Polska interpretacja tych kilku prostych zasad jest wyjątkowo zagmatwana. Rozporządzenie o warunkach technicznych najpierw rozszerza definicję "bezpiecznego urządzenia" z karty na "kartę plus oprogramowanie". Oznacza to jednak, że zarówno karta, jak i oprogramowanie muszą spełniać określone wymogi bezpieczeństwa - m.in. zapewniać "bezpieczny kanał" i "bezpieczną ścieżkę" (par. 1, pkt 13). Karta spełnia je z łatwością, ale spełnienie ich przez aplikację działającą w systemie Windows jest praktycznie niemożliwe. Dlatego zaraz potem rozporządzenie wprowadza zadziwiającą definicję tego, jakie oprogramowanie jest "zwolnione" ze stosowania zabezpieczeń: "Oprogramowanie publiczne - oprogramowanie podpisujące, do którego w normalnych warunkach eksploatacji może mieć dostęp każda osoba fizyczna. Oprogramowaniem publicznym nie jest w szczególności oprogramowanie używane w mieszkaniu prywatnym, lokalu biurowym lub telefonie komórkowym (par. 1, pkt 9, a także par. 4, pkt 4)". W ten sposób wszystkie komputery stosowane w urzędach, biurach i domach są zwolnione z obowiązku stosowania ustawowych zabezpieczeń.

Na jakiej podstawie?

Tej definicji "oprogramowania niepublicznego" nie potwierdza rzeczywistość. Do większości komputerów podłączonych do Internetu może mieć w każdej chwili dostęp dowolna osoba z całego świata. Świadczy o tym liczba komputerów "zombie" (będących pod zdalną kontrolą grup przestępczych), która wzrosła od ubiegłego roku o 300% i ocenia się, że codziennie pada ich ofiarą 250 tys. nowych komputerów.

Są to głównie komputery domowe i biurowe.

Osoba fizyczna w centrum

Ekonomiczny sens wykorzystania podpisu leży m.in. w wyeliminowaniu z systemu operacji wykonywanych dotychczas ręcznie. Zniesienie wymogu ręcznego podpisywania faktur papierowych umożliwiło masowy druk i wysyłkę faktur z wyeliminowaniem kosztów czynnika ludzkiego. Ponowne wprowadzenie ludzi jako koniecznego elementu systemu podpisu elektronicznego burzy sens ekonomiczny całego przedsięwzięcia. Jednak dokładnie to zrobiło zeszłoroczne rozporządzenie o e-fakturach. Nie należy się więc dziwić, że nikt tych e-faktur nie chce stosować.

Należy podkreślić, że na problem ten wielokrotnie zwracało uwagę wiele osób - m.in. Polska Izba Informatyki i Telekomunikacji oraz, w bezpośredniej korespondencji ze mną, prof. Mirosław Kutyłowski z Wrocławia. Dotychczas w dyskusji o fakturach elektronicznych zwolennicy stosowania podpisu kwalifikowanego argumentowali, że zapewni on autentyczność i integralność faktury. Cechy te są istotnie niezbędne - otrzymując fakturę, chcemy wiedzieć np. że numer konta, na które przelejemy należność, jest autentyczny.

W obecnej formie podpis kwalifikowany posiada jednak kluczową niekonsekwencję - i to właśnie ona, a nie sam wymóg podpisywania, prowadzi do utraty sensu ekonomicznego faktur elektronicznych.

Polska ustawa definiuje podpis tylko jako funkcję identyfikacji osoby fizycznej: "Podpis elektroniczny - dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub z którymi są logicznie powiązane, służą do identyfikacji osoby składającej podpis elektroniczny" (Art. 3, pkt 1 Ustawy o podpisie elektronicznym z dnia 18 września 2001).

Unijna dyrektywa posługuje się szerszym pojęciem uwierzytelnienia i nie ogranicza podpisu do osoby fizycznej: "Podpis elektroniczny oznacza dane w formie elektronicznej dodane do innych danych elektronicznych lub logicznie z nimi powiązane i służące jako metoda uwierzytelnienia" - Art. 2, pkt 1 Dyrektywy

Parlamentu Europejskiego i Rady 1999/93/WE z dnia 13 grudnia 1999 r. w sprawie wspólnotowych ram w zakresie podpisów elektronicznych.

Polskie Rozporządzenie o warunkach technicznych wyraźnie precyzuje, że w podpisie kwalifikowanym może być realizowana tylko funkcja niezaprzeczalności: "Bit nonRepudiation (…) nie może być łączony z innymi przeznaczeniami" (Załącznik nr 2, pkt 1.2.3/b). Innymi słowy, podpis elektroniczny jako funkcja autentyczności (bit digitalSignature) został wrzucony do podpisu niekwalifikowanego.

Gdyby nie ta niespójność, nie byłoby kontrowersji wokół faktury elektronicznej - mogłaby być ona generowana automatycznie przez system finansowo-księgowy i automatycznie opatrywana podpisem elektronicznym, gwarantującym jej autentyczność.

Bez udziału człowieka. W rezultacie przyjęte w polskiej ustawie brzmienie uniemożliwia m.in. zastosowanie podpisu do potwierdzania autentyczności dokumentów, takich jak faktury elektroniczne czy dokumenty, które nie są przecież oświadczeniami woli osoby fizycznej i z założenia są wystawiane w sposób automatyczny.

Amerykańskie poświadczenia odbioru

Zgodnie z rozporządzeniem do Ustawy o informatyzacji, urzędowe poświadczenie odbioru dokumentu elektronicznego ma być generowane przez urządzenie HSM, spełniające wymagania normy FIPS 140-2 na poziomie 3, wydanej przez amerykański Narodowy Instytut Standardów i Technologii (NIST): "System teleinformatyczny do wytworzenia urzędowego poświadczenia odbioru zawiera sprzętowy moduł bezpieczeństwa (Hardware Security Module), spełniający wymagania normy FIPS 140-2 poziom 3 lub wyższy, wydanej przez NIST" - załącznik, par. 1, pkt 1. Na światowym rynku dostępne są trzy takie urządzenia, kosztujące od kilkunastu do kilkudziesięciu tysięcy dolarów za sztukę. Czy tegoroczne budżety jednostek administracji publicznej są na to przygotowane?

Zdumiewające jest wprowadzenie amerykańskiej narodowej normy FIPS jako jedynego dopuszczalnego kryterium dla polskiej administracji. W sytuacji, kiedy inne polskie przepisy posługują się równoważnymi, międzynarodowymi normami ITSEC i Common Criteria, naturalnym byłoby wskazanie tych właśnie standardów. Normy te są certyfikowane przez jednostki w Polsce (DBTI ABW) oraz innych krajach NATO, zaś FIPS jest certyfikowana wyłącznie w Stanach Zjednoczonych.