Securityinfo
  • Strona główna
  • Publikacje
  • Zespół
  • Współpraca
  • Kontakt
Szukaj w Securityinfo
Nawigacja: Strona główna » Publikacje » Podpis elektroniczny w służbie e-handlu

Podpis elektroniczny w służbie e-handlu

1. Powszechne nadużycia

Co jakiś czas docierają do nas niepokojące informacje o oszustwach na aukcjach internetowych. Schemat wyłudzenia pieniędzy jest najczęściej ten sam i był już wielokrotnie opisywany. Faktem jest, że pracownicy serwisów aukcyjnych współpracują z CBŚ, pomagają łapać złodziei i przeciwdziałać dalszym nadużyciom, jednak jest to zadanie niezwykle trudne i pracochłonne. Warto pamiętać, że obok spraw nagłośnionych w mediach pozostają te, w których poszkodowani zadowolili się wystawieniem negatywnego komentarza.

Czy istnieje możliwość zniechęcenia aukcyjnych oszustów i ułatwienia pracy policji, jeśli przestępstwo zostanie już popełnione? W pewnym stopniu tak — od ponad trzech lat w polskim prawie funkcjonuje podpis elektroniczny.

2. Podpis elektroniczny w polskim prawie

Ustawa o podpisie elektronicznym z dnia 18 września 2001 roku (weszła w życie 18 sierpnia 2002 roku) zrównała ważność podpisu własnoręcznego z podpisem składanym w postaci cyfrowej. Ustawa wyróżnia dwa rodzaje podpisów elektronicznych:

  • bezpieczny podpis elektroniczny,
  • zwykły podpis elektroniczny.

Bezpiecznemu podpisowi elektronicznemu, który został złożony w okresie ważności kwalifikowanego certyfikatu ustawa nadaje status równoważny pod względem skutków prawnych z podpisem własnoręcznym (mówi o tym również artykuł 78. §2. Kodeksu cywilnego).

Ustawa definiuje bezpieczny podpis elektroniczny jako podpis elektroniczny, który:

  • jest przyporządkowany wyłącznie do osoby składającej ten podpis,

  • jest sporządzany za pomocą podlegających wyłącznej kontroli osoby składającej podpis elektroniczny bezpiecznych urządzeń służących doskładania podpisu elektronicznego i danych służących do składania podpisu elektronicznego,

  • jest powiązany z danymi, do których został dołączony, w taki sposób, że jakakolwiek późniejsza zmiana tych danych jest rozpoznawalna.

Co to oznacza w praktyce?

  • Podpis przypisany jest do osoby fizycznej — nie ma możliwości „przekazania” czy „pożyczenia” go komuś innemu. Jeśli umowy w firmie są elektronicznie podpisywane przez osobę A i ma zastąpić ją osoba B, to nie może ona korzystać z tego samego podpisu.

  • Kwalifikowany certyfikat może zostać wystawiony przez kwalifikowany podmiot świadczący usługi certyfikacyjne dopiero po sprawdzeniu tożsamości osoby i podpisaniu stosownej umowy. Tożsamość może zostać potwierdzona na podstawie dowodu osobistego, paszportu lub na podstawie notarialnego poświadczenia tożsamości.

  • Dokładne wymagania stawiane bezpiecznemu urządzeniu do składania i weryfikacji podpisów elektronicznych definiuje Rozporządzenie Rady Ministrów (Dz.U. 2002 nr 128 poz. 1094), dla uproszczenia można przyjąć, że dla złożenia bezpiecznego podpisu potrzebne są:

    • komputer,
    • czytnik kart elektronicznych,
    • karta elektroniczna (znajduje, się na niej klucz prywatny i kwalifikowany certyfikat),
    • aplikacja (oprogramowanie).

Jasno widać więc, że uzyskanie kwalifikowanego certyfikatu wymaga poświęcenia czasu, natomiast do elektronicznego podpisania dokumentów nie wystarczy sam komputer.

3. W jaki sposób wykorzystać e-podpis

Podpis elektroniczny, aby w pełni zabezpieczyć aukcję pod względem prawnym powinien zostać wykorzystany w dwóch sytuacjach:

  • sprzedawca wystawiając towar podpisuje stosowne zobowiązanie,
  • potencjalny kupujący składając ofertę cenową („podbija cenę”) i podpisuje stosowne zobowiązanie.

Cały proces mógłby wyglądać następująco:

Schemat wykorzystania podpisu elektronicznego w aukcji

Należy zwrócić uwagę na wyróżnione bezpieczne urządzenie służące do złożenia podpisu.

4. Aukcje radzą sobie bez podpisu

Aukcje internetowe skierowane do masowego odbiorcy radzą sobie bez elektronicznego podpisu. Weryfikacja uczestników odbywa się najczęściej przez wysłanie zwykłą pocztą pakietu aktywacyjnego (wszystkie popularne serwisy aukcyjne w Polsce stosują tę metodę). Wymagane jest również przesłanie kserokopii dowodu osobistego, podanie numeru PESEL (Świstak), oraz wykonanie przelewu z własnego konta bankowego (Aukcje24, Polano).

Nie można tych metod uznać za pewny sposób potwierdzenia tożsamości. Zwiększają co prawda pracochłonność przygotowania „przekrętu”, ale w czasach banków internetowych sprowadzają problem do konieczności potwierdzenia tożsamości na podstawie kopii dowodu osobistego (umowa o prowadzenie rachunku zawierana jest najczęściej na odległość).

5. E-przetargi zabezpieczone

Zupełnie inaczej sytuacja wygląda w przypadku internetowych platform przeznaczonych do organizowania przetargów. Zresztą nie ma się czemu dziwić, ponieważ wszystkie spełniają wymagania ustawy z dnia 29 stycznia 2004 roku Prawo zamówień publicznych (Dz.U. 2004 nr 19 poz. 177). Ustawa dotyczy zamówień publicznych, ale z jej wytycznych korzystają również przedsiębiorstwa, które nie podlegają prawu zamówień publicznych. Oczywiście przebieg przetargu jest odmienny od typowej aukcji (w samej licytacji biorą udział jedynie zakwalifikowani wykonawcy, cena jest obniżana — licytuje się „w dół”), ale zasada wykorzystania podpisu elektronicznego dokładnie taka, jak zostało to przedstawione powyżej.

Pozostaje pytanie czy firmy korzystające z internetowych platform przetargowych, które nie są jednak objęte wymaganiami ustawy również korzystają z bezpiecznego podpisu elektronicznego i czy żądają podpisywania przez wykonawców składanych ofert. Lech Wendołowski z serwisu e-przetarg.pl ocenia, że aukcje bez podpisu to tylko sporadyczne przypadki. Stosowanie podpisu jest rekomendowane klientom, ponieważ podnosi bezpieczeństwo prawne transakcji.

6. Ile kosztuje bezpieczeństwo, czyli dlaczego nadal nie jest bezpiecznie

Możliwość korzystania z bezpiecznego podpisu elektronicznego jest kosztowna. Państwo nie wspiera na razie zbyt aktywnie podpisu i nie daje mu tym samym szans się rozwinąć. Mimo ustawy o podpisie elektronicznym i niedawnej nowelizacji Kodeksu postępowania administracyjnego, która nakłada na urzędy obowiązek przyjmowania podań również drogą internetową i odsyłania w ten sposób pism do interesantów, praktycznie żaden urząd nie jest do tego przygotowany technicznie.

Koszty certyfikatów kwalifikowanych ważnych 1 rok (ceny netto, stan na dzień 19 grudnia 2005 roku):

  • CERTUM Powszechne Centrum Certyfikacji: wydanie: 399zł (wliczony koszt bezpiecznego urządzenia), odnowienie: 95zł

  • Centrum Certyfikacji Signet: wydanie: 495zł (wliczony koszt bezpiecznego urządzenia), odnowienie: 87zł

  • Sigillum Polskie Centrum Certyfikacji Elektronicznej: wydanie: 349zł (wliczony koszt bezpiecznego urządzenia), odnowienie: 115zł

  • Krajowa Izba Rozliczeniowa: wydanie: 500zł (wliczony koszt bezpiecznego urządzenia), odnowienie: 95zł

Nie ma co się dziwić, że bezpieczny podpis elektroniczny potwierdzony kwalifikowanym certyfikatem wykorzystywany jest jedynie przez niewielką grupę osób skupioną przede wszystkim w firmach.

7. Na zakończenie

Podpis elektroniczny nie jest lekiem na wszystkie choroby handlu elektronicznego. Nie uniemożliwia fałszowania dokumentów tożsamości, stosowania metody „na słupa” i wysłania przysłowiowej cegły zamiast zamówionego towaru. Bezsprzecznie jednak utrudnia ten proceder, a osobie pokrzywdzonej daje do ręki silną broń — moc prawną bezpiecznego podpisu elektronicznego równą podpisowi własnoręcznemu. W połowie 2006 roku podobno będzie można taką sprawę zgłosić do sądu przez Internet. Oczywiście po podpisaniu dokumentu bezpiecznym podpisem elektronicznym.

Pozostaje mieć nadzieję, że 16 sierpnia 2006 roku zdarzy się nowy cud nad Wisłą — „organy władzy publicznej umożliwią odbiorcom usług certyfikacyjnych wnoszenie podań i wniosków oraz innych czynności w postaci elektronicznej, w przypadkach gdy przepisy prawa wymagają składania ich w określonej formie lub według określonego wzoru”, a podpis elektroniczny zacznie zdobywać zasłużoną popularność.

Spis treści

  • 1. Powszechne nadużycia
  • 2. Podpis elektroniczny w polskim prawie
  • 3. W jaki sposób wykorzystać e-podpis
  • 4. Aukcje radzą sobie bez podpisu
  • 5. E-przetargi zabezpieczone
  • 6. Ile kosztuje bezpieczeństwo, czyli dlaczego nadal nie jest bezpiecznie
  • 7. Na zakończenie

Autor

Marcin Engelmann

Od 7 lat zajmuje się bezpieczeństwem systemów i sieci komputerowych. Jako konsultant ds. zabezpieczeń współpracował z dostawcami usług internetowych i firmami internetowymi i finansowymi. Praktyk, administrator i zwolennik systemów Open Source. Konsultant dystrybucji Debian GNU/Linux.

Zobacz również

  • Ustawa z dnia 18 września 2001 r. o podpisie elektronicznym (Dz.U. 2001 nr 130 poz. 1450)
  • Rozporządzenie Rady Ministrów z dnia 7 sierpnia 2002 r. w sprawie określenia warunków technicznych i organizacyjnych dla kwalifikowanych podmiotów świadczących usługi certyfikacyjne, polityk certyfikacji dla kwalifikowanych certyfikatów wydawanych przez te podmioty oraz warunków technicznych dla bezpiecznych urządzeń służących do składania i weryfikacji podpisu elektronicznego (Dz.U. 2002 nr 128 poz. 1094)
  • VaGla.pl Prawo i Internet — Podpis elektroniczny

Narzędzia

  • Publikacja: 1 grudnia 2005
  • Aktualizacja: 11 lipca 2008
  • Wersja do wydruku
  • Trackback
  • RSS
ISSA Polska Wrocław
O serwisie Polityka prywatności Mapa serwisu Kontakt Copyright © 2005-2008 Securityinfo