E-podpis złowiony w sieci

Treść

W najbliższych miesiącach ruszy lawina wniosków od przedsiębiorców o wydanie kwalifikowanego certyfikatu podpisu elektronicznego, który od 21 lipca będzie wymagany w obrocie dokumentami z ZUS. Tylko trzy firmy w Polsce mają prawo wydawania takich certyfikatów i to one podyktują jakość i cenę za usługę. Ograniczenie konkurencji na rynku, którego źródłem jest błąd w ustawie, spowodowało, że "bezpieczny e-podpis" jest zbyt skomplikowany i za drogi dla przeciętnego przedsiębiorcy. Gra idzie o rynek wart ponad 320 mln złotych. Od 21 lipca wszyscy przedsiębiorcy zatrudniający powyżej 5 pracowników w kontaktach z ZUS będą musieli korzystać z drogi elektronicznej, posługując się podpisem elektronicznym z certyfikatem kwalifikowanym. Tylko taki podpis, w myśl ustawy z 2001 r., będzie uważany za "bezpieczny". Do lamusa odejdzie dotychczasowy certyfikat bezpłatnie wydawany przez ZUS, z którego firmy stosujące program "Płatnik" mogły korzystać od 1999 roku. Za kwalifikowany certyfikat przedsiębiorcy przyjdzie zapłacić, i to słono. Oferta firmy Certum - Unizeto Technologies, jednej z trzech podmiotów uprawnionych do certyfikacji, opiewa na blisko 440 zł brutto za bezpieczny e-podpis ważny 2 lata. Dla e-podpisu ważnego rok cena jest niższa o ok. 80 złotych. Firma zapewnia na swoich stronach, że są to stawki promocyjne, z 10-procentową zniżką, a na pociechę dorzuca do pakietu zaufany certyfikat niekwalifikowany i usługę znakowania czasem (tj. identyfikacji momentu podpisania dokumentu). Po upływie okresu ważności przedsiębiorca będzie musiał odnowić certyfikat. Tym razem wypłynie z jego kieszeni odpowiednio 160 lub 115 złotych. Odnowienie jest tańsze od ceny wejścia, ponieważ nie wymaga zakupu całego zestawu do składania podpisu elektronicznego, na który składa się karta kryptograficzna, czytnik kart, oprogramowanie. W myśl polskich przepisów - e-podpis jest ważny tylko wtedy, gdy został złożony przy pomocy "bezpiecznego urządzenia". - W całej Unii Europejskiej do składania bezpiecznego e-podpisu wystarcza karta kryptograficzna z danymi, a w Polsce przyjęto, że musi to być karta wraz z oprogramowaniem, które dostarczają centra certyfikacji. To pozwala im pobierać dodatkowe pieniądze za aplikacje, w których podpis będzie mógł być używany - zwraca uwagę Wiesław Paluszyński, wiceprezes Polskiego Towarzystwa Informatycznego. Związanie karty z oprogramowaniem to zdaniem polskich informatyków bariera, która zamyka rynek usług certyfikacyjnych przed konkurencją. Coś jest na rzeczy w tej opinii, sko ro w przededniu uruchomienia programu e-podpisu, który zmusi setki tysięcy przedsiębiorców do wystąpienia o kwalifikowany certyfikat, rejestr podmiotów uprawnionych do certyfikacji, prowadzony na zlecenie ministra gospodarki przez NBP, ogranicza się do zaledwie trzech podmiotów. Oprócz wspomnianej Unizeto Technologies SA figuruje w nim Polska Wytwórnia Papierów Wartościowych SA oraz Krajowa Izba Rozliczeniowa SA. PTI od kilku lat ostrzega, że w efekcie ograniczenia konkurencyjności na rynku certyfikatów przedsiębiorcy otrzymają bezpieczny e-podpis w wersji nadmiernie skomplikowanej (karta z czytnikiem), zostaną ustawowo zmuszeni do zakupu zestawu po zawyżonych cenach (tj. z oprogramowaniem), trzy firmy uprawnione do certyfikacji będą miały na wiele lat naprzód zapewnione wysokie dochody, zaś konkurencja - związane ręce, ponieważ ustawa, wiążąc bezpieczny e-podpis z oprogramowaniem, blokuje tworzenie nowocześniejszych jego wersji. Według danych ZUS, przed 21 lipca 2008 r. podpis elektroniczny będzie musiało wykupić ok. 230 tys. przedsiębiorstw. Nie będzie on związany z firmą, lecz przypisany do osoby fizycznej - pracownika odpowiadającego za kontakty z ZUS, toteż prawdopodobnie jedno przedsiębiorstwo dla bezpieczeństwa będzie musiało ufundować sobie przynajmniej dwa bezpieczne e-podpisy. Gra idzie o rynek 161-322 mln zł, nie licząc dochodów z okresowej aktualizacji certyfikatów. Urzędnicy zaprzeczają Ministerstwo Gospodarki, w którego gestii znajduje się ustawa o podpisie elektronicznym, żadnych barier dla konkurencji nie dostrzega. "Można mówić o wymogach przepisów prawa, które korespondują z europejskimi standardami, a nie o barierach dla prowadzenia działalności" - czytamy w odpowiedzi nadesłanej z Departamentu Regulacji Gospodarczych Ministerstwa Gospodarki. Urzędnicy sugerują, że krótka lista centrów uprawnionych do wydawania kwalifikowanych certyfikatów e-podpisu wynika po prostu z tego, że "świadczenie usług certyfikacyjnych w zakresie e-podpisu wymaga znacznych nakładów na infrastrukturę oraz potencjału wiedzy informatycznej, prawnej i standaryzacyjnej w zakresie kryptografii i infrastruktury klucza publicznego", co może eliminować mniej doświadczone firmy. Są państwa w Europie, gdzie takie usługi świadczy tylko jeden podmiot - uspokajają urzędnicy. Zapewniają też, że wszystkie firmy, które ubiegały się o wpis do rejestru, spotkały się z odpowiedzią pozytywną. W jednym przypadku, jeszcze przed przystąpieniem Polski do UE, możliwość złożenia wniosku rozpatrywał podmiot z Czech. Niemniej świadczenie usług certyfikacyjnych wymagało podmiotu spełniającego wymagania (np. kapitałowe, ubezpieczeniowe, techniczne) i utrzymania infrastruktury technicznej pod jurysdykcją polską. Wynika to z konieczności umożliwienia regulatorowi tego rynku dostępu kontrolerów i ewentualnego zatrzymania działalności - wyjaśnia resort. Przyznaje też, że z rejestru wykreślono TP Internet. "Stało się to na wniosek spółki, która uznała, że będzie prowadzić działalność certyfikacyjną tylko w zakresie zwykłego podpisu elektronicznego, a to pociąga za sobą znaczne obniżenie wymogów bezpieczeństwa i nie wymaga wpisu do rejestru" - czytamy. Ani słowa o tym, dlaczego firma zrezygnowała z tak obiecującego rynku. Pod udzieloną nam odpowiedzią brak podpisu pracownika merytorycznego, który udzielał informacji. Jak poinformowało nas biuro prasowe resortu - sprawami informatyzacji zajmuje się... tylko jedna osoba. Kłopoty księgowych Jak w praktyce będzie funkcjonował e-podpis? Księgowość małych i średnich firm spoczywa z reguły w rękach biur księgowych. Biuro w kontaktach z ZUS korzystało dotychczas z własnego e-podpisu, opartego na umowie z klientami. Po wejściu w życie ustawy o podpisie elektronicznym biuro księgowe będzie musiało posługiwać się osobnym podpisem elektronicznym dla każdej firmy, którą obsługuje. Odpowiedź z ZUS nie pozostawia co do tego wątpliwości: "Obowiązek wyrobienia podpisu elektronicznego spoczywa na płatnikach składek ZUS" - napisał Mikołaj Skorupski, rzecznik prasowy ZUS, po konsultacji z zespołem prawniczym Zakładu. Dla dużych firm, z własną księgowością, kwalifikowany certyfikat oznacza pełną indywidualizację odpowiedzialności, bo podpis elektroniczny będzie przypisany do konkretnej upoważnionej osoby. Dla mniejszych podmiotów, które powierzają księgowość biurom rachunkowym - bezpieczny e-podpis to dodatkowe koszty i komplikacje prawne w zakresie odpowiedzialności. Przede wszystkim będą musiały ufundować księgowym kwalifikowany certyfikat. Co będzie, jeśli firma zechce zmienić księgowego lub obsługujący ją księgowy po prostu odejdzie z biura? Podpisem legitymuje się płatnik - odpowiada ZUS. A zatem firma będzie musiała nabyć w takim wypadku nowy e-podpis. Obecnie odpowiedzialność za błędy księgowe niezawinione przez firmę ciąży na biurze rachunkowym. Na tę okoliczność wykupuje ono ubezpieczenie. Jak będzie to wyglądało, gdy certyfikowany podpis w imieniu firmy uzyska wskazany imiennie księgowy z biura rachunkowego - nie sposób dziś odpowiedzieć. Czy za jego błędy odpowiedzialność spoczywa na biurze księgowym, czy też firmie, która wykupiła mu certyfikat? Sądy będą miały mnóstwo pracy. Z pewnością przedsiębiorcy będą musieli staranniej dobierać księgowych, z których usług korzystają. W biurach księgowych przepisy o bezpiecznym e-podpisie przyjmowane są raczej chłodno. Poziom zabezpieczeń dokumentów wydaje im się zbyt wysoki jak na potrzeby większości firm, i narzucony odgórnie. Małgorzata Goss Podpis elektroniczny to techniczny sposób potwierdzania autentyczności dokumentu i tożsamości nadawcy na dokumencie przesyłanym drogą elektroniczną. Spełnia on łącznie trzy warunki: - umożliwia identyfikację osoby podpisującej, - chroni przed podrobieniem podpisu przez inną osobę, - zabezpiecza dokument przed wprowadzeniem jakichkolwiek zmian w jego treści. "Nasz Dziennik" 2008-02-13

Autor: wa