Bezpieczeństwo transakcyjne, eIDAS i ePUAP

W dniu 22.9.2016 adwokat dr Łukasz Goździaszek wygłosił referat „Bezpieczeństwo transakcyjne w kontekście nowej regulacji podpisu elektronicznego” (konferencja „Konferencja Bezpieczeństwo Danych i Zasobów Firmy”, Warszawa). Zwiększenie poziomu wiarygodności identyfikacji osób w obrocie elektronicznym stanowi obecnie jedno z wiodących wyzwań dla przedsiębiorców, informatyków i prawników. Stopień ufności względem osób po przeciwnej stronie łącza zmniejsza się, w szczególności w kontaktach z podmiotami zagranicznymi.

Zwyczajna weryfikacja poprzez wymóg podania nazwy użytkownika i hasła, w celu zalogowania się na konto, staje są coraz bardziej kłopotliwa co najmniej z dwóch powodów. Po pierwsze, łatwo wykraść takie dane. Po drugie, jeszcze łatwiej je zapomnieć. Nie sposób stale pamiętać dziesiątek różnych haseł do portali społecznościowych i sklepów internetowych.

Jest jeszcze jedna przyczyna skłaniająca do głębszych rozważań nad identyfikacją. Przyczyna wynikająca ze zmiany prawa, a konkretnie rozpoczęcia stosowania eIDAS, czyli unijnego rozporządzenia, które zastąpiło dotychczasową regulację podpisu elektronicznego. Prawo unijne dla swej pełnej skuteczności wymaga jednak doprecyzowania w prawie krajowym, co też uczyniono poprzez uchwalenie ustawy o usługach zaufania i identyfikacji elektronicznej.

Jeszcze kilka lat temu najlepszym rozwiązaniem (aczkolwiek i tak nieczęsto stosowanym) dla biznesu i podmiotów publicznych była komunikacja przy pomocy maila lub specjalnie stworzonego systemu informatycznego, ale zabezpieczonego jedynie loginem i hasłem. Były to rozwiązania postrzegane wtedy jako efektywne, ponieważ były wystarczający i adekwatne do uwarunkowań. Dziś jednak sytuacja uległa zmianie. Kiedyś zakładano również, że numer PESEL jest na tyle prywatną informują (w sensie swojej tajności), że legitymowanie się jego znajomością stanowi kryterium weryfikacji tożsamości. Faktycznie doprowadziło to zbyt daleko idącego skomplikowania procedur wymagających nr PESEL. Zrodziło też niebezpieczeństwo dostępu do całej gamy prywatnych danych – nie tylko do nr PESEL.

Jest wysoce prawdopodobne, że eIDAS, ale też realia obrotu gospodarczego, spowodują upowszechnienie dwóch rozwiązań – profilu zaufanego ePUAP i kwalifikowanego podpisu elektronicznego. Oba funkcjonują wprawdzie już od dawna, ale dotąd nie istniały  warunki sprzyjające ich popularyzacji.

Notyfikowanym systemem identyfikacji elektronicznej, o którym mówi rozporządzenie eIDAS, może stać się ePUAP. Koncepcyjnie profil zaufany ePUAP to trafne rozwiązanie, pomimo że w praktyce zdarzały się problemy. Jego mechanizm jest darmowy i łatwo dostępny w wielu sprawach urzędowych i sądowych. Nie jest idealny, ale wcale nie ma więcej wad niż kwalifikowany podpis elektroniczny. Niedawne wyraźne rozdzielenie, pod względem informatycznym, profilu zaufanego ePUAP od samego ePUAPu stwarza realne perspektywy dla planów w zakresie umożliwienia zakładania profilu zaufanego ePUAP za pośrednictwem bankowości elektronicznej, co z kolei wyeliminuje obecne niedogodności związane z aktywowaniem profilu zaufanego ePUAP.

Również kwalifikowany podpis elektroniczny ma większe niż dotąd szanse na upowszechnienie. Aktualnie można sobie wyobrazić sytuacje, że osoba działająca w biznesie posługuje się tym podpisem, aby uwiarygodnić siebie na rynku, jak też, iż wymaga takiego podpisu od kontrahenta, zwłaszcza jeżeli komunikacja zachodzi wyłącznie w trybie onilne. Jeszcze kilka lat temu byłby to nonsens. Dziś już nie. Sporo zależy w tym zakresie od dostawców podpisu elektronicznego. Obecny model biznesowy sprzedaży tych podpisów powinien ulec zmianie, zwłaszcza wobec konkurencyjnej działalności zagranicznych dostawców kwalifikowanych usługi zaufania.