Ügyfélkapu+ szolgáltatásról könyvelői szemmel
Jelenlegi ismereteink szerint 2025.01.16-tól a Központi Azonosítási Ügynök (KAÜ) azonosítási szolgáltatása már csak Ügyfélkapu+ vagy DÁP mobilalkalmazással lesz használható. Ennek apropóján az Ügyfélkapu+ szolgáltatásról fogok írni, illetve használatának a könyvelői munkára gyakorolt hatásáról.
Mi a különbség az Ügyfélkapu és az Ügyfélkapu+ között?
Az Ügyfélkapu használata ma már a mindennapjaink részévé vált, nem csak vállalkozások esetében, hanem a magánszemélyeknél is. Az Ügyfélkapu a kormányzat elektronikus azonosító rendszere, mely biztosítja a felhasználók számára, hogy egyszeri belépéssel kapcsolatba léphessenek az elektronikus közigazgatási ügyintézést és szolgáltatást nyújtó szervekkel. Ügyfélkaput csak természetes személy létesíthet, mégis akiknek vállalkozása van gyakran nincsenek tisztában azzal, hogy az Ügyfélkapu a magánszemélyükhöz köthető. A magánszemély kötődése a saját vállalkozásához (akár egyéni vállalkozó, akár cég törvényes képviselője) lesz az, ami miatt vállalkozóként is használni fogja ezt az azonosítást. Vállalkozóknak tipikusan a könyvelőjük intézi a vállalkozáshoz kapcsolódó dolgait. Az ehhez kapcsolódó meghatalmazás elkészítéséhez vagy elfogadásához a vállalkozó a saját belépési adatait használja.
A Kormányzati Portálon történő ügyintézés egy felhasználónév és jelszó páros megadásával történik, a háttérben saját adatok és email cím is tárolva van. A felhasználói nevet és jelszót védeni kell(ene) a jogosulatlan hozzáféréstől, viszont tapasztalatok szerint ezt sokan nem szokták szigorúan venni. Kb úgy kezelik sokan, mint egy sima email cím és jelszó párost. Pedig az Ügyfélkapu belépési adatait elektronikus aláírásra is lehet használni, és ki szeretné ha a nevében illetéktelen bármit aláírhatna helyette?
Az elektronikus azonosítás biztonsági szintjét támogatja az úgynevezett kétfaktoros azonosítás. Az Ügyfélkapu+ azonosítási mód lényege, hogy az általánosan használt jelszó alapú, egyfaktoros azonosítási módot kiegészítse egy következő faktorral. Ezt a második faktort több eszköz és módszer is biztosíthatja. Jellemző példa ilyen eszközre egy laptopon található ujjlenyomat olvasó vagy egy, csak az adott felhasználó birtokában lévő eszközhöz köthető és rövid ideig érvényes, egyszer használatos jelszó.
Tehát a meglévő Ügyfélkapu felhasználónév és jelszó mellett egy harmadik adat segítségével azonosítjuk magunkat. Ez utóbbi az ügyfélkapus azonosítás esetében egy mobil eszközre telepíthető hitelesítő alkalmazás által generált kód. Ez a kód NEM SMS-ben és nem is emailen érkezik! Ennek köszönhetően egyrészt elérhetőek olyan szolgáltatások, ahol a szolgáltató megköveteli a magasabb azonosítási szintet. Másrészt ha illetéktelen személy hozzájut az ügyfélkapus felhasználónévhez és jelszóhoz, a második faktornak köszönhetően ezek birtokában sem fog tudni bejelentkezni.
Hogyan működik az Ügyfélkapu+ emelt szintű, kétfaktoros azonosítása?
A szolgáltatásban a második faktort egy, a felhasználó birtokában lévő mobil eszköz (telefon, táblagép) által biztosított egyszer használatos jelszó biztosítja. Bejelentkezéskor a felhasználói néven és jelszaván kívül egy, pl. a mobiltelefonra telepített Hitelesítő (Authenticator) alkalmazással generált egyszer használatos és 30 másodpercenként frissülő kódot is meg kell adni. Az authentikátor használatához nincs szükség internetre: az alkalmazás az ideiglenes kódot a saját belső ideje alapján számolja ki. Mobil eszköz, ill. okostelefon hiányában lehetőség van webes felületről elérhető hitelesítő alkalmazást (TOTP) használni, de ezt alapvetően nem javasolják.
Mobil eszközre telepíthető alkalmazás például az Android és az iOS platformra is díjmentesen elérhető:
- NISZ Hitelesítő,
- Google Hitelesítő vagy
- Microsoft Authenticator,
- de számtalan más ingyenes alkalmazás megfelel a célnak.
A választott és telepített hitelesítő alkalmazás folyamatosan – internet kapcsolat nélkül – szolgáltatja azt az egyszer használatos kódot, amely az adott 30 másodperces idősávban érvényesen használható a kulcshoz tartozó felhasználói fiókhoz. A működéshez az Ügyfélkapu adminisztrációs felületén az eszközpárosítás során kell letölteni az említett kulcsot a telefonra QR-kód beolvasásával vagy a kód alatti karaktersorozat beírásával.
Hogyan lehet váltani az Ügyfélkapu+ kétfaktoros azonosításra?
- Első lépésként a már fent említett valamilyen hitelesítő alkalmazást kell telepíteni egy mobil eszközre (telefon, tablet).
- A https://ugyfelkapu.gov.hu/ oldalon az eddig megszokott módon felhasználónév + jelszó párossal be kell lépnünk.
- A megjelenő adminisztrációs oldalon válasszuk az „Ügyfélkapu+ igénylése” funkciót, majd kattintsunk a „Tovább az Ügyfélkapu+ igényléséhez” gombra.
- Ezután következik az általunk választott eszköz párosítása. Ehhez indítsuk el a mobil eszközön a telepített hitelesítő alkalmazást és válasszuk ki a felkínált funkciók közül a QR kód beolvasását vagy a manuális rögzítést.
- Manuális rögzítéskor a felhasználói fiók neve alapértelmezetten az ügyfélkapus felhasználói név és a „@ugyfelkapu.gov.hu” karaktersorozat.
- Például, ha a felhasználónevünk „minta123”, akkor az alkalmazás fiók adatmezőjébe a következő azonosítót kell rögzíteni: „minta123@ugyfelkapu.gov.hu”.
- A kulcsszóra vonatkozó adatmezőbe az Ügyfélkapu+ eszközpárosítás képernyőjén a QR-kód alatt található karaktersorozatot kell beírni, majd a „Hozzáadás” gombra kattintsunk.
- Azonosítás típusának mindig az „Időalapú” (azaz TOTP = Time-based One-Time Password) beállítást kell választani, ami általában alapbeállítás, így csak jóvá kell hagyni.
- A sikeres eszközpárosítás ellenőrzéséhez a képernyőn meg kell adni az ügyfélkapus jelszót és a mobil eszközön elindított hitelesítő alkalmazás által generált egyszer használatos kódot. A „Tovább„ gombra kattintva megtörténik a megadott adatok ellenőrzése. Amennyiben az ügyfélkapus jelszót és a generált kódot is helyesen adtuk meg, ”Az eszközpárosítás sikeres volt” üzenet jelzi a beállítás sikerességét.
- Sikeres eszközpárosítást követően megjelenik a felületen egy törlőkód. A „Törlőkód mentése„ gombra kattintva feltétlenül mentsük el a törlőkódot! Erre a mobil eszköz elvesztése vagy eltulajdonítása esetén lesz szükség, mivel ennek segítségével lehet megszüntetni az eszközpárosítást. Ezért olyan helyre mentsük el, ahol akár több év múlva is meg fogjuk találni!
- Pipáljuk ki a törlőkód mentésére vonatkozó jelölőnégyzetet, majd kattintsunk a „Befejezés” gombra.
- A következő belépéskor már az Ügyfélkapu+ szolgáltatást kell választani az azonosítás során.
A QR-kód, illetve a kulcsszó több mobil eszközre is beolvasható, így több eszköz használata esetén mindegyikről el lehet érni az emelt szintű azonosítási szolgáltatáshoz szükséges egyszer használatos jelszó funkciót. Ehhez természetesen először a többi eszközre is telepítenie kell egy Hitelesítő alkalmazást, továbbá fontos, hogy mindegyiken ugyanazt a kódot, ill. kulcsszót kell beolvasni.
Miként érinti a könyvelőirodai folyamatokat a 2025.január 16-tól megváltozó azonosítási szolgáltatás?
Ha jól működő rendszerben élnénk, azt gondolhatnánk hogy ez semmiben nem érinti a meghatalmazással ügyeket intéző könyvelők (és ügyfeleik) életét. Ha a könyvelő meghatalmazással dolgozik, akkor a saját telefonját párosítva a rendszerhez igaz, hogy némi plusz időt vesz igénybe a belépés, de elvileg minden más változatlan marad. Elvileg… nézzünk néhány akadályt:
- Aki az ÁNYK csoportos beküldés funkcióját használja (én is szeretem), annál minden bevallás esetén újra beléptetés történik. Ennek következménye, hogy ügyfélkapu+ szolgáltatás esetén bevallásonként mindig új kódot kell majd megadni. Ez a beküldés folyamatát nagyon le fogja lassítani, hiszen eddig elindítottam pl. 100 bevallást és legfeljebb a másik monitoron böngésztem valamit, vagy ittam egy kávét, most majd 100-szor kell begépelni a küldés közben a folyamatosan változó 6 számjegű kódot…
- Ahol alkalmazottak is dolgoznak, sokszor a meghatalmazott „főnök” belépési adatait használják, ha bármit be kell küldeni a hivatalok felé. Na most a telefonját mégsem kérhetik el egész napra, hogy dolgozni tudjanak. Szerencsére több készülék is párosítható 1 ügyfélkapus fiókhoz, de technikailag ezt kivitelezni kell. Arról pedig ne is beszéljünk, ha a készülék(ek)et cserélni kell… Ez ráadásul csak egy félig meddig szabályos eljárás, hiszen a „főnök” sem adhatná ki a saját belépési adatait… Teljesen szabályos eljárás az lenne, ha minden alkalmazottnak is lenne saját meghatalmazása, és a saját belépési adatait használva a saját telefonjával történne a belépés…
- Viszont örömként élem meg ebben: akik eddig minden bevallást az ügyfél jelszavával küldtek be, azok számára megnehezítik ezt a korábbi (szabálytalan) gyakorlatot. Hiszen vagy mindig kell az ügyfél telefonja is (aki esetleg nem örül, ha 20-án este 10-kor kellene kódot megadnia, ami 30 másodpercenként változik) vagy a könyvelőnek kellene mindenki kódgenerálóját pluszban a saját telefonján is kezelni…
Ugyanakkor a meghatalmazással dolgozó könyvelők munkáját is megnehezíti pluszban abból a szempontból, hogy a meghatalmazással NEM intézhető ügyek esetén (pl. egyéni vállalkozók kizárólag webes ügysegéden intézhető indulása, szünetelése, megszűnése, stb…) szintén meg kell oldani a vállalkozókkal történő ügyintézés mikéntjét.
A témával kapcsolatos fejlemények függvényében további írások várhatók a közeljövőben. Ezekben szeretnék kitérni a szabályos eljárásrendekre, illetve mit és hogyan érdemes szabályozni.
Az alábbiakban néhány gyakran ismételt kérdés-választ igyekeztem összeszedni. Nézzük először az általános, vagy technikai kérdéseket:
A KAÜ súgójában található leírás alapján igen. Amennyiben a határidő módosulna, arról tájékoztatást fogok közzé tenni.
Jelenleg szabadon dönthetünk, hogy szeretnénk-e használni. Amennyiben viszont a kétlépcsős szolgáltatásra váltottunk, abban az esetben minden bejelentkezéskor már csak az Ügyfélkapu+ azonosítással tudjuk magunkat azonosítani, a „sima” ügyfélkapuval (plusz hitelesítő kód nélkül) nem.
A TOTP a Google Authenticator mobilalkalmazás webalapú megfelelője, mely szintén összeköthető az ügyfélkapu+ szolgáltatással. Ezután ez is 30 másodpercenként generál egyszeri jelszavakat. Ez a legkevésbé biztonságos megoldás, mivel ugyanazon az eszközön is futhat a 2 külön alkalmazás.
Igen, van rá lehetőség (2025.01.16 előtt). Ez a Beállítások -> Aktiválás és inaktiválás menüpontban érhető el (Ügyfélkapu+ inaktiválása). Az inaktiválás során csak a szolgáltatás kikapcsolása történik meg, az eszközpárosítás nem szűnik meg. Így csak egy kvázi szüneteltetés történik, és az ismételt aktiváláskor nem lesz szükség eszköz újrapárosításra.
A szolgáltatásra történő regisztrációkor kapott törlőkód birtokában meg kell szüntetni az Ügyfélkapu+ szolgáltatást. Ehhez az ügyfélkapu portálon a belépés helyett az „Ügyfélkapu+ megszüntetését„ kell választani. Meg kell adnunk a felhasználónevet, a jelszót és a törlőkódot, majd kattintsunk az „Ügyfélkapu+ megszüntetése” gombra. Ne felejtsük el a hitelesítő alkalmazásban is törölni a hozzá rendelt fiókot. Ezután a „tiszta lappal” indulhatunk, és a cikkben leírtak szerint újra kell igényelni az Ügyfélkapu+ szolgáltatást és összekapcsolni az új mobil eszközzel.
Két módon lehet új törlőkódot igényelni:
1) Kormányablakban személyes ügyintézés keretében.
2) Online módon videótechnika segítségével: https://videochat.gov.hu/welcome?caseType=UkapuReg
Erre vonatkozóan a NISZ Zrt nem rendelkezik információval.
Könyvelőirodai folyamatokat érintő kérdések
Az ügyfélkapu+ szolgáltatás aktiválása nem érinti a már meglévő meghatalmazásokat. A változás mindössze a KAÜ azonosítás módjára vonatkozik.
Amennyiben a könyvelő minden ügyfél esetében rendelkezik meghatalmazással, akkor a saját választott azonosítási módja nem érinti az ügyfelekkel való együttműködést.
Ha érdekelnek hasonló, a könyvelők mindennapi életében előforduló témák, akkor szemezgess további írásaimból, vagy kövesd Facebook oldalamat.
Heti rendszerességű hírlevelemben pedig további rövid érdekességek, figyelemfelhívó gondolatok szerepelnek. Iratkozz fel, ha nem szeretnél lemaradni róla! Egy meglepetés ajándék is vár rád 🙂