Szakértői támogatással fényt derítettünk arra a kérdésre, amely milliókat érint a magyar társadalomban.

Lapunk számára Kósa Ferenc, a Magyar Elektronikus Aláírás Szövetség Egyesület (MELASZ) elnöke és a Károli Gáspár Református Egyetem megbízott oktatója, világos magyarázatokat adott az Ügyfélkapu+ és a Digitális Állampolgár alkalmazás használatával kapcsolatos kérdésekről.

Szombati írásunkban az olvasóink visszajelzései és egy adószakértő szakmai állásfoglalása alapján vizsgáltuk meg az Ügyfélkapu+ és a Digitális Állampolgár alkalmazás használatával kapcsolatos lehetséges problémákat, különös figyelmet fordítva a regisztrációs és az azonosítási folyamatokra.

Cikkünkre válaszul Kósa Ferenc határozottan kijelentette:

Az Ügyfélkapu+ egy továbbfejlesztett bejelentkezési megoldás, amely emelt szintű kétfaktoros azonosítást kínál. Ez a rendszer nem csupán egy új módszer az ügyfélazonosításra, hanem a meglévő Ügyfélkapu rendszer biztonságának fokozását célozza meg.

A szakértő kifejtette, "figyelemmel arra, hogy az Ügyfélkapu regisztrációra 2016. január 1. napját megelőzően kizárólag okmányirodai személyes jelenléttel történő regisztráció során, azt követően pedig vagy kormányablaki személyes jelenléttel történő regisztrációval, vagy a 2016. január 1. napját követően kiállított személyazonosító igazolvány (úgynevezett "eSzemélyi") személyes jelenléttel a kormányablakban történt igénylésekor kapott zöld szélű borítékban személyesen átvett plasztik kártyán található regisztrációs kóddal lehetséges, így a személyazonosítás az Ügyfélkapu regisztráció során teljes mértékben és megbízhatóan biztosított".

A MELASZ elnöke arra is felhívta a figyelmet, hogy a kizárólag felhasználónév és jelszó által történő - egyfaktoros - bejelentkezés már nem kellően biztonságos, tekintettel arra, hogy az egy részről könnyen megfigyelhető akár kamerafelvétellel, akár úgynevezett keylogger - a billentyűleütéseket naplózó számítógépes programmal, vagy hardver - eszközzel, másrészről óvatlanul lementhető a böngésző alkalmazás tárolójába, ezért azt szükséges kivezetni és biztonságosabbá tenni.

Miután az emberek többségében az a képzet él, hogy az Ügyfélkapu kizárólag az adóbevallás benyújtására szolgál, Kósa Ferenc szerint sajnos az a tapasztalat, "hogy az Ügyfélkapu azonosítóikat kiadják a könyvelők részére, ami teljességgel rossz gyakorlat. A személyazonosító adatok egy személy azonosítására szolgálnak, és nem máséra - így például nem az adott személy könyvelőjének azonosítására".

Kósa Ferenc felhívta a figyelmet arra, hogy az Ügyfélkapu bejelentkezés révén hozzáférhetünk olyan rendszerekhez, mint a Rendelkezési Nyilvántartás. Itt bárki számára lehetőség nyílik meghatalmazás kiadására, ami akár azt is jelentheti, hogy valaki jogosult lehet arra, hogy a bankból felvegye a pénzünket. Továbbá, 2024. december 31-ig igénybe vehetjük az Azonosításra Visszavezetett Dokumentumhitelesítést (AVDH), amely lehetővé teszi ingatlan adásvételi szerződések aláírását is. Ezért kiemelten fontos, hogy óvatosak legyünk, hiszen ha valaki jogosulatlanul hozzáfér az Ügyfélkapu azonosítóinkhoz, akkor az illető jogosulatlanul felveheti a pénzünket, eladhatja az autónkat, vagy akár az ingatlanunkat is.

Ha azt kívánjuk, hogy valaki a nevünkben és helyettünk intézzen el dolgokat, akkor a meghatalmazás jogintézménye kínál megfelelő megoldást, nem pedig az, hogy egyszerűen átadjuk a személyazonosító igazolványunkat. Akárcsak a személyi igazolványunkat nem adjuk oda, amikor valakit felhatalmazunk arra, hogy személyes ügyintézést végezzen, úgy az elektronikus azonosítóinkat sem szabad átadnunk elektronikus ügyintézés során. Például a bank is mentesül a felelősség alól, ha valaki a bankkártyáját és annak PIN kódját átadja egy harmadik félnek, és ez a személy pénzt vesz fel a kártya-tulajdonos számlájáról. Hasonlóképpen, a személyazonosító rendszert működtető szolgáltató sem vonható felelősségre a felhasználó által megosztott személyazonosító kódokkal végzett tranzakciókért.

- hangsúlyozta a szakember. Hozzátéve: "A helyzet még inkább súlyosbodik – és sajnos az ügyvédi tapasztalataim során is találkoztam ezzel –, hogy a kiadott kódokkal eljáró személyek felelősségre vonása rendkívül bonyolulttá válik. Előfordult, hogy egy vállalkozó szóban bízta meg könyvelőjét bizonyos iratok benyújtására az adóhatósághoz, amelyeket a könyvelő a vállalkozó Ügyfélkapu-azonosítóival, de hibásan nyújtott be. Amikor a vállalkozó később felelősségre akarta vonni könyvelőjét, és kártérítést követelt tőle, sajnos nem tudta bizonyítani, hogy nem ő, hanem a könyvelő nyújtotta be az iratokat. Így a könyvelő felelőssége nem állapítható meg."

Kósa Ferenc kiemelte, hogy a fentebb említett információk tükrében mindenkinek saját magának kell eldöntenie, hogy helyénvalónak tartja-e az azonosítóinak megosztását másokkal szemben, ahelyett, hogy elektronikus meghatalmazást használna. "Fontos hangsúlyozni, hogy az elektronikus meghatalmazás korántsem bonyolult folyamat. A meghatalmazó könnyedén adhat meghatalmazást a meghatalmazott részére a NAV ONYA rendszerén (korábban a NAV eBEV felületén) keresztül, de a Rendelkezési Nyilvántartásban is van erre lehetőség. Ezen kívül a meghatalmazott is képes előkészíteni a meghatalmazást ugyanezekben a rendszerekben, és a meghatalmazónak csupán annyit kell tennie, hogy jóváhagyja azt" - tette hozzá a szakértő.

Az elektronikus kapcsolattartásra kötelezett gazdálkodó szervezetek számára a cégkapu felület kínálja azt a lehetőséget, hogy "cégkapu-megbízott" státuszt rendeljenek el, akár munkavállalójuk, akár könyvelőjük részére. Érdemes azonban hangsúlyozni, hogy ha a könyvelő kerül megbízásra, akkor ő minden, a cégkapu tárhelyére érkező küldeményt hozzáférhet.

Az Ügyfélkapu+ (amely már több mint két éve zökkenőmentesen üzemel) és a DÁP eAzonosítási funkciója (mely 2024 szeptemberétől problémamentesen működik) egyaránt készen áll a használatra. Fontos megérteni, hogy bárki saját döntése, hogy megossza az Ügyfélkapu azonosítóját vagy a második azonosító tényezőt, ezt a lépést érdemes alaposan megfontolni, hiszen ezzel kapcsolatos potenciális kockázatokkal is tisztában kell lenni. A kétfaktoros azonosítás azonban mindenképpen védelmet nyújt, megakadályozva, hogy illetéktelenek hozzáférjenek a fiókunkhoz a tudtunk nélkül. Ezáltal a saját biztonságunk érdekében elengedhetetlen, hogy ezt a funkciót kihasználjuk.

- emelte ki Kósa Ferenc.

Szombati cikkünkben foglalkoztunk az Ügyfélkapu+ regisztrációval kapcsolatos nehézségekkel is, különös figyelmet szentelve az "Ön nem jogosult a kiválasztott azonosítási szolgálat igénybevételére" hibaüzenetre. Kósa Ferenc megjegyezte, hogy gyakori jelenség, hogy a felhasználók sietve szeretnék befejezni a folyamatot, anélkül, hogy alaposan átnéznék a rendelkezésre álló tájékoztató anyagokat.

A folyamat végén a rendszer generál egy törlőkódot, amely hasznos lehet, ha valamilyen okból kizárnánk magunkat az Ügyfélkapu+ második faktorából – például ha a telefonunk megsérül, elveszik vagy ellopják. Ezt a kódot fontos elmenteni. A folyamat során megjelenik egy nyilatkozat, amely így hangzik: "A fenti törlőkód mentéséről gondoskodtam." Ezt el kell fogadni, amihez pipálni kell a megfelelő négyzetet, majd a "Befejezés" gombra kell kattintani. Ha valaki ezt a lépést elmulasztja, annak a szolgáltatás tényleges aktiválása elmarad.

A MELASZ elnöke részletesen kifejtette, hogy a helyzet nem jelent problémát. Hangsúlyozta, hogy a felhasználók továbbra is be tudnak lépni az Ügyfélkapu rendszerébe a megszokott módon, a "sima" felhasználónév és jelszó segítségével az https://ugyfelkapu.gov.hu weboldalon. Az Ügyfélkapu+ aktiválási folyamatát újra is megkezdhetik, de figyelniük kell arra, hogy az újrakezdés előtt távolítsák el a telefonjuk autentikátor alkalmazásából a még be nem fejezett folyamat során keletkezett kódgenerátort, mivel ez a későbbiekben zavarokat okozhat.

Kósa Ferenc egy másik jellemző problémát emelt ki, miszerint "a telefon vagy a számítógép időbeállítása nem megfelelő, mivel az automatikus szinkronizálás nincs aktiválva. Ha ez a beállítás hiányzik, az időalapú kódok nem fognak működni, ezért ilyenkor elengedhetetlen, hogy a telefon és/vagy a számítógép óráját automatikus szinkronizálásra állítsuk."

A szakértő információi szerint már több mint 1,5 millió felhasználó regisztrálta magát az Ügyfélkapu+ szolgáltatásra, míg a DÁP applikációt körülbelül 1 millióan töltötték le, és ezek a számok folyamatosan növekvő tendenciát mutatnak. Fontos megjegyezni, hogy ha valaki esetleg elmulasztja az Ügyfélkapu+ aktiválását 2025. január 16-ig, akkor sem kell aggódnia, hiszen a határidő után is lehetősége lesz arra, hogy ezt megtegye.

Kósa Ferenc a digitális azonosítással kapcsolatban, konkrétan az eSzemélyiről, a következőket osztotta meg: "Az eSzemélyi lehetőséget nyújt arra, hogy a DÁP alkalmazásban aktiváljuk a Digitális Állampolgár regisztrációnkat. Jelenleg szükség van egy 2021. június 23-a után kibocsátott eSzemélyire (ezt egyszerűen ellenőrizhetjük: akinek ilyen azonosítója van, annak a személyi igazolványa bal felső sarkában egy EU zászló látható), valamint a hozzá kapcsolódó PIN-kódra (melyet a korábban említett zöld szélű borítékban található plasztik kártyán kaptunk). Amennyiben az eSzemélyi aktiválása még nem történt meg, azt az eSzemélyiM mobilalkalmazással pár perc alatt elvégezhetjük. Ha valaki elfelejtette a PIN-kódját, akkor a plasztik kártyán szereplő PUK-kód segítségével tud új PIN-kódot beállítani az eSzemélyiM mobilapplikáció használatával."

Nem kell elkeseredniük azoknak sem, akiknek már régebbi személyi igazolványuk van. Az érintettek most a kormányablakban regisztrálhatnak, ám hamarosan megérkezik a "szelfis" regisztráció lehetősége is a DÁP alkalmazás keretein belül.