Podpis elektroniczny - czym jest podpis kwalifikowany? Jak działa?

● Kwalifikowany podpis elektroniczny ma taką samą moc prawną jak podpis własnoręczny. ● Podpis kwalifikowany jest narzędziem płatnym oferowanym przez certyfikowanych dostawców. ● Za pomocą podpisu kwalifikowanego można podpisywać dokumenty biznesowe, a także załatwiać sprawy urzędowe. ● Narzędziem podobnym do zaawansowanego podpisu elektronicznego jest bezpłatny Profil Zaufany.

Podpis elektroniczny to odpowiednik własnoręcznego podpisu w świecie cyfrowym. 

Funkcjonowanie podpisów elektronicznych reguluje ustawa o usługach zaufania oraz identyfikacji elektronicznej. Ustawa ta wprowadzona została w ramach ujednolicania środków identyfikacji elektronicznej w całej Unii Europejskiej. Celem tych działań jest umożliwienie obywatelom posiadającym podpis elektroniczny posługiwanie się nim na tych samych zasadach we wszystkich państwach unijnych. 

Istnieje kilka rodzajów podpisów elektronicznych o różnym stopniu bezpieczeństwa i wiarygodności:

- zwykły podpis elektroniczny – deklaracja tożsamości autora złożona w elektronicznym dokumencie lub wiadomości e-mail, np. jako podpisanie go swoim imieniem i nazwiskiem,

- zaawansowany (bezpieczny) podpis elektroniczny – unikalny dla każdego użytkownika, trudny do sfałszowania podpis składany przy użyciu danych weryfikujących autora i potwierdzany za pomocą specjalnego certyfikatu. W zależności od rodzaju certyfikatu wyróżnia się:

- podpis kwalifikowany – najbezpieczniejsza forma podpisu zaawansowanego, korzystająca z certyfikatu wystawionego przez kwalifikowany urząd certyfikacji oraz z prywatnego klucza szyfrującego,

- podpis niekwalifikowany – podpis zaawansowany korzystający z certyfikatu określonego przez zainteresowane strony, np. certyfikat wystawiany przez bank.

Zaawansowany podpis elektroniczny wymaga, aby podmiot wystawiający certyfikat potwierdził wcześniej tożsamość danej osoby na podstawie okazanego przez nią dowodu tożsamości.

Choć każdy rodzaj podpisu elektronicznego powoduje określone skutki prawne, to zwykły podpis jest zbyt łatwy do sfalsyfikowania aby móc za jego pomocą podpisywać dokumenty czy załatwiać sprawy urzędowe. 

Do tego typu czynności niezbędny jest najczęściej podpis kwalifikowany. Umożliwia on weryfikację tożsamości osoby składającej podpis i ma taką samą moc prawną jak podpis złożony własnoręcznie.

Podpisem kwalifikowanym możliwe jest podpisanie dowolnego cyfrowego dokumentu – tak samo, jak podpisem własnoręcznym podpisać można każdy dokument papierowy. Dzięki niemu można więc zawierać umowy na odległość, załatwiać sprawy urzędowe np. na PUE ZUS czy w systemie Płatnik, brać udział w procedurze zamówień publicznych, lub uczestniczyć w elektronicznych aukcjach.

Złożony podpis kwalifikowany najczęściej występuje przy tym w jednej z dwóch form: PAdES albo XAdES. PAdES polega na dodaniu danych z podpisem do istniejącego pliku, w rezultacie czego na podpisanym dokumencie pojawia graficzny znak potwierdzający złożenie podpisu. XAdES polega natomiast na stworzeniu dodatkowego pliku o rozszerzeniu .xades zawierającego złożony podpis – w ten sposób podpisać można m.in. pliki graficzne czy foldery plików.

Podpis kwalifikowany jest narzędziem płatnym oferowanym przez certyfikowanych dostawców. Pełną listę takich dostawców znaleźć można na stronie internetowej Narodowego Centrum Certyfikacji. 

Każdy z tych dostawców oferuje własne oprogramowanie potrzebne do działania podpisu kwalifikowanego. Do najpopularniejszych podpisów kwalifikowanych należą m.in. Szafir 2.0 (dostawca: Krajowa Izba Rozliczeniowa), Sigilium Sign (Polska Wytwórnia Papierów Wartościowych), proCertum SmartSign (Asseco Data Systems SA), PEM-HEART 3.9 (CenCert).

Cena podpisu kwalifikowanego zależy od wybranego dostawcy, opcji wybranych przy zamawianiu własnego certyfikatu, a także czasu, na jaki certyfikat ten wykupujemy. Zwykle koszt ten wynosi ok. 200-300 zł przy certyfikacie ważnym przez rok. 

Kupując podpis kwalifikowany u jednego z certyfikowanych dostawców otrzymuje się pakiet obejmujący:

- specjalne oprogramowanie umożliwiające po zainstalowaniu korzystanie z podpisu, - kartę kryptograficzną, na której znajduje się indywidualny certyfikat kwalifikowany, - czytnik kart, który można podłączyć do swojego komputera.

Coraz częściej dodatkowy czytnik kart nie jest już potrzebny, ponieważ zastępować go może nasz prywatny smartfon.

Istnieje również możliwość, aby posługiwać się podpisem kwalifikowanym przy użyciu elektronicznego dowodu osobistego (e-dowodu). Możliwe jest bowiem wgranie na e-dowód danych podpisu kwalifikowanego zakupionego u wybranego dostawcy. Jedynym wymogiem jest w tym przypadku, aby dostawca znajdował się w rejestrze kwalifikowanych podmiotów świadczących usługi certyfikacyjne.

Analogicznym do zaawansowanego podpisu elektronicznego sposobem elektronicznego potwierdzania naszej tożsamości jest Profil Zaufany. Narzędzie to jest bezpłatne i korzystać z niego może każdy posiadacz numeru PESEL. 

Możliwości zastosowania Profilu Zaufanego są jednak ograniczone – umożliwia on bowiem jedynie załatwianie określonych spraw urzędowych. Z tego powodu wiele osób nadal potrzebuje uniwersalnego podpisu kwalifikowanego. Posiadanie takiego podpisu nie uniemożliwia jednak korzystania jednocześnie także z Profilu Zaufanego.

Otrzymując dokument podpisany podpisem kwalifikowanym bywa, że chcielibyśmy mieć możliwość weryfikacji autentyczności tego podpisu. 

Możliwość taką zapewnia każdy z certyfikowanych dostawców za pomocą tzw. walidatorów podpisu. Są one jedną z funkcji oprogramowania zakupionego wraz z naszym podpisem kwalifikowanym, można je również bezpłatnie ściągnąć ze stron internetowych poszczególnych dostawców i zainstalować.

Istnieją również możliwości weryfikacji podpisów kwalifikowanych on-line, bez instalacji czegokolwiek na swoim urządzeniu, np. System Automatycznej Weryfikacji Podpisu Elektronicznego (SAWPE). W wielu przypadkach wykorzystać do tego można także posiadany Profil Zaufany za pomocą strony Mój Gov.

Akty prawne: Ustawa z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej; Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE