Realne koszty podpisu kwalifikowanego

W artykułach o podpisie elektronicznym powszechnie obowiązujący szacunek kosztu certyfikatu kwalifikowanego to około 300-400 zł. W rzeczywistości koszt podpisu elektronicznego jest nieco wyższy i posiada szereg dodatkowych kosztów pośrednich.

Oferta centrów certyfikacji zaczyna się od 229 i kończy na 328 zł w przypadku certyfikatu kupionego na rok. Ceny - żeby wyglądały na niższe - podawane są netto, więc w praktyce musimy mówić o przedziale 279 do 400 zł za zestaw do podpisu kwalifikowanego z certyfikatem ważnym rok. Dla certyfikatu dwuletniego mamy przedział od 352 do 474 zł brutto (ceny certyfikatów za zestawieniem z lutego).

W przypadku typowej firmy zainteresowanej podpisem kwalifikowanym głównie ze względu na ZUS kalkulacja musi uwzględniać jednak nie jeden, a co najmniej dwa certyfikaty - zwykle dla prezesa i księgowej, lub więcej - odpowiednio do liczby księgowych.

Jest to uzasadnione nieprzerwanym dostępem do wysyłki dokumentów na wypadek choroby jednego pracownika. Zgodnie z prawem nawet w takim przypadku inna osoba nie może użyć cudzego certyfikatu kwalifikowanego. Dla firm jest to istotna odmiana w stosunku do obecnej polityki ZUS, który wystawiał certyfikat na firmę, a nie na osobę fizyczną.

Bardzo trudno jest taką zmianę jakościową racjonalnie wytłumaczyć bo skoro takie są konsekwencje zastosowania podpisu kwalifikowanego to nasuwa się pytanie - to pocoście go wprowadzali?

To jednak nie koniec konsekwencji korzystania z certyfikatu kwalifikowanego. W przypadku gdy pracownik odchodzi z firmy to zabiera ze sobą certyfikat. Firma, jako sponsor certyfikatu, może taki certyfikat unieważnić - ale tak czy inaczej musi kupić zupełnie nowy certyfikat osobie, która przejmie obowiązki zmieniającej pracę.

Co dalej? Certyfikaty co roku - lub co dwa lata - trzeba odnawiać. Koszt odnowienia certyfikatu to od 115 brutto za rok (159 zł za dwa lata). Niestety, kto odnawiał certyfikat ten wie że procedura ta nie ogranicza się to do zrobienia przelewu.

Odnowienie certyfikatu wiąże się bowiem z osobistą wizytą w centrum jego właściciela, co oznacza konieczność corocznych pielgrzymek wszystkich posiadaczy certyfikatów. Tymczasem dostęp do punktów rejestracji polskich centrów to nadal głównie największe miasta - dla firm z mniejszych miejscowości oznacza to wizyty w miastach wojewódzkich. Lub u notariusza, co też kosztuje.

To niestety nie wszystko - zarówno dla uzyskania jak i odnowienia certyfikatu konieczne jest posiadanie kompletu dokumentów firmy, czyli wypisu z KRS lub z ewidencji działalności gospodarczej.

Oba dokumenty mają ograniczony czas ważności i w praktyce każde odnowienie certyfikatu oznacza konieczność pielgrzymki po urzędach w celu aktualizacji dokumentów, tylko po to by można było wydać kolejne kilkaset złotych na nowy certyfikat...

Comments

Comment viewing options

CAPTCHA
This question is for testing whether you are a human visitor and to prevent automated spam submissions.
Select your preferred way to display the comments and click "Save settings" to activate your changes.

Czegoś nie rozumiem - w Anglii sprawę w HMRC (urząd skarbowy) można załatwić szybko i prosto on-line bez jakichkolwiek certyfikatów, podpisów i innych dupereli (wchodzi w to wypełnianie dokumentów i składanie deklaracji). A to kraj znacznie bogatszy niż nasz i bardziej rozwinięty.

A gdyby wprowadzono prawne uznanie certyfikatów niekwalifikowanych (przynajmniej do "tanich" celów) rozwiązałoby to problem monopolu i dyktowania cen.

W praktyce bardzo pomogłoby dopuszczenie do użytku w e-administracji podpisu składanego z pomocą certyfikatu kwalifikowanego - jak dotychczas - ale bez wymogu stosowania aplikacji z deklaracją zgodności.
W certyfikacie kwalifikowanym kluczowa jest silna weryfikacja tożsamości. z punktu widzenia bezpieczeństwa i niezaprzeczalności istotne jest także przechowywanie klucza na karcie. Stosowanie aplikacji z deklaracją zgodności to zabezpieczenie chroniące przed mało prawdopodobnymi atakami, realnymi przy składaniu podpisu pod jakimiś niezwykle kosztownymi umowami, ale w 90% zastosowań zwyczajnie utrudniające życie.

Szukam i szukam - czym się różni w praktyce certyfikat dla osoby fizycznej od certyfikatu dla osoby fizycznej z wpisanymi w drzewo certyfikatu informacjami o firmie? Jaką to ma różnicę praktyczną? Procedura dla osoby fizycznej jest prostsza a akurat ZUS'owi obojętne kto podpisze wysyłkę.

Niczym się nie różni poza informacją w nim zawartą. Pytanie kiedy ona ma znaczenie? Jak widać, nie ma znaczenia ani dla ZUS ani MinFin, bo tam i tak ta informacja nie jest wykorzystywana. Informacja zawarta w certyfikacie miałaby znacznie głównie wtedy, gdyby był on wykorzystywany do poświadczenia <b>autentyczności pochodzenia</b> dokumentu. Czyli np. publikacji decyzji, aktów prawnych czy faktur elektronicznych. Nawet w przypadku umów nie ma to większego znaczenia, bo i tak na początku znajduje się sformułowanie "umowa zawarta pomiędzy spółką X reprezentowaną przez Jana Kowalskiego".

Ma znaczenie dla firm wystawiających certyfikaty kwalifikowane, bo wystawią ich więcej. Czy to aż tak trudno zauważyć? Przecież cała ta ustawa wygląda jak skonstruowana pod wybrane podmioty, więc to chyba normalne, że zawarte są w niej przepisy napędzające im koniunkturę.

Taaak, to ból głowy, ale nawet nie przypuszczam że tak będzie zawsze, z pewnością widzę kilka rozwiązań rynkowych, np. sprzedaż wiązana lub partnerstwo z innymi sieciami, np. poczta, tp, hypermarkety, MacDonalds :)) lub korzystanie z biur księgowych, lub jakichś form usługowych które na pewno pojawią się na rynku(ani ZUS ani e-faktura nie wymagają oświadczenia woli więc można sobie upoważnić do podpisywania osobę z innej firmy), tym bardziej słyszałem że itbcg już świadczy takie usługi.
Ceny certyfikatów też pójdą w dół, bo jeżeli nie to pojawią się nowe centra certyfikacji które rozbiją obecny oligopol który sobie próbuje "odbić" kase za kilka lat bezczynności. Przecież nie jest problemem 5 mln zł (myślę że za tyle można zrobić kwalifikowane CA wliczając koszt HSM, audytów, zaświadczeń, soft, sprzedawców itd.) licząc na 100 000 klientów płacących co roku (uśredniono) 150zł z których 100zł(100*100 000 = 10 mln) jest za to że raz na rok sprawdza się dokumenty(1h pracy za 20zł/h) i utrzymuje się certyfikat na jakimś urządzeniu HSM w infrastrukturze, a do tego dochodzi źródło znaczników czasu, inne usługi odpłatne OCSP, DVCS, ESP inne wdrożenia, obsługa większych lub mniejszych projektów w administracji. Złoty interes, więc tak czy inaczej ceny pójdą w dół albo teraz albo za pól roku-rok.

Uruchomienie Signetu to było jakieś 12 mln zł, roczne utrzymanie Centrastu kosztowało bodaj 7-8 mln rocznie. Na spotkaniu w Klubie Informatyka (relacja u Vagli) Robert Podpłoński (kiedyś Centrast, obecnie KIR) wspominał o kwocie 2 mln zł jako realnym koszcie uruchomienia kwalifikowanego centrum certyfikacji w wersji minimum (albo rocznego utrzymania, nie pamiętam). Tak więc licząc od 2002 roku polskie centra wpakowały w ten interes po jakieś 30-50 mln zł każde.
Licząc wg stanu na marzec 22 tys. sprzedanych certyfikatów i cenę jednostkową 200 zł dostajemy sumę 4,5 mln zł na trzy centra, co podzielone na trzy pokazuje jednoznacznie że każde z nich nie otrzymało nawet zwrotu z inwestycji początkowej, a żeby interes się opłacał każde z nich musiałoby albo sprzedawać 10 tys. certyfikatów rocznie, albo odnawiać 20 tys. W przypadku wpuszczenia na rynek 200-400 tys. certyfikatów przez przymus administracyjny związany z ZUS istotnie wszystkie trzy centra mogłyby zacząć odrabiać straty.
W tej sytuacji fakt, że -  biorąc pod uwagę wszystkie detale - trudno znaleźć bardziej idiotyczne zastosowanie podpisu kwalifikowanego niż Płatnik staje się mniej istotny.