Vuokra-asuntosäätiöt, kirjanpitoyritykset, perintätoimistot, sähköyhtiöt, sote-alan yritykset ja vakuutuspalvelut – siinä muutamia esimerkkejä yrityksistä, joiden on herättävä viimeistään nyt, jos ne tunnistavat asiakkaitaan verkossa Tupas-tunnisteen avulla. Lokakuun alusta lähtien näille yrityksille tunnistuspalvelua tarjoavat joutuvat hankalaan välikäteen, sillä ne eivät enää saa tarjota Tupas-rajapintaan perustuvaa palvelua vahvana sähköisenä tunnisteena.
Tunnistamisessa yleisesti käytössä oleva Tupas-yhteyskäytäntö ei enää täytä vahvalle sähköiselle tunnistamiselle asetettuja uusia turvallisuusvaatimuksia. Siksi siitä on luovuttava ja määräaika päättyy syyskuun lopussa. Kuluttaja-asiakkaisiin ja heidän toimintaansa määräajalla ei ole vaikutusta. Kuluttajat voivat jatkaa asiointiaan ja tunnistautumista sähköisissä palveluissa entiseen malliin.
Syyskuun lopun määräaika koskee kahdenlaisia yrityksiä ja yhteisöjä: Niitä, jotka tarjoavat tunnistuspalveluja ja niitä, jotka käyttävät tunnistuspalvelua omassa verkkopalvelussaan ja tunnistavat siellä omia asiakkaitaan. Tunnistuspalveluja tarjoavat yritykset ovat olleet valmiita muutosten kanssa jo jonkin aikaa ja pystyvät tarjoamaan uusien vaatimusten mukaisia kansainvälisiä OpenID Connect (OIDC) ja/tai SAML-rajapintoja. Huolta sen sijaan on niistä yrityksistä ja yhteisöistä, jotka ostavat omiin verkkopalveluihinsa vahvan sähköisen tunnistamispalvelun ja tunnistavat kuluttaja-asiakkaita sen kautta.
Liikenne- ja viestintävirasto Traficom ottaa lokakuun alusta vanhaan Tupas-yhteyskäytäntöön perustuvat tunnistusratkaisut tarkempaan syyniin ja selvittää, onko vaaditut, turvallisuutta parantavat muutokset tehty. Tarvittaessa virasto aloittaa hallinnolliset valvontatoimet, jos palveluja tarjotaan vanhalla Tupas-rajapinnalla edelleen asiakkaille.
Käytännössä tunnistuspalveluja tarjoavat yritykset joutuvat hankalaan välikäteen, jos niiden asiakkaat eivät ole tehneet teknisiä muutoksia ajoissa. Jos tunnistuspalvelu lopettaa vanhanmallisen tunnistuksen tarjoamisen, ei vanhentuvaa tunnistusmallia käyttävän asiakasyrityksen verkkotunnistaminen toimi.
Liikenne- ja viestintävirasto Traficom taas ryhtyy valvomaan asiaa heti kuun vaihteessa. Jos vaatimustenvastaista palvelua tarjotaan, virasto velvoittaa päätöksellä lopettamaan vaatimustenvastaisen tunnistuspalvelun tarjoamisen kohtuullisessa määräajassa. Päätöksessä määriteltävä korjausaika tulee olemaan varsin lyhyt ja päätöksen toimeenpanoa voidaan tehostaa uhkasakolla.