Az ARF 2.9.0 véglegesíti az ellenőrző felek regisztrációját (X. téma): mi változott a WRPAC szempontjából

Ha eddig kizárólag a jogi szöveg lencséjén keresztül követted a WRPAC-kötelezettséget, akkor a specifikációnak csak a felét olvastad. A végrehajtási rendelet azt mondja meg, hogy regisztrálnod kell. Azt nem mondja meg, hogyan fogja egy tárca felismerni a regisztrációdat egy tranzakció pillanatában. Ez a második fél az architektúra- és referenciakeretben (ARF) él, és 2026. május 21-én jelentős lépéssel közelebb került a lezáráshoz: az ARF 2.9.0-s verziója Véglegessé nyilvánította az X. témát — az ellenőrző felek regisztrációját.

Egy EUDI Tárca-integrációt tervező ellenőrző fél számára ez hónapok óta a legfontosabb ARF-kiadás. Lássuk, mi változott valójában, és miért számít ez a WRPAC-stratégiád szempontjából.

Mi az ARF, és miért fontos szó az, hogy „Végleges”

Az ARF az Európai Bizottság élő technikai kísérője az eIDAS 2.0 rendelethez. Ahol a jogi aktusok kötelezettségeket fogalmaznak meg, ott az ARF azokat magas szintű követelményekként (HLR-ekként) fejezi ki — számozott, tesztelhető állításokként, amelyekre az implementálók (tárcaszolgáltatók, kibocsátók és ellenőrzők) építenek. Minden funkcionális területet egy „téma” fog össze, és a témák a tervezeti és vitastátuszokon át jutnak el a Végleges nyilvánításig.

Az, hogy egy téma Véglegessé válik, nem fagyasztja be örökre — az ARF továbbra is módosul —, de azt jelzi, hogy a munkacsoport elég stabilnak tartja a területet ahhoz, hogy építeni lehessen rá anélkül, hogy a talaj kicsúszna a lábad alól. Az ellenőrző felek regisztrációját lefedő X. téma elérése azt jelenti, hogy a regisztrációs adatmodell és a hitelesítési mechanika mostantól szándékos célpont, nem mozgó.

Pontosan ez az a biztosíték, amire egy ellenőrző félnek szüksége van, mielőtt mérnöki időt fektet bele. Ez ugyanaz a különbség, amelyet az Éles WRPAC vs. sandbox-tanúsítvány cikkben húztunk meg: stabil specifikációra építeni, szemben egy tervezettel, amelyet újra kell majd építeni.

Az X. téma közérthetően: három dolog, amit be kell jelentened

Az ellenőrző felek regisztrációja a 2.9.0-ban véglegesítve azt a láncot formalizálja, amely attól, hogy ki vagy odáig fut, hogy mit enged majd kérni egy tárca. Három magas szintű követelménykategória horgonyozza le:

1. Az ellenőrző fél hitelesítése. A tárcának — és a mögötte álló felhasználónak — kriptográfiailag igazolnia kell tudnia, hogy az attribútumokat kérő fél azonos azzal a féllel, amely regisztrált. Ezt a szerepet tölti be a gyakorlatban a Wallet-Relying Party Access Certificate (WRPAC): a regisztrált identitásodat a prezentációs kéréseidet aláíró kulcsokhoz köti.

2. Kapcsolattartási és azonosítási adatok. A regisztrációs rekordnak ellenőrizhető információt kell hordoznia az ellenőrző fél mögött álló jogi entitásról — azokat az adatokat, amelyeket egy nemzeti nyilvántartás tárol, és amelyeket egy tárca a felhasználó elé tud tárni, hogy tudja, ki kérdez.

3. Tervezett felhasználás (a kért attribútumok). Egy ellenőrző fél a regisztráció időpontjában jelenti be, mely attribútumokat szándékozik kérni és milyen célból. A tárca ezt követően az élő kérést össze tudja vetni ezzel a bejelentett hatókörrel. Kérj többet, mint amennyire regisztráltál, és egy szabványkövető tárca elutasíthat.

Ezt a harmadik pontot becsülik alá a legtöbb csapatban. A regisztráció nem egyszeri bürokratikus kapu — egy hatókör-borítékot határoz meg, amely minden tranzakciódat korlátozza, amit valaha futtatni fogsz. Egy életkor-ellenőrzési felhasználási esetnél ez felszabadító: az az ellenőrző fél, amely csak életkor-igazoló attribútumra regisztrál, láthatóan, bizonyíthatóan képtelen születési dátumot vagy teljes identitást kérni — éppen ez az az adattakarékossági narratíva, amelyet a szabályozók hallani akarnak. Ugyanezt az elvet az adatvédelem szemszögéből vizsgáltuk a GDPR-megfelelőség: hogyan minimalizálja az eIDAS az adatgyűjtést cikkben.

Hogyan kapcsolódik az X. téma a WRPAC-hoz és a WRPRC-hez

Az ARF két tanúsítványtípust különböztet meg, amelyek a regisztráció tetejére épülnek, és a 2.9.0 X. témája a kötőszövet közöttük:

• WRPAC — Wallet-Relying Party Access Certificate. Az ellenőrző felet hitelesíti a tárca felé, amikor hozzáférési (prezentációs) kérést intéz. Ez az a tanúsítvány, amely a legtöbb kereskedőt és ellenőrzőt érdekli.
• WRPRC — Wallet-Relying Party Registration Certificate. Magát a regisztrációt tanúsítja — a nemzeti nyilvántartásba bejegyzett jogosultságokat és a tervezett felhasználás hatókörét.

Az X. téma az, ami koherenssé teszi ezt a kettőt: meghatározza a regisztrációkor rögzített adatokat (a WRPRC tartalmát) és azokat a hitelesítési követelményeket, amelyeknek a hozzáférési tanúsítványnak (WRPAC) meg kell felelnie. Ha elolvastad az ellenőrző felek regisztrációjáról szóló teljes útmutatónkat, akkor az X. téma az ott leírt folyamat HLR-szintű kifejeződése.

A jogi fél: a 2025/848 végrehajtási rendelet

Az ARF nem áll önmagában. Az ellenőrző felek regisztrációjának jogi alapja a Bizottság (EU) 2025/848 végrehajtási rendelete, amelyet az eIDAS rendelet 5b. cikk (11) bekezdése alapján fogadtak el. Két dátum számít:

• 2025 közepén lépett hatályba (röviddel a 2025. május 6-i elfogadás után).
• Az érdemi kötelezettségei 2026. december 24-től alkalmazandók.

Ez a második dátum az, amit be kell karikázni. Ahogy az EU-27 WRPAC-státusz pillanatképben dokumentáltuk, jelenleg egyetlen tagállam sem üzemeltet nyilvánosan ellenőrizhető éles WRPAC-utat, és az eIDAS Dashboard EU-szintű megbízhatósági lista végpontja még nincs publikálva. Ez nem kudarc — egyszerűen még nem érkezett el az alkalmazás kezdőnapja. Az, hogy az ARF 2.9.0 a jogi kötelezettség alkalmazása előtt véglegesíti az X. témát, a rendszer helyes sorrendben működő működése: előbb stabilizáld a specifikációt, aztán nyisd meg a nyilvántartásokat.

Egy megjegyzés arról, amit még nem tudunk megerősíteni. Annak pontos köre, hogy egy ellenőrző félnek mit kell benyújtania a 2025/848 I. melléklete alapján — és hogy a regisztrációs aktus körüli 2026 márciusi vita (amelyet olyan iparági testületek vetettek fel, mint a Bitkom, amely azt érvel, hogy a technikai részleteknek a szabványokban van a helyük, nem a jogszabályban) átformálja-e ezt a kört — továbbra is mozgásban van. Kezeld az I. melléklet mezőlistáját szerkezetében stabilként, de a részleteket ellenőrizd a hivatalos szöveggel szemben, mielőtt regisztrációs űrlapot építenél.

Mit jelent ez az ütemterved szempontjából

A gyakorlati tanulság a sorrendiségről szól. Az, hogy az X. téma Végleges, lehetővé teszi, hogy már most valódi munkát végezz, a 2026. december 24-i alkalmazási dátum előtt:

Egy olyan ellenőrző fél számára, amelynek felhasználási esete kifejezetten az életkor-ellenőrzés, a sorrendiség még tisztább, mert az EU életkor-ellenőrzési referenciaimplementáció már most gyakorolja a követelmények verifier-oldalát egy tesztkörnyezetben — lásd hamarosan érkező társcikkünket az életkor-igazolásnak az EU Trusted Listtel szembeni validálásáról, valamint a DC API / OpenID4VP kérésfolyamatról, amelyet egy regisztrált ellenőrző fél használ ezeknek a kéréseknek a megtételére.

A lényeg

Az ARF 2.9.0 nem változtatta meg a WRPAC határidejét — az továbbra is 2026. december 24. a 2025/848 végrehajtási rendelet szerint. Amit megváltoztatott, az a magabiztosságod: a regisztrációs adatmodell és a WRPAC alatti hitelesítési mechanika mostantól Végleges téma. Úgy építhetsz rájuk, hogy nem kell mozgástól tartanod.

Azok az ellenőrző felek, amelyek az első napon készen állnak, nem azok, amelyek a nyilvántartások megnyitására várnak. Hanem azok, amelyek ma már eldöntötték a tervezett felhasználás hatókörét, felépítették a kérésaláíró folyamatukat a stabil X. téma modelljére, és végponttól végpontig tesztelték. Az ARF 2.9.0 a zöld jelzés ahhoz, hogy egyikük legyél.

Ez a bejegyzés az ARF 2.9.0-s verziójának (2026. május 21.) és a 2026 júniusi szabályozási helyzetnek megfelelő állapotot tükrözi. Mindkettő aktív 2026-os ütemben mozog — ellenőrizd a dátumokat és a melléklet részleteit a hivatalos ARF-repozitóriummal és az EUR-Lexszel szemben, mielőtt rájuk hagyatkoznál.