Kto potrzebuje bezpiecznego e-podpisu?

Jak dotąd nie udało się wykreować popytu na e-podpis. Rozwiazaniem jest wprowadzenie obiecywanego tzw. zaawansowa-nego e-podpisu.

Jak dotąd nie udało się wykreować popytu na e-podpis. Rozwiazaniem jest wprowadzenie obiecywanego tzw. zaawansowa-nego e-podpisu.

Według różnych szacunków, w Polsce do tej pory sprzedano od 5 do 20 tys. certyfikatów kwalifikowanych. Ich wykorzystanie w praktyce jest nikłe, głównie dlatego że nie ma obowiązku ich stosowania, a przedsiębiorcy - o przyczynach dalej - spontanicznie z nich korzystać się nie kwapią. Obowiązku nie ma tylko do lipca 2008 r. Wtedy obejmie on firmy korzystające z programu Płatnik ZUS-u.

Dwie "nogi" bezpiecznego podpisu

Bezpieczny podpis elektroniczny w polskim prawie jest precyzyjnie określonym profilem e-podpisu opartego na standardach PKI i certyfikatach X.509. Ustawodawca precyzyjnie określił wymagania, jakie musi on spełniać, by mieć moc prawną równą podpisowi odręcznemu. Wymagania te są postawione dość wysoko. Są dwie "nogi", na których opiera się jego bezpieczeństwo. Pierwszą jest certyfikat kwalifikowany, który charakteryzuje się tym, że jest wystawiony przez uprawnione centrum certyfikacji po silnym sprawdzeniu tożsamości, a klucz prywatny jest przechowywany na karcie kryptograficznej. Drugim filarem jest składanie podpisu za pomocą "bezpiecznego urządzenia".

Tutaj definicja ustawowa jest nieco myląca, bo ani to urządzenie, ani bezpieczne. To, co nazywamy "urządzeniem", składa się bowiem z karty kryptograficznej, która kluczem prywatnym składa podpis pod danymi przysłanymi z systemu, oraz z dodatkowego oprogramowania, które tworzy skrót kryptograficzny dokumentu i przesyła go do karty. W praktyce więc "bezpiecznym urządzeniem" nazywamy system Windows z podłączonym czytnikiem i kartą oraz zainstalowaną jedną z czterech znanych na rynku aplikacji. Oprogramowanie to musi posiadać deklarację zgodności, czyli dokument, w którym producent stwierdza, że aplikacja składa i weryfikuje e-podpis zgodnie z wymaganiami ustawy. Jest to istotne m.in. ze względu na specyfikę weryfikacji podpisu certyfikatem kwalifikowanym.

Cena zestawu do bezpiecznego podpisu wynosi ok. 500 zł netto. Co roku za jego odnowienie trzeba zapłacić 100-200 zł. Cenę samego certyfikatu wszystkie trzy centra - przypadkiem - ustaliły zaś dokładnie na 199 zł netto.

Jak oszczędzać na e-fakturze?

Faktura elektroniczna wydaje się najbardziej atrakcyjnym zastosowaniem e-podpisu w biznesie, ze względu na swoją masowość. Koszt wysłania jednej faktury w firmie to kilka złotych potrzebne na druk, kopertowanie, wysyłkę i czas pracy osoby, która to zrobi. Do tego dochodzi koszt wprowadzenia faktury kosztowej do systemu przez odbiorcę, w praktyce nadawca drukuje ją z systemu FK, wysyła papierową pocztą do odbiorcy, który ponownie wprowadza ją do swojego systemu. Koszty generuje tutaj dwukrotna konwersja między zapisem elektronicznym i papierem. Korzyści z jej eliminacji wydają się oczywiste, zwłaszcza w czasach gdy zamówienia warte tysiące złotych wysyła się e-mailem.

Tymczasem bezpieczny e-podpis nadaje się do tego średnio. O ile silna weryfikacja tożsamości posiadacza podpisu wydaje się uzasadniona (odbiorca ma dowód na to, że otrzymał autentyczny numer konta do przelewu), o tyle najwięcej problemów sprawia wymóg stosowania bezpiecznego urządzenia. A "bezpieczne urządzenie" to deklaracja zgodności, co oznacza albo stosowanie zewnętrznej aplikacji tylko do podpisywania faktur - rozwiązanie całkowicie nieergonomiczne, albo wbudowanie przez producentów aplikacji FK modułów sprzedawanych przez tych, którzy wystawili na nie deklaracje zgodności.

Rozporządzenie o e-fakturach daje jeszcze jedną furtkę w postaci tzw. EDI, które umożliwia legalne ich przesyłanie - bez bezpiecznego e-podpisu - dowolnym kanałem, jeśli zostaną spełnione dodatkowe warunki. Z tego mechanizmu korzysta część przedsiębiorców, którzy mieli środki na zlecenie analiz prawnych takiego rozwiązania. Jest ono proste technicznie, ale wymaga powołania się na kilka standardów i procedur. Tu znowu mamy do czynienia z progiem opłacalności. Nie wnikając w szczegóły techniczne, zastosowanie bezpiecznego urządzenia w tym konkretnym rozwiązaniu wydaje się mało uzasadnione, chroni bowiem przed atakami, które w przypadku e-faktur są mało racjonalne. Czy minister finansów podpisując w 2005 r. rozporządzenie o e-fakturach nie mógł z tego wymogu zrezygnować? Otóż nie, bo w polskim prawie istnieje tylko "bezpieczny podpis" albo... żaden.

Zabrać "bezpieczne urządzenie"?

Jakie jest wobec tego rozwiązanie? Należy osadzić w polskim prawie certyfikat z silną weryfikacją tożsamości wnioskodawcy, ale bez tzw. bezpiecznego urządzenia, czyli de facto to, co wszystkie polskie centra sprzedają od 50 zł netto jako certyfikat niekwalifikowany lub dają za darmo jako dodatek do podpisu kwalifikowanego. W praktyce umożliwi to stosowanie do wysyłania faktur dowolnego popularnego programu implementującego e-podpis zgodny z X.509. Potrafią to robić Word, Excel, OpenOffice 2, Acrobat i dziesiątki innych programów korzystających ze standardowych API. Dzisiaj podpis złożony przy ich użyciu, nawet z pomocą certyfikatu kwalifikowanego, nie jest bezpieczny, żaden z nich nie posiada bowiem tzw. deklaracji zgodności.

Tymczasem przedsiębiorcy chcą korzystać z e-podpisu i korzystają. Z anonimowych wypowiedzi w grupach dyskusyjnych wynika, że małe firmy dawno korzystają z e-faktur, tyle że nie do końca takich, jak sobie to wymarzył ustawodawca. Eksportują fakturę do pliku pdf (XLS, ODS), wysyłają ją e-mailem do odbiorcy i drukują kopię dla siebie. Odbiorca importuje dane z faktury do programu FK, drukuje plik i tak uzyskany oryginał faktury chowa do segregatora. Z prawnego punktu widzenia taka e-faktura nie jest legalna… dopóki nie zostanie wydrukowana, bo wtedy przestaje być e-fakturą i staje się zwykłą fakturą papierową.