Eurooppalainen digitaalinen identiteettilompakko, EUDI Wallet, on uusi tapa todistaa henkilöllisyys digitaalisessa ympäristössä. Se on älypuhelimessa toimiva sovellus, jonka avulla kansalainen voi tunnistautua, allekirjoittaa sähköisesti, hyväksyä maksuja sekä jakaa virallisesti varmennettuja tietojaan eri palveluihin. Suomessa lompakkoa rakentaa Digi- ja väestötietovirasto, ja sen on tarkoitus tulla käyttöön vuoden 2026 loppuun mennessä.
Kyse ei ole yksittäisestä sovelluksesta, vaan laajasta muutoksesta siinä, miten identiteettiä hallitaan digitaalisessa yhteiskunnassa. Fyysisen lompakon muovikortit ja paperitodistukset korvautuvat mallilla, jossa käyttäjä itse hallitsee omia tietojaan: Mitä hän tallentaa ja kenelle hän niitä luovuttaa. Aluksi lompakko toimii vahvan sähköisen tunnistautumisen ja sähköisen allekirjoituksen välineenä, mutta ajan myötä siihen voidaan liittää laajempi joukko todistuksia, kuten ajokortteja, tutkintotodistuksia ja muita asiointiin tarvittavia oikeuksia.
Lompakkoon sisältyy heti käyttöönotosta alkaen myös viranomaisen myöntämä digitaalinen henkilöllisyystodistus, jota käytetään aluksi kansallisesti Suomessa. Tämä henkilöllisyyden perusattribuutti toimii digitaalisen asioinnin perustana ja muodostaa pohjan muille lompakkoon myöhemmin liitettäville todistuksille.
Suomen valitsema toteutustapa on tietosuojan näkökulmasta perusteltu. Lompakko on vapaaehtoinen ja maksuton, eikä sen taustalla ole keskitettyä kansallista tietovarastoa. Käyttäjä säilyttää päätösvallan omista tiedoistaan. Tämä heijastaa eurooppalaista privacy by design ‑ajattelua ja erottaa ratkaisun monista aiemmista identiteettimalleista.
Lisäksi EUDI Wallet on suunniteltu toimimaan koko EU:n alueella. Uudistettu eIDAS-asetus tekee digitaalisesta identiteetistä aidosti rajat ylittävän ja yhtenäistää tunnistautumisen jäsenmaiden välillä. Digitaalinen identiteetti ei siis rajoitu kansallisiin järjestelmiin, vaan muodostaa yhteisen eurooppalaisen tunnistautumisinfrastruktuurin.
======
Digitaalisen identiteettilompakon ominaisuudet
tekevät siitä väistämättä kohteen rikollisille.
======
Juuri tässä kohtaa keskustelu yleensä päättyy. Puhutaan turvallisuudesta, vahvasta tunnistautumisesta ja korkeista vaatimuksista. Paljon vähemmän puhutaan siitä, että samat ominaisuudet tekevät digitaalisesta identiteettilompakosta väistämättä myös rikollisten kohteen.
On sanomattakin selvää, että digitaalisesta identiteettilompakosta tulee huijareille houkutteleva kohde. Se kokoaa yhteen kriittisiä henkilötietoja ja toimii avaimena moniin asiointipalveluihin, sen tuomat mahdollisuudet ovat huijareille merkittäviä. Tämä ei ole merkki epäonnistuneesta teknologiasta, vaan seurausta sen keskeisestä roolista. Rikolliset suuntaavat aina sinne, missä luottamus, arvo ja vaikutusvalta kohtaavat.
Keskustelun yksipuolinen painottuminen turvallisuuteen voi luoda käyttäjille liiallista varmuuden tunnetta. Lompakon virallisuuden ja turvallisuuden korostaminen saattaa saada ihmiset luottamaan liikaa lompakkoon tulevien pyyntöjen aitouteen. Kun riskejä ei nosteta riittävästi esiin, käyttäjät luottavat ratkaisun turvallisuuteen ja ovat huolimattomampia. Digitaalinen identiteettilompakko ei kerro käyttäjälle, miksi tietoja pyydetään, ainoastaan sen, kuka pyytää ja mitä pyydetään. Harkinta ja vastuu jäävät ihmiselle.
Tämä näkyy laajemmin huijausten kehityksessä. Vuonna 2025 sosiaaliseen manipulointiin perustuvat huijaukset muodostivat jo noin 60 prosenttia pankkien raportoimista huijauksista. Rikolliset eivät aina murra järjestelmiä suoraan, vaan ohjaavat ihmisiä tekemään virheet itse.
Erityisen haavoittuva vaihe on käyttöönotto. Kun lompakot tulevat saataville ja niiden käyttöä laajennetaan vaiheittain vuoden 2027 aikana, rikolliset hyödyntävät epävarmuutta kuten aina. Valelompakoita, väärennettyjä latauslinkkejä ja huijausviestejä on odotettavissa.
Myöhemmin riskit muuttuvat monimutkaisemmiksi: odotettavissa on esimerkiksi lompakon kaappauksia, haitta- ja etähallintaohjelmia, identiteettivarkauksia sekä murtoja sertifioitujenkin toimijoiden järjestelmiin. Vaikka yritykset ja palveluntarjoajat olisivat sertifioituja ja valvottuja, niiden järjestelmiin voidaan silti murtautua ja juuri tätä kautta huijarit voivat lähettää näennäisesti aitoja pyyntöjä laajoille käyttäjäjoukoille.
Tämä ei ole argumentti digitaalista identiteettilompakkoa vastaan. Tämä on argumentti sen puolesta, että riskikeskustelu on käytävä ajoissa, ei vasta sitten, kun ensimmäiset laajemmat väärinkäytökset ovat jo toteutuneet.
Digitaalinen identiteettilompakko on ennen kaikkea infrastruktuuri. Se voi parantaa turvallisuutta ja vähentää monia nykyisiä riskejä, mutta se ei tee koko ekosysteemistä haavoittumatonta. Riskit syntyvät lompakon, palveluiden, prosessien ja ihmisten vuorovaikutuksessa. Luottamus on järjestelmän vahvuus ja samalla sen suurin haavoittuvuus, jos sitä ei tasapainoteta tietoisuudella.
Turvallisuus ei synny siitä, että petosriskeistä vaietaan, vaan siitä, että ne tunnistetaan ja niihin varaudutaan ajoissa.
Jäikö kysyttävää?
|Ota yhteyttä aiheen asiantuntijaan
Janoatko lisää?
Tähän aiheeseen liittyviä uutisia ja kolumneja
Digitaalinen identiteettilompakko lupaa turvallisuutta, mutta petosriskeistä vaietaan
”Teknologia auttaa havaitsemaan asioita, joita ihmissilmä ei huomaa” – estettyjen ja palautettujen huijausmaksujen osuus nousi yli puoleen
Suomalaisilta yritettiin huijata 148 miljoonaa euroa vuonna 2025 – Pankit saivat estettyä tai palautettua yli puolet rikollisille menossa olleista maksuista
Yhdessä huijareita vastaan – pankit mukana etulinjassa
