Czy dokumenty podpisane podpisem elektronicznym są bezpieczne?

Podpis elektroniczny to narzędzie, które przyspiesza obieg dokumentów i ułatwia zdalne zawieranie umów. Wiele osób obawia się jednak tego sposobu podpisywania dokumentów. Wyjaśniamy, dlaczego podpis elektroniczny jest rozwiązaniem bezpiecznym.

Czy dokument w formie elektronicznej jest równie „ważny” co papierowy? Jak mogę zweryfikować tożsamość osoby, która składa na dokumencie podpis elektroniczny? Czy istnieje ryzyko, że druga strona zmieni treść dokumentu elektronicznego? Tak brzmią najczęstsze pytania klientów, którzy rozważają skorzystanie z podpisu elektronicznego. Rozwiewamy te wątpliwości.

Podpis elektroniczny – regulacje prawne

W przypadku dokumentów i podpisów elektronicznych prawo krajowe i europejskie szybko dostosowało się do zmieniającej się rzeczywistości. Obszar ten regulowany jest przede wszystkim przez Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym, w skrócie – eIDAS. W akcie tym podana jest definicja podpisu elektronicznego ‒ „podpis elektroniczny oznacza dane w postaci elektronicznej, które są dołączone lub logicznie powiązane z innymi danymi w postaci elektronicznej, i które użyte są przez podpisującego jako podpis”. eIDAS, który wszedł w życie w całej Unii Europejskiej w 2016 roku, definiuje również dokument elektroniczny, który „oznacza każdą treść przechowywaną w postaci elektronicznej, w szczególności tekst lub nagranie dźwiękowe, wizualne lub audiowizualne”. Z tych regulacji wynika, że nawet e-mail, pod którego treścią umieszczone jest imię i nazwisko nadawcy traktowany jest jak elektroniczny dokument podpisany podpisem elektronicznym.

Przepisy eIDAS

Bardzo istotny zapis znalazł się w artykule 43 tego rozporządzenia ‒„Nie jest kwestionowany skutek prawny dokumentu elektronicznego ani jego dopuszczalność jako dowodu w postępowaniu sądowym wyłącznie z tego powodu, że dokument ten ma postać elektroniczną […]”. To, że dany dokument ma postać elektroniczną, nie ma wpływu na to, czy jest ważny i wiążący. Istotna jest przede wszystkim jego treść i rodzaj złożonego na nim podpisu. Większość dokumentów może być podpisana za pomocą zwykłego podpisu elektronicznego – jest to podpis w postaci elektronicznej świadomie użyty przez osobę fizyczną, dołączony lub powiązany z podpisaną treścią. Podpisem elektronicznym może być imię i nazwisko połączone z adresem e-mail i adresem IP. Co ważne, z przepisów eIDAS wynika, że sąd nie może odmówić wykorzystania takiego podpisu w postępowaniu dowodowym tylko dlatego, że ma postać elektroniczną.

Dokumenty, które wymagają zachowania formy pisemnej (np. umowa o pracę, umowa o dzieło z przeniesieniem praw autorskich), również mogą mieć formę elektroniczną – jednak mogą być podpisane tylko kwalifikowanym podpisem elektronicznym, który wywołuje takie same skutki prawne co podpis własnoręczny.

Weryfikacja tożsamości osoby składającej podpis elektroniczny

Dużo pytań rodzi kwestia tego, czy wysłany dokument elektroniczny zostanie podpisany przez uprawnioną osobę. W przypadku zawierania umowy twarzą w twarz weryfikacja tożsamości polega na porównaniu danych identyfikujących (m.in. PESEL, imię i nazwisko) zawartych w umowie z tymi, które znajdują się w dokumencie potwierdzającym tożsamość (np. dowodzie osobistym czy paszporcie). Zdalne podpisywanie dokumentów może budzić pewne obawy dotyczące bezpieczeństwa. Czy można skutecznie zweryfikować tożsamość osoby składającej podpis elektroniczny? Użytkownik, który wysyła dokument za pośrednictwem platformy Autenti, ma pewność, że trafią one do właściwego odbiorcy i to on złoży na nich podpis elektroniczny. Autenti wykorzystuje kilka metod weryfikacji tożsamości osoby podpisującej.

Weryfikacja przez e-email

Najpopularniejszym i najprostszym sposobem weryfikacji tożsamości osoby podpisującej jest użycie podanego przez nią adresu e-mail. Użytkownik, który za pomocą platformy Autenti nadaje dokument do podpisu, podaje adres, którym posługuje się odbiorca. Na ten adres wysłany zostaje unikalny link, który kieruje odbiorcę do panelu podpisu. Tam potwierdza on swoją tożsamość i jednocześnie składa podpis elektroniczny pod dokumentem. W tym momencie adres e-mail zostaje połączony z imieniem i nazwiskiem osoby składającej podpis oraz adresem IP urządzenia, które zostało użyte do złożenia podpisu. Ten zestaw informacji dołączany jest do dokumentu i pozwala określić, kto złożył podpis.

Weryfikacja przez kod SMS

Drugim sposobem weryfikacji tożsamości osoby, która składa podpis elektroniczny na wysłanym dokumencie, jest użycie jednorazowego adresu e-mail oraz kodu SMS. Oprócz linka, który zostaje przekazany e-mailem, odbiorca otrzymuje także kod SMS, który wysyłany jest na wskazany przez niego numer. Kod znany jest tylko osobie, która posługuje się tym numerem, i jest niezbędny do złożenia podpisu. W ten sposób do imienia, nazwiska, adresu e-mail i adresu IP dołączona zostaje także informacja o numerze telefonu.

Wykorzystanie podpisu kwalifikowanego

Najpewniejszym sposobem, w jaki odbiorca może potwierdzić swoją tożsamości, jest użycie kwalifikowanego podpisu elektronicznego. Firmy, które dostarczają podpisy kwalifikowane, przeprowadzają skrupulatną weryfikację tożsamości klienta. Pracownik porównuje dane podane przez klienta z tymi, które znajdują się w jego dowodzie osobistym lub paszporcie – taka weryfikacja przeprowadzana jest osobiście lub zdalnie, za pośrednictwem kamerki internetowej. Dzięki temu podpis kwalifikowany jest ściśle związany z osobą, która się nim posługuje. Podpis kwalifikowany jest równoważny podpisowi własnoręcznemu – w związku z tym może być używany do podpisywania dokumentów, które wymagają zachowania formy pisemnej.

Jak wygląda podpis elektroniczny?

Podpis elektroniczny ma postać ciągu bitów, który zostaje dołączony do dokumentu elektronicznego. Podpis w takiej formie może być odczytany przez komputer, ale nie przez osoby, które otrzymały podpisany dokument. Autenti wypracowało rozwiązanie tej niedogodności – do każdego dokumentu elektronicznego nadanego za pomocą platformy dołączona zostaje Karta Podpisów, czyli strona w dokumencie, na której widnieją złożone podpisy elektroniczne oraz informacje o sposobie weryfikacji tożsamości osób, które te podpisy złożyły.

W jaki sposób zabezpieczona jest treść dokumentu elektronicznego?

Wykorzystanie dokumentów elektroniczne budzi obawy o to, czy „po drodze” ich treść nie ulegnie zmianie – w wyniku nieostrożności lub celowego działania. Użytkownicy Autenti nie muszą obawiać się o bezpieczeństwo dokumentów. Każdy dokument, który został wysłany i podpisany za pośrednictwem platformy, jest zabezpieczony za pomocą kwalifikowanej pieczęci elektronicznej. Stanowi ona gwarancję integralności dokumentu i uniemożliwia wprowadzanie zmian od momentu złożenia podpisu osoby nadającej. Pieczęć potwierdza również autentyczność dokumentu, czyli to, że został on przesłany za pomocą zaufanej platformy. Autenti zapewnia też dostępność dokumentów ‒ każda ze stron ma możliwość odtworzenia informacji w dowolnym momencie, bez konieczności udziały innych stron. Dostępność połączona z integralnością sprawia, że każdy dokument podpisany za pomocą platformy Autenti jest w świetle prawa trwałym nośnikiem, który umożliwia przyszły dostęp do informacji w niezmienionej formie. Dzięki temu dokument elektroniczny w razie potrzeby może być wykorzystany podczas postępowania przed sądem lub innym organem państwowym.