Usługi zaufania w teorii

Artykuł zawiera najważniejsze fakty dot. elektronicznych usług zaufania, w kontekście należytej staranności, obrotu konsumenckiego i wiarygodności firm online.

Usługi zaufania budują pewność obrotu w Internecie

Zawieranie umów oraz korzystanie z usług online jest wyjątkowo wygodne, choć wiąże się z pewnymi niebezpieczeństwami. Natomiast usługi zaufania w odniesieniu do transakcji elektronicznych służą zapewnieniu bezpiecznej, wiarygodnej i łatwej w użyciu komunikacji między obywatelami, przedsiębiorstwami i organami publicznymi. W dobie cyfryzacji, rozwój rynku jest ściśle związany z pewnością obrotu gospodarczego, którą w e-gospodarce buduje się za pomocą rozwiązań oferowanych przez Dostawców usług zaufania. Są nimi m.in.:

  • podpis elektroniczny (weryfikowalny za pomocą certyfikatu)
  • uwierzytelnienie dokumentów (weryfikacja podpisu elektronicznego i integralności treści)
  • uwierzytelnienia witryn internetowych
  • rejestrowane doręczenia elektroniczne
  • elektroniczny znacznik czasu

Warto wiedzieć, że działalność dostawców usług zaufania jest uregulowana prawnie. Podstawy prawne usług zaufania, do których zalicza się unijna Dyrektywa eIDAS oraz polska Ustawa o usługach zaufania oraz identyfikacji elektronicznej, szczegółowo opisują rodzaje usług i jakie warunki musi spełnić podmiot, który zamierza je świadczyć.

Należyta staranność w obrocie elektronicznym

Polski ustawodawca nakazuje przedsiębiorcom z różnych branż dbać o bezpieczeństwo obrotu oraz ochronę interesów klientów. Jednak ten prawny obowiązek korzystania z usług zaufania zwykle jest zapisy w aktach wykonawczych odnoszących się do ustaw regulujących różne rodzaje działalności, np. bankową i ubezpieczeniową. Dlatego też firmy, które komunikują się z klientami za pomocą poczty elektronicznej lub świadczą usługi drogą elektroniczną powinny zadbać o nie tylko o prawidłową treść, ale także o właściwą formę przekazu. Przykładowo regulacje dotyczące banków precyzują jak należy tworzyć, utrwalać, przekazywać, przechowywać i zabezpieczać dokumenty elektroniczne. Z całą pewnością dobrym obyczajem, o ile nie wyrazem należytej staranności, w przypadku podmiotów używających środków komunikacji elektronicznej, będzie:

  1. uwierzytelnianie wszelkiej korespondencji za pomocą podpisu elektronicznego,

    wiarygodny e-mail jest podpis certyfikatem

    e-mail podpisany i szyfrowany

  2. umożliwienie weryfikacji prawdziwości przesyłek elektronicznych online
    • potwierdzi autentyczność i zwiększy akceptowalność e-dokumentów, np. oświadczeń, faktur, itp.
    • potwierdzi status dokumentu prywatnego lub właściwości nośnika informacji w razie sporu
  3. promowanie cyberbezpieczeństwa i ostrzeganie przed ryzykami cybernetycznymi, np:

    „Przed użyciem zweryfikuj dane certyfikatu dołączonego do e-maila lub pliku,
    bądź skonsultuj się z nadawcą wiadomości, gdyż niepodpisana przesyłka elektroniczna
    zagraża Twojej prywatności lub interesom.”

Biznesowy wymiar wiarygodności online

e-mail podpisany zaufanym certyfikatem nie trafia do SPAM-u i zapobiega Phishing-owi

Pomimo, że usługi zaufania funkcjonują na rynku już od dłuższego czasu ich użycie jest jeszcze mało powszechne. Wiele firm nie używa e-podpisu do uwierzytelniania korespondencji elektronicznej, nawet gdy ich klienci bywają celem ataków phishingowych (bez komentarza). Tymczasem użycie e-podpisu, zapewnia odbiorcy e-maila realną możliwość weryfikacji, kto jest nadawcą wiadomości! Takie rozwiązanie znacząco utrudnia życie przestępcom podszywającym się pod wiarygodne firmy, w celu kradzieży tożsamości lub środków pieniężnych ich klientów (Phishing). Oczywiście pod warunkiem, że przyjmie się zasadę podpisywania zaufanym certyfikatem każdej wiadomości – bez wyjątków. I tę zasadę będzie komunikować się wszem i wobec. Co ważne, podpis cyfrowy zabezpiecza także treść wiadomości e-mail przed jej zmianą, do jakiej może dojść w drodze od serwera nadawcy do odbiorcy w wyniku działań hakerskich. Takie incydenty mogą faktycznie się zdarzyć, w szczególności gdy nadawca wysyła e-maile nie szyfrując ich. A takie sytuacje zdarzają się nawet w sektorze finansowym, który co do zasady wyjątkowo dobrze dba bezpieczeństwa informacji.

Poza wysokim poziomem bezpieczeństwa cyfrowego, elektronicznie podpisane wiadomości e-mail mają także wyższą tzw. dostarczalność aniżeli korespondencja nieuwierzytelniona. Wynika to z faktu, że systemy pocztowe widząc certyfikat podpisu w wiadomości oceniają ją jako wiarygodną. Co do zasady wiadomości e-mail opatrzone zaufanym certyfikatem nie są kwalifikowane jako SPAM.

Trwały nośnik i zasada ograniczonego zaufania

usługa zaufania - podpis elektroniczny użyty w wiadomości e-mail

wiarygodny e-mail jest podpisany certyfikatem firmowym lub imiennym

Zasada ograniczonego zaufania obowiązuje nie tylko w ruchu drogowym, ale także w obrocie elektronicznym. Dla własnego dobra należy zachować daleko posuniętą ostrożność wobec wszelkich wiadomości e-mail i załączonych do nich plików. Firmy, zwłaszcza obsługujące konsumentów, powinny używać usług zaufania, aby być ikonami wiarygodności online. Poza tym uwierzytelniony e-mail bezsprzecznie spełnia wszystkie wymogi, jakie w ocenie Prezesa Urzędu Ochrony Konkurencji i Konsumentów musi spełniać Trwały nośnik informacji, w przeciwieństwie do strony internetowej. Przy pomocy dostawcy usług zaufania, możliwe jest zbadanie informacji wysłanej do klienta pocztą elektroniczną pod względem integralności (niezmienności treści) oraz źródła pochodzenia (niezaprzeczalności nadawcy). Natomiast weryfikacja certyfikatu podpisu lub pieczęci elektronicznej użytej do opatrzenia dokumentów (zależnie od ich charakteru) potwierdzi dodatkowo moc prawną i dowodową.

Prezes UOKIK zastrzegł, że pod pewnymi warunkami witryna internetowa przedsiębiorcy może być trwałym nośnikiem informacji. Jednym z tych warunków jest zapewnienie niezmienności informacji przekazywanych klientowi, za pomocą systemu, nad którym pełną kontrolę posiada przedsiębiorca. Przy zastosowaniu usług zaufania – znacznik czasu, podpis elektroniczny oraz uwierzytelnianie e-dokumentów – łatwo jest udowodnić brak ingerencji w materiały udostępniane online. Aby zachować obiektywizm, funkcjonalność weryfikacji dokumentów dostępnych w ramach e-konta klienta powinna być realizowana przez dostawcę usług zaufania.

Marek WYSZKOWSKI

Ekspert ds. elektronicznych usług zaufania i zawierania umów online, który popularyzuje wiedzę i nowe rozwiązania zwiększające wiarygodność e-komunikacji oraz e-transakcji w czasach cyfryzacji.