Kto potrzebuje bezpiecznego e-podpisu?

Jak oszczędzać na e-fakturze?

Faktura elektroniczna wydaje się najbardziej atrakcyjnym zastosowaniem e-podpisu w biznesie, ze względu na swoją masowość. Koszt wysłania jednej faktury w firmie to kilka złotych potrzebne na druk, kopertowanie, wysyłkę i czas pracy osoby, która to zrobi. Do tego dochodzi koszt wprowadzenia faktury kosztowej do systemu przez odbiorcę, w praktyce nadawca drukuje ją z systemu FK, wysyła papierową pocztą do odbiorcy, który ponownie wprowadza ją do swojego systemu. Koszty generuje tutaj dwukrotna konwersja między zapisem elektronicznym i papierem. Korzyści z jej eliminacji wydają się oczywiste, zwłaszcza w czasach gdy zamówienia warte tysiące złotych wysyła się e-mailem.

Należy osadzić w polskim prawie certyfikat z silną weryfikacją tożsamości wnioskodawcy, ale bez tzw. bezpiecznego urządzenia, czyli de facto to, co wszystkie polskie centra sprzedają od 50 zł netto jako certyfikat niekwalifikowany lub dają za darmo jako dodatek do podpisu kwalifikowanego.

Tymczasem bezpieczny e-podpis nadaje się do tego średnio. O ile silna weryfikacja tożsamości posiadacza podpisu wydaje się uzasadniona (odbiorca ma dowód na to, że otrzymał autentyczny numer konta do przelewu), o tyle najwięcej problemów sprawia wymóg stosowania bezpiecznego urządzenia. A "bezpieczne urządzenie" to deklaracja zgodności, co oznacza albo stosowanie zewnętrznej aplikacji tylko do podpisywania faktur - rozwiązanie całkowicie nieergonomiczne, albo wbudowanie przez producentów aplikacji FK modułów sprzedawanych przez tych, którzy wystawili na nie deklaracje zgodności.

Rozporządzenie o e-fakturach daje jeszcze jedną furtkę w postaci tzw. EDI, które umożliwia legalne ich przesyłanie - bez bezpiecznego e-podpisu - dowolnym kanałem, jeśli zostaną spełnione dodatkowe warunki. Z tego mechanizmu korzysta część przedsiębiorców, którzy mieli środki na zlecenie analiz prawnych takiego rozwiązania. Jest ono proste technicznie, ale wymaga powołania się na kilka standardów i procedur. Tu znowu mamy do czynienia z progiem opłacalności. Nie wnikając w szczegóły techniczne, zastosowanie bezpiecznego urządzenia w tym konkretnym rozwiązaniu wydaje się mało uzasadnione, chroni bowiem przed atakami, które w przypadku e-faktur są mało racjonalne. Czy minister finansów podpisując w 2005 r. rozporządzenie o e-fakturach nie mógł z tego wymogu zrezygnować? Otóż nie, bo w polskim prawie istnieje tylko "bezpieczny podpis" albo... żaden.

Zabrać "bezpieczne urządzenie"?

Jakie jest wobec tego rozwiązanie? Należy osadzić w polskim prawie certyfikat z silną weryfikacją tożsamości wnioskodawcy, ale bez tzw. bezpiecznego urządzenia, czyli de facto to, co wszystkie polskie centra sprzedają od 50 zł netto jako certyfikat niekwalifikowany lub dają za darmo jako dodatek do podpisu kwalifikowanego. W praktyce umożliwi to stosowanie do wysyłania faktur dowolnego popularnego programu implementującego e-podpis zgodny z X.509. Potrafią to robić Word, Excel, OpenOffice 2, Acrobat i dziesiątki innych programów korzystających ze standardowych API. Dzisiaj podpis złożony za ich pomocą, nawet z pomocą certyfikatu kwalifikowanego, nie jest bezpieczny, żaden z nich nie posiada bowiem tzw. deklaracji zgodności.

Tymczasem przedsiębiorcy chcą korzystać z e-podpisu i korzystają. Z anonimowych wypowiedzi w grupach dyskusyjnych wynika, że małe firmy dawno korzystają z e-faktur, tyle że nie do końca takich, jak sobie to wymarzył ustawodawca. Eksportują fakturę do pliku PDF (XLS, ODS), wysyłają ją e-mailem do odbiorcy i drukują kopię dla siebie. Odbiorca importuje dane z faktury do programu FK, drukuje plik i tak uzyskany oryginał faktury chowa do segregatora. Z prawnego punktu widzenia taka e-faktura nie jest legalna... dopóki nie zostanie wydrukowana, bo wtedy przestaje być e-fakturą i staje się zwykłą fakturą papierową.

Więcej o e-podpisie

e-Deklaracje już dostępne

Sposób na e-podpis

Faktury TP dostępne przez Internet

E-podpis "od ręki"

E-podpis na Podlasiu

Większy rynek dla e-podpisu