Jak potwierdzić odbiorcy, że rzeczywiście podpisałem wysłany przez e-mail dokument? mSzafir, nowa usługa wprowadzona przez Krajową Izbę Rozliczeniową, jest jak „wirtualny notariusz”. W sam raz na kwarantannę. Testuję!
Nadeszły takie czasy, w których jak najwięcej rzeczy staramy się załatwiać zdalnie. A branże, które ominął rozwój technologiczny lub z natury rzeczy są oparte na osobistych relacjach – cierpią. Są sprawy, których bez osobistego stawiennictwa załatwić się nie da, ale jest sporo takich, w których jedynym problemem jest złożenie jakiegoś podpisu na dokumencie i uwierzytelnienie go. Cały proces można poprowadzić zdalnie z wyjątkiem podpisania cyrografu.
- Wymarzony moment, żeby inwestować w fundusze obligacji? Podcast z Pawłem Mizerskim [POWERED BY UNIQA TFI]
- Nowe funkcje terminali płatniczych. Jak biometria zmieni świat naszych zakupów? [POWERED BY FISERV]
- BaseModel.ai od BNP Paribas: najbardziej zaawansowana odsłona sztucznej inteligencji we współczesnej bankowości!? [POWERED BY BNP PARIBAS]
Podpisując umowę z dostawcą jakiejś usługi, z wynajmującym mieszkanie, z pożyczkodawcą, albo po prostu z kontrahentem – miewamy problem polegający na tym, że wymieniane przez e-mail skany papierów są jedynie kopiami, na których co prawda widnieją podpisy, ale nie zostały one w żaden sposób zweryfikowane, notarialnie potwierdzone.
Krajowa Izba Rozliczeniowa (instytucja zajmująca się m.in. rozliczaniem naszych przelewów) wprowadziła właśnie na rynek antidotum na te problemy – kwalifikowany podpis elektroniczny w chmurze. Kto zarejestruje się w portalu mSzafir i wygeneruje sobie taki podpis, może nim podpisywać wysyłane przez e-mail dokumenty.
Taki dokument będzie zawierał elektroniczne potwierdzenie, że jest podpisany przez taką a taką osobę (posiadacza certyfikatu), za której tożsamość ręczy KIR. I że dokument jest pod względem treści tożsamy z kopią przechowywaną w chmurze, na serwerach KIR.
Masz konto w PKO BP? Masz magiczny długopis do usługi mSzafir
Kwalifikowane podpisy elektroniczne nie są niczym nowym, ale do tej pory miały bardziej „materialną” formę. Żeby ich używać trzeba było wyposażyć się w kartę kryptograficzną i specjalny czytnik. Było to drogie i mało wygodne z punktu widzenia kogoś, kto nie prowadzi firmy i nie podpisuje stu dokumentów na miesiąc. Dlatego z KIR-owskich podpisów elektronicznych korzystały tylko duże firmy.
Teraz KIR udostępnia taką wersję kwalifikowanego podpisu, która nie wymaga żadnego sprzętu. Wystarczy zarejestrować się w systemie mSzafir, zweryfikować swoją tożsamość i zapłacić (w promocji można spróbować jeden podpis wygenerować gratis), by uwiarygadniać podpisem elektronicznym wysyłane e-mailem dokumenty.
Odbiorca dokumentu zobaczy w dolnej jego części coś a la znak wodny, który po kliknięciu rozwinie się jako potwierdzenie, że dany dokument został podpisany przez taką a taką osobę i nie był od momentu podpisania w żaden sposób modyfikowany.
Jeśli tylko odbiorca wie co to takiego ten podpis kwalifikowany – na pewno będzie spokojniejszy. I będzie miał świadomość, że choć dokument jest wysłany e-mailem, to został podpisany w równie wiarygodny sposób, jak osobiście.
Czytaj też: Złote czasy leasingu? Oni chcą, żeby można było wypożyczyć wszystko, całkiem online
Już pierwszego dnia po uruchomieniu usługi postanowiłem ją przetestować. Aby zrobić to w wygodny sposób, z poziomu fotela, trzeba mieć niestety konto w banku PKO BP lub jego internetowej odnodze Inteligo. Jedynym sposobem, pozwalającym na zdalne wygenerowanie podpisu i wirtualne przybijanie go na dokumentach, jest bowiem skorzystanie z usługi MojeID (czyli potwierdzenie tożsamości za pomocą loginu i hasła do bankowości elektronicznej). A jedynym bankiem, który ją wdrożył, jest na razie PKO BP.
Krajobraz jest więc taki: bank PKO BP swoim autorytetem potwierdza, że ja to ja, zaś Krajowa Izba Rozliczeniowa dostarcza elektroniczny podpis i gwarantuje swoim autorytetem, że przy dokumencie od momentu podpisania nikt nie gmerał.
Dzięki tego rodzaju usługom teoretycznie każdą transakcję można przeprowadzić w pełni online, bo odpada problem osobistego spotkania w celu podpisania umowy. W czasach zarazy to mogłoby odblokować wiele procesów. Mogłoby, gdyby usługa była powszechna i popularna wśród polskich konsumentów. Jeszcze przez jakiś czas nie będzie, ale oczywiście dobrze, że wystartowała.
mSzafir, czyli jak przystawić pieczątkę wiarygodności na pdf-ie?
Jak wygląda krok po kroku „wchodzenie na pokład”? Na początek wybieram jaki certyfikat chciałbym używać – jednorazowy, czy do długoterminowego użytku. Ten pierwszy kosztuje od 292 zł wzwyż (w zależności od tego czy ma być ważny rok, czy dłużej oraz ile maksymalnie dokumentów można nim podpisać).
Ja wybrałem podpis długoterminowy, ważny rok i z możliwością podpisania nim tysiąca dokumentów (czyli najtańszą konfigurację, droższe wersje mają możliwość podpisania nawet 100.000 dokumentów). Potem musiałem podać kilka danych kontaktowych (w tym e-mail, telefon, imię i nazwisko).
Następnie system poprosił, bym wybrał sposób weryfikacji mojej tożsamości. Wybrałem MojeID i wpisałem login oraz hasło do bankowości internetowej PKO BP, a potem jeszcze przysłany przez bank kod SMS. Po potwierdzeniu przez bank, że ja to ja system mSzafir poinformował mnie, że przystępuje do generowania kluczy i certyfikatu. Trwało to kilkanaście sekund.
Żeby użyć certyfikatu trzeba jeszcze ściągnąć na smartfona aplikację mobilną mSzafir, która służy do generowania kodów i logowania się do systemu. W aplikacji – żeby ją uaktywnić – musiałem podać swój PESEL i przepisać kilkucyfrowy kod pokazujący się na ekranie mSzafira.
I na tym kończy się konfiguracja tej „zabawki”. Pozostało mi już tylko zalogować się na stronę mSzafir podając e-mail, hasło i kod z aplikacji mobilnej (to ta słynna dwuskładnikowa autoryzacja, która oznacza, że aby dostać się do wskazanych zasobów muszę znać hasło i mieć przy sobie smartfona z aktywną aplikacją mobilną), załadować do systemu dokument pdf do podpisania i potwierdzić wszystko w aplikacji mobilnej.
Po kilku sekundach mogę ściągnąć na twardy dysk z KIR-owskiej chmury „zamrożony” dokument, w którym nie jestem w stanie dokonać żadnych zmian i na którym znajduje się „znak wodny”, który odbiorca może odpalić, żeby potwierdzić, że KIR i PKO BP ręczą za moją tożsamość i trwałość dokumentu.
Czytaj też; UOKiK karci banki za trwały nośnik, a ich klientów skazuje na… papier
Kryptograficzne podpisywanie dokumentów: kto wyznaczy standard?
Krajową Izbę Rozliczeniową czeka ogromna praca, by uświadomić Polaków, że możliwość elektronicznego podpisywania dokumentów może bardzo ułatwiać życie, nie tylko podczas pandemii. Nie wychodząc z domu można podpisać i odesłać dowolną umowę, regulamin, dokument. I mieć pewność, że dla odbiorcy ten podpis będzie miał taką samą wartość, jak odręczny.
Na razie – poza edukacją Polaków – brakuje jeszcze szerszego grona banków, które zapewnią weryfikację tożsamości loginem i hasłem do swojej bankowości elektronicznej.
Inicjatywa KIR nie jest oczywiście jedyną tego typu. Kryptograficzne podpisywanie dokumentów jest przecież wykorzystywane w świecie blockchaina i kryptowalut. Poszczególne banki również mają ambicję świadczyć usługi potwierdzania tożsamości w różnych sytuacjach, podobnie jak firmy telekomunikacyjne.
Cyfrowa tożsamość za kilka lat będzie czymś naturalnym, ale kto wygra bój o to, by jego rozwiązanie stało się czymś w rodzaju krajowego standardu? KIR ma atuty w postaci doświadczenia w oferowaniu tego rodzaju usług, ale nie wystarczy dobry produkt, żeby osiągnąć sukces. Trzeba umieć go rozpropagować i wytłumaczyć ludziom do czego może być zastosowany.
