O (nie)ważnym podpisie elektronicznym

Trafił do mnie niedawno problem, z którym pewnie spotyka się wielu zamawiających – chodziło o elektroniczną kopię pełnomocnictwa, poświadczoną za zgodność z oryginałem oczywiście elektronicznie przez notariusza. Kłopot był w tym, że w chwili składania podpisu przez notariusza certyfikat był ważny, ale w chwili sprawdzania podpisu przez zamawiającego już nie. A na dodatek w sieci można znaleźć zajawkę artykułu, w którym padło stwierdzenie: „Certyfikat musi być zatem ważny i w momencie składania, i w chwili weryfikacji bezpiecznego podpisu elektronicznego, którym został opatrzony dokument elektroniczny.”

Hmm, do artykułu odnosić się nie powinienem, bo ani nie jestem specjalistą z pogranicza IT i prawa (z drugiej strony, zamówienia powoli stają się taką dziedziną), ani nie mam dostępu do całej treści tego artykułu. Jednak warto zwrócić uwagę, że tekst pochodzi sprzed ponad 10 lat, gdy mieliśmy jeszcze ustawą o podpisie elektronicznym, uchyloną przed 3 laty. Teraz mamy ustawę o usługach zaufania i identyfikacji elektronicznej, której art. 18 ust. 1 stanowi po prostu: „Podpis elektroniczny lub pieczęć elektroniczna weryfikowane za pomocą certyfikatu wywołują skutki prawne, jeżeli zostały złożone w okresie ważności tego certyfikatu.” I tyle, ani słowa o ustaniu tych skutków prawnych. Inna sprawa, że we wspomnianej wcześniejszej ustawie o podpisie elektronicznym mieliśmy bardzo podobny co do treści zapis (art. 5 ust. 1), więc cytowanemu zdaniu trochę się dziwię.

Inne podejście nie miałoby sensu. Wszak gdyby rzeczony notariusz potwierdził stosowne pełnomocnictwo za zgodność z oryginałem na papierze, a potem stracił prawo do wykonywania zawodu albo – czego oczywiście nikomu nie życzę – zmarł, dokument poświadczony przez niego wtedy gdy jeszcze mógł to zrobić w niczym na ważności by nie stracił. Analogicznie z podpisem elektronicznym, przy czym tu przypadki takie są częstsze z bardzo prozaicznego powodu – certyfikaty po prostu nie są bezterminowe, one są wydawane na rok albo dwa, a potem trzeba je odnawiać. Nic nie stoi też na przeszkodzie, aby zmienić dostawcę certyfikatu (a w konsekwencji i podpis), jeśli komuś tylko przyjdzie taka ochota. Gdyby pójść tropem utraty ważności złożonego podpisu wraz z utratą ważności certyfikatu, którym się posłużono, doszlibyśmy do absurdu. Ba, można wtedy podważyć niemal każdą umowę podpisaną elektronicznie, którą zawrze się na dłuższy czas.

Na marginesie, nawiązując do niedawnej dyskusji na forum actuariusowym – inna sprawa, że w zamówieniach publicznych wciąż tych elektronicznych umów mało. Mam wrażenie, że powody takiego stanu są dwa – po pierwsze brak podpisów kwalifikowanych po stronie zamawiających (wykonawców do ich posiadania zmusiła nowelizacja ustawy pzp, zamawiających jeszcze nikt), po drugie dylematy techniczno-organizacyjne wynikające z konieczności odstąpienia od pewnych przyzwyczajeń (jak tu zebrać tuzin parafek, który zawsze pod umową się znajdowały? do której szafy taką umowę schować? :)).

3 komentarze do: “O (nie)ważnym podpisie elektronicznym

    • Cóż, problem z SHA-1 mieliśmy już chyba załatwiony? Po początkowych perturbacjach i wyroku lub wyrokach KIO nakazujących odrzucanie ofert, wypowiedziała się krytycznie o takim podejściu Polska Izba Informatyki i Telekomunikacji, Ministerstwo Cyfryzacji i nawet Prezes UZP. Podziało się to na tyle szybko, że nawet w „Szponach” temat się nie pojawił. Dziś już z tego powodu konkurencji się nie wyeliminuje. No, chyba że ETSI formalnie wycofa taki algorytm z użycia, ale tego chyba nie zrobiono (przynajmniej nic do mnie nie dotarło) :)

Dodaj komentarz

Twój adres email nie zostanie opublikowany.