Технічна та нормативна сумісність української е‑ID‑екосистеми сьогодні визначається, з одного боку, національним законодавством, а з іншого — європейськими регламентами та міжнародними стандартами, що дедалі більше впливають на архітектуру цифрових сервісів. Базою є Закон України «Про електронну ідентифікацію та електронні довірчі послуги» [1], який задає класи довіри, вимоги до криптографічних алгоритмів і правила визнання засобів ідентифікації. Його доповнюють Закон «Про електронні документи та електронний документообіг» [2] та Закон «Про захист персональних даних» [3], що встановлюють правові межі для роботи з електронними документами і персональними даними. У 2024‑2025 рр. Кабінет Міністрів деталізував технічні аспекти: постанова № 764 визначила порядок роботи провайдерів е‑ідентифікації [4], постанова № 218 запровадила відкритий перелік схем електронної ідентифікації та цифрових гаманців [5], а постанова № 1062 описала процедури оцінки відповідності [6]. Найсвіжіша постанова № 226 [7] вводить ризик‑орієнтовану модель контролю, що стає критичною у світлі стрімкого зростання біометричної автентифікації та загроз deepfake.
До цієї національної рамки «підтягується» європейське право: чинний eIDAS [8] та його оновлення eIDAS 2.0, ухвалене у квітні 2024 р. як Регламент 2024/1183 [8]. Другий документ створює Європейську систему цифрової ідентичності та референс‑гаманець EUDI Wallet, підвищує планку безпеки до рівня FIDO2 + PKI й поширює вимогу «високого» (High) рівня довіри на транскордонні послуги. Україна, прагнучи взаємного визнання своїх е‑підписів і мобільного посвідчення особи, повинна гармонізувати власні рівні автентифікації саме під цю шкалу.
З погляду технічної архітектури застосунок «Дія.ID» виконує роль мобільного гаманця. Він працює на базі протоколу OpenID Connect (стандарт автентифікації поверх OAuth 2.0 для безпечного обміну ідентифікаційними даними), використовує серверну перевірку кваліфікованого електронного підпису (процедура, що підтверджує справжність та цілісність підписаних даних на стороні сервера) і під’єднаний до інтеграційної шини «Трембіта» (Trembita Integration Bus — державна платформа обміну даними між інформаційними системами).
«Трембіта» виступає логічним хабом (центральним вузлом маршрутизації запитів): вона приймає запити формату REST (Representational State Transfer — легковажний веб‑стиль API) або SOAP (Simple Object Access Protocol — формалізований протокол обміну XML‑повідомленнями), веде аудит‑лог (audit log — неперервний журнал подій для контролю й форензики) та зменшує потребу розробникам відомчих систем змінювати власний код під час інтеграції.
Утім, навіть із такою шиною залишаються суттєві бар’єри. По‑перше, різні реєстри зберігають ключові атрибути (ПІБ, адресу, ІПН) у відмінних форматах, що призводить до помилок під час мапінгу. По‑друге, частина реєстрів досі «засіла» на SOAP 1.1 або навіть не має публічних API, тож інтеграторам доводиться створювати дорогі проміжні шлюзи. По‑третє, алгоритми шифрування інколи не збігаються — у деяких системах досі застосовують GOST, тоді як eIDAS 2.0 вимагає NIST‑рекомендовані ECDSA‑криві. Далі постає проблема унікального ідентифікатора: ДРФО, ID картки та номер посвідки МВС не корелюють між собою, а тому автоматична дедуплікація профілів складна. Нарешті, запровадження біометрії без однакових правил зберігання та видалення шаблонів створює можливі колізії з GDPR.
На цьому тлі окреслюють три головні сценарії інтеграції. Перший — «швидкий шлюз», коли для кожного реєстру створюється адаптер, що конвертує дані у схему eIDAS. Це дає найменшу затримку у впровадженні, але накопичує технічний борг: кожна зміна формату в реєстрі тягне ланцюгове оновлення мапінгів. Другий сценарій — перехід до моделі Verifiable Credentials за стандартом W3C VC [9] із використанням протоколу OpenID for Verifiable Presentations [10]. У такому випадку «Дія» стає емітентом цифрових тверджень, а реєстри — їхніми перевіряльниками; користувач показує лише ті атрибути, що потрібні конкретній послузі. Перевага — селективність і децентралізація, які відповідають глобальному тренду безпарольної автентифікації та DID‑моделей (звіт Identity Management Institute, 2025). Недолік — необхідність серйозної переробки мобільних застосунків та модернізації бекендів ЦОВВ. Третій, найамбіційніший шлях — інтеграція «Дія.ID» з EUDI Wallet. Україна може взяти open‑source‑реалізацію, додати власні схеми е‑ідентифікації та пройти обов’язковий пен‑тест. Це відкриває транскордонний обіг посвідок і підписів, але потребує повної відповідності вимогам eIDAS 2.0 щодо криптографії та операційної безпеки.
Світові тенденції 2023‑2025 рр. також коригують вибір технологічної траєкторії. Звіт Keesing Technologies і Juniper Research демонструє, що біометрія стає «золотим стандартом» віддаленої верифікації, а кількість транзакцій із перевіркою живості обличчя зростає на 20 % щороку (Keesing Technologies, 2024). Разом із тим TrustCloud попереджає про зростання помилкових відмов і ризик deepfake‑шахрайства, тож у ланцюг автентифікації доведеться інтегрувати AI‑детектори зображень (TrustCloud, 2025). Інший тренд — перехід на безпарольні механізми Passkeys, що вже підтримуються FIDO Alliance і закріплені у вимогах eIDAS 2.0; це означає, що мобільні гаманці мають відмовлятися від OTP‑паролів та SMS. Нарешті, розвиток мобільних водійських посвідчень за стандартом ISO/IEC 18013‑7:2024 (ISO/IEC 18013‑7, інформація на порталі ISO) демонструє, що ринок рухається до уніфікованих API й форматів QR‑передавання даних, сумісних із VC.
Щоб перетворити бар’єри на дорожню карту розвитку, Кабінету Міністрів варто формально зіставити національні рівні довіри з градацією eIDAS 2.0, затвердити єдиний словник атрибутів у форматі JSON‑LD і XSD та перейняти NIST‑криптографію. Паралельно слід запустити пілотний обмін Verifiable Credentials на прикладі студентських посвідчень: такий обмежений домен дозволяє дешево відпрацювати роль емітента, власника й перевіряльника. Модернізація «Трембіти» до GraphQL‑gateway та додавання event‑driven‑журналу з апостеріорним записом у блокчейн‑реєстр забезпечать масштабованість і прозорість інтеграцій. І, звісно, у фронтові сервіси «Дії» потрібно вбудувати AI‑фільтри deepfake та чітку політику зберігання біометрії, узгоджену з GDPR.
У підсумку сумісність e‑ID‑систем – це не одноразовий проєкт, а постійний процес балансування між нормотворчістю та технологічними інноваціями. Україна вже має сильну відправну точку у вигляді «Дія.ID» і розвиненої шини «Трембіта», однак справжню інтероперабельність принесе лише гармонізація з eIDAS 2.0, перехід до глобальних стандартів Verifiable Credentials та впровадження сучасних AI‑захистів. Саме так технічні бар’єри можуть стати каталізатором еволюції, що зміцнить позиції цифрової держави на європейському ринку послуг.
Список літератури:
1. ЗАКОН УКРАЇНИ «Про електронну ідентифікацію та електронні довірчі послуги». Офіційний веб‑портал Верховної Ради України. URL: https://zakon.rada.gov.ua/laws/show/2155-19 (дата звернення: 21.04.2025).
2. ЗАКОН УКРАЇНИ «Про електронні документи та електронний документообіг». Офіційний веб‑портал Верховної Ради України. URL: http://zakon.rada.gov.ua/cgi-bin/laws/main.cgi?nreg=851-15 (дата звернення: 21.04.2025).
3. ЗАКОН УКРАЇНИ «Про захист персональних даних». ІПС «Будстандарт». URL: https://online.budstandart.com/ua/catalog/doc-page.html?id_doc=51999 (дата звернення: 21.04.2025).
4. ПОСТАНОВА КМУ «Деякі питання електронної ідентифікації та електронних довірчих послуг» № 764 від 28.06.2024. Офіційний веб‑портал Верховної Ради України. URL: https://zakon.rada.gov.ua/laws/show/764-2024-%D0%BF (дата звернення: 21.04.2025).
5. ПОСТАНОВА КМУ «Про затвердження Порядку ведення переліку схем електронної ідентифікації, гаманців з цифровою ідентифікацією» № 218 від 27.02.2024. Офіційний веб‑портал Верховної Ради України. URL: https://zakon.rada.gov.ua/laws/show/218-2024-%D0%BF (дата звернення: 21.04.2025).
6. ПОСТАНОВА КМУ «Про затвердження Порядку проведення процедури оцінки відповідності у сферах електронної ідентифікації та електронних довірчих послуг» № 1062 від 13.09.2024. Офіційний веб‑портал Верховної Ради України. URL: https://zakon.rada.gov.ua/laws/show/en/1062-2024-%D0%BF?lang=uk#Text (дата звернення: 21.04.2025).
7. ПОСТАНОВА КМУ «Про затвердження Порядку оцінки ризиків і наслідків неправомірного використання чи підміни ідентифікаційних даних користувачів послуг електронної ідентифікації…» № 226 від 28.02.2025. Офіційний веб‑портал Верховної Ради України. URL: https://zakon.rada.gov.ua/laws/show/226-2025-%D0%BF (дата звернення: 21.04.2025).
8. Regulation (EU) No 910/2014 of the European Parliament and of the Council on electronic identification and trust services for electronic transactions in the internal market (eIDAS). EUR‑Lex. URL: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32014R0910 (дата звернення: 21.04.2025).
9. Regulation (EU) 2024/1183 of the European Parliament and of the Council establishing a European Digital Identity Framework (eIDAS 2.0). EUR‑Lex. URL: https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=OJ:L_202401183 (дата звернення: 21.04.2025).
10. W3C. Verifiable Credentials Data Model 1.1. World Wide Web Consortium. URL: https://www.w3.org/TR/vc-data-model/ (дата звернення: 21.04.2025).
_________________________
Науковий керівник: Аведян Людмила Йосипівна, кандидат економічних наук, доцент, Харківський національний економічний університет імені Семена Кузнеця
|
Голосування 
Ця робота ліцензується відповідно до Creative Commons Attribution 4.0 International License
Знайшли помилку? Виділіть помилковий текст мишкою і натисніть Ctrl + Enter