Suomessa päätettiin luopua TUPAS-käytännöstä ja siirtyä OpenID Connect (OIDC) ja SAML-yhteyskäytäntöihin. Tunnistuspalvelun tarjoajan vastuulla on varmistaa, että sen tarjoama vahva sähköinen tunnistuspalvelu täyttää lainsäädännön vaatimukset. Tunnistuspalvelun täytyy tarjota palvelu asiakkailleen vain vaatimusten mukaisena.

”Osalla verkkopalveluiden tarjoajista vaaditut muutokset ovat vielä tekemättä”, Traficomin tiedotteessa kerrotaan. Vastuu muutoksien tekemiseen on palveluntarjoajilla.

”Pahimmassa tapauksessa tunnistuspalvelun tarjoaja voi joutua jopa lopettamaan palvelun tarjoamisen sellaiselle verkkopalvelulle, joka ei täytä näitä vaatimuksia”, Traficom toteaa.

Muutokset täytyy tehdä ennen syyskuun loppua. Lokakuun alusta lähtien TUPAS-tunnistus ei täytä enää vahvan tunnistamisen vaatimuksia.

”Traficom valvoo lokakuun alussa, tarjoavatko tunnistuspalvelut vahvaa sähköistä tunnistuspalvelua vielä asiakkaille TUPAS-yhteyskäytännöllä. Jos vaatimustenvastaista palvelua tarjotaan, virasto aloittaa tunnistuspalvelun tarjoajaan kohdistuvat hallinnolliset valvontatoimet ja velvoittaa päätöksellä lopettamaan vaatimustenvastaisen tunnistuspalvelun tarjoamisen kohtuullisessa määräajassa”, Traficom kertoo.

Määräaika tulee Traficomin mukaan olemaan lyhyt, koska TUPAS-yhteyskäytännön käytön piti loppua jo aiemmin. Päätöksen toimeenpanoa voidaan tehostaa myös uhkasakolla.

"Tärkeintä on, että sähköisiä palveluja käyttävien tietoturvaa ja tietosuojaa parantavat muutokset saadaan tehtyä ilman aiheetonta viivyttelyä. Tulemme myös harkitsemaan uhkasakkojen antamista, mikäli vaatimustenvastaisten tunnistuspalvelujen tarjoamista ja käyttämistä jatketaan huomautuksesta huolimatta", toteaa Liikenne- ja viestintäviraston Turvallisuussääntely-yksikön päällikkö Jukka-Pekka Juutinen.