Tyle hałasu o podpis

Na razie jedynym rzeczywistym efektem wprowadzenia Ustawy o podpisie elektronicznym w przypadku polskiego rynku IT były niemałe inwestycje związane z budową centrów certyfikacji.

Na razie jedynym rzeczywistym efektem wprowadzenia Ustawy o podpisie elektronicznym w przypadku polskiego rynku IT były niemałe inwestycje związane z budową centrów certyfikacji.

"Potrzeba nam jeszcze co najmniej roku na rozruszanie się rynku usług związanych z funkcjonowaniem podpisu elektronicznego" - twierdzi Kazimierz Ferenc, prezes Centrum Zaufania i Certyfikacji Centrast. To spółka, której powierzono funkcję tzw. roota w systemie podpisu elektronicznego w Polsce. Z jej usług muszą korzystać wszystkie podmioty zainteresowane wystawianiem tzw. kwalifikowanych certyfikatów cyfrowych, potrzebnych do uwierzytelniania tożsamości osób i instytucji posługujących się podpisem elektronicznym. Na razie są to cztery firmy - Krajowa Izba Rozliczeniowa (centrum certyfikacji Szafir), TP Internet (Signet), Polska Wytwórnia Papierów Wartościowych (Sigillum), Unizeto (Certum). O takie usługi zamierza się również ubiegać eTelbank (PolCert) należący do Telbanku. Innych kandydatów na razie nie widać - wydatki bowiem są niemałe, zysk zaś niepewny.

Wszystkie wymienione firmy musiały dokonać znaczących inwestycji w sprzęt i oprogramowanie, tak by osiągnąć wysoki poziom bezpieczeństwa i stabilności pracy systemów informatycznych wykorzystywanych do uruchomienia tzw. infrastruktury klucza publicznego, który został wprowadzony w przyjętej w 2001 r. Ustawie o podpisie elektronicznym. Określiła ona zasady obsługi systemu tego podpisu, co zresztą odbyło się w atmosferze zaciętej walki lobbingowej, która dotychczas nigdy na tak duża skalę nie zdominowała uchwalania jakiegokolwiek rozwiązania prawnego dotyczącego branży IT. Chodziło tu przede wszystkim o stopień swobody w działalności firm zainteresowanych funkcjonowaniem na rynku usług związanych z podpisem elektronicznym. Ostatecznie okazało się jednak, że wiele do powiedzenia miała tutaj Agencja Bezpieczeństwa Wewnętrznego (d. UOP). W efekcie poziom bezpieczeństwa systemu podpisu elektronicznego - zdaniem wielu specjalistów - został wywindowany zbyt wysoko (zwłaszcza w kontekście integracji z Unią Europejską, w której dużą wagę przywiązuje się do transgranicznej swobody działalności podmiotów gospodarczych - wystawcy certyfikatów z państw Unii, których nie obowiązuje polska ustawa, będą mogli obsługiwać klientów w Polsce, działając w znacznie korzystniejszych warunkach).

Wśród najważniejszych ustaleń znalazły się zapisy mówiące o konieczności powstania centralnego roota, nad którym pieczę sprawuje Narodowy Bank Polski, zakazie wydawania certyfikatów kwalifikowanych przez banki na potrzeby transakcji, w których owe banki są stroną, a także mocno wyśrubowanych wymogach bezpieczeństwa, jakie muszą spełniać podmioty działające na tym rynku, co ostatecznie oznaczało zwiększenie kosztów ich działalności.

Miliony na zaś

Ustawa weszła w życie w sierpniu ub.r., zaś do tego czasu własne zaplecze sprzętowo-programowe musiały stworzyć wszystkie owe podmioty. Łącznie na ten cel wydatkowano 50-100 mln zł, które zyskali dostawcy serwerów, rozwiązań bezpieczeństwa IT, specjalizowanego oprogramowania, konsultanci i audytorzy (np. Ernst & Young czy Enigma) oraz integratorzy systemów (m.in. Ster-Projekt). Był to znaczący, aczkolwiek jednorazowy wydatek (wystawcy zakładają co najmniej 4-6-letni okres oczekiwania zwrotu z inwestycji).

Root systemu formalnie zaczął działać w grudniu ub.r. Z uwagi jednak na praktycznie zerową liczbę instytucji i firm obsługujących kwalifikowany podpis cyfrowy rynek związanych z tym usług praktycznie nie istnieje. Pierwszą jaskółką do tej pory było towarzystwo ubezpieczeniowe AIG, które umożliwiło korzystanie ze swoich usług poprzez Internet przy posługiwaniu się kwalifikowanym podpisem elektronicznym (można w ten sposób np. zawrzeć umowę ubezpieczenia bez konieczności podpisywania jakichkolwiek dokumentów papierowych). Na razie, czyli w sytuacji, w której znikoma liczba osób posiada stosowne certyfikaty, działania takie należy oczywiście rozpatrywać raczej w kategoriach marketingowych niż biznesowych.

Rynek zacznie funkcjonować wówczas, gdy tych podmiotów będzie znacznie więcej. Teoretycznie istnieją dwa potencjalne motory napędowe: bankowość i administracja. W tym pierwszym przypadku sektor bankowy generalnie jest "obrażony" na przyjęty kształt ustawy i specjalnie nie spieszy się z umożliwieniem korzystania z podpisów elektronicznych. Co więcej, istniejące mechanizmy uwierzytelniania klientów w bankowości elektronicznej wiążą klienta z danym bankiem w przeciwieństwie do uniwersalnego narzędzia do składania podpisu elektronicznego, z którego można korzystać właściwie wszędzie.