Kwalifikowany podpis elektroniczny nie jest tylko wygodnym zamiennikiem podpisu na papierze. W obrocie prawnym ma bardzo dużą moc, bo na gruncie unijnego rozporządzenia eIDAS wywołuje skutek prawny równoważny podpisowi własnoręcznemu. To oznacza, że może skutecznie służyć do podpisywania umów, oświadczeń, dokumentów firmowych i wielu formalnych pism.
W praktyce to narzędzie daje ogromną wygodę, ale wymaga też dużej odpowiedzialności. Podpis kwalifikowany nie jest czymś, co można bezpiecznie przekazać współpracownikowi, księgowej, pracownikowi czy członkowi rodziny do swobodnego używania.
Dlaczego taki podpis ma tak dużą wagę
Siła podpisu kwalifikowanego nie wynika z graficznego obrazka podpisu, ale z powiązania dokumentu z kwalifikowanym certyfikatem i z danymi służącymi do składania podpisu. Prawidłowo złożony podpis jest przypisany do konkretnej osoby, a każda późniejsza zmiana podpisanego dokumentu powinna być wykrywalna.
Dlatego podpis kwalifikowany ma znacznie mocniejsze podstawy techniczne i dowodowe niż zwykła parafka na kartce. Podpis odręczny można analizować grafologicznie i spierać się o jego autentyczność. W przypadku kwalifikowanego podpisu elektronicznego kluczowe jest to, kto miał kontrolę nad certyfikatem, nośnikiem, aplikacją i kodem PIN w chwili podpisu.
Czy taki podpis można podrobić
W praktyce nie chodzi o podrobienie wyglądu podpisu, tylko o nieuprawnione użycie cudzych danych do składania podpisu. To zasadnicza różnica. Kwalifikowany podpis elektroniczny nie polega na wklejeniu obrazka z podpisem, lecz na operacji kryptograficznej związanej z Twoim certyfikatem.
Jeżeli podpis został poprawnie złożony i prawidłowo zwalidowany, jest bardzo silnie powiązany z osobą podpisującą i dokumentem. Dlatego nie wolno zakładać, że później łatwo będzie wyjaśnić: „to nie ja, tylko ktoś inny użył mojego podpisu”. Jeśli ktoś miał dostęp do Twojego nośnika lub aplikacji i znał PIN, sytuacja może stać się dla Ciebie bardzo poważna dowodowo.
Co grozi, gdy dasz komuś swój podpis kwalifikowany do używania
Jeżeli świadomie oddasz komuś swój podpis kwalifikowany, kartę, token, telefon z aktywną usługą albo kod PIN, narażasz się na bardzo realne skutki:
- ktoś może podpisać w Twoim imieniu umowę, aneks, oświadczenie, wniosek lub dokument firmowy,
- możesz zostać wciągnięty w spór z kontrahentem, urzędem albo wspólnikiem,
- możesz narazić siebie lub firmę na zobowiązania, których wcale nie chciałeś zaciągać,
- w razie nadużycia problemem nie będzie wygląd podpisu, tylko to, że użyto Twoich danych do składania podpisu.
Co ważne, polska ustawa o usługach zaufania oraz identyfikacji elektronicznej przewiduje odpowiedzialność karną za złożenie kwalifikowanego podpisu elektronicznego z wykorzystaniem danych przyporządkowanych do innej osoby. Ustawa przewiduje za to grzywnę, karę ograniczenia wolności albo pozbawienia wolności do lat 3. Taka sama sankcja dotyczy także bezprawnego kopiowania lub przechowywania danych, które mogłyby służyć do odtworzenia podpisu.
Najważniejsza zasada
Podpis kwalifikowany powinien pozostawać wyłącznie pod Twoją kontrolą. Nie udostępniaj nikomu certyfikatu, karty, tokena, aplikacji mobilnej do składania podpisu ani kodów PIN. Jeżeli podejrzewasz, że ktoś uzyskał do nich dostęp, trzeba działać od razu: zablokować lub unieważnić certyfikat i przeanalizować, czy nie doszło do nadużycia.
Ten artykuł ma charakter informacyjny i nie zastępuje porady prawnej w konkretnej sprawie. Jeśli chcesz bezpiecznie wdrożyć kwalifikowany podpis elektroniczny w firmie i uniknąć błędów organizacyjnych, mogę pomóc w doborze rozwiązania oraz w całym procesie uruchomienia usługi.