Podpis elektroniczny w Polsce - sposób na miliony!
Temat podpisu elektronicznego to obecnie temat niezwykle gorący, szczególnie w Polsce. Nikt z nas nie spodziewał się zapewne, iż technologia mająca w dobie Internetu ułatwić nam życie, ma swoje minusy. Od pierwszego lipca 2008 roku przekona się o tym każdy przedsiębiorca. A kilku z nich szybko się wzbogaci.
Od kilku dni trwa już ożywiona dyskusja na łamach listy dyskusyjnej Polskiego Towarzystwa Informatycznego. A wszystko za sprawą ustawy o podpisie elektronicznym z 18 września 2001 roku, której działanie powoli zaczyna wpływać na nasze życie. Co jest przyczyną tak żywej reakcji? Pieniądze oczywiście!
W Polsce działają trzy firmy (centra certyfikacyjne) wydające certyfikaty kwalifikowane. Są nimi:
Oprócz tego, iż zajmują się certyfikatami łączy je coś jeszcze - odnowienie certyfikatu kwalifikowanego, niezbędnego do podpisu, w każdej z wymienionych firm kosztuje odpowiednio 95PLN (na rok) oraz 130PLN (na dwa lata) netto. W przypadku niezbędnego oprogramowania oraz sprzętu występuje niewielka (kilka złotych) różnica cenowa. Wspomniane oprogramowanie nie posiada wsparcia dla systemów innych, niż Windows, ale to już szczegół. Ciekawostką jest, iż poza granicami Polski usługi te są ok. dwukrotnie tańsze - certyfikat na rok kosztuje ok. 20USD, co przy obecnym kursie dolara daje w rezultacie ok. 50PLN bez uwzględnienia realnej siły nabywczej pieniądza.
Co to oznacza w praktyce? Wyżej wspomniane firmy mocno wzbogacą się na wprowadzanych w Polsce zmianach. Liczba przedsiębiorców w Polsce przekracza obecnie 3,5 miliona, co oznacza, iż sam zakup certyfikatów na jeden rok spowoduje przelanie na konta każdej z ww. firm średnio ok. 110 milionów PLN. I nie wydaje się, aby było to zupełnie uczciwe zagranie w stosunku do przedsiębiorców.
PS. Pozwoliłem sobie umieścić wpis na Techblogu ze względu na to, iż temat wydaje mi się być ważnym. Szczególnie na kilka miesięcy przed wprowadzeniem przymusu korzystania z podpisu elektronicznego. Wasze komentarze będą mile widziane!
Ta notka (e380050) została wysłana 11 lutego 2008 o 02:21:23.
Możesz przejść na koniec i zostawić komentarz.
Ta notka jest dostępna na licencji Creative Commons Uznanie autorstwa 2.5 Polska.
11 lutego 2008 o 02:42:15
Pytanie: czy firmy w Polsce są zmuszone do zakupu w jednej z trzech powyższych instytucji, czy też mogą kupić spokojnie certyfikat zagranicą?
11 lutego 2008 o 02:56:42
Z ustawy wynika, iż certyfikaty zagraniczne również powinny być uznawane przy założeniu, iż spełniają odpowiednie wymagania. I właśnie te wymagania sprawiają, iż jest to całkiem spore „ale”.
Polecam zapoznanie się z artykułem na IPsec.pl.
11 lutego 2008 o 08:05:21
Do 3,5 miliona firm dołącz jeszcze wszystkie urzędy, szkoły, biblioteki i inne tego typu placówki, które przekazują dokumenty do ZUS drogą elektroniczną. Urzędy od tego roku zobligowane są również do uruchomienia Elektronicznych Skrzynek Podawczych. Tylko powiedzmy sobie szczerze, po co? Ilu obywatelu naszego kraju wyda kilka stów, żeby mogli złożyć do urzędów jakieś 2 wnioski w roku? Zarówno podpis jak i ESP to naprawdę wielkie pieniądze, a nie ma to jak napychanie klientów wprowadzanymi ustawami ;)
11 lutego 2008 o 08:32:09
Sama idea jakiegokolwiek podpisu jest bezsensu. Przecież sam mogę w dowolnym urzędzie złożyć papiery, pozwy… w imieniu dowolnej osoby np. siostry, ojca… Mogę powymyślać dowolne daty, miejsca zamieszkania itp. bo nie sprawdzają mojej tożsamości w momencie składania (w realu). W zusie daję zabazgrany papier dostaję pieczątkę na kopii i wracam do domu. Jak coś namieszam to i tak osoba „docelowa” będzie wezwana osobiście. Przecież każdy z nas ma NIP lub PESEL i jest jednoznacznie powiązana z danymi osobowymi a wymienione numery raczej tajne nie są. Informacje przekazywane do np. ZUS, NFZ to nie rozliczenia finansowe gdzie ważne jest kto jest kto.
11 lutego 2008 o 08:57:06
hmm a to coś ma być obowiązkowe? Dopóki nie będzie wsparcia dla Linuksa ja tego nie chcę! ;p
11 lutego 2008 o 09:00:32
@radmen: <... a Kim Ty jesteś.../> to obywatelski obowiązek [patrz podatki] :-D
11 lutego 2008 o 09:01:06
Fak, nie dam się! Bedę anonimowy etc!!!one!!11! ;p
11 lutego 2008 o 09:11:25
Podpis elektroniczny będzie obowiązkowy dla przedsiębiorców i opcjonalny dla wszystkich innych.
Idea podpisu nie jest zła. W wielu krajach już funkcjonuje i sprawdza się – to jest technologia z ludzką twarzą. Szkoda tylko, iż u nas znowu szykuje się coś nieprzyjemnego. Aby trzy różne firmy ustaliły wspólnie tak samo wysoką cenę... Tutaj trudno mówić o jakiejkolwiek konkurencji :/
11 lutego 2008 o 09:13:30
@zal: A dlaczego nie potrzebuję podpisu np. do mbanku?
11 lutego 2008 o 09:23:35
Podpis cyfrowy miałby być technologią? A jak się to ma do ciscowego etherchannela i microsoftowego .NET, które też są radośnie nazywane technologiami? Które jest droższe w użyciu?
11 lutego 2008 o 09:33:38
@dozzie: ale wykorzystanie funkcji skrótu oraz asymetrycznego szyfrowania do wytworzenia podpisu może już być nazwane technologią, prawda? Podejrzewam, iż najładniejszym tłumaczeniem, gdybym chciał się tłumaczyć ze złego użycia słowa, byłby „skrót myślowy” ;]
@error777: nie chciałbym skłamać, ale podejrzewam, iż banki umożliwiają kontakt poprzez dokumenty elektroniczne podpisane cyfrowo, ale nie wymagają tego. Obowiązek dotyczyć będzie przedsiębiorców i ZUSu.
11 lutego 2008 o 09:39:22
@zal: A jak są te „dokumenty” przesyłane… mailem? Zawodowo zajmuję się elektroniką (nie śledzę top-technologii), ale zamiast dokumentu xxxOffice chyba lepiej wymieniać dane XML. Czym różni się szyfrowanie dokumentu od szyfrowania kanału komunikacji?
11 lutego 2008 o 10:00:37
error777: tym że nie chodzi tu o o szyfrowanie, tylko o identyfikację osoby składającej „podpis”.
11 lutego 2008 o 10:05:43
@arag0rn: Ja nie „łapię” różnicy. Idę do banku, daję dowód tam jest moje zdjęcie, pieczątka urzędu miasta xyz. Babka w kasie porownuje i daje mi pieniądze. Podpisać się mogę nawet trzema +++ (bo mam prawą rekę złamaną).
11 lutego 2008 o 10:14:02
Właśnie nie może być nazywane technologią. Standard, algorytm, ale nie technologia.
@error777: a odróżniasz zatajenie przesyłanej informacji (nieprzejrzysta koperta) od potwierdzenia pochodzenia tej informacji (notarialne poświadczenie autorstwa)? Czy też jest do dla ciebie wszystko jedno?
11 lutego 2008 o 10:18:55
@error777: w przypadku strony internetowej banku wykorzystywane są podobne rozwiązania, ale w innym celu. To bank uwiarygadnia się oraz szyfruje dane Twoim losowo wygenerowanym kluczem. Co prawda komunikacja jest szyfrowana, ale to bank posiada uwiarygodnioną tożsamość. My, łącząc się z nim, możemy to robić z kilkunastu komputerów dziennie – identyfikuje nas jedynie login i hasło, a to trudne do przejęcia nie jest.
W przypadku omawianego podpisu to my, użytkownicy, potwierdzamy naszą tożsamość poprzez podpis elektroniczny uwiarygodniony przez odpowiednie centrum. Oznacza to, iż mail, dokument, czy też połączenie podpisane/szyfrowane przez nas jest z nami nierozerwalnie połączone w świetle prawa. Podpis gwarantuje, że:
- podpis osoby został złożony właśnie przez tą osobę – treść wiadomości nie uległa zmianie w trakcie przesyłania – wiadomość została nadana i nie ma co do tego wątpliwości
Innymi słowy – wysyłam maila (z podpisem cyfrowym) z domu do urzędu i urząd potraktuje go, jako dokument posiadający moc prawną. Dokument dodatkowo może być zaszyfrowany (zapewnia to poufność), ale nie musi.
11 lutego 2008 o 10:28:34
@zal: Zatem dlaczego jak chodzę do ZUS wymagam potwierdzenia kopii… bo zus GUBI dokumenty a potem nakłada grzywny bo brakuje XZY. Jednak prawo się „rozrywa” jak „ktoś” (anonimowy i niewiarygodny) twój dokument „odbiera i gubi”... co w takim przypadku?
11 lutego 2008 o 10:35:11
@klekot: Odróżniam. Jednak jakbym robił „duży przekręt” to notariusza na „słupa” też da się przerobić. Ograniczone zaufanie jest zawsze ograniczone… podobnie nie ma granicy wątpiwości.
11 lutego 2008 o 10:35:48
Bzdura, 110 milionów PLN nie bedzie i dam sobie za to uciac reke. Powod jest prosty. Firmy zlecaja uslugi ksiegowe biurom rachunkowym. A te, moga obslugiwac, powiedzmy, 300 firm, korzystajac z JEDNEGO zestawu do podpisu elektronicznego… I tak wlasnie zamierza robic wiekszosc mniejszych przedsiebiorstw.
PS: Testowy certyfikat (niekwalifikowany) mozna sobie za darmo wyrobic na stronie certum. Polecam zlecenie przeprowadzenia tej czynnosci pani Helence z kadr, szczegolnie tym, ktorzy mowia, ze wdrozenie podpisu jest proste i przyjemne ;-)
11 lutego 2008 o 11:18:07
@Piotr Konieczny: trudno się z Tobą nie zgodzić , co nie zmienia faktu, iż obecna sytuacja wygląda na sztuczną.
11 lutego 2008 o 12:05:23
Zal, ano jest sztuczna, bo jak ktos — takie, powiedzmy rev(Otezinu); — wpakowal miliony zlotych w centrum certyfikacji i nie widac szans na to, zeby kasa sie zwrocila, to naturalnym jest, ze chwyta sie kazdej mozliwosci, od lobbingu politycznego zaczynajac, az na zmowach cenowych z innymi CC kończac.
11 lutego 2008 o 12:21:34
Tylko dlaczego to ja jako przedsiębiorca mam się uwierzytelniać a rozbójnicy/urzędnicy nie? W dodatku inni „przesiębiorcy” się bogacą... bez tworzenia jakiejkolwiek wartości.
11 lutego 2008 o 12:22:54
@error777
Urzędnicy też będą musieli się uwierzytelniać. Komunikacja obowiązuje w dwie strony.
11 lutego 2008 o 12:33:51
@kula: Podaj jakieś źródło. Wg mnie art.6 i art.8 podlinkowanej ustawy przeczą sobie.
11 lutego 2008 o 12:40:11
@error777: http://www.zus.pl/default.asp?p=1&id=1&idk=501 .
11 lutego 2008 o 12:45:32
@kula: Hmm… mnie chodzi o to czy dostanę mailem tajemniczy plik POTWIERDZENIA... i jak go przepuszczę przez tajamniczne urządzenie/soft to czy zobaczę... coś takiego: starszy referent Kasia XZY + link do strony ZUS z numerm pokoju + numer telefonu? W przeciwnym wypadku te podpisy to wielki przekręt.
11 lutego 2008 o 12:52:21
@zal: dziękuję za linka, zagłębiam się w lekturze…
11 lutego 2008 o 13:43:59
chciałbym zauważyć ze jest to dobry temat aby nim się zajął urząd antymonopolowy, bo jęzeli w US mogą taniej to czemu tym bardziej w polsce nie ma?
może chodzi o to, że w momencie gdy nastapi efekt skali a używanie podpisów stanie się obowiązkowe doprowadzi to do tego, iż potanieją... ale raczej wierzę w opcje iż po prostu się dogadali między sobą ze nie będą obniżać cen… co jest już nielegalne z prawem polskim i pewnie europejskim a jeżeli tak to komisja UE też może się tym zając… jak komuś te ceny przeszkadzają np. związek pracodawców polskich to niech wystosują odpowiednie zażalenie…
btw. a ma ktoś dane ile euro kosztuje taka usługa w krajach starej UE??
11 lutego 2008 o 13:49:24
@koval: mnie to kojarzy się z wydawaniem dokumentu tożsamości przez zus, bank, nfz… itp. potem będzie podpis OK ale tylko nasz, wasz lub ich… inne precz. Problem leży w logice/metodzie identyfikacji nie w narzędziu. Ja mam własne ID a babka w zusie swoje DI. Nie wiem które DI będzie zajmować się moim ID. Anonimowość urzędników = brak odpowiedzialności.
11 lutego 2008 o 13:52:43
@error777 z drugiej jednak anonimowość pozwoli im na skuteczniejsze i bardziej obiektywne działanie (zwalczanie korupcji?) bo wtedy nie wiadomo kogo korumpować...
oczywiście wszystko będzie pięknie o ile urzędnicy zasiadający za biurkiem będą na właściwym miejscu i będą posiadać właściwe kompetencje, wiedzę, skills do wykonywania tej pracy… inaczej masz racje jest to bezsensu i niebezpieczne.
11 lutego 2008 o 13:57:17
@koval: jak ci prokurator pokaże logi to zastanowisz się czy brać/dać w łapę... jawność informacji działa tzw. cuda (POwodzenia). Znaczy się że ci od 20 lat na urzędzie to debile? bez kompetencji i skills… tego argumentu nie umiem odeprzeć z sensem.
11 lutego 2008 o 17:08:47
@Koval: o ile dobrze się orientuję PTI ma zamiar wystosować do UOKiK prośbę o kontrolę ww. firm.
11 lutego 2008 o 19:02:10
@error777: zachęcam do zapoznania się z dwoma dokumentami (pierwszy i drugi) – urząd, na każdy wniosek składany drogą elektroniczną, powinien odpowiedzieć przesyłając urzędowe poświadczenie odbioru.
12 lutego 2008 o 07:28:47
@zal: Dzięki za linki. Już mi się przejaśniło… :-)