Odpowiedź na publikację itBCG "Spór o e-faktury 2". Na początek chciałbym podkreślić, że bardzo mnie cieszy że na temat podpisu elektronicznego w Polsce toczy się dyskusja, w której strony prezentują przeciwstawne stanowiska. Dyskusja jest potrzebna. Najgorsze co może nas spotkać to głuche milczenie, które cyklicznie pojawia się od kilku lat np. gdy ktoś obieca nowelizację a potem nic się nie dzieje.
itBCG jako firma wdrażająca swoje rozwiązania związane z podpisem elektronicznym może odbierać wcześniejsze wypowiedzi różnych podmiotów (ISOC, PIIT, PTI, PEMI itd) jako malkontenctwo. Każdy kto wdraża swoje rozwiązanie może tak uważać ale powinien pamiętać, że jego pole widzenia może być ograniczone.
Około roku 2002 kiedy cztery polskie centra decydowały się na wybór formatów podpisu każde z nich miało dobre argumenty za tym swoim formatem, który wybrało.
Ale żadne z nich nie spojrzało na to z punktu widzenia klienta, który od rynku otrzymał ofertę czterech niekompatybilnych formatów i tę ofertę uznał za nieatrakcyjną, pomijając już kwestie wysokich cen i toporności aplikacji. Decyzja potencjalnego odbiorcy była w pełni racjonalna i konsekwentna. Niby w imię czego miałby sobie utrudniać życie skoro nie musi? Gorzej z administracją, która na pewnym etapie musi - stąd panika jaka zapanowała w 2006 roku, kiedy urząd gminy w Pyzówce zastanawiał się czy rzeczywiście musi kupić HSM za kilkadziesiąt tysięcy złotych, albo czy rzeczywiście musi przyjmować dokumenty we wszystkich czterech znanych wówczas formatach.
Mają Państwo pełne prawo uważać obecne regulacje za poprawne, skoro udało wam się wdrożyć fakturę elektroniczną w kilku dużych przedsiębiorstwach. Ale gwarantuję że zmienicie zdanie, gdy z prośbą o złożenie oferty na system zabezpieczania dokumentacji medycznej zwróci się do was szpital, prosząc również o rozstrzygnięcie czy zgodne z rozporządzeniem jest oznakowanie czasem paczki 1500 zdjęć tomograficznych, czy też trzeba znakować każde oddzielnie (absurd ekonomiczny). Albo gdy zaczniecie zastanawiać się po co w rozporządzeniu do ustawy o informatyzacji tworzy się od nowa definicję podpisu elektronicznego, pomimo że właściwie to jest on już zdefiniowany w ustawie o podpisie (ale tak że nie da się go tam wykorzystać).
To nie jest tak, że osoby, które wypowiadają się krytycznie o ustawie siedzą za biurkiem i leniwie przeglądają Dziennik Ustaw szukając do czego by się tu przyczepić bo nie mają nic lepszego do roboty. Wcześniejsze wypowiedzi ISOC, PTI, PIIT czy zwłaszcza PEMI, bo oni mają najwięcej doświadczeń w administracji publicznej, wynikaja właśnie z bezpośredniego kontaktu z tymi problemami i konieczności ich rozwiazywania. A zwłaszcza sytuacji, w których brak jest jednoznacznej odpowiedzi lub jest ona sprzeczna z celami biznesowymi lub zdrowym rozsądkiem.
To są wszystko bardzo konkretne problemy, z którymi spotykamy się w sytuacjach gdy na przykład urząd musi za dwa miesiące spełnić wymagania ustawowe i nie wie jak. Oczywiście, może zamówić byle jaki system, którego nikt nie będzie używał i zapłacić za to grube pieniądze, kupując sobie w ten sposób produkt pod tytułem "zgodność z wymaganiami ustawowymi". Chwała tym urzędom, które starają się by przy okazji jeszcze dla kogoś było to realnie przydatne.
Zamiast więc zarzucać innym lobbying i lans, warto zastanowić się czy przypadkiem nie jest to głos ludzi, którzy chcieliby z podpisu korzystać ale nie mogą tego zrobić z bardzo konkretych powodów.
A teraz konkrety z odniesieniem do artykułu itBCG:
"Wdrożyliśmy e-fakturę w Telekomunikacji Polskiej (chcielibyśmy tu otwarcie prosić autora serwisu ipsec.pl o sprostowanie nieprawdziwej lub niesprawdzonej informacji"
Nie bardzo rozumiem o jaką nieprawdziwą informację chodzi. Jeśli o to że jest ona oparta o rozwiązanie Sigillum to trudno tego nie zauważyć, skoro linki na stronie TP prowadzą do aplikacji na stronie Sigillum (link do "aplikacji weryfikującej" nad rysunkiem). Oczywiście niezależnie od tego do wiadomośc na ipsec.pl dodałem informację o tym że we wdrożeniu brało udział itBCG bo nie widzę powodu by to ukrywać.
My mieliśmy na myśli to, że w 2008 roku podpis elektroniczny zyska większą popularność.
To jest niestety życzenie, a nie stwierdzenie faktu.
Wykorzystanie podpisu, które zostaje niejako „narzucone z góry”, zyska szereg nowych zastosowań w przeróżnych dziedzinach życia społecznego.
Poprawnie należałoby napisać: "i - jak mamy nadzieję - zyska szereg nowych zastosowań..." . Ta nadzieja jest jednak płonna.
Zapewne wydaje się Państwu, że po lipcu 200 tys. polskich firm będzie miało certyfikaty kwalifikowane, zostanie przekroczona pewna "masa krytyczna" i podpis elektroniczny ruszy z kopyta?
Otóż tak nie będzie. Z informacji od znajomego pracownika centrum certyfikacji wynika że 70% certyfikatów kupują obecnie biura rachunkowe. Robią to po to by składać deklaracje za swoich klientów, co jest racjonalne i zgodne z prawem.
Większość ze wspomnianych 200 tys. stanowia małe i średnie firmy, które rozliczają się właśnie przez biura rachunkowe. Resztę będą stanowić oczywiście duże firmy, które mają swoje działy księgowości. Dla nich będzie to kolejna drobna fanaberia ustawodawcy, którą trzeba spełnić. Pozostałe 30% klientów centrów to obecnie administracja publiczna (20%) i firmy (10%).
Jak widać kwalifikowany podpis elektroniczny nadal pozostanie drogim gadżetem, zarezerwowanym dla dużych firm. A małe firmy będą sobie nadal wysyłać faktury mailem bez żadnego podpisu, tak jak to robią dzisiaj.
W największym kłopocie będą tradycyjnie średnie firmy, które chciałyby ale nijak im nie chce wyjść że to się opłaca, a z kolei wysyłać tak jak małe to dla nich ryzyko.
Wachlarz, jeżeli się zastanowimy, jest przeogromny: poczynając od składania zeznań podatkowych
Pani w moim urzędzie skarbowym - gdy składałem ZAW-E1 - udzieliła mi nieoficjalnej informacji że poza mną podobne wnioski złożyły 3 (trzy) osoby. Trzy osoby na pół Krakowa uznały z jakiegoś powodu, że racjonalne jest wydanie 300 zł na certyfikat kwalifikowany tylko po to by składać deklaracje przez Internet. Albo miały go już wcześniej, tak jak ja.
Możemy oczywiście uznać, że wszyscy pozostali są nieoduczeni lub paranoicznie boją się nowych technologii. Jest to jednak podejście pełne pychy. Ja z pokorą zakładam, że widocznie większość ludzi racjonalnie uznała że taka oferta nie jest dla nich atrakcyjna.
Ktoś w komentarzu na Bublach Prawnych napisał jak to wygląda w Hiszpanii - certyfikat kwalifikowany jest darmowy i wydawany przez urząd. No więc w takiej sytuacji składanie deklaracji podatkowych przez Internet rzeczywiście jest racjonalne.
Kiedyś pan Kuba Tatarkiewicz napisał mi jak to wygląda w USA - deklaracje do IRS (urząd skarbowy) składa się bez żadnego podpisu elektronicznego. Uwierzytelnienie jest takie, jak u nas do banków (hasło, login, SMS). Czy są jakieś oszustwa? Widocznie nie na tyle dużo by IRS się tym przejmowała, zresztą trudno sobie wyobrazić jaki tu można robić lewy biznes.
USA to w ogóle ciekawy przypadek - tam cała potężna gospodarka funkcjonuje bez podpisu kwalifikowanego (u nas zresztą też). Pojęcie "podpisu kwalifikowanego" jest jednoznacznie kojarzone z Europą i mało przemyślanymi eksperymentami biurokratycznymi.
A my się zastanawiamy jak ustawowo "promować" podpis kwalifikowany - gdy o tym mówiłem w kuluarach na konferencji CA 2007 w Vegas to ludzie tylko kiwali głowami, zastanawiając się zapewne nad dekadencją Starego Kontynentu, który znajduje perwersyjną przyjemność w utrudnianiu sobie życia zamiast ułatwiania.
do, na przykład, potwierdzania zakupów na aukcjach internetowych, kupowania nieruchomości na odległość, jak również zawarcia umów.
Nasuwa się pytanie: ale po co?
Firmy od dawna wysyłają zamówienia warte tysiące złotych faksem i niepodpisanym emailem. Osoby prywatne i firmy zlecają przelewy warte tysiące złotych potwierdzając je SMSem lub z kartki haseł jednorazowych.
I tak dalej - rynek o którym Państwo piszą wcale nie czeka na podpis elektroniczny, co można wywnioskować z tej wypowiedzi. Ten rynek od dawna istnieje i dynamicznie się rozwija, niezależnie od podpisu elektronicznego.
Ja też jestem pasjonatem IT i lubię gadżety. Dlatego od dawna mam certyfikat kwalifikowany i używam go głównie do demonstracji na szkoleniach.
Wygląda to mniej więcej tak (tylko moje wypowiedzi):
- A to, proszę państwa, jest karta z certyfikatem kwalifikowanym.
- Do czego go używam? No więc właściwie do niczego. Ale moglibyśmy podpisać umowę na odległość!
- Ile kosztuje taki certyfikat? Te 300 zł to wcale nie jest dużo.
- Hmm, istotnie ma Pan rację że list polecony kosztuje 4,80. No wiec mógłbym Panu jeszcze wystawić fakturę.
- No nie, niestety nie może jej Pan potem wydrukować. Musi ją Pan potem przechowywać przez 5 lat na nośniku, który przez ten czas się nie popsuje.
- Ja wiem że w Wielkiej Brytanii czy Danii można, ale my jesteśmy w Polsce.
Napiszę to po raz kolejny: upowszechnienie podpisu elektronicznego nie jest celem samym w sobie. Podpis elektroniczny ma pomagać, przyspieszać, ułatwiać i obniżać koszty. Rozwiązania elektroniczne, które te warunki w swojej klasie spełniły - np. email - są w powszechnym użyciu od dawna, bez żadnych regulacji prawnych. Proszę porównać jaka jest popularność poczty X.400, która przecież jest od emaila o wiele "lepsza".
Niestety ustawodawca ma czasami sklonność do tworzenia rozwiazań "dla mas", których intencje są szczytne natomiast finalny efekt jest wprost przeciwny. Wtedy ludzie z nich po prostu nie korzystają, bo nie widzą by ono w jakikolwiek sposób pomagało. Dopóki ich się nie zmusi.
Proszę sobie przypomnieć słynną ustawę z 2006 roku o dofinansowaniu kredytów na zakup nieruchomości - miało być super, a wyszła klapa. Dlaczego? Może ludzie nie chcieli taniej kupować mieszkań? Oczywiście że nie - po prostu faktyczne regulacje zawarte w tej ustawie powodowały, że na żadne dopłaty nie mogli liczyć w normalnych warunkach.
Swoją drogą, jeżeli można podpis można stosować w AIG, to bardzo możliwe, że wkrótce można też będzie u operatora GSM.
To że można nie oznacza jeszcze sukcesu podpisu kwalifikowanego. Podpis elektroniczny oferuje od dawna Nordea i chyba BPH. Jaka jest skala wykorzystania tych produktów? Zapewne niewielka, skoro inne banki nie zdecydowały się na jej wdrożenie. Gdyby podpis elektroniczny miał jakikolwiek wpływ na ich konkurencyjność to dawno by to zrobiły.
Tutaj też mamy do czynienia z gradacją. W krajach anglosaskich od zawsze preferowano e-banking bez "two-factor authentication" czyli tylko za loginem i hasłem. To jest oczywiście podatne na phishing ale przez długie lata bankom bardziej opłacało się pokrywać straty z ubezpieczeń niż wdrażać całościowo bardzo drogie silne uwierzytelnienie. Zrobiono to dopiero rok temu, pod wpływem ogromnego wzrostu ilości tego typu ataków.
W Polsce "od zawsze" mieliśmy karty haseł jednorazowych w bankach. Część banków eksperymentowała z tokenami, ale w końcu większość się z nich wycofała bo były za drogie - nie tylko w zakupie, ale w zarządzaniu. Obecnie rozsądny kompromis między bezpieczeństwem i używalnością stanowią hasła jednorazowe i SMSy. Te ostatnie wprowadziły niemal wszystkie banki, bo jest to element konkurencyjności.
Przecież od strony technicznej można zastosować do uwierzytelnienia klienta aukcji czy banku certyfikat X.509, SSL na to pozwala. Ale się tego nie robi, bo jest to niepraktyczne. A ta niepraktyczność nie jest uzasadniona poziomem ryzyka. Kupiłem kiedyś abonament w jednym z serwisów sprzedających Polskie Normy w wersji elektronicznej. Dostęp był chroniony certyfikatem klienckim, generowanym przez sklep w przeglądarce, bez możliwości eksportu. Nie korzystam już z usług tej firmy, bo było to zwyczajnie uciążliwe - musiałem korzystać z niej tylko z konkretnego komputera na konkretnym koncie i tylko pod MSIE. Mogłem to robić, ale mi się nie chciało i normy kupuję teraz w innej firmie.
Jak widać to że coś można nie zawsze oznacza że ma to sens.
Co do podpisu kwalifikowanego w telefonii GSM to nad takim rozwiązaniem pracuje Mobitrust i jest to rozwiązanie daleko bardziej używalne niż obecne, ale nadal nie rozwiązujące wielu problemów.
Powodów wprowadzenia maksymalnie restrykcyjnego rozwiązania prawnego może być wiele.
Na przykład?
Być może autor ipsec.pl ma rację, ale co można powiedzieć o takich przypadkach, jak fantazyjne dokumenty czy podrobione faktury?
Dlatego nie neguję potrzeby zapewnienia jakiejś ochrony autentyczności i integralności faktury elektronicznej, podobnie jak nie neguje jej Dyrektywa.
Ale jest ogromna różnica pomiędzy jakąś, racjonalną i dostosowaną do ryzyka, ochroną autentyczności, a skrajnie rygorystycznym mechanizmem podpisu przy użyciu certyfikatu kwalifikowanego osoby fizycznej i to jeszcze na tzw. "bezpiecznym urządzeniu".
Dzięki tej regulacji - jak się domyślam - te sześć osób w TPSA musi zajmować się dodatkowo (lub wyłącznie) podpisywaniem faktur za pomocą swoich certyfikatów osobowych. Ale po co tak naprawdę to robią? Tylko i wyłącznie dla zachowania formalnej zgodności z rozporządzeniem.
Czy ochrona autentyczności byłaby mniejsza gdyby ta e-faktura była jednym plikiem PDF z natywnym podpisem (RFC 3778) przy użyciu niekwalifikowanego certyfikatu Thawte czy Verisign wystawionego na firmę "Telekomunikacja Polska S.A."?
Czy byłaby mniejsza gdyby faktura była dostępna do wydrukowania ze strony TPSA po SSL i zabezpieczonej takim certyfikatem?
Otóż w obu przypadkach jej autentyczność byłaby dokładnie taka sama.
Jeśli porównamy to do obecnego rozwiązania to byłaby wręcz większa. Podpis natywny w PDFie jest weryfikowany automatycznie przez dowolną przeglądarkę PDF przy otwarciu pliku. Jeden plik, jedna przeglądarka, jeden podpis.
Podpis w obecnej postaci czyli jako oddzielny plik weryfikowany oddzielną aplikacją Sigillum nie będzie w praktyce sprawdzany przez nikogo.
Jest to konieczne wyłącznie dla ochrony prawnej wystawcy, by stwierdzić że formalnie wystawia e-faktury zgodnie z prawem. Dla odbiorcy jest to tylko udziwnienie.
Ale oczywiście nie mogliście tego zrobić w ten sposób bo podpis kwalifikowany wymaga "bezpiecznego urządzenia" a seryjny Reader bez wtyczki nie jest "bezpiecznym urządzeniem".
Tak, "bezpieczne urządzenie" chroni np. przed podpisem złożonym przy pomocy nieważnego certyfikatu przed wydaniem listy CRL. Ale proszę się uczciwie zastanowić na ile ten konkretny atak jest realny w przypadku wystawiania faktury w dużej firmie? Otóż jest całkowicie nierealny i dlatego Dyrektywa mówi o ochronie "autentyczności i integralności", a nie np. "niezaprzeczalności autorstwa".
Dlatego gradacja na początkowym etapie elektronizacji obiegu dokumentów może być niepotrzebna.
Ale to właśnie brak gradacji jest powodem dla którego ten tak zwany "początkowy etap" trwa już pięć lat i nic nie wskazuje na to, że niedługo się skończy.
Dokładnie tę samą drogę przechodziła przed nami np. Dania i "początkowy etap" skończył się u nich dopiero w 2005 roku po reformie rozwiązań prawnych dotyczących podpisu i e-faktury. Zamiast zmuszać firmy do korzystania z nieracjonalnego e-podpisu spowodowano że stał się on racjonalny.
Rezultat na dzień dzisiejszy jest taki że 70% wszystkich faktur w Danii jest wystawiane elektronicznie, zaś administracja przyjmuje tylko e-faktury i nikt tego nie traktuje jako utrudnienia. Czy dostrzegają Państwo różnicę?
Pomijamy. Poważnie. Ponieważ uważamy, że jeżeli Polska ma się zmienić, zinformatyzować, unowocześnić, to należy dostarczać więcej możliwości użycia bezpiecznego podpisu elektronicznego, a wtedy gradacja z pewnością będzie wykorzystywana.
A skąd ta gradacja ma się wziąć, skoro w obecnym prawie jej nie ma?
Komisja przedstawi, nie później niż do dnia 31 grudnia 2008 r., sprawozdanie oraz, w razie potrzeby, propozycję zmiany warunków elektronicznego fakturowania, w celu uwzględnienia ewentualnych nowych osiągnięć technicznych w tej dziedzinie.
No właśnie. Proszę zapoznać się z raportami zleconymi przez Komisję, o których pisałem w tym serwisie wcześniej. Moje wnioski są oparte w dużej części o wyniki tych raportów.
Dużo prościej napisać tak, jak to jest w komentarzach na ipsec.pl i tak jak z pewnością będzie po myśli niektórych dostawców i ekspertów, czyli zaproponować ograniczenie formatów podpisu tylko do formatu XAdES.
Proszę zajrzeć do rozporządzenia o minimalnych wymaganiach wobec systemów teleinformatycznych delegowanego przez ustawę o informatyzacji i sprawdzić jaki format podpisu elektronicznego jest tam delegowany jako "minimalne wymaganie" wobec systemów stosowanych w administracji publicznej.
Czy też cały czas wypominać ustawie dopuszczenie kilku formatów podpisu, a przecież to dobrze, jeżeli mamy możliwość zastosowania i XAdES i PKCS#7.
Ja osobiście wypominałem to nie ustawie, tylko centrom certyfikacji. Ustawa w tym względzie jest w porządku, całkowicie nietrafione były decyzje centrów certyfikacji będących równocześnie producentami oprogramowania około 2002 roku - a konkretnie to, że próbowali konkurować formatami a nie usługami.
Naszym zdaniem największym mankamentem dotyczącym podpisu w Polsce jest brak informacji ze strony Państwa, oraz brak odpowiedniej informacji ze strony biznesu.
Od pięciu lat czasopisma prawnicze, biznesowe i informatyczne zadrukowują tysiące stron artykułami opisujacymi prawne i techniczne możliwości korzystania z podpisu elektronicznego w Polsce. Tysiące takich artykułów publikują setki stron i portali, swoje rozwiązania od lat promują zarówno centra certyfikacji jak i firmy zewnętrzne - np. ebStream czy Comarch.
Od pięciu lat dyrektorzy firm wysyłają do dostawców rozwiązań zapytania o możliwość korzystania z podpisu elektronicznego i od pięciu lat większość z nich niezmiennie podejmuje decyzję że jednak w to nie wchodzą.
Państwo w tej masie informacji dostrzegacie tylko tych, którzy mówią że skoro pomimo tak szerokiej oferty nikt z niej nie korzysta to znaczy że coś jest z nią nie w porządku.
1. Podpis elektroniczny (jak kwalifikowany, tak i zwykły, na przykład z własnego CA) jest użyteczny i jego wykorzystanie opłaca się każdej firmie.
To jest myślenie życzeniowe a nie konstatacja faktu.
Równie dobrze można napisać, że "ustawa o dopłatach do mieszkań jest użyteczna i jej wykorzystanie opłaca się każdemu". Ale to nie zmieni faktu obserwowalnego jakim jest to, że nikt nie chce z niej korzystać.
Faktyczną użyteczność danego rozwiązania prawnego można oceniać wyłącznie po tym, jak ono zostało rzeczywiście wykorzystane. Nie można obrażać się na rzeczywistość.
Ustawa o dopłatach do mieszkań jest bublem prawnym i jest bezużyteczna, bo mało kto na niej skorzystał. Skala wykorzystania np. becikowego czy ulgi na dzieci pozwala sądzić, że są one dla odmiany użyteczne.
Dlatego według kryteriów czysto empirycznych po pięciu latach obowiązywania ustawy o podpisie elektronicznym można powiedzieć, że jej użyteczność jest bliska zeru.
Ja rozszerzyłbym to o twierdzenie, że jest ona szkodliwa bo wyłącznie dla zapewnienia zgodności z ustawą administracja publiczna zmarnowała miliony złotych na chaotyczne, redundantne i niejednokrotnie później zarzucane projekty związane z elektroniczną wymianą dokumentów.
Dalsze miliony złotych zostały zmarnowane na nieskoordynowane i redundantne opisywanie wciąż tych samych procesów czy interpretacje prawne wciąż tych samych przepisów, zlecane równolegle i niezależnie od siebie przez tysiące jednostek administracji publicznej w całym kraju.
Wczoraj w jakimś SIWZ po raz setny przeczytałem że przedmiotem zamówienia jest "opracowanie koncepcji formularza elektronicznego opartego o XML" a następnie zaimplementowanie go dla jakiegoś urzędu.
W tym kontekście można powiedzieć, że Polska jest jednym z najbardziej innowacyjnych krajów świata - wciąż wynajduje się u nas rozwiązania dawno rozwiązanych problemów, opracowuje od zera dawno opracowane koncepcje i implementuje od zera dawno zaimplementowane mechanizmy.
2. Koszt zestawu do składania podpisu kwalifikowanego wraz z certyfikatem powinien być mniejszy niż 200 zł.
Co to znaczy "powinien"? Że należy ustawowo określić górny pułap tej ceny i zmusić centra do jego przestrzegania?
3. Informacja o możliwości oddzielnego nabycia czytnika, karty i certyfikatu musi być obecna w centrach certyfikacji, prasie, portalach tematycznych.
Jedyne rozwiązanie to zmuszenie do tego centrów certyfikacji ustawowo, bo w ich dobrze pojętym interesie ekonomicznym leży promowanie sprzedaży całych zestawów. Co ze swobodą działalności gospodarczej?
Natomiast w punktach 4, 5 i 6 w pełni się zgadzam.