Duże nadzieje, niemałe zagrożenia

Coraz więcej mówi się o zagrożeniach związanych z nadmierną restrykcyjnością polskiej Ustawy o podpisie elektronicznym, działającej na niekorzyść firm, świadczących usługi z nim związane, zwłaszcza wystawców kwalifikowanych certyfikatów cyfrowych. Przynajmniej część tych obaw jest demonizowana.

Coraz więcej mówi się o zagrożeniach związanych z nadmierną restrykcyjnością polskiej Ustawy o podpisie elektronicznym, działającej na niekorzyść firm, świadczących usługi z nim związane, zwłaszcza wystawców kwalifikowanych certyfikatów cyfrowych. Przynajmniej część tych obaw jest demonizowana.

Z Ustawą o podpisie elektronicznym wiązano w Polsce ogromne nadzieje. Pierwszy rok jej obowiązywania upłynął pod znakiem ogromnych inwestycji. Dziś nadszedł czas na ich rekapitulację, jednak perspektywy nie wyglądają zbyt zachęcająco. Administracja państwowa, która mogłaby być sektorem stymulującym wykorzystanie podpisu elektronicznego, nie ma spójnej polityki w tej dziedzinie. Przedstawiciele biznesu nie dostrzegają większych korzyści płynących ze stosowania e-podpisu. Sektor bankowo-finansowy nieśmiało podejmuje pierwsze próby, ale chyba bez wiary w to, że podpis elektroniczny może zastąpić inne sposoby uwierzytelniania klientów.

Zdaniem niektórych fachowców przyczyn tego stanu należy poszukiwać w bardzo rygorystycznej Ustawie o podpisie elektronicznym, która zmusiła firmy do poniesienia kilkudziesięciomilionowych nakładów na stworzenie ośrodków certyfikacyjnych i w ten sposób pośrednio wymusiła na nich konieczność podyktowania wysokich cen za wystawienie certyfikatów. "W przypadku biznesu podstawową barierą w wykorzystaniu technologii jest cena. Skoro mogą oni skorzystać z tańszych metod uwierzytelnienia - chociażby szyfrowania za pomocą klucza SSL - to stosują rozwiązania alternatywne" - mówi Mariusz Pawłowski z firmy Ernst & Young, świadczącej usługi związane z audytem ośrodków certyfikacyjnych wg standardów WebTrust.

Paneuropejska konkurencja

Jednym ze skutków wprowadzenia przepisów w takim kształcie może być osłabienie pozycji polskich centrów autoryzacyjnych, które po wejściu do Unii Europejskiej będą musiały konkurować z podmiotami z innych państw europejskich. Zostało to uregulowane w art. 4 Ustawy o podpisie elektronicznym, zgodnie z którym "kwalifikowany certyfikat cyfrowy wystawiony przez podmiot działający w innym państwie jest równoważny certyfikatowi wystawianemu przez spółkę polską, posiadającą wpis do rejestru podmiotów kwalifikowanych prowadzonego przez Ministra Gospodarki".

Firmy działające w Polsce będą mogły posługiwać się certyfikatem lub znacznikiem czasu wystawionym przez wystawcę certyfikatów działającego w innych krajach, zarówno do kontaktów z zagranicą, jak i na terenie Polski. Ich działalność będzie regulowana Dyrektywą Parlamentu Europejskiego i Rady Europy (99/93/WE) określającą wyraźnie, że poszczególne państwa Unii Europejskiej nie mogą ograniczać dostępu do rynku usług certyfikacyjnych, których świadczenie może odbywać się na podstawie akredytacji i bardzo ogólnych wymogów tejże dyrektywy. Co więcej, dyrektywa wyraźnie zakazuje jakichkolwiek form obligatoryjnej, uprzedniej krajowej autoryzacji podmiotów świadczących usługi certyfikacyjne.

"Niektórzy może jeszcze nie zdają sobie z tego sprawy, ale ta dyrektywa oznacza pełną swobodę, jeśli chodzi o świadczenie usług związanych z e-podpisem. Casus polskiej ustawy jest przykładem sytuacji, w której restrykcyjne prawo stawia rodzime centra autoryzacji w gorszej sytuacji niż wystawcy certyfikatów z innych państw" - komentuje prof. Jos Dumortier z Wydziału Prawa i Technologii Informatycznych Uniwersytetu Leuven w Belgii, gość III Europejskiego Forum Podpisu Elektronicznego, konferencji zorganizowanej przez szczecińską firmę Unizeto.

Nie tylko Polacy

Nie oznacza to jednak, że nasze firmy zainteresowane świadczeniem usług związanych z funkcjonowaniem systemu e-podpisu muszą ulec zagranicznej konkurencji. Polska ustawa nie jest bowiem jedynym przykładem restrykcyjnej regulacji funkcjonowania podmiotów świadczących usługi certyfikacyjne. Równie rygorystyczne w wielu zapisach są przepisy austriackie i niemieckie, na których zresztą wzorowano się w trakcie prac nad polską ustawą. Oczywiście skala wykorzystania e-podpisu w tych krajach jest na tyle duża, że firmy świadczące tam usługi są znacznie bogatsze niż ich polscy odpowiednicy. Większy popyt w ich macierzystych krajach może jednak sprawić, że zanim zagraniczne centra zainteresują się naszym rynkiem, podpis elektroniczny upowszechni się w Polsce na tyle, iż polscy wydawcy certyfikatów będą mieć szansę w starciu z firmami niemieckimi czy austriackimi.

Należy również pamiętać, że Polska nadal jest jednym z europejskich pionierów, jeśli chodzi o regulacje dotyczące podpisu elektronicznego. Polskie firmy mają dzięki temu czas na dopracowanie procedur świadczenia usług certyfikacyjnych i - co najważniejsze - na znalezienie nowych źródeł przychodu. W obliczu konkurencji z innych państw europejskich to właśnie oferta usług dodanych może stanowić o sukcesie lub klęsce poszczególnych centrów certyfikacyjnych. "Nie wolno zapomnieć, że cena jest tylko jednym z czynników kształtujących popyt. Równie ważna jest jakość. Dlatego też polskie centra powinny zadbać o kompatybilność legislacyjną i techniczną świadczonych usług" - mówi Andrzej Ruciński, dyrektor ds. technicznych w Unizeto.

Czas na nowe rynki

Z jednej strony panuje obawa przed konkurencją z Zachodu, z drugiej zaś nie wszyscy dostrzegają perspektywy rozwoju rynku podpisu elektronicznego w krajach ościennych. Pierwsze kroki podjęło szczecińskie Unizeto, które na początku lipca rozpocznie rozmowy na temat budowy centrum autoryzacyjnego na Ukrainie, gdzie parlament właśnie uchwalił Ustawę o podpisie elektronicznym. Firma ta nawiązała również współpracę z czeskim centrum certyfikacji Prvni Certifikacni Autorita (PCA). PCA jest spółką zależną czeskiego integratora PVT, której przejęcie planuje Prokom Software, co może oznaczać, że Prvni Certifikacni Autorita może z kolei wejść ze swoimi usługami do Polski.

Rozmowy w sprawie wspólnego wypracowania standardów i wzajemnej certyfikacji pomiędzy tzw. rootami prowadzi Centrum Zaufania i Certyfikacji Centrast. Przedsięwzięcia te napotykają jednak na razie wiele przeszkód organizacyjnych. "Czasami problemy sprawia nawet zdobycie wiarygodnych informacji na temat podmiotów zajmujących się świadczeniem tego typu usług na terenie poszczególnych państw" - twierdzi Paweł Łysakowski, wiceprezes Centrastu. O tym świadczy chociażby przykład czeskiej Prvni Certifikacni Autorita, która od ponad roku bezskutecznie usiłuje zdobyć zezwolenie na świadczenie usług na Słowacji.

Wydaje się jednak, że na dłuższą metę rozpoczęcie działalności przez polskie firmy na innych rynkach Europy Środkowej i Wschodniej jest jedynym sposobem na wyrównanie szans i przygotowanie się do konkurencji na w pełni zliberalizowanym rynku usług bezpiecznego podpisu elektronicznego w UE.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200