Europska unija želi do kraja 2026. svim građanima ponuditi Digital Identity Wallet – aplikaciju kojom bi se moglo potvrditi identitet, otvoriti bankovni račun, potpisati ugovor ili putovati bez fizičkih dokumenata. Bruxelles jamči „punu kontrolu nad osobnim podacima, uz sigurnost i privatnost u središtu projekta”.
Međutim, kriptografi tvrde da trenutačni tehnički dizajn nosi ozbiljne rizike masovnog praćenja i arbitrarnog ukidanja identiteta.
„Phone home” i „kill switch”
Najsporniji su mehanizmi koje stručnjaci nazivaju phone home i kill switch. Prvi podrazumijeva da digitalna iskaznica svaki put pri upotrebi automatski šalje podatke izdavatelju. Profesorica kriptografije s Potsdamskog sveučilišta Anja Lehmann objašnjava: „wallet može povezati korisnikove transakcije s njegovim identitetom jer pri svakom skeniranju komunicira s poslužiteljem izdavatelja”.
Drugi problem je mogućnost da državna agencija jednim potezom deaktivira tu iskaznicu. Manu Sporny, direktor tvrtke Digital Bazaar, upozorava: „Ako imate vjerodajnicu koju izdaje država i nemate izbora osim da je pohranite u državni digitalni novčanik, to je vrlo loš ishod”. Sličan je scenarij, podsjeća, već viđen u Kanadi 2022., kada su banke po nalogu vlade blokirale račune prosvjednika bez sudske odluke.
Zakonske ambicije, tehničke rupe
Regulativa eIDAS formalno propisuje nepovezivost i pseudonimnost, no ne određuje tehnologiju kojom se to postiže. Stručnjaci ističu da trenutačni pilot EU-a zanemaruje moderne alate poput zero-knowledge proofs – metode kojom bi se, primjerice, mogla potvrditi punoljetnost bez otkrivanja drugih podataka.
Jedan od najučinkovitijih pristupa bio bi BBS potpis, koji omogućuje selektivno otkrivanje informacija. No ta metoda se zasad ne smije primjenjivati, jer još nije na službenom popisu odobrenih kriptografskih tehnologija EU-a.
Druga opcija su jednokratne, tokenizirane vjerodajnice, po uzoru na američki sustav TruAge, ali bi njihovo uvođenje zahtijevalo skupu infrastrukturu sličnu kartičarskim mrežama.
Što dalje?
Europska komisija tvrdi da „neće biti praćenja ni profiliranja” te da podaci „ostaju lokalno pohranjeni u aplikaciji”. Kriptografska zajednica odgovara da, dokle god novčanik mora „zvati” poslužitelj izdavatelja radi provjere, ugrađeni su i phone home i kill switch – pitanje je samo tko će ih aktivirati.
Lehmann zaključuje: „Problem nije u ideji digitalnog identiteta, nego u načinu na koji se razumije odnos privatnosti i sigurnosti. Te dvije stvari nisu suprotstavljene, one moraju koegzistirati”.
Stručnjaci zato traže hitno ažuriranje tehničkih standarda, uključivanje otvorenih rješenja i više pružatelja usluge, kako bi EU-ova digitalna lisnica zaista bila alat slobode, a ne kontrole.