O tym, co to jest podpis elektroniczny, wiele już pisano, wciąż jednak mało kto wie, że pod tym pojęciem kryje się każda możliwa elektroniczna identyfikacja osób fizycznych, w tym np. e-mail, który ujawniałby dane personalne osoby nadawcy. Podpisem elektronicznym w rozumieniu ustawy są oprócz podpisów opartych na kryptografii, np. dane personalne załączone do listu w poczcie elektronicznej, hasło jednorazowe wraz z danymi logującymi się do serwera bankowego. Należy zgodzić się z poglądem, że podpisem elektronicznym jest także nr PIN, jeżeli jest wykorzystywany do zawarcia umowy czy potwierdzenia dyspozycji.
Natomiast nie jest nim ten sam PIN czy hasło, jeżeli jest wykorzystywane do uwierzytelnienia wobec urządzenia lub serwera, np. bankowego. Nie można więc zgodzić się z poglądem przeciwnym, który nie uwzględnia różnic zastosowania kodu PIN. Warto dodać, że sam nie spełnia warunku niepowtarzalności z definicji pojęcia danych służących do składania podpisu elektronicznego, jednak stosowany jest zwykle z kartą, która posiada walor unikalności (numer seryjny), w związku z czym PIN użyty razem z np. kartą płatniczą jest pewnym rodzajem podpisu elektronicznego.
Elektroniczny nie cyfrowy
Jest pojęciem szerszym od podpisu cyfrowego. Oba te pojęcia odnoszą się do czego innego. Podpis elektroniczny jest pojęciem prawnym i obejmuje wszelkie elektroniczne dane służące do uwierzytelnienia osoby fizycznej. Natomiast pojęcie podpisu cyfrowego wywodzi się z technologii uwierzytelnienia. Ten drugi będzie zawierał się w pojęciu podpisu elektronicznego tylko wtedy, gdy identyfikuje osobę fizyczną oraz gdy technologia cyfrowa będzie stosowana w celu składania podpisu elektronicznego.
Natomiast ilekroć podpis cyfrowy będzie stosowany do identyfikacji innego podmiotu niż osoba fizyczna, nie będzie się mieścił w pojęciu podpis elektroniczny. Ten tzw. zwykły podpis elektroniczny jest w niewielkim zakresie regulowany ustawą. W szczególności nie jest on zrównany w skutkach prawnych z podpisem własnoręcznym, ani nie stosuje się do niego domniemania niezaprzeczalności autorstwa, o którym mowa w art. 6 ust. 1 ustawy.
Także technologia jego złożenia jest dowolna. W szczególności może, ale nie musi, być zbliżona lub wręcz taka sama jak technologia wykorzystywana do składania bezpiecznego podpisu elektronicznego. Jednak fakt, że „zwykły” podpis nie zapewnia skutków opisanych w art. 5 i 6 ustawy o podpisie elektronicznym, nie powoduje, że nie będzie mógł stanowić dowodu oświadczenia woli, czy też na inną okoliczność, np. zapewnienie integralności.
Zastosowanie tokenów
Nie można zapomnieć o powszechnych w zastosowaniu w bankowości tzw. tokenów. Urządzenia te służą zasadniczo do generowania jednorazowych haseł, czyli danych, które uwierzytelniają transakcje bankową. Jedną z zasad działania takich tokenów jest wytwarzanie tych haseł na podstawie bardzo dokładnego zegara kwarcowego zamontowanego w urządzeniu. Uwierzytelnienie wobec banku polega na porównaniu hasła wygenerowanego przez klienta przez token z analogicznym wygenerowanym w systemie bankowym, które jest wytwarzane na tych samych zasadach. Generowane hasła są jednorazowe i praktycznie za każdym razem inne oraz absolutnie nie do odgadnięcia przez osoby trzecie.
Wraz z danymi użytymi do logowania, typu nr klienta i hasło, wypełniają definicję „zwykłego” podpisu elektronicznego. Natomiast danymi służącymi do składania podpisu elektronicznego nie jest wygenerowane hasło, lecz algorytm i użyte dane, np. godzina, minuta, sekunda itp., które posłużyły do wytworzenia hasła. Uwierzytelnienie to spełnia swoją funkcję – ale tylko w zakresie systemów zamkniętych i tylko w przypadku bardzo niewielkiego kręgu weryfikujących. Odnosi się to również do jednorazowych haseł udostępnionych klientowi banku w postaci listy haseł na tzw. zdrapkach.
Mimo że zasady działania wydają się prostsze, w istocie wykorzystywany jest ten sam mechanizm symetrycznego sekretu. W opisanym mechanizmie zarówno klient, jak i bank, są w posiadaniu tych samych danych, choć przed nieuprawnionym użyciem przez bank przyporządkowanego do danego klienta mechanizmu uwierzytelnienia chronią klienta odpowiednie zabezpieczenia i procedury systemu. Co oczywiste, tego typu mechanizm uwierzytelnienia nie spełnia wymogów stawianych w ustawie bezpiecznemu podpisowi elektronicznemu.
Podpis w przepisach
Dane służące do składania zwykłego podpisu elektronicznego nie muszą opierać się na kryptografii asymetrycznej oraz zapewniać integralność, unikalność i przyporządkowanie wyłącznie do jednego składającego. Mogą być zmienne, w szczególności uzgadniane jednorazowo, lub stałe. Ponadto w przeciwieństwie do danych służących do składania bezpiecznego podpisu elektronicznego dane te nie muszą różnić się od danych służących do weryfikacji podpisu elektronicznego.
Tak więc kryptografia symetryczna czy biometria mogą z powodzeniem służyć do składania podpisu elektronicznego, choć podpis ten z reguły nie będzie spełniał cech bezpiecznego podpisu elektronicznego. Warto przypomnieć, że podpis elektroniczny jako metoda identyfikacji klienta znalazł również uznanie Generalnego Inspektora Nadzoru Bankowego wyrażone w Rekomendacji D z 2002 r. dotyczącej zarządzania ryzykami towarzyszącymi systemom informatycznym i telekomunikacyjnym używanym przez banki.
Rekomendacja ta powiela zresztą zalecenia Bazylejskiego Komitetu ds. Nadzoru Bankowego, wyrażone w dokumencie „Zasady zarządzania ryzykiem w bankowości elektronicznej” z maja 2001 r. W obu dokumentach dostrzega się ryzyko działalności banku związane z możliwością zmiany lub przejęcia transakcji elektronicznych i możliwości twierdzenia przez użytkowników, że transakcje zostały oszukańczo zmienione. W dokumentach tych zgodnie stwierdza się, że „podstawowe znaczenie w bankowości ma potwierdzenie, czy dana próba kontaktu, transakcji lub dostępu jest uprawniona (...)”
Ważna – weryfikacja
„Banki powinny stosować niezawodne metody weryfikowania tożsamości i upoważnień nowych klientów, jak również potwierdzenia tożsamości i uprawnień aktualnych klientów dążących do zainicjowania transakcji elektronicznych”. Niemal za równie ważne uznano zastosowanie środków służących integralności transakcji, zapisów i informacji bankowości elektronicznej. Stwierdza się, że – w celu zapewnienia powyższych wymagań oraz poufności transakcji – bank może stosować różne środki, ze szczególnym uwzględnieniem bezpiecznego podpisu elektronicznego.
Zalecenia bazylejskie nie tylko rekomendują wykorzystanie podpisu elektronicznego, ale nawet – dostrzegając korzyści prawne wynikające z ustawowych regulacji skuteczności podpisów elektronicznych – przewidują, że technika podpisów elektronicznych zyska szeroką akceptacją w skali ogólnoświatowej. Warto wspomnieć, że zalecenia bazylejskie dopuszczają zastosowanie podpisu elektronicznego zarówno na zasadach, wg których organem certyfikującym jest sam bank, jak i w oparciu o usługi innej zaufanej trzeciej strony.
Tak więc niechęć banku do tworzenia własnego centrum certyfikacji czy też nieuzasadnione acz obowiązujące w Polsce ograniczenia prawne (art. 6 ust. 1 pkt 6a) ustawy Prawo bankowe) nie stanowią przeszkody dla wdrożenia PKI w bankowości. Wydaje się nawet, że outsourcing tego typu usług jest zalecany, jako tańszy i odciążający bank od czynności pozabankowych oraz ograniczający ryzyko prawne. W obu powyższych dokumentach podkreśla się, jak duże znaczenie w działalności banku ma ryzyko prawne.
Polska ustawa o podpisie zapewnia najkorzystniejsze w Europie bezpieczeństwo prawne wykorzystywania podpisu elektronicznego, w szczególności odbiorcy dokumentów podpisywanych elektronicznie. Przepisy ustawy nie tylko zrównują ten podpis z własnoręcznym (art. 5 ust. 2), ale także stwarzają domniemanie autorstwa dokumentu (art. 6 ust. 1), co stanowi rzadkość w ustawodawstwie europejskim. W związku z ryzykiem prawnym bankowości elektronicznej warto wskazać na wyższość kwalifikowanego podpisu elektronicznego nad elektronicznym instrumentem płatniczym, o którym mowa w rozdziale 4 ustawy z 12 września 2002 r. o elektronicznych instrumentach płatniczych, zwanej dalej „ustawą o e.i.p.”.
Ustawa o e.i.p. przewiduje wiele ograniczeń w korzystaniu z dostępu do środków pieniężnych zgromadzonych na rachunku za pośrednictwem urządzeń łączności przewodowej lub bezprzewodowej. Tymczasem korzystanie z kwalifikowanego podpisu elektronicznego nie wymaga spełnienia żadnych dodatkowych wymogów. Jednak największą przewagą kwalifikowanego podpisu elektronicznego nad elektronicznym instrumentem płatniczym jest wyłączenie stosowania art. 28 ustawy o e.i.p., a w szczególności ograniczenia odpowiedzialności klienta banku do wysokości 150 euro.
Kwalifikowany podpis elektroniczny, nawet jeżeli będzie obsługiwany przez bank, nie podlega regulacjom ustawy o e.i.p. Wyparcie przez kwalifikowany podpis elektroniczny innych form identyfikacji w bankowości to tylko kwestia czasu. Upowszechnienie i spadek cen na usługi certyfikacyjne powinien ten proces jeszcze bardziej przyspieszyć. Mając na uwadze obowiązek składania deklaracji ZUS w II połowie 2008 r. wyłącznie w oparciu o kwalifikowany podpis elektroniczny, a tym samym obowiązek zaopatrzenia się przez setki tysięcy przedsiębiorców w tę formę uwierzytelnienia, można założyć, że lata 2008 i 2009 będą latami e-podpisu.
Robert Podpłoński
Więcej w październikowym numerze miesięcznika finansowego BANK
Zaprenumeruj BANK
Źródło:
