W ustawie z dnia 31 lipca 2019 r. o zmianie niektórych ustaw w celu ograniczenia obciążeń regulacyjnych (Dz.U. 2019 poz. 1495) dodano nowy sposób podpisu pod sprawozdaniem finansowym: podpis osobisty. Od 1 stycznia 2020 roku będzie możliwe podpisanie sprawozdania finansowego na 3 sposoby: kwalifikowanym podpisem elektronicznym, profilem zaufanym oraz podpisem osobistym.
Jak uzyskać podpis osobisty
Podpis osobisty umieszczany jest od 4 marca 2019 na nowych typach dowodów osobistych (e-dowód).
Jako szczęśliwa posiadaczka tak podpisu zaufanego jak i podpis kwalifikowanego postanowiłam wystąpić z wnioskiem o nowy dowód osobisty w dwóch celach: nabycia wiedzy o podpisach wykonywanych przy pomocy e-dowodu oraz nabycia wiedzy jak można dokument podpisany wszystkimi typami podpisów zweryfikować.
W sierpniu udało mi się uzyskać nowy dowód dla którego uaktywniłam warstwę elektroniczną podczas jego odbioru w Urzędzie Gminy. Po szczęśliwym i bezbolesnym procesie nadawania dwóch numerów PIN (4-cyfrowego używanego np. do logowania się do profilu zaufanego oraz 6-cyfrowego używanego do podpisu) stałam się szczęśliwą posiadaczką kolejnego ofoliowanego plastikowego prostokącika z moim zdjęciem. Będąc świadomym odbiorcą treści internetu wiedziałam, że koniecznym do użycia e-dowodu jest nabycie czytnika e-dowodów. Z rankingów oczywiście wiedziałam jaki czytnik jest najwyżej w rankingach (Sygillum) i tam też skierowałam się (błędnie) osobiście. Błędnie, gdyż instytucja nie jest do końca przygotowana na osobisty zakup. Tym niemniej udało mi się takowy czytnik w końcu nabyć.
Pełna werwy podłączyłam więc czytnik do laptopa i … nieco się zdziwiłam, że czytnik nie zamierza zainstalować mi żadnego oprogramowania. W dużym pudełku nie było również żadnego CD ani pendrive ani nawet instrukcji. Producent czytnika niestety również na swojej stronie (jak też w odpowiedzi na mojego maila) nie podał gdzie mogę takowe oprogramowanie znaleźć.
Oprogramowanie znalazłam w końcu na stronie https://www.gov.pl/web/e-dowod/#Pliki-do-pobrania . A w zasadzie to 2 oprogramowania. Oczywiście instrukcja jak należy instalować jest … wbudowana w oprogramowanie jak już się je zainstaluje. Czyli jak już wszystko poprawnie zainstalowałam to dowiedziałam się z instrukcji co miałam zrobić. No cóż…..
Może więc od razu dla ułatwienia powiem, że należy zainstalować 2 programy: e-dowód podpis elektroniczny (w wersji odpowiedniej dla Windows) oraz e-dowód menadżer. Bez tego drugiego oprogramowania podpis nie będzie działał.
Testy samego podpisu osobistego
Muszę przyznać, że aplikacja podpisu jest niezwykle intuicyjna i działa bez zarzutu.
Ekran jest bardzo prosty i w zasadzie nie zostawia miejsca na pomyłkę. Ekrany oprogramowania jak i instrukcja (mały napis pomoc w dolnej części ekranu) są czytelne i prowadzą użytkownika za rękę.
Dowodem osobistym można podpisać na 3 sposoby:
1. podpis zewnętrzny – w opcji tej powstaje dodatkowy plik zawierający nazwę pliku podpisywanego, sumy kontrolne policzone dla tego pliku oraz informacje o podpisie. Plik taki zazwyczaj rozszerzenie XAdES. Plik podpisu zewnętrznego należy przesyłać zawsze łącznie z plikiem podpisywanym.
2. podpis otaczający – w opcji tej powstaje plik z rozszerzeniem XAdES zawierający w sobie plik podpisywany i powiększony o informacje krytograficzne (sumy kontrolne, dane podpisu).
3. podpis wewnętrzny zwany również otoczonym – używany wyłącznie do dwóch typów plików: XML oraz pdf. Informacje o podpisie umieszczane są bezpośrednio w pliku podpisywanym zachowując wcześniejsze rozszerzenie.
Czyli sposób zapisu podpisu nie różni się od podpisu kwalifikowanego.
Testy trzech typów podpisów na jednym pliku
Dobre pierwsze wrażenie działania e-dowodu niestety szybko zostało zepsute. Okazało się bowiem, że podpis wykonany przez e-dowód jest niemile widziany tak przez aplikacje do podpisu kwalifikowanego jak i przez podpis zaufany. Oba pozostałe typy podpisu (kwalifikowany i zaufany) stwierdziły bowiem, że nie mogą poprawnie zweryfikować podpisu e-dowodem i w większości przypadków odmówiły możliwości podpisania tego samego pliku, który był podpisany e-dowodem. E-dowód również odmówił podpisania pliku podpisanego profilem zaufanym (gdyż nie mógł zweryfikować podpisu) jak również podpisem kwalifikowanym w większości przypadków.
Do testów oprogramowania do podpisu kwalifikowanego używałam oprogramowania Szafir 2.0 w najnowszej wersji.
W tabeli poniżej zostały przedstawione pełne wyniki testów.
Jak wynika z tabeli nie istnieje możliwość jednoczesnego użycia podpisu zaufanego (ePUAP) oraz podpisu dowodem osobistym. Oba podpisy nie rozpoznają się i wykluczają podpisanie się pod plikami źle podpisanymi z ich punktu widzenia.
W przypadku podpisu kwalifikowanego jedyną poprawną opcją jest użycie tego podpisu jako podpisu zewnętrznego. Podpis dowodem osobistym musi być również wykonany podpisem zewnętrznym. Plik podpisywany nie może mieć jednakże wcześniej wykonanego podpisu profilem zaufanym.
Jak wynika z powyższego dopóki nie zostaną wprowadzone zmiany w oprogramowaniach tak profilu zaufanego jak i e-dowodu jak również oprogramowań do podpisu kwalifikowanego nie będzie możliwe podpisanie np. przez 3 osoby z zarządu podpisu e-sprawozdania finansowego wszystkimi opcjami dostępnymi w ustawie o rachunkowości jednocześnie.
Poniżej prezentuję tabelę testów podpisywania pliku XML wraz z opisem efektów.
Zapraszam Państwa do podzielenia się spostrzeżeniami.
dr Agnieszka Baklarz
Biegły rewident