Jaka jest różnica między kwalifikowaną a niekwalifikowaną usługą zaufania polegającą na walidacji i weryfikacji ważności podpisu elektronicznego?
Zacznijmy od odpowiedzi na pytanie – Czym jest usługa zaufania?
Wiedza o tym potrzebna nam będzie do zrozumienia pojęć które wykorzystamy w dalszych rozważaniach oraz do odpowiedzi na zasadnicze pytanie.
Usługa zaufania została zdefiniowana po raz pierwszy w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym.
https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32014R0910 (dalej: eIDAS).
Pkt 16 artykułu 3 mówi:
„usługa zaufania” oznacza usługę elektroniczną zazwyczaj świadczoną za wynagrodzeniem i obejmującą:
- tworzenie, weryfikację i walidację podpisów elektronicznych, pieczęci elektronicznych lub elektronicznych znaczników czasu, usług rejestrowanego doręczenia elektronicznego oraz certyfikatów powiązanych z tymi usługami; lub
- tworzenie, weryfikację i walidację certyfikatów uwierzytelniania witryn internetowych; lub
- konserwację elektronicznych podpisów, pieczęci lub certyfikatów powiązanych z tymi usługami;
Zgodnie z definicją cytowanego przepisu usługą zaufania jest m.in. usługa weryfikacji czy walidacji podpisu elektronicznego. Nie ma znaczenia kto i na jakich zasadach świadczy tą usługę oraz kto może z niej skorzystać. Co do zasady usługi zaufania dzieli się na usługi świadczone przez kwalifikowanego lub niekwalifikowanego dostawcę usług zaufania (art. 3 pkt. 19). Zatem dowolna usługa zaufania może być świadczona zarówno przez kwalifikowanego dostawcę usług zaufania jak i niekwalifikowanego dostawcę usług zaufania.
W tym kontekście pojawia się zatem pytanie o różnice pomiędzy kwalifikowanym i niekwalifikowanym dostawcą zaufania. Status podmiotu świadczącego tę usługę w istocie oznacza na którym poziomie taka usługa może być przez niego świadczona. Kwalifikowana usługa walidacji może być świadczona wyłącznie przez kwalifikowanego dostawcę, a niekwalifikowana – przez dowolnego (art. 33 eIDAS).
Czy to zasadniczo jedyna różnica pomiędzy kwalifikowaną a niekwalifikowaną usługą walidacji? W zasadzie,… tak. bowiem jak pokazane zostanie poniżej – jedyna różnica leży w odpowiedzialności za walidację podmiotu ją świadczącą a nie w sposobie, metodzie, aspektach technicznych, czy w końcu – zakresie walidacji.
Czy zatem jest różnica między posiadaniem poświadczenia weryfikacji i walidacji podpisu elektronicznego od kwalifikowanego i niekwalifikowanego dostawcy usług zaufania?
Na początek warto przyjrzeć się dokładniej treści już przywołanego wcześniej art. 33 eIDAS, przy uwzględnieniu wymagań art. 32 eIDAS. Artykuł 32 Wymogi dla walidacji kwalifikowanych podpisów elektronicznych – szczegółowo precyzuje wymogi dla takiego procesu.
Ust. 1 określa wymogi techniczne dla certyfikatu podpisu elektronicznego i samego podpisu elektronicznego, jakie muszą zostać spełnione w pierwszej kolejności, w tym jednoznacznie potwierdza, że podpis kwalifikowany jest szczególnym rodzajem podpisu zaawansowanego.
Dalej ust. 2 mówi że „system wykorzystywany do walidacji kwalifikowanego podpisu elektronicznego zapewnia (…) prawidłowy wynik procesu walidacji i umożliwia (…) wykrycie wszelkich problemów z bezpieczeństwem”.
Ust. 3 uprawnia Komisję Europejską do wskazywania jednoznacznych norm walidacji.
Co istotne w tym przepisie to brak wymagania dla systemu służącemu walidacji podpisów by posiadał on status kwalifikowanej usługi zaufania. Mówiąc w skrócie system takowy ma jedynie potwierdzić spełnienie wymagań, głównie technicznych określone w ust. 1 oraz zapewnić prawidłowy wynik i wykrywać wszelkie problemy związane z bezpieczeństwem.
Co oznacza, że „system ma zapewnić prawidłowy wynik walidacji” ? Prawidłowy wynik walidacji to taki, który spełnia określone wymagania. Musi być oparty na posiadanych kompetencjach, zachowaniu staranności i najlepszej wiedzy podmiotu, który go prezentuje. Podmiot ten uzyskał wpis do rejestru usług zaufania i bierze za to odpowiedzialność. Można z dużą dozą pewności uznać taki wynik za zgodny z rzeczywistością. Te przesłanki dotyczą zarówno kwalifikowanych, jak i niekwalifikowanych podmiotów świadczących usługi zaufania. Są one uprawnione od dnia uzyskania odpowiedniego wpisu.
Ale nadal nie znajdujemy odpowiedzi na nasze pytanie…
Mówiliśmy wyżej, że podmioty świadczące usługi zaufania biorą odpowiedzialność za jakość wykonywanych usług – w tym w przypadku weryfikacji/walidacji podpisu elektronicznego. Okazuje się że eIDAS określa tą odpowiedzialność.
Artykułu 13, ust. 1 eIDAS mówi:
Bez uszczerbku dla ust. 2, dostawcy usług zaufania są odpowiedzialni za szkody wyrządzone w sposób zamierzony lub z powodu zaniedbania osobie fizycznej lub prawnej w związku z niewypełnieniem obowiązków określonych w niniejszym rozporządzeniu.
Ciężar dowiedzenia zamiaru lub zaniedbania niekwalifikowanego dostawcy usług zaufania spoczywa na osobie fizycznej lub prawnej zgłaszającej szkodę, o której mowa w akapicie pierwszym.
Domniemywa się zamiar lub zaniedbanie kwalifikowanego dostawcy usług zaufania, chyba że kwalifikowany dostawca usług zaufania udowodni, że szkoda, o której mowa w akapicie pierwszym, nie powstała z powodu zamierzonego działania lub zaniedbania tego kwalifikowanego dostawcy usług zaufania.
Co z ta odpowiedzialnością ?
Zgodnie z powyższymi przepisami odpowiedzialność ponosi każdy dostawca usług zaufania, zarówno kwalifikowany, jak i niekwalifikowany. W przypadku szkody domniemywa się winę kwalifikowanego dostawcy. Ponosi on natychmiastową odpowiedzialność, ponieważ posiada obowiązkową polisę ubezpieczeniową i podlega nadzorowi określonemu w artykule 17.
Natomiast w przypadku niekwalifikowanego dostawcy, winę trzeba udowodnić w postępowaniu reklamacyjnym lub sądowym.
Wróćmy jeszcze do art. 33, który mówi o tym czym cechuje się i jakie są wymagania dla kwalifikowanej usługi walidacji podpisu elektronicznego tj.:
- Kwalifikowaną usługę walidacji kwalifikowanych podpisów elektronicznych może świadczyć wyłącznie kwalifikowany dostawca usług zaufania, który:
a)zapewnia walidację zgodnie z art. 32 ust. 1; oraz
b) umożliwia stronom ufającym otrzymanie wyniku procesu walidacji w automatyczny, wiarygodny i skuteczny sposób oraz przy użyciu zaawansowanego podpisu elektronicznego lub zaawansowanej pieczęci elektronicznej dostawcy kwalifikowanej usługi walidacji.
Jak widać kwalifikowany usługodawca ma zapewnić walidację zgodnie z art. 32 ust. 1, a więc dokładnie taką jaką powinna zapewnić każda walidacja podpisu kwalifikowanego, więc w tym zakresie ponownie nie odnajdujemy różnicy pomiędzy kwalifikowaną a niekwalifikowaną usługa walidacji.
Kwalifikowany usługodawca podpisuje wynik weryfikacji za pomocą zaawansowanego podpisu lub pieczęci i przekazuje go osobie weryfikującej. Taki wynik, zwany poświadczeniem weryfikacji, musi być podpisany co najmniej zaawansowanym podpisem. W przypadku niekwalifikowanej usługi nie ma takiego wymogu.
Wniosek jest zatem jeden, sam proces walidacji podpisu kwalifikowanego (kwalifikowany lub nie) musi być zgodny z art.32 rozporządzenia.