W chwili obecnej Urzędowe poświadczenie odbioru (UPO) jest generowane przez skrzynki podawcze (ESP) różnych dostawców z tym samym zamiłowaniem do chaosu, jakie cechuje formaty podpisu elektronicznego od początków polskiej informatyzacji. W jaki sposób można to uporządkować pozostając w ramach obowiązującego prawa?
Otóż proszę pamiętać, że rozporządzenie które wprowadziło pojęcie ESP i UPO (Dz. U.05.200.1651) nie korzysta z bezpiecznego podpisu elektronicznego, tylko stosuje własną, niejako - jak to określił na niedawnym spotkaniu PTI prezes Paluszyński - wprowadzając tylnymi drzwiami zaawansowany podpis elektroniczny do polskiego prawa.
Co to znaczy w praktyce? Przede wszystkim to, że certyfikat użyty do złożenia podpisu pod UPO nie musi być kwalifikowany i że podpis ten można składać oraz weryfikować praktycznie w dowolnym oprogramowaniu.
Autorzy znanych mi skrzynek podawczych poszli w kierunku tradycyjnie źle pojętej innowacyjności - każdy wymyślił to po swojemu. I tak, skrzynka podawcza Zeto Białystok zwraca UPO jako wymyślony przez siebie XML z podpisem w formacie XML-DSig i rozszerzeniem ZSI.
Skrzynka podawcza Certum zwraca z kolei plik w formacie S/MIME z podpisem PKCS#7 i rozszerzeniem EML. To ostatnie można uznać za rozwiązanie przenośne, bo plik taki weryfikuje bez problemu Outlook lub Thunderbird.
Ale inne rozwiązanie jest stosowane... przez banki - mBank i MultiBank od dawna wysyłają klientom mailem salda rachunków w postaci dokumentu PDF podpisanego certyfikatem VeriSign. Taki plik otwiera się bez problemu w Acrobacie i - co najważniejsze - automatycznie weryfikuje się bo certyfikat jest zaufany z punktu widzenia Windows.
W kontekście e-faktury dla zwolenników "bezpiecznego podpisu"...
Przechodząc od UPO do e-faktur, proszę się zastanowić, które z poniższych zapewni odbiorcy końcowemu wyższy poziom bezpieczeństwa faktycznego:
- automatycznie weryfikujący się podpis w jednym pliku PDF (złożony przy pomocy certyfikatu VeriSign, GoDaddy czy innego znanego Windows),
- niepodpisany plik PDF z e-fakturą, do którego dołączony jest drugi plik z podpisem, który trzeba ręcznie weryfikować oddzielną aplikacją (tak to jest zrobione w e-fakturze Sigillum)
Pytam, bo wczoraj na konferencji e-Dokument przedstawiciel PWPW/Sigillum bez żadnego skrępowania mówił, że "oczywiście mało kto taki podpis faktycznie weryfikuje, co najwyżej za pierwszym razem".
Na moje pytanie czy biorą pod uwagę możliwość masowej wysyłki fałszywych faktur z podmienionym numerem konta np. gdy taki system stanie się masowy (wdraża go TPSA, Tele2) odpowiedziano że "to wina użytkownika, że nie korzysta z dostarczonego zabezpieczenia" (wszystkie cytaty z pamięci).
Moje kolejne pytanie o sensowność zabezpieczenia, które wprost zniechęca do korzystania z niego pozostało bez odpowiedzi...