Przepisy Ustawy o podpisie elektronicznym i towarzyszących jej rozporządzeń tak bardzo skomplikowały proces składania kwalifikowanego podpisu elektronicznego, że praktycznie go uniemożliwiły.

Zgodnie z zapisami Ustawy o podpisie elektronicznym "dane w postaci elektronicznej opatrzone bezpiecznym podpisem elektronicznym, weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu, są równoważne pod względem skutków prawnych dokumentom opatrzonym podpisami własnoręcznymi". To oznacza, że do uznania podpisu elektronicznego za równoważny podpisowi własnoręcznemu potrzebne jest jednoczesne spełnienie dwóch warunków: podpis musi być bezpiecznym podpisem elektronicznym, a dane weryfikujące podpis mieć status certyfikatu kwalifikowanego.

Co musi zrobić użytkownik, aby złożyć taki podpis? Po pierwsze, powinien zaopatrzyć się w kwalifikowany certyfikat. Otrzyma go od podmiotu świadczącego kwalifikowane usługi certyfikacyjne, wpisanego do rejestru prowadzonego przez Ministra Gospodarki. Certyfikat ten musi być użyty w okresie jego ważności. To proste, ale dalej jest już gorzej. Użytkownik musi bowiem również dysponować skonfigurowanym systemem sprzętowo-programowym, spełniającym wymagania dotyczące urządzeń do składania bezpiecznego podpisu. Pełny wykaz takich urządzeń powinien udostępnić mu kwalifikowany podmiot świadczący usługi certyfikacyjne.

Teoretycznie zatem złożenie bezpiecznego podpisu elektronicznego jest możliwe. Czy także praktycznie, tzn. czy półtora roku od wejścia w życie Ustawy o podpisie elektronicznym, można skorzystać z automatycznego zrównania podpisu elektronicznego z podpisem własnoręcznym pod względem skutków prawnych?

To pytanie zadaje wielu użytkowników Internetu. Czas zmierzyć się z problemami praktycznej realizacji przyjętych w Polsce konstrukcji prawnych dotyczących bezpiecznego podpisu elektronicznego. Kluczowym (jakkolwiek nie jedynym!) problemem jest właśnie owo bezpieczne urządzenie do składania podpisów elektronicznych.

Co w Unii Europejskiej

Polska Ustawa o podpisie elektronicznym ma źródło w Dyrektywie 99/93/EC o wspólnotowych ramach dla podpisów elektronicznych. Określono w niej zasady oceny zgodności urządzeń do składania podpisów elektronicznych:

"Zgodność bezpiecznych urządzeń do składania podpisu z wymaganiami zgodnie z załącznikiem III (chodzi o minimalne wymagania, jakie muszą spełniać takie urządzenia) stwierdza właściwy organ publiczny lub prywatny, wyznaczony przez państwo członkowskie. Oceny zgodności z wymaganiami załącznika III wydawane przez organy wymienione w części pierwszej uznawane są przez państwa członkowskie".

W roku 2000 ukazała się Decyzja Komisji (OJ 289/42) określająca minimalne wymagania, jakie musi spełniać ten wyznaczony organ.

Należą do nich:

• zakaz angażowania się tego organu i jego pracowników w działania, które mogłyby stać w konflikcie z niezależnością przeprowadzanych ocen i ich integralności (w szczególności organ ten musi zachować niezależność w stosunku do zaangażowanych stron - dotyczy to projektanta, producenta dostawcy, instalatora tych urządzeń, a także podmiotu świadczącego usługi certyfikacyjne);

• konieczność zapewnienia kompetentnego personelu przeprowadzającego ocenę zgodności;

• konieczność zapewnienia przejrzystości procedur i obowiązek rejestrowania wszystkich działań związanych z ocenami zgodności;

• obowiązek ubezpieczenia od odpowiedzialności cywilnej związanej z ocenami zgodności;

• obowiązek zagwarantowania poufności informacji związanej z przeprowadzanymi ocenami zgodności.

W kilku (nie wszystkich) krajach członkowskich UE takie organy zostały wyznaczone i część z nich dokonała także ocen zgodności bezpiecznych urządzeń do składania podpisu elektronicznego (szczególnie w Niemczech, gdzie lista zawiera kilkanaście pozycji -http://www.regtp.de/en/index.html ). Pod tym względem sytuacja w Polsce istotnie różni się od stanu obowiązującego w Unii Europejskiej.

A co w Polsce

O warunkach oceny zgodności można wnioskować na podstawie art. 18 ust. 4 Ustawy o podpisie elektronicznym - "badania zgodności urządzeń, o których mowa w ust. 1 i 2 (bezpieczne urządzenie służące do składania podpisu elektronicznego oraz bezpieczne urządzenie służące do weryfikacji podpisu elektronicznego) z wymaganiami ustawy odbywają się zgodnie z odrębnymi przepisami".

Owe odrębne przepisy to ustawa z 3 kwietnia 1993 r. o badaniach i certyfikacji, obowiązująca do czasu wejścia Polski do UE. Ustawa ta określa zakres przedmiotowy obowiązkowych badań zgodności - "Wyroby wyprodukowane w Polsce, a także wyroby importowane do Polski po raz pierwszy, mogące stwarzać zagrożenie, albo które służą ochronie lub ratowaniu życia, zdrowia i środowiska, podlegają - zależnie od stopnia zagrożenia - (1) certyfikacji na zastrzeżony przez Centrum znak bezpieczeństwa i oznaczania, (2) wystawiania przez producenta, na jego wyłączną odpowiedzialność, deklaracji zgodności".