Podpis elektroniczny w praktyce

Artykuł wyjaśnia do czego służy podpis elektroniczny i jakie ryzyka związane są z brakiem jego użycia.

Dziś podpis elektroniczny jest jak Yeti, bo wszyscy o nim słyszeli, ale prawie nikt go nie widział. A tych, co go posiadają i potrafią korzystać z niego można policzyć na palcach populacji małego polskiego miasteczka. Na szczęście niepiśmienność elektroniczna w przypadku osób fizycznych nie rodzi żadnych poważnych konsekwencji – to tylko strata czasu i pieniędzy, związana z koniecznością osobistego stawiennictwa i załatwiania spraw za pomocą pism papierowych. Zapewne za kilka lat usługi zaufania, w tym podpis elektroniczny i jego weryfikacja, będą tak powszechne, jak dziś są usługi bankowe.

Niepiśmienność elektroniczna grozi incydentami

W przeciwieństwie do zwykłych ludzi, firmy oraz administracja publiczna nie mogą być cyfrowymi analfabetami, bo muszą przestrzegać prawa. A polskie i unijne regulacje jednoznacznie mówią o skuteczności prawnej oświadczeń woli wyrażanych w postaci elektronicznej, a nawet ich mocy dowodowej.

„Podpis elektroniczny lub pieczęć elektroniczna weryfikowane za pomocą certyfikatu wywołują skutki prawne,
jeżeli zostały złożone w okresie ważności tego certyfikatu.”

art. 18. ust. 1 Ustawy o usługach zaufania oraz identyfikacji elektronicznej

Obecnie większość firm i organów administracji ma witryny internetowe, a ich pracownicy posiadają e-maile. W praktyce oznacza to, że można kontaktować się z nimi za pomocą środków komunikacji elektronicznej. Bezspornie e-korespondencja, uwierzytelniona za pomocą usług zaufania, w szczególności przy użyciu weryfikowanego certyfikatu podpisu elektronicznego, jest prawnie wiążąca. Zignorowanie wpłynięcia lub zbyt długie procedowanie dokumentu opatrzonego zaawansowanym lub kwalifikowanym podpisem może mieć poważne konsekwencje. Bowiem należyta staranność nakazuje pamiętać o ustawowych terminach i formach komunikacji. Jeśli dziś wpłynęło pismo, to od dziś „zegar bije”, a nie od dnia, w którym organizacja zarejestruje otrzymane elektroniczne oświadczenie woli. Procedury i narzędzia trzeba dostosowywać do internetowych realiów, ale przede wszystkim uregulowań prawnych!

mBank ostrzega

Klient weryfikuje

DOBRA RADA DLA FIRM: Już najwyższa pora, aby tak jak klientom udostępnia się płatności online, tak pracownikom należy udostępniać weryfikatory dokumentów elektronicznych online. Bo można narazić się co najmniej na śmieszność, gdy okazuje się że korporacja potrzeba 28 dni, aby zweryfikować oświadczenie klienta podpisane kwalifikowanym podpisem elektronicznym! To przypadek autentyczny – tyle czekałem – blisko miesiąc – na realizację mojej dyspozycji, choć w ciągu kilku minut otrzymałem potwierdzenie jej wpłynięcia przez firmę, która krocie inwestuje w rozwój nowych technologii!! Przypomnę, że art. 61 Kodeksu cywilnego wyraźnie określa od kiedy skuteczne jest oświadczenie złożone w postaci elektronicznej. Swoją drogą, klientom firmowym i petentom urzędowym także przyda się taki weryfikator, aby mogli potwierdzić prawdziwość dokumentów, kwot, numerów kont itp., bo phishing i inne oszustwa internetowe zataczają coraz szersze kręgi – patrz przypadek mBanku i fałszywych potwierdzeń przelewów.

Kwalifikowany podpis elektroniczny jest równoważny własnoręcznemu

Innym przypadkiem incydentu może być opatrzne zrozumienie ustawowego określenia „na piśmie”. Na piśmie elektronicznym oznacza, że dokument trzeba podpisać kwalifikowanym podpisem elektronicznym. Zatem w przypadku otrzymania pisma (np.  wniosek o informację na podstawie art. 33 Ustawy o ochronie danych osobowych), gdzie istnieje obowiązek udzielenia odpowiedzi na piśmie,  to wysłanie zwykłego e-maila jest praktyką chyba nie do końca poprawną. Aby należycie wypełnić ustawowy obowiązek należy wysłać e-mail z załącznikiem podpisanym kwalifikowanym e-podpisem. Jedyną alternatywą jest dokument w postaci papierowej zawierający odręczny podpis.

„Oświadczenie woli złożone w formie elektronicznej jest równoważne
z oświadczeniem woli złożonym w formie pisemnej.”

art. 781 §2  Kodeksu cywilnego

W przypadku administracji publicznej w grę wchodzi elektroniczna skrzynka podawcza i wiadomość podpisana profilem zaufanym ePUAP.

„Dane w postaci elektronicznej opatrzone podpisem potwierdzonym profilem zaufanym ePUAP są równoważne pod względem skutków prawnych dokumentowi opatrzonemu podpisem własnoręcznym, chyba że przepisy odrębne stanowią inaczej”

art. 20b 2. Ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne

Równoważność formy pisemnej i formy elektronicznej może prowadzić do pewnych paradoksów. Jeśli przyjąć iż zawarcie umowy polega na wymianie zgodnych i jednobrzmiących oświadczeń przez dwie strony, to formalnie nic nie stoi na przeszkodzie, aby jedna strona była w posiadaniu egzemplarza umowy w postaci elektronicznej (podpis kwalifikowany), a druga w postaci papierowej (podpis własnoręczny). Jednak jest mało prawdopodobne, aby korporacyjne procedury przewidziały taką sytuację. Nie zmienia to faktu, że mnie zdarzyło się otrzymać finalną treść aneksu do umowy w pliku PDF, który podpisałem e-podpisem kwalifikowanym i odesłałem do kontrahenta. Chciałem zaoszczędzić pół ryzy papieru i koszty kuriera. Pomimo presji czasowej, mój kontrahent stwierdził - nie mam podstaw do kwestionowania e-aneksu - wszystko jest OK, ale jednak poproszę o papier - dlatego to on wydrukował dokumenty, które po podpisaniu wysłał do mnie kurierem, a gdy ja je podpisałem, to wysłał na własny koszt kuriera do mnie,  aby odebrać egzemplarz dla siebie zawierający mój odręczny podpis. Kto bogatemu zabroni ponosić ekstra koszty 😉

Zaawansowany podpis elektroniczny (cyfrowy)

Poza podpisem kwalifikowanym skutki prawne może wywołać także dokument podpisany zaufanym certyfikatem, wystawionym przez dostawcę usług zaufania, np. z listy NBP. Użycie zaawansowanego podpisu elektronicznego, często nazywanego podpisem cyfrowym będzie wiązało się ze złożeniem oświadczenia woli w formie dokumentowej. Co ważne i przydatne, za pomocą podpisu cyfrowego można podpisywać nie tylko pliki w popularnych formatach PDF, DOC, XLS, PPT, ale także wiadomości e-mail. Taka uwierzytelniona przesyłka elektroniczna stanowi świetną ochronę przed Phisingiem, gdyż na podstawie certyfikatu można ustalić:

  • kto jest nadawcą (niezaprzeczalność pochodzenia),
  • czy treść informacji nie została zmieniona w trakcie transmisji danych.

mBank podpisuje wyciągi

mBank podpisuje e-maile

Ważna uwaga – dostawcy usług zaufania zawsze weryfikują osoby i firmy, która wnioskują o wydanie certyfikatu podpisu. Dzięki temu taki certyfikat można spokojnie określić mianem zaufanego. A dokumenty i e-maile opatrzone podpisem z certyfikatem można uznać za wiarygodne, bo koncesjonowane zaufana trzecia strona sprawdziła prawdziwość danych. A odbiorca uwierzytelnionej e-przesyłki zawsze ma możliwość weryfikacji podpisu elektronicznego online. Dlatego kiedy używasz e-podpisu, to zawsze edukuj odbiorcę – opisz lub pokaż, jak potwierdzić prawdziwość przesyłki.

Warto mieć swój certyfikat podpisu

Reasumując, w dzisiejszych internetowych czasach naprawdę warto mieć podpis weryfikowany zaufanym certyfikatem i to z kilku niezależnych powodów – wiarygodność, należyta staranność, oszczędności czasowe i finansowe. Przypomnę, że e-podpis można mieć prywatny jak i służbowy, zupełnie jak samochód.

Marek WYSZKOWSKI

Ekspert ds. e-usług zaufania #eIDAS i zawierania umów online :: Napisz do mnie