Andrzej Jankowiak PODPIS ELEKTRONICZNY JAKO GWARANT

Andrzej Jankowiak*
PODPIS ELEKTRONICZNY JAKO GWARANT
BEZPIECZEŃSTWA TRANSAKCJI ELEKTRONICZNYCH
Wstęp
Świat zmierza w kierunku e-gospodarki. Zjawisko to jest dodatkowo
potęgowane procesem globalizacji. Dzięki temu moŜna pracować i być
w ciągłym kontakcie z innymi osobami, niezaleŜnie od miejsca pobytu,
wykorzystując komputery wraz z łączem internetowym dającym dostęp
do globalnej sieci Internet.
Bankowość, jak kaŜda inna dziedzina Ŝycia gospodarczego, jest
pod silnym wpływem postępu technicznego zachodzącego w dziedzinie
techniki i informatyki. Postęp ten dotyczy szczególnie bankowości elektronicznej – wykorzystującej kanały elektroniczne do świadczenia usług
bankowych. Klient posiada dostęp do konta bankowego i moŜe wykonywać na nim operacje finansowe za pośrednictwem komputera podłączonego do sieci Internet, telefonu lub innych urządzeń elektronicznych1.
Instytucja bankowa jest zobowiązana do zapewnienia bezpieczeństwa przechowywanych oszczędności klientów2 oraz dokonywanych
transakcji rozliczeniowych (finansowych). Ewentualne nieprawidłowości, nagłośnione dodatkowo w mediach, niekorzystnie oddziałują na zaufanie klientów do banku. Zaufanie, w przypadku efektu anonimowości
Internetu, jest najcenniejszą wartością i gwarantem ekspansji banku na
rynku. Dlatego instytucje finansowe tak wielką wagę przywiązują do
zabezpieczania transakcji rozrachunkowych. Wykorzystuje się w tym
celu róŜne metody, pozwalające z jednej strony na uwierzytelnienie
klienta, a z drugiej strony na zabezpieczenie przesyłanych danych.
*
Autor przygotowuje rozprawę doktorską w Katedrze Bankowości pod kierunkiem prof. dr hab. Alfreda Janca.
1
Zob. Rada Bankowości Elektronicznej, strona internetowa: www.rbe.pl
(24.06.2005).
2
Ustawa z dnia 29 sierpnia 1997 roku – Prawo bankowe (tekst jednolity Dz.U.
nr 72, poz. 665 z 2002 r.), art. 50, ust. 2.
Odpowiedzią na wspomniane potrzeby jest bezpieczny podpis
elektroniczny. Taki podpis, zgodnie z ustawą o podpisie elektronicznym3,
powinien posiadać waŜny kwalifikowany certyfikat. Podpis elektroniczny stanowi połączenie uwierzytelnienia z zabezpieczeniem komunikacji
elektronicznej. Dzięki temu moŜliwe jest znacznie szersze jego wykorzystanie niŜ w przypadku dotychczasowych zabezpieczeń, takich jak hasła,
token itp. Podpis nie jest związany z konkretną instytucją finansową lub
handlową, moŜna go wykorzystać przy uwiarygadnianiu róŜnych transakcji.
W artykule przedstawiono rolę i znaczenie podpisu elektronicznego jako elementu wpływającego na poprawę bezpieczeństwa całego
systemu komunikacji elektronicznej. Z powodu niewiary klientów w
gwarantowanie bezpieczeństwa przeprowadzanych transakcji elektronicznych, nie rośnie zainteresowanie podpisem elektronicznym. Sytuacji
nie zmieniło uchwalenie ustawy o podpisie elektronicznym. Artykuł ma
za zadanie określić stan obecny i perspektywy wykorzystania tego podpisu. Wspomniany cel osiągnięto przeprowadzając analizę literatury
przedmiotu i interpretację przepisów prawa obowiązujących w Polsce.
W punkcie drugim artykułu opisano szczegółową tematyką podpisu elektronicznego, w tym procedurę składania takiego podpisu. Punkt trzeci
wyraźnie zaznacza obecność i wagę przepisów prawa w tworzonym
i uŜytkowanym systemie komunikacji elektronicznej. Na zakończenie
przedstawiono stan zabezpieczeń stosowanych w bankowości elektronicznej oraz wskazano inne zastosowania dla podpisu elektronicznego
poza bankowością.
1. Szyfrowanie danych a podpis elektroniczny
Historia szyfrowania informacji sięga czasów staroŜytnego Rzymu. Juliusz Cezar przy pomocy szyfrów substytucyjnych ukrywał prawdziwą
treść przesyłanych listów. Zachowanie bezpieczeństwa przekazywanych
wiadomości miało ogromne znaczenie równieŜ podczas pierwszej i drugiej wojny światowej. W tym celu armia niemiecka wykorzystywała maszynę szyfrującą Enigma4.
3
Ustawa z dnia 18 września 2001 roku o podpisie elektronicznym
(Dz.U. nr 130, poz. 1450)
4
Maszyna była napędzana prądem elektrycznym, który poruszał wewnętrzne
wirniki, tworząc zaszyfrowaną wiadomość. Zaskoczeniem dla wojsk alianckich było
odgadnięcie połączeń elektrycznych pomiędzy trzema wirnikami Enigmy. Ten problem
6
Współczesna kryptografia opiera się na dwóch rodzajach systemów
szyfrowych5:
- kryptografia symetryczna – ten sam klucz kryptograficzny uŜywany jest do szyfrowania i deszyfrowania,
- kryptografia asymetryczna – uŜywa się w niej dwóch kluczy: jednego wyłącznie do szyfrowania, a drugiego tylko do odszyfrowania; znając klucz deszyfrujący nie moŜna odgadnąć z niego klucza szyfrującego.
Kryptografia asymetryczna posiada zaletę polegającą na moŜliwości przesyłania klucza deszyfrującego do adresata wiadomości bez
ryzyka niepowołanego podejrzenia i odgadnięcia klucza szyfrującego.
Podpis elektroniczny w przeciwieństwie do wspomnianych rodzajów szyfrowania nie ma na celu szyfrowania całej wiadomości, pomimo
Ŝe wywodzi się z kryptograficznego klucza asymetrycznego. Szyfrowaniu podlega tylko skrót wiadomości, tworząc z kluczem prywatnym
nadawcy niepowtarzalny podpis elektroniczny. Gwarantuje to niezmienność treści wiadomości oraz identyfikuje nadawcę wiadomości.
2. Charakterystyka podpisu elektronicznego
2.1. Podpis elektroniczny – zagadnienia ogólne
Podpis elektroniczny jest zdefiniowany w ustawie o podpisie elektronicznym, w art. 3 ust. 1, jako dane w postaci elektronicznej, które wraz
z innymi danymi, do których zostały dołączone lub z którymi są logicznie powiązane, słuŜą do identyfikacji osoby składającej podpis elektroniczny6. Do elektronicznego podpisywania wiadomości potrzebne są dwa
klucze – klucz prywatny, znany jedynie jego posiadaczowi i tylko przez
niego wykorzystywany do podpisów, oraz klucz publiczny udostępniony
publicznie, słuŜący do deszyfrowania wiadomości.
rozwiązali trzej polscy matematycy w 1933 roku. Encyklopedia historii świata dla całej
rodziny, red. J. Fronczak, Reader’s Digest Polska, Warszawa 2001, s. 148.
5
M. Marucha-Jaworska, Podpis elektroniczny, Prawo i Praktyka Gospodarcza,
Warszawa 2002, s. 25 i nast.
6
Ustawa z dnia 18 września 2001 roku o podpisie elektronicznym, op. cit., art. 3
ust. 1.
7
Podpis elektroniczny ma na celu7:
zapewnienie integralności danych, czyli umoŜliwienie wykrycia
wszelkich prób modyfikacji dokonanych od momentu podpisania
do momentu odebrania elektronicznej przesyłki,
uwierzytelnienie – czyli zagwarantowanie, Ŝe nadawca wiadomości jest tą osobą, za którą się podaje,
niezaprzeczalność – czyli udowodnienie, Ŝe dana przesyłka pochodzi od nadawcy.
-
-
Do właściwości podpisu elektronicznego T. Koźliński zaliczył
następujące cechy8:
- odnosi się do całego dokumentu,
- nie moŜe być przeniesiony na inny dokument,
- zmodyfikowanie podpisanego dokumentu jest zawsze wykrywalne,
- uwierzytelnia osobę, która go złoŜyła,
- jest nie do podrobienia.
Dla zapewnienia poufności klucz prywatny powinien być przechowywany w urządzeniu, które gwarantuje maksymalny poziom bezpieczeństwa tego klucza. MoŜe on mieć postać pliku zapisanego na dyskietce, płycie CD lub w pamięci komputera, wtedy w momencie podpisywania naleŜy wskazać ścieŜkę dostępu do tego pliku. Są to rozwiązania
najprostsze, ale nie gwarantują pełnego bezpieczeństwa. Klucz moŜe być
równieŜ przechowywany na karcie kryptograficznej, będącej odmianą
karty mikroprocesorowej z wbudowanym układem realizującym operacje
kryptograficzne. Karta taka jest rozwiązaniem wykorzystywanym
w przypadku stosowania bezpiecznego podpisu elektronicznego. Podczas
podpisywania, kartę z takim kluczem naleŜy umieścić w specjalnym
czytniku kart. Rozwiązanie to ma wiele zalet w porównaniu do klucza w
postaci pliku – nie moŜna go skopiować czy usunąć, gdyŜ fizycznie nie
opuszcza on karty mikroprocesorowej. Szyfrowanie odbywa się na karcie
przy wykorzystaniu jej wewnętrznego procesora i pamięci9.
7
Podpis elektroniczny. Komentarz do ustawy z 18 września 2001 roku, red. nauk. J. Przetocki, Lexis Nexis, Warszawa 2002, s. 30.
8
T. Koźliński, Bankowość internetowa, CeDeWu, Warszawa 2002, s. 83.
9
K. Szaniawski, T. Kościelny, Ustawa o podpisie elektronicznym. Komentarz,
Kantor Wydawniczy Zakamycze, Kraków 2003, s. 37-38.
8
Podpis elektroniczny moŜe wywoływać skutki prawne równe złoŜeniu podpisu własnoręcznego. Jednak dzieje się tak tylko w przypadku
uŜycia bezpiecznego podpisu elektronicznego, tzn. zgodnego z ustawą
i jego zweryfikowania kwalifikowanym certyfikatem. Bezpieczny podpis
elektroniczny róŜni się od „zwykłego” podpisu elektronicznego tym, Ŝe
jest10:
- przyporządkowany wyłącznie do osoby składającej ten podpis,
- sporządzony za pomocą bezpiecznych urządzeń podlegających
wyłącznej kontroli osoby podpisującej,
- powiązany z danymi, do których został dołączony w taki sposób,
Ŝe jakakolwiek późniejsza zmiana tych danych jest rozpoznawalna.
UŜycie podpisu elektronicznego nie oznacza, Ŝe zachowana jest
forma pisemna dokumentu. Zrównanie dotyczy jedynie skutków prawnych dokumentów podpisanych elektronicznie z podpisanymi własnoręcznie.
2.2. Rola certyfikatu w infrastrukturze klucza publicznego
Podpis elektroniczny, aby został uznany za równowaŜny podpisowi własnoręcznemu, musi posiadać certyfikat kwalifikowany. Certyfikat to –
według wykładni prawa – elektroniczne zaświadczenie, które potwierdza
przypisanie klucza publicznego do danej osoby i przez to umoŜliwia
identyfikację tej osoby11. Certyfikat ma słuŜyć jednemu celowi – jednoznacznemu przyporządkowaniu klucza publicznego do konkretnej osoby
fizycznej. Poza certyfikatem kwalifikowanym słuŜącym weryfikacji bezpiecznego podpisu elektronicznego rozróŜnia się takŜe certyfikat niekwalifikowany, który nie powoduje w świetle prawa zrównania podpisu elektronicznego z własnoręcznym. Ustawa określa, jakie dane musi zawierać
certyfikat, aby był określany mianem kwalifikowanego.
Pod względem technicznym certyfikat zgodny ze standardem
X.509 w wersji trzeciej zawiera: numer wersji certyfikatu, numer seryjny, sygnaturę (identyfikator algorytmu), wystawcę, okres waŜności certyfikatu, dane o podmiocie – właścicielu certyfikatu, klucz publiczny pod-
10
Ustawa z dnia 18 września 2001 roku o podpisie elektronicznym, op. cit., art. 5
ust. 2 oraz art. 3 ust. 2.
11
Ibidem, art. 3 ust. 10.
9
miotu, unikatowy identyfikator wystawcy oraz rozszerzenia i ograniczenia12.
Parę kluczy kryptograficznych generuje urząd certyfikacyjny lub
sam uŜytkownik. Kolejną czynnością jest przedłoŜenie klucza publicznego w urzędzie certyfkacyjnym wraz z dokumentem potwierdzającym
toŜsamość w celu wystawienia przez urząd certyfikatu. Certyfikat jest
wydawany po sprawdzeniu dokumentów i po podpisaniu umowy
o świadczenie usług certyfikacyjnych, sporządzanej w formie pisemnej.
Umowa taka określa zakres stosowania certyfikatu, okres jego waŜności,
zakres świadczonych usług i koszt13. Certyfikat opiera się na kluczu prywatnym centrum, kluczu publicznym uŜytkownika i danych uŜytkownika.
Polski rynek usług podpisu elektronicznego ciągle się rozwija.
Osoba fizyczna moŜe nabyć certyfikat kwalifikowany – wydawany przez
centrum certyfikacyjne, które uzyskało stosowne zaświadczenie i znajduje się na liście „kwalifikowanych podmiotów świadczących usługi certyfikacyjne”. Na liście kwalifikowanych podmiotów znajdują się cztery
instytucje, które wydają kwalifikowane certyfikaty. Poza centrami kwalifikowanymi, certyfikaty moŜna zakupić w centrum certyfikacyjnym nie
posiadającym zaświadczenia certyfikacyjnego ministra właściwego do
spraw gospodarki, oferującym klientom zwykłe certyfikaty.
2.3. Etapy tworzenia podpisu elektronicznego
Proces składania bezpiecznego podpisu elektronicznego, zgodnego
z ustawą o podpisie elektronicznym, przebiega w następujący sposób14:
- obliczanie skrótu wiadomości elektronicznej za pomocą odpowiedniej funkcji skrótu – wynika to z załoŜenia, Ŝe szyfrowaniu
podlega nie cała wiadomość, lecz tylko utworzony na jej podstawie skrót; niezaleŜnie od wielkości dokumentu elektronicznego
skrót zawsze ma taką samą długość liczoną w bitach; algorytm
tworzący posiada trzy właściwości: kaŜda zmiana oryginalnej
wiadomości skutkuje zmianą skrótu, nie jest moŜliwe odtworzenie podstawowej wiadomości na podstawie samego skrótu, nie
istnieją dwa róŜne dokumenty dające taki sam skrót,
12
C. Adams, S. Lloyd, Podpis elektroniczny. Klucz publiczny, Wydawnictwo
Robomatic, Wrocław2002, s. 69.
13
R. Podpłoński, P. Popis, Podpis elektroniczny. Komentarz, Difin, Warszawa
2004, s. 68.
14
M. Marucha-Jaworska, Podpis elektroniczny..., op. cit., s. 29.
10
-
szyfrowanie skrótu wiadomości elektronicznej przy pomocy specjalnego asymetrycznego algorytmu szyfrującego z wykorzystaniem klucza prywatnego podpisującego; skrót zaszyfrowany
w taki sposób staje się podpisem elektronicznym; podpis ten jest
ukształtowany przez dwa czynniki: skrót wiadomości i klucz
prywatny,
przesłanie jawnej wiadomości elektronicznej i podpisanego skrótu drogą elektroniczną do adresata.
-
Weryfikacja podpisu elektronicznego składa się z następujących
etapów, które wykonuje odbiorca dokumentu15:
- odszyfrowanie podpisanego skrótu za pomocą algorytmu deszyfrującego oraz klucza publicznego nadawcy,
- obliczenie skrótu dla otrzymanego dokumentu elektronicznego,
- porównanie skrótu otrzymanego, który został odszyfrowany kluczem publicznym ze skrótem wyliczonym z dokumentu elektronicznego.
Gdy oba skróty są identyczne, podpis elektroniczny jest traktowany jako waŜny. W przeciwnym wypadku naleŜy odrzucić podpis, gdyŜ
wiadomość została zmieniona po podpisaniu lub nadawca wiadomości
nie jest osobą, za którą się podaje.
Wszystkie opisane czynności dokonywane przez nadawcę i odbiorcę w praktyce wykonuje komputer. UŜytkownik wydaje polecenie
podpisania wiadomości lub jej zweryfikowania. Komputer poprzez wyświetlenie odpowiedniego komunikatu prosi o wskazanie klucza, ścieŜki
dostępu lub karty mikroprocesorowej, a następnie informuje uŜytkownika o efektach przeprowadzonych działań obliczeniowych.
3. Przepisy prawne dotyczące podpisu elektronicznego
Pierwszym krajem, w którym ustanowiono przepisy prawa dotyczące
podpisu elektronicznego, były Stany Zjednoczone. Wynikało to z faktu,
iŜ wykorzystanie Internetu w celach handlowych było tam najbardziej
rozpowszechnione. Z racji tego, Ŝe akty prawne tworzą parlamenty stanowe, pierwsza ustawa powstała w Stanie Utah w 1995 roku. JednakŜe w
2000 roku poszczególne ustawy stanowe zostały zastąpione jedną wspólną ustawą federalną.
15
Podpis elektroniczny. Komentarz..., op. cit., s. 37.
11
W Unii Europejskiej ogólne warunki dla ustawodawstwa państw
członkowskich wyznaczyła dyrektywa w sprawie ramowych załoŜeń
Wspólnoty dla podpisu elektronicznego16 opracowana przez Parlament
Europejski i Radę Unii Europejskiej w 1999 roku. Dyrektywa rozpoczyna się od preambuły, która stwierdza między innymi, Ŝe „szybki rozwój
technologii i globalny charakter Internetu wymagają koncepcji otwartej
na róŜne technologie i usługi w dziedzinie autoryzacji elektronicznej”17.
Cytowany fragment potwierdza otwartość Unii na postęp technologiczny
oraz rozwój Internetu. Ponadto wskazuje główny priorytet Dyrektywy,
jakim jest neutralność technologiczna podpisu elektronicznego. Dyrektywa w artykule 2 definiuje dwa rodzaje podpisów: podpis elektroniczny
oraz zaawansowany podpis elektroniczny – powodujący, przy zachowaniu określonych Dyrektywą wymogów, zrównanie skutków prawnych
jego zastosowania z podpisem własnoręcznym. Świadczeniem usług certyfikacyjnych oraz innych usług związanych z podpisem elektronicznym
zajmuje się dostawca usług autoryzacyjnych.
Dyrektywa gwarantuje wzajemne uznawanie certyfikatów podpisów elektronicznych wystawionych w poszczególnych państwach.
W celu spełnienia tego postulatu w Dyrektywie przyjęto rozwiązania
kompromisowe oraz nie do końca sprecyzowane, pozostawiając moŜliwości interpretacyjne parlamentom państw członkowskich18. Na dostosowanie przepisów wewnętrznych państwa członkowskie miały czas do
19 czerwca 2002 roku. Nad prawidłowością stanowionego prawa i objaśnianiem standardów dotyczących podpisu elektronicznego czuwał Komitet ds. Podpisu Elektronicznego.
Polska ustawa o podpisie elektronicznym powstała z połączenia
dwóch projektów legislacyjnych – rządowego i poselskiego. Ostatecznie
Sejm RP uchwalił ustawę w dniu 18 września 2001 roku, zachowując
nadrzędną zasadę neutralności technologicznej podpisu elektronicznego.
Rozdział pierwszy określa warunki stosowania przepisów ustawy. Artykuł 3 definiuje podstawowe wyraŜenia, w tym takŜe pojęcie podpisu
elektronicznego, wzorowane na Dyrektywie Parlamentu i Rady Unii Europejskiej. Rozdział drugi określa skutki prawne stosowania podpisu
elektronicznego. Wymienia warunki, po spełnieniu których podpis elek16
Dyrektywa 1999/93/EC z dnia 13 grudnia 1999 roku w sprawie wspólnotowych ram w zakresie podpisów elektronicznych (Dz. Urz. WE L 13 z 19.01.2000).
17
Preambuła, Dyrektywa 1999/93/EC..., op. cit.
18
Podpis elektroniczny. Komentarz..., op. cit., s. 22.
12
troniczny jest równowaŜny podpisowi własnoręcznemu. Kolejne rozdziały poruszają problematykę świadczenia usług certyfikacyjnych oraz waŜności certyfikatów. Ostatnie trzy rozdziały zajmują się problematyką
nadzoru nad działalnością podmiotów świadczących wspomniane usługi,
ustanawiają przepisy karne oraz informują o przepisach przejściowych.
Wybór opcji preferującej zachowanie neutralności technologicznej, z jednej strony moŜe powodować opóźnienia we wprowadzaniu
podpisu – wynika to z braku decyzji ustawodawcy, dotyczącej wyboru
konkretnego rozwiązania technicznego podpisu elektronicznego, a z drugiej strony uniknięcia przyjęcia określonej technologii, która w krótkim
czasie moŜe stać się przestarzała. Precyzyjne kryteria techniczne i organizacyjne normujące podpis elektroniczny, certyfikat oraz podmioty
świadczące usługi certyfikacyjne zostały umieszczone przez ustawodawcę w rozporządzeniach wykonawczych do ustawy.
Głównym zadaniem ustawy normującej nowy, dotychczas nie
uregulowany obszar Ŝycia gospodarczego, jest stworzenie ram prawnych
infrastruktury podpisu elektronicznego, która umoŜliwi niezawodne posługiwanie się wspomnianym podpisem. Stworzy podstawę bezpieczeństwa, jaką jest budowanie od strony prawnej zaufania do nowoczesnej
techniki, umoŜliwiającej wiarygodne zawieranie transakcji elektronicznych. Ustawa pozwoli na dokonywanie czynności cywilnoprawnych
w formie elektronicznego oświadczenia woli. Wadą przedstawionej
ustawy jest uŜycie w niej fachowych sformułowań technicznych, języka
niezrozumiałego dla przeciętnego czytelnika.
Charakteryzując przepisy prawa normujące komunikację elektroniczną naleŜy jeszcze wspomnieć ustawę o elektronicznych instrumentach płatniczych19. Do 2002 roku warunki korzystania z rozliczeń bezgotówkowych były określane w dowolnie formułowanych umowach o
świadczenie usług bankowości elektronicznej, zawieranych przez klienta
z bankiem. ZałoŜenia uchwalonej w 2002 roku ustawy zostały oparte na
Dyrektywach Parlamentu i Rady Unii Europejskiej. Dzięki temu stopniowo tworzy się w Unii Europejskiej jednolity rynek elektronicznych
instrumentów płatniczych20.
19
Ustawa z dnia 12 września 2002 roku o elektronicznych instrumentach płatniczych (Dz.U. nr 169, poz. 1385).
20
S. Jakubiec, M. Szcześ, Elektroniczne usługi finansowe – charakterystyka rynku, wyzwania i inicjatywy regulacyjne, Materiały i Studia, Zeszyt nr 139, NBP, 2002,
s. 33.
13
Jak wspomniano wcześniej ustawa o elektronicznych instrumentach płatniczych nie zrewolucjonizowała bankowości, jednakŜe jej zapisy
uściśliły prawa i obowiązki stron w rozliczeniach elektronicznych. Celem
ustawy jest określenie zasad wydawania i uŜywania elektronicznych instrumentów płatniczych. Ponadto normuje tworzenie, organizację, działalność oraz nadzór, a takŜe likwidację instytucji pieniądza elektronicznego21. W rozdziale czwartym zatytułowanym „Usługi bankowości elektronicznej” uregulowano w szczególności kwestię dotyczącą umowy
o usługi bankowości elektronicznej. Umowa ta zobowiązuje bank do:
zapewnienia dostępu, za pomocą urządzeń elektronicznych, do środków
pienięŜnych zgromadzonych na rachunku, zapewnienia bezpieczeństwa
dokonywanych operacji, ustalania zasad identyfikacji klienta, udostępniania informacji o dokonywanych operacjach lub o odmowie wykonania
zleconych operacji.
Generalny Inspektorat Nadzoru Bankowego, w związku z potrzebą wskazania bankom sposobu zarządzania ryzykiem powstającym przy
świadczeniu usług bankowości elektronicznej, wydał „Rekomendację
D dotyczącą zarządzania ryzykami towarzyszącymi systemom informatycznym i telekomunikacyjnym uŜywanym przez banki”22. Zaleca ona
stworzenie procedur mających ograniczyć potencjalne zagroŜenia
w transakcjach elektronicznych23.
4. Stan bezpieczeństwa transakcji
4.1. Bankowość elektroniczna
Bankowość elektroniczna umoŜliwia klientowi dostęp do rachunku bankowego w dowolnym czasie i miejscu przy uŜyciu określonego urządzenia elektronicznego. Przy okazji pozwala to na usprawnienie pracy oddziałów, dzięki zmniejszeniu liczby klientów odwiedzających tradycyjne
placówki banku. Szczególnym rodzajem bankowości elektronicznej jest
21
Ustawa z dnia 12 września 2002 roku o elektronicznych instrumentach płatniczych, op. cit, art. 1, pkt 1.
22
Rekomendacja D – dotycząca zarządzania ryzykami towarzyszącymi systemom informatycznym i telekomunikacyjnym uŜywanym przez banki, GINB, Warszawa
2002, http://www.nbp.pl/Publikacje/nadzor_bankowy/pdf/rekomendacja_d.pdf.
23
M. Kisiel, Internet a konkurencyjność banków w Polsce, CeDeWu, Warszawa
2005, s. 179.
14
bankowość internetowa, oferująca dostęp do usług bankowych za pośrednictwem sieci Internet24.
W bankowości internetowej wykorzystuje się do szyfrowania
przesyłanych informacji protokół SSL ze 128-bitowym kluczem szyfrującym. UmoŜliwia on bezpieczną transmisję danych między serwerem
banku a komputerem klienta. Zaszyfrowane informacje są nieczytelne dla
kogokolwiek poza ich nadawcą i odbiorcą25. Niektóre banki, poza szyfrowaniem przesyłanych danych, stosują takŜe inne metody podnoszące
poziom bezpieczeństwa. Przykładem moŜe być token lub lista haseł jednorazowych. Pierwsza z wymienionych metod generuje hasła lub podpis
elektroniczny na podstawie algorytmu kryptograficznego, opartego na
kluczu prywatnym i bieŜącym czasie. Wyświetlone przez token hasło jest
waŜne tylko przez kilkadziesiąt sekund. UŜycie go w późniejszym czasie
nie zostanie zaakceptowane26.
Hasła jednorazowe słuŜą do potwierdzania złoŜonych dyspozycji
dotyczących przelewów bankowych. Karty zawierające hasła są generowane przez system informatyczny dla kaŜdego klienta indywidualnie.
Zaletą tych haseł jest ochrona, jaką dają – raz uŜyte hasło nie moŜe być
wykorzystane ponownie. Stanowi to dodatkową gwarancję w sytuacji
podejrzenia przez osobę niepowołaną numeru klienta i hasła dostępu.
Przelew bez hasła jednorazowego nie będzie zrealizowany27.
Banki, wprowadzając bankowość internetową, zainwestowały
w nią duŜe pieniądze. Inwestycje objęły zarówno sferę techniczną, zapewniając bezpieczeństwo i niezawodność systemu, jak równieŜ działalność marketingową. Pomimo poniesionych nakładów tempo rozwoju
bankowości elektronicznej jest relatywnie słabe. Mają na to wpływ trzy
zjawiska28:
- niechęć do korzystania z usług bankowych lub przymuszanie do
ich wykorzystywania – część społeczeństwa realizuje jedynie obrót gotówkowy; niektórzy klienci banków posiadają konto ban-
24
Bankowość elektroniczna, red. A. Gospodarowicz, Polskie Wydawnictwo
Ekonomiczne, Warszawa 2005, s. 28-29.
25
Nowe technologie we współczesnym banku, red. A. Janc, G. Kotliński, Akademia Ekonomiczna w Poznaniu, Poznań 2004, s. 137.
26
Nowe technologie..., op. cit., s. 139.
27
Patrz: strona internetowa: www.mbank.pl (7.07.2005).
28
B. Chochołowski, Kto rządzi polską bankowością elektroniczną, raport dostępny na stronie internetowej: www.money.pl (7.07.2005).
15
kowe tylko dlatego, Ŝe zostali do tego zmuszeni, np. z powodu
wypłaty wynagrodzenia na konto w banku,
dostęp do Internetu, wiąŜe się z ograniczeniami technicznymi
oraz zamoŜnością społeczeństwa – usługa ta nie naleŜy do najtańszych form bankowości, jest to spowodowane kosztami związanymi z dostępem do sieci Internet; nadal wielu klientów jest zmuszonych do korzystania z tradycyjnych kanałów dostępu do usług
bankowych,
obawa o bezpieczeństwo – niektóre osoby posiadające dostęp do
Internetu nie wierzą w bezpieczeństwo danych i operacji przeprowadzanych za pośrednictwem bankowości elektronicznej.
-
-
Dwa pierwsze czynniki, jako czynniki wewnętrzne, mogą być
w pewnym stopniu kształtowane przez bank. Ograniczanie tych zjawisk
odbywa się na ogół poprzez akcje marketingowe – budujące wizerunek
banku, a takŜe zachęcające do korzystania z usług banku oferując preferencyjne oprocentowanie rachunków „elektronicznych”, połączone
z minimalnymi opłatami za prowadzenie konta. Dodatkowym czynnikiem ograniczającym wspomniane zjawisko jest postęp techniczny, który
powoduje obniŜanie barier w dostępie do Internetu.
Największe zagroŜenie stanowi brak zaufania do bezpieczeństwa
w zakresie bankowości elektronicznej. Fakt ten spowodowany jest obawą
klientów banku o własne pieniądze oraz brak zaufania do pieniądza bezgotówkowego i transakcji elektronicznych, gdzie przy pomocy jednego
kliknięcia moŜna dysponować całym zebranym kapitałem pienięŜnym.
Obawy te są potęgowane przez media, nagłaśniające kaŜdą próbę „włamania” do banku elektronicznego. Część włamań do bankowych systemów komputerowych pozostaje niezauwaŜona przez pokrzywdzonych, a
część pokrzywdzonych podmiotów nie zawiadamia o tym fakcie policji.
Wynika to prawdopodobnie z obawy o utratę zaufania i odejście klientów
do konkurencji29. Zadaniem banku jest zabezpieczenie pieniędzy i
uświadomienie klientom, Ŝe odpowiednie mechanizmy bezpieczeństwa
są zapewnione. Mechanizmy takie powinny uniemoŜliwić dokonanie
transakcji na koncie bankowym przez osobę nieupowaŜnioną, chronić
składane zlecenia przed zniekształceniem w czasie transmisji oraz uniemoŜliwić wyparcie się przez klienta dokonanych transakcji30.
29
J. Masiota, Elektroniczne instrumenty płatnicze, Branta, Bydgoszcz 2003,
s. 223.
30
16
Zob. B. Świecka, Bankowość elektroniczna, CeDeWu, Warszawa 2004, s. 101.
Naciski róŜnych środowisk na instytucje bankowe, aby to banki
jako pierwsze zaczęły powszechnie stosować podpis elektroniczny, naleŜy traktować jako nieosiągalne. Banki najpierw będą czekały na zwrot
poniesionych nakładów na inwestycje związane z wdroŜeniem bankowości elektronicznej. Dopiero w późniejszym etapie będą zainteresowane
wprowadzeniem na skalę masową nowych rozwiązań technicznych i realizowaniem nowych inwestycji. Czynnikiem hamującym wprowadzenie
podpisu elektronicznego jest bariera opłacalności, która wiąŜe się
z kosztami dla banków i klientów z tytułu wprowadzenia podpisu elektronicznego. Część banków stosuje juŜ do uwierzytelniania podpis elektroniczny, ale jako niekwalifikowany. Pod względem technicznym nie
róŜni się on niczym od bezpiecznego podpisu elektronicznego – róŜnica
dotyczy skutków prawnych.
4.2. Zastosowanie podpisu elektronicznego w bankowości i innych
dziedzinach Ŝycia gospodarczego
Podpis elektroniczny jest wykorzystywany w licznych transakcjach finansowych i handlowych, do podpisywania umów lub innych dokumentów. Część banków uwiarygodnia w ten sposób swoich klientów. Przykładem jest Citibank Handlowy w Warszawie SA, Fortis Bank Polska
SA, Bank BPH SA, ING Bank Śląski SA. Komunikacja elektroniczna
dotyczy nie tylko bankowości. Elektroniczny przepływ danych jest wykorzystywany równieŜ w innych dziedzinach Ŝycia gospodarczego, takich jak: administracja państwowa i samorządowa – poprzez elektroniczne wnioski, deklaracje podatkowe; handel – poprzez sklepy internetowe
oraz ubezpieczenia majątkowe i komunikację e-mail. Podpis jest wykorzystywany m.in. w programie „Płatnik” do podpisywania deklaracji wysyłanych do ZUS-u. Podpis elektroniczny wykorzystywany jest przy
uwierzytelnianiu innych deklaracji, takich jak np. deklaracja do PFRON.
Według zapewnień Ministerstwa Finansów firmy będą mogły składać
elektroniczne deklaracje podatkowe od 2006 roku, a osoby fizyczne od
2007 roku31.
Prawne dopuszczenie podpisu elektronicznego zostało ustanowione przez liczne ustawy normujące poszczególne dziedziny Ŝycia gospodarczego. NaleŜą do nich m.in.:
31
Zob. strona internetowa: www.money.pl/pytanie/p=219 (7.07.2005).
17
-
-
-
-
ustawa z dnia 13 października 1998 roku o systemie ubezpieczeń
społecznych – w art. 46 ust. 4 pkt 9 stanowi, iŜ oświadczenie
płatnika składek moŜe być potwierdzone podpisem własnoręcznym lub podpisem elektronicznym; Zakład Ubezpieczeń Społecznych rozlicza się z płatnikami składek na podstawie deklaracji elektronicznych przekazywanych za pomocą programu „Płatnik”, w którym podpis elektroniczny jest certyfikowany przez
Centrum Certyfikacji Unizeto Certum,
Rozporządzenie Ministra Finansów z dnia 21 września 2001 roku
w sprawie określenia wzoru rejestru transakcji, sposobu jego
prowadzenia oraz trybu dostarczania danych Generalnemu Inspektorowi Informacji Finansowej – w § 8 ust. 1a zapisano, iŜ dane przekazywane w formie elektronicznej muszą być opatrzone
bezpiecznym podpisem elektronicznym,
projekt Rozporządzenia Ministra Finansów w sprawie sposobu
i warunków wystawiania oraz przesyłania faktur w formie elektronicznej, a takŜe zasad przechowywania oraz trybu udostępniania organowi podatkowemu lub organowi kontroli skarbowej faktur przesyłanych drogą elektroniczną – §3 ust. 1 stanowi, Ŝe „faktury mogą być przesyłane w formie elektronicznej pod warunkiem, Ŝe autentyczność ich pochodzenia i integralność treści będą
zagwarantowane bezpiecznym podpisem elektronicznym...”,
projekt ustawy o zmianie ustawy – Ordynacja podatkowa oraz
o zmianie niektórych innych ustaw – w art. 3a §1 przewiduje
moŜliwość składania deklaracji podatkowych za pomocą środków
komunikacji elektronicznej, z tym Ŝe muszą one zawierać dane
w ustalonym formacie elektronicznym i być uwierzytelnione
podpisem elektronicznym.
Zaprezentowane przykłady tylko częściowo ilustrują świadome
dąŜenie ustawodawcy do upowszechnienia podpisu elektronicznego poprzez stanowione akty prawne zezwalające lub wręcz nakazujące jego
uŜycie, zgodnie z ustawą o podpisie elektronicznym. RóŜnice w podejściu ustawodawcy dotyczą zawarcia, bądź nie zawarcia ograniczenia
w postaci bezpiecznego podpisu elektronicznego. Część czynności moŜna zawierać przy pomocy zwykłego podpisu elektronicznego, a część
obowiązkowo przy uŜyciu bezpiecznego podpisu elektronicznego.
18
Podsumowanie
Wprowadzanie zmian w kaŜdej dziedzinie jest trudne, tak teŜ jest
w przypadku wdraŜania do codziennego uŜytku podpisu elektronicznego,
który rewolucjonizuje obieg dokumentów elektronicznych. Zmiany zachodzące w tym względzie moŜna porównać do procesów transformacyjnych, które z załoŜenia rewolucjonizują wiele dziedzin sfery gospodarczo-politycznej. Obie te sfery łączą poszczególne etapy – swoiste wyznaczniki zmian.
Pierwszym etapem koniecznym do wprowadzenia jakichkolwiek
zmian jest stworzenie instytucjonalnych podstaw działania poprzez właściwe unormowanie prawne. System prawny dla podpisu elektronicznego
został przygotowany przez odpowiednie ustawy, w tym przede wszystkim przez ustawę o podpisie elektronicznym. W zakresie dotyczącym
firm certyfikujących takimi przepisami są ponadto polityki wewnętrzne
określające działanie firm. Oceniając ten etap naleŜy stwierdzić, Ŝe został
wdroŜony w całości, pomimo początkowej fali krytyki wspomnianej
ustawy. Przepisy prawa zostały dostosowane do wymogów międzynarodowych, w szczególności unijnych (Dyrektywa 1999/93/EC).
Drugi etap stanowią zmiany systemowe, rozumiane jako stworzenie pewnego rodzaju systemu – w tym przypadku infrastruktury klucza
publicznego. Etap ten w Polsce przebiegł prawidłowo. System został
zbudowany w sposób wzorcowy, stworzono system z jednym głównym
urzędem certyfikacyjnym, nadzorowanym przez ministra odpowiedniego
do spraw gospodarki oraz urzędami pośrednimi certyfikującymi osoby
fizyczne.
Za ostatni etap uznaje się zmiany w mentalności uczestników Ŝycia gospodarczego, które w przypadku zmian transformacyjnych gospodarki nie zaszły w pełni. W przypadku podpisu elektronicznego moŜna
stwierdzić, Ŝe nie wyciągnięto wniosków z błędów popełnionych przy
innych zmianach gospodarczo-politycznych. Stworzono ramy prawne
i system organizacyjny, a podpis elektroniczny wciąŜ jest mało popularny. Bez zmian w mentalności nie moŜna uznać wprowadzonych zmian za
sukces. Trzeci etap jest specyficzny z uwagi na fakt, Ŝe jego skutki ujawniają się dopiero po pewnym okresie i dopiero wtedy moŜe być oceniony
pozytywnie bądź negatywnie.
Społeczeństwo polskie nie realizuje na szeroką skalę transakcji
finansowych, handlowych, urzędowych i prywatnych drogą elektroniczną. NaleŜy zauwaŜyć, Ŝe nie wszystkim zaleŜy na rozpowszechnieniu
19
tego typu usług, stąd takie podmioty, jak Poczta Polska czy firmy kurierskie tracą w ten sposób klientów. Niemniej jednak banki internetowe
potrzebowały sporo czasu na upowszechnienie swoich usług. Nadal – jak
wynika z analiz – średnie oszczędności osób prywatnych w bankach internetowych są niŜsze niŜ te, gromadzone w bankach tradycyjnych. Jest
to niepokojący sygnał dla bankowców. Konta elektroniczne mogą załoŜyć wyłącznie osoby spełniające podstawowy wymóg, czyli posiadające
komputer z podłączeniem do sieci Internet, co wiąŜe się z kosztami, na
które nie kaŜdy moŜe sobie pozwolić.
W przypadku kart płatniczych sytuacja wygląda duŜo korzystniej
– polski rynek został juŜ nimi nasycony. Korzystanie z nich jest bardzo
powszechne, uczestnicy Ŝycia gospodarczego nauczyli się zastępować
pieniądz gotówkowy bezgotówkowym. Musiało jednak upłynąć kilka lat
zanim usługi te rozpowszechniły się. MoŜna przypuszczać, Ŝe z podpisem elektronicznym będzie podobnie. Z pewnością będzie powszechnie
wykorzystywany do przeprowadzania transakcji przez podmioty gospodarcze, ale moŜna teŜ oczekiwać słabego zainteresowania podpisem elektronicznym ze strony gospodarstw domowych. Wynika to przede wszystkim z dostępu lub jego braku do sprzętu komputerowego oraz łączy internetowych. Warunkiem obniŜenia kosztów korzystania z podpisu jest
przede wszystkim masowość usługi, a w najbliŜszym czasie jest to mało
prawdopodobne. Ponadto, jak juŜ podkreślano, zmiany społeczne są słabo zaawansowane, a to one będą miały decydujący wpływ na sukces lub
poraŜkę rozpowszechnienia się obiegu dokumentacji elektronicznej. NaleŜy połoŜyć duŜy nacisk na rozpowszechnianie podpisu elektronicznego
i edukację, pokazującą korzyści płynące z jego uŜycia.
Zastosowanie podpisu elektronicznego znacząco wpłynie na poprawę bezpieczeństwa komunikacji elektronicznej. Zalety te zostały juŜ
dostrzeŜone przez bankowców. JednakŜe wprowadzanie podpisu elektronicznego na szeroką skalę do bankowości jest trudne i czasochłonne.
Koszty, jakie musi ponieść bank w celu wdroŜenia całego systemu infrastruktury podpisu elektronicznego, są duŜe. Wysokie są równieŜ koszty,
jakie będzie musiał ponieść klient, aby uzyskać kwalifikowany certyfikat
podpisu elektronicznego. Zyski finansowe, wynikające z zalet stosowania
podpisu elektronicznego, są pewne, pojawia się jednak pytanie, czy
w pierwszych latach jego stosowania będą na tyle duŜe, aby wyrównać
poniesione koszty. Takie zalety, jak gwarancja bezpieczeństwa i pewność
toŜsamości klienta, dokonywanie transakcji niezaleŜnie od miejsca i czasu, obniŜenie kosztów transakcji, ujawnią się dopiero w momencie sto20
sowania podpisu elektronicznego na szeroką skalę, nie tylko w bankowości i transakcjach finansowych, ale teŜ handlowych i czynnościach urzędowych, itp. To jednak wymaga czasu.
Summary
At one time, when Internet was made available for private purposes, it
was used mainly for entertainment and changing messages. People used
to communicate via e-mail, web sites and so called chats. The
financiers soon realized that advantages brought by the Internet are so big
that they decided to use this media in doing business. Regardless of the
initial huge capital expenditure, and uncertainty regarding the profitability of the investment, electronic world encroached on the money world.
The electronic banking is still developing. The Internet becomes
the place where transfers of huge money are made. However, there are
many people who want to intercept them illegaly. The number of robberies in traditional banking is getting lower, but the number of hacker attacks in the case of electronic banking is increasing. The electronic
communication requires the use of special resolution and protection
which will be as resistant as the strongest safe. A guarantee of security of
the aforementioned communication is exactly an electronic signature.
In the article, entitled An Electronic Signature as a Guarantee of
Security of Electronic Transactions, the author outlined the issue of electronic signature. At the beginning a definition and features of the electronic signature are presented. Then the technical infrastructure is characterized as well as certificates and certification authorities. The author also
describes the stages of creating the electronic signature. The second part
of the article concerns the appropriate legal acts. Moreover, purposes of
using the electronic signature are indicated. The author mentions also
other methods of making the electronic transactions secure. The conclusion of the whole article outlines the chances and threats of the introduction of the electronic signature in the banking industry.
21
Bibliografia
Adams C., Lloyd S., [2002], Podpis elektroniczny. Klucz publiczny, Wydawnictwo
Robomatic, Wrocław.
Chochołowski B.,
www.money.pl.
[2005],
Kto
rządzi
polską
bankowością
elektroniczną,
Encyklopedia historii świata dla całej rodziny, [2001], red. J. Fronczak, Reader’s Digest
Polska, Warszawa.
Bankowość elektroniczna, [2005], red. A. Gospodarowicz, Polskie Wydawnictwo Ekonomiczne, Warszawa.
Jakubiec S., Szcześ M., [2002], Elektroniczne usługi finansowe – charakterystyka rynku, wyzwania i inicjatywy regulacyjne, Materiały i Studia, Zeszyt nr 139, NBP.
Kisiel M., [2005] Internet a konkurencyjność banków w Polsce, CeDeWu, Warszawa.
Kościelny T., Szaniawski K., [2003], Ustawa o podpisie elektronicznym. Komentarz,
Kantor Wydawniczy Zakamycze, Kraków.
Koźliński T., [2002], Bankowość internetowa, CeDeWu, Warszawa.
Marucha-Jaworska M., [2002], Podpis elektroniczny, Prawo i Praktyka Gospodarcza,
Warszawa.
Masiota J., [2003], Elektroniczne instrumenty płatnicze, Branta, Bydgoszcz.
Nowe technologie we współczesnym banku, [2004], red. A. Janc, G. Kotliński, Akademia Ekonomiczna w Poznaniu, Poznań.
Podpłoński R., Popis P., [2004], Podpis elektroniczny. Komentarz, Difin, Warszawa.
Podpis elektroniczny. Komentarz do ustawy z 18 września 2001 roku, [2002], J. Przetocki, Lexis Nexis, Warszawa.
Świecka B., [2004], Bankowość elektroniczna, CeDeWu, Warszawa.
www.mbank.pl.
www.money.pl
www.rbe.pl.
Dyrektywa 1999/93/EC z dnia 13 grudnia 1999 roku w sprawie wspólnotowych ram w
zakresie podpisów elektronicznych (Dz. Urz. WE L 13 z 19.01.2000).
22
Rekomendacja D - dotycząca zarządzania ryzykami towarzyszącymi systemom informatycznym i telekomunikacyjnym uŜywanym przez banki, GINB, [2002].
Ustawa z dnia 29 sierpnia 1997 roku – Prawo bankowe (t.j. Dz.U. nr 72, poz. 665 z
2002 roku).
Ustawa z dnia 18 września 2001 roku o podpisie elektronicznym (Dz.U. nr 130, poz.
1450).
Ustawa z dnia 12 września 2002 roku o elektronicznych instrumentach płatniczych
(Dz.U. nr 169, poz. 1385).
23