Po co nam strategia akceptacji podpisów elektronicznych?

Obserwatorium biz » artykuły

Spis treści:

Strategia akceptacji podpisów elektronicznych, czyli: dlaczego podpis kwalifikowany, dlaczego w portfelu cyfrowym, co nam to da i z jakiego powodu podpis zaufany powinien być wycofywany?

Przez lata świat podpisów elektronicznych urósł nam trochę jak miasto bez planu. Tu podpis zaufany, tam podpis osobisty, obok podpis kwalifikowany, a w tle jeszcze różne firmowe mechanizmy akceptacji dokumentów. Każde z tych narzędzi do czegoś służy, każde ma swoje miejsce, ale z punktu widzenia obywatela, klienta i wielu przedsiębiorców ten krajobraz jest po prostu nieczytelny. Najważniejsze pytanie dzisiaj brzmi dziś nie „czy podpis elektroniczny działa?”, ale „który podpis ma być akceptowany, gdzie i po co?”. Właśnie dlatego potrzebujemy strategii akceptacji podpisów elektronicznych. 

Podpis elektroniczny a prawo unijne 

W prawie unijnym punkt wyjścia jest dość jasny. Elektronicznemu podpisowi nie można odmówić skutku prawnego tylko dlatego, że jest elektroniczny albo że nie jest kwalifikowany. Jednocześnie tylko kwalifikowany podpis elektroniczny ma wprost zagwarantowany skutek równoważny podpisowi własnoręcznemu. Unijne przepisy definiują też podpis zaawansowany jako taki, który 

  • jest jednoznacznie powiązany z podpisującym,  
  • pozwala go zidentyfikować,  
  • pozostaje pod jego wyłączną kontrolą z wysokim poziomem pewności, 
  • pozwala wykryć późniejsze zmiany danych.  

To pokazuje podstawową hierarchię: każdy podpis elektroniczny może mieć znaczenie dowodowe, podpis zaawansowany daje mocny poziom techniczny, ale to podpis kwalifikowany daje jeden wspólny, przewidywalny punkt odniesienia dla całego rynku. 

Trzy główne poziomy podpisu 

Z tej perspektywy można mówić o trzech głównych poziomach podpisu:

  1. Najniżej jest podpis „zwykły”, czyli wszelkie formy elektronicznego potwierdzenia woli: kliknięcie przycisku, podpis rysikiem na ekranie, wpisanie kodu, zatwierdzenie operacji w aplikacji.Taki podpis często wydaje się wystarczający w codziennych relacjach z klientem, jeśli proces jest dobrze zaprojektowany i da się wykazać, kto i co zaakceptował. Ale w wielu sytuacjach okazuje się, że jest to tylko podpis pozorny o bardzo niskiej wiarygodności i braku procesów dowodowych. Co więcej, wszyscy zapominamy, że ten podpis, jak każdy inny, powinien powstać jako usługa zaufania, realizowana na podstawie polityki przez dostawcę usług zaufania. Bez usługi zaufania nie jest to podpis elektroniczny, korzystający ze skutków prawnych rozporządzenia eIDAS.
  2. Wyżej w hierarchii jest podpis zaawansowany – już nie tylko wygodny, ale też technicznie wiarygodny. Natomiast wymaga on już identyfikacji elektronicznej, posługiwania się certyfikatami i wyłącznej kontroli podpisującego, nad danymi do składania podpisu elektronicznego. Podpis zaawansowany ma tę cechę wiarygodności: łatwo prawnie udowodnić, kto był podpisującym i że tylko ta osoba mogła złożyć ten rodzaj podpisu, jednakże cała odpowiedzialność leży po stronie ufającej.
  3. Jeszcze wyżej jest podpis kwalifikowany, który zamienia elektroniczny dokument w odpowiednik papieru podpisanego własnoręcznie, bez potrzeby tłumaczenia każdej stronie ufającej od nowa, dlaczego ma mu ufać. Co do zasady, podpis kwalifikowany jest wiarygodny, ponieważ powstał w oparciu o ustalone zasady, a odpowiedzialność za jego jakość wziął na siebie kwalifikowany dostawca usługi zaufania  

I właśnie dlatego biznes potrzebuje strategii, a nie katalogu przypadkowych narzędzi. W relacjach B2C część spraw można nadal obsługiwać prostymi metodami akceptacji: zgody, potwierdzenia regulaminu, oświadczenia klienta, zatwierdzenia dyspozycji, natomiast trzeba mieć świadomość, że są to sprawy, które co do zasady nie wymagają materiału dowodowego i zazwyczaj kończą się na pojedynczej transakcji. Natomiast ten mechanizm nie jest wystarczający wszędzie tam, gdzie powstają zobowiązania długoterminowe, takie jak kredyty, umowy czy wzajemne świadczenia.  

Biznes potrzebuje strategii, a nie katalogu przypadkowych narzędzi

W relacjach B2B i w kontaktach z administracją rośnie jednak znaczenie przewidywalności, standaryzacji i łatwej weryfikacji. Im większa wartość transakcji, dłuższy cykl życia dokumentu i większe ryzyko sporu, tym bardziej opłaca się używać podpisu, który nie wymaga lokalnego tłumaczenia „co autor miał na myśli”. Podpis kwalifikowany nie wygrywa dlatego, że jest dostępny na jeden klik. Wygrywa, ponieważ obniża koszt zaufania. 

Na tym tle polskie rozwiązania krajowe — podpis zaufany i podpis osobisty — były bardzo użyteczne, ale od początku miały charakter częściowy. Podpis zaufany to narzędzie stworzone przede wszystkim do kontaktów z administracją publiczną i w rzeczywistości przy transakcjach o bardzo niskim ryzyku. Oficjalny opis państwowy mówi wprost, że profil zaufany służy tylko do kontaktów z administracją publiczną 

Podpis osobisty także ma swoje ograniczenia. Dla podmiotu publicznego wywołuje taki sam skutek prawny jak podpis własnoręczny, ale w relacjach z podmiotami niepublicznymi może być używany tylko wtedy, gdy obie strony wyrażą na to zgodę – czego w rzeczywistości nie da się udowodnić, jeżeli nie mamy wcześniej zawartej umowy. To oznacza, że nie buduje on automatycznie powszechnej akceptacji w obrocie gospodarczym, co więcej, nie jest rozpoznawalny poza granicami Polski i nie jest widoczny jako wiarygodny ani prawidłowo zweryfikowany w podpisanych dokumentach. Innymi słowy: działa, ale nie tworzy jednolitego rynku. W praktyce wymaga dodatkowego uzgodnienia, a każde dodatkowe uzgodnienie to tarcie, niepewność i niższa skłonność do masowego użycia. 

Europejski Portfel Cyfrowej Tożsamości

Tu dochodzimy do najważniejszej zmiany: Europejskiego Portfela Cyfrowej Tożsamości. Zmienione unijne ramy eIDAS przewidują, że europejskie portfele tożsamości umożliwią użytkownikom tworzenie i używanie kwalifikowanych podpisów elektronicznych akceptowanych w całej Unii Europejskiej. Co więcej, po rejestracji do portfela osoba fizyczna powinna móc wykonywać podpisy kwalifikowanym podpisem domyślnie i bez dodatkowych procedur administracyjnych, a użycie kwalifikowanego podpisu przez osoby fizyczne do celów nieprofesjonalnych ma być bezpłatne. Celem jest nie tylko wygoda, ale też interoperacyjność i wyższy poziom bezpieczeństwa całego ekosystemu cyfrowego. 

W Polsce ten kierunek przestał być już teorią. W aplikacji mObywatel udostępniono bezpłatne podpisy kwalifikowane dla obywateli, z limitem 5 dokumentów miesięcznie, przy użyciu mDowodu i e-dowodu z warstwą elektroniczną. Wdrożony podpis jest pełnowartościowym kwalifikowanym podpisem elektronicznym dostępnym dla każdej osoby, która posiada aplikację mObywatel. Został on wdrożony wraz z pięcioma funkcjonującymi na polskim rynku kwalifikowanymi dostawcami usługi zaufania. To bardzo ważny sygnał: kwalifikowany podpis przestaje być produktem niszowym dla prawników, urzędników, zarządów i specjalistów od compliance, a zaczyna stawać się narzędziem powszechnym. 

Jeżeli więc każdy obywatel będzie miał łatwy dostęp do podpisu kwalifikowanego w portfelu, to trzeba postawić niewygodne, ale uczciwe pytanie: po co utrzymywać na styku z osobą fizyczną równoległe podpisy państwowe o węższej użyteczności? Odpowiedź brzmi: przez okres przejściowy jeszcze tak, docelowo raczej nie. Podpis zaufany i podpis osobisty odegrały ważną rolę w cyfryzacji państwa, ale były rozwiązaniami epoki przejściowej – dobrymi na czas, w którym kwalifikowany podpis był za drogi, zbyt trudny albo zbyt mało dostępny. Gdy jednak kwalifikowany podpis staje się powszechny, mobilny i osadzony w portfelu, dalsze utrzymywanie wielu konkurencyjnych „półuniwersalnych” podpisów zaczyna bardziej szkodzić niż pomagać. 

Dlaczego utrzymywanie konkurencyjnych podpisów bardziej szkodzi niż pomaga? 

Szkodzi z trzech powodów. Po pierwsze, szkodzi rozpoznawalności. Obywatel nie powinien zastanawiać się, czy w danej sprawie działa podpis zaufany, osobisty czy kwalifikowany. Powinien wiedzieć jedno: podpisuję cyfrowo w sposób, który wszyscy akceptują. Po drugie, szkodzi używalności. Każdy dodatkowy mechanizm to inny interfejs, inna instrukcja, inna logika prawna i inna lista wyjątków. Po trzecie, szkodzi bezpieczeństwu systemowemu – nie dlatego, że każdy z tych mechanizmów jest „niebezpieczny”, ale dlatego, że rozdrobnienie utrudnia budowę jednolitych procesów weryfikacji, archiwizacji, audytu i odpowiedzialności. Rynek lepiej działa wtedy, gdy ma wspólny standard pierwszego wyboru. 

Nie oznacza to jednak, że wszystko poza podpisem osoby fizycznej trzeba wyrzucić do kosza. W obrocie profesjonalnym firmy nadal będą potrzebowały podpisów i pieczęci powiązanych z organizacją, modelami reprezentacji, pełnomocnictwami, workflow, systemami ERP, obiegiem dokumentów i automatyzacją. Tam biznes już sobie radzi i tam różne modele podpisywania będą dalej potrzebne: podpisy pracowników działających z upoważnienia, pieczęcie elektroniczne, podpisy serwerowe, podpisy zintegrowane z procesem korporacyjnym. Ten świat powinien zostać i rozwijać się dalej, bo odpowiada na inne potrzeby niż podpis obywatela, który zawiera umowę najmu, potwierdza zgodę albo podpisuje dokument dla urzędu. 

Trzeba rozdzielić dwa porządki 

Właśnie dlatego trzeba rozdzielić dwa porządki. Pierwszy to podpis osoby fizycznej jako obywatela, klienta, konsumenta i uczestnika życia gospodarczego. Tu celem powinien być jeden standard: kwalifikowany, mobilny, łatwo dostępny, akceptowany przez każdego. Drugi to podpisy organizacyjne i profesjonalne, gdzie nadal liczą się role, mandaty, reprezentacja i procesy firmowe. Tam także potrzebujemy kwalifikowanego podpisu elektronicznego, ale ujawniającego powiązanie z firmą, pełnomocnictwa i użycia opartego na innych mechanizmach niż portfel cyfrowej tożsamości. Ale tu i tu mamy kwalifikowany podpis elektroniczny.  

Strategia akceptacji podpisów elektronicznych powinna więc prowadzić do prostego finału: jeden podpis kwalifikowany, dostępny dla każdego i akceptowany przez każdego. Nie dlatego, że wszystko inne było błędem, lecz dlatego, że dojrzeliśmy do kolejnego etapu. Państwo powinno stopniowo odchodzić od promowania krajowych podpisów o ograniczonym zasięgu jako docelowego rozwiązania dla obywatela i skupić się na upowszechnieniu kwalifikowanego podpisu w portfelu. To nie jest tylko porządkowanie technologii, ale to także porządkowanie zaufania. 

W dobrze działającej gospodarce cyfrowej podpis nie powinien być przeszkodą ani zagadką. Powinien być czymś oczywistym: biorę telefon, otwieram portfel, podpisuję i wiem, że dokument zadziała u kontrahenta, w banku, u usługodawcy i w urzędzie. Gdy do tego dojdziemy, rozmowa o podpisach elektronicznych przestanie być rozmową o wyjątkach, a stanie się rozmową o normalności. 

 

Data publikacji: 20.04.2026