Podpis elektroniczny — jak działa i kiedy zastępuje papierowy

Podpis elektroniczny towarzyszy nam znacznie częściej, niż zdajemy sobie z tego sprawę. Logowanie do banku, potwierdzanie przelewu kodem SMS, składanie wniosku przez ePUAP — to wszystko różne formy elektronicznego uwierzytelnienia. Problem w tym, że nie każdy e-podpis ma tę samą moc prawną co odręczne złożenie podpisu na papierze. Różnice bywają istotne, a ich nieznajomość może kosztować czas i nerwy.

Czym jest podpis elektroniczny i jak go odróżnić od zwykłego skanowania

Z technicznego punktu widzenia podpis elektroniczny to zestaw danych przypisanych do konkretnej osoby, który pozwala zweryfikować jej tożsamość i potwierdzić, że od momentu podpisania dokument nie był modyfikowany. To drugie — tak zwana integralność dokumentu — jest czymś, czego odręczny podpis na papierze w żaden sposób nie zapewnia.

Mechanizm działania opiera się na kryptografii asymetrycznej. Każdy użytkownik dysponuje parą kluczy: prywatnym, przechowywanym wyłącznie u właściciela, i publicznym, dostępnym dla każdego weryfikującego. Podpisując dokument, generujemy jego unikalny skrót (hash), który szyfrujemy kluczem prywatnym. Odbiorca, używając klucza publicznego, sprawdza, czy skrót się zgadza — jeśli tak, wie, że podpis jest autentyczny i plik nie był zmieniany.

Czym e-podpis różni się od skanu podpisanego dokumentu

Skaner i e-podpis to kompletnie różne narzędzia, choć w praktyce biurowej bywają mylone. Skan to wyłącznie obraz dokumentu — plik graficzny, który można edytować w dowolnym programie do obróbki zdjęć. Nie zawiera żadnych mechanizmów weryfikacji tożsamości ani ochrony integralności.

E-podpis natomiast jest osadzony w strukturze pliku (najczęściej PDF lub XML) i powiązany kryptograficznie z treścią. Próba zmiany choćby jednej litery w podpisanym dokumencie sprawia, że podpis staje się nieważny — oprogramowanie weryfikujące natychmiast to wykryje. W kontekście prawnym skan podpisanego dokumentu ma wartość dowodową, ale nie jest równoważny oryginałowi z podpisem własnoręcznym. E-podpis kwalifikowany — tak.

Rodzaje podpisów elektronicznych według rozporządzenia eIDAS

Unia Europejska ujednoliciła regulacje podpisu elektronicznego rozporządzeniem eIDAS (nr 910/2014), obowiązującym bezpośrednio we wszystkich krajach członkowskich. Wyróżnia ono trzy poziomy, które różnią się siłą prawną i wymogami technicznymi.

Zwykły podpis elektroniczny (ZPE) to najszersza kategoria — obejmuje każde dane elektroniczne służące do podpisania. Kod SMS potwierdzający przelew, kliknięcie „akceptuję” w formularzu online, a nawet wpisanie imienia i nazwiska w polu podpisu e-maila formalnie wchodzą w tę kategorię. Moc prawna jest najniższa i zależy od kontekstu oraz możliwości udowodnienia tożsamości.

Zaawansowany podpis elektroniczny (ZaawPE) musi spełniać cztery warunki: być jednoznacznie przypisany do podpisującego, umożliwiać jego identyfikację, być tworzony przy użyciu danych, nad którymi podpisujący ma wyłączną kontrolę, oraz wykrywać każdą późniejszą zmianę podpisanych danych. Wiele rozwiązań biznesowych — podpisy na tabletach w bankach, niektóre platformy do podpisywania umów — działa na tym poziomie.

Kwalifikowany podpis elektroniczny (KPE) to najwyższy poziom. Wymaga certyfikatu kwalifikowanego wydanego przez akredytowane centrum certyfikacji oraz bezpiecznego urządzenia do składania podpisu (zwykle karta kryptograficzna lub token USB). Tylko ten rodzaj podpisu ma w Polsce moc prawną równoważną podpisowi własnoręcznemu — i to bez konieczności dodatkowego dowodzenia tej równoważności przed sądem czy urzędem.

Podpis kwalifikowany — jak go uzyskać i kiedy jest niezbędny

Podpis kwalifikowany w Polsce wydają podmioty wpisane na listę prowadzoną przez Ministerstwo Cyfryzacji. W 2024 roku na liście znajdowało się kilka akredytowanych centrów certyfikacji, m.in. Certum (Asseco), Sigillum (PWPW) czy EuroCert. Procedura uzyskania certyfikatu wymaga jednorazowej weryfikacji tożsamości — osobiście w punkcie rejestracji, przez kuriera z notarialnym potwierdzeniem lub coraz częściej przez wideoweryfikację.

Zestaw do podpisu kwalifikowanego kosztuje zazwyczaj 200-400 zł na rok lub kilka lat (w zależności od oferty), a w cenie jest karta kryptograficzna lub token USB oraz czytnik kart. Certyfikat ma datę ważności — najczęściej 1, 2 lub 3 lata — i po wygaśnięciu trzeba go odnowić.

Kiedy podpis kwalifikowany jest wymagany przepisami

Przepisy wyraźnie wskazują sytuacje, w których wymagany jest właśnie ten poziom:

• faktury elektroniczne przesyłane jako dokumenty XML (choć EDI i inne formaty dopuszczają alternatywy)
• dokumenty składane przez przedsiębiorców do KRS drogą elektroniczną
• umowy o pracę i dokumenty kadrowe w pełni elektroniczne (podpisywanie przez pracodawcę)
• wnioski i dokumenty procesowe w elektronicznym postępowaniu sądowym
• deklaracje podatkowe składane w imieniu podmiotów innych niż osoba fizyczna (w niektórych przypadkach)
• oferty w przetargach publicznych powyżej progów unijnych

W obrocie cywilnym — zwykłe umowy handlowe, zamówienia, NDA — strony mogą zgodnie przyjąć dowolny poziom podpisu, jeśli forma pisemna nie jest zastrzeżona pod rygorem nieważności. W praktyce wiele firm akceptuje zaawansowany podpis od certyfikowanych platform, bo daje wystarczającą pewność prawną przy niższych kosztach.

Profil zaufany i ePUAP — e-podpis dla każdego obywatela

Profil zaufany to bezpłatne narzędzie, które pozwala potwierdzać tożsamość w kontaktach z polską administracją publiczną. Technicznie rzecz biorąc, podpis profilem zaufanym jest zaawansowanym podpisem elektronicznym — nie kwalifikowanym. Ma jednak szczególny status prawny w Polsce: dla spraw administracyjnych i sądowych prowadzonych przez platformę ePUAP jest traktowany jak podpis własnoręczny w relacji obywatel–urząd.

Założenie profilu zaufanego jest proste. Można to zrobić na kilka sposobów: przez bankowość elektroniczną (natychmiastowo, jeśli bank uczestniczy w programie), przez aplikację mObywatel przy użyciu dowodu osobistego z warstwą elektroniczną, lub przez wizytę w punkcie potwierdzającym z dowodem osobistym lub paszportem.

Co można załatwić przez ePUAP podpisem profilem zaufanym

Platforma ePUAP i coraz szerzej rozumiana e-administracja obsługują za pomocą profilu zaufanego m.in.:

• składanie wniosków do urzędów gmin, starostw i urzędów marszałkowskich
• wnioski do ZUS (przez PUE ZUS) i KRUS
• rejestrację działalności gospodarczej w CEIDG
• złożenie PIT przez usługę Twój e-PIT
• wnioski o 500+, 800+ i inne świadczenia socjalne
• korespondencję z sądami przez Portal Informacyjny i e-Sąd

Ograniczenie profilu zaufanego jest jasne: nie zastępuje podpisu kwalifikowanego w relacjach biznesowych ani przy czynnościach prawnych wymagających formy kwalifikowanej. Nie podpiszemy nim umowy spółki składanej do KRS ani oferty w przetargu publicznym.

Jak sprawdzić ważność podpisu elektronicznego i co grozi za fałszerstwo

Weryfikacja podpisu jest tak samo ważna jak samo podpisanie — i znacznie częściej pomijana. Każdy podpisany elektronicznie dokument powinien być sprawdzony przed podjęciem na jego podstawie jakichkolwiek działań prawnych lub finansowych.

Do weryfikacji podpisu kwalifikowanego służą dedykowane aplikacje: Szafir (Certum), Weryfikator Sigillum czy ogólnoeuropejski walidator DSS dostępny przez stronę Komisji Europejskiej. Sprawdzamy przy tym kilka elementów jednocześnie: czy certyfikat był ważny w momencie podpisania, czy nie znajdował się na liście unieważnionych certyfikatów (CRL lub OCSP) oraz czy podpis matematycznie się zgadza z treścią dokumentu.

Ważna techniczna subtelność: podpis bez znacznika czasu (tzw. timestamp) traci możliwość weryfikacji po wygaśnięciu certyfikatu. Dlatego dokumenty o długim terminie ważności — umowy wieloletnie, akty prawne — powinny być opatrzone kwalifikowanym znacznikiem czasu, który „zamraża” stan certyfikatu w momencie podpisania.

Fałszowanie podpisu elektronicznego to przestępstwo stypizowane w Kodeksie karnym — art. 270 § 1 k.k. penalizuje podrobienie lub przerobienie dokumentu, a art. 287 k.k. dotyczy oszustwa komputerowego. Kary wahają się od grzywny do kilku lat pozbawienia wolności, zależnie od okoliczności i wyrządzonej szkody. Stosowanie fałszywych certyfikatów kwalifikowanych, wydawanych przez nieautoryzowane podmioty, odpowiednio zaostrza kwalifikację prawną czynu.

Dla codziennego użytku najrozsądniejsze jest odruchowe nawykowe sprawdzanie każdego otrzymanego dokumentu, szczególnie faktur i umów — weryfikacja zajmuje dosłownie kilkanaście sekund i eliminuje ryzyko przyjęcia sfałszowanego pliku. Tam gdzie stawką są pieniądze lub długoterminowe zobowiązania, ten nawyk zwraca się przy pierwszej próbie nadużycia.