Informacja o składkach drogą elektroniczną - dlaczego kwalifikowany podpis nie jest dobrym pomysłem

2008-10-21 00:00:00 +0100


Uwagi do do projektu "ustawy o zmianie ustawy o systemie ubezpieczeń społecznych" z dnia
26 czerwca 2008 dotyczącego przekazywania informacji o składkach, zgłoszonego przez komisję "Przyjazne Państwo".

Wyrażony w art. 1 ust 2 projektu wymóg opatrywania informacji o składkach kwalifikowanym podpisem elektronicznym nie doprowadzi do postulowanego "usprawnienia działanie jednostek odpowiedzialnych w firmie za przekazywanie stosownych dokumentów ubezpieczonym" oraz "ograniczenia kosztów".

Kwalifikowany podpis elektroniczny (k.p.e.) nie nadaje się do tego celu z następujących powodów:

  1. wymaga specjalizowanego oprogramowania do jego składania posiadajacego deklarację zgodności z ustawą o podpisie elektronicznym; w praktyce eliminuje to z jego użycia wszystkie popularne pakiety biurowe
  2. dostępne na rynku oprogramowanie do k.p.e. generuje pliki w specyficznym formacie, czytelne tylko przy pomocy specjalnej aplikacji; utrudnia to dostęp do tych danych dla osoby, która po prostu chciałaby taki dokument przejrzeć, a nie np. wykorzystywać go w sporze sądowym
  3. korzystanie z k.p.e. wymaga dodatkowego znakowania czasem każdego podpisywaneg dokumentu w celu zachowania jego mocy dowodowej przez okres dłuższy niż okres ważności certyfikatu; generuje to jednostkowy koszt znakowania dla każdego dokumentu - znaczący przy dużych seriach dokumentów
  4. korzystanie z k.p.e. jest stosunkowo trudne i czasochłonne m.in. z powodu konieczności zaakceptowania wymaganych przez ustawę o podpisie informacji i ostrzeżeń wyświetlanych przez aplikację
  5. korzystanie z k.p.e. nie jest możliwe w sposób całkowicie automatyczny z poziomu systemu finansowo-księgowego - k.p.e. jest przywiązany do osoby fizycznej


W praktyce jedyne uzasadnienie dla opatrywania tych dokumentów jakimkolwiek podpisem elektronicznym to zwiększenie jego mocy dowodowej do celu ewentualnych sporów i dochodzenia roszczeń w przyszłości.

Wystarczający poziom bezpieczeństwa w takim zastosowaniu zapewni zwykły, niekwalifikowany podpis elektroniczny składany przy pomocy certyfikatu wystawianego przez polskie lub zagraniczne centra certyfikacji.

Zwykły podpis elektroniczny jest wystawiany w procedurze zbliżonej do tej, według której wystawia się certyfikaty SSL dla sklepów internetowych czy banków i jest powszechnie akceptowany. Ustawa o podpisie elektronicznym nie odmawia takiemu podpisowi ważności.

Równocześnie nie posiada on wyżej wymienionych wad kwalifikowanego podpisu elektronicznego. Zwykły podpis elektroniczny można wystawić na organizację, a nie na osobę fizyczną, można go używać w sposób automatyczny i poza kartą kryptograficzną oraz nie wymaga znakowania czasem.