e-podpis nieczytelny

Ustawa o podpisie elektronicznym zmusza banki do zastanowienia się nad strategią wprowadzania podpisu cyfrowego do oferowanych klientom produktów, a w dalszej perspektywie także do procedur wewnętrznych. W obu przypadkach nie będzie to łatwe.

Ustawa o podpisie elektronicznym zmusza banki do zastanowienia się nad strategią wprowadzania podpisu cyfrowego do oferowanych klientom produktów, a w dalszej perspektywie także do procedur wewnętrznych. W obu przypadkach nie będzie to łatwe.

Kto wystawi certyfikat?

Do wystawiania certyfikatów elektronicznych, zgodnie z wymaganiami Ustawy o podpisie elektronicznym, szykuje się kilka instytucji. Certyfikaty elektroniczne wydaje Krajowa Izba Rozliczeniowa, prowadząca od dłuższego czasu na potrzeby sektora bankowego system Szafir. Działalność rozpoczęło już centrum certyfikacyjne Polcert, prowadzone przez należącą do Telbanku spółkę E-Telbank, oraz należąca do TP SA firma Signet. Od kilku lat funkcjonuje na tym rynku szczecińskie Unizeto. Sektor bankowy ma być głównym klientem dla KIR i E-Telbanku.

Podpis elektroniczny nie jest dla banków nowością. Rozwiązania oparte na infrastrukturze klucza publicznego funkcjonują w polskiej bankowości od dawna. Zabezpieczają m.in. wewnętrzną pocztę elektroniczną, wspomagają autoryzację transakcji dokonywanych za pośrednictwem Krajowej Izby Rozliczeniowej (system Szafir) i w systemie rozliczeń międzynarodowych SWIFT. Podpis cyfrowy jest też stosowany w większości rozwiązań bankowości elektronicznej.

Wykorzystywane przez banki rozwiązania infrastruktury klucza publicznego (PKI) nie miały dotychczas wyraźnego umocowania prawnego. Jedynym sposobem określania warunków i skutków prawnych, wynikających ze złożenia podpisu elektronicznego, były umowy cywilnoprawne, co istotnie ograniczało możliwości jego stosowania. Nic więc dziwnego, że inicjatywa, mająca na celu ustawowe usankcjonowanie podpisu elektronicznego, spotkała się z dużym zainteresowaniem środowiska bankowego.

Ustawa, która wchodzi w życie 16 sierpnia br., jest jednak odległa od początkowych oczekiwań bankowców. Banki otwarcie krytykują niektóre z przyjętych zapisów, a nawet nawołują do nowelizacji ustawy, zanim zacznie ona obowiązywać. Nowelizacja nie jest jednak przesądzona, a do końca okresu vacatio legis nie zostało już wiele czasu. Jakie skutki dla polskiej bankowości będzie mieć utrzymanie Ustawy o podpisie elektronicznym w istniejącym kształcie?

Zbyt wiele niejasności

Niechęć banków do ustawy w obecnym kształcie ma kilka przyczyn. Po pierwsze, ustawa jest bardzo ogólna. Wszelkie kwestie szczegółowe, w tym zwłaszcza dotyczące warunków organizacyjnych i technicznych oraz kompatybilności rozwiązań, mają zostać zawarte w rozporządzeniach Ministra Gospodarki. Banki obawiają się, że ustawodawca daje ministerstwu delegacje w zbyt wielu kwestiach, co tworzy warunki do działania grup nacisku. Obawy dotyczą też potencjalnej niestabilności wynikającej z rangi przepisów - w przyszłości będzie można je zmienić za pomocą jednej decyzji administracyjnej.

Kolejny problem to termin ukazania się rozporządzeń. Banki, które chciałyby wykorzystać podpis elektroniczny w swojej działalności, nie wiedzą, jakie konkretnie obowiązki nałożą na nie przepisy wykonawcze. Będą więc czekać. Ministerstwo deklaruje wprawdzie, że przepisy wykonawcze będą gotowe do czerwca br., trzeba jednak pamiętać, że wydawanie aktów wykonawczych do analogicznej ustawy w Czechach zajęło 1,5 roku. W przypadku polskiej ustawy liczba nie uregulowanych kwestii jest bardzo długa, banki mają więc uzasadnione powody, by wątpić w ministerialne obietnice.

Podczas prac nad ustawą banki postulowały, aby ustawa zezwalała im na wystawianie certyfikatów klientom. Pojawiały się nawet propozycje, aby dać bankom wyłączność na wystawianie certyfikatów służących do potwierdzania tożsamości w transakcjach finansowych. Ustawodawca nie przychylił się jednak do propozycji bankowców - oznaczałoby to bowiem, że w razie sporu z klientem bank byłby sędzią we własnej sprawie.

Przyjęta przez parlament regulacja jest dla banków solą w oku. Artykuł 55, nowelizujący art. 6 Ustawy Prawo bankowe mówi bowiem wyraźnie, że banki mogą "świadczyć usługi certyfikacyjne w rozumieniu przepisów o podpisie elektronicznym, z wyłączeniem wydawania certyfikatów kwalifikowanych wykorzystywanych przez banki w czynnościach, których są stronami". Ustawa nie precyzuje jednak, w jakich czynnościach bank jest, a w jakich nie jest stroną. Nie oferuje też delegacji do dokonania takiego rozróżnienia w przyszłości. Nawet jednak, gdy-by rozróżnienie takie dało się przeprowadzić, banki nie będą usatysfakcjonowane - budowanie kosztownej infrastruktury bez możliwości jej pełnego wykorzystania mija się z celem.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200