Pelkkä digilompakko ei riitä digitaalisen henkilöllisyyden käyttöön Euroopassa

Pitkään keskustelu digitaalisesta identiteetistä liittyi ennen kaikkea sääntelyyn, standardeihin ja viranomaistyöhön.

Nyt siitä on kuitenkin tulossa osa miljoonien arkea.

Monessa Euroopan maassa valmistellaan parhaillaan digitaalisten todistusten käyttöönottoa osaksi arjen asiointia. Keskeisin hanke on Euroopan komission EUDI-digilompakko. Sen avulla henkilöllisyystodistukset, tutkintotodistukset ja erilaiset lupakirjat voidaan tallentaa puhelimeen digitaalisessa muodossa ja näyttää tarvittaessa esimerkiksi viranomaiselle, ravintoloitsijalle tai myymälän työntekijälle.

Pelkkä digilompakon olemassaolo ei riitä

Digilompakko ei kuitenkaan yksin ratkaise mitään. Digitaalisista todistuksista on hyötyä vasta silloin, kun organisaatiot hyväksyvät ne osaksi omia palvelujaan. Jos vain harva palvelu pystyy tai haluaa hyväksyä digitaalisia todistuksia, digilompakko jää käytännössä vain turvalliseksi säilytyspaikaksi.

Moni käyttöönoton hidaste liittyy juuri tähän. Organisaatiot voivat epäröidä digitaalisten todistusten laajempaa hyödyntämistä, jos hyödyt ovat epäselviä, riskit askarruttavat tai ratkaisu on niille vielä uusi. Pelkkä toimiva teknologia ei riitä, jos palvelut eivät tunnista tai hyväksy todistuksia.

Todellinen haaste onkin luottamuksen rakentaminen. Tarvitaan yhteisiä pelisääntöjä, suojamekanismeja ja riittäviä takeita siitä, että pankit, työnantajat ja viranomaiset voivat luottaa digilompakossa säilytettäviin todistuksiin.

Luottamuksen infrastruktuuri ja luottamusverkostot

Luottamuksen infrastruktuurilla tarkoitetaan hallintamalleja, standardeja ja sertifiointikäytäntöjä, jotka mahdollistavat digilompakon käyttöönoton. Toinen tärkeä käsite on luottamus- tai hyväksyntäverkosto, jolla viitataan niihin myöntäjiin ja tarkistajiin, jotka pitävät huolen yhteisten sääntöjen määrittelystä ja valvonnasta.

Käytännössä tämä tarkoittaa esimerkiksi sitä, että:

• määritellään, kenellä on oikeus myöntää digitaalisia todistuksia
• ylläpidetään rekistereitä luotettavista myöntäjistä
• sertifioidaan digilompakoita ja todistusten myöntäjiä
• sovitaan yhteisistä teknisistä standardeista, jotta todistukset toimivat myös yli kansallisten rajojen

Ilman yhteisiä pelisääntöjä ja rakenteita organisaatioiden on vaikea ottaa digitaalisia todistuksia käyttöön omissa palveluissaan.

Esimerkkejä luottamusverkostoista

Luottamus- ja hyväksyntäverkostojen ajatus ei ole uusi. Yksi selkeimmistä esimerkeistä on luottokortti.
Pelkkä muovikortti ei vielä itsessään merkitse mitään. Sen käyttökelpoisuus syntyy taustalla olevasta järjestelmästä: kortteja myöntävistä pankeista, maksujen välittäjistä ja kauppiaista, jotka hyväksyvät kortit maksuvälineenä. Kokonaisuutta pitävät yhdessä yhteiset säännöt, vastuut ja tekniset standardit. Juuri tämä verkosto — ei kortti itsessään — tekee Visasta tai Mastercardista käyttökelpoisen ympäri maailmaa.

Sama periaate näkyy myös Pohjoismaiden sähköisen tunnistamisen ratkaisuissa. Suomessa vastaavaa perustaa on ollut rakentamassa Suomen luottamusverkosto FTN, ja muissa Pohjoismaissa saman aseman ovat saavuttaneet Tanskan MitID, Ruotsin BankID ja Norjan BankID. Ne ovat nykyisin olennainen osa pankkipalveluja, viranomaisasiointia ja muuta arjen verkkoasiointia.

Sähköiset tunnisteet ovat vakiintuneet osaksi ihmisten arkea, koska pankit, palveluntarjoajat ja viranomaiset ovat sitoutuneet yhteisiin toimintamalleihin, joihin kaikki voivat luottaa.

EUDI-digilompakon pilottihankkeissa edetään samalla periaatteella. Niissä ei testata vain digilompakkosovelluksia, vaan myös hallintamalleja, luottamusrekistereitä ja sertifiointiprosesseja. Kaikkia näitä tarvitaan, jotta kansallisista hankkeista voidaan rakentaa koko Euroopan kattava luottamusverkosto.

Katse eteenpäin

EUDI-digilompakko on kunnianhimoinen hanke — ja syystäkin.

Sen onnistumista ei kuitenkaan ratkaise se, kuinka monta digilompakkoa otetaan käyttöön. Ratkaisevaa on se, kuinka vahva ja luotettava niiden taustalla oleva infrastruktuuri on ja kuinka valmiita organisaatiot ovat liittymään mukaan luottamusverkostoon.

Digilompakko voi olla digitaalisen identiteetin näkyvin symboli, mutta todellinen käyttöönotto rakentuu sopimusten, rakenteiden ja yhteisten toimintamallien varaan. Ne luovat perustan sille, että kaikki osapuolet voivat luottaa digilompakon sisältämiin todistuksiin ja lupakirjoihin.