komisji przejdą w sprawie weryfikacji mDowodów specjalne szkolenia. Rzecznik prasowy Krajowego Biura Wyborczego Marcin Chmielnicki powiedział nam, że PKW "traktuje problem poważnie", niemniej komisja oczekuje na odpowiedź Ministerstwa Cyfryzacji w tej sprawie.
Całym systemem zarządza ministerstwo. Dopóki nie uzyskamy odpowiedzi, nie możemy przejść do działań. Oby nastąpiło to jak najszybciej - powiedział nam 12 lutego rzecznik KBW.
NASK: Tylko jedna bezpieczna metoda weryfikacji mDowodu
O sprawę zapytaliśmy też Naukową i Akademicką Sieć Badawczą (NASK). Instytut potwierdza, że zespół CERT analizuje przypadki z fałszywymi aplikacjami podrabiającymi mObywatela.
Żeby chronić się przed negatywnymi skutkami takich sytuacji rekomendujemy weryfikację mDowodów wyłącznie za pomocą metody kryptograficznej, za pośrednictwem skanowania kodu QR w aplikacji mObywatel lub na stronie internetowej weryfikator.mobywatel.gov.pl i nie poleganie wyłącznie na weryfikacji wizualnej ani funkcjonalnej widoku z mDowodem na czyimś urządzeniu - mówi nam Klaudia Dobińska, z biura prasowego NASK.
Samo egzekwowanie prawa — jak zaznacza NASK — pozostaje jednak w gestii służb. I przypomina, że do pięciu lat więzienia grozi nie tylko za używanie fałszywych dokumentów, ale też za stworzenie programu do fałszowania dokumentów. "Innym sposobem byłoby usunięcie z przepisów możliwości weryfikacji w aplikacji mObywatel za pomocą metody wizualnej i funkcjonalnej i wymóg (jedynie tej — red.) kryptograficznej" - przekazuje NASK.
Co do samych wyborów, zapytaliśmy o to, czy należy — w związku z jedyną pewną opcją weryfikacji danych — wyposażyć pracowników komisji wyborczych w urządzenia z QR kodem. NASK potwierdza, że "byłoby to rozwiązanie zapewniające odpowiedni poziom pewności w weryfikacji przedstawianego mDowodu". Sama decyzyjność w tej sprawie pozostaje jednak po stronie rządu, a konkretnie Ministerstwa Cyfryzacji.
Bartłomiej Chudy, dziennikarz i wydawca money.pl
