Daleka droga… do wdrożenia podpisu elektronicznego
Zapewnienie bezpieczeństwa to umiejętność zarządzania ryzykiem, przy czym do niedawna ryzyko było traktowane jako koszt i prawdopodobieństwo wystąpienia zagrożenia, natomiast aktualnie normy definiują ryzyko jako wpływ niepewności na cele.
Bezpieczeństwo transakcji elektronicznych może być zapewnione w jeden ustalony sposób, gdy mówimy o transakcjach pomiędzy bankiem a jego klientem – bank wtedy ustanawia narzędzie o bezpieczeństwie adekwatnym do celu w jakim będzie ono wykorzystywane, znacznie trudniej jest stworzyć narzędzie uniwersalne, które będzie służyło wielu stronom, a przede wszystkim dostarczy gwarancji zaufania. Takim narzędziem miał być Bezpieczny podpis elektroniczny weryfikowany kwalifikowanym certyfikatem, niestety obowiązujące w Europie prawo, a także obowiązująca w Polsce ustawa nie sprawdziły się, wykorzystanie „podpisów kwalifikowanych” w rzeczywistości ogranicza się głownie do zastosowań, w których administracja publiczna wymusiła ich stosowanie.
Podstawowym problemem podpisu kwalifikowanego jest cel dla którego został stworzony – uniwersalne narzędzie adresujące nieograniczone ryzyko związane z transakcjami elektronicznymi. Zabezpieczenia, które ustalono prawnie, aby zapewnić wiarygodność podpisowi elektronicznemu powodują, że jego używanie jest niepraktyczne, a proces pozyskania narzędzia wymaga czynności których zwykłe osoby nie będą robić – np. udawać się do centrum potwierdzającego tożsamość. Z drugiej strony potencjał rynku transakcji elektronicznych jest ogromy, o czym świadczy liczba kont bankowości elektronicznej a także liczba deklaracji podatkowych składanych przez Internet -(do dnia 30 kwietnia 2014 roku złożono 5 193 246 deklaracji od osób fizycznych).
Zwiększenie liczby transakcji realizowanych za pomocą środków elektronicznych oraz udostępnienie narzędzi pozwalających jednoznacznie zidentyfikować on-line osoby stało się podstawowym wyzwaniem rozporządzenia Parlamentu Europejskiego i Rady w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym, którego tekst został przyjęty 3 kwietnia 2014. Mimo iż rozporządzenie nadal proponuje jako podstawowe narzędzie podpis kwalifikowany, to wprowadza kilka nowych mechanizmów, które pozwolą na rozwój usług elektronicznych.
Tymi usługami są:
- elektroniczna identyfikacja, pozwalająca na uwierzytelnienie i przekazanie danych osoby fizycznej na potrzeby transakcji on-line;
- pieczęć elektroniczna pozwalająca na zapewnienie integralności i autentyczności dokumentów pochodzących od firm, instytucji i innych podmiotów prawnych;
- usługa rejestrowanych doręczeń pozwalająca na zapewnienie poczty poleconej on-line;
- usługi zaufania – stanowiące połączenie różnych usług związanych z podpisami, pieczęciami i ich weryfikacją, a stanowiące zabezpieczenie transakcji elektronicznych;
- kwalifikowane uwierzytelnienie witryn internetowych.
Nowe rozporządzenie, które wejdzie w życie w 2016 roku, da możliwość budowania usług zaufania dla transakcji elektronicznych, natomiast zakres tych usług może być różny i zależeć od potrzeb biznesowych. Usługi takie w połączeniu z elektroniczną identyfikacją, do której udostępnienia (także podmiotom komercyjnym) będą zobowiązane kraje Unii Europejskiej daje perspektywę dla budowania mechanizmów transakcji elektronicznych, które będą odpowiadały na podstawowe potrzeby związane wykorzystaniem sieci do realizacji zadań biznesowych, adresowały ryzyko i pozwoliły na budowanie relacji pomiędzy wieloma podmiotami.
Z punktu widzenia technologii bankowych, taki model może stać się szansą do wykorzystania zbudowanego przez banki potencjału, a także stworzeniu usług zaufania bazujących na połączeniu usług zapewniających bezpieczeństwo zaciąganych zobowiązań z usługami bankowymi.
Michał Tabor, Rzeczoznawca Izby Rzeczoznawców
Polskiego Towarzystwa Informatycznego.
Autor komentarza jest prelegentem tegorocznego FORUM BEZPIECZEŃSTWA BANKÓW 2014
