Ustawa o podpisie elektronicznym weszła w życie w sierpniu br. Polskie rozwiązanie prawne, podobnie jak w Unii Europejskiej, jest neutralne technologicznie - nie wskazuje żadnej konkretnej technologii, która powinna być stosowana do składania podpisów elektronicznych. Takie założenie wynika z nieustannego postępu w informatyce. Wprowadzenie do ustawy zapisów o konkretnej technologii musiałoby oznaczać konieczność jej częstych nowelizacji, spowodowanych rozwojem i wdrażaniem coraz to nowszych i bezpieczniejszych rozwiązań informatycznych.

Najpowszechniej stosowana obecnie technologia podpisu elektronicznego, oparta na asymetrycznej parze kluczy kryptograficznych, nazywana z angielskiego PKI (infrastruktura klucza publicznego) wprowadzona została do porządku prawnego za pośrednictwem rozporządzeń wykonawczych do ustawy.

Nowe zjawisko

Podpis elektroniczny należy do stosunkowo nowych problemów legislacyjnych. Pierwsze regulacje prawne pojawiły się w USA jako regulacje stanowe w 1995 r. (prawo o podpisie cyfrowym stanu Utah). Amerykańska ustawa federalna weszła w życie dopiero w 2000 r.

Na naszym kontynencie parlament i Rada UE uchwaliły pod koniec 1999 r. dyrektywę w sprawie wspólnotowych warunków ramowych dla podpisu elektronicznego. Tworzy ona ogólne ramy prawne do przyjęcia odpowiednich regulacji w poszczególnych państwach członkowskich. W ubiegłym roku państwa Piętnastki dostosowały swoje ustawodawstwo do jej wymagań. W efekcie rodzaj podpisu elektronicznego zwany w dyrektywie zaawansowanym podpisem elektronicznym ("advanced electronic signature") niesie w każdym krajów UE taki sam skutek prawny jak podpis własnoręczny.

Zapewne na to, by "polski podpis elektroniczny" mógł wywierać skutki prawne na terytorium UE, przyjdzie nam jeszcze poczekać do uzyskania członkostwa w Unii. Teoretycznie możliwe jest jednak, że jeszcze przed akcesją zostanie zawarta stosowna umowa pomiędzy RP a UE, ale nic, niestety, nie słychać o jakichkolwiek negocjacjach na ten temat. Jedyną, w obecnym stanie prawnym, możliwością uznania polskiego podpisu na terytorium UE jest uzyskanie przez polski podmiot świadczący usługi certyfikacyjne tzw. gwarancji podobnej firmy z Unii. Niestety, polski ustawodawca nie stworzył takiej możliwości dla podmiotów z UE. W tej sytuacji trudno oczekiwać, że będą one zainteresowane współpracą z polskimi podmiotami. Naturalna wydaje się zasada: gwarancja za gwarancję, czyli inaczej "jak Kuba Bogu tak...".

Dwa rodzaje podpisów

Polska ustawa wymienia dwa rodzaje podpisów elektronicznych: bezpieczny i zwykły. Każdemu bezpiecznemu podpisowi towarzyszy elektroniczne zaświadczenie jego autentyczności. Zawiera ono dane do jego weryfikacji i dane osoby, której podpis weryfikujemy, czyli kwalifikowany certyfikat. Pozwala on m.in. na jednoznaczne ustalenie, kto ten podpis złożył i czy dane nie zmieniły się. Bezpieczny podpis elektroniczny wywiera skutki prawne równoważne podpisowi własnoręcznemu tylko wtedy, gdy kwalifikowany certyfikat jest ważny. Treść podpisana bezpiecznym podpisem elektronicznym rodzi takie same skutki, jakby była sporządzona na papierze i podpisana własnoręcznie. Prawo do wydawania kwalifikowanych certyfikatów będą miały tylko podmioty, które spełnią bardzo surowe wymagania technologiczne i organizacyjne dotyczące bezpieczeństwa i zostaną wpisane do specjalnego rejestru prowadzonego przez ministra gospodarki.

Wszelkie

informacje w rejestrzeCo najmniej kilka polskich firm z tradycjami i dorobkiem w zakresie certyfikacji deklaruje chęć ubiegania się o wpis do rejestru, a więc najprawdopodobniej przyszli klienci będą mieli w czym wybierać. Rejestr jest publicznie dostępny również w postaci elektronicznej. Można więc będzie łatwo sprawdzić, czy oferowany klientowi certyfikat kwalifikowany pochodzi od uprawnionego podmiotu. W rejestrze zawarte będą również inne ważne informacje, pozwalające na wybór przyszłego dostawcy usług związanych z e-podpisem, np. czy może on znakować czasem. Znakowanie czasem (stemplowanie czasem, elektroniczny datownik) to nic innego jak elektroniczne wskazanie dokładnego czasu złożenia elektronicznego podpisu. Znakowanie czasem ma walor daty pewnej, czyli taki sam, jakby zostało potwierdzone przez notariusza albo przez urzędnika. Jest to bardzo istotna usługa w sieci i ma na celu obiektywne wskazanie czasu.

Z rejestru ministra gospodarki możemy dowiedzieć się także, jak ubezpieczony jest podmiot sprzedający certyfikaty. Mają one bowiem obowiązek ubezpieczenia się od odpowiedzialności cywilnej za ewentualne szkody, wynikłe z niedopełnienia przez nie obowiązków ustawowych.

Skoro kwalifikowane certyfikaty są aż tak ważne, to jak możemy sprawdzić, czy certyfikat naszego partnera handlowego, z którym np. chcemy podpisać umowę, jest ważny? Każdy kwalifikowany podmiot prowadzi elektroniczną listę wydanych certyfikatów oraz listę certyfikatów zawieszonych i unieważnionych, co pozwala na weryfikację. W samym certyfikacie kwalifikowanym musi być podany okres jego ważności. Jest to ważne, bowiem zgodnie z zapisami ustawy, polskie certyfikaty będą mogły być ważne maksymalnie przez dwa lata.

Najpierw kontrola,

potem wpis

Abyśmy mogli w pełni skorzystać z dobrodziejstw ustawy, konieczne jest więc wpisanie pierwszych podmiotów na listę kwalifikowanych dostawców usług certyfikacyjnych. Będzie to możliwe po opublikowaniu rozporządzeń wykonawczych, określających szczegółowe warunki ubiegania się o taki wpis oraz warunki, jakie musi spełnić podmiot świadczący usługi certyfikacyjne. Wpis musi być poprzedzony kontrolą, jaką wykonają przedstawiciele ministra gospodarki. Konieczne też będzie uruchomienie przez podmioty wpisane na listę kwalifikowanych dostawców punktów, w których wykonywane będą czynności sprawdzenia tożsamości osoby ubiegającej się o certyfikat, spisanie umowy (niestety, pierwsza musi być w formie papierowej) i wygenerowanie naszej pary kluczy kryptograficznych, czyli danych do składania podpisu i certyfikatu kwalifikowanego, zawierającego dane do weryfikacji podpisu.

Gdy będziemy posiadali kartę mikroprocesorową z takimi danymi, podłączony do internetu komputer wyposażony w czytnik karty, oprogramowanie, które wraz z kartą i czytnikiem spełni wymogi dla bezpiecznego urządzenia do składania podpisu, a także wymagania dla bezpiecznego urządzenia do weryfikacji podpisu, możemy się podpisywać do woli.

Póki zaś nie ma podmiotów kwalifikowanych, możemy w każdej chwili poćwiczyć za pomocą bezpłatnych certyfikatów testowych, będących zwykłymi certyfikatami w rozumieniu ustawy. Są one oferowane przez większość podmiotów, które świadczą już usługi certyfikacyjne na polskim rynku. Certyfikaty takie można pobrać ze stron internetowych tych podmiotów.