Mi is volt valójában a POTENTIAL
A POTENTIAL az európai digitális személyazonossági tárcára (EUDI Wallet) irányuló négy uniós nagyléptékű pilot közül a legnagyobb volt. A program 2023 áprilisától 2025 szeptemberéig futott, határidőre zárult, és 2025 novemberében mutatta be a konszolidált zárójelentését. A számok uniós programhoz képest szokatlanul tiszták: 140 szervezet, 19 EU-tagállam plusz Ukrajna, hat felhasználási eset és egyetlen koordinátor — Franciaország nemzeti digitális személyazonossági ügynöksége. Florent Tournois projektkoordinátor mondta ki azt a mondatot, amely azóta tovább utazott, mint a jelentés többi része: a közös szabványokat „szigorúan” kell alkalmazni (Biometric Update, 2025. november 28.). Minden ellenőrző félnek, amely 2027-es élesedést tervez, ezt a mondatot kell a munka keretének tekintenie.
A magyar olvasónak külön érdemes rögzíteni: Magyarország nem volt POTENTIAL-tagállam. A magyar piac számára ez nem mentség, hanem feladat — a tanulságokat egy futó hazai pilot védőhálója nélkül kell beemelni a 2027-es felkészülésbe.
Miért nyom többet a latba a POTENTIAL, mint a többi pilot
A négy nagyléptékű pilot — POTENTIAL, EWC, NOBID és DC4EU — sosem volt egyenrangú. A POTENTIAL volt a legnagyobb a résztvevő szervezetek számát tekintve, a legszélesebb a felhasználási esetek lefedettségében, és a legheterogénebb a tagállami részvétel szempontjából. A konzorciumban szerepelt a német Bundesdruckerei és a Deutsche Telekom, a francia Idemia és Amadeus, valamint nemzeti identitásszolgáltatók, bankok, távközlési szereplők, egészségügyi hatóságok és közigazgatási szervek hosszú sora (POTENTIAL konzorcium). Míg az EWC az utazásra és fizetésre, a NOBID az északi fizetési folyamatokra koncentrált, a POTENTIAL tudatosan a nehezebb kérdést tesztelte: ugyanaz a tárca, amelyet egy tagállamban állítottak ki, tisztán működik-e egy másik tagállambeli ellenőrző félnél, hat egymástól független üzleti területen, egymástól függetlenül, versengő gyártók által épített megvalósításokkal.
Ez a pilot valódi jelentősége. Az indulási probléma — összerakni egy nemzeti tárcát egy nemzeti ellenőrző féllel — viszonylag könnyű, és sok tagállam már megoldotta. A nehéz probléma a határokon, gyártókon és felhasználási eseteken átívelő átjárhatóság, és a POTENTIAL volt az egyetlen pilot, amelyet kifejezetten azért terveztek, hogy felszínre hozza, hol törik meg ez a folyamat. Több törést is felszínre hozott, mint amennyit a kommunikáció címoldalai továbbítottak — és pontosan ezt a részt érdemes az ellenőrző feleknek olvasniuk.
A hat tesztelt felhasználási eset
eGov — online közigazgatás. Polgárok határokon átívelően jelentkeztek be tárcájukkal nemzeti e-közigazgatási portálokra: belga tárca egy spanyol önkormányzati szolgáltatáson, olasz tárca egy német szövetségi portálon. Jól illeszkedő bilaterális párokon belül a folyamat tisztán futott, a peremen pedig következetes hibákat termelt — különösen ott, ahol a nemzeti garanciaszintek nem feleltethetők meg egy az egyhez az eIDAS LoA-modellnek. Az eGov az a felhasználási eset, amelyet a legtöbb ellenőrző fél már ma is ért, és a POTENTIAL megerősítette, hogy ez a skála egyszerű vége.
Bankszámlanyitás. Távoli KYC tárca alapján, videó-azonosítás vagy fióki megjelenés helyett. A technikai folyamat egyszerű; a szabályozási nem. A POTENTIAL láthatóvá tette a máig feloldatlan feszültséget az AMLD-követelmények és a szelektív adatközlés között: a bankok mindent kérnének, a tárcát viszont a minimumra tervezték, és a tisztán attribútumalapú KYC jogi elfogadottsága országonként eltér. Több pilotbank arról számolt be, hogy párhuzamos dokumentum-feltöltési útvonalat is kellett tartania a megfelelőséghez, akkor is, amikor a tárcaalapú folyamat technikailag lefutott. Egy magyar pénzintézetnek MNB-felügyelet alatt ez a közvetlenül használható tanulság.
SIM- és eSIM-aktiválás — Deutsche Telekom, több tárcával. Az operatívan legérdekesebb ág. A Telekom párhuzamosan tesztelte a SIM-aktiválást több tagállambeli tárcaimplementációval — pontosan az a termelési valóság, amellyel egy 2027-es távközlési szolgáltató szembesülni fog. A megállapítások kijózanítóak: még a POTENTIAL keretein belül is, ahol minden tárca ugyanahhoz az architektúrareferenciához készült, a protokoll szintű viselkedés annyira eltért, hogy az ellenőrző fél kódjába tárcánkénti feltételes logikát kellett építeni.
Mobil vezetői engedély (mDL). A legérettebb nemzetközi szabvánnyal rendelkező felhasználási eset (ISO/IEC 18013-5) — és nem meglepő módon a legtisztább határokon átívelő viselkedéssel. Az mDL implementációk viszonylag jól interoperáltak, különösen az offline ISO/IEC 18013-5 folyamatoknál. Nehezebb maradt az online prezentáció OpenID4VP-n keresztül, ahol a mdoc-over-OpenID4VP profil még a pilot alatt is konszolidálódott.
Minősített elektronikus aláírás (QES). Tárcaközvetített QES távoli QSCD ellen, az ETSI TS 119 475 mentén. A kriptográfiai folyamat működött. A jogi kötőerejű folyamat nemzeti eltéréseket hozott felszínre abban, hogy a QTSP-k hogyan fogadják el a tárcaalapú aláíró-hitelesítést. A QES a legtöbb ellenőrző fél számára inkább 2027-es, mint 2026-os feladat.
E-recept. Határokon átívelő gyógyszerrendelés egy másik tagállam patikájában. Az egészségügyi attribútumkészlet érzékenyebb, mint bármely más a pilotban, és a harmonizációnak ellenálló nemzeti egészségügyi adatszabályozásra fut rá. Technikailag életképes, jogilag korlátozott, és inkább az European Health Data Space párhuzamos munkájától függ, mint pusztán a tárca-stacktől.
A hat eseten átívelve a minta egységes: a technikai réteg gyorsabban érik, mint az azt körülvevő jogi és operatív rétegek. Aki 2027-es élesedést tervez, a szabályozási leképezést párhuzamos munkacsomagként kezelje az integrációval, és ne lezáró aláírásként tegye a végére.
1. tanulság — A szabványok nem opcionálisak
Tournois nem azt mondta, hogy a szabványok fontosak. Azt mondta, hogy „szigorúan” kell alkalmazni őket. A különbség számít. A POTENTIAL-ben a domináns átjárhatósági hibák nem hiányzó szabványokból eredtek — az OpenID4VP profil, az ISO/IEC 18013-5, az ETSI TS 119 475 és a kapcsolódó EU Architecture and Reference Framework mind létezett a pilot indulása előtt. A hibák abból fakadtak, hogy az implementációk lazán olvasták a szabványokat.
Hogy mire számítson egy ellenőrző fél több tárca integrálásakor, az a több gyártós tárca-mérnökségben jól ismert: OpenID4VP kérésprofilok, ahol az egyik tárca client_id_scheme=x509_san_dns-t vár, egy másik redirect_uri-t; CBOR-kanonikalizáció körüli mdoc-kódolási peremesetek, amelyek az egyik könyvtárban működnek, a másikban elhasalnak; presentation-definition struktúrák, amelyeket az egyik ellenőrző fél JSON Schema-ként elfogad, a másik nem Presentation Exchange 2.0-konformként elutasít; eltérő só-kezelés az SD-JWT-VC implementációk szelektív adatközlésében. A POTENTIAL nyilvános összefoglalója nem sorolja fel ezeket pontról pontra, de pontosan erre a hibakategóriára célzott Tournois „szigorú” szava — és pontosan ez a fajta törés az, amibe 2026-ban beleütköznek azok az ellenőrzői csapatok, amelyek egynél több tárca ellen tesztelnek.
Egy ellenőrző fél számára a „szigorú” közvetlenül mérnöki gyakorlatra fordul. Azt jelenti, hogy a célzott OpenID4VP profil pontos draftjához rögzítsünk, ne általában az „OpenID4VP”-hez. Azt jelenti, hogy élesedés előtt több tárcaimplementációval teszteljünk, ne eggyel. Azt jelenti, hogy az OpenID Foundation megfelelőségi tesztcsomagját alapvonalként kezeljük, ne mérföldkőként. És azt jelenti, hogy az EU Reference Frameworköt kötelező hatókörként olvassuk, ne ihletként. Aki ezt élesedéskor átugorja, termelésben örökli ugyanazokat az eltéréseket, amelyeket a POTENTIAL tesztkörnyezetben felszínre hozott.
2. tanulság — A határokon átívelő átjárhatóság a megoldatlan probléma
Ez az a tanulság, amely a leginkább fenyegeti a 2027-es élesedéseket. Még a POTENTIAL-en belül is — egyetlen koordinált programon belül, közös architektúra-dokumentumokkal, közös tesztinfrastruktúrával és közös finanszírozással — több tárca nem működött tisztán együtt több ellenőrző féllel külön illesztés nélkül. A párok működtek. A teljes N×M mátrix nem.
A következmény a határokon átívelő kereskedők és szolgáltatók számára 2027-ben kellemetlen. Az eIDAS 2 rendelet jogot ad az uniós polgároknak, hogy bármely tagállamban használják tárcájukat egy ellenőrző félnél. A POTENTIAL bizonyítékai szerint a műszaki valóság az, hogy az általános elfogadottság az indulás utáni első 12–18 hónapban egyenetlen lesz. Bizonyos tárca–ellenőrző fél párok 2027 januárjától stabilak lesznek. Mások ellenőrző oldali feltételes kezelést, gyártóspecifikus furcsaságokat vagy átmeneti tartalék útvonalakat fognak igényelni.
Magyarország szempontjából a következtetés sajátos: hazai pilot híján a magyar kereskedőknek nincs előzetes, helyi tesztpark, amelyhez igazodhatnának. Ennek pótlása kettős: figyelni kell a lengyel, cseh és osztrák tárcaimplementációk elérhetőségét — ezek lesznek a leggyakoribb határon átnyúló tárcák a magyar pénztárak előtt —, és belsőleg fenntartani egy „tesztelt és működik / tesztelt és korlátozott / még nem tesztelt” listát, amelyet az ügyfélszolgálat és a fejlesztés egyaránt használ. A kereskedők, akik kihagyják ezt az előrendezést, az átjárhatósági hibajelentéseket és az utánuk érkező hibajegyeket fogják birtokolni.
3. tanulság — Az attribútumok szigorú meghatározása megtérül
A szelektív adatközlés az a tárca-funkció, amely a legjobban túlélte a valósággal való találkozást. Mind a hat felhasználási esetben azok a POTENTIAL-ben részt vevő ellenőrző felek, amelyek csak a tranzakcióhoz szükséges minimumattribútumokat kérték, simább folyamatokról, gyorsabb beleegyezésről és alacsonyabb lemorzsolódásról számoltak be. Akik többet kértek — teljes identitáscsomagot, amikor csak életkor kellett, vagy lakcímet, amikor csak a tartózkodási ország számított — látható súrlódást termeltek a felhasználói élményben.
Pilotban ez a súrlódás csökkenő befejezésként jelenik meg. Termelésben, a 2027-es indulás után ugyanez a túlkérés valami drágábbat termel: szabályozói figyelmet. Az eIDAS 2 keretrendszer és a GDPR adatminimalizálási elve egyaránt arra kötelezi az ellenőrző feleket, hogy a felhasználási esetet kielégítő legkisebb attribútumkészletet kérjék. A nemzeti adatvédelmi hatóságok — Magyarországon a NAIH — szinte biztosan ezzel a szemüveggel auditálják majd a tárcaalapú folyamatot, és a túlkérő ellenőrző felek lesznek a legkönnyebb célpontok.
A gyakorlati lépés az, hogy az attribútumhatókör meghatározása az első naptól része legyen az ellenőrzői tervnek. Folyamatonként dokumentálni, mely attribútumok feltétlenül szükségesek; ezt szállítani éles bemutatási kérésként; és ellenállni annak a mérnöki kísértésnek, hogy „kérjünk mindent arra az esetre, ha később kelleni fog”. A POTENTIAL adatai megerősítik, hogy a minimum-attribútumos folyamatok jobban konvertálnak. A megfelelőségi és a konverziós érv egy irányba mutat.
4. tanulság — Az életkor-alapú folyamatok a leggyorsabb út a korai ROI-ig
A POTENTIAL felhasználásieset-eredményei között egy találat külön kiemelést érdemel. Mind a hat eseten átívelve azok az attribútumkombinációk működtek a legkövetkezetesebben tárcagyártókon és ellenőrző feleken átívelve, amelyek a legegyszerűbbek voltak — és a legstabilabb mind közül az életkor volt. 18 év feletti, 21 év feletti, korhatáron belüli: ezek a folyamatok megbízhatóbban élték túl az implementációs változatosságot, mint a teljes identitás, a név-és-cím vagy a QES.
Ennek strukturális oka van. Az életkor-attribútumoknak a legkisebb a specifikációs felülete, a legkisebb a szelektív adatközlési hatókörük és a leghosszabb a szabványosítási történetük (az ISO/IEC 18013-5 évek óta hordozza az mDL életkor-attribútumokat). A tárcagyártók ezeket implementálták először és tesztelték a legtöbbet. Az ellenőrző felek ezeket kötötték be a legkevesebb peremesettel.
Egy 2027-es élesedést tervező magyar ellenőrző fél számára ebből egyértelmű sorrendezési stratégia adódik. Először az életkor-ellenőrzést integráljuk — alkohol, dohánytermék, online szerencsejáték, korhatáros tartalom, szabályozott piacterek —, majd a tárca-ökoszisztéma érésével lépjünk át a teljes identitás-folyamatokra. Aki ebben a sorrendben halad, valódi ROI-t lát 2027 első és második negyedévében. Aki egyenesen a teljes személyazonossági beléptetésre céloz, ugyanezeket a hónapokat hibakereséssel tölti.
Ez nem stratégiai kompromisszum. Az életkor-alapú folyamatok önmagukban is jelentős, növekvő piacot képviselnek, és az induló ökoszisztéma valóban felkészültebb a kiszolgálásukra. Mellesleg ez a legalacsonyabb kockázatú út termelési üzemeltetési tapasztalat szerzésére, mielőtt szélesítenénk a hatókört.
5. tanulság — A tartalék útvonal választja el az élesre kész ellenőrző feleket a pilotra késztől
A POTENTIAL legtisztább szervezeti megállapításán a legkönnyebb átsiklani. Mind a hat felhasználási esetben azok az ellenőrző felek éltek túl peremeseteket — elveszett eszközöket, lejárt hitelesítő adatokat, határon átnyúló felhasználókat, félúton feladó ügyfeleket —, amelyeknek tiszta tárcán kívüli tartalék útvonaluk volt. Akiknek nem, manuális folyamatokra estek vissza, amikor a tárcaalapú folyamat elhasalt.
Pilot-szótárban a „manuális folyamat” udvarias kifejezés ügyfélszolgálati várólistára, fiókügyintézési időpontra vagy hibajegyre. Egyik sem skálázódik termelési volumenekre, és mindegyik csendben az operatív költségvetésre tolja át a hiányzó tartalék útvonal árát. Azok az ellenőrző felek, amelyek a tartalékot elsődleges termelési útvonalként kezelték — megtervezték, mérőszámokkal látták el, az ügyfélszolgálatot felkészítették rá — a pilot peremesetein át is használhatóan tartották a folyamataikat. Akik utólagos állványként szerelték rá, beleütköztek a peremesetekbe és megálltak.
A 2027-es tanulság közvetlen. A kizárólag tárcaalapú folyamat élesedéskor öngólos megbízhatósági probléma. Minden tárca-integrációt legalább egy egyértelmű nem tárcás úttal együtt kell szállítani: ott, ahol létezik, a meglévő nemzeti eID folyamattal — Magyarországon az ügyfélkapus és AVDH-alapú megoldásokkal —, dokumentumfeltöltési útvonallal a nem rezidensek és peremesetek számára, fióki útvonallal ott, ahol az üzleti modell ezt megengedi. A tartalék út nem ideiglenes állvány, amelyet 2028-ban leszerelnénk. A termelési tervezés része — és a POTENTIAL bizonyítékai szerint pontosan ez választja el a 2027 első negyedévét gördülékenyen átfutó ellenőrző feleket azoktól, amelyek nem fogják.
A lényeg
A POTENTIAL az, ami az EU-ban a legközelebb áll az EUDI Walletre vonatkozó éles főpróbához. Két és fél évig futott, 140 szervezetet vont be 19 országból, hat egymástól független felhasználási esetet futtatott, és a megállapításait azelőtt tette közzé, hogy a szabályozási határidők kötelezővé válnának. Olvassuk a megállapításait felkészültségi ellenőrzőlistaként, ne akadémiai irodalomként. Szabványszigor, több tárcás átjárhatósági tesztek, attribútumminimalizálás, életkor-első sorrendezés, tartalék útvonalak — ez az öt konkrét vállalás, amellyel szemben minden ellenőrző fél már ma auditálhatja a fejlesztési listáját. Bármi ezen a listán, amit 2026 harmadik negyedéve előtt nem lehet őszintén kipipálni, 2027-es szállítási akadály. A pilot véget ért. A határidők nem.
Cikk megosztása
Segítsen másoknak megismerni az eIDAS-ellenőrzést