НАП, ПИК и електронната идентификация

НАП (Национална Агенция за Приходите) активно въвежда използването на ПИК (персонален идентификационен код) за своите електронни услуги. Т.е. ако искаме да подадем данъчна декларация онлайн или да направим онлайн справка за внесените от работодателя ни осигуровки, ни е нужен ПИК. Всъщност, към момента ПИК се ползва само за справки, а за подаване на декларация трябва електронен подпис, но това е на път да се промени – НАП има желание да разшири използването на ПИК.

За съжаление, ПИК-ът е едно недоразумение. Да започнем стъпка по стъпка.

Как получавате ПИК? Отивате в офис на НАП, където служител ви го дава, разпечатан на лист А4, след като проверява самоличността ви. В работно време, разбира се. Т.е. в добрия случай ви отнема обедната почивка. В лошия случай, постоянният ви адрес е в друг град, защото, да кажем, живеете под наем в София, а НАП не издава ПИК по настоящ адрес. Само по постоянен. Защо – остава мистерия. Отговорът им на мое запитване беше, че е от съображения за сигурност – ако бъде издаван в друг офис от този по постоянен адрес, това щяло да значи, че повече служители на НАП ще видят кода. Това дали 1 или 5 служителя ще го видят не прави кода по-малко компрометиран, но дори да е така, то при една обмислена система кодът просто би бил издаван на гишето, използвайки централизирана система. Но явно „обмислена“ не е подходящо прилагателно. Така, в крайна сметка, получаването на ПИК може да ви струва и цял ден път до офис на НАП по постоянен адрес. За да може да правите електронни справки. Чудесно!

Но да оставим ползваемостта настрана и да поговорим за сигурността. Дори само един служител да види кода ви, това вече е лошо. Но може би по-лошо е това, че е хвърчащ лист А4, който всеки, който ви дойде на гости, може да види на бюрото ви. Също така при изтичане на базата данни (или в резултат на brute-force атака) ПИК-ът става просто една не особено силна парола (12 символа, но само цифри), която може да бъде разбита. А не съм убеден, че в базата данни ПИК-ът се пази според добрите практики за пазене на пароли (bcrypt), защото кодът не е отворен. И докато това е някак приемливо за справки (макар и да разкрива лична информация), то със сигурност не е окей за подаване на документи (тип данъчна декларация). „Какво толкова може да стане?“. Да, някой да подаде данъчна декларация вместо вас може би не е най-лошото, което може да се случи. Някой да подаде данъчна декларация вместо счетоводителя ви, от името на всички фирми, които той обслужва, също може би не е фатално, просто ще отвори работа. И евентуално ще се наложи да платите данъци, които не дължите (ако например някой подаде декларация ден преди крайния срок, а когато НАП ви потърсят след това, вие сте в чужбина). Изобщо, сценарии, по които някой може да бъде „прецакан“, макар и не „фатално“, има доста. Но по-лошото е, че ако ПИК-ът се наложи като средство за електронна идентификация, може да „плъзне“ и в други администрации, където щетите могат да са по-големи.

Като говорим за средства за електронна идентификация, това лято Европейската комисия публикува Регламент 910/2014 (задължителен законодателен акт за всички страни членки), който дефинира 3 нива на сигурност на електронната идентификация. Както се сещате, хвърчащият лист със слаба парола на него не покрива и най-ниското ниво. Не се доближава дори.

Всъщност, в Холандия също използват нещо като ПИК – код, генериран от държавата. Само че по много различен начин. Изпращат го по поща, и е втори компонент при електронната идентификация (2-factor authentication). И то далеч не за всичко.

Друг много сериозен проблем на ПИК-овете е фрагментацията, която носят. НАП ви издават един ПИК, НОИ ви издават друг, общината може би трети, кадастърът четвърти, МВР пети… И така се разхождате до 5 администрации, за да може да ползвате по една електронна услуга, която ви трябва в момента (след това губите листа, и ходите наново). Изобщо, „всеки прави к’вото си иска“ е доста характерно за администрацията ни, което е и една от причините за отсъстващо електронно управление.

Дали финансовият министър (Владислав Горанов, на чието подчинение е НАП) или някой от обкръжението му е авторът на този „напън“ за стандартизиране на ПИК като средство за електронна идентификация, не знам. Но много се надявам да направят крачка назад и да помислят. И да приемат мнението на експерти. Дори човек да е добър финансист и мениджър, когато става дума за електронна сигурност, по-добре решението да е на хората с опит в сферата. Иначе утре министърът на икономиката може да напише строителни изисквания без да пита архитектите, и на следващата година сградите да започнат да падат.

Дискусията по темата доста навременна, предвид очаквания всеки момент закон за електронна идентификация, който да сложи правна рамка за технологично решение (може би базирано на пилотното такова). В крайна сметка целта е да имаме електронната си идентичност в личните документи, така че когато държавата ни издава лична карта, заедно с това да получаваме и достатъчно сигурен метод, работещ в цялата администрация, вкл. НАП, КАТ, болници (че дори и с частни компании). А хвърчащите листи с цифрички да останат само временно недоразумение.

14 comments

  1. Супер куца работа е това. Много ми хареса как са го направили в Швеция. Банката ти издава BankID което е свързано с телефонния ти номер. Когато искаш да се логнеш в коя да е онлайн услуга на община, държава, университет, единственото нещо е да си вкараш телефонния номер, след което на телефона ти си отваряш BankID приложението, което е получило нотификация, че се опитвш да се логнеш като себе си някъде, вкарваш си PIN и това пушва логина обратно в услугата. Стори ми се доста яко и практично това решение.

  2. В Естония това, дето ти е в личната карта, можеш да го сложиш и на телефона си. Т.е. на практика същото, но издадено от държавата.

  3. Не зная дали държавата или банката са по-надеждни при обработка на лични данни. Замислих се на базата на конкретен случай, при който МВР издаде на сръбски наркотрафикант (Будимир Куйович) българска лична карта и български международен паспорт с фалшиви имена (Цветослав Захариев). Най-тревожното са реакциите на замесените в случая: http://dariknews.bg/view_article.php?article_id=254055
    http://ivanbedrov.com/?p=1379

  4. Интересен текст. Някои размисли в лично качество, независимо, че работя за НАП.
    В НАП онлайнн ежегодно се подават около 70 млн. документа. Е-услугите й не са съвършени, но изглежда въшат работа, спестявайки над 300 млн. лв. годишно на данъкоплатците. Силно ми се ще да вярвам, че когато се говори за е-правителство, би било редно да не слагаме всички под общ знаменател…
    Докато всички уверено чакаме вграждането на е-идентификацията в личните карти, не виждам пречка да се използва алтернативен механизъм като ПИК. Мога да изпратя на мейл правен анализ за съответствието на ПИК практиката на НАП с Регламент 910/2014 🙂 Четиво за юристи, но най-общо казващо, че ПИК е достатъчно надежден за употреба за подаване на декларации, базирано на закона – ДОПК и подзаконовия акт за прилагането му. Разбира се, на линия съм да водим правен спор, ако някой има желание.
    Коментарът за издаването на ПИК по постоянен адрес е логичен – потребителското удобство предполага да може да се получи във всеки офис. Имам увереност, че в близките месеци това може да се промени, но причината му е юридическа отново – действията на НАП са ограничени от т.нар. териториална компетентност на органите му, която, за съжаление е валидна и процедурите за издаване на ПИК. Не е изключено заобикалянето на това изискване, но държавата, съвсем очаквано, е предпазлива в заобикалянето на закона.
    Хвърчащите листове – напълно логичен коментар. Добра новина – от днес, 4.03.2015 г. всеки ПИК се получава в запечатан плик, невъзможно е узнаването му от служител.
    Литературните вметки за забравен ПИК на бюрото и риска за подаване на данни предлагам да ги оставим настрана. За загубен, откраднат или неволно даден другиму ПИК всеки потърпевш може да звънне на 0700 18 700, блокирането на ПИК отнема непродължително време, а всички данни, подадени след обаждането се считат за недействителни.
    За многото ПИК, издавани от различни ведомства сте безсъмнено прав – здравата логика предполага интеграция на съществуващите, поне до светлото бъдеще, на вградената в личните документи идентификация. Дотогава обаче сякаш няма пречка да се случат около 1 млн. електронни административни услуги в НАП от хората, които са преглътнали еднократно посещение, за да получат ПИК, валиден безсрочно и струващ 0 лв.?
    Доколко отвореният код и модела на съхранение на данните за ПИК са свързани, не мога да кажа.
    Вместо това, каня Ви в удобно за Вас време в централата на НАП на Дондуков 52, за да проверим заедно техническите гаранции за конфиденциалност, а и да си поговорим за ролята на НАП в е-управлението.
    Със здраве.

  5. Мерси за детайлния отговор, и за добрите новини в него 🙂 С удоволствие ще дойда в НАП да поговорим. Мейлът в коментара валиден ли е?

  6. Да споена как стоят нещата и във Финландия. В техния НАП се влиза с банковото ID, впрочем навсякъде където ти искат аутентикация bank ID е единия вариянт. Както каза и Крис и с телефона може.
    Но нека в България да е по различно, нека всяка институция си организира различно пинче, нека да помним 68 кода за различни услуги, които фактически служат на един главатар – държавата. That’s my 2 cents.

  7. Тед, обаче не е възможно да имаш банкови идентификатори без да плащаш месечен пакет в някоя банка, а това не би трябвало да е така. Данске взимат по 6 евро и нещо.

  8. Валиден е мейлът, ще се радвам да се видим.
    Поздрави.

  9. Може ли да се подаде заявление за ПИК по електронен път и на какъв адрес?

  10. ПИК не може да се заяви по електронен път.
    1. Не виждам проблем да се направи онлайн формуляр. Активиране на регистрацията с потвърждаване на самоличността може да се направи след това и да се спести време по опашки (или да бъде направено с електронен подпис).
    2. Не виждам проблем и човек да може да си смени ПИК след като влезе в системата така, както сменяте всяка друга парола. А също забравен ПИК да може да се възстанови чрез имейл (и без това са писали, че е задължителен).
    3. ПИК в пликове ми се струва абсолютно ненадеждно! Като получите ПИН от банка в плик, първото нещо, което ви препоръчват да направите е да отидете до банкомата и да си смените ПИН, защото това е единственият начин да сте сигурни, че само вие и системата го знаят.

  11. Глупостите с ПИК-а са нищо. купих на съседа електронен подпис. И тъпата система ти позволява с юзер без парола да „смениш“ паролата с нова. Само,ч е не приема никакви пароли. Дори провесионално генерирана 16 разредна парола. Издава някакво безумно съобщение, че паролата трябва да е 6 символа, специален знак, малка и главна букава и цифра. Кой е луд в случая, не знам.

  12. Росен, кога ще зарежете този „пиар“, да обясните защо не могат ползвам услуги в нап, с идентификация с КЕП така както се идентифицирам на входа на edelivery.egov? Тези jnlp дето подавате не са актуални, липсва Linux. А от 15 години трябваше да се е случило. И edelivery, и какво ли още не за похарчените пари.

  13. Все още ли ПИК на НАП и НОИ са различни?

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *