Asseco News
Asseco News to portal informacyjny Asseco Poland. Nasze treści kierujemy do wszystkich osób zainteresowanych tematyką IT, biznesowym aspektem nowych technologii, a także działalnością Asseco.

Kwalifikowana usługa walidacji

Dlaczego warto korzystać z kwalifikowanej usługi walidacji (QVS) kwalifikowanego podpisu elektronicznego (QES) i kwalifikowanej pieczęci elektronicznej (QESeal)

Czym jest walidacja? Czym różni się od sprawdzenie lub weryfikacji ważności podpisu elektronicznego?

Nie wnikając w słownikowe znaczenie tego pojęcia wyjaśnijmy je na gruncie obowiązujących  przepisów dotyczących obrotu prawnego dokumentowanego w postaci elektronicznej.

Odpowiedź znajdziemy w rozporządzeniu UE 910/2014 zwanym eIDAS, który stanowi akt prawny obowiązujący bezpośrednio i jednolicie we wszystkich państwach członkowskich Unii Europejskiej. W art. 3 p 41) czytamy:

„walidacja” oznacza proces weryfikacji i potwierdzenia ważności podpisu elektronicznego lub pieczęci.

W praktyce oznacza to, że korzystając z usługi walidacji w celu sprawdzenia ważności podpisu elektronicznego, którym opatrzony jest dokument, otrzymamy nie tylko informację o ważności tego podpisu (lub jego nieważności), ale również potwierdzenie tego faktu w postaci elektronicznego poświadczenia (dokumentu) wydanego przez usługę walidacji.

W obrocie prawnym istotna jest pewność, że mamy do czynienia z ważnym kwalifikowanym podpisem elektronicznym (QES), szczególnie w sytuacji, gdy podpisany dokument dla swojej ważności lub mocy dowodowej musi spełniać wymagania kodeksu cywilnego w zakresie formy elektronicznej równoważnej formie pisemnej. Co więcej, nie wystarczy tylko mieć tę pewność w momencie akceptowania dokumentu (np. w momencie zwierania umowy na odległość drogą elektroniczną), ale również należy mieć gwarancję, że tę pewność np. po kilku latach podzieli również sąd, który będzie rozstrzygał o racji jednej ze stron na podstawie elektronicznie podpisanego w przeszłości dokumentu.

Takiej pewności nie daje nam weryfikacja dokonywana za pomocą wielu dostępnych na rynku różnego rodzaju programów lub usług służących do weryfikacji podpisów i pieczęci elektronicznych?  Są dwa główne powody.

  • Nie mamy całkowitej pewności, że w procesie weryfikacji brane są pod uwagę i sprawdzane są wszystkie warunki decydujące o uznaniu podpisu za ważny QES. Dostawcy oprogramowania lub usług raczej nie deklarują, że ponoszą odpowiedzialność finansową i prawną za szkody wynikłe z wadliwie przeprowadzonej weryfikacji. A nawet jeżeli taka deklaracja miałaby miejsce, to wykazanie, że uzyskano błędny wynik byłoby trudne ze względu na brak bezpośredniego dowodu na przeprowadzenie weryfikacji i uzyskanego rezultatu.
  • Jeżeli nawet zaprezentowany wynik weryfikacji był wiarygodny i pozytywny, to może okazać się, że nie da się tego wyniku skutecznie potwierdzić w przyszłości lub ponownie uzyskać taki sam rezultat, gdy po dłuższym okresie dokonamy ponownego sprawdzenia ważności tego samego QES. Dzieje się tak dlatego, że weryfikacja może dać poprawny wynik przede wszystkim w przypadku, gdy certyfikat (podpisującego), za pomocą którego następuje sprawdzenie podpisu jest w okresie swojej ważności. Po tym okresie podpis, jeżeli był ważny, nadal oczywiście pozostaje ważny, ale powstaje problem z jednoznacznym wykazaniem tego faktu.

Usługa walidacji natomiast wydaje zaświadczenie o wyniku przeprowadzonej weryfikacji, które może stanowić dowód ważności QES w długiej perspektywie czasu. Warunkiem uznania tego dowodu jest z kolei wiarygodność samej usługi. Tu dochodzimy do odpowiedzi na tytułowe pytanie:  zaświadczenie potwierdzające ważność kwalifikowanego podpisu elektronicznego (QES) wydane przez kwalifikowaną usługę walidacji (QVS) korzysta z prawnego (na podstawie przepisów eIDAS) domniemania prawdziwości i stanowi uznawany również przez sądy wiarygodny dowód na ważność QES niezależnie od tego, czy np. certyfikat podpisującego międzyczasie utracił swoją ważność.

Kwalifikowany status usłudze walidacji, podobnie jak pozostałym kwalifikowanym usługom zaufania nadaje organ nadzoru poprzez wpisanie danej usługi do rejestru kwalifikowanych usług zaufania. W Polsce rolę organu nadzoru pełni Ministerstwo Cyfryzacji, które wydaje decyzję o wpisie do rejestru po otrzymaniu dowodów na działanie usługi zgodnie z wymogami prawnymi, organizacyjnymi i technicznym, które określone są w rozporządzeniu eIDAS i wydanych na jego podstawie decyzjach  oraz wskazanych w tych decyzjach normach i standardach. Zgodność działania kwalifikowanego dostawcy usługi  z tymi wymogami musi być potwierdzana okresowo przez niezależną jednostkę audytorską. A usługodawca musi być wysoko ubezpieczony na wypadek popełnienia błędu i wyrządzenia tym szkody stronie ufającej. Rejestr polskich kwalifikowanych dostawców usług zaufania, w tym kwalifikowanej usługi walidacji dostępny jest pod adresem: www.nccert.pl

Warto podkreślić, że intencją unijnego prawodawcy wprowadzającego do porządku prawnego kwalifikowane usługi zaufania, w tym kwalifikowaną walidację było po pierwsze, zagwarantowanie bezpieczeństwa elektronicznego obrotu prawnego poprzez obarczenie szczególną odpowiedzialnością (również finansową) dostawców tych usług, aby pozostali uczestnicy tego obrotu korzystając z usług kwalifikowanych mieli pewność poprawności dokonywanych czynności prawnych bez wnikania w zawiłości legislacji i powiązane z nimi złożone zagadnienia techniczne, w szczególności z dziedziny kryptografii. Po drugie, uczynienie elektronicznych instrumentów prawnych uniwersalnymi w skali UE w taki sposób, że kwalifikowany podpis elektroniczny (podobnie jak pieczęć) musi być rozpoznawalny i akceptowany niezależnie od tego z jakiego kraju jest dostawca usług zaufania, przy wykorzystaniu których dany podpis powstał.

Kwalifikowana usługa walidacji daje gwarancję poprawności oceny ważności kwalifikowanych podpisów elektronicznych w obrocie transgranicznym i zapewnia moc dowodową na tę okoliczność w dłuższym okresie czasu.

Należy jednak pamiętać, że o ważności lub nieważności kwalifikowanego podpisu elektronicznego decyduje kilka czynników, w tym użyte środki oraz sposób i moment jego złożenia, a walidacja ma tylko tę ważność sprawdzić i potwierdzić. W praktyce zdarzają się przypadki i sytuacje, gdy usługa walidacji,  nie jest wstanie jednoznacznie stwierdzić ważność lub nieważność kwalifikowanego podpisu. Tak więc raport walidacyjny może zawierać jedną z trzech informacji: podpis kwalifikowany ważny, podpis kwalifikowany nieważny, wynik weryfikacji nieokreślony. O ile dwa pierwsze przypadki nie budzą wątpliwości interpretacyjnych, o tyle status nieokreślony powoduje dużo nieporozumień i wart jest nieco szerszego wyjaśnienia, aby zminimalizować ryzyko złej oceny ważności dokumentu elektronicznego. Zrozumienie przyczyn związanych z problemem jednoznacznej weryfikacji podpisu elektronicznego może pomóc przede wszystkim w wyborze odpowiedniego skonfigurowanego oprogramowania i sposobu składania kwalifikowanego podpisu elektronicznego, aby nie mieć problemów z jego uznaniem przez drugą stronę biorącą udział w danej czynności prawnej, a w dłuższej perspektywie uznaniu ważności podpisów, gdyby doszło już np. do procesu sądowego.

Najwięcej kontrowersji budzą znane z praktyki przypadki uznawania lub nie podpisów bazujących na różnych algorytmach kryptograficznych (w tym „słynne” SHA-1) oraz podpisów weryfikowanych po utracie ważności przez certyfikat, szczególnie w sytuacji, gdy podpis nie był oznaczony kwalifikowanym znacznikiem czasu.

Niekiedy, gdy usługa walidacji nie jest wstanie w sposób automatyczny dokonać jednoznacznej weryfikacji ważności podpisu elektronicznego, usługodawca może w drodze analizy eksperckiej dokonać właściwej oceny i wydać stosowny raport.

O różnych, często bardzo istotnych dla stron danej czynności prawnej, występujących problemach interpretacyjnych w ocenie ważności QES będą traktować kolejne artykuły.

Andrzej Ruciński, Doradca Prezesa, Asseco Data Systems

Zobacz także