Hallituksen esitys eduskunnalle rajat ylittävää sähköistä tunnistamista, luottamuspalveluita ja eurooppalaista digitaalista identiteettiä koskevaa EU:n asetusta täydentäväksi lainsäädännöksi

HE 17/2026 vp

Eduskunnan hallintovaliokunta on pyytänyt Finanssiala ry:ltä (FA) lausuntoa EU:n asetusta täydentäväksi lainsäädännöksi. FA kiittää mahdollisuudesta lausua asiassa ja esittää lausuntonaan seuraavaa.

Finanssiala ry kannattaa pyrkimystä edistää entistä paremmin jäsenvaltioiden rajat ylittävää sähköistä asiointia ja liiketoimintaa

Finanssiala ry (FA) kannattaa lähtökohtaisesti komission pyrkimystä edistää entistä paremmin jäsenvaltioiden rajat ylittävää sähköistä asiointia ja liiketoimintaa. Pääministeri Orpon hallitusohjelmasta löytyy myös kirjaus siitä, että kansallista lisäsääntelyä tulisi välttää. Hallituksen esityksessä on nähdäksemme onnistuttu tämän kansallisen tavoitteen osalta varsin hyvin.

Kansallisesti täytäntöönpantava uudistettu ja voimassa oleva eIDAS-asetus antaa vain raamit eurooppalaisen digitaalisen identiteetin lompakon (EUDI-lompakko) käyttöönotolle. Komissiolle on annettu toimivaltaa säätää lompakon yksityiskohtaisemmista vaatimuksista täytäntöönpanoasetusten muodossa. Nämä eivät kuulu eduskunnan toimivaltaan, mutta FA haluaa tuoda esille mm. EUDI-lompakoilla maksujen hyväksyntään liittyvät petosriskit.

EUDI-lompakoista tulee huijareille houkutteleva kohde

EUDI-lompakot on suunniteltu toimimaan koko EU:n alueella. Uudistettu eIDAS-asetus tekee digitaalisesta identiteetistä aidosti rajat ylittävän ja yhtenäistää mm. sähköisen tunnistautumisen jäsenmaiden välillä. Digitaalinen identiteetti ei siis rajoitu kansallisiin järjestelmiin, vaan muodostaa yhteisen eurooppalaisen tunnistautumisinfrastruktuurin. EUDI-lompakon käyttöönotto on vapaaehtoinen ja käyttäjille maksuton, eikä sen taustalla ole keskitettyä kansallista tietovarastoa. Perusajatuksena on, että käyttäjät säilyttävät päätösvallan omista tiedoistaan. Tämä heijastaa eurooppalaista privacy by design ‑ajattelua ja erottaa ratkaisun monista aiemmista identiteettimalleista. Puhtaan teknisessä mielessä EUDI-lompakot ovat siis turvallisia.

Usein puhutaan EUDI-lompakoiden turvallisuudesta ja näiden korkeista teknisistä vaatimuksista. Paljon vähemmän puhutaan siitä, että samat ominaisuudet tekevät lompakoista väistämättä myös rikollisten kohteen. Vuonna 2025 sosiaaliseen manipulointiin perustuvat huijaukset muodostivat jo noin 60 prosenttia pankkien raportoimista petoksista. Rikolliset eivät aina murra järjestelmiä suoraan, vaan ohjaavat ihmisiä tekemään virheet itse. Petolliset maksutapahtumat hyväksyvät useimmiten käyttäjät itse.

Erityisen huolestuttava lainsäädäntökehitys tapahtui helmikuussa 2026, kun EU komissio antoi tulkintansa uudistetun eIDAS-asetuksen artiklasta 5f(2):

Jos unionin oikeudessa tai kansallisessa lainsäädännössä edellytetään, että yksityiset luottavat osapuolet, jotka tarjoavat palveluja, lukuun ottamatta komission suosituksen 2003/361/EY (***) liitteessä olevassa 2 artiklassa määriteltyjä mikroyrityksiä ja pieniä yrityksiä, käyttävät käyttäjän vahvaa todentamista verkossa tapahtuvaa tunnistamista varten, tai jos sopimusvelvoitteissa edellytetään käyttäjän vahvaa todentamista muun muassa liikenteen, energian, pankki- ja rahoituspalvelujen, sosiaaliturvan, terveydenhuollon, juomaveden, postipalvelujen, digitaalisen infrastruktuurin, koulutuksen tai televiestinnän aloilla, kyseisten yksityisten luottavien osapuolten on viimeistään 36 kuukauden kuluttua 5 a artiklan 23 kohdassa ja 5 c artiklan 6 kohdassa tarkoitettujen täytäntöönpanosäädösten voimaantulopäivästä ja ainoastaan käyttäjän vapaaehtoisesta pyynnöstä hyväksyttävä myös tämän asetuksen mukaisesti tarjotut eurooppalaiset digitaalisen identiteetin lompakot.

Komission tulkinnan mukaan myös maksujen hyväksynnät EUDI-lompakoilla kuuluvat uudistetun eIDAS-asetuksen piiriin. Huomioitavaa on, että suuri osa loppuvuodesta 2026 tai alkuvuodesta 2027 lanseerattavista EUDI-lompakoista on valtiollisten toimijoiden tuottamia, ei pankkien. Esimerkiksi Suomessa lompakon tuottaa Digi- ja väestötietovirasto.

Tilanne on täysin uusi. Suomessa pankkipalveluiden käyttäjät ovat tähän asti hyväksyneet maksunsa oman pankkinsa tarjoamilla pankkitunnuksilla. Pankeilla on siis ollut täysi kontrolli maksutapahtumien hyväksyntämenetelmiin ja myös jatkuva monitorointikyvykkyys näiden tapahtumien osalta. Nämä ovatkin nykyisestä maksupalvelulainsäädännöstä tulevia vaatimuksia. EUDI-lompakoiden myötä pankkien täysi kontrolli katoaa tilanteissa, joissa maksut hyväksytään kyseisillä lompakoilla. Komission tulkinta 5f(2) artiklasta tekevät EUDI-lompakoista yhä houkuttelevamman kohteen rikolliselle toiminnalle, sillä EUDI-lompakoilla päästään nyt kiinni käyttäjien rahaliikenteeseen. Tästä herääkin kysymys, että millä taholla on vastuu, kun EUDI-lompakoilla onnistutaan tekemään maksupetoksia. Yksiselitteistä vastausta tähän kysymykseen ei vielä löydy, mutta EUDI-lompakoiden liikkeeseen laskijoilla ja käyttäjillä pitäisi olla huomattava vastuu.

Kansallisen vahvan sähköisen tunnistamisen turvallisuutta parantava muutos

Hallituksen esityksen luonnosvaiheessa ehdotettiin pykälää (18 a §) tunnistusvälineen käytön kieltämisestä ensitunnistamisessa. Hallituksen esityksessä nyt poistetun pykälän mukaan tunnistusvälineen tarjoajan olisi pitänyt mahdollistaa se, että tunnistusvälineen haltija voisi kieltää tunnistusvälineen käytön ensitunnistamiseen (nk. tunnistusvälineen ketjuttaminen) haettaessa vahvaa sähköistä tunnistusvälinettä. Tämän pykälän poistaminen oli erittäin tervetullut. Kielto olisi teoriassa voinut parantaa turvallisuutta, mutta pelkona oli se, että tätä toiminallisuutta ei käytännössä tultaisi juurikaan hyödyntämään käyttäjien keskuudessa eli vain pieni osa käyttäjiä asettaisi kiellon. Näin ollen muutoksesta saatava hyöty olisi ollut pieni verrattuna aiheutuviin implementointi- ja operointikustannuksiin.

FA tarjosi luonnosvaiheen kommenteissaan kyseisen pykälän yhteydessä toista ratkaisua kansallista turvallisuutta parantavaksi vaihtoehdoksi. Tätä ei ole huomioitu hallituksen esityksessä. Kiellon sijasta tunnistusvälineen ketjuttamisen turvallisuutta parantava keino saattaisi löytyä ottamalla mallia maksupalvelulainsäädännöstä. Toiseen maksupalveludirektiiviin (PSD2) liittyvä komission delegoitu asetus (EU) 2018/389 on käytännössä jo toteutettu hyödyntämällä kahta toisistaan erillään olevaa turvallista sähköistä viestintäkanavaa. Pankit ja heidän tunnistusratkaisunsa noudattavat siis jo tiukempia vaatimuksia, joita olisi syytä ottaa käyttöön myös muiden tunnistusvälineiden osalta.

Uudessa maksupalveluasetuksessa (Payment Services Regulation/PSR, ei ole vielä hyväksytty Euroopan parlamentissa) todetaan artiklassa 51:

4a: Where the payment service provider offers the payment service user the possibility to initiate or give consent to payment transactions by means of a mobile application, the payment service provider shall require strong customer authentication and the use of different communication channels to activate the mobile application.

ja

4c: The payment service provider shall immediately notify the payment service user, in an agreed manner, and through different communication channels, of the activation of a mobile application. The notification shall include instructions in case the payment service users have not installed the mobile application themselves. The procedure for the notification referred to in this paragraph shall be agreed between the payment service user and the payment service provider.

Eurooppalaisessa maksupalvelulainsäädännössä nähdään siis jo suurta tarvetta mobiilisovellusten aktivoinnin lisävarmistuksille. Kansallisten tunnistusvälineiden ketjuttamisen turvallisuuden parantamiseksi pitäisi myös asettaa vaatimus uusien tunnistusvälineiden aktivoinnin lisävarmistuksille – hyödyntäen tässäkin erillistä turvallista kommunikointikanavaa. Kuten olemme esimerkiksi eri julkaisuista saaneet lukea, tunnistusvälineiden ketjuttamisessa löytyy haasteita identiteettivarkauksien osalta. Näihin haasteisiin pitäisi pikaisesti löytää ratkaisuja.

Uudistetun eIDAS-sääntelyn ja kansallisen luottamusverkostosääntelyn yhteensovittamisessa on epäselvyyksiä

Hallituksen esityksessä ehdotettu toteutusmalli edellyttää FA:n mielestä täsmennystä sen varmistamiseksi, että kansallinen luottamusverkostomalli on aidosti yhteensopiva uudistetun eIDAS-sääntelyn yksityisyyttä korostavien tavoitteiden kanssa. Erityisesti jää epäselväksi, syntyykö uudistetun eIDAS-sääntelyn ’intermediary’-mallissa rekisteröitymisvelvollisuus vain välityspalveluille vai myös lopullisille asiointipalveluille, sekä voidaanko nykyisten luottamusverkoston rajapintojen käyttö toteuttaa ilman, että luottamusverkoston välityspalveluille muodostuu liian laaja näkyvyys EUDI-lompakoiden käyttöön. Jos toteutus käytännössä perustuu EUDI-lompakoista tulevan tiedon muuntamiseen kotimaisen luottamusverkoston malliin, voi seurauksena olla ratkaisu, joka ei täysin vastaa eIDAS-sääntelyn ja teknisen dokumentoinnin (Architecture and Reference Framework, ARF) peruslähtökohtaa välikäsien näkyvyyden minimoinnista. Tämän vuoksi sääntelyn ja sen perustelujen tulisi yksiselitteisesti täsmentää rekisteröitymisvelvollisuudet, tietojen käsittelyn rajat ja se, miten asiointipalvelun sekä välityspalvelun roolit järjestetään ilman tarpeetonta seurantamahdollisuutta.

EUDI-lompakoiden ja sähköisten attribuuttitodisteiden yleisen kehityksen, käytön sekä hyödyllisyyden kannalta olisi tosin toivottavaa, että yritykset ja muut organisaatiot hyödyntäisivät EUDI-lompakoita suoraan omissa järjestelmissään. Näin välityspalveluita ja tiedon muuntamista kotimaisen luottamusverkoston malliin ei välttämättä tarvittaisi. Tämä tulokulma tukisi myös Suomen digitaalisen kompassin tavoitteita sähköisten attribuuttitodisteiden määrästä.