Bezpieczny podpis elektroniczny

Bezpieczny podpis elektroniczny, weryfikowany za pomocą kwalifikowanego certyfikatu, po spełnieniu określonych warunków, jest równoważny pod względem skutków prawnych podpisowi złożonemu własnoręcznie. W szczególności podpis taki może być stosowany w kontaktach z elektroniczną administracją.

Bezpieczny podpis elektroniczny jest pojęciem normatywnym, który wprowadziła ustawa z dnia 18 września 2001 r. o podpisie elektronicznym wraz z późniejszymi zmianami. Ustawa ta określa m.in. warunki stosowania podpisu elektronicznego oraz skutki prawne jego użycia. Zgodnie z ustawą, dane w postaci elektronicznej podpisane bezpiecznym podpisem elektronicznym są równoważne pod względem skutków prawnych dokumentom opatrzonym podpisami własnoręcznymi, chyba że przepisy odrębne stanowią inaczej.

Zgodnie z ustawą bezpieczny podpis elektroniczny to podpis elektroniczny, który jest przyporządkowany wyłącznie osobie składającej ten podpis. Co więcej, jest on sporządzany za pomocą bezpiecznych urządzeń, podlegających wyłącznej kontroli osoby składającej podpis elektroniczny. Podpis jest także powiązany z danymi, do których został dołączony, w taki sposób, że jakakolwiek późniejsza zmiana tych danych jest rozpoznawalna. Innymi słowy, w przypadku wprowadzenia zmian w dokumencie opatrzonym podpisem elektronicznym pozytywna weryfikacja nie będzie możliwa.

Bezpieczny podpis elektroniczny weryfikowany jest za pomocą kwalifikowanego certyfikatu cyfrowego. Wydawany jest on przez uprawniony podmiot świadczący usługi certyfikacyjne wyłącznie osobom fizycznym, z zachowaniem procedur weryfikacji tożsamości osoby, która ubiega się o jego wydanie. Certyfikat kwalifikowany musi być przechowywany w sposób bezpieczny, np. na karcie kryptograficznej, a podpis składany jest zawsze za pomocą tzw. bezpiecznego urządzenia.

Ujednolicony tekst ustawy o podpisie elektronicznym dostępny jest do pobrania ze strony http://isap.sejm.gov.pl/DetailsServlet?id=WDU20011301450.

O certyfikatach

Bezpieczny podpis elektroniczny weryfikowany za pomocą kwalifikowanego certyfikatu zapewnia integralność podpisanych dokumentów, tzn. gwarantuje, że podpisane dane elektroniczne nie zostały zmienione. Stanowi także dowód na to, że podpis został złożony przez osobę, dla której wydano certyfikat.

Na rynku dostępne są dwa typy kwalifikowanych certyfikatów: certyfikat uniwersalny (zawierający podstawowe dane o jego posiadaczu) oraz certyfikat z dodatkowymi danymi (rozszerzony o dane reprezentowanego podmiotu).

Zgodnie z ustawą, kwalifikowany certyfikat zawiera oznaczenie początku i końca okresu ważności certyfikatu. Certyfikaty wydawane są na rok lub dwa lata. Właściciel certyfikatu może jednak zażądać jego unieważnienia przed upływem tego okresu.

Właściciel certyfikatu powinien także przechowywać go (kartę kryptograficzną) w sposób bezpieczny, który zapewnia jego ochronę przed nieuprawnionym użyciem. Dodajmy jednocześnie, że złożenie podpisu elektronicznego za pomocą certyfikatu należącego do innej osoby podlega grzywnie i/lub karze pozbawienia wolności do lat 3.

Dla kogo certyfikat?

Tyle teorii. Najwięcej korzyści ze stosowania kwalifikowanego certyfikatu odniosą przedsiębiorcy. Przepisy obligują podmioty zatrudniające powyżej 5 osób do przekazywania dokumentów ubezpieczeniowych do ZUS drogą elektroniczną. Każdy przesyłany dokument musi być opatrzony bezpiecznym podpisem elektronicznym.

CERTUM PCC jedną z pięciu firm  działających w Polsce, które świadczą publiczne usługi certyfikacyjne

CERTUM PCC jedną z pięciu firm działających w Polsce, które świadczą publiczne usługi certyfikacyjne

Podpis elektroniczny może być stosowany w kontaktach z administracją publiczną. W systemie ePUAP kwalifikowany certyfikat może zostać użyty do uwierzytelniania do usługi, podpisywania wniosków i dokumentów oraz złożenia tzw. samozaufania Profilu Zaufanego. Podpis elektroniczny wykorzystamy także do podpisywania zeznań podatkowych przekazywanych do systemu e-Deklaracje, wnoszenia pozwów w EPU (e-Sąd), składania wniosków o dotacje unijne w PARP, czy też przesyłania sprawozdań do GUS. Przedsiębiorcy mogą stosować podpis elektroniczny przy wystawianiu faktur oraz zawieraniu umów cywilnoprawnych w formie elektronicznej.

Oferta certyfikatów

Usługi certyfikacyjne mają charakter komercyjny. W Polsce działa pięć kwalifikowanych podmiotów świadczących publiczne usługi certyfikacyjne. Są to: CERTUM PCC (należące do Unizeto Technologies), Sigillum PCCE Polskiej Wytwórni Papierów Wartościowych (PWPW), Krajowa Izba Rozliczeniowa, CenCert (będący jednostką organizacyjną Enigma SOI - wcześniej Safe Technologies) oraz MobiCert.

Funkcję głównego urzędu certyfikacji dla infrastruktury bezpiecznego podpisu elektronicznego w Polsce pełni Narodowe Centrum Certyfikacji NCCert działające przy Narodowym Banku Polskim.

Oferta poszczególnych wydawców oraz ceny zestawów do składania podpisu elektronicznego są do siebie bardzo zbliżone. Decydujące znaczenie przy wyborze wydawcy mają więc jego prestiż i marka na rynku oraz bliskość miejsca, w którym dokonamy potwierdzenia tożsamości.

Standardowy zestaw do składania podpisu elektronicznego zawiera kwalifikowany certyfikat zapisany na standardowej karcie kryptograficznej, oprogramowanie do składania podpisu oraz czytnik kart inteligentnych podłączany do komputera przez port USB. Cena takiego zestawu wynosi 230-245 zł netto (certyfikat ważny rok) i od 239 do 298 zł (certyfikat ważny przez 2 lata). Uzupełnienie oferty stanowią zestawy z miniczytnikiem (podobnym do pamięci przenośnej USB) oraz minikartą kryptograficzną w formacie karty SIM.

Osoby, które mają czytnik np. wbudowany w laptopa, mogą wybrać zestaw bez czytnika. Ceny za taki zestaw rozpoczynają się od 190 zł. Odnowienie kwalifikowanego certyfikatu kosztuje od 90 zł (rok) do 130 zł (2 lata).

W ofercie CERTUM, Sigillum oraz Krajowej Izby Rozliczeniowej znajdziemy certyfikaty niekwalifikowane (komercyjne) wydawane do certyfikatów kwalifikowanych. Certyfikat komercyjny umożliwia podpisywanie i szyfrowanie korespondencji e-mail, szyfrowanie danych na dysku oraz uwierzytelnianie w systemach informatycznych np. podczas logowania do komputera.

Procedura zakupu certyfikatu kwalifikowanego rozpoczyna się od wypełnienia wniosku o jego wydanie. Aktywacja danych zawartych w certyfikacie wymaga potwierdzenia tożsamości w punkcie rejestracji, punktach partnerskich lub u współpracującego z wydawcą certyfikatów notariusza. CERTUM umożliwia zakup zestawu z certyfikatem w sklepie internetowym lub bezpośrednio w Punkcie Rejestracji CERTUM PCC czy Punkcie Partnerskim. Krajowa Izba Rozliczeniowa ma w ofercie pakiety dla firm świadczone na miejscu u klienta. W ramach usługi wydawane są certyfikaty (w tym weryfikacja tożsamości), dokonywana jest integracja zestawu z programem Płatnik oraz krótkie szkolenie dla pracowników.

itBCG Aplikacja Weryfikująca to kolejne ciekawe narzędzie służące do weryfikacji podpisów. W tym przypadku możemy nawet sprawdzić czy dokument jest znakowany czasem

itBCG Aplikacja Weryfikująca to kolejne ciekawe narzędzie służące do weryfikacji podpisów. W tym przypadku możemy nawet sprawdzić czy dokument jest znakowany czasem

Oprogramowanie

Standardowym wyposażeniem zestawu do składania bezpiecznego podpisu elektronicznego jest oprogramowanie dostarczane przez wydawcę certyfikatu. Oprogramowanie to umożliwia składanie i weryfikację podpisu pod dokumentami elektronicznymi oraz zarządzanie kartą kryptograficzną, m.in. aktywację certyfikatu, nadanie lub zmianę numeru PIN itd. Aplikacja używana jest do składania i weryfikacji podpisu pod elektronicznymi fakturami, umowami cywilnoprawnymi i innymi dokumentami. Oprogramowanie komercyjne pozwala na złożenie kontrasygnaty, podpisu wielokrotnego oraz znakowanie czasem.

MobiCert udostępnia posiadaczom wydanych przez siebie certyfikatów aplikację Protektor. Z kolei Enigma SOI (CenCert) dołącza do swoich zestawów program PEM-HEART Signature, natomiast Krajowa Izba Rozliczeniowa - oprogramowanie SZAFIR. W zestawie z certyfikatem CERTUM PCC (Unizeto) otrzymamy aplikację proCertum SmartSign dla systemów Windows, Linux i Mac OS oraz oprogramowanie proCertum CardManager do zarządzania profilami certyfikatów przechowywanych na karcie kryptograficznej. Sigillum Sign 4, dołączane do zestawów Sigillum (PWPW), ma wbudowane funkcje szyfrowania plików (wymagany certyfikat komercyjny).

Weryfikacja dokumentu opatrzonego podpisem elektronicznym nie wymaga posiadania certyfikatu kwalifikowanego. W internecie można znaleźć bezpłatne oprogramowanie do weryfikacji podpisu, takie jak SZAFIR weryfikująca, Sigillum Sign 4 Weryfikator oraz itBCG Aplikacja Weryfikująca PDF.

Podstawowym formatem kwalifikowanego podpisu elektronicznego stosowanym w Polsce oraz zatwierdzonym przez Unię Europejską jest XAdES. Dla przykładu format XAdES używany jest m.in. do podpisywania zeznań podatkowych do systemu e-Deklaracje. Oprogramowanie komercyjne umożliwia składanie i weryfikację podpisu w innych formatach, m.in. CMS oraz S/MIME.

Podpis, a e-urząd

Program Płatnik ma wbudowany komponent techniczny, który umożliwia podpisywanie dokumentów ubezpieczeniowych bez konieczności instalacji dodatkowego oprogramowania.

Użytkownicy systemu ePUAP, którzy chcą korzystać z kwalifikowanego certyfikatu do logowania się do usługi i podpisywania dokumentów, muszą zainstalować dodatkowy komponent przeglądarki internetowej: ActiveX dla Internet Explorer lub wtyczkę dla Mozilla Firefox, Google Chrome lub Opery (jest ona instalowana przy próbie wykonania w ePUAP operacji wymagającej podpisu złożonego za pomocą kwalifikowanego certyfikatu).

Do przekazywania deklaracji podatkowych drogą elektroniczną przy użyciu interaktywnych formularzy PDF wymagana jest instalacja dodatkowej wtyczki dla programu Adobe Reader. Wtyczka ta umożliwia złożenie podpisu oraz wysyłkę zeznań do systemu e-Deklaracje.

Summa summarum

Kwalifikowane certyfikaty nigdy nie zdobyły większej popularności wśród osób prywatnych. Barierą okazały się stosunkowo wysokie koszty posiadania certyfikatu oraz brak usług elektronicznej administracji.

Jednocześnie ustawodawca nie zrobił nic w kierunku upowszechnienia się podpisu elektronicznego wśród obywateli, promując różnego rodzaju półśrodki w postaci Profilu Zaufanego (ePUAP), czy certyfikatów elektronicznych wydawanych na potrzeby elektronicznego postępowania upominawczego. A szkoda, bo kwalifikowany certyfikat zapewnia wysoki poziom bezpieczeństwa i wiarygodności. To wszystko sprawia, że duża część certyfikatów nadal pozostanie w rękach pracowników działu kadr (Płatnik) i księgowości (e-Deklaracje, GUS). Wysoki koszt wydania certyfikatu sprawia, że obywatelom pozostaje poczekać na elektroniczny dowód osobisty lub posługiwać się alternatywnymi metodami poświadczenia tożsamości, takimi jak Profil Zaufany, czy kwota przychodu z zeznania podatkowego za poprzedni rok (e-Deklaracje).


Zobacz również