Szombati cikkünkben olvasói visszajelzések, valamint egy adószakértő véleménye alapján számoltunk be az Ügyfélkapu+ és a Digitális Állampolgár alkalmazás használatával kapcsolatban esetlegesen felmerülő problémákról, amelyek a regisztrációt és az azonosítást érinthetik.

Cikkünkre reagálva Kósa Ferenc leszögezte:

Az Ügyfélkapu+ mint emelt szintű kétfaktoros azonosítást biztosító bejelentkezési megoldás nem egy új ügyfél-azonosítási módszer, hanem a már létező Ügyfélkapu azonosítási rendszer biztonságosabbá tétele.

A szakértő kifejtette, „figyelemmel arra, hogy az Ügyfélkapu-regisztrációra 2016. január 1. napját megelőzően kizárólag okmányirodai személyes jelenléttel történő regisztráció során, azt követően pedig vagy kormányablaki személyes jelenléttel történő regisztrációval, vagy a 2016. január 1. napját követően kiállított személyazonosító igazolvánnyal (úgynevezett »eSzemélyi«), személyes jelenléttel, a kormányablakban történt igénylésekor kapott zöld szélű borítékban személyesen átvett plasztikkártyán található regisztrációs kóddal lehetséges, így a személyazonosítás az Ügyfélkapu-regisztráció során teljes mértékben és megbízhatóan biztosított”.

A MELASZ elnöke arra is felhívta a figyelmet, hogy a kizárólag felhasználónév és jelszó által történő – egyfaktoros – bejelentkezés már nem kellően biztonságos, tekintettel arra, hogy az egy részről könnyen megfigyelhető akár kamerafelvétellel, akár úgynevezett keylogger – a billentyűleütéseket naplózó számítógépes programmal vagy hardvereszközzel, másrészről óvatlanul lementhető a böngészőalkalmazás tárolójába, ezért azt szükséges kivezetni és biztonságosabbá tenni.

Miután az emberek többségében az a képzet él, hogy az Ügyfélkapu kizárólag az adóbevallás benyújtására szolgál, Kósa Ferenc szerint sajnos az a tapasztalat, „hogy az Ügyfélkapu-azonosítóikat kiadják a könyvelők részére, ami teljességgel rossz gyakorlat. A személyazonosító adatok egy személy azonosítására szolgálnak, és nem máséra – így például nem az adott személy könyvelőjének azonosítására”.

„Ha azt szeretnénk, hogy valaki a nevünkben járjon el, arra a meghatalmazás jogintézménye biztosít lehetőséget”

Kósa Ferenc arra is emlékeztetett, hogy „az Ügyfélkapu-bejelentkezéssel olyan rendszerekhez lehet hozzáférni, mint például a Rendelkezési Nyilvántartás, ahol bárki részére meghatalmazást lehet adni (akár arra is, hogy minden pénzünket felvegye a bankból), illetve 2024. december 31-ig az úgynevezett Azonosításra Visszavezetett Dokumentumhitelesítéshez (AVDH), amivel akár ingatlan-adásvételi szerződést is alá lehetett írni, azaz aki jogosulatlanul hozzáfért az Ügyfélkapu-azonosítóinkhoz, jogosulatlanul felvehette az összes pénzünket, vagy eladhatta a kocsinkat vagy akár az ingatlanunkat is”.

Ha azt szeretnénk, hogy valaki a nevünkben és helyettünk járjon el, akkor arra a meghatalmazás jogintézménye biztosít lehetőséget, és nem az, hogy átadjuk a személyazonosító igazolványunkat. Ahogy a személyi igazolványunkat sem adjuk át személyes ügyintézésre történő meghatalmazás esetén, úgy az elektronikus azonosítóinkat sem adjuk át elektronikus ügyintézés esetén. Ahogy a bank mentesül a felelősség alól, ha valaki a bankkártyáját és az ahhoz tartozó PIN (personal identification number, azaz személyes azonosító szám) kódját kiadja harmadik személynek, és ez a személy pénzt vesz fel a bankkártya-tulajdonos számlájáról, ugyanúgy a személyazonosító rendszert üzemeltető szolgáltató sem tehető felelőssé a felhasználó által kiadott személyazonosító kódokkal történt eljárásért

– tette világossá a szakértő. Hozzátéve: „Ami ettől sokkal rosszabb – és ügyvédi praxisomban is felmerült sajnos –, a kiadott kódokkal eljáró személy felelősségre vonása is elnehezül. Előfordult ugyanis, hogy a vállalkozó szóban megbízást adott a könyvelőjének bizonyos iratok benyújtására az adóhatóság részére, amiket a könyvelő ezután a vállalkozó Ügyfélkapu-azonosítóival nyújtott be hibásan. A vállalkozó szerette volna ezt követően a könyvelőjét felelősségre vonni és kártérítést érvényesíteni a könyvelővel szemben, de miután nem tudta bizonyítani azt, hogy az iratokat nem ő (azaz a vállalkozó maga) nyújtotta be, így nem lehetett a könyvelő felelősségét megállapítani.”

Kósa Ferenc hangsúlyozta, a fentiek ismeretében mindenki maga döntse el, megfelelő gyakorlatnak tartja-e azt, hogy meghatalmazás helyett inkább az azonosítóit adja ki mások számára. „Pedig az elektronikus meghatalmazás egyáltalán nem bonyolult, akár a meghatalmazó adhat a meghatalmazottja részére meghatalmazást mind a NAV ONYA rendszerében (korábban a NAV eBEV felületén), akár az úgynevezett Rendelkezési Nyilvántartásban, de lehetőség van a meghatalmazottnak is ugyanezen rendszerekben a meghatalmazást előkészíteni, és a meghatalmazónak ezt követően pusztán jóvá kell csak azokat hagynia” – húzta alá a szakértő.

Az elektronikus kapcsolattartásra kötelezett gazdálkodó szervezetek a cégkapu felületen tudnak „cégkapumegbízott” státuszt adni akár a munkavállalójuk, akár a könyvelőjük részére, ugyanakkor fontos megjegyezni, hogy utóbbi esetben a megbízott minden, a cégkapu tárhelyre érkező küldeményt látni fog.

Mind az Ügyfélkapu+ (ami már több mint két éve problémamentesen működik), mind a DÁP eAzonosítási funkciója készen van (ez utóbbi pedig 2024. szeptembere óta működik problémamentesen). Az, hogy valaki önszántából kiadja akár az Ügyfélkapu-azonosítóit, akár az ahhoz tartozó második faktort, az a saját döntése, de legyen tisztában a fent részletezett veszélyekkel. Ugyanakkor a kétfaktoros bejelentkezés mindenképpen megvéd attól, hogy az illetéktelenül az azonosítókat megszerző a tudtunk nélkül be tudjon lépni, így tehát a saját biztonságunkat szolgálja

– hangsúlyozta Kósa Ferenc.

Tipikus problémák a regisztrációnál

Szombati cikkünkben írtunk az Ügyfélkapu+ regisztrációjával kapcsolatos problémáról is, amely az „Ön nem jogosult a kiválasztott azonosítási szolgálat igénybevételére” hibaüzenettel jár. Kósa Ferenc szerint a tipikus probléma az, hogy a felhasználók minél előbb túl akarnak esni a folyamaton, és nem olvassák végig a tájékoztatót.

Ugyanis a folyamat végén a rendszer egy úgynevezett törlőkódot ad arra az esetre, ha kizárnánk magunkat az Ügyfélkapu+ második faktorából (mert például elromlik a telefon, vagy elvész/ellopják), amit elmenteni szükséges. Ehhez egy nyilatkozat jelenik meg (»A fenti törlőkód mentéséről gondoskodtam«), amit be kell pipálni, és ezt követően kell a »Befejezés« gombra kattintani. Aki ezt elmulasztja, az ténylegesen nem aktiválta az Ügyfékapu+ szolgáltatást

– részletezte a MELASZ elnöke, egyúttal jelezve, hogy ezzel nincs probléma, „mert a »sima« Ügyfélkapu-felhasználónév és jelszó beírásával továbbra is be tud jelentkezni a https://ugyfelkapu.gov.hu oldalon, és újra tudja kezdeni az Ügyfélkapu+ bekapcsolási folyamatát, ez esetben csak arra kell ügyelni, hogy újrakezdés előtt törölje a telefon autentikátor alkalmazásából a be nem fejezett folyamatban kapott kódgenerátort, mert az a későbbiekben megzavarhatja”.

Kósa Ferenc másik tipikus problémaként azonosította, hogy „a telefon vagy a számítógép órája nincs megfelelően – automatikus szinkronizálás – beállítva. Ennek hiányában az időalapú kódok nem működnek, így ilyen esetben szükséges a telefon és/vagy a számítógép óráját automatikus szinkronizálásra állítani”.

A szakértő egyébként úgy tudja, hogy már több mint 1,5 millióan aktiválták az Ügyfélkapu+ szolgáltatást, és 1 millióan a DÁP applikációt, ez a szám folyamatosan emelkedik. Ha pedig valaki elfelejtené 2025. január 16-ig aktiválni az Ügyfélkapu+-t, az január 16-át követően továbbra is meg fogja tudni ezt tenni.

Kósa Ferenc végül az eSzemélyiről mint második faktorról elmondta: „Az eSzemélyivel lehetőség van arra, hogy a DÁP applikációban aktiváljuk a Digitális Állampolgár-regisztrációnkat. Jelenleg ehhez 2021. június 23-át követően kiállított eSzemélyi szükséges (ez könnyen ellenőrizhető: akinek ilyen személyije van, annak a személyi bal felső sarkában egy EU-zászló található), valamint az ahhoz tartozó PIN kód (amit szintén a fent említett, zöld szélű borítékban lévő plasztikkártyán kaptunk). Ha esetleg nem lett aktiválva az eSzemélyi, akkor az az eSzemélyiM mobilapplikációval néhány perc alatt elvégezhető. Ha valaki elfelejtette a PIN kódját, akkor a szintén ezen a plasztikkártyán található PUK kóddal tud új PIN kódot adni az eSzemélyiM mobilapplikáció segítségével.”

Azoknak sem kell csüggedniük, akiknek régebbi személyi igazolványuk van: az érintettek jelenleg kormányablakban tudnak regisztrálni, de hamarosan érkezik a „szelfis” regisztráció is a DÁP alkalmazásba.

(Borítókép: Bődey János / Index)