Zasadniczą wadą polskiej regulacji systemu podpisu elektronicznego jest zbyt duża rola państwa, które próbuje zastępować doświadczone i działające od wielu lat firmy.

Minister gospodarki lub upoważniony przez niego podmiot ma wydawać kwalifikowanym podmiotom świadczącym usługi certyfikacyjne tzw. zaświadczenia certyfikacyjne (certyfikaty służące do weryfikacji podpisu elektronicznego, a dokładniej poświadczenia certyfikacyjnego kwalifikowanego podmiotu świadczącego usługi certyfikacyjne). Takie zaświadczenie jest wydawane po dokonaniu wpisu do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne. Tymczasem podobne rozwiązanie nie występuje w żadnym ustawodawstwie europejskim. W Niemczech funkcjonował system centralny podobny jak w Polsce. Jednak musiał być w 2001 r. zmieniony ze względu na konieczność dostosowania prawa do wymogów unijnych.

Dlatego w trakcie procesu legislacyjnego takie rozwiązanie stało się przedmiotem krytyki ze strony organizacji branżowych (Polskiej Izby Informatyki i Telekomunikacji, Polskiego Towarzystwa Informatycznego). Centralizacja systemu nie sprzyja jego bezpieczeństwu, a budżet państwa w takim rozwiązaniu powinien ponieść znaczne koszty stworzenia niezbędnej infrastruktury.

Ucieczka od kosztów

Poprzedni rząd przeforsował w parlamencie przepis (zresztą niezgodny w opinii Urzędu Komitetu Integracji Europejskiej z prawem Unii) o możliwości powierzenia wydawania zaświadczeń spółce zależnej od Narodowego Banku Polskiego. Wiadomo było bowiem, że minister gospodarki nie dysponuje środkami do stworzenia odpowiedniej infrastruktury. Jeżeli dzisiaj minister gospodarki powierzy takiej spółce te kompetencje, to za rok w ramach zapewnienia zgodności ustawy z prawem europejskim trzeba będzie ją nowelizować. Wówczas wszystkie wydane w Polsce certyfikaty kwalifikowane będą musiały utracić ważność, również z przyczyn technologicznych (w systemie centralnym unieważnienie najwyższego w hierarchii certyfikatu skutkuje nieważnością pozostałych, znajdujących się niżej w tzw. drzewie certyfikacyjnym). Teoretycznie parlament może wydłużyć ważność kwalifikowanych certyfikatów wydanych w systemie centralnym, tylko kto zwróci kwalifikowanym podmiotom koszty dostosowywania się do technologii preferowanej przez ministra gospodarki?

Przyjęta w ustawie koncepcja państwa jako tzw. centralnego biernego roota jest wadliwa i nieprzemyślana. W trakcie prac nad rozporządzeniami, będącymi delegacjami do ustawy o podpisie elektronicznym, pojawiły się zapisy poprawne technologicznie, lecz niemożliwe do realizacji. Wiadomo przecież, że bez podstawy ustawowej nie można nałożyć obowiązku na przedsiębiorcę. Jeżeli w ustawie zapisano, że zaświadczenie wydaje minister, to w rozporządzeniu nie powinno się znaleźć sformułowanie, iż przedsiębiorca ma to zaświad-czenie podpisywać w technologii preferowanej przez ministra.

Warto także zwrócić uwagę na jeszcze jedno istotne niedo- patrzenie. Jest niedopuszczalne, żeby ustawa pozwalała na to, aby spółka uprzywilejowana tą ustawą mogła kontrolować konkurencję w zakresie usług znakowania czasem, zwłaszcza gdy sama chce takie usługi świadczyć.

Przede wszystkim nowelizować

Niestety partykularne interesy zaowocowały blokowaniem podjęcia prac legislacyjnych nad konieczną nowelizacją ustawy. Tymczasem jeszcze jedną przesłanką wskazującą na taką potrzebę jest absurdalna możliwość karania podmiotów, które starają się stosować powszechnie przyjęte w Unii najwyższe standardy bezpieczeństwa.

Polski ustawodawca wyraźnie się "zagalopował" i wprowadził (w art. 48 ustawy) karalność za przechowywanie danych służących do składania poświadczenia elektronicznego, czyli podpisu elektronicznego podmiotu sprzedającego certyfikaty kwalifikowane. Może wywołać to bardzo poważne problemy podmiotów świadczących usługi certyfikacyjne. Muszą one przecież podpisywać wydawane przez siebie kwalifikowane certyfikaty, bo tak nakazuje ustawa. I słusznie. Jak to jednak zrobić, jeżeli nie można przechowywać danych do składania poświadczeń? Wyjściem z tej sytuacji, przynajmniej teoretycznie, mogłyby być jednorazowe poświadczenia (wtedy dane po wygenerowaniu i podpisaniu poświadczeniem byłyby niszczone), ale niesłychanie komplikuje to system wzajemnego rozpoznawania certyfikatów podpisanych poświadczeniem. Ba, pojawia się zasadnicza wątpliwość, czy takie certyfikaty będą uznawane w obrocie zagranicznym. Jak bowiem rozpoznawać podmiot, który za każdym razem inaczej się podpisuje? Ile wreszcie będzie to kosztowało, czyli każdorazowa potrzeba generowania tych danych?