Przyczyn słabej popularności podpisu elektronicznego w usługach bankowych jest wiele. Nie można jednak nie zauważyć słabości systemowych przedsięwzięcia, jakim było wprowadzanie e-podpisu do polskiego systemu prawnego.

Dlaczego banki nie chcą korzystać z podpisu elektronicznego? To pytanie jest stawiane już przynajmniej od kilku lat, zaś podstawowa odpowiedź jest jedna - a dlaczegóż to miałyby chcieć? Stosowanie podpisu elektronicznego ma wiele niekwestionowanych zalet, trudno znaleźć inne, równie uniwersalne rozwiązanie, które gwarantowałoby tak wysoki poziom bezpieczeństwa. Podpis elektroniczny ma wszakże tę wielką wadę, że jest... rzadko stosowany w praktyce.

Właściwe pytanie brzmi...

Zanim dojdziemy dlaczego tak jest, uporządkujmy kilka kwestii. Przede wszystkim podpis elektroniczny to ogólne sformułowanie, pod którym mogą kryć się różne rzeczy. Sam jednostkowy podpis elektroniczny to ciąg liczb wygenerowanych w efekcie złożenia podpisu elektronicznego na dokumencie elektronicznym przy wykorzystaniu klucza prywatnego, stanowiącego sekret osoby (instytucji) składającej tenże podpis. Powinniśmy więc mówić raczej o systemie podpisu elektronicznego.

Takie systemy mogą być różne - podstawowe rozróżnienie stanowią kwestie legislacji i technologii. Możemy mieć różne rozwiązania technologiczne podpisu elektronicznego, jak i różne ramy prawne regulujące stosowanie podpisu elektronicznego. Interesuje nas przede wszystkim ta ostatnia sprawa. Początkowe pytanie należałoby więc rozszyfrować jako szukanie odpowiedzi, dlaczego instytucje bankowe w Polsce nie wdrażają rozwiązań zgodnych z obowiązującą w Polsce Ustawą o podpisie elektronicznym.

Tutaj także jest istotne jeszcze inne rozróżnienie - do jakich celów? Instytucje bankowe w Polsce korzystają bowiem z podpisu elektronicznego "od dawien dawna", a to za sprawą Krajowej Izby Rozliczeniowej, która była niekwestionowanym pionierem na rynku podpisu elektronicznego w Polsce, wdrażając go w systemie Elixir jeszcze w pierwszej połowie lat 90.

Gdy pojawiła się Ustawa o podpisie elektronicznym, banki również, chcąc czy nie chcąc, zostały po raz kolejny pionierami z uwagi na wymóg stosowania kwalifikowanego podpisu elektronicznego przy komunikacji elektronicznej z Narodowym Bankiem Polskim, tudzież Generalnym Inspektorem Informacji Finansowej - w ramach obowiązkowej sprawozdawczości. Jest to jednak zabezpieczenie integralności i niezaprzeczalności przy komunikacji B2G (bank to government), nie zaś masowe wykorzystanie podpisu elektronicznego w bankowości elektronicznej, a o to przecież tak naprawdę chodzi w postawionym pytaniu.

Dlaczego, dlaczego, dlaczego

Dlaczego więc AD 2005 nadal mamy tyle różnych metod i rozwiązań zapewnienia bezpieczeństwa w elektronicznych kanałach udostępniania usług bankowych, ile mamy banków elektronicznych? Ba, więcej, bo nawet pojedyncze banki w zależności od segmentacji klientów potrafią stosować różne rozwiązania. Mamy zdrapki, hasła jednorazowe, mniej lub bardziej technologicznie zaawansowane tokeny, proste hasła i inne rozwiązania różniące się istotnie zarówno kosztami, jak i poziomem oferowanego bezpieczeństwa. Żadne z nich jednak nie zapewnia takiego poziomu pewności jak podpis elektroniczny, a także nie posiada wszystkich zalet podpisu elektronicznego. Bankom jednak na tym aż tak bardzo teraz nie zależy - i to z kilku powodów.

Po pierwsze, większość banków już zainwestowała w swoje kanały elektronicznie i ich systemy bezpieczeństwa, zmiany więc nie leżą w ich interesie, przynajmniej dopóty, dopóki nie zamortyzują się wdrożone rozwiązania. Po drugie, stosowane obecnie rozwiązania są tańsze - przynajmniej pod względem wielkości nakładów początkowych. Po trzecie, rozwiązania niestandardowe wiążą klienta z danym bankiem elektronicznym - wszak stosowanie uniwersalnego podpisu elektronicznego to wygoda przede wszystkim dla klienta, a nie banków.

Po czwarte, być może najważniejsze, bankom nie zależy na bezpieczeństwie całkowitym, ale na odpowiednim zarządzaniu ryzykiem - wygląda zatem na to, że lepiej dopuszczać mniej bezpieczne rozwiązania, które są tańsze i prostsze, niż stawiać na droższe i pewniejsze. Czy tak jest w istocie, czas oczywiście pokaże - wszak do tej pory nie mieliśmy żadnej bardzo głośnej wpadki w bankowości elektronicznej w Polsce.

Przyczółki utworzą banki stawiające na bankowość korporacyjną, gdzie bezpieczeństwo jest znacznie istotniejsze niż w tzw. detalu. Potem - gdy stosowanie podpisu elektronicznego upowszechni się już wśród klientów indywidualnych, aczkolwiek z innych niż bankowość elektroniczna powodów (np. e-administracja) - przyjdzie czas także na kanały sprzedaży detalicznej. Na to bez wątpienia trzeba będzie jednak jeszcze poczekać. Chyba że jakieś instytucje zdecydują się na to wcześniej, kierując się bardziej względami prestiżowymi niż biznesowymi.

E-podpis - kiepskie wdrożenie

Oczywiście pytanie o to, dlaczego banki nie stosują e-podpisu, jest źle postawione. Zapytać należałoby raczej, dlaczego w ogóle system podpisu kwalifikowanego w Polsce znajduje się wciąż w stagnacji? Niczego - przynajmniej do tej pory - nie zmieniło pojawienie się możliwości stosowania faktur elektronicznych, a administracja publiczna będzie miała obowiązek przyjmowania pism w postaci elektronicznej dopiero od połowy 2006 r. Brakuje impulsów, które mogłyby rozpędzić ten rynek, ale oczywiście nie tłumaczy to wszystkiego. Przede wszystkim zaś tego, że mimo upływu kilku lat nie zmieniło się prawie nic.

Niestety, przyczyn należy szukać również po stronie obowiązujących u nas rozwiązań legislacyjnych - Ustawy o podpisie elektronicznym wraz z towarzyszącymi jej rozporządzeniami - których zadaniem było "pożenić" pewien koncept prawny z wymogami technologii i bezpieczeństwa. Nie do końca się to udało, a przynajmniej nie tak, by wyszła z tego rzecz praktyczna.

Autorzy polskiej Ustawy o podpisie elektronicznym, a więc de facto kreatorzy systemu e-podpisu w naszym kraju, zapewne nie poświęcili wystarczająco dużo czasu na refleksję nad tym, co może zadecydować o powodzeniu lub klęsce przy realizacji projektu informatycznego. Wrażanie systemu e-podpisu można zdecydowanie potraktować jako taki projekt. W typowym projekcie tworzenia aplikacji czy systemu mamy specyfikację wymagań, projekt systemu, kodowanie i implementację, a później testy.

Ostatnia z tych faz nazbyt często jest traktowana po macoszemu, ograniczana do wąskiej podgrupy testów funkcjonalnych czy proceduralnych, bo brakuje na nią czasu, budżetu, czy zwyczajnie wiedzy potrzebnej do oceny jej znaczenia. Nawet jeśli uda się istotnie zminimalizować liczbę błędów w systemie, to czasem efekt tak realizowanego projektu bywa odrzucany przez użytkowników - system niby jest wdrożony, ale użytkownicy starają się, jeśli tylko to możliwe, z niego nie korzystać. Czyż nie tak właśnie wygląda system podpisu elektronicznego w Polsce?

Dzieje się tak dlatego, że zabrakło miejsca na testy użyteczności (usability) systemu i ergonomii interfejsu użytkownika. To niebanalna część weryfikacji systemu, która w profesjonalnie realizowanych projektach skutkuje na ogół poważnymi modyfikacjami realizowanych systemów - aż do osiągnięcia pożądanego rezultatu, czyli uzyskania wysokiego poziomu akceptacji użytkowników.

Przy tworzeniu systemu e-podpisu w Polsce mieliśmy dobrą specyfikację wymagań, żmudny i długotrwały proces implementacji legislacyjnej, testy jedynie na poziomie zgodności ustawy z regulacjami europejskimi, zaś próby odniesienia realizacji systemu e-podpisu do jego aspektów użyteczności i ergonomii w ogóle nie było!

Postawiono więc wóz przed koniem: zbudowano bezpieczny system, patrząc na jego aspekty technologiczne, i dano użytkownikom - "macie, używajcie". Tymczasem należało zacząć od użytkowników, od ich potrzeb i zdolności do akceptacji określonych rozwiązań po stronie interfejsu. W efekcie system podpisu elektronicznego w Polsce jest mało użyteczny i drogi (aczkolwiek to rzecz mocno względna, co to znaczy drogi).

Nie cena jest główną barierą (zwłaszcza w biznesie, który wcale się nie kwapi do stosowania faktur elektronicznych), lecz właśnie brak zadbania o ergonomię rozwiązania. Działający w naszym kraju wystawcy cyfrowych certyfikatów, zgodnie z zapisami ustawy i jej rozporządzeń, przygotowali swoje własne, dość toporne aplikacje do składania i weryfikacji podpisu elektronicznego, które nie dość, że są niekompatybilne ze sobą, to jeszcze komfortem pracy odbiegające o kilka rzędów wielkości od tego, do czego przyzwyczaił się użytkownik Microsoft Office.

To niestety nie są dobre wiadomości, bo taka lokalizacja przyczyn słabego rozpowszechnienia stosowania e-podpisu (także w bankowości) jest sprawą systemową, której łatwo naprawić się nie da. Na pocieszenie można dodać, że nie jesteśmy na tym polu osamotnieni względem wielu innych krajów, które również zawędrowały w takie ślepe uliczki, choć może nie tak głęboko jak my sami.