Andrzej Jankowiak PODPIS ELEKTRONICZNY JAKO GWARANT
Transkrypt
Andrzej Jankowiak PODPIS ELEKTRONICZNY JAKO GWARANT
Andrzej Jankowiak* PODPIS ELEKTRONICZNY JAKO GWARANT BEZPIECZEŃSTWA TRANSAKCJI ELEKTRONICZNYCH Wstęp Świat zmierza w kierunku e-gospodarki. Zjawisko to jest dodatkowo potęgowane procesem globalizacji. Dzięki temu moŜna pracować i być w ciągłym kontakcie z innymi osobami, niezaleŜnie od miejsca pobytu, wykorzystując komputery wraz z łączem internetowym dającym dostęp do globalnej sieci Internet. Bankowość, jak kaŜda inna dziedzina Ŝycia gospodarczego, jest pod silnym wpływem postępu technicznego zachodzącego w dziedzinie techniki i informatyki. Postęp ten dotyczy szczególnie bankowości elektronicznej – wykorzystującej kanały elektroniczne do świadczenia usług bankowych. Klient posiada dostęp do konta bankowego i moŜe wykonywać na nim operacje finansowe za pośrednictwem komputera podłączonego do sieci Internet, telefonu lub innych urządzeń elektronicznych1. Instytucja bankowa jest zobowiązana do zapewnienia bezpieczeństwa przechowywanych oszczędności klientów2 oraz dokonywanych transakcji rozliczeniowych (finansowych). Ewentualne nieprawidłowości, nagłośnione dodatkowo w mediach, niekorzystnie oddziałują na zaufanie klientów do banku. Zaufanie, w przypadku efektu anonimowości Internetu, jest najcenniejszą wartością i gwarantem ekspansji banku na rynku. Dlatego instytucje finansowe tak wielką wagę przywiązują do zabezpieczania transakcji rozrachunkowych. Wykorzystuje się w tym celu róŜne metody, pozwalające z jednej strony na uwierzytelnienie klienta, a z drugiej strony na zabezpieczenie przesyłanych danych. * Autor przygotowuje rozprawę doktorską w Katedrze Bankowości pod kierunkiem prof. dr hab. Alfreda Janca. 1 Zob. Rada Bankowości Elektronicznej, strona internetowa: www.rbe.pl (24.06.2005). 2 Ustawa z dnia 29 sierpnia 1997 roku – Prawo bankowe (tekst jednolity Dz.U. nr 72, poz. 665 z 2002 r.), art. 50, ust. 2. Odpowiedzią na wspomniane potrzeby jest bezpieczny podpis elektroniczny. Taki podpis, zgodnie z ustawą o podpisie elektronicznym3, powinien posiadać waŜny kwalifikowany certyfikat. Podpis elektroniczny stanowi połączenie uwierzytelnienia z zabezpieczeniem komunikacji elektronicznej. Dzięki temu moŜliwe jest znacznie szersze jego wykorzystanie niŜ w przypadku dotychczasowych zabezpieczeń, takich jak hasła, token itp. Podpis nie jest związany z konkretną instytucją finansową lub handlową, moŜna go wykorzystać przy uwiarygadnianiu róŜnych transakcji. W artykule przedstawiono rolę i znaczenie podpisu elektronicznego jako elementu wpływającego na poprawę bezpieczeństwa całego systemu komunikacji elektronicznej. Z powodu niewiary klientów w gwarantowanie bezpieczeństwa przeprowadzanych transakcji elektronicznych, nie rośnie zainteresowanie podpisem elektronicznym. Sytuacji nie zmieniło uchwalenie ustawy o podpisie elektronicznym. Artykuł ma za zadanie określić stan obecny i perspektywy wykorzystania tego podpisu. Wspomniany cel osiągnięto przeprowadzając analizę literatury przedmiotu i interpretację przepisów prawa obowiązujących w Polsce. W punkcie drugim artykułu opisano szczegółową tematyką podpisu elektronicznego, w tym procedurę składania takiego podpisu. Punkt trzeci wyraźnie zaznacza obecność i wagę przepisów prawa w tworzonym i uŜytkowanym systemie komunikacji elektronicznej. Na zakończenie przedstawiono stan zabezpieczeń stosowanych w bankowości elektronicznej oraz wskazano inne zastosowania dla podpisu elektronicznego poza bankowością. 1. Szyfrowanie danych a podpis elektroniczny Historia szyfrowania informacji sięga czasów staroŜytnego Rzymu. Juliusz Cezar przy pomocy szyfrów substytucyjnych ukrywał prawdziwą treść przesyłanych listów. Zachowanie bezpieczeństwa przekazywanych wiadomości miało ogromne znaczenie równieŜ podczas pierwszej i drugiej wojny światowej. W tym celu armia niemiecka wykorzystywała maszynę szyfrującą Enigma4. 3 Ustawa z dnia 18 września 2001 roku o podpisie elektronicznym (Dz.U. nr 130, poz. 1450) 4 Maszyna była napędzana prądem elektrycznym, który poruszał wewnętrzne wirniki, tworząc zaszyfrowaną wiadomość. Zaskoczeniem dla wojsk alianckich było odgadnięcie połączeń elektrycznych pomiędzy trzema wirnikami Enigmy. Ten problem 6 Współczesna kryptografia opiera się na dwóch rodzajach systemów szyfrowych5: - kryptografia symetryczna – ten sam klucz kryptograficzny uŜywany jest do szyfrowania i deszyfrowania, - kryptografia asymetryczna – uŜywa się w niej dwóch kluczy: jednego wyłącznie do szyfrowania, a drugiego tylko do odszyfrowania; znając klucz deszyfrujący nie moŜna odgadnąć z niego klucza szyfrującego. Kryptografia asymetryczna posiada zaletę polegającą na moŜliwości przesyłania klucza deszyfrującego do adresata wiadomości bez ryzyka niepowołanego podejrzenia i odgadnięcia klucza szyfrującego. Podpis elektroniczny w przeciwieństwie do wspomnianych rodzajów szyfrowania nie ma na celu szyfrowania całej wiadomości, pomimo Ŝe wywodzi się z kryptograficznego klucza asymetrycznego. Szyfrowaniu podlega tylko skrót wiadomości, tworząc z kluczem prywatnym nadawcy niepowtarzalny podpis elektroniczny. Gwarantuje to niezmienność treści wiadomości oraz identyfikuje nadawcę wiadomości. 2. Charakterystyka podpisu elektronicznego 2.1. Podpis elektroniczny – zagadnienia ogólne Podpis elektroniczny jest zdefiniowany w ustawie o podpisie elektronicznym, w art. 3 ust. 1, jako dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub z którymi są logicznie powiązane, słuŜą do identyfikacji osoby składającej podpis elektroniczny6. Do elektronicznego podpisywania wiadomości potrzebne są dwa klucze – klucz prywatny, znany jedynie jego posiadaczowi i tylko przez niego wykorzystywany do podpisów, oraz klucz publiczny udostępniony publicznie, słuŜący do deszyfrowania wiadomości. rozwiązali trzej polscy matematycy w 1933 roku. Encyklopedia historii świata dla całej rodziny, red. J. Fronczak, Reader’s Digest Polska, Warszawa 2001, s. 148. 5 M. Marucha-Jaworska, Podpis elektroniczny, Prawo i Praktyka Gospodarcza, Warszawa 2002, s. 25 i nast. 6 Ustawa z dnia 18 września 2001 roku o podpisie elektronicznym, op. cit., art. 3 ust. 1. 7 Podpis elektroniczny ma na celu7: zapewnienie integralności danych, czyli umoŜliwienie wykrycia wszelkich prób modyfikacji dokonanych od momentu podpisania do momentu odebrania elektronicznej przesyłki, uwierzytelnienie – czyli zagwarantowanie, Ŝe nadawca wiadomości jest tą osobą, za którą się podaje, niezaprzeczalność – czyli udowodnienie, Ŝe dana przesyłka pochodzi od nadawcy. - - Do właściwości podpisu elektronicznego T. Koźliński zaliczył następujące cechy8: - odnosi się do całego dokumentu, - nie moŜe być przeniesiony na inny dokument, - zmodyfikowanie podpisanego dokumentu jest zawsze wykrywalne, - uwierzytelnia osobę, która go złoŜyła, - jest nie do podrobienia. Dla zapewnienia poufności klucz prywatny powinien być przechowywany w urządzeniu, które gwarantuje maksymalny poziom bezpieczeństwa tego klucza. MoŜe on mieć postać pliku zapisanego na dyskietce, płycie CD lub w pamięci komputera, wtedy w momencie podpisywania naleŜy wskazać ścieŜkę dostępu do tego pliku. Są to rozwiązania najprostsze, ale nie gwarantują pełnego bezpieczeństwa. Klucz moŜe być równieŜ przechowywany na karcie kryptograficznej, będącej odmianą karty mikroprocesorowej z wbudowanym układem realizującym operacje kryptograficzne. Karta taka jest rozwiązaniem wykorzystywanym w przypadku stosowania bezpiecznego podpisu elektronicznego. Podczas podpisywania, kartę z takim kluczem naleŜy umieścić w specjalnym czytniku kart. Rozwiązanie to ma wiele zalet w porównaniu do klucza w postaci pliku – nie moŜna go skopiować czy usunąć, gdyŜ fizycznie nie opuszcza on karty mikroprocesorowej. Szyfrowanie odbywa się na karcie przy wykorzystaniu jej wewnętrznego procesora i pamięci9. 7 Podpis elektroniczny. Komentarz do ustawy z 18 września 2001 roku, red. nauk. J. Przetocki, Lexis Nexis, Warszawa 2002, s. 30. 8 T. Koźliński, Bankowość internetowa, CeDeWu, Warszawa 2002, s. 83. 9 K. Szaniawski, T. Kościelny, Ustawa o podpisie elektronicznym. Komentarz, Kantor Wydawniczy Zakamycze, Kraków 2003, s. 37-38. 8 Podpis elektroniczny moŜe wywoływać skutki prawne równe złoŜeniu podpisu własnoręcznego. Jednak dzieje się tak tylko w przypadku uŜycia bezpiecznego podpisu elektronicznego, tzn. zgodnego z ustawą i jego zweryfikowania kwalifikowanym certyfikatem. Bezpieczny podpis elektroniczny róŜni się od „zwykłego” podpisu elektronicznego tym, Ŝe jest10: - przyporządkowany wyłącznie do osoby składającej ten podpis, - sporządzony za pomocą bezpiecznych urządzeń podlegających wyłącznej kontroli osoby podpisującej, - powiązany z danymi, do których został dołączony w taki sposób, Ŝe jakakolwiek późniejsza zmiana tych danych jest rozpoznawalna. UŜycie podpisu elektronicznego nie oznacza, Ŝe zachowana jest forma pisemna dokumentu. Zrównanie dotyczy jedynie skutków prawnych dokumentów podpisanych elektronicznie z podpisanymi własnoręcznie. 2.2. Rola certyfikatu w infrastrukturze klucza publicznego Podpis elektroniczny, aby został uznany za równowaŜny podpisowi własnoręcznemu, musi posiadać certyfikat kwalifikowany. Certyfikat to – według wykładni prawa – elektroniczne zaświadczenie, które potwierdza przypisanie klucza publicznego do danej osoby i przez to umoŜliwia identyfikację tej osoby11. Certyfikat ma słuŜyć jednemu celowi – jednoznacznemu przyporządkowaniu klucza publicznego do konkretnej osoby fizycznej. Poza certyfikatem kwalifikowanym słuŜącym weryfikacji bezpiecznego podpisu elektronicznego rozróŜnia się takŜe certyfikat niekwalifikowany, który nie powoduje w świetle prawa zrównania podpisu elektronicznego z własnoręcznym. Ustawa określa, jakie dane musi zawierać certyfikat, aby był określany mianem kwalifikowanego. Pod względem technicznym certyfikat zgodny ze standardem X.509 w wersji trzeciej zawiera: numer wersji certyfikatu, numer seryjny, sygnaturę (identyfikator algorytmu), wystawcę, okres waŜności certyfikatu, dane o podmiocie – właścicielu certyfikatu, klucz publiczny pod- 10 Ustawa z dnia 18 września 2001 roku o podpisie elektronicznym, op. cit., art. 5 ust. 2 oraz art. 3 ust. 2. 11 Ibidem, art. 3 ust. 10. 9 miotu, unikatowy identyfikator wystawcy oraz rozszerzenia i ograniczenia12. Parę kluczy kryptograficznych generuje urząd certyfikacyjny lub sam uŜytkownik. Kolejną czynnością jest przedłoŜenie klucza publicznego w urzędzie certyfkacyjnym wraz z dokumentem potwierdzającym toŜsamość w celu wystawienia przez urząd certyfikatu. Certyfikat jest wydawany po sprawdzeniu dokumentów i po podpisaniu umowy o świadczenie usług certyfikacyjnych, sporządzanej w formie pisemnej. Umowa taka określa zakres stosowania certyfikatu, okres jego waŜności, zakres świadczonych usług i koszt13. Certyfikat opiera się na kluczu prywatnym centrum, kluczu publicznym uŜytkownika i danych uŜytkownika. Polski rynek usług podpisu elektronicznego ciągle się rozwija. Osoba fizyczna moŜe nabyć certyfikat kwalifikowany – wydawany przez centrum certyfikacyjne, które uzyskało stosowne zaświadczenie i znajduje się na liście „kwalifikowanych podmiotów świadczących usługi certyfikacyjne”. Na liście kwalifikowanych podmiotów znajdują się cztery instytucje, które wydają kwalifikowane certyfikaty. Poza centrami kwalifikowanymi, certyfikaty moŜna zakupić w centrum certyfikacyjnym nie posiadającym zaświadczenia certyfikacyjnego ministra właściwego do spraw gospodarki, oferującym klientom zwykłe certyfikaty. 2.3. Etapy tworzenia podpisu elektronicznego Proces składania bezpiecznego podpisu elektronicznego, zgodnego z ustawą o podpisie elektronicznym, przebiega w następujący sposób14: - obliczanie skrótu wiadomości elektronicznej za pomocą odpowiedniej funkcji skrótu – wynika to z załoŜenia, Ŝe szyfrowaniu podlega nie cała wiadomość, lecz tylko utworzony na jej podstawie skrót; niezaleŜnie od wielkości dokumentu elektronicznego skrót zawsze ma taką samą długość liczoną w bitach; algorytm tworzący posiada trzy właściwości: kaŜda zmiana oryginalnej wiadomości skutkuje zmianą skrótu, nie jest moŜliwe odtworzenie podstawowej wiadomości na podstawie samego skrótu, nie istnieją dwa róŜne dokumenty dające taki sam skrót, 12 C. Adams, S. Lloyd, Podpis elektroniczny. Klucz publiczny, Wydawnictwo Robomatic, Wrocław2002, s. 69. 13 R. Podpłoński, P. Popis, Podpis elektroniczny. Komentarz, Difin, Warszawa 2004, s. 68. 14 M. Marucha-Jaworska, Podpis elektroniczny..., op. cit., s. 29. 10 - szyfrowanie skrótu wiadomości elektronicznej przy pomocy specjalnego asymetrycznego algorytmu szyfrującego z wykorzystaniem klucza prywatnego podpisującego; skrót zaszyfrowany w taki sposób staje się podpisem elektronicznym; podpis ten jest ukształtowany przez dwa czynniki: skrót wiadomości i klucz prywatny, przesłanie jawnej wiadomości elektronicznej i podpisanego skrótu drogą elektroniczną do adresata. - Weryfikacja podpisu elektronicznego składa się z następujących etapów, które wykonuje odbiorca dokumentu15: - odszyfrowanie podpisanego skrótu za pomocą algorytmu deszyfrującego oraz klucza publicznego nadawcy, - obliczenie skrótu dla otrzymanego dokumentu elektronicznego, - porównanie skrótu otrzymanego, który został odszyfrowany kluczem publicznym ze skrótem wyliczonym z dokumentu elektronicznego. Gdy oba skróty są identyczne, podpis elektroniczny jest traktowany jako waŜny. W przeciwnym wypadku naleŜy odrzucić podpis, gdyŜ wiadomość została zmieniona po podpisaniu lub nadawca wiadomości nie jest osobą, za którą się podaje. Wszystkie opisane czynności dokonywane przez nadawcę i odbiorcę w praktyce wykonuje komputer. UŜytkownik wydaje polecenie podpisania wiadomości lub jej zweryfikowania. Komputer poprzez wyświetlenie odpowiedniego komunikatu prosi o wskazanie klucza, ścieŜki dostępu lub karty mikroprocesorowej, a następnie informuje uŜytkownika o efektach przeprowadzonych działań obliczeniowych. 3. Przepisy prawne dotyczące podpisu elektronicznego Pierwszym krajem, w którym ustanowiono przepisy prawa dotyczące podpisu elektronicznego, były Stany Zjednoczone. Wynikało to z faktu, iŜ wykorzystanie Internetu w celach handlowych było tam najbardziej rozpowszechnione. Z racji tego, Ŝe akty prawne tworzą parlamenty stanowe, pierwsza ustawa powstała w Stanie Utah w 1995 roku. JednakŜe w 2000 roku poszczególne ustawy stanowe zostały zastąpione jedną wspólną ustawą federalną. 15 Podpis elektroniczny. Komentarz..., op. cit., s. 37. 11 W Unii Europejskiej ogólne warunki dla ustawodawstwa państw członkowskich wyznaczyła dyrektywa w sprawie ramowych załoŜeń Wspólnoty dla podpisu elektronicznego16 opracowana przez Parlament Europejski i Radę Unii Europejskiej w 1999 roku. Dyrektywa rozpoczyna się od preambuły, która stwierdza między innymi, Ŝe „szybki rozwój technologii i globalny charakter Internetu wymagają koncepcji otwartej na róŜne technologie i usługi w dziedzinie autoryzacji elektronicznej”17. Cytowany fragment potwierdza otwartość Unii na postęp technologiczny oraz rozwój Internetu. Ponadto wskazuje główny priorytet Dyrektywy, jakim jest neutralność technologiczna podpisu elektronicznego. Dyrektywa w artykule 2 definiuje dwa rodzaje podpisów: podpis elektroniczny oraz zaawansowany podpis elektroniczny – powodujący, przy zachowaniu określonych Dyrektywą wymogów, zrównanie skutków prawnych jego zastosowania z podpisem własnoręcznym. Świadczeniem usług certyfikacyjnych oraz innych usług związanych z podpisem elektronicznym zajmuje się dostawca usług autoryzacyjnych. Dyrektywa gwarantuje wzajemne uznawanie certyfikatów podpisów elektronicznych wystawionych w poszczególnych państwach. W celu spełnienia tego postulatu w Dyrektywie przyjęto rozwiązania kompromisowe oraz nie do końca sprecyzowane, pozostawiając moŜliwości interpretacyjne parlamentom państw członkowskich18. Na dostosowanie przepisów wewnętrznych państwa członkowskie miały czas do 19 czerwca 2002 roku. Nad prawidłowością stanowionego prawa i objaśnianiem standardów dotyczących podpisu elektronicznego czuwał Komitet ds. Podpisu Elektronicznego. Polska ustawa o podpisie elektronicznym powstała z połączenia dwóch projektów legislacyjnych – rządowego i poselskiego. Ostatecznie Sejm RP uchwalił ustawę w dniu 18 września 2001 roku, zachowując nadrzędną zasadę neutralności technologicznej podpisu elektronicznego. Rozdział pierwszy określa warunki stosowania przepisów ustawy. Artykuł 3 definiuje podstawowe wyraŜenia, w tym takŜe pojęcie podpisu elektronicznego, wzorowane na Dyrektywie Parlamentu i Rady Unii Europejskiej. Rozdział drugi określa skutki prawne stosowania podpisu elektronicznego. Wymienia warunki, po spełnieniu których podpis elek16 Dyrektywa 1999/93/EC z dnia 13 grudnia 1999 roku w sprawie wspólnotowych ram w zakresie podpisów elektronicznych (Dz. Urz. WE L 13 z 19.01.2000). 17 Preambuła, Dyrektywa 1999/93/EC..., op. cit. 18 Podpis elektroniczny. Komentarz..., op. cit., s. 22. 12 troniczny jest równowaŜny podpisowi własnoręcznemu. Kolejne rozdziały poruszają problematykę świadczenia usług certyfikacyjnych oraz waŜności certyfikatów. Ostatnie trzy rozdziały zajmują się problematyką nadzoru nad działalnością podmiotów świadczących wspomniane usługi, ustanawiają przepisy karne oraz informują o przepisach przejściowych. Wybór opcji preferującej zachowanie neutralności technologicznej, z jednej strony moŜe powodować opóźnienia we wprowadzaniu podpisu – wynika to z braku decyzji ustawodawcy, dotyczącej wyboru konkretnego rozwiązania technicznego podpisu elektronicznego, a z drugiej strony uniknięcia przyjęcia określonej technologii, która w krótkim czasie moŜe stać się przestarzała. Precyzyjne kryteria techniczne i organizacyjne normujące podpis elektroniczny, certyfikat oraz podmioty świadczące usługi certyfikacyjne zostały umieszczone przez ustawodawcę w rozporządzeniach wykonawczych do ustawy. Głównym zadaniem ustawy normującej nowy, dotychczas nie uregulowany obszar Ŝycia gospodarczego, jest stworzenie ram prawnych infrastruktury podpisu elektronicznego, która umoŜliwi niezawodne posługiwanie się wspomnianym podpisem. Stworzy podstawę bezpieczeństwa, jaką jest budowanie od strony prawnej zaufania do nowoczesnej techniki, umoŜliwiającej wiarygodne zawieranie transakcji elektronicznych. Ustawa pozwoli na dokonywanie czynności cywilnoprawnych w formie elektronicznego oświadczenia woli. Wadą przedstawionej ustawy jest uŜycie w niej fachowych sformułowań technicznych, języka niezrozumiałego dla przeciętnego czytelnika. Charakteryzując przepisy prawa normujące komunikację elektroniczną naleŜy jeszcze wspomnieć ustawę o elektronicznych instrumentach płatniczych19. Do 2002 roku warunki korzystania z rozliczeń bezgotówkowych były określane w dowolnie formułowanych umowach o świadczenie usług bankowości elektronicznej, zawieranych przez klienta z bankiem. ZałoŜenia uchwalonej w 2002 roku ustawy zostały oparte na Dyrektywach Parlamentu i Rady Unii Europejskiej. Dzięki temu stopniowo tworzy się w Unii Europejskiej jednolity rynek elektronicznych instrumentów płatniczych20. 19 Ustawa z dnia 12 września 2002 roku o elektronicznych instrumentach płatniczych (Dz.U. nr 169, poz. 1385). 20 S. Jakubiec, M. Szcześ, Elektroniczne usługi finansowe – charakterystyka rynku, wyzwania i inicjatywy regulacyjne, Materiały i Studia, Zeszyt nr 139, NBP, 2002, s. 33. 13 Jak wspomniano wcześniej ustawa o elektronicznych instrumentach płatniczych nie zrewolucjonizowała bankowości, jednakŜe jej zapisy uściśliły prawa i obowiązki stron w rozliczeniach elektronicznych. Celem ustawy jest określenie zasad wydawania i uŜywania elektronicznych instrumentów płatniczych. Ponadto normuje tworzenie, organizację, działalność oraz nadzór, a takŜe likwidację instytucji pieniądza elektronicznego21. W rozdziale czwartym zatytułowanym „Usługi bankowości elektronicznej” uregulowano w szczególności kwestię dotyczącą umowy o usługi bankowości elektronicznej. Umowa ta zobowiązuje bank do: zapewnienia dostępu, za pomocą urządzeń elektronicznych, do środków pienięŜnych zgromadzonych na rachunku, zapewnienia bezpieczeństwa dokonywanych operacji, ustalania zasad identyfikacji klienta, udostępniania informacji o dokonywanych operacjach lub o odmowie wykonania zleconych operacji. Generalny Inspektorat Nadzoru Bankowego, w związku z potrzebą wskazania bankom sposobu zarządzania ryzykiem powstającym przy świadczeniu usług bankowości elektronicznej, wydał „Rekomendację D dotyczącą zarządzania ryzykami towarzyszącymi systemom informatycznym i telekomunikacyjnym uŜywanym przez banki”22. Zaleca ona stworzenie procedur mających ograniczyć potencjalne zagroŜenia w transakcjach elektronicznych23. 4. Stan bezpieczeństwa transakcji 4.1. Bankowość elektroniczna Bankowość elektroniczna umoŜliwia klientowi dostęp do rachunku bankowego w dowolnym czasie i miejscu przy uŜyciu określonego urządzenia elektronicznego. Przy okazji pozwala to na usprawnienie pracy oddziałów, dzięki zmniejszeniu liczby klientów odwiedzających tradycyjne placówki banku. Szczególnym rodzajem bankowości elektronicznej jest 21 Ustawa z dnia 12 września 2002 roku o elektronicznych instrumentach płatniczych, op. cit, art. 1, pkt 1. 22 Rekomendacja D – dotycząca zarządzania ryzykami towarzyszącymi systemom informatycznym i telekomunikacyjnym uŜywanym przez banki, GINB, Warszawa 2002, http://www.nbp.pl/Publikacje/nadzor_bankowy/pdf/rekomendacja_d.pdf. 23 M. Kisiel, Internet a konkurencyjność banków w Polsce, CeDeWu, Warszawa 2005, s. 179. 14 bankowość internetowa, oferująca dostęp do usług bankowych za pośrednictwem sieci Internet24. W bankowości internetowej wykorzystuje się do szyfrowania przesyłanych informacji protokół SSL ze 128-bitowym kluczem szyfrującym. UmoŜliwia on bezpieczną transmisję danych między serwerem banku a komputerem klienta. Zaszyfrowane informacje są nieczytelne dla kogokolwiek poza ich nadawcą i odbiorcą25. Niektóre banki, poza szyfrowaniem przesyłanych danych, stosują takŜe inne metody podnoszące poziom bezpieczeństwa. Przykładem moŜe być token lub lista haseł jednorazowych. Pierwsza z wymienionych metod generuje hasła lub podpis elektroniczny na podstawie algorytmu kryptograficznego, opartego na kluczu prywatnym i bieŜącym czasie. Wyświetlone przez token hasło jest waŜne tylko przez kilkadziesiąt sekund. UŜycie go w późniejszym czasie nie zostanie zaakceptowane26. Hasła jednorazowe słuŜą do potwierdzania złoŜonych dyspozycji dotyczących przelewów bankowych. Karty zawierające hasła są generowane przez system informatyczny dla kaŜdego klienta indywidualnie. Zaletą tych haseł jest ochrona, jaką dają – raz uŜyte hasło nie moŜe być wykorzystane ponownie. Stanowi to dodatkową gwarancję w sytuacji podejrzenia przez osobę niepowołaną numeru klienta i hasła dostępu. Przelew bez hasła jednorazowego nie będzie zrealizowany27. Banki, wprowadzając bankowość internetową, zainwestowały w nią duŜe pieniądze. Inwestycje objęły zarówno sferę techniczną, zapewniając bezpieczeństwo i niezawodność systemu, jak równieŜ działalność marketingową. Pomimo poniesionych nakładów tempo rozwoju bankowości elektronicznej jest relatywnie słabe. Mają na to wpływ trzy zjawiska28: - niechęć do korzystania z usług bankowych lub przymuszanie do ich wykorzystywania – część społeczeństwa realizuje jedynie obrót gotówkowy; niektórzy klienci banków posiadają konto ban- 24 Bankowość elektroniczna, red. A. Gospodarowicz, Polskie Wydawnictwo Ekonomiczne, Warszawa 2005, s. 28-29. 25 Nowe technologie we współczesnym banku, red. A. Janc, G. Kotliński, Akademia Ekonomiczna w Poznaniu, Poznań 2004, s. 137. 26 Nowe technologie..., op. cit., s. 139. 27 Patrz: strona internetowa: www.mbank.pl (7.07.2005). 28 B. Chochołowski, Kto rządzi polską bankowością elektroniczną, raport dostępny na stronie internetowej: www.money.pl (7.07.2005). 15 kowe tylko dlatego, Ŝe zostali do tego zmuszeni, np. z powodu wypłaty wynagrodzenia na konto w banku, dostęp do Internetu, wiąŜe się z ograniczeniami technicznymi oraz zamoŜnością społeczeństwa – usługa ta nie naleŜy do najtańszych form bankowości, jest to spowodowane kosztami związanymi z dostępem do sieci Internet; nadal wielu klientów jest zmuszonych do korzystania z tradycyjnych kanałów dostępu do usług bankowych, obawa o bezpieczeństwo – niektóre osoby posiadające dostęp do Internetu nie wierzą w bezpieczeństwo danych i operacji przeprowadzanych za pośrednictwem bankowości elektronicznej. - - Dwa pierwsze czynniki, jako czynniki wewnętrzne, mogą być w pewnym stopniu kształtowane przez bank. Ograniczanie tych zjawisk odbywa się na ogół poprzez akcje marketingowe – budujące wizerunek banku, a takŜe zachęcające do korzystania z usług banku oferując preferencyjne oprocentowanie rachunków „elektronicznych”, połączone z minimalnymi opłatami za prowadzenie konta. Dodatkowym czynnikiem ograniczającym wspomniane zjawisko jest postęp techniczny, który powoduje obniŜanie barier w dostępie do Internetu. Największe zagroŜenie stanowi brak zaufania do bezpieczeństwa w zakresie bankowości elektronicznej. Fakt ten spowodowany jest obawą klientów banku o własne pieniądze oraz brak zaufania do pieniądza bezgotówkowego i transakcji elektronicznych, gdzie przy pomocy jednego kliknięcia moŜna dysponować całym zebranym kapitałem pienięŜnym. Obawy te są potęgowane przez media, nagłaśniające kaŜdą próbę „włamania” do banku elektronicznego. Część włamań do bankowych systemów komputerowych pozostaje niezauwaŜona przez pokrzywdzonych, a część pokrzywdzonych podmiotów nie zawiadamia o tym fakcie policji. Wynika to prawdopodobnie z obawy o utratę zaufania i odejście klientów do konkurencji29. Zadaniem banku jest zabezpieczenie pieniędzy i uświadomienie klientom, Ŝe odpowiednie mechanizmy bezpieczeństwa są zapewnione. Mechanizmy takie powinny uniemoŜliwić dokonanie transakcji na koncie bankowym przez osobę nieupowaŜnioną, chronić składane zlecenia przed zniekształceniem w czasie transmisji oraz uniemoŜliwić wyparcie się przez klienta dokonanych transakcji30. 29 J. Masiota, Elektroniczne instrumenty płatnicze, Branta, Bydgoszcz 2003, s. 223. 30 16 Zob. B. Świecka, Bankowość elektroniczna, CeDeWu, Warszawa 2004, s. 101. Naciski róŜnych środowisk na instytucje bankowe, aby to banki jako pierwsze zaczęły powszechnie stosować podpis elektroniczny, naleŜy traktować jako nieosiągalne. Banki najpierw będą czekały na zwrot poniesionych nakładów na inwestycje związane z wdroŜeniem bankowości elektronicznej. Dopiero w późniejszym etapie będą zainteresowane wprowadzeniem na skalę masową nowych rozwiązań technicznych i realizowaniem nowych inwestycji. Czynnikiem hamującym wprowadzenie podpisu elektronicznego jest bariera opłacalności, która wiąŜe się z kosztami dla banków i klientów z tytułu wprowadzenia podpisu elektronicznego. Część banków stosuje juŜ do uwierzytelniania podpis elektroniczny, ale jako niekwalifikowany. Pod względem technicznym nie róŜni się on niczym od bezpiecznego podpisu elektronicznego – róŜnica dotyczy skutków prawnych. 4.2. Zastosowanie podpisu elektronicznego w bankowości i innych dziedzinach Ŝycia gospodarczego Podpis elektroniczny jest wykorzystywany w licznych transakcjach finansowych i handlowych, do podpisywania umów lub innych dokumentów. Część banków uwiarygodnia w ten sposób swoich klientów. Przykładem jest Citibank Handlowy w Warszawie SA, Fortis Bank Polska SA, Bank BPH SA, ING Bank Śląski SA. Komunikacja elektroniczna dotyczy nie tylko bankowości. Elektroniczny przepływ danych jest wykorzystywany równieŜ w innych dziedzinach Ŝycia gospodarczego, takich jak: administracja państwowa i samorządowa – poprzez elektroniczne wnioski, deklaracje podatkowe; handel – poprzez sklepy internetowe oraz ubezpieczenia majątkowe i komunikację e-mail. Podpis jest wykorzystywany m.in. w programie „Płatnik” do podpisywania deklaracji wysyłanych do ZUS-u. Podpis elektroniczny wykorzystywany jest przy uwierzytelnianiu innych deklaracji, takich jak np. deklaracja do PFRON. Według zapewnień Ministerstwa Finansów firmy będą mogły składać elektroniczne deklaracje podatkowe od 2006 roku, a osoby fizyczne od 2007 roku31. Prawne dopuszczenie podpisu elektronicznego zostało ustanowione przez liczne ustawy normujące poszczególne dziedziny Ŝycia gospodarczego. NaleŜą do nich m.in.: 31 Zob. strona internetowa: www.money.pl/pytanie/p=219 (7.07.2005). 17 - - - - ustawa z dnia 13 października 1998 roku o systemie ubezpieczeń społecznych – w art. 46 ust. 4 pkt 9 stanowi, iŜ oświadczenie płatnika składek moŜe być potwierdzone podpisem własnoręcznym lub podpisem elektronicznym; Zakład Ubezpieczeń Społecznych rozlicza się z płatnikami składek na podstawie deklaracji elektronicznych przekazywanych za pomocą programu „Płatnik”, w którym podpis elektroniczny jest certyfikowany przez Centrum Certyfikacji Unizeto Certum, Rozporządzenie Ministra Finansów z dnia 21 września 2001 roku w sprawie określenia wzoru rejestru transakcji, sposobu jego prowadzenia oraz trybu dostarczania danych Generalnemu Inspektorowi Informacji Finansowej – w § 8 ust. 1a zapisano, iŜ dane przekazywane w formie elektronicznej muszą być opatrzone bezpiecznym podpisem elektronicznym, projekt Rozporządzenia Ministra Finansów w sprawie sposobu i warunków wystawiania oraz przesyłania faktur w formie elektronicznej, a takŜe zasad przechowywania oraz trybu udostępniania organowi podatkowemu lub organowi kontroli skarbowej faktur przesyłanych drogą elektroniczną – §3 ust. 1 stanowi, Ŝe „faktury mogą być przesyłane w formie elektronicznej pod warunkiem, Ŝe autentyczność ich pochodzenia i integralność treści będą zagwarantowane bezpiecznym podpisem elektronicznym...”, projekt ustawy o zmianie ustawy – Ordynacja podatkowa oraz o zmianie niektórych innych ustaw – w art. 3a §1 przewiduje moŜliwość składania deklaracji podatkowych za pomocą środków komunikacji elektronicznej, z tym Ŝe muszą one zawierać dane w ustalonym formacie elektronicznym i być uwierzytelnione podpisem elektronicznym. Zaprezentowane przykłady tylko częściowo ilustrują świadome dąŜenie ustawodawcy do upowszechnienia podpisu elektronicznego poprzez stanowione akty prawne zezwalające lub wręcz nakazujące jego uŜycie, zgodnie z ustawą o podpisie elektronicznym. RóŜnice w podejściu ustawodawcy dotyczą zawarcia, bądź nie zawarcia ograniczenia w postaci bezpiecznego podpisu elektronicznego. Część czynności moŜna zawierać przy pomocy zwykłego podpisu elektronicznego, a część obowiązkowo przy uŜyciu bezpiecznego podpisu elektronicznego. 18 Podsumowanie Wprowadzanie zmian w kaŜdej dziedzinie jest trudne, tak teŜ jest w przypadku wdraŜania do codziennego uŜytku podpisu elektronicznego, który rewolucjonizuje obieg dokumentów elektronicznych. Zmiany zachodzące w tym względzie moŜna porównać do procesów transformacyjnych, które z załoŜenia rewolucjonizują wiele dziedzin sfery gospodarczo-politycznej. Obie te sfery łączą poszczególne etapy – swoiste wyznaczniki zmian. Pierwszym etapem koniecznym do wprowadzenia jakichkolwiek zmian jest stworzenie instytucjonalnych podstaw działania poprzez właściwe unormowanie prawne. System prawny dla podpisu elektronicznego został przygotowany przez odpowiednie ustawy, w tym przede wszystkim przez ustawę o podpisie elektronicznym. W zakresie dotyczącym firm certyfikujących takimi przepisami są ponadto polityki wewnętrzne określające działanie firm. Oceniając ten etap naleŜy stwierdzić, Ŝe został wdroŜony w całości, pomimo początkowej fali krytyki wspomnianej ustawy. Przepisy prawa zostały dostosowane do wymogów międzynarodowych, w szczególności unijnych (Dyrektywa 1999/93/EC). Drugi etap stanowią zmiany systemowe, rozumiane jako stworzenie pewnego rodzaju systemu – w tym przypadku infrastruktury klucza publicznego. Etap ten w Polsce przebiegł prawidłowo. System został zbudowany w sposób wzorcowy, stworzono system z jednym głównym urzędem certyfikacyjnym, nadzorowanym przez ministra odpowiedniego do spraw gospodarki oraz urzędami pośrednimi certyfikującymi osoby fizyczne. Za ostatni etap uznaje się zmiany w mentalności uczestników Ŝycia gospodarczego, które w przypadku zmian transformacyjnych gospodarki nie zaszły w pełni. W przypadku podpisu elektronicznego moŜna stwierdzić, Ŝe nie wyciągnięto wniosków z błędów popełnionych przy innych zmianach gospodarczo-politycznych. Stworzono ramy prawne i system organizacyjny, a podpis elektroniczny wciąŜ jest mało popularny. Bez zmian w mentalności nie moŜna uznać wprowadzonych zmian za sukces. Trzeci etap jest specyficzny z uwagi na fakt, Ŝe jego skutki ujawniają się dopiero po pewnym okresie i dopiero wtedy moŜe być oceniony pozytywnie bądź negatywnie. Społeczeństwo polskie nie realizuje na szeroką skalę transakcji finansowych, handlowych, urzędowych i prywatnych drogą elektroniczną. NaleŜy zauwaŜyć, Ŝe nie wszystkim zaleŜy na rozpowszechnieniu 19 tego typu usług, stąd takie podmioty, jak Poczta Polska czy firmy kurierskie tracą w ten sposób klientów. Niemniej jednak banki internetowe potrzebowały sporo czasu na upowszechnienie swoich usług. Nadal – jak wynika z analiz – średnie oszczędności osób prywatnych w bankach internetowych są niŜsze niŜ te, gromadzone w bankach tradycyjnych. Jest to niepokojący sygnał dla bankowców. Konta elektroniczne mogą załoŜyć wyłącznie osoby spełniające podstawowy wymóg, czyli posiadające komputer z podłączeniem do sieci Internet, co wiąŜe się z kosztami, na które nie kaŜdy moŜe sobie pozwolić. W przypadku kart płatniczych sytuacja wygląda duŜo korzystniej – polski rynek został juŜ nimi nasycony. Korzystanie z nich jest bardzo powszechne, uczestnicy Ŝycia gospodarczego nauczyli się zastępować pieniądz gotówkowy bezgotówkowym. Musiało jednak upłynąć kilka lat zanim usługi te rozpowszechniły się. MoŜna przypuszczać, Ŝe z podpisem elektronicznym będzie podobnie. Z pewnością będzie powszechnie wykorzystywany do przeprowadzania transakcji przez podmioty gospodarcze, ale moŜna teŜ oczekiwać słabego zainteresowania podpisem elektronicznym ze strony gospodarstw domowych. Wynika to przede wszystkim z dostępu lub jego braku do sprzętu komputerowego oraz łączy internetowych. Warunkiem obniŜenia kosztów korzystania z podpisu jest przede wszystkim masowość usługi, a w najbliŜszym czasie jest to mało prawdopodobne. Ponadto, jak juŜ podkreślano, zmiany społeczne są słabo zaawansowane, a to one będą miały decydujący wpływ na sukces lub poraŜkę rozpowszechnienia się obiegu dokumentacji elektronicznej. NaleŜy połoŜyć duŜy nacisk na rozpowszechnianie podpisu elektronicznego i edukację, pokazującą korzyści płynące z jego uŜycia. Zastosowanie podpisu elektronicznego znacząco wpłynie na poprawę bezpieczeństwa komunikacji elektronicznej. Zalety te zostały juŜ dostrzeŜone przez bankowców. JednakŜe wprowadzanie podpisu elektronicznego na szeroką skalę do bankowości jest trudne i czasochłonne. Koszty, jakie musi ponieść bank w celu wdroŜenia całego systemu infrastruktury podpisu elektronicznego, są duŜe. Wysokie są równieŜ koszty, jakie będzie musiał ponieść klient, aby uzyskać kwalifikowany certyfikat podpisu elektronicznego. Zyski finansowe, wynikające z zalet stosowania podpisu elektronicznego, są pewne, pojawia się jednak pytanie, czy w pierwszych latach jego stosowania będą na tyle duŜe, aby wyrównać poniesione koszty. Takie zalety, jak gwarancja bezpieczeństwa i pewność toŜsamości klienta, dokonywanie transakcji niezaleŜnie od miejsca i czasu, obniŜenie kosztów transakcji, ujawnią się dopiero w momencie sto20 sowania podpisu elektronicznego na szeroką skalę, nie tylko w bankowości i transakcjach finansowych, ale teŜ handlowych i czynnościach urzędowych, itp. To jednak wymaga czasu. Summary At one time, when Internet was made available for private purposes, it was used mainly for entertainment and changing messages. People used to communicate via e-mail, web sites and so called chats. The financiers soon realized that advantages brought by the Internet are so big that they decided to use this media in doing business. Regardless of the initial huge capital expenditure, and uncertainty regarding the profitability of the investment, electronic world encroached on the money world. The electronic banking is still developing. The Internet becomes the place where transfers of huge money are made. However, there are many people who want to intercept them illegaly. The number of robberies in traditional banking is getting lower, but the number of hacker attacks in the case of electronic banking is increasing. The electronic communication requires the use of special resolution and protection which will be as resistant as the strongest safe. A guarantee of security of the aforementioned communication is exactly an electronic signature. In the article, entitled An Electronic Signature as a Guarantee of Security of Electronic Transactions, the author outlined the issue of electronic signature. At the beginning a definition and features of the electronic signature are presented. Then the technical infrastructure is characterized as well as certificates and certification authorities. The author also describes the stages of creating the electronic signature. The second part of the article concerns the appropriate legal acts. Moreover, purposes of using the electronic signature are indicated. The author mentions also other methods of making the electronic transactions secure. The conclusion of the whole article outlines the chances and threats of the introduction of the electronic signature in the banking industry. 21 Bibliografia Adams C., Lloyd S., [2002], Podpis elektroniczny. Klucz publiczny, Wydawnictwo Robomatic, Wrocław. Chochołowski B., www.money.pl. [2005], Kto rządzi polską bankowością elektroniczną, Encyklopedia historii świata dla całej rodziny, [2001], red. J. Fronczak, Reader’s Digest Polska, Warszawa. Bankowość elektroniczna, [2005], red. A. Gospodarowicz, Polskie Wydawnictwo Ekonomiczne, Warszawa. Jakubiec S., Szcześ M., [2002], Elektroniczne usługi finansowe – charakterystyka rynku, wyzwania i inicjatywy regulacyjne, Materiały i Studia, Zeszyt nr 139, NBP. Kisiel M., [2005] Internet a konkurencyjność banków w Polsce, CeDeWu, Warszawa. Kościelny T., Szaniawski K., [2003], Ustawa o podpisie elektronicznym. Komentarz, Kantor Wydawniczy Zakamycze, Kraków. Koźliński T., [2002], Bankowość internetowa, CeDeWu, Warszawa. Marucha-Jaworska M., [2002], Podpis elektroniczny, Prawo i Praktyka Gospodarcza, Warszawa. Masiota J., [2003], Elektroniczne instrumenty płatnicze, Branta, Bydgoszcz. Nowe technologie we współczesnym banku, [2004], red. A. Janc, G. Kotliński, Akademia Ekonomiczna w Poznaniu, Poznań. Podpłoński R., Popis P., [2004], Podpis elektroniczny. Komentarz, Difin, Warszawa. Podpis elektroniczny. Komentarz do ustawy z 18 września 2001 roku, [2002], J. Przetocki, Lexis Nexis, Warszawa. Świecka B., [2004], Bankowość elektroniczna, CeDeWu, Warszawa. www.mbank.pl. www.money.pl www.rbe.pl. Dyrektywa 1999/93/EC z dnia 13 grudnia 1999 roku w sprawie wspólnotowych ram w zakresie podpisów elektronicznych (Dz. Urz. WE L 13 z 19.01.2000). 22 Rekomendacja D - dotycząca zarządzania ryzykami towarzyszącymi systemom informatycznym i telekomunikacyjnym uŜywanym przez banki, GINB, [2002]. Ustawa z dnia 29 sierpnia 1997 roku – Prawo bankowe (t.j. Dz.U. nr 72, poz. 665 z 2002 roku). Ustawa z dnia 18 września 2001 roku o podpisie elektronicznym (Dz.U. nr 130, poz. 1450). Ustawa z dnia 12 września 2002 roku o elektronicznych instrumentach płatniczych (Dz.U. nr 169, poz. 1385). 23