Działania w zakresie podpisu elektronicznego

W świetle badań „Stan informatyzacji urzędów administracji publicznej w Polsce w 2008” (ARC Rynek i Opinia) w roku ubiegłym w urzędach zdecydowanie wzrosła częstość stosowania mechanizmów uwierzytelniania odbiorców usług. Już tylko 20% urzędów nie posiadało żadnych zabezpieczeń, podczas gdy w roku 2007 odsetek ten wyniósł prawie 71%. Najczęściej stosowanym zabezpieczeniem był podpis elektroniczny. W 2008 roku stosowano go w 76,7% urzędów. Rzadziej urzędy wykorzystywały szyfrowanie w celu zapewnienia poufności (22,3%) lub inne mechanizmy uwierzytelniania takie, jak kod PIN czy systemy haseł (14,7%). Sytuacja w tym zakresie będzie ulegać poprawie w związku z m.in. przenoszeniem nowych usług na Elektroniczną Platformę Usług Publicznych Administracji Publicznej ePUAP.

Podpis elektroniczny jest narzędziem służącym zagwarantowaniu tożsamości, autentyczności i integralności przy wymianie informacji drogą elektroniczną. Istota podpisu elektronicznego polega na zapewnieniu unikalności oznaczania dokumentu w taki sposób, że na podstawie tego oznaczenia można zagwarantować identyfikację osoby, która dokonała czynności podpisania oraz niezaprzeczalność podpisania przez nią dokumentu. Zapewnienie tych dwóch funkcji identyfikacji i niezaprzeczalności pozwala zrównać pod określonymi warunkami podpis elektroniczny z podpisem własnoręcznym. W konsekwencji dane w postaci elektronicznej opatrzone podpisem elektronicznym mogą stanowić samodzielny dowód, który możliwy jest do weryfikacji przy pomocy przeznaczonych do tego celu aplikacji. Autentyczność wszelkich innych dokumentów, które nie zostały opatrzone podpisem elektronicznym może być stwierdzona tylko w powiązaniu z systemami informatycznymi w których istnieją i w których zostały wytworzone, oraz w związku z okolicznościami w których powstawały. Ważną funkcją zaawansowanego podpisu elektronicznego jest funkcja zapewnienia integralności dokumentu, która umożliwia wykrycie zmian, które zostały wprowadzone po podpisaniu dokumentu. Poprzez wykorzystanie w podpisie funkcji obliczenia skrótu dokumentu podpis staje się powiązany z danymi, do których został dołączony, w taki sposób, że jakakolwiek późniejsza zmiana tych danych jest rozpoznawalna. Podpis elektroniczny wnosi zatem ważną wartość dodaną w elektroniczny obrót gospodarczy oraz prawny.

Zaawansowany podpis elektroniczny weryfikowany certyfikatem i oparty o zastosowanie asymetrycznych technik kryptografii realizowany jest przy pomocy pary kluczy. Klucz prywatny znany jest tylko jego właścicielowi i przechowywany na karcie kryptograficznej, skąd nie jest możliwy do skopiowania. Ten rodzaj klucza służy do podpisywania dokumentu elektronicznego. Drugi z pary kluczy to klucz publiczny, którego powiązanie z daną osobą potwierdza certyfikat. Klucz publiczny służy do weryfikacji e-podpisu i może zostać rozpowszechniony, np. poprzez stronę internetową lub bazę urzędu certyfikacji. Weryfikacja podpisu elektronicznego może dokonać każdy, kto otrzymał dokument podpisany przy użyciu podpisu elektronicznego. Czynność ta polega m.in. na określeniu, czy podpis elektroniczny złożony został w oparciu o ważny certyfikat, czy podpis elektroniczny został zrealizowany za pomocą klucza prywatnego odpowiadającego kluczowi publicznemu, zawartemu w podpisanym przez urząd certyfikacji certyfikacie, oraz czy podpisany dokument nie został zmodyfikowany po złożeniu e-podpisu.

„Bezpieczny podpis elektroniczny weryfikowany ważnym certyfikatem kwalifikowanym” zakłada spełnienie wymagań technologicznych określonych w przepisach wynikających z ustawy o podpisie elektronicznym. Są to m.in. określona struktura podpisu, użyte algorytmy kryptograficzne (szyfrowania oraz skrótu dokumentu). Technologiczną poprawność bezpiecznego podpisu elektronicznego zapewnia „bezpieczne urządzenie do składania podpisu elektronicznego”. Bezpieczne urządzenie, którym z reguły jest procesorowa karta kryptograficzna zapewnia ochronę klucza prywatnego w taki sposób, że nie jest możliwe jego przejęcie i wykorzystanie w nieuprawniony sposób. Podpis elektroniczny jest zatem rozwiązaniem bezpiecznym, gdyż jest przyporządkowany wyłącznie do osoby składającej ten podpis, sporządzany za pomocą podlegających wyłącznej kontroli osoby składającej podpis elektroniczny bezpiecznych urządzeń służących do składania podpisu elektronicznego oraz danych służących do składania podpisu elektronicznego. Certyfikat kwalifikowany można uzyskać w jednym z kwalifikowanych podmiotów świadczących usługi certyfikacyjne wpisanych do rejestru Ministra Gospodarki. W odniesieniu do takiego podpisu elektronicznego potocznie używana jest nazwa podpis kwalifikowany. Pojęcie takie występuje również w licznych dokumentach wspólnotowych.

Dane za sierpień 2011 roku  mówią o ponad 250 tys. aktywnych kwalifikowanych certyfikatów do składania podpisu elektronicznego. Wbrew popularnym poglądom na temat wysokości cen podpisu elektronicznego cena zestawów do składania podpisu elektronicznego znacząco zmalała w ostatnim czasie i wynosi obecnie około 200-300 PLN. Obecnie podpis kwalifikowany (bezpieczny podpis elektroniczny) jest wykorzystywany przez niektóre grupy zawodowe (takie jak np. notariusze) oraz dla potrzeb rozliczeń między firmami (faktury elektroniczne). Art. 36 ustawy o informatyzacji wprowadził zmiany do Kodeksu Postępowania Administracyjnego, które pozwoliły na składanie podań podpisanych z użyciem bezpiecznego podpisu elektronicznego. Przykładowe systemy w których na dzień dzisiejszy można wykorzystywać bezpieczny podpis elektroniczny weryfikowany ważnym certyfikatem kwalifikowanym to m.in.:

• systemy przetargowe, takie jak np. Polska Platforma Przetargowa (PWPW), Elektroniczna Platforma Przetargowa e-przetarg.pl (EPP), Przetargi Elektroniczne (PE), Platforma Marketplanet,
• systemy e-government, takie jak np. Płatnik (ZUS), e-GIODO, System Informatyczny Generalnego Inspektora Informacji Finansowej (SI GIIF), e-Poltax dla wybranych deklaracji podatkowych, Elektroniczna Skrzynka Podawcza (ESP), Krajowy Rejestr Sądowy.
• niektóre systemy e-bankingu: możliwość potwierdzenia składanych dyspozycji z wykorzystaniem certyfikatów kwalifikowanych w systemie Banku BPH, Nordea oraz Banku Ochrony Środowiska.

Podmioty świadczące kwalifikowane usługi certyfikacyjne w zakresie podpisu elektronicznego muszą nie tylko w Polsce spełnić wysokie wymagania. W całej Unii Europejskiej działa jedynie około 90 podmiotów tego typu. W Polsce funkcjonuje aktualnie na rynku 5 centrów kwalifikowanych świadczących usługi certyfikacyjne w zakresie podpisu elektronicznego:

• Polskie Centrum Certyfikacji Elektronicznej Sigillum Polskiej Wytwórni Papierów Wartościowych S.A.,
• Centrum Obsługi Podpisu Elektronicznego Szafir Krajowej Izby Rozliczeniowej S.A.
• Powszechne Centrum Certyfikacji Certum firmy Unizeto Technologies SA.
• Centrum Certyfikacji firmy MobiCert Sp. z o.o.
• Kwalifikowane Centrum certyfikacji Kluczy CenCert firmy Safe Technologies S.A.

Podpis niekwalifikowany wykorzystywany jest m.in. w CEPiK, Elektronicznym Przekazie Dokumentów Ubezpieczeniowych (EPDU), systemie obsługi deklaracji celnych CELINA, e-PFRON, SIMIK i innych zastosowaniach poza administracją, np. w bankowości do świadczenia usługi wyciągów potwierdzonych podpisem opartym o certyfikat Verisign (MultiBank). Liczba komercyjnych, korporacyjnych lub innych podmiotów świadczących usługi certyfikacyjne na poziomie niekwalifikowanym nie jest znana, gdyż nie ma obowiązku notyfikowania tego rodzaju działalności.

Nieznaczna liczba certyfikatów kwalifikowanych stosowanych głównie przez przedsiębiorców i odnawianych co roku lub co dwa lata na zasadach komercyjnych przemawia za wprowadzeniem dwóch nowych rozwiązań adresowanych do ogółu obywateli: podpisu elektronicznego składanego przy pomocy dowodu osobistego oraz tzw. zaufanego profilu użytkownika na ePUAP. Funkcjonalność podpisu elektronicznego w dowodach osobistych lub innych dokumentach identyfikacyjnych jest niezwykle wygodnym rozwiązaniem ze względu na wspólny nośnik danych identyfikacyjnych osoby oraz jej kluczy podpisu elektronicznego, który stanowi stykowa lub bezstykowa karta mikroprocesorowa. W Unii Europejskiej 9 państw członkowskich wprowadziło dotychczas procesorowe dowody tożsamości (m.in. Belgia, Estonia, Portugalia, Hiszpania) a 13 kolejnych państw planuje w najbliższej przyszłości implementację rozwiązań tego typu. Dowody tożsamości mogą stanowić ważny katalizator upowszechnienia podpisu elektronicznego. Weryfikacja tożsamości oraz zbieranie danych niezbędnych do wydania certyfikatu może następować bliżej obywateli przy okazji realizowanej lokalnie procedury składania wniosku o wydanie dowodu tożsamości. Obywatel uzyskają możliwość wykorzystania dowodu tożsamości w charakterze karty wielofunkcyjnej, która będzie możliwa do wykorzystania zarówno w relacjach z administracją, jak i w stosunkach komercyjnych. Pierwsze dowody z funkcjonalnością podpisu elektronicznego wydawane w ramach projektu pl.ID dostępne będą już w roku 2011.

Innym ważnym rozwiązaniem, które wprowadzone zostanie w najbliższym czasie będzie tzw. zaufany profil ePUAP. Zaufany profil stanowić będzie zestaw informacji identyfikujących i opisujących podmiot lub osobę, będącą dysponentem konta na ePUAP, który został w wiarygodny sposób potwierdzony przez organ administracji. Podstawowa różnica z kwalifikowanym podpisem elektronicznym polega na powiązaniu wiarygodności tego rodzaju uwierzytelnienia z wytworzeniem lub procedowaniem dokumentu w określonym systemie administracji publicznej. Podpis kwalifikowany może natomiast funkcjonować niezależnie od systemu w którym został wytworzony. Podpis elektroniczny weryfikowany certyfikatem kwalifikowanym posiada ponadto istotną przewagę w postaci wymogu uznawania w systemach prawnych innych państw członkowskich Unii Europejskiej oraz Europejskiego Obszaru Gospodarczego.

Kwestie usług certyfikacyjnych w zakresie podpisu elektronicznego są regulowane w przepisach krajowych wszystkich państw członkowskich Unii Europejskiej. Konieczność istnienia ustawy regulującej świadczenie usług certyfikacyjnych w zakresie podpisu elektronicznego wynika m.in. z obowiązku implementacji dyrektywy 1999/93/WE Parlamentu Europejskiego i Rady z dnia 13 grudnia 1999 r. w sprawie wspólnotowych ram dla podpisów elektronicznych. Obowiązująca ustawa z dnia 18 września 2001 r. o podpisie elektronicznym (Dz. U. z dnia 15 listopada 2001 r.) została przyjęta przed przystąpieniem Polski do Unii Europejskiej i nie uwzględnia obecnego stanu rozwoju usług certyfikacyjnych. Pojęcia zdefiniowane w ustawie o podpisie elektronicznym wymagają zatem zmiany definicji przy zachowaniu ciągłości świadczenia dotychczasowych usług certyfikacyjnych. Zmiany te mają na celu doprowadzenie do zniwelowania różnic z odpowiednimi pojęciami Dyrektywy Europejskiej. Z tego względu prowadzone są obecnie prace nad przygotowaniem nowej ustawy o podpisach elektronicznych.

Podkreślić należy, że dla upowszechnienia stosowania podpisanych elektronicznie dokumentów niezbędne jest przeprowadzenie szeregu innych zmian prawnych i infrastrukturalnych. W latach 2008-2009 podjęto serię działań systemowych, które mają prowadzić do upowszechnienia usług publicznych opartych o elektroniczną identyfikację obywatela lub przedsiębiorcy.

Wśród działań tych wymienić należy m.in.:

1. przygotowanie nowej ustawy o podpisach elektronicznych umożliwiającej szersze wykorzystanie podpisów innych niż bezpieczny podpis elektroniczny (projekt ustawy prowadzi Ministerstwo Gospodarki);
2. nowelizacja ustawy o informatyzacji połączona z nowelizacją kodeksu postępowania administracyjnego i ustawy – Ordynacja podatkowa, umożliwiająca zastosowanie w komunikacji z podmiotami publicznymi innych form identyfikacji takich jak profil zaufany ePUAP (projekt ustawy prowadzi Ministerstwo Spraw Wewnętrznych i Administracji);
3. realizacja projektu pl.ID oraz przygotowanie nowej ustawy o dowodach osobistych. Prace umożliwią wydawanie od 2011 r. dowodu osobistego z mikroprocesorem, przy pomocy którego obywatel będzie mógł złożyć zaawansowany podpis elektroniczny zwany podpisem osobistym (projekt prowadzi Centrum Projektów Informatycznych MSWIA);
4. deregulacja poprzez usunięcie wymogu stosowania bezpiecznego podpisu elektronicznego opatrzonego ważnym kwalifikowanym certyfikatem w istniejących dziś procedurach, w których tak wysoki poziom zabezpieczenia nie jest konieczny. Ze względu na konieczność analizy ryzyka poszczególnych procedur działania w tym zakresie powinien przeprowadzić każdy resort.