Odpowiedź na publikację itBCG o e-fakturach
Komentarz do artykułu "Spór o e-faktury" opublikowanego na stronie firmy itBCG.
Będąc jedną z osób, która zgłosiła przepisy o fakturze elektronicznej do Bubli Prawnych i Przyjaznego Państwa pozwolę sobie skomentować niepodpisany artykuł ze strony firmy itBCG, w którym krytykuje się zasadność tych zgłoszeń. Komentarz ma formę cytatów z oryginalnego artykułu z dołączoną polemiką.
Jako motto pozwolę sobie zacytować tytuł Dyrektywy 2001/115/WE, która wprowadziła faktury elektroniczne do prawa polskiego w postaci rozporządzenia z 2005 roku. Tutył tej dyrektywy to "Dyrektywa Rady 2001/115/WE z dnia 20 grudnia 2001 r. zmieniająca dyrektywę 77/388/EWG w celu uproszczenia, modernizacji i harmonizacji ustanowionych warunków fakturowania w zakresie podatku od wartości dodanej".
Przejdźmy teraz do artykułu itBCG:
Im bliżej szerszego wprowadzenia do użytku podpisu elektronicznego tym więcej informacji i dyskusji na ten temat pojawia się w mediach.
Trudno powiedzieć co autorzy mają na myśli pisząc o zbliżającym się "szerszym wprowadzeniu do użytku podpisu elektronicznego"? Ustawa "szeroko wprowadzająca" podpis do polskiego prawa obowiązuje od sześciu lat (2001), zaś rozporządzenia techniczne od pięciu (2002), podobnie długo działa większość kwalifikowanych centrów certyfikacji.
Jeśli autorzy mieli na myśli brak szerokiego wykorzystania tego podpisu to należy się zastanowić jaki może być powód jego unikania w sytuacji gdy korzystanie z niego jest dobrowolne? Najbardziej logicznym wyjaśnieniem jest niedoskonałość zaoferowanego przedsiębiorcom narzędzia prawnego do ich budowania, która skuktuje niechęcią bądź obawami co do tego narzędzia ze strony producentów oprogramowania F-K, wystawców oraz odbiorców faktur.
Oczywiście zawsze można obwinić o "niestwarzanie powodów" (czytaj: brak przymusu prawnego) do jego stosowania ze strony administracji publicznej. Nasuwa się tylko pytanie z jakiego powodu administracja publiczna powinna zajmować się stwarzaniem popytu na rozwiązania, których nie zaakceptował rynek? Przecież takie działanie jest sprzeczne z ideą przyświecającą Dyrektywie 2001/115/WE - zmuszenie do korzystania ze złego narzędzia nie uprości fakturowania.
Niektórzy tak bardzo nie chcą zmian, że próbują zwrócić się z swoimi prośbami do komisji sejmowych i Ministerstwa Gospodarki.
Z prośbami mającymi na celu nie zahamowanie, tylko wprost przeciwnie, wprowadzenie zmian do obecnej, paraliżującego wykorzystanie podpisu prawa, zwracały się bardzo liczne podmioty i to praktycznie od momentu wprowadzenia w życie ustawy.
Pierwsze sygnały że rząd dostrzega problem pojawiły się w 2005 roku kiedy Ministerstwo Gospodarki opracowało "Założenia do zmian ustawy o podpisie elektronicznym", które zostały pozytycznie przyjęte m.in. przez Polską Izbę Informatyki i Telekomunikacji oraz Polskie Towarzystwo Informatyczne. Zakładały one m.in. dehierarhizację rynku certyfikacji oraz wprowadzenie "zaawansowanego podpisu elektronicznego".
Następny sygnał, pozwalający sądzić że rząd dostrzega problem na tyle że postanowił go raz na zawsze rozwiązać pojawił się w 2006 roku kiedy dyrektor Departamentu Informatyzacji MSWiA, pan Marek Słowikowski, poinformował na posiedzenia zespołu ds. społeczeństwa informacyjnego KWRiST o tym, że nowelizacja ustawy o podpisie elektronicznym wprowadzająca m.in. trzeci rodzaj podpisu ("zaawansowany") ma być gotowa w ciągu miesiąca. Niestety nie ma jej po dziś dzień.
Przeregulowanie rynku faktur elektronicznych nie tylko w Polsce ale i w Europie zostało przecież także wypunktowane w raportach tworzonych na zlecenie Unii Europejskiej.
Nikt w chwili obecnej nie może zaprzeczyć, że posiadanie e-podpisu to jedyny skuteczny sposób do kontroli uwierzytelniania i integralności treści, oraz niezaprzeczalnośći źródła pochodzenia dokumentów i poufnośći przekazywanych danych przy elektronicznym obiegu gospodarczym.
Nikt znający Dyrektywę 1999/93/WE o podpisie elektronicznym nie może zaprzeczyć, że "podpis elektroniczny" wspomniany powyżej w tej dyrektywie jest zdefniowany zupełnie inaczej niż w polskiej ustawie o podpisie elektronicznym. A ściślej, z co najmniej dwóch rozwiązań prawnych "legalnego" podpisu elektronicznego w polskiej ustawie wprowadzono jedno - maksymalnie restrykcyjne, bo wymagające certyfikatu kwalifikowanego oraz tzw. bezpiecznego urządzenia. Definicję tego ostatniego też w polskim prawie nieco zmieniono, włączając w nią nie tylko kartę kryptograficzną ale także zastrzeżone oprogramowanie do składania podpisu.
Autorzy artykułu ze strony itBCG pomijają w tym komentarzu bardzo istotny aspekt bezpieczeństwa jakim jest racjonalna gradacja poziomów bezpieczeństwa. Zastosowany poziom bezpieczeństwa powinien być dostosowany do oczekiwanego ryzyka oraz nie powinien być utrudnieniem w normalnym użytkowaniu chronionego obiektu.
Szczególnie w przypadku faktur elektronicznych te dwa warunki zostały naruszone przez zastosowanie maksymalnego możliwego poziomu bezpieczeństwa, oferowanego przez kwalifikowany podpis elektroniczny przywiązany do osoby fizycznej.
Gdyby chcieć w równie skuteczny sposób zapewniać autentyczność i integralność faktury papierowej to dlaczego nie podpisywać jej notarialnie? Idąc dalej, dlaczego nie jest wymagane notarialne podpisanie np. umowy z operatorem GSM? Przecież bez udziału notariusza można podpisać nawet tak poważną umowę jak umowa sprzedaży samochodu. Umowa notarialna jest wymagana dopiero przy sprzedaży domu. Dla innych zastosowań znamy szereg innych sposobu gradacji poziomu bezpieczeństwa: parafowanie, papier firmowy, pieczątkę, podpisy kilku osób itd.
Jak widać, w nie-elektronicznym obrocie biznesowym umiemy skutecznie posługiwać się gradacją poziomów bezpieczeństwa. Czy w razie braku zainteresowania rynku notarialnym podpisywaniem faktur też powinniśmy postulować zmuszenie do tego przedsiębiorców za pomocą ustawy? Wydaje mi się że nie i podobną logikę należy zastosować do faktury elektronicznej.
Gorąco polecam także zapoznanie się z europejskim raportem o fakturach elektronicznych (EEI 2007).
- Zaloguj się lub zarejestruj by odpowiadać
- Generate PDF file
- Wersja do wydruku
Odpowiedzi
itBCG to firma krzak... ledwo co przędą na tym rynku...
Jest duże prawdopodobieństwo, że do końca roku tak firma zniknie z mapy ;)
To pochodzi z jakichś danych publicznych? To ciekawe czyżby e-faktury się nie sprzedawały? :)
itBCG opublikowała kojeny tekst - "Spór o e-faktury 2". Z wyglądu jest to odpowiedź na wyżej napisany komentarz. No i robi sie ciekawie...
Odpowiadam na głównej stronie, bo wyszło tego za dużo jak na komentarz. Zapraszam do dyskusji pod artykułem bo takie przerzucanie się artykułami jest mało wygodną formą dyskusji.
Witam.
Zawodowo zajmuję się podpisem elektronicznym i w całości zgadzam się z Panem Pawłem. Choć to o czym traktuje powyższy komentarz nie jest niczym nowym (wystarczy poczytać przepisy) to wciąż wiele osób nie rozumiejąc zagadnienia wypowiada się w sposób ogólnikowy siejąc jedynie większy zamęt.
Polskie prawo nie jest doskonałe w zakresie podpisu elektronicznego - dlatego, że jest stosunkowo młode (choć czasem wydaje się, że osoby które piszą te regulacje również nie wiele wiedzą).
Niewygodna prawda:
"Nikt w chwili obecnej nie może zaprzeczyć, że posiadanie e-podpisu to jedyny skuteczny sposób do kontroli uwierzytelniania i integralności treści, oraz niezaprzeczalnośći źródła pochodzenia dokumentów i poufnośći przekazywanych danych przy elektronicznym obiegu gospodarczym."
Po pierwsze autor słów myli kilka kwestii. Po drugie okazuje się jednak, że można zaprzeczyć skuteczności kwalifikowanego podpisu, choć się o tym nie bardzo mówi.
1. Samo posiadanie podpisu nie jest żadnym skutecznym sposobem kontroli...
2. Podpis zwykły (lub komercyjny) służy m.in. do uwierzytelniania i nie można nim podpisywać dokumentów (ustawa o podpisie). Podpis ten nie ma takiej skuteczności prawnej co kwalifikowany (a przynajmniej nie z ramienia prawa, bo można się umówić co do jego ważności)
3. Do niedawna jedno z polskich centrów certyfikacji (lub wciąż tak jest - nie
sprawdzałem) posiadało aplikację do składania podpisu tak sprytnie działającą, że jeśli bym podpisał jakąś umowę certyfikatem kwalifikowanym, następnie ten by wygasł (bo jest wystawiany na 1 lub 2 lata), a następnie chciał zweryfikować podpis pod dokumentem to niestety weryfikacja zakończy się niepowodzeniem. Brak daty złożenia podpisu zapisanej w podpisie. Data pobierana jest z komputera podczas weryfikacji. Wystarczy cofnąć datę w komputerze do ważności podpisu, aby zaczął się weryfikować. Problem w tym, że nie można jednoznacznie stwierdzić kiedy został złożony podpis. I co teraz? Przecież jest to aplikacja o której mowa w ustawie - ta bezpieczna. I co pocznie taka osoba np. przed sądem? Oczywiście można się zgłosić do CA, aby zweryfikowano taki podpis tylko, że oni też tego nie mogą zrobić, bo nie mają do tego żadnych podstaw. W ten sposób kłania się wcześniejszy brak wymogu stosowania formatu podpisu XADES-A (postać archiwalna). Oczywiście ktoś powie, że jest znacznik czasu, ale jest to osobna usługa za którą się dodatkowo płaci (więc płacę za podpis, a potem za podpisywanie jeśli ma to być ważne - taki paradoks). Problem w tym, że mogę złożyć podpis kwalifikowany bez znacznika czasu. Co na to prawo? A no kwalifikowany podpis jest niezaprzeczalny:) Ponoć od niedawna nowa wersja aplikacji wspiera już ten format. Tyle tematem poziomów bezpieczeństwa. Wygórowane wymagania proceduralne sprawiają, że podpis w zasadzie nie istnieje (i po 1 maja będzie tak dalej bo zwykły Kowalski nawet nie wie że podpis istnieje, jak się dowie to stwierdzi, że jest za drogi, a jak już kupi to straci cierpliwość do systemów w których można ich użyć - ale to osobny już temat). Tymczasem z technicznego punktu widzenia taki podpis mógł być bardzo problematyczny w późniejszym dochodzeniu swoich praw.
Media się tematem nie zajmują bo nie ma komu tego słuchać - żaden normalny człowiek nic nie wie o tym. A sianie paniki utrudni wprowadzenia tego narzędzia (tak jak było z kartami płatniczymi czy bankomatowymi bez których żyć teraz nie można). Skoro nie ma popytu na tego typu informacje to nie ma też dziennikarzy którzy by znali temat (w sensie jest to mała garstka ludzi), więc takie buble techniczne nie wychodzą od razu na jaw.
pozdrawiam.