Urzędowe poświadczenie odbioru w formacie PDF

2008-03-14 00:00:00 +0000


W chwili obecnej Urzędowe poświadczenie odbioru (UPO) jest generowane przez skrzynki podawcze (ESP) różnych dostawców z tym samym zamiłowaniem do chaosu, jakie cechuje formaty podpisu elektronicznego od początków polskiej informatyzacji. W jaki sposób można to uporządkować pozostając w ramach obowiązującego prawa?

Otóż proszę pamiętać, że rozporządzenie które wprowadziło pojęcie ESP i UPO (Dz. U.05.200.1651) nie korzysta z bezpiecznego podpisu elektronicznego, tylko stosuje własną, niejako - jak to określił na niedawnym spotkaniu PTI prezes Paluszyński - wprowadzając tylnymi drzwiami zaawansowany podpis elektroniczny do polskiego prawa.

Co to znaczy w praktyce? Przede wszystkim to, że certyfikat użyty do złożenia podpisu pod UPO nie musi być kwalifikowany i że podpis ten można składać oraz weryfikować praktycznie w dowolnym oprogramowaniu.

Autorzy znanych mi skrzynek podawczych poszli w kierunku tradycyjnie źle pojętej innowacyjności - każdy wymyślił to po swojemu. I tak, skrzynka podawcza Zeto Białystok zwraca UPO jako wymyślony przez siebie XML z podpisem w formacie XML-DSig i rozszerzeniem ZSI.

Skrzynka podawcza Certum zwraca z kolei plik w formacie S/MIME z podpisem PKCS#7 i rozszerzeniem EML. To ostatnie można uznać za rozwiązanie przenośne, bo plik taki weryfikuje bez problemu Outlook lub Thunderbird.

Ale inne rozwiązanie jest stosowane... przez banki - mBank i MultiBank od dawna wysyłają klientom mailem salda rachunków w postaci dokumentu PDF podpisanego certyfikatem VeriSign. Taki plik otwiera się bez problemu w Acrobacie i - co najważniejsze - automatycznie weryfikuje się bo certyfikat jest zaufany z punktu widzenia Windows.

W kontekście e-faktury dla zwolenników "bezpiecznego podpisu"...

Przechodząc od UPO do e-faktur, proszę się zastanowić, które z poniższych zapewni odbiorcy końcowemu wyższy poziom bezpieczeństwa faktycznego:

Pytam, bo wczoraj na konferencji e-Dokument przedstawiciel PWPW/Sigillum bez żadnego skrępowania mówił, że "oczywiście mało kto taki podpis faktycznie weryfikuje, co najwyżej za pierwszym razem".

Na moje pytanie czy biorą pod uwagę możliwość masowej wysyłki fałszywych faktur z podmienionym numerem konta np. gdy taki system stanie się masowy (wdraża go TPSA, Tele2) odpowiedziano że "to wina użytkownika, że nie korzysta z dostarczonego zabezpieczenia" (wszystkie cytaty z pamięci).

Moje kolejne pytanie o sensowność zabezpieczenia, które wprost zniechęca do korzystania z niego pozostało bez odpowiedzi...