Kwalifikowana walidacja podpisu elektronicznego a zwykła weryfikacja – czym się różnią i kiedy ta różnica ma znaczenie

Kwalifikowana walidacja podpisu lub pieczęci elektronicznej to prawnie wiążąca usługa zaufania (zgodna z eIDAS), która dostarcza niepodważalny dowód ważności e-podpisu oraz e-pieczęci, podczas gdy zwykła weryfikacja podpisu elektronicznego to jedynie techniczne odczytanie warstwy elektronicznej pliku przez program komputerowy.

Ta różnica ma decydujące znaczenie, gdy dokument trafia do sądu, organów kontrolnych lub dotyczy transakcji wysokiego ryzyka.

Wyobraź sobie typową sytuację: dostajesz na biurko ważną umowę podpisaną elektronicznie przez kontrahenta. Otwierasz plik w programie do odczytu PDF, widzisz zielony symbol oznaczający poprawne podpisy i zamykasz sprawę, myśląc, że masz w ręku żelazny dowód. Alternatywnie wgrywasz dokument do darmowego weryfikatora online i otrzymujesz komunikat o pozytywnym wyniku.

Problem w tym, że żadna z tych czynności nie daje Ci nic więcej niż sprawdzenie pliku w danej sekundzie. Jeśli za kilka lat Twój kontrahent zakwestionuje umowę przed sądem, Twój dzisiejszy „zielony ptaszek” z ekranu komputera może nie wystarczyć, by zabezpieczyć interesy firmy. Zobaczmy, dlaczego tak się dzieje i jak prawidłowo zabezpieczyć firmowe dokumenty.

Najważniejsze informacje w pigułce

• Zwykła weryfikacja (np. w czytniku PDF) to jedynie techniczny skan warstwy elektronicznej pliku - tej, której nie widzisz w warstwie wizualnej. Nie korzysta z domniemań prawnych, a twórca programu nie ponosi odpowiedzialności za błędny wynik.
• Kwalifikowana walidacja podpisu to sformalizowana usługa zaufania. Jej wynik odwraca ciężar dowodu w sądzie, a dostawca (np. Autenti) bierze na siebie pełną odpowiedzialność za poprawność weryfikacji.
• Kwalifikowany walidator generuje kryptograficznie opieczętowany raport, który "zamraża" stan podpisu na dany dzień i godzinę. Dokument będzie żelaznym dowodem nawet po latach, gdy certyfikaty już wygasną.
• Zwykła weryfikacja wystarcza do wewnętrznych, mało ryzykownych spraw. Kwalifikowana walidacja jest niezbędna w przetargach (PZP), podmiotach regulowanych (KNF) i dowodzeniu kluczowych kontraktów.
• Jako jedyny kwalifikowany dostawca na rynku, nasz walidator natywnie rozpoznaje i weryfikuje również standardowy e-podpis Autenti oraz zaawansowany e-podpis Autenti, prezentując kompletne dane podpisującego.
  
  

Co to właściwie jest "weryfikacja" podpisu elektronicznego

Zwykła weryfikacja podpisu elektronicznego to proces technicznego sprawdzenia niewidocznej dla oka warstwy dokumentu przez oprogramowanie, takie jak popularne czytniki PDF (np. Adobe Acrobat) lub ogólnodostępne, darmowe weryfikatory online.

Kiedy otwierasz podpisany dokument, program działa jak cyfrowy skaner. Sprawdza cztery podstawowe rzeczy:

1. Czy dokument zawiera osadzone wpisy kryptograficzne np. w postaci certyfikatów podpisów lub pieczęci elektronicznych, celem ich wykazania,
2. Czy plik nie został zmodyfikowany po złożeniu podpisu lub pieczęci,
3. Czy certyfikat kryptograficzny osoby podpisującej jest w tym konkretnym momencie ważny,
4. Oraz czy ścieżka certyfikacji (tzw. łańcuch zaufania) jest spójna.

Zwykła weryfikacja kwalifikowanego podpisu elektronicznego jest bardzo użytecznym narzędziem do codziennej, operacyjnej pracy. Pozwala na szybkie zorientowanie się, czy przesłany plik to rzeczywiście umowa, na którą czekaliśmy.

Ma jednak jedną, fundamentalną lukę: nie daje żadnej gwarancji prawnej i nie zabezpiecza dowodu na przyszłość.

Z punktu widzenia prawa i biznesu, poleganie wyłącznie na zwykłej weryfikacji niesie ze sobą konkretne ryzyka:

• Brak domniemań prawnych: Wynik zwykłej weryfikacji nie korzysta z ustawowych domniemań. W przypadku sporu sądowego to Ty będziesz musiał udowadniać przed sądem (często powołując biegłych informatyków), że podpis był złożony prawidłowo.
• Brak odpowiedzialności dostawcy: Producent darmowego czytnika PDF lub niezależnego portalu do weryfikacji nie ponosi absolutnie żadnej odpowiedzialności za wynik. Jeśli program błędnie zinterpretuje certyfikat i pokaże "zielony ptaszek" przy nieważnym podpisie, konsekwencje ponosi wyłącznie Twoja organizacja. Te same zasady dotyczą walidacji integralności dokumentu po złożeniu podpisów lub pieczęci elektronicznych na dokumencie.
• Problem z upływem czasu: Certyfikaty podpisów i pieczęci elektronicznych mają określoną ważność techniczną (zazwyczaj od roku do trzech lat, natomiast coraz częściej wykorzystywane są tzw. certyfikaty jednorazowe). Jeśli otworzysz ten sam, poprawnie podpisany dokument w zwykłym czytniku PDF za pięć lat, a certyfikat podpisu lub pieczęci nie zawierał kwalifikowanego znacznika czasu (LTV - Long Term Validation), program najprawdopodobniej zgłosi błąd i oznaczy podpis jako nieważny. Bez odpowiednio wygenerowanego dowodu, odtworzenie prawdy historycznej będzie niezwykle trudne.
  
  

"Wielu przedsiębiorców boleśnie przekonuje się o różnicy między darmowym czytnikiem PDF a kwalifikowaną walidacją dopiero na sali sądowej. Zwykły program to tylko technologiczny podgląd w danej sekundzie. Dopiero kwalifikowana usługa zaufania chroni interesy firmy w ujęciu długoterminowym, skutecznie odwracając ciężar dowodu."  — Agata Kolorz-Lentini, Information Security Compliance Manager, IOD w Autenti

Czym jest kwalifikowana usługa walidacji i co ją odróżnia

Kwalifikowana usługa walidacji to sformalizowana usługa zaufania, zdefiniowana w art. 32 i 33 rozporządzenia eIDAS, która w sposób prawnie wiążący i długoterminowy potwierdza, że podpis elektroniczny lub pieczęć elektroniczna były ważne w momencie jego składania a integralność podpisanych danych nie została naruszona.

W przeciwieństwie do zwykłych programów, usługę tę mogą świadczyć wyłącznie podmioty posiadające rygorystyczny status Kwalifikowanego Dostawcy Usług Zaufania, wpisane na europejską listę zaufaną (Trusted List). Na polskim rynku do tego wąskiego grona należą obecnie jedynie Asseco, CenCert oraz Autenti.

Mechanizm działania kwalifikowanej walidacji opiera się na dostarczeniu nienaruszalnego dowodu w postaci raportu, którego zakres został określony dedykowaną normą wydaną przez Europejski Instytut Norm Telekomunikacyjnych (ETSI). Z biznesowego i prawnego punktu widzenia, ta usługa różni się od zwykłej weryfikacji trzema kluczowymi elementami:

1. Domniemania prawne z art. 32 eIDAS: To najważniejszy atut. Wynik kwalifikowanej walidacji korzysta z ochrony prawnej. Zgodnie z przepisami, organy państwowe (np. sądy, prokuratura, Krajowa Izba Odwoławcza, KNF czy PIP) nie mogą odrzucić takiego dowodu. W praktyce oznacza to odwrócenie ciężaru dowodu: jeśli przedstawisz raport z kwalifikowanej walidacji, to strona, która kwestionuje umowę lub ważność podpisów, musi udowodnić przed sądem, że doszło do oszustwa. Ty jesteś chroniony.
2. Utrwalenie dowodu (zamrożenie w czasie): Kwalifikowana walidacja dokumentuje stan podpisu z ułamka sekundy, w którym usługa została wykonana. Wygenerowany raport jest kryptograficznie zabezpieczany kwalifikowaną pieczęcią dostawcy usługi oraz kwalifikowanym znacznikiem czasu. Nawet jeśli za rok certyfikat Twojego kontrahenta wygaśnie lub zostanie unieważniony, raport z dziś będzie w przyszłości żelaznym dowodem na to, że w chwili transakcji wszystko było poprawne.
3. Wykrywanie zmian po upływie czasu: jeśli niezbędnym okaże się przedstawienie dowodów na konkretną okoliczność w związku z umową zawartą kilka lat temu, to kwalifikowana walidacja jest narzędziem niezbędnym w asortymencie na każde pole bitwy. Kwalifikowana walidacja dostarcza nie tylko informacji o ważności certyfikatu podpisu lub pieczęci elektronicznej w momencie ich złożenia, ale też wykrywa i komunikuje wszelkie zmiany, w tym unieważnienie certyfikatu (np. z powodu fraudu) czy nieautoryzowane zmiany w samym certyfikacie lub dokumencie.
4. Pełna odpowiedzialność dostawcy: Korzystając z kwalifikowanej walidacji podpisu, przenosisz ryzyko na dostawcę. Jeżeli system wyda błędny raport i poświadczy nieprawdę, kwalifikowany dostawca ponosi za to pełną odpowiedzialność.

"Największą wartością kwalifikowanej walidacji jest dostarczanie kompletu informacji na temat certyfikatów znajdujących się w dokumencie. Nie tylko samego faktu ich istnienia, ponieważ jak wiemy sama wizualizacja podpisu nie ma żadnej mocy prawnej w kontekście elektronicznego podpisywania, ale również wszelkich danych zawartych w certyfikacie, dostawcy certyfikatu, jego ważności czy wszelkich nieuprawnionych zmian w dokumencie czy zabezpieczeniach kryptograficznych. Narzędzie pozwala w skuteczny sposób walczyć z wszelkimi nadużyciami, w tym przede wszystkim potencjalnie złą wolą naszych kontrahentów, przedstawiających jako dowód przed sądem nieprawdziwe lub zmanipulowane dokumenty"  — Agata Kolorz-Lentini, Information Security Compliance Manager, IOD w Autenti

Praktycznie – kiedy wystarczy zwykła weryfikacja, a kiedy potrzebujesz kwalifikowanej

W naszej praktyce często widzimy, że firmy polegają na darmowych weryfikatorach przy wielomilionowych kontraktach. Podział na to, kiedy użyć jakiego narzędzia, powinien wynikać z analizy ryzyka (compliance) Twojej organizacji.

Zwykła weryfikacja w zupełności wystarczy, gdy:

• Przetwarzasz dokumenty wewnątrz organizacji, które nie niosą za sobą konsekwencji prawnych (np. wnioski urlopowe, obiegówki, akceptacje wewnętrznych regulaminów niższego rzędu).
• Chcesz jedynie upewnić się, że plik nie uległ uszkodzeniu po pobraniu z maila, zanim prześlesz go do wglądu innemu działowi.
• Weryfikujesz dokumenty nieformalnej rangi, w przypadku których ewentualny spór z kontrahentem jest mało prawdopodobny lub koszty takiego sporu byłyby znikome w stosunku do kosztów procesowania.

Kwalifikowana walidacja jest absolutnie niezbędna, gdy:

• Bierzesz udział w przetargach publicznych (PZP): Jako zamawiający masz obowiązek zweryfikować, czy oferta została prawidłowo podpisana. Odrzucenie oferty ze względu na zły odczyt darmowego programu rodzi natychmiastowe protesty. Wyroki Krajowej Izby Odwoławczej (KIO) jasno wskazują, że zamawiający przy badaniu ofert powinni opierać się na narzędziach kwalifikowanych (np. KIO 457/22).
• Gromadzisz dokumentację na wypadek sporu sądowego: Gdy dokumentujesz zawarcie umowy z wymagającym kontrahentem. W przypadku podważenia autentyczności umowy (np. spory konsumenckie i tzw. fraudy w branży telekomunikacyjnej), kwalifikowany raport pozwala szybko uciąć roszczenia.
• Jesteś instytucją regulowaną: Organizacje takie jak banki, ubezpieczyciele czy firmy leasingowe podlegają audytom KNF i rygorystycznym procedurom AML. W ich przypadku dowody woli klientów muszą być bezsporne i zabezpieczone na lata.
• Weryfikujesz podpisy od zagranicznych kontrahentów: Walidacja kwalifikowanego podpisu złożonego przez podmiot z innego kraju Unii Europejskiej wymaga potężnej, aktualizowanej w czasie rzeczywistym bazy europejskich dostawców (EU Trusted List). Zwykłe czytniki domyślnie nie posiadają wgranych list zaufanych certyfikatów dla europejskich podpisów kwalifikowanych i często gubią się w zagranicznych certyfikatach, zwracając fałszywe błędy.
• Przygotowujesz umowy do podpisu dla zarządu: Asystenci zarządu i działy zakupów, przyjmując umowy od dostawców, biorą na siebie odpowiedzialność za ich poprawność. Przedłożenie członkom zarządu umowy z wadliwym podpisem kontrahenta to ogromne ryzyko prawne dla całej spółki.

💡 Zastanawiasz się, czy procesy i dokumenty w Twojej organizacji wymagają kwalifikowanej walidacji?

Umów bezpłatną konsultację z ekspertem Autenti i dowiedz się, jak zminimalizować ryzyko prawne w obrocie e-dokumentami.

Co zawiera wynik kwalifikowanej walidacji – raport i poświadczenie

Wielu użytkowników darmowych programów jest przyzwyczajonych do tego, że wynikiem sprawdzenia podpisu jest po prostu komunikat wyświetlający się przez chwilę na monitorze. Wynikiem kwalifikowanej walidacji są natomiast trwałe, zabezpieczone kryptograficznie dokumenty.

Na wyjściu z procesu kwalifikowanej walidacji otrzymujesz dwa kluczowe elementy:

1. Raport Walidacji (plik XML): Jest to wysoce techniczny dokument, tworzony zgodnie z restrykcyjnymi normami ETSI (Europejskiego Instytutu Norm Telekomunikacyjnych). Plik ten jest czytelny maszynowo, co pozwala na łatwą integrację usługi przez API z firmowymi systemami obiegu dokumentów (np. ERP, CRM), gdzie oprogramowanie samo odczytuje wynik bez udziału człowieka.
2. Poświadczenie Walidacji (plik PDF): To czytelny dla człowieka dokument wizualny, który służy jako fizyczny dowód.

W Poświadczeniu Walidacji znajdziesz wszystkie szczegóły transakcji: dokładne dane osoby podpisującej (imię, nazwisko, niekiedy organizację), numer seryjny certyfikatu i dane jego dostawcy, format podpisu oraz parametry użytego znacznika czasu. Całość opatrzona jest unikalnym identyfikatorem procesu walidacji.

Najważniejszym elementem raportu jest jednak ostateczny wskaźnik walidacji, który na mocy norm unijnych zawsze przyjmuje jeden z trzech statusów:

• TOTAL-PASSED (Walidacja pozytywna): Podpis jest całkowicie poprawny, certyfikat był ważny w momencie składania podpisu, a plik nie został naruszony.
• INDETERMINATE (Walidacja nieokreślona): System ma za mało danych, aby wydać jednoznaczny, wiążący wynik. Może się tak zdarzyć np. gdy podpis został złożony dawno temu, bez użycia kwalifikowanego znacznika czasu, i nie da się jednoznacznie stwierdzić, czy nastąpiło to przed wygaśnięciem certyfikatu.
• TOTAL-FAILED (Walidacja negatywna): Oznacza twardy błąd. Zazwyczaj występuje, gdy certyfikat kryptograficzny był nieważny w momencie użycia, lub gdy ktoś fizycznie ingerował w treść dokumentu po jego podpisaniu.

Oba pliki (XML i PDF) są rygorystycznie chronione poprzez opatrzenie ich kwalifikowaną pieczęcią elektroniczną Dostawcy Usług Zaufania oraz kwalifikowanym znacznikiem czasu. To pieczęć gwarantuje, że sam raport nie został nigdy zmanipulowany.

Częste nieporozumienie – czy darmowe walidatory są "zgodne z eIDAS"

Wybierając narzędzie do sprawdzania dokumentów, bardzo łatwo wpaść w pułapkę marketingu technologicznego. Wiele darmowych walidatorów online, a także popularne czytniki PDF, promuje się hasłami typu: „Narzędzie zgodne z eIDAS” lub „Obsługujemy standardy eIDAS”. Oznacza to, że oferują one tzw. technologiczną zgodność, która jednak w żadnym stopniu nie zapewnia statusu prawnego.

Techniczna zgodność z eIDAS oznacza wyłącznie to, że oprogramowanie zostało napisane w taki sposób, aby poprawnie odczytywać struktury kryptograficzne (takie jak XAdES czy PAdES) zalecane przez Unię Europejską. Kod programu nie łamie unijnych wytycznych. To jednak tak, jakby powiedzieć, że wydrukowany na drukarce dyplom ukończenia studiów ma właściwy format i używa odpowiedniej czcionki.

Kwalifikowana usługa walidacji w rozumieniu art. 33 eIDAS to z kolei potężny status prawny podmiotu, który ten dyplom wystawia. Kwalifikowana usługa to nie kwestia samej implementacji kodu, ale wielomiesięcznych audytów jednostek certyfikujących, wpisania na europejską listę (Trusted List), stosowania rygorystycznych procedur bezpieczeństwa i zgodności oraz gotowości do poniesienia finansowej odpowiedzialności za każdy wygenerowany wynik walidacji.

Poniższa tabela ułatwia zrozumienie, dlaczego narzędzie "technicznie zgodne" to nie to samo, co usługa kwalifikowana:

Jeśli Twoim celem jest uzyskanie pewności prawnej, narzędzie technicznie zgodne, ale świadczone przez niekwalifikowany podmiot, jest po prostu niewystarczające.

💡 Zastanawiasz się, czy używane przez Ciebie narzędzia faktycznie chronią interesy Twojej firmy?

Skonsultuj wdrożenie kwalifikowanej walidacji z naszym ekspertem i zyskaj 100% pewności dowodowej.

Podsumowanie

Podstawowa różnica między weryfikacją a kwalifikowaną walidacją podpisu elektronicznego ma charakter prawny, a nie techniczny. Chociaż na pierwszy rzut oka oba narzędzia mogą pokazać ten sam pozytywny komunikat dotyczący stanu dokumentu, tylko jedno z nich dostarcza Ci twardy, trwały dowód o niepodważalnej mocy.

Zwykłe oprogramowanie to świetne narzędzie do bieżącego, nieformalnego podglądu plików. Jeśli jednak chronisz interesy firmy przed ryzykiem strat finansowych, poleganie na zielonych komunikatach w darmowym czytniku jest lekkomyślne. Kwalifikowana walidacja zdejmuje z Ciebie ciężar dowodu w przypadku sporu i przenosi odpowiedzialność na certyfikowanego, nadzorowanego dostawcę.

Jako autoryzowany Kwalifikowany Dostawca Usług Zaufania, wpisany na polską i europejską Trusted List, oferujemy rozwiązania dające 100% prawnej pewności. Co ważne, nasz walidator jako jedyny na rynku natywnie obsługuje i w pełni weryfikuje również e-podpis Autenti oraz zaawansowany e-podpis Autenti. Zabezpiecz dowody zawieranych umów i upewnij się, że Twoja organizacja jest chroniona w sposób długoterminowy – sprawdź kwalifikowany walidator Autenti.