Federaciju BIH potresa ozbiljan skandal, nakon što je u javnost isplivao spor oko e-potpisa, odnosno kvalifikovanih potvrda.
IDDEEA-a i UIO su optužile Poresku upravu Federacije BiH da zbog svoje nespremnosti, dodatno izlažu građane i privredu troškovima za nabavku novih digitalnih kvalifikovanih potvrda od ovjerilaca JP BH Pošta i Halcom dd Ljubljana, a koje već izdaju i UIO i IDDEEA.
Portal Vijesti.ba došao je do podataka da je Porezna uprava angažirala kompaniju iz Srbije da za njih razvije informatičko rješenje za elektronsko podnošenje poreznih prijava za fizička i pravna lica u FBIH.
U tom sistemu trenutno se mogu koristiti elektronski potpisi samo od dvije kompanije, Halcom d.d. Ljubljana i JP BH Pošta. Dvije državne opcije kvalifikovanog elektronskog potpisa UIO i IDDEEA, trenutno nisu podržane u sistemu Porezne uprave FBIH.
Uprava za indirektno oporezivanje BiH (UIO) je već izdala svoje kvalificirane potpise pravnim licima širom BiH još od 2023. godine, ali sada ti potpisi, njih preko 20 hiljada, nisu prihvaćeni za podnošenje prijava kod Porezne uprave FBiH. IDDEEA također nudi kvalificirane elektronske potpise besplatno građanima putem svoje mreže aktivacijskih lokacija i sistema e-Potpis.
Ako bi se uvažila procjena da će biti oko 500.000 korisnika (fizičkih i pravnih lica) koji bi trebali koristiti ovu uslugu PUFBIH, te da je cijena e-potpisa oko 140 KM godišnje, to znači da bi građani i privreda mogli ukupno platiti oko 70 miliona KM godišnje za certifikate koje bi mogli dobiti besplatno kod IDDEEA i(li) koje već pravna lica imaju od UIO.
Dodatno, neki upozoravaju da bi na taj način sve prijave i tehničku obradu poreskih zahtjeva kroz to rješenje radila strana firma iz Srbije, umjesto domaći ili državni sistem. Također, treba odgovoriti na pitanje I da li to znači da će se prijava JMB i drugih ličnih podataka za potrebe e-potpisa koristi kroz sistem Halcom iz Slovenije, kojem će se dodatno plaćati korištenje usluga?
„Digitalna revolucija“ ili pravni haos: Badnjević ignoriše presudu Suda BiH, IDDEEA prikuplja elektronske potpise građana „na daljinu“ bez zakonskog osnova, piše Istraga.ba.
Predstavnici Agencije za identifikacione dokumente, evidenciju i razmjenu podataka BiH (IDDEEA) i MUP-a Kantona Sarajevo prošle sedmice predstavili su servis eDokumenti – CIPS, putem kojeg građani Kantona Sarajevo, kako je rečeno, od sada mogu elektronskim putem dobijati CIPS potvrde, uz preduslov da posjeduju važeći elektronski potpis deponovan u IDDEEA-i. Nekoliko dana prije ovog događaja, koji je promoviran kao važan korak prema digitalizaciji procesa i modernizaciji javne uprave, Apelaciono vijeće Suda Bosne i Hercegovine donijelo je presudu kojom se odbija tužba IDDEEA-e protiv Rješenja Agencije za zaštitu ličnih podataka u BiH. Tim Rješenjem je IDDEEA-i ranije zabranjeno da građanima dodjeljuje elektronski identitet bez zakonskog osnova, te im je naloženo da izbrišu lične podatke građana BiH koji su prikupljeni u fazi testiranja sistema elektronskog identiteta građana.
Uprkos pomenutoj sudskoj presudi i zabrani koju je donijela Agencija za zaštitu ličnih podataka, IDDEEA je nastavila sa razvijanjem e-servisa u okviru kojih prikuplja elektronske potpise građana. Direktor IDDEEA-e Almir Badnjević tvrdi da se zabrana ne odnosi na servis eDokumenti jer, kako kaže, „elektronski identitet i kvalifikovani elektronski potpis nemaju veze jedno s drugim“.
– Naime, iz „neznanja“ i „nepoznavanja“ tematike, u ovu priču elektronskog identiteta koji je ugašen ustvari od jula 2024. godine, navedena gospoda su uvukli i priču elektronskog potpisa, koji se nigdje ne spominje u rješenju Agencije AZLP ili Suda BiH. Elektronski identitet i kvalifikovani elektronski potpis nemaju veze jedno s drugim. Nadležnost nad elektronskim potpisom ima isključivo Ministarstvo komunikacija i prometa BiH – kaže Badnjević.
Međutim, iz presude Suda BiH vidljivo je da se suprotno Badnjevićevim tvrdnjama, elektronski potpis spominje u najvećem dijelu presude. Kako je potvrđeno presudom Apelacionog vijeća Suda BiH od 28. novembra, IDDEEA je uspostavila sistem i obrađivala podatke u testnoj fazi koji nisu propisani zakonom, a taj sistem obuhvata i elektronski potpis građana.
– Naime, Zakon o elektronskom potpisu ne poznaje termine „udaljenog potpisa” ili „potpisa u oblaku”, niti je navedenim zakonom regulisana obrada ličnih podataka, pa Agencija nema zakonskog osnova da izdaje potpise u oblaku ili udaljene potpise, s obzirom da je zakonski ovlaštena da izdaje kvalificirane digitalne potpise koji su sastavni dio lične karte. Dakle, nije propisan sistem elektronskog identiteta, pa nije regulisan ni udaljeni potpis ni potpis u oblaku, a taj sistem ne propisuje ni Zakon o IDDEEA BIH – navodi se u presudi Suda BiH.
Termini „udaljeni elektronski potpis” i „potpis u oblaku” odnose se na način kako se elektronski potpis tehnički stvara i čuva. Kod udaljenog ili „cloud“ potpisa certifikat i privatni ključ ne nalaze se na računaru ili USB tokenu građanina, već su smješteni na serverima ovlaštenog pružaoca usluge. Građani dokument potpisuju na daljinu, obično uz dvofaktorsku autentifikaciju (lozinka i SMS kod, mobilna aplikacija, biometrija). U slučaju agencije IDDEEA, vijeće Suda BiH naglasilo je da IDDEEA nema implementirano rješenje za tzv. potpis u oblaku, te da “ima isključivo uspostavljene sisteme za izdavanje elektronskog potpisa zasnovanog na kvalifikovanoj potvrdi”. Elektronsko obrađivanje podataka na drugačiji način i bez zakonskog osnova, prema ocjeni Apelacionog vijeća, “otvara mogućnost zloupotrebe ličnih podataka” građana.
– Kako je pravni osnov za obradu ličnih podatka član 18 Zakona o elektronskom potpisu, dakle propisana je zaštita ličnih podataka tako da ovjerilac može koristiti samo one lične podatke koji su potrebni samo neposredno od lica o kojem se radi ili uz njegovu saglasnost od treće strane, to tužitelj nije imao zakonski osnov za elektronsko obrađivanje podataka na drugačiji način – zaključili su članovi Vijeća.
Na temelju sudskih i upravnih odluka jasno je da IDDEEA trenutno nema pravni osnov da od građana uzima i deponuje elektronske potpise na daljinu. Ipak, direktor Badnjević odlučio je ignorisati sudsku presudu i iskoristiti svojevrsni pravni vakuum kako bi se uspostavio sistem elektronskog izdavanja CIPS-a, te ovih dana neumorno otvara urede za aktivaciju elektronskog potpisa u gradovima širom BiH. Općine Novo Sarajevo, Doboj Jug, Usora, Čitluk, Bihać, Brčko, neka su od mjesta u kojima su već uspostavljeni registracijski uredi IDDEEA za aktivaciju kvalifikovanog elektronskog potpisa. Samo za projekte modernizacije centra za personalizaciju dokumenata i mrežnu infrastrukturu te opremu za personalizaciju i integraciju softvera planiran je utrošak od skoro pet miliona eura. Istraga je kontaktirala više stručnjaka za cyber sigurnost koji su ocijenili da otvaranje lokalnih ureda za elektronske potpise bez prethodne uspostave adekvatnih sigurnosnih sistema predstavlja ozbiljan rizik od mogućih hakerskih upada i krađe i zloupotrebe podataka građana. Naime, lokalni IT sistemi često imaju nesigurne mreže koje su ranjive na napade, a otvara se i pitanje obučenosti službenika RA ureda da odgovore na potencijalne sigurnosne incidente.
Umjesto odgovora na konkretne pravne i sigurnosne dileme, brojne kritike koje dobija ovih dana direktor IDDEEA-e Almir Badnjević pokušava pretvoriti u politički problem, optužujući one koji ukazuju na manjkavosti postojećeg sistema za pokušaj rušenja nadležnosti državne agencije. Politički interesi kada je u pitanju rad IDDEEA-e svakako postoje, i to ne samo u Republici Srpskoj gdje aktuelna vlast standardno opstruira sve što nosi predznak državnog, već i u Federaciji BiH. Digitalna transformacija i „revolucija javne uprave“ je prioritetni projekat ministra komunikacija i prometa Edina Forte koji insistira na njenoj što bržoj provedbi, a nema sumnje da će upravo taj segment Naša stranka iskoristiti kao jedan od ključnih argumenata uspjeha svojih političkih predstavnika u nadolazećoj izbornoj godini. Iako je Evropska komisija u svom Izvještaju o proširenju za 2025. godinu navela da u BiH nije bilo napretka u oblasti digitalne transformacije, Forto i Badnjević tvrde kako „takva ocjena ne odražava stvarno stanje“ te da Bosna i Hercegovina ima digitalnu infrastrukturu koja „funkcionira po EU standardima“. Pitanje nije da li treba provesti digitalizaciju, već da li će se ona provesti zakonito, sigurno i u interesu građana ili će cijenu ubrzane „revolucije“ platiti upravo oni čiji se podaci prikupljaju u sivoj zoni prava i sigurnosti.
