Coraz większa popularność pracy zdalnej sprawia, że stosowanie podpisów elektronicznych staje się powszechne. E-podpisy pozwalają na dopełnienie formalności bez wychodzenia z domu oraz znaczne oszczędności czasu. Obecnie można korzystać z trzech rodzajów podpisów, wśród których wyróżnimy zwykły podpis elektroniczny, zaawansowany podpis elektroniczny oraz kwalifikowany podpis elektroniczny. Warto poznać różnice między nimi, aby jak najlepiej dopasować e-podpis do własnych potrzeb. Zainteresowanie rynkiem podpisów elektronicznych jest coraz większe. Przyczyną tego stanu jest postępująca cyfryzacja procesów biznesowych w firmach, a także coraz powszechniejszy tryb pracy zdalnej w jednostkach administracji publicznej. Obecnie najbardziej wszechstronnym narzędziem, które umożliwia podpisywanie e-dokumentów, jest elektroniczny podpis kwalifikowany. Sprawdza się on zarówno w kontaktach z urzędami, jak i partnerami handlowymi na terenie całej Unii Europejskiej. Jakie właściwości mają jednak wszystkie dostępne na rynku podpisy?
Podpisy elektroniczne – regulacje prawne
Najważniejszym, obowiązującym obecnie aktem prawnym, który normuje sprawy e-podpisów, w tym kwalifikowanych podpisów elektronicznych, jest eIDAS (Electronic Identification and Trust Services Regulation). Jest to rozporządzenie właściwe wszystkim krajom Unii Europejskiej, które standaryzuje przepisy dotyczące identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych. Dzięki tym regulacjom prawnym, budowane jest społeczne zaufanie do usług cyfrowych, co umożliwia szybszą i sprawną cyfryzację procesów biznesowych oraz komunikacji z instytucjami państwowymi drogą online.
Ustawą, która precyzuje zagadnienia związane z podpisami elektronicznymi na terenie Polski, jest ustawa o usługach zaufania oraz identyfikacji elektronicznej z dnia 5 września 2016 roku. Jej głównym celem jest wprowadzenie do prawa polskiego unijnego rozporządzenia eIDAS i doprecyzowanie ram prawnych dla poszczególnych rodzajów podpisów elektronicznych.
Kwalifikowany podpis elektroniczny
Powołując się na przepisy eIDAS, kwalifikowany podpis elektroniczny jest zaawansowanym podpisem elektronicznym, który składa się za pomocą specjalnego, kwalifikowanego urządzenia. Działanie tego narzędzia opiera się na kwalifikowanym certyfikacie podpisu elektronicznego.
E-podpis tego typu jest najbardziej uniwersalny, ponieważ można użyć go do większości czynności prawnych, w tym do kontaktu z kontrahentami na terenie całej Unii Europejskiej. Jako jedyny ze wszystkich e-podpisów wywołuje takie same skutki prawne, jak własnoręczny podpis na tradycyjnym dokumencie papierowym. Jest on równoważny formie pisemnej.
W związku z tym kwalifikowany podpis elektroniczny spełnia następujące warunki:
- jest unikalnie przyporządkowany tylko do jednej osoby
- umożliwia ustalenie tożsamości jego właściciela
- składany jest za pomocą bezpiecznego urządzenia do składania podpisu elektronicznego, które może kontrolować jedynie właściciel podpisu
- jest powiązany z podpisanymi danymi w taki sposób, że każda późniejsza zmiana danych jest rozpoznawalna
- opiera się na specjalnym kwalifikowanym certyfikacie podpisu elektronicznego
To właśnie kwalifikowany certyfikat w tym podpisie umożliwia identyfikację osoby, która go użyła. Certyfikat wydawany jest przez kwalifikowanego dostawcę usług zaufania, jakim jest, np. Centrum Certyfikacji EuroCert. Wcześniej jednak taki podmiot otrzymuje wpis na zaufaną listę w rejestrze dostawców usług zaufania, który jest prowadzony przez Narodowe Centrum Certyfikacji. Organ ten nie świadczy kwalifikowanych usług zaufania, a jedynie realizuje zadania powierzone NBP przez ministra właściwego do spraw informatyzacji (zgodnie z ustawą z dnia 5 września o usługach zaufania oraz identyfikacji elektronicznej).
Aby wydać podpis kwalifikowany nowemu użytkownikowi, niezbędna jest weryfikacja jego tożsamości. Każdorazowo ma to miejsce podczas osobistego spotkania z upoważnionym przedstawicielem dostawcy usług zaufania. Weryfikacja odbywa się na podstawie dokumentu, jakim jest dowód osobisty lub paszport, co wyklucza możliwość fałszerstwa danych lub uzyskanie podpisu przez osoby trzecie. Dzięki podpisowi kwalifikowanemu można zatem szybko zidentyfikować osobę podpisującą e-dokumenty. Zapewnia on również integralność dokumentów, ponieważ dane podpisane w ten sposób są zabezpieczone i każda późniejsza ich zmiana jest rozpoznawalna.
Przykładem takiego podpisu jest podpis kwalifikowany podpis elektroniczny EuroCert.
Zaawansowany podpis elektroniczny
Skoro tylko jeden rodzaj podpisu posiada certyfikat kwalifikowany, możemy powiedzieć, że wszystkie inne podpisy dostępne na rynku będą nazywane podpisami niekwalifikowanymi. O ile rozporządzenie eIDAS dopuszcza stosowanie podpisów niekwalifikowanych, o tyle nie precyzuje szczegółowo warunków generowania takiego e-podpisu. W praktyce oznacza to tyle, że osoba która ubiega się o podpis niekwalifikowany nie zostaje zweryfikowana w tak szczegółowy sposób, jak w przypadku podpisu kwalifikowanego.
Według przepisów eIDAS, zaawansowany podpis elektroniczny musi spełniać następujące wymogi:
- jest unikalnie przyporządkowany podpisującemu,
- umożliwia ustalenie tożsamości osoby podpisującej,
- jest składany przy użyciu danych służących do składania podpisu elektronicznego, których osoba podpisująca może, z dużą dozą pewności, użyć pod wyłączną swoją kontrolą,
- jest powiązany z danymi podpisanymi w taki sposób, że każda późniejsza zmiana danych jest rozpoznawalna.
Podmioty, które dostarczają niekwalifikowane e-podpisy nie muszą spełniać wszystkich warunków, wymaganych rozporządzeniem eIDAS. Właśnie dlatego podpis bez certyfikatu kwalifikowanego będzie wywoływał skutki prawne, jednak nie dla formy pisemnej, a co najwyżej dla formy dokumentowej, która nie jest równoważna własnoręcznemu podpisowi. Oczywiście będzie można użyć go do podpisania umów handlowych czy umów wewnętrznych, ale w myśl prawa, nie będą one automatycznie akceptowane na terenie całej Unii Europejskiej. Aby tak się stało należy zweryfikować obowiązujące prawo wewnętrzne danego kraju.
Jeśli natomiast chcielibyśmy wykorzystać taki podpis na przestrzeni biznesowej lub prywatnej, wymagało by to obustronnych ustaleń, czy taka forma będzie akceptowana.
Warto tu nadmienić, że niektóre podpisy zaawansowane z certyfikatem niekwalifikowany dostępne w Polsce służą również do kontaktów z organami administracji publicznej.
Przeanalizujmy rodzaje zaawansowanych podpisów elektronicznych z certyfikatem niekwalifikowanym, które dostępne są aktualnie w Polsce.
Podpisy elektroniczne kwalifikowane
Podpis osobisty – e-dowód
Podpis osobisty jest rodzajem zaawansowanego e-podpisu, który zostaje zapisany w warstwie elektronicznej nowych dowodów osobistych. Takim podpisem mogą posługiwać się wyłącznie posiadacze e-dowodów, które wydawane są w Polsce od marca 2019 roku. W warstwie elektronicznej zawarte są m.in. dane osobowe jego właściciela oraz elektroniczne dane dowodu. Znajduje się tu także certyfikat, który umożliwia uwierzytelnienie w usługach online, a także certyfikat, dzięki któremu podpiszemy e-dokumenty podpisem osobistym. W tym przypadku podpis osobisty wywołuje skutek prawny właściwy podpisowi odręcznemu przede wszystkim w kontaktach z polskimi podmiotami publicznymi. Oczywiście możemy opatrzyć nim dokumenty prywatne, np. umowy cywilno-prawne, jednak strony umowy muszą wyrazić na to zgodę.
W celu użycia podpisu osobistego, użytkownik musi dysponować specjalnym czytnikiem e-dowodów podłączanym do komputera lub smartfonem z funkcją NFC, oraz specjalnym oprogramowaniem, które instaluje się na urządzeniu.
Profil zaufany, inaczej podpis zaufany
Profil zaufany to również rodzaj zaawansowanego podpisu z certyfikatem niekwalifikowanym, który potwierdza tożsamość jego posiadacza w kontaktach on-line z niektórymi instytucjami publicznymi. Z jego pomocą załatwimy głównie sprawy administracyjne na terenie Polski, związane z prostymi sprawami obywatelskimi czy działalnością gospodarczą. Podpis zaufany będzie zatem adresowany do ograniczonej grupy użytkowników i nie sprawdzi się jako e-podpis w kontaktach z kontrahentami, w tym zagranicznymi.
Podpis elektroniczny
Na rynku są dostępne także tzw. zwykłe podpisy elektroniczne, które nie są uregulowane szczególnymi przepisami. W przepisach eIDAS znajdziemy jednak definicję „zwykłego” podpisu elektronicznego. Według tego aktu prawnego podpis taki to dane w postaci elektronicznej, które są dołączone lub logicznie powiązane z innymi danymi w postaci elektronicznej, i które użyte są przez podpisującego jako podpis.
Jak zinterpretować taki zapis? „Zwykłe” e-podpisy są po prostu formą potwierdzenia dokumentu, który zawiera deklarację tożsamości podpisującego. Można je składać m.in. za pomocą aplikacji webowych lub specjalnego oprogramowania. Nie są one jednak na tyle bezpieczne i wiarygodne, aby mogły być używane do podpisywania dokumentów wyższej wagi, np. pism sądowych czy dokumentów przetargowych. Głównym powodem braku zaufania do zwykłych podpisów jest sposób potwierdzenia rzekomej tożsamości, która jest uwierzytelniana za pomocą adresu email lub numeru telefonu. Warto zaznaczyć, że wykorzystane imię i nazwisko jest w tym przypadku tylko niepotwierdzoną deklaracją.
Podpis elektroniczny bez certyfikatu kwalifikowanego może służyć oczywiście do podpisywania umów między kontrahentami, jeśli strony wyrażą taką wolę. Nie będzie jednak odpowiedni do e-dokumentów, dla których prawo wymaga pisemnej formy pod rygorem nieważności.
Porównanie podpisów elektronicznych
Porównując wszystkie podpisy elektroniczne warto zrobić to w oparciu o konkretne kryteria. W zrozumieniu różnic pomiędzy poszczególnymi podpisami, warto przeanalizować infografiki przygotowane przez Centrum Certyfikacji EuroCert.
Kryterium 1: Skutki prawne
Biorąc pod uwagę to kryterium, należy pamiętać, że podpis kwalifikowany ma taki sam skutek prawny, jak podpis własnoręczny. Wydawany jest on na bazie kwalifikowanego certyfikatu w jednym z państw członkowskich UE i tym samym uznawany we wszystkich pozostałych państwach członkowskich.
Podpisowi zaawansowanemu oraz „zwykłemu” podpisowi elektronicznemu nie można także odmówić skutku prawnego jedynie z tego powodu, że podpis ten ma formę elektroniczną lub że nie spełnia wymogów dla podpisów kwalifikowanych. E-dokumenty podpisane podpisem zaawansowanym będą również dopuszczane w postepowaniach sądowych, jednak będzie tu trzeba udowodnić ich autentyczność.
Kryterium 2: Wymogi według rozporządzenia eIDAS
Przyjrzyjmy się jeszcze raz wymogom prawnym dla wszystkich podpisów elektronicznych, które określa unijne rozporządzenie eIDAS. Z poniższej infografiki wyraźnie wynika, że najwięcej warunków musi spełnić kwalifikowany e-podpis.
Kryterium 3: Wiarygodność identyfikacji tożsamości
Warto wiedzieć, że rozporządzenie eIDAS wyróżnia 3 poziomy identyfikacji elektronicznej w odniesieniu do e-podpisów. Są to poziomy bezpieczeństwa niski, średni i wysoki. Oznacza to, że pod uwagę jest tutaj brana procedura wydawania konkretnego podpisu, w tym proces potwierdzenia tożsamości użytkownika.
Kwalifikowany podpis musi charakteryzować się wysokim poziomem bezpieczeństwa identyfikacji. W związku z tym, certyfikowany dostawca usług zaufanych, jakim jest Centrum Certyfikacji EuroCert, dostarcza wiarygodną i potwierdzoną tożsamość, za co bierze odpowiedzialność i jest jej gwarantem.
Podpisy zaawansowane i zwykłe podpisy elektroniczne nie muszą spełniać żadnych wymogów w tym zakresie. Zazwyczaj ich poziom bezpieczeństwa określany jest jako niski lub średni.
Kryterium 4: Forma zawarcia umowy
Podpis kwalifikowany może być stosowany w przypadku każdej formy zawarcia umowy – formy pisemnej, formy pisemnej z datą pewną, formy elektronicznej i formy dokumentowej. Podpis zaawansowany i zwykły podpis elektroniczny umożliwiają zawarcie umowy co najwyżej w formie dokumentowej.
Kryterium 5: Bezpieczeństwo technologiczne
Za podpisem kwalifikowanym stoją restrykcyjne wymogi w zakresie stosowanych technologii – zarówno hardware, jak i software. Niezwykle istotne jest tutaj udokumentowanie oraz zweryfikowanie spełnienia najwyższych poziomów bezpieczeństwa. Standardowo do tworzenia takich usług wykorzystuje się technologię PKI (Public Key Infrastructure), która uznawana jest za jedną z najbezpieczniejszych. W tym zakresie standardy bezpieczeństwa są stale podnoszone, o co dba kwalifikowany dostawca usług zaufania.Potwierdzają to także audyty przeprowadzane przez akredytowane podmioty.
W przypadku podpisów zaawansowanych i zwykłych podpisów o wyborze technologii decyduje dostawca danej usługi i to na nim spoczywa obowiązek udowodnienia, że proponowane przez niego rozwiązania są bezpieczne.
Kryterium 6: Uznawanie podpisu za granicą
W świetle obowiązujących przepisów prawa, e-podpis kwalifikowany jest uznawany na terenie wszystkich państwa członkowskich UE. Dodatkowo cały czas rośnie rozpoznawalność i zaufanie do niego w krajach spoza UE, w których może być on uznawany na podstawie umów handlowych między krajami.
Stosowanie podpisów zaawansowanych i zwykłych podpisów elektronicznych nie jest unormowane na arenie międzynarodowej. Jeśli chodzi o e-podpisy zaawansowane, zazwyczaj ustawodawca tworzy prawo krajowe, aby umożliwić uznawanie takie podpisu przy dokonywaniu konkretnych czynności, np. administracyjnych. Zwykłe e-podpisy stosuje się najczęściej w obrębie firmy lub pomiędzy przedsiębiorstwami na podstawie stosownego porozumienia podpisanego przez dwie strony.
Wybór rodzaju podpisu elektronicznego – podsumowanie
Wybierając podpis elektroniczny do codziennej pracy z pewnością warto dopasować go do swoich potrzeb. Ważną kwestią będzie tutaj ranga podpisywanych przez nas dokumentów. Im ranga ta jest wyższa, tym bardziej zaawansowanego podpisu będziemy potrzebować.
Uniwersalnym rozwiązaniem jest elektroniczny podpis kwalifikowany, który jest najbardziej wszechstronny z wszystkich opcji dostępnych na rynku. Wynika to z możliwości podpisywania wszystkich typów dokumentów, również tych właściwych podpisom z certyfikatem niekwalifikowanym. Kwalifikowanym podpisem elektronicznym posłużymy się także na terenie całej Unii Europejskiej, czego nie zapewnią nam inne e-podpisy.
Inwestując w podpis kwalifikowany, jego użytkownik najzwyczajniej kupuje bezpieczeństwo. W biznesie bardzo często staje się przed wieloma wyborami. Można zrobić coś szybciej, bez poświęcania należytej uwagi kwestiom bezpieczeństwa. Można robić to także wolniej, ale w odpowiednio bezpieczny sposób. Usługi zaufane bezsprzecznie są tym, dzięki czemu pełne bezpieczeństwo będzie zapewnione.