Mi is volt valójában a POTENTIAL
A POTENTIAL az európai digitális személyazonossági tárcára (EUDI Wallet) irányuló négy uniós Large Scale Pilot közül a legnagyobb volt. A program 2023 áprilisától 2025 szeptemberéig futott, határidőre zárult, és 2025 novemberében mutatta be a konszolidált zárójelentését. A számok uniós programhoz képest szokatlanul tiszták: 140 szervezet, 19 EU-tagállam plusz Ukrajna, hat felhasználási eset és egyetlen koordinátor — Franciaország nemzeti digitális identitás ügynöksége. Florent Tournois projektkoordinátor mondta ki azt a mondatot, amely azóta tovább utazott, mint a jelentés többi része: a közös szabványokat „szigorúan" kell alkalmazni (Biometric Update, 2025. november 28.). Minden verifier, aki 2027-es élesedést tervez, ezt a mondatot scope-ként olvassa.
A magyar olvasónak külön érdemes rögzíteni: Magyarország nem volt POTENTIAL-tagállam. A magyar piac számára ez nem mentség, hanem feladat — a tanulságokat egy futó hazai pilot védőhálója nélkül kell beemelni a 2027-es felkészülésbe.
Miért nyom többet a latba a POTENTIAL, mint a többi pilot
A négy nagyléptékű pilot — POTENTIAL, EWC, NOBID és DC4EU — sosem volt egyenrangú. A POTENTIAL volt a legnagyobb a résztvevő szervezetek számát tekintve, a legszélesebb a felhasználási esetek lefedettségében, és a legheterogénebb a tagállami részvétel szempontjából. A konzorciumban szerepelt a német Bundesdruckerei és a Deutsche Telekom, a francia Idemia és Amadeus, valamint nemzeti identitásszolgáltatók, bankok, távközlési szereplők, egészségügyi hatóságok és közigazgatási szervek hosszú sora (POTENTIAL konzorcium). Míg az EWC az utazásra és fizetésre, a NOBID az északi fizetési folyamatokra koncentrált, a POTENTIAL tudatosan a nehezebb kérdést tesztelte: ugyanaz a tárca, amelyet egy tagállamban állítottak ki, tisztán működik-e egy másik tagállambeli verifiernél, hat egymástól független üzleti területen, egymástól függetlenül, versengő gyártók által épített implementációkkal.
Ez a pilot valódi jelentősége. Az indulási probléma — összerakni egy nemzeti tárcát egy nemzeti verifierrel — viszonylag könnyű, és sok tagállam már megoldotta. A nehéz probléma a határokon, gyártókon és felhasználási eseteken átívelő interoperabilitás, és a POTENTIAL volt az egyetlen pilot, amelyet kifejezetten azért terveztek, hogy felszínre hozza, hol bomlik el ez. Több törést is felszínre hozott, mint amennyit a kommunikáció címoldalai továbbítottak — és pontosan ezt a részt érdemes a verifiereknek olvasniuk.
A hat tesztelt felhasználási eset
eGov — online közigazgatás. Polgárok határokon átívelően jelentkeztek be tárcájukkal nemzeti e-közigazgatási portálokra: belga tárca egy spanyol önkormányzati szolgáltatáson, olasz tárca egy német szövetségi portálon. Jól illeszkedő bilaterális párokon belül a folyamat tisztán futott, a peremen pedig konzisztens hibákat termelt — különösen ott, ahol a nemzeti garanciaszintek nem feleltethetők meg egy az egyhez az eIDAS LoA-modellnek. Az eGov az a felhasználási eset, amelyet a legtöbb verifier már ma is ért, és a POTENTIAL megerősítette, hogy ez a spektrum egyszerű vége.
Bankszámlanyitás. Távoli KYC tárca alapján, videó-azonosítás vagy fióki megjelenés helyett. A technikai folyamat egyszerű; a szabályozási nem. A POTENTIAL láthatóvá tette a máig feloldatlan feszültséget az AMLD-követelmények és a szelektív adatközlés között: a bankok mindent kérnének, a tárcát viszont a minimumra tervezték, és a tisztán attribútumalapú KYC jogi elfogadottsága országonként eltér. Több pilotbank arról számolt be, hogy párhuzamos dokumentum-feltöltési útvonalat is kellett tartania a megfelelőséghez, akkor is, amikor a tárcaalapú folyamat technikailag lefutott. Egy magyar pénzintézetnek MNB-felügyelet alatt ez a közvetlenül használható tanulság.
SIM- és eSIM-aktiválás — Deutsche Telekom multi-wallet. Az operatívan legérdekesebb ág. A Telekom párhuzamosan tesztelte a SIM-aktiválást több tagállambeli tárcaimplementációval — pontosan az a termelési valóság, amellyel egy 2027-es távközlési szolgáltató szembesülni fog. A megállapítások kijózanítóak: még a POTENTIAL keretein belül is, ahol minden tárca ugyanahhoz az architektúrareferenciához készült, a protokoll szintű viselkedés annyira eltért, hogy a verifier kódjába tárcánkénti feltételes logikát kellett építeni.
Mobil vezetői engedély (mDL). A legérettebb nemzetközi szabvánnyal rendelkező felhasználási eset (ISO/IEC 18013-5) — és nem meglepő módon a legtisztább határokon átívelő viselkedéssel. Az mDL implementációk viszonylag jól interoperáltak, különösen az offline ISO/IEC 18013-5 folyamatoknál. Nehezebb maradt az online prezentáció OpenID4VP-n keresztül, ahol a mdoc-over-OpenID4VP profil még a pilot alatt is konszolidálódott.
Minősített elektronikus aláírás (QES). Tárcaközvetített QES távoli QSCD ellen, az ETSI TS 119 475 mentén. A kriptográfiai folyamat működött. A jogi kötőerejű folyamat nemzeti eltéréseket hozott felszínre abban, hogy a QTSP-k hogyan fogadják el a tárcaalapú aláíró-hitelesítést. A QES a legtöbb verifier számára inkább 2027-es, mint 2026-os feladat.
E-recept. Határokon átívelő gyógyszerrendelés egy másik tagállam patikájában. Az egészségügyi attribútumkészlet érzékenyebb, mint bármely más a pilotban, és a harmonizációnak ellenálló nemzeti egészségügyi adatszabályozásra fut rá. Technikailag életképes, jogilag korlátozott, és inkább az European Health Data Space párhuzamos munkájától függ, mint pusztán a tárca-stacktől.
A hat eseten átívelve a minta egységes: a technikai réteg gyorsabban érik, mint az azt körülvevő jogi és operatív rétegek. Aki 2027-es élesedést scope-ol, a szabályozási leképezést párhuzamos munkacsomagként tervezze az integrációval, és ne lezáró aláírásként utána.
1. tanulság — A szabványok nem opcionálisak
Tournois nem azt mondta, hogy a szabványok fontosak. Azt mondta, hogy „szigorúan" kell alkalmazni őket. A különbség számít. A POTENTIAL-ben a domináns interop-hibák nem hiányzó szabványokból eredtek — az OpenID4VP profil, az ISO/IEC 18013-5, az ETSI TS 119 475 és a kapcsolódó EU Architecture and Reference Framework mind létezett a pilot indulása előtt. A hibák abból fakadtak, hogy az implementációk lazán olvasták a szabványokat.
Hogy mire számítson egy verifier több tárca integrálásakor, az a több gyártós tárca-mérnökségben jól ismert: OpenID4VP kéréspofilok, ahol az egyik tárca client_id_scheme=x509_san_dns-t vár, egy másik redirect_uri-t; CBOR-kanonikalizáció körüli mdoc-kódolási peremesetek, amelyek az egyik könyvtárban működnek, a másikban elhasalnak; presentation-definition struktúrák, amelyeket az egyik verifier JSON Schema-ként elfogad, a másik nem Presentation Exchange 2.0-konformként elutasít; eltérő só-kezelés a SD-JWT-VC implementációk szelektív adatközlésében. A POTENTIAL nyilvános összefoglalója nem sorolja fel ezeket pontról pontra, de pontosan erre a hibakategóriára célzott Tournois „szigorú" szava — és pontosan ez a fajta törés az, amibe 2026-ban beleütköznek azok a verifier-csapatok, amelyek egynél több tárca ellen tesztelnek.
Egy verifier számára a „szigorú" közvetlenül mérnöki gyakorlatra fordul. Azt jelenti, hogy a célzott OpenID4VP profil pontos draftjához pinneljünk, ne általában az „OpenID4VP"-hez. Azt jelenti, hogy élesedés előtt több tárcaimplementációval teszteljünk, ne eggyel. Azt jelenti, hogy az OpenID Foundation conformance suite-ját alapvonalként kezeljük, ne mérföldkőként. És azt jelenti, hogy az EU Reference Frameworköt kötelező scope-ként olvassuk, ne ihletként. Aki ezt élesedéskor átugorja, termelésben örökli ugyanazokat az eltéréseket, amelyeket a POTENTIAL tesztkörnyezetben felszínre hozott.
2. tanulság — A határokon átívelő interop a megoldatlan probléma
Ez az a tanulság, amely a leginkább fenyegeti a 2027-es élesedéseket. Még a POTENTIAL-en belül is — egyetlen koordinált programon belül, közös architektúra-dokumentumokkal, közös tesztinfrastruktúrával és közös finanszírozással — több tárca nem interoperált tisztán több verifierrel out of the box. A párok működtek. A teljes N×M mátrix nem.
A következmény a határokon átívelő kereskedők és szolgáltatók számára 2027-ben kellemetlen. Az eIDAS 2 rendelet jogot ad az uniós polgároknak, hogy bármely tagállamban használják tárcájukat egy verifiernél. A POTENTIAL bizonyítékai szerint a műszaki valóság az, hogy az általános elfogadottság az indulás utáni első 12-18 hónapban egyenetlen lesz. Bizonyos tárca-verifier párok 2027 januárjától stabilak lesznek. Mások verifier-oldali feltételes kezelést, gyártóspecifikus furcsaságokat vagy átmeneti tartalék útvonalakat fognak igényelni.
Magyarország szempontjából a következtetés sajátos: hazai pilot híján a magyar kereskedőknek nincs előzetes, helyi tesztpark, amelyhez igazodhatnának. Ennek pótlása kettős: figyelni kell a lengyel, cseh és osztrák tárcaimplementációk elérhetőségét — ezek lesznek a leggyakoribb határon átnyúló tárcák a magyar pénztárak előtt —, és belsőleg fenntartani egy „tesztelt-és-működő / tesztelt-és-korlátozott / még nem tesztelt" listát, amelyet a support és a fejlesztés egyaránt használ. A kereskedők, akik kihagyják ezt az előrendezést, az interop bug riportokat és az utánuk érkező support ticketeket fogják birtokolni.
3. tanulság — Az attribútumok szigorú meghatározása megtérül
A szelektív adatközlés az a tárca-funkció, amely a legjobban túlélte a valósággal való találkozást. Mind a hat felhasználási esetben azok a POTENTIAL-verifierek, amelyek csak a tranzakcióhoz szükséges minimumattribútumokat kérték, simább folyamatokról, gyorsabb beleegyezésről és alacsonyabb lemorzsolódásról számoltak be. Akik többet kértek — teljes identitáscsomagot, amikor csak életkor kellett, vagy lakcímet, amikor csak a tartózkodási ország számított — látható súrlódást termeltek a felhasználói élményben.
Pilotban ez a súrlódás csökkenő befejezésként jelenik meg. Termelésben, a 2027-es indulás után ugyanez a túlkérés valami drágábbat termel: szabályozói figyelmet. Az eIDAS 2 keretrendszer és a GDPR adatminimalizálási elve egyaránt arra kötelezi a verifiereket, hogy a felhasználási esetet kielégítő legkisebb attribútumkészletet kérjék. A nemzeti adatvédelmi hatóságok — Magyarországon a NAIH — szinte biztosan ezzel a szemüveggel auditálják majd a tárcaalapú folyamatot, és a túlkérő verifierek lesznek a legkönnyebb célpontok.
A gyakorlati lépés az, hogy az attribútum-scoping az első naptól része legyen a verifier-tervnek. Folyamatonként dokumentálni, mely attribútumok feltétlenül szükségesek; ezt szállítani éles bemutatási kérésként; és ellenállni annak a mérnöki kísértésnek, hogy „kérjünk mindent arra az esetre, ha később kelleni fog". A POTENTIAL adatai megerősítik, hogy a minimum-attribútumos folyamatok jobban konvertálnak. A megfelelőségi és a konverziós érv egy irányba mutat.
4. tanulság — Az életkor-alapú folyamatok a leggyorsabb út a korai ROI-ig
A POTENTIAL felhasználásieset-eredményei között egy találat külön kiemelést érdemel. Mind a hat eseten átívelve azok az attribútumkombinációk működtek a legkonzisztensebben tárcagyártókon és verifiereken átívelve, amelyek a legegyszerűbbek voltak — és a legkonzisztensebb mind közül az életkor. 18 év feletti, 21 év feletti, korhatáron belüli: ezek a folyamatok megbízhatóbban élték túl az implementációs változatosságot, mint a teljes identitás, mint a név-és-cím, mint a QES.
Ennek strukturális oka van. Az életkor-attribútumoknak a legkisebb a specifikációs felülete, a legkisebb a szelektív adatközlési hatókörük és a leghosszabb a szabványosítási történetük (az ISO/IEC 18013-5 évek óta hordozza az mDL életkor-attribútumokat). A tárcagyártók ezeket implementálták először és tesztelték a legtöbbet. A verifierek a legkevesebb peremesettel huzalozták be őket.
Egy 2027-es élesedést tervező magyar verifier számára ebből egyértelmű sorrendezési stratégia adódik. Először az életkor-ellenőrzést integráljuk — alkohol, dohánytermék, online szerencsejáték, korhatáros tartalom, szabályozott piacterek —, majd a tárca-ökoszisztéma érésével lépjünk át a teljes identitás-folyamatokra. Aki ebben a sorrendben halad, valódi ROI-t lát 2027 első és második negyedévében. Aki egyenesen a teljes identitás-onboardingra céloz, ugyanezeket a hónapokat hibakereséssel tölti.
Ez nem stratégiai kompromisszum. Az életkor-alapú folyamatok önmagukban is jelentős, növekvő piacot képviselnek, és az induló ökoszisztéma valóban felkészültebb a kiszolgálásukra. Mellesleg ez a legalacsonyabb kockázatú út termelési üzemeltetési tapasztalat szerzésére, mielőtt szélesítenénk a scope-ot.
5. tanulság — A fallback-tervezés választja el az élesre kész verifiereket a pilotra késztől
A POTENTIAL legtisztább szervezeti megállapítását a legkönnyebb átsiklani. Mind a hat felhasználási esetben azok a verifierek éltek túl peremeseteket — elvesztett eszközök, lejárt credentialök, határokon átívelő birtokosok, félúton feladó felhasználók —, amelyeknek tiszta tárcán kívüli tartalék útvonaluk volt. Akiknek nem, manuális folyamatokra estek vissza, amikor a tárcaalapú folyamat elhasalt.
Pilot-szótárban a „manuális folyamat" udvarias kifejezés ügyfélszolgálati várólistára, fiókügyintézési időpontra vagy support ticketre. Egyik sem skálázódik termelési volumenekre, és mindegyik csendben az operatív költségvetésre tolja át a hiányzó fallback útvonal árát. Azok a verifierek, amelyek a fallbacket elsődleges termelési útvonalként kezelték — megtervezték, mérőszámokkal látták el, a supportot felkészítették rá — a pilot peremeseteken át használhatóan tartották a folyamatokat. Akik utólagos állványként szerelték rá, beleütköztek a peremesetekbe és megálltak.
A 2027-es tanulság közvetlen. A kizárólag tárcaalapú folyamat élesedéskor öngólos megbízhatósági probléma. Minden tárca-integrációt legalább egy explicit nem-tárcás úttal együtt kell szállítani: ott, ahol létezik, a meglévő nemzeti eID folyamattal — Magyarországon az ügyfélkapus és AVDH-alapú megoldásokkal —, dokumentum-feltöltési útvonallal a nem-rezidensek és peremesetek számára, fióki útvonallal ott, ahol az üzleti modell ezt megengedi. A fallback nem ideiglenes állvány, amelyet 2028-ban leszerelnénk. A termelési tervezés része — és a POTENTIAL bizonyítékai szerint pontosan ez választja el a 2027 első negyedévét gördülékenyen átfutó verifiereket azoktól, amelyek nem fogják.
A lényeg
A POTENTIAL az, ami az EU-ban a legközelebb áll az EUDI Walletre vonatkozó éles smoke testhez. Két és fél évig futott, 140 szervezetet vont be 19 országból, hat egymástól független felhasználási esetet futtatott, és a megállapításait azelőtt tette közzé, hogy a szabályozási határidők kötelezővé válnának. Olvassuk a megállapításait felkészültségi ellenőrzőlistaként, ne akadémiai irodalomként. Szabványszigor, multi-wallet interop-tesztek, attribútumminimalizálás, életkor-első sorrendezés, fallback-útvonalak — ez az öt konkrét vállalás, amellyel szemben minden verifier már ma auditálhatja a backlogját. Bármi ezen a listán, amit 2026 harmadik negyedéve előtt nem lehet őszintén kipipálni, 2027-es szállítási akadály. A pilot véget ért. A határidők nem.
Cikk megosztása
Segítsen másoknak megismerni az eIDAS-ellenőrzést