Pieczęć elektroniczna zdefiniowana w nowej ustawie o podpisach elektronicznych osadza w prawie polskim mechanizm znany i stosowany od dawna czyli podpis cyfrowy składany nie przez osobę fizyczną, a w imieniu firmy, organizacji czy urzędu. Otwiera to drogę do wielu przydatnych zastosowań, zarówno w biznesie jak i administracji publicznej. Obecna definicja podpisu elektronicznego w rozumieniu ustawy z 2001 roku definiuje podpis elektroniczny jako mechanizm, który może być związany wyłącznie z osobą fizyczną. Takie podejście doprowadziło niestety do paraliżu szeregu procesów, w których silne przywiązaniie do tożsamości osoby fizycznej nie tylko nie pomagało, ale wręcz przeszkadzało.
Pieczęć elektroniczna jest zdefiniowana w art. 2 ust. 3 projektu ustawy o podpisach:
pieczęć elektroniczna – dane w postaci elektronicznej, przyporządkowane danemu podmiotowi w taki sposób, że możliwa jest jego identyfikacja, dołączone do innych danych lub z nimi logicznie powiązane tak, że każda późniejsza zmiana tych danych jest wykrywalna;
Z technicznego punktu widzenia pieczęć wykorzystuje ten sam mechanizm co podpis elektroniczny czyli odpowiednie przekształcenia kryptograficzne wykonywane przy pomocy klucza prywatnego. W odróżnieniu od podpisu kwalifikowanego dysponentem tego klucza może być nie tylko osoba fizyczna ale też organizacja.
Art. 8 projektu krótko określa funkcje bezpieczeństwa jakie ma zapewniać pieczęć:
Przyjmuje się, że dokument elektroniczny nie uległ zmianie po opatrzeniu go pieczęcią elektroniczną i jest autentyczny.
Innymi słowy, pieczęć zapewnia integralność oraz autentyczność opatrzonego nią dokumentu i są to jej jedyne funkcje. Fakt, że są one ściśle ograniczone jest bardzo korzystny dla jasności definicji i otwiera szerokie pole do zastosowań, w których podpis kwalifikowany się nie sprawdził.
W szczególności pieczęć elektroniczna przyda się zwłaszcza tam, gdzie potrzebne jest automatyczne i masowe zabezpieczanie autentyczności i integralności dokumentów elektronicznych. Podpis kwalifikowany nie sprawdza się w tych zastosowaniach dlatego, że zapewniane przez niego powiązanie z osobą fizyczną oraz silna funkcja niezaprzeczalności z tymi celami stoją w sprzeczności.
Na pieczęci elektronicznej zyska w szczególności faktura elektroniczna, do której podpis kwalifikowany pasuje równie dobrze jak poświadczenie notarialne do faktur papierowych - czyli wcale. Obecność pojęcia “pieczęci elektronicznej” w nowej ustawie być może utrudni ministrowi finansów zastosowanie znanej z 2005 roku wymówki, że podpis kwalifikowany jest jedynym “dostępnym” podpisem.
Co więcej, pieczęć elektroniczna jest od dawna w Polsce stosowana, tyle że nie była wprost zdefiniowana w przepisach. Formą pieczęci elektronicznej jest na przykład podpis składany certyfikatem Multibanku pod wyciągami z operacji kartami kredytowymi wysyłanymi do klientów (przykład na rysunku poniżej).
Funkcja tego podpisu - gdzie podpisującym jest bank, a nie osoba fizyczna - to właśnie zapewnienie integralności i autentyczności dokumentu. Odbiorcy nie interesuje kto konkretnie ten wyciąg wygenerował (zapewne zrobił to system a nie człowiek). W analogiczny sposób działa certyfikat w serwerach SSL - potwierdza przynależność serwera do organizacji, a nie nazwisko administratora (bo to nikogo nie interesuje).
Pieczęć elektroniczną od dawna stosują także urzędy administracji publicznej - po raz pierwszy do przepisów została ona nieco “po cichu” wrzucona w rozporządzenie o warunkach technicznych doręczania dokumentów podmiotom publicznym (ESP). Poniżej przykład - pieczęć elektroniczna składana przez system e-Deklaracje:
Ustawodawca próbujący w 2005 roku opisać wymagania wobec elektronicznych skrzynek podawczych wpadł wówczas w pułapkę podejścia “wszędzie podpis kwalifikowany” zastawioną… przez samego siebie parę lat wcześniej. Zawarta w rozporządzeniu definicja urzędowego poświadczenia odbioru jako “danych dołączonych do dokumentu elektronicznego” (par. 2 ust. 4) to funkcjonalnie niemal dokładnie to samo co pieczęć elektroniczna, tyle że ograniczona do stosowania w skrzynce podawczej.
Była ona konieczna dla realizacji elektronicznej skrzynki podawczej (ESP) - inaczej nie dałoby się wystawiać urzędowego poświadczenia odbioru (UPO). Miało być ono wystawiane automatycznie przez system, bez udziału człowieka i z użyciem certyfikatu należącego do organizacji - czyli dokładnie przeciwnie niż podpis kwalifikowany.
Pieczęć elektroniczna znajdzie zatem zastosowanie wszędzie tam, gdzie odbiorca oczekuje integralności dokumentu oraz pewności, że dany dokument pochodzi z danej organizacji ale nie interesuje go kto konkretnie dokument udostępnił.
Poza wymienionymi wyżej zastosowaniami takimi jak faktura elektroniczna czy UPO, dobrym zastosowaniem dla pieczęci wydaje się także publikacja aktów normatywnych oraz wszystkich innych dokumentów oficjalnych skierowanych do szerokiego grona odbiorców - jak obwieszczenia, akty prawne, wyroki sądowe, ogłoszenia itd.