W tym roku na wybory zamiast dowodu osobistego można było wziąć smartfona. Dane wyświetlone w rządowej aplikacji można potwierdzać kodem QR, ale w większości lokali wyborczych urzędnicy tylko oglądali to co im wyświetlono na ekranie. Zdaniem wielu osób taki sposób sprawdzania tożsamości nie był szczególnie wiarygodny.

mObywatel i mTożsamość

W Polsce nie można mieć dowodu osobistego w smartfonie. Dowód osobisty to plastikowy dokument. Ale nasze państwo udostępnia nam inną, alternatywną metodę potwierdzania tożsamości. Jest nią aplikacja mObywatel, która z kolei udostępnia usługę mTożsamość.

W ramach usługi mTożsamość można wyświetlić na telefonie aktualne dane obywatela, a dokładnie:

imiona, nazwiska, datę urodzenia, numer PESEL

zdjęcie, termin ważności, numer dowodu, informację, kto wydał dokument

Aplikacja ma “zabezpieczenia” w postaci znaku wodnego, hologramu (reagującego na akcelerometr) oraz “elementu dynamicznego” pod postacią pulsującej flagi.

Co ważne, autentyczność danych w aplikacji można potwierdzać poprzez skanowanie kodu QR. Służy do tego osobna aplikacja o nazwie mWeryfikator. Osoba korzystająca z mWeryfikatora zobaczy na swoim smartfonie dane osoby weryfikowanej (imiona i nazwisko oraz zdjęcie w niskiej rozdzielczości), a także datę weryfikacji. Weryfikujący może też sprawdzić, czy certyfikat online osoby weryfikowanej jest aktualny. Dane osoby sprawdzanej nie są zapisywane na urządzeniu osoby sprawdzającej (co nie znaczy, że sprawny sprawdzający nie będzie w stanie ich w sposób niepostrzeżony zapisać. Wciąż jednak nie zachowa w ten sposób np. PESEL-u osoby weryfikowanej).

mObywatel idzie na wybory

W minioną niedzielę mieliśmy w Polsce wybory do Parlamentu Europejskiego. Niektórzy obywatele poszli do urn ze smartfonem i spodziewali się, że członkowie komisji w lokalach nie tylko przyjrzą się aplikacji, ale również sprawdzą ich tożsamość skanując kod QR.

Tak się nie stało.

Po wyborach dotarły do nas informacje o tym, że w lokalach wyborczych nie skanowano kodów QR w celu potwierdzenia autentyczności wyświetlanych przez obywateli danych. Stosowano więc niższy standard potwierdzania tożsamości niż jest zalecany na stronach rządowych do stosowania np. w hotelach czy na siłowniach. Naszym zdaniem jest to problem godny zasygnalizowania, choć nie jest to od razu powód do masowej histerii i stawiania tez, że dzięki aplikacji mObywatel wybory można łatwo sfałszować.

“Tylko rzucali okiem”

W tej sprawie dostaliśmy liczne maile do redakcji. Dyskutowaliśmy też w tej kwestii w naszych social mediach i rozmawialiśmy “w realu” z osobami, które głosowały za pomocą mObywatela.

Podsumowując: większość osób zagłosowała bez problemu po krótkiej weryfikacji “na oko”. Niektóre osoby przyznały, że wzbudziły w komisji lekką sensację i komentarze w rodzaju “oooo… patrzcie, trafił się e-dowód” (choć mObwyatel to coś innego niż e-dowód). W niektórych przypadkach urzędnicy przyglądali się długo i uważnie, ale w większość tylko “rzucali okiem”, tak zresztą jak rzucają okiem na plastikowe dowódy.

Dostaliśmy też kilka relacji o tym, że członkowie komisji nie sprawdzili uważnie numerów PESEL. Kilka osób miało problem z oddaniem głosu, ale te uratowały się plastikowym dowodem, trzymanym na wszelki wypadek w kieszeni. Jedna osoba doniosła nam, że nie udało jej się oddać głosu bo miała przy sobie tylko smartfona z mObywatelem.

Były chlubne wyjątki, co zasygnalizowano nam na Facebooku:

OKW nr 60 w Krakowie, Przewodniczący komisji i Zastępca mają mTozsamość i potrafią korzystać z funkcji “sprawdź” wbrew “wytycznym” ;). Pozdrawiamy! :)

Brawo Kraków! Umiemy w mTożsamość i kody QR lepiej niż w innych miastach w Polsce! Ale i tak będziemy umierać na choroby górnych dróg oddechowych częściej niż w innych miastach w Polsce, niezależnie od wyników wyborów ;)

Nie musisz mieć (ważnego) dowodu

W tym miejscu część Czytelników może spytać, czy prawo w ogóle dopuszcza identyfikowanie wyborcy czymś innym niż dowodem?

Art. 52. § 1. Kodeksu wyborczego stanowi, iż…

Przed przystąpieniem do głosowania wyborca okazuje obwodowej komisji wyborczej ds. przeprowadzenia głosowania w obwodzie dokument umożliwiający stwierdzenie jego tożsamości

Jak widzicie, prawo wymaga okazania “jakiegoś dokumentu”, właściwie nie ważne jakiego. Dodatkowo PKW 26 kwietnia wydała uchwałę nr 70/2019, w której tak poinstruowała obwodowe komisje wyborcze.

wyborca może (…) okazać komisji dowolny dokument 20 ze zdjęciem (np. paszport, prawo jazdy, legitymacja studencka), w tym również dokument, który utracił ważność, pod warunkiem że ustalenie tożsamości na jego podstawie nie budzi wątpliwości.

Przyznajcie! Nie wiedzieliście, że PKW oficjalnie dopuszcza posłużenie się nieważnym dowodem? Wróćmy jednak do uchwały PKW.

Tożsamość wyborcy może zostać także stwierdzona na podstawie mTożsamości, tj. usługi dostępnej w rządowej aplikacji mobilnej mObywatel.

Dalej PKW opisuje po czym rozpoznać autentyczną aplikację.

Elementy, które potwierdzają, że wyświetlane dane są wiarygodne, bezpieczne i aktualne:

a) holgram (godło Rzeczypospolitej Polskiej w lewym górnym rogu),

b) data ostatniej aktualizacji („OSTATNIA AKTUALIZACJA” w prawym górnym rogu),

c) znak wodny (godło Rzeczypospolitej Polskiej pod danymi osobowymi),

d) element dynamiczny (flaga Rzeczypospolitej Polskiej w lewym dolnym rogu);

Uchwała PKW w ogóle nie wspomina o weryfikowaniu przez skanowanie kodu QR. Uchwała PKW nie wspomina też, że hologram reaguje na akcelerometr, a przecież to dość istotna wskazówka (choć nie każdy telefon reagować będzie bo nie każdy akcelerometr ma).

“Co to miało pulsować?”

Wspomniane dynamiczne elementy najwyraźniej sprawdzano, o czym wspomina m.in. wpis Anny Streżyńskiej, byłej minister cyfryzacji.

Nadal jednak można pytać, dlaczego nie zastosowano weryfikacji po kodzie QR? Może dlatego, że narobiłaby ona więcej problemów niż można znieść? Weryfikacja niestety może się skończyć wyświetleniem takiego komunikatu o błędzie.

Weryfikowanie zależne od systemu użytkownika to poważne ograniczenie technologiczne. Czy można wymagać, by wszyscy mieli iPhone’y? Być może z tego powodu PKW nawet się nie zająknęła w swojej uchwale o kodach QR, a może miała jeszcze inny powód?

Dodajmy, że niektórzy z naszych Czytelników identyfikowali się mObywatelem np. na poczcie. Tam również nie korzystano z mWeryfikatora. Trzeba zatem powiedzieć szczerze, że weryfikacja aplikacji “na oko” jest swojego rodzaju standardem, nawet jeśli w rządowych materiałach informacyjnych tak ładnie pisze się o kodach QR.

Realny(?) problem

W redakcji Niebezpiecznika zastanowiliśmy się na ile naprawdę możliwe jest dokonanie oszustwa wyborczego z użyciem sfałszowanego obrazu interfejsu aplikacji. Odnotowaliśmy następujące uwagi.

Można sfałszować interfejs aplikacji robiąc choćby przekonującego GIF-a, ale…

…plastikowy dowód też można sfałszować, podobnie jak można sfałszować książeczkę wojskową czy inne słabiej chronione dokumenty ze zdjęciami.

Plastikowe dowody też nie są szczególnie uważnie oglądane przed wydaniem karty wyborczej.

Sfałszowanie aplikacji wydaje się łatwiejsze i tańsze niż fałszowanie plastiku. W skrajnym przypadku ktoś mógłby stworzyć aplikację do wytwarzania odpowiednio wiarygodnych obrazów aplikacji (to byłoby niefajne).

Oszust posługujący się “sfałszowaną” aplikacją musiałby dysponować danymi osób, pod które się podszywa. Takie dane można wydobyć choćby z KRS, albo w różny sposób wyłudzić. Co jednak istotne, adres zameldowania nie zawsze musi korespondować z adresem, gdzie dana osoba głosuje.

Oszustwo może zostać wykryte lub udaremnione, jeśli “ofiara” pójdzie zagłosować .

. Oszust może zminimalizować ryzyko wpadki podszywając się pod osobę, o której wie, iż na wybory nie pójdzie.

Oszust musiałby fizycznie przemieszczać się pomiędzy lokalami wyborczymi, gdyby chciał zmienić głos więcej niż jednej osoby (mało praktyczne i ograniczające masowe fałszerstwa — ile komisji odwiedzi 1 fałszerz w ciągu dnia i ile razy będzie musiał się przebrać?).

Możliwość podrobienia aplikacji może ułatwiać kupienie głosu np. od osoby bezdomnej.

Biorąc to wszystko pod uwagę możemy dojść do wniosku, że problemy z wiarygodnością mObywatela nie stwarzają ryzyka sfałszowania wyborów na dużą skalę.

Poprosiliśmy PKW o skomentowanie tej sprawy i zapewne jeszcze zaktualizujemy ten tekst, kiedy tylko otrzymamy odpowiedź od PKW.

Co robić? Jak żyć?

Najlepszym pomysłem jest chodzić na wybory. Jeśli będziesz w lokalu wyborczym wcześnie rano to utrudnisz zadanie oszustowi. Jeśli pójdziesz do lokalu wieczorem, a oszust był tam wcześniej, dowiesz się o oszustwie i będziesz mógł je zgłosić. Chodzenie na wybory ma też pewne inne zalety np. daje pewien wpływ na to co się dzieje.

Opisany problem z weryfikacją przez mObywatela nie jest – naszym zdaniem – powodem do takiej rozpaczy…

…niemniej problem jest ciekawy i godny przedyskutowania. Skoro już mamy aplikację taką jak mObywatel to zasadne jest dyskutowanie o standardach korzystania z tej aplikacji. De facto zastępuje ona dowód osobisty nawet przy bardzo ważnych czynnościach.

Nie mamy złudzeń i wiemy, że również plastikowe dowody (oraz inne dokumenty na podstawie których można oddać ważny głos w wyborach) da się łatwo podrabiać, a większość z nas nie rozpoznałaby fałszywego dokumentu od razu. Jednak z drugiej strony, skoro już inwestujemy w aplikację mWeryfikator, mogłaby ona posłużyć do zapewnienia maksymalnego możliwego poziomu wiarygodności potwierdzenia tożsamości. PKW najwyraźniej wybrała niższy poziom wiarygodności i zasadne jest zadawanie pytania o to, czy był to dobry wybór?

PS. Nie, głosowanie przez internet nie jest dobrym rozwiązaniem tego problemu. Dlaczego? To tłumaczyliśmy w 15 odcinku naszego niebezpiecznikowego podcastu “Na Podsłuchu”, który możecie za darmo posłuchać w Spotify lub innej dowolnej aplikacji do podcastów na swoim smartfonie, inteligentnym głośniku, a pewnie nawet i jakiejś lodówce podpiętej do internetu.

Przeczytaj także: