Nowa wersja Programu Płatnika 7.02.001 dopuszcza możliwość korzystania z certyfikatów kwalifikowanych, ale - w odróżnieniu od wcześniej implementowanych systemów - nie stosuje żadnej formy autoryzacji certyfikatu do danego płatnika. W praktyce oznacza to tyle, że w teorii każdy posiadacz certyfikatu kwalifikowanego może złożyć dokumenty w imieniu dowolnego płatnika składek, czyli dowolnej firmy. Tak przynajmniej wynika z obserwacji działania obecnej wersji Płatnika oraz relacji kilku osób, które rozpoczęły eksperymenty przygotowując się na lipiec 2008.
Do tej pory dane uwierzytelniające płatnika stanowił certyfikat niekwalifikowany wydawany zgodnie z procedurą opisaną na stronie Unizeto. Polega ona na wygenerowaniu wniosku z poziomu Programu Płatnika i złożeniu go w centrum rejestracji wraz z dokumentami “potwierdzającymi tożsamość firmy i osoby”.
W chwili obecnej - jeśli dobrze rozumiem to co widzę w Programie Płatnika - dane firmy to jedno, a certyfikat używany do ich wysyłania to drugie i są to rzeczy od siebie niezależne. Oczywiście, dane w certyfikacie kwalifikowanym są zweryfikowane równie dobrze, jeśli nie lepiej - ale brak jest procedury autoryzacji certyfikatu kwalifikowanego w stosunku do danego płatnika. Użycie certyfikatu kwalifikowanego oznacza więc tylko tyle, że bardzo dobrze zweryfikowanym certyfikatem osoby X możemy wysłać do ZUS dane firmy X, ale także firm Y i Z. I silna weryfikacja certyfikatu X w niczym nam tutaj nie przeszkodzi.
Problem jest wbrew pozorom nietrywialny, zarówno z technicznego jak i prawnego punktu widzenia. O ile bowiem funkcja uwierzytelnienia - czyli potwierdzenia tożsamości - jest w certyfikacie kwalifikowanym zapewniona w sposób silny i jednoznaczny (bo do tego służy), o tyle funkcja autoryzacji - czyli odpowiedzi na pytanie “co mi wolno” - w samym X.509 jest osadzona w sposób fragmentaryczny.
W X.509 mamy pola keyUsage, basicConstraints czy qcStatement, które w jakimś stopniu mówią co wolno danym certyfikatem robić, ale są to raczej kwestie techniczne, związane z obsługą samego PKI (poza qcStatement). W niektórych formatach podpisu (CMS, XAdES) mamy te funkcje nieco bardziej rozbudowane w postaci CommitmentTypeIndication i SignaturePolicyIdentifier, ale nie spotkałem się z ich wykorzystaniem w praktyce.
Tak więc autoryzację danego certyfikatu musi zapewnić sama usługa - i zwykle zapewnia. W przypadku usługi e-Deklaracje proces autoryzacji i rejestracji certyfikatu zapewnia wysłanie papierowego i podpisanego formularza ZAW-E1, a następnie elektronicznego ZAW-E2. Para tych dokumentów stanowi deklarację podatnika, że certyfikat osoby X jest uprawniony do składania deklaracji w imieniu osoby Y (przy czym czasem X=Y). Podobny proces obowiązuje przy rejestracji do systemu PFRON i pewnie paru innych.
Dlaczego zatem ZUS zrezygnował z takiego procesu uprawnienia certyfikatu kwalifikowanego do konkretnego podmiotu? Nie przypuszczam, by była to decyzja podjęta arbitralnie bo ZUS jest raczej znany z konsultowania każdej decyzji tego typu z działem prawnym.