Podpis elektroniczny: Ułatwienie, ale i specjalne obowiązki

Nieliczne informacje o nim pochodzą głównie z telewizji i prasy. Co dokładnie należy rozumieć pod pojęciem podpisu elektronicznego, w jaki sposób on działa i co w praktyce daje?

Pierwszym kwalifikowanym podmiotem świadczącym usługi certyfikacyjne była firma UNIZETO sp. z o.o., która została wpisana do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne prowadzonego przez Centrum Zaufania i Certyfikacji Centranst (główny CA) 31 grudnia 2002 r. (ważne kwalifikowane certyfikaty może wydawać od 21 stycznia 2003 r.). Firma Unizeto Sp. z o.o. jako pierwsza ma prawo znakować dokumenty czasem.




Miller certyfikowany

Z kolei pierwszym człowiekiem w Polsce, któremu został wydany kwalifikowany certyfikat klucza publicznego, był premier Leszek Miller, który w lutym odebrał go w Kancelarii Prezesa Rady Ministrów w Warszawie. Certyfikat kwalifikowany nr 1 został wystawiony przez Unizeto CERTUM - Centrum Certyfikacji Kwalifikowane, po podpisaniu przez premiera Leszka Millera i prezesa zarządu Unizeto Andrzeja Bendig-Wielowiejskiego. Premier otrzymał kartę kryptograficzną nr 1 wyemitowaną przez Unizeto CERTUM - CCK zawierającą kwalifikowany certyfikat klucza publicznego oraz klucz prywatny służący do składania bezpiecznego podpisu elektronicznego. Po uaktywnieniu kart na bezpiecznym stanowisku do składania podpisu, premier podpisał elektronicznie pismo skierowane do marszałka Sejmu Marka Borowskiego. Tym samym został opatrzony bezpiecznym podpisem elektronicznym pierwszy w Polsce dokument - równoważny prawnie dokumentowi papierowemu.




Prawne ujęcie

Pierwszym na świecie aktem regulującym to zagadnienie była uchwalona około 11 lat temu ustawa stanu Utah. W USA pierwotnie inicjatywa spoczywała w rękach parlamentów stanowych, gdyż ustawa federalna pojawiła się dopiero w październiku 2000 r. Pierwszym krajem europejskim posiadającym w swym systemie prawnym ustawę o podpisie elektronicznym były Niemcy, które uregulowały tę materię ustawą z 1997 r. Jednak w 2001 r. dokonano uchwalenia zupełnie nowej ustawy, by dostosować ją do prawa unijnego. Obecnie podstawą prawną cyberlaw jest wzorcowa ustawa przyjęta przez Komisję do spraw Międzynarodowego Prawa Handlowego ONZ, w skrócie UNCITRAL, tworząca modelowe prawo handlu elektronicznego. Na tej ustawie w dużej mierze opierają się dyrektywy obowiązujące w Unii Europejskiej (1999/93/EC i 2001/31/EC), zobowiązujące kraje członkowskie UE do uchwalenia do 19 lipca 2001 r. odpowiednich aktów prawnych regulujących kwestię podpisu elektronicznego i handlu elektronicznego. Również kraje pretendujące do członkostwa w UE, w ramach dostosowywania systemów prawnych do ustawodawstwa unijnego są zobligowane do przyjęcia rozwiązań opartych na dyrektywie. Warto dodać, że także Rosja posiada stosowne uregulowania w tej dziedzinie.




Polska ustawa o podpisie elektronicznym, dalej zwana ustawą (DzU 2001 nr 130 poz. 1450) weszła w życie 16 sierpnia 2002 r. i zgodnie z zaleceniami prawa unijnego, jest neutralna technologicznie. Wraz z jej uchwaleniem znowelizowano art. 60 kc definiujący oświadczenie woli i art. 78 definiujący formę pisemną czynności prawnej.

Cechy charakterystyczne podpisu

Podpis elektroniczny zdecydowanie odbiega od tradycyjnego sposobu uwierzytelniania dokumentu, choć ma wszystkie istotne cechy podpisu odręcznego:
- potwierdza jednoznacznie tożsamość osoby podpisującej,
- uniemożliwia zaprzeczenie faktu podpisania i dokonania transakcji,
- jest nierozerwalnie powiązany z treścią, która została podpisana.

Dodatkową zaletą stosowania podpisu elektronicznego jest możliwość stwierdzenia na podstawie samego podpisu, czy dokument nie był zmieniany już po podpisaniu - gwarantuje to możliwość wykrycia każdej zmiany (nawet dostawienia spacji w treści podpisanego dokumentu). Dzięki temu taki podpis może być wykorzystywany do jednoznacznej autoryzacji wszelkich dokumentów wysyłanych przez Internet lub zapisanych na dyskietce czy CD-ROM-ie, a także transakcji elektronicznych.

Podpis elektroniczny jest plikiem, który może być przechowywany:
- w pamięci komputera,
- na dyskietce,
- w karcie chipowej.

Taka karta jest mikrokomputerem z własnym procesorem oraz pamięcią, zabezpieczona PIN-em i komunikująca się z komputerem za pomocą terminala. Zewnętrznie przypomina kartę płatniczą, choć różni się od niej technologicznie. Plik zawiera dane pozwalające ustalić tożsamość podpisującego, niekiedy również informacje dodatkowe, np. o tym, czy jest to podpis prywatny danej osoby, czy też występuje ona w roli organu lub członka organu osoby prawnej albo jednostki nieposiadającej osobowości prawnej, czy też jako organ władzy publicznej, albo pełnomocnik określonej osoby. W konsekwencji ta sama osoba może mieć możliwość składania różnych podpisów, w zależności od tego, w jakiej roli występuje. Jest to nowością, gdyż ta sama osoba może stosować inny podpis elektroniczny we własnym imieniu, a inny w imieniu osoby prawnej. Dla weryfikacji podpisu niezwykle pomocne może być dołączenie tzw. certyfikatu. Ma on postać elektronicznego zaświadczenia, potwierdzającego przynależność danych osoby podpisującej do elektronicznego podpisu.

Groźba „kompromitacji”

Największym niebezpieczeństwem związanym z używaniem podpisu elektronicznego jest groźba tzw. kompromitacji klucza, tj. ujawnienia klucza prywatnego („danych do składania podpisu elektronicznego”) osobie trzeciej, stąd dla podwyższenia bezpieczeństwa wprowadzono system unieważniania certyfikatów i sprawdzania ich statusu. Fakt owej „kompromitacji” należy niezwłocznie zgłosić w celu unieważnienia certyfikatu. To samo należy zrobić w przypadku kradzieży karty wraz z przechwyceniem PIN-u, skradzioną kartę z podpisem należy zastrzec tak jak utraconą kartę płatniczą.

Bardzo istotne jest, że tylko określony rodzaj podpisu elektronicznego został uznany za równoważny pod względem skutków prawnych podpisowi własnoręcznemu. Jest to możliwe jedynie w przypadku bezpiecznego podpisu opatrzonego ważnym kwalifikowanym certyfikatem (art. 78 par. 2 kc). Tak więc, przepis ten nie dotyczy dokumentów podpisanych za pomocą zwykłego podpisu elektronicznego, podpisu bezpiecznego weryfikowanego zwykłym certyfikatem albo też bezpiecznego podpisu weryfikowanego kwalifikowanym, ale przeterminowanym czy unieważnionym certyfikatem - i przewiduje dla nich skutki prawne jak przy złożeniu ustnego oświadczenia woli. Różnica w stosowaniu bezpiecznego podpisu elektronicznego w odniesieniu do podpisu zwykłego dotyczy przede wszystkim bezpieczeństwa, które jest gwarantowane m.in. przez to, że podmioty, które będą chciały oferować certyfikaty służące do składnia bezpiecznego podpisu, są nadzorowane przez ministra do spraw gospodarki. Podmioty te zanim uzyskają tzw. zaświadczenie certyfikacyjne, które umożliwia im oferowanie bezpiecznych certyfikatów, muszą poddać się kontroli, która ma na celu stwierdzenie czy dany podmiot posiada wystarczający potencjał merytoryczny i technologiczny oraz czy spełnia wszystkie przewidziane ustawą wymogi.

Podpis zwykły i kwalifikowany certyfikat

Zwykły podpis elektroniczny, jako dane elektroniczne powiązane wraz z innymi danymi, do których zostały dodane lub z którymi są logicznie powiązane i służą do identyfikacji osoby składającej podpis (podpis zwykły), można było stosować i stosowano na długo przed uchwaleniem ustawy o podpisie elektronicznym. Między innymi jest to możliwe za pośrednictwem przeglądarek internetowych, z tym że podpis taki, jak już było powiedziane, nie nadaje oświadczeniu mocy dokumentu, pozwala jednak na swego rodzaju uwierzytelnienie podmiotu nim się posługującego i może być w pewnych sytuacjach przydatny. Również zwykłym podpisem cyfrowym posługiwały się banki już osiem lat temu przy dokonywaniu przelewów w systemie ELIXIR (bez użycia papieru). Podobnie dokonywany jest obrót papierami wartościowymi, które w postaci zdematerializowanej zapisywane są na rachunkach w Krajowym Depozycie Papierów Wartościowych.

Bezpieczny podpis elektroniczny to podpis, który dodatkowo jest przyporządkowany do osoby składającej podpis, jest sporządzony za pomocą (podlegających wyłącznej kontroli osoby składającej podpis) bezpiecznych urządzeń służących do składania podpisu elektronicznego i danych służących do składania podpisu elektronicznego oraz jest powiązany z danymi, do których został dołączony, w taki sposób, że jakakolwiek późniejsza zmiana tych danych jest rozpoznawalna (art. 3 ust. 2 ustawy). Natomiast kwalifikowany certyfikat to elektroniczne zaświadczenie, za pomocą którego dane służące do weryfikacji podpisu elektronicznego są przyporządkowane do osoby składającej podpis elektroniczny i służą do jej identyfikacji; zaświadczenie (art. 20 ust. 1 ustawy) musi zawierać co najmniej:
- numer certyfikatu,
- wskazanie, że został wydany jako certyfikat kwalifikowany do stosowania zgodnie z określoną polityką certyfikacji,
- określenie podmiotu świadczącego usługi certyfikacyjne wydającego certyfikat i państwa, w którym ma on siedzibę,
- numer pozycji w rejestrze kwalifikowanych podmiotów świadczących usługi certyfikacyjne,
- dane służące do weryfikacji podpisu elektronicznego,
- oznaczenie początku i końca ważności certyfikatu,
- poświadczenie elektroniczne podmiotu świadczącego usługi certyfikacyjne wydającego dany certyfikat,
- imię i nazwisko lub pseudonim osoby składającej podpis elektroniczny,
- dane służące do weryfikacji podpisu,
- ograniczenia zakresu ważności certyfikatu, jeżeli przewiduje to określona polityka certyfikacyjna,
- ograniczenia najwyższej wartości granicznej transakcji, w której certyfikat może być wykorzystywany, jeżeli przewiduje to polityka certyfikacji lub umowa (im wyższa wartość, tym procedura poprzedzająca wydanie certyfikatu jest bardziej szczegółowa, może nawet wymagać udziału notariusza).

Słabość przepisów

Ustawa ukazała się stosunkowo niedawno, a wciąż (gdyż już w fazie projektów była ostro krytykowana) „zbiera cięgi” za swoją słabość merytoryczną. Zarzuty, jakie stawia się ustawie o podpisie elektronicznym, a szczególnie rozporządzeniom wykonawczym są czasami bardzo poważne. Są to akty w wielu miejscach niedopracowane, w wielu merytorycznie niespójne, a często i zupełnie niezrozumiałe. Wielu teoretyków prawa wskazuje liczne braki w tej ustawie.

Do braków ustawy należy zaliczyć niżej omówione.
- Brak definicji „weryfikacji podpisu elektronicznego” przy jednoczesnym zdefiniowaniu pojęcia „weryfikacji bezpiecznego podpisu elektronicznego” (art. 3.22). Do niezdefiniowanego określenia „weryfikacji podpisu elektronicznego” nawiązuje bowiem definicja „urządzenia służącego do weryfikacji podpisu elektronicznego” (art. 3.8).
- Skomplikowanie pojęcia podpisu elektronicznego, co czyni je mało czytelnym.
- Niezgodność z konstytucją w zakresie art. 23 ust. 5, który wskazuje na wybór centralistycznego modelu zarządzania certyfikatami. Ponadto ustawa oprócz luźnego zapisu o stosunku zależności wobec NBP nie przewiduje żadnych innych, dodatkowych kryteriów, które musi spełnić owy podmiot zostawiając to dowolnej interpretacji i wyborowi NBP. Konstytucjonaliści zauważają, iż zapis ten jest niezgodny nie tylko z polską ustawą zasadniczą, a także z ustawodawstwem Unii Europejskiej. Ogranicza zakres podmiotowy wyboru podmiotu działającego jako RootCA przez ministra gospodarki i NBP do podmiotów pozostających w zależności od NBP.
- Istotnym mankamentem ustawy jest brak zmian w przepisach kodeksu postępowania cywilnego. W szczególności nie zmieni się sposób wprowadzania dokumentów elektronicznych jako dowodu do procesu cywilnego. Jak się wydaje, w przypadku sporu dokument podpisany elektronicznie nadal będzie przedkładany sądowi w formie wydruku, będącego jedynie początkiem dowodu na piśmie.

Natomiast akty wykonawcze są już swoistym majstersztykiem w tej dziedzinie. Załączniki do rozporządzenia o bezpiecznych warunkach (...), budzą podziw, stanowiąc zupełnie niezrozumiałą techniczną mozaikę liczb i znaków. Można zapytać, do kogo tak naprawdę skierowany jest dany akty prawny. Trudny slogan techniczny charakteryzuje najważniejsze Rozporządzenie Rady Ministrów z 7 sierpnia 2002 r. DzU 02.128.1094). Jest to przykład zagubienia się w technice prawodawczej, zatarcia granicy między przepisem prawnym, normą prawną a normą technologiczną, który w akademicki sposób obrazuje, jak nie pisze się aktu prawnego. W rezultacie czyni on zagadnienie całkowicie niezrozumiałym, nie tylko dla adresata norm, ale także dla jego interpretatorów, czyli prawników. Skierowano go do specjalistów, tylko że dla nich pisze się instrukcje techniczne, a nie akty prawne.

Kluczami zaszyfrowane

Podpisy elektroniczne są tworzone przy użyciu oprogramowania wykorzystującego asymetryczne algorytmy kryptograficzne, zwane też inaczej szyfrowaniem z kluczem publicznym. W przeciwieństwie do tradycyjnego szyfrowania, tzw. symetrycznego (znanego chociażby z filmów szpiegowskich), w którym używany jest jeden, wspólny dla obydwu komunikujących się ze sobą stron tajny klucz do szyfru, szyfrowanie z kluczem publicznym (zwane także szyfrowaniem asymetrycznym) wykorzystuje dwa osobne klucze.

Jeden z kluczy nazywa się kluczem publicznym. Nazwa ta pochodzi stąd, że klucz ten musi znać każdy, kto chce wysłać posiadaczowi klucza zaszyfrowaną wiadomość. Drugi to klucz prywatny - ten służy do rozszyfrowywania i nie może go znać nikt poza jego właścicielem. Znając klucz publiczny nie można poznać klucza prywatnego - tzn. jest to teoretycznie możliwe, ale przy współczesnym stanie wiedzy niewykonalne obliczeniowo. W najczęściej używanym do szyfrowania asymetrycznego algorytmie RSA klucz prywatny składa się z dwóch dużych liczb pierwszych, zaś klucz publiczny jest ich iloczynem. Metoda złamania szyfru - czyli odtworzenia klucza prywatnego, mając dany klucz publiczny - jest zatem teoretycznie oczywista: należy tę liczbę rozłożyć na czynniki pierwsze. Bezpieczeństwo szyfru płynie stąd, że przy użyciu wszystkich aktualnie znanych metod matematycznych operacja rozkładu tak dużej liczby na czynniki trwa niezwykle długo.

Algorytm szyfrowania z kluczem publicznym skonstruowany jest tak, że to, co zostanie zaszyfrowane kluczem publicznym, może być odszyfrowane jedynie kluczem prywatnym z tej samej pary. Działa to jednak również w odwrotną stronę: to, co zostanie zaszyfrowane kluczem prywatnym, może być odszyfrowane przez każdego, kto zna klucz publiczny. Oczywiście taki szyfr, który każdy może odczytać, jest zupełnie nieskuteczny jako szyfr - sprawdza się natomiast znakomicie właśnie jako podpis elektroniczny. Otóż fakt, że wiadomość daje się odszyfrować kluczem publicznym, stanowi dowód, że w istocie musi ona pochodzić od posiadacza klucza prywatnego, niezbędnego do jej zaszyfrowania. Wyklucza to więc możliwość podszycia się kogokolwiek pod posiadacza klucza prywatnego.

Przy tworzeniu elektronicznego podpisu, szyfrowaniu kluczem prywatnym nie podlega cała wiadomość, lecz jej tzw. skrót kryptograficzny (kilkunasto-, bądź kilkudziesięciobajtowa wartość, obliczona na podstawie treści wiadomości za pomocą specjalnej tzw. funkcji mieszającej hash function). Gdyby jego nie było, komputer wysyłałby dyspozycję np. do układu na karcie mikroprocesorowej, który wykonałby obliczenia matematyczne na podstawie klucza prywatnego i treści zlecenia, tworząc dokument podpisany elektronicznie, gotowy do przesłania do banku. Obliczenia takie są czasochłonne szczególnie dla małego chipa na karcie. Dlatego w praktyce najpierw tworzy się skrót zlecenia, a później podpisywany cyfrowo jest tylko ten skrót zlecenia, co znacznie przyśpiesza całą procedurę.

Etapy podpisywania wiadomości przedstawiają się następująco:
- najpierw tworzony jest skrót wiadomości (skrót kryptograficzny),
- następnie skrót wiadomości kodowany jest kluczem prywatny - w ten sposób uzyskany został podpis,
- kolejnym krokiem jest dołączenie do listu (w jawnej postaci) skrótu podpisanego elektronicznie i wysłanie np. do banku,
- gdy podpisany dokument dotrze do (komputera) odbiorcy, ten tworzy skrót listu, deszyfruje podpis kluczem publicznym, otrzymując skrót wiadomości (skrót kryptograficzny) i porównuje dwa otrzymane skróty.

Gdyby skróty były różne, to próba oszustwa zostałaby wykryta. Oznacza to, że dokument został utworzony przez nieuprawnioną osobę lub zmodyfikowany po wysłaniu przez klienta. Odbiorca (np. bank) powinien zapamiętać nie tylko treść samej dyspozycji, ale także podpisany skrót. Tylko oba te elementy tworzą łącznie dokument sygnowany elektronicznie i pozwala dowieść klientowi, że złożył dokładnie takie zlecenia, gdyby później wypierał się tego. Ponieważ na podstawie klucza publicznego nie można wygenerować klucza prywatnego, nie ma ryzyka, że nieuczciwy pracownik (np. banku) okradnie posiadacza klucza prywatnego.

Tajemniczy podpis

Podpisu elektronicznego nie widać. Ukryty jest on w strukturze sygnowanego dokumentu, tak jak inne znaki niedrukowalne, które sprawiają jednak, że list stworzony w edytorze tekstu wygląda dla użytkownika jak napisany na maszynie, a strona WWW jawi się jako zbiór racjonalnie powiązanych tekstów i grafik, a nie niezrozumiałych dla przeciętnego człowieka zapisów języka html. O fakcie podpisania dokumentu e-podpisem informuje specjalny znak graficzny pojawiający się w programie, który odczytuje w ten sposób podpisany dokument. Po kliknięciu na tę ikonę można obejrzeć szczegółowe informacje o podpisach dołączonych do dokumentu.

Warto przy tym podkreślić, że samo sygnowanie dokumentu podpisem elektronicznym nie zabezpiecza go przed przeczytaniem przez osoby trzecie, ani nawet przed wprowadzeniem przez nie zmian w jego treści. Tylko że jeżeli odbiorca otrzyma zmieniony dokument, to od razu się o tym dowie, gdyż skrót wiadomości będzie różny od skrótu listu wygenerowanego przez adresata na podstawie klucza publicznego osoby podpisanej pod tym dokumentem.

Fakt, że wiadomość daje się odszyfrować kluczem publicznym osoby X, stanowi dowód, że osoba X jest faktycznie jej autorem. Jest jednak w tym rozumowaniu pewien problem: skąd należy mieć pewność, że klucz publiczny osoby X jest faktycznie jej kluczem. Rozwiązaniem problemu weryfikacji autentyczności kluczy jest ich certyfikowanie. Certyfikowanie klucza polega na dołączeniu do niego informacji o tożsamości właściciela klucza i elektronicznym podpisaniu tak utworzonego dokumentu (certyfikatu) własnym kluczem prywatnym przez tzw. zaufaną trzecią stronę (trusted third party, TTP), która tym samym potwierdza tożsamość osoby, do której należy klucz.

Tą zaufaną trzecią stroną wystawiającą certyfikat jest zazwyczaj specjalny tzw. urząd certyfikacyjny (certification authority, CA). Może to być „prawdziwy” urząd państwowy bądź komercyjna firma, której wiarygodność została w odpowiedni sposób potwierdzona. Urzędy certyfikacyjne zorganizowane są w pewną hierarchię, zwaną infrastrukturą klucza publicznego (public key infrastructure, PKI). Na jej szczycie stoi główny urząd certyfikacyjny (root CA), stanowiący podstawę całego systemu. Główny urząd certyfikacyjny nie wystawia bezpośrednio certyfikatów żadnym użytkownikom końcowym, lecz jedynie certyfikuje klucze urzędów niższego szczebla, a dopiero te obsługują użytkowników. Hierarchia ta może być jeszcze bardziej rozbudowana: pomiędzy głównym CA, a końcowym użytkownikiem może znajdować się kilka szczebli urzędów certyfikacyjnych, które kolejno certyfikują swoje klucze. Rozproszenie funkcji certyfikacyjnych ma na celu ograniczenie skutków ewentualnego ujawnienia klucza prywatnego któregoś z CA. Jednak bezpieczeństwo całego systemu zależy de facto od bezpieczeństwa klucza prywatnego głównego CA - jego ujawnienie podaje bowiem w wątpliwość wiarygodność wszystkich elektronicznych podpisów! Dlatego powinien on być chroniony w najlepszy możliwy sposób, zaś odpowiadający mu klucz publiczny - podany do wiadomości w sposób nie budzący wątpliwości co do jego autentyczności (np. poprzez wydrukowanie jego odcisku w Dzienniku Ustaw lub podobnym organie urzędowym).

Przyszłość podpisu

W trakcie procesu projektowania ustawy ówczesny wiceminister Spraw Wewnętrznych i Administracji Kazimierz Ferenc zapytany o celowość podpisu w obliczu wskaźnika 20 proc. społeczeństwa korzystającego z Internetu i niskiego stanu komputeryzacji urzędów stwierdził: „20 procent? Według moich informacji to tylko 17 procent, ale to już jedna piąta. Biorąc pod uwagę, że jedna piąta to osoby bardzo młode, nie mogące podejmować decyzji prawnych - to już dwie piąte populacji posiada te narzędzia (Internet), ale nie posiada instrumentu prawnego do realizacji podpisu. Znam większość urzędów, które nie tylko posiadają komputery, ale i są odpowiednio osieciowane. Wszystkie urzędy gminy są skomputeryzowane - jest to potężne narzędzie do podejmowania decyzji sygnowania ich podpisem elektronicznym”.

Taka wypowiedź wzbudza optymizm, iż urzędy nam najbliższe, czyli gminy i powiaty, nie będą zwlekały z wprowadzeniem udogodnień związanych z rozwiązaniami elektronicznymi pozwalającymi na obsługę interesantów na płaszczyźnie wirtualnej (urzędy gminy i powiaty mogą także świadczyć usługi certyfikacyjne na potrzeby swoich mieszkańców, ale tylko w celach niezarobkowych).

Tomasz Domżał (dyrektor biura informatyzacji transakcji elektronicznych PWPW) twierdzi, iż: popularyzacja podpisu elektronicznego nastąpi najszybciej wówczas, gdy na rynku będzie dużo aplikacji, w których będzie można wykorzystać nową formę podpisu. Mało prawdopodobne jest, aby obywatel chciał zakupić certyfikat elektroniczny, po to, by raz w roku składać zeznanie podatkowe.

Banki w awangardzie

Najszybciej będzie można natomiast korzystać z dobrodziejstw e-podpisu przy zarządzaniu pieniędzmi na zlecenie. Instytucje finansowe mają bowiem najmniej czasu, by wdrożyć infrastrukturę niezbędną do obsługi podpisu elektronicznego. Banki na nową ustawę czekały szczególnie niecierpliwie. Wizja elektronicznego komunikowania się z bankami jawi się niezwykle atrakcyjnie. Kilka banków już dziś wykorzystuje rozwiązania przypominające podpis elektroniczny. Największy polski bank detaliczny PKO BP już dziś oferuje klientom oddziału internetowego e-PKO token, który podczas logowania pracuje jak e-podpis (z dwoma kluczami - prywatnym dla klienta i publicznym służącym do jego weryfikacji). Podobny podpis elektroniczny stosowany jest w Fortis Banku - do systemu bankowości elektronicznej Pl@net. E-podpis działa także w banku BPH PBK (system Sez@m) oraz w ING Banku Śląskim (system ING BankOnLine).

Podpis elektroniczny umożliwi klientom realizowanie przez Internet wszystkich transakcji, m.in. zakładanie lokat, przelewów czy składanie wniosków kredytowych bezpośrednio z domu bez konieczności odwiedzania banku. „Wprowadzenie e-podpisu podniesie też znacznie bezpieczeństwo wszystkich transakcji elektronicznych w sektorze finansowym”, uważa Maciej Biniek, dyrektor pionu bankowości elektronicznej w Banku Zachodnim WBK. Nie spodziewa się on jednak, by ustawa z dnia na dzień spowodowała gwałtowny wzrost liczby klientów korzystających z bankowości internetowej. „Potrzeba na to od trzech do pięciu lat”, przewiduje Biniek. W Czechach, gdzie podobna ustawa obowiązuje już od roku, liczbę bankowych klientów posługujących się e-podpisem szacuje się na niewiele ponad 10 tys. osób. Podobnie jest w krajach zachodnich, gdzie z podpisu elektronicznego korzysta tylko niewielki odsetek klientów. Nieco lepiej jest tylko w Skandynawii, gdzie bankowość Internetowa jest najlepiej rozwinięta na Starym Kontynencie, np. w Finlandii podpisem elektronicznym posługuje się prawie co piąty klient banków.

Fakt, iż wszystkie polskie podmioty wydające certyfikaty stosowane do składania bezpiecznego podpisu muszą funkcjonować w ramach jednej infrastruktury klucza publicznego, gwarantuje dalsze korzyści. Działanie w ramach jednej struktury zapewnia bowiem, że certyfikat wydany przez którykolwiek z podmiotów w ramach tej struktury jest uznawany przez wszystkie pozostałe podmioty w tej strukturze, a podpis elektroniczny złożony przy użyciu takiego certyfikatu jest skuteczny bez względu na charakter kontaktu i podpisywanego dokumentu. W praktyce oznacza to możliwość pełnej standaryzacji wszelkiego rodzaju kontaktów z administracją i innymi podmiotami, jak banki, urzędy skarbowe czy ZUS. Czynnikiem ograniczającym rozwój elektronicznego podpisu może być koszt zakupu czytnika i certyfikatu elektronicznego. Choć do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne, prowadzonego przez Centrast, zostały dotychczas wpisane cztery firmy (Unizeto, Polska Wytwórnia Papierów Wartościowych, TP Internet i Krajowa Izba Rozliczeniowa), to w praktyce tylko Unizeto i PWPW opublikowały na razie swoje cenniki. Wynika z nich, że za możliwość posługiwania się kwalifikowanym podpisem elektronicznym w pierwszym roku od podpisania umowy z centrum certyfikacji trzeba zapłacić w Unizeto od 1232,20 zł do 1293,20 zł (231,80 zł certyfikat + 146,40 zł karta mikroprocesorowa + 854 zł lub 915 zł zestaw do składania bezpiecznego podpisu z czytnikiem), a w PWPW 915 zł (610 zł certyfikat + 122 zł karta mikroprocesorowa + 183 zł czytnik kart mikroprocesorowych).

Wysoki koszt to jeden z głównych powodów kunktatorskiego nastawienia banków do podpisu elektronicznego. Jednakże jak się okazuje, nie tylko karta mikroprocesorowa, lecz także telefon komórkowy ze specjalną kartą SIM może służyć do elektronicznego podpisywania dokumentów W przypadku karty chipowej niezbędny jest czytnik podłączany do komputera. W drugim przypadku rolę czytnika spełnia komórka. Zdaniem Jacka Rekosa, dyrektora Departamentu Mobilnych Usług dla Rynku Prywatnego w sieci Era, dzięki temu certyfikat może być znacznie tańszy. Technologia komórkowego e-podpisu jest już praktycznie gotowa. Era bada możliwości technologiczne mobilnego podpisu elektronicznego. Analizowane są również usługi, które mogą przynieść abonentom najwięcej korzyści po wprowadzeniu mobilnego podpisu. Latem ubiegłego roku Krajowa Izba Rozliczeń i PTC (operator sieci ERA) podpisały list intencyjny dotyczący współpracy przy wprowadzaniu podpisu elektronicznego na rynek. W KIR od strony technicznej rozwiązanie jest już praktycznie gotowe. Rynek oczekuje na następne pionierskie rozwiązania stwarzające jak najlepsze warunki rozwoju podpisu elektronicznego. Coraz tańszy i łatwiejszy dostęp do podpisu elektronicznego powinna zapewnić swoista konkurencja wśród podmiotów wydających kwalifikowane podpisy.

Jednak na dzień dzisiejszy tylko jedna firma umożliwiała zawieranie umów ubezpieczeniowych za pomocą podpisu elektronicznego, jest to AIG Powszechne Towarzystwo Emerytalne. Większość firm na poważnie nawet się nie zastanawiało nad wykorzystaniem e-podpisu w kontaktach z klientami. Ich opinie sprowadzają się bowiem do tego, że dostępne obecnie certyfikaty kwalifikowane są drogie, więc i tak nie będzie chętnych do podpisywania umów za ich pomocą, a co za tym idzie, nie ma sensu udostępniać takiej możliwości. W ten sposób tworzy się błędne koło. Firmy nie wdrażają podpisu elektronicznego, bo brakuje potencjalnych chętnych do posługiwania się nim, natomiast użytkownicy indywidualni nie chcą kupować kwalifikowanych certyfikatów, bo nie będą mieli możliwości z nich skorzystać. Wydaje się jednak, że pierwszy krok powinny zrobić przedsiębiorstwa, gdyż koszt wdrożenia tej technologii to dla nich drobiazg - AIG PTE zrobiło to przy okazji modernizacji strony internetowej. Andrzej Bendig-Wielowiejski, prezes szczecińskiego Unizeto twierdzi, że kolejność zakupu kwalifikowanych certyfikatów będzie następująca: najpierw firmy, potem klienci indywidualni, a upowszechnienie kwalifikowanego podpisu elektronicznego wśród użytkowników prywatnych może nastąpić szybciej, niż się wydaje. Certyfikat zawsze jest bowiem przypisany do konkretnego człowieka. Nawet jeśli jest to certyfikat kupionych przez firmę, to zawsze jest on przypisany do konkretnego pracownika. Wydaje się zatem (zdania prawników są podzielony), że nie ma żadnych przeciwwskazań, aby używać takiego certyfikatu do weryfikacji podpisów składanych przez prawników w ich prywatnych sprawach. Natomiast zdaniem Fredrika de Lerigona, dyrektora generalnego Tele2 Polska, brak w polskim prawie możliwości zawierania umów przez telefon (co jest powszechnie stosowane w krajach Unii Europejskiej), może spowodować, że podpis elektroniczny przyjmie się u nas lepiej niż w innych krajach.

Andrzej Cwynar
Źródło:

Newsletter Bankier.pl

Dodałeś komentarz Twój komentarz został zapisany i pojawi się na stronie za kilka minut.

Nowy komentarz

Anuluj
0 0 jogi456

Przy podpisie elektronicznym całkowicie się zdałem na firmę Netvet – są we Wro i w Bielanach Wrocławskich z tego co wiem. Do mnie dojechali, dostarczyli zestaw, wgrali wszystko w system – cenowo drogo nie wyszło a nie musiałem tracić czasu na jakiś notariuszy czy jeżdżenie po urzędach.

! Odpowiedz