FORUM PIIT Faktura elektroniczna – standard europejskiPodpis elektroniczny jako niezbędny element faktury elektronicznej Warszawa Listopad 2004 Franciszek Wołowski Polska Wytwórnia Papierów Wartościowych tel (+48 22)

DYREKTYWA RADY 2001/115/WE z dnia 20 grudnia 2001 r. zmieniająca dyrektywę 77/388/EWG w celu uproszczenia, modernizacji i harmonizacji ustanowionych warunków fakturowania w zakresie podatku od wartości dodanej Artykuł 2 Ust. 3 punkt c) Faktury wystawione zgodnie z lit. a) można wysyłać albo na piśmie albo, o ile klient wyraził na to zgodę, elektronicznymi środkami przekazu. Państwa Członkowskie dopuszczają wysyłanie faktur drogą elektroniczną pod warunkiem, że autentyczność pochodzenia i integralność treści są zagwarantowane: - bezpiecznym podpisem elektronicznym w rozumieniu art. 2 ust. 2 dyrektywy 1999/93/WE Parlamentu Europejskiego i Rady z dnia 13 grudnia 1999 r. w sprawie wspólnotowych ram w zakresie podpisu elektronicznego; jednakże Państwa Członkowskie mogą zażądać, by bezpieczny podpis elektroniczny był oparty na certyfikacie kwalifikowanym i złożony przy użyciu bezpiecznego urządzenia do składania podpisów w rozumieniu art. 2 ust. 6 i 10 wymienionej dyrektywy,

art. 2 ust. 2 dyrektywy 1999/93/WE Parlamentu Europejskiego i Rady z dnia 13 grudnia 1999 r. w sprawie wspólnotowych ram w zakresie podpisu elektronicznego bezpieczny podpis elektroniczny (ang-advanced electronic signature) oznacza podpis elektroniczny spełniający następujące wymogi: –przyporządkowany jest wyłącznie podpisującemu; –umożliwia ustalenie tożsamości podpisującego; –stworzony jest za pomocą środków, które podpisujący może mieć pod swoją wyłączną kontrolą; i –jest tak powiązany z danymi, do których się odnosi, że każda późniejsza zmiana danych może zostać wykryta;

Bezpieczny podpis elektroniczny ma być oparty na certyfikacie kwalifikowanym i złożony przy użyciu bezpiecznego urządzenia do składania podpisów w rozumieniu art. 2 dyrektywy, ust. 6bezpieczne urządzenie służące do składania podpisów oznacza urządzenie służące do składania podpisów, które spełnia wymogi załącznika III; ust. 10certyfikat kwalifikowany oznacza certyfikat spełniający wymogi ustanowione w załączniku I i wystawiany przez podmiot świadczący usługi certyfikacyjne, który spełnia wymogi ustanowione w załączniku II;

ZAŁĄCZNIK III Wymogi dotyczące urządzeń służących do składania podpisu 1. Bezpieczne urządzenia służące do składania podpisów muszą przez właściwe środki techniczne i proceduralne zapewnić co najmniej, że: –dane służące do składania podpisu użyte do złożenia podpisu praktycznie pojawiają się tylko raz oraz zapewniona jest ich poufność; –dane służące do składania podpisu użyte do złożenia podpisu nie mogą, przy zachowaniu rozsądnego zabezpieczenia, być pozyskane oraz podpisy są chronione przed fałszowaniem przy użyciu dostępnej technologii; –dane służące do składania podpisu użyte do złożenia podpisu chronione są przez uprawnionego podpisującego się w sposób godny zaufania przed użyciem przez innych. 2. Bezpieczne urządzenia służące do składania podpisu nie zmieniają danych służących do składania podpisu i nie uniemożliwiają, by dane te zostały przedstawione podpisującemu przed złożeniem podpisu.

ZAŁĄCZNIK I Wymogi dotyczące certyfikatów kwalifikowanych Certyfikaty kwalifikowane muszą zawierać następujące dane: –wskazanie, że dany certyfikat została wystawiony jako certyfikat kwalifikowany; –dane określające podmiot świadczący usługi certyfikacyjne i państwo, w którym ma swoją siedzibę; –nazwę podpisującego lub pseudonim, który można jako taki rozpoznać; –zastrzeżenie szczególnej cechy podpisującego, włączane gdy jest to stosowne, w zależności od przeznaczenia certyfikatu; –dane służące do weryfikacji podpisu, które odpowiadają danym służącym do składania podpisu kontrolowanym przez podpisującego; –dane dotyczące początku i końca okresu ważności certyfikatu; –kod identyfikacyjny certyfikatu; –bezpieczny podpis elektroniczny wystawiającego podmiotu świadczącego usługi certyfikacyjne; –w odpowiednim przypadku, ograniczenia zakresu użycia certyfikatu, oraz –w odpowiednim przypadku, granice wartości transakcji, do których można stosować certyfikat

ZAŁĄCZNIK II Wymogi wobec podmiotów świadczących usługi certyfikacyjne, wystawiających certyfikaty kwalifikowane Podmioty świadczące usługi certyfikacyjne mają obowiązek: –udowodnić wiarygodność niezbędną do świadczenia usług certyfikacyjnych; –zapewnić świadczenie usług szybkiego i bezpiecznego zarządzania oraz pewnego i natychmiastowego odwołania; –zapewnić dokładne określenie daty i godziny wystawienia lub cofnięcia certyfikatu; –sprawdzić za pomocą stosownych środków zgodnych z prawem krajowym tożsamość i, w odpowiednim przypadku, cechy szczególne osoby, dla której wydają kwalifikowany certyfikat; –zatrudnić personel posiadający wiedzę fachową, doświadczenie i kwalifikacje niezbędne dla świadczonych usług, w szczególności kompetencje na poziomie zarządzania, znajomość technologii podpisu elektronicznego i znajomość stosownych procedur bezpieczeństwa; muszą również stosować właściwe procedury administracyjne i zarządzania, które odpowiadają uznanym normom;

ZAŁĄCZNIK II Wymogi wobec podmiotów świadczących usługi certyfikacyjne, wystawiających certyfikaty kwalifikowane cd. –stosować godne zaufania systemy i produkty, które są chronione przed zmianami i które zapewniają techniczne i kryptograficzne bezpieczeństwo procedur, które wspierają; –podejmować środki przeciwko fałszowaniu certyfikatów oraz w przypadkach, gdy tworzą dane służące do składania podpisu, zapewnią poufność podczas tworzenia tych danych; –dysponować wystarczającymi środkami finansowymi, aby działać zgodnie z wymogami niniejszej dyrektywy, w szczególności aby ponosić ryzyko odpowiedzialności za szkody, na przykład, przez wykupienie odpowiedniego ubezpieczenia;

ZAŁĄCZNIK II Wymogi wobec podmiotów świadczących usługi certyfikacyjne, wystawiających certyfikaty kwalifikowane cd. –w odpowiednim okresie przechowywać wszystkie istotne informacje dotyczące certyfikatu kwalifikowanego, w szczególności w celu udowodnienia certyfikacji w postępowaniu sądowym. Informacje mogą być przechowywane w formie elektronicznej; –nie gromadzić ani nie kopiować danych służących do składania podpisu osób, którym podmiot świadczący usługi certyfikacyjne świadczy usługi zarządzania kluczami; –przed powstaniem stosunku zobowiązaniowego z osobą ubiegającą się o certyfikat dla wspierania swojego podpisu elektronicznego, poinformować tę osobę za pomocą trwałego środka komunikacyjnego o dokładnych warunkach stosowania certyfikatu, do których należą, między innymi, ograniczenia użycia certyfikatu, istnienie systemu dobrowolnej akredytacji i postępowanie w przypadku skarg i rozstrzygania sporów. Informacje takie, które mogą być przekazywane elektronicznie, muszą być w formie pisemnej w łatwo zrozumiałym języku. Odpowiednie części tych informacji udostępnia się na wniosek stronom trzecim polegającym na certyfikacie.

ZAŁĄCZNIK II Wymogi wobec podmiotów świadczących usługi certyfikacyjne, wystawiających certyfikaty kwalifikowane cd. –stosować godne zaufania systemy do przechowywania certyfikatów w formie umożliwiającej weryfikację, tak że: –tylko osoby uprawnione mogą wprowadzać i zmieniać dane; –można sprawdzić prawdziwość informacji; –certyfikaty można publicznie cofnąć tylko w wypadkach, dla których wyraził zgodę właściciel certyfikatu; –zmiany techniczne, które naruszają wymogi bezpieczeństwa, są dla operatora oczywiste.

Raport i rekomendacje Grupy CEN/ISSS do spraw eFakturowania w sprawie podpisu elektronicznego stwierdza, że Ponieważ DYREKTYWA RADY 2001/115/WE z dnia 20 grudnia 2001 r. zmieniająca dyrektywę 77/388/EWG w celu uproszczenia, modernizacji i harmonizacji ustanowionych warunków fakturowania w zakresie podatku od wartości dodanej stwierdza, że faktura przesyłana elektronicznie może być zaakceptowana przez Państwo Członkowskie pod warunkiem zagwarantowania jej oryginalności i integralności zawartości, to bezpieczny podpis elektroniczny może spełnić te gwarancje Report and Recommendations Of CEN/ISSS e-Invoicing Focus Group on Standards and Developments on electronic invoicing relating to VAT Directive 2001/115/EC Final Report CEN: Comité Européen de Normalisation - European Committee for Standardization CEN/ISSS: CEN Information Society Standardization System

Raport i rekomendacje Grupy CEN/ISSS do spraw eFakturowania w sprawie podpisu elektronicznego stwierdza, że Stworzona baza legislacyjna w krajach członkowskich oparta na dyrektywie 1999/93/WE Parlamentu Europejskiego i Rady z dnia 13 grudnia 1999 r. w sprawie wspólnotowych ram w zakresie podpisu elektronicznego oferuje dobre podstawy na których można stworzyć fakturę elektroniczną gwarantującą jej integralność i wiarygodność.

Raport i rekomendacje Grupy CEN/ISSS do spraw eFakturowania w sprawie podpisu elektronicznego zaleca: 1. Dołożyć starań aby nie były stosowane ograniczenia w stosowaniu bezpiecznego podpisu elektronicznego do uzyskania wiarygodności i integralności, tak jak to ma miejsce w obecnej praktyce

Raport i rekomendacje Grupy CEN/ISSS do spraw eFakturowania w sprawie podpisu elektronicznego zaleca: W przypadkach gdy komunikacja jest kierowana pośrednio przez dostawców usług i stosowany jest bezpieczny podpis może być potrzebne ponowne podpisywanie (lub ponowne stemplowanie – czasem) Wystawca Faktury plik Dostawca usług - wystawcy plik Dostawca usług - odbiorcy plik Odbiorca

Raport i rekomendacje Grupy CEN/ISSS do spraw eFakturowania w sprawie podpisu elektronicznego zaleca: Przeprowadzenie dodatkowych prac standaryzacyjnych w zakresie uwierzytelnienia osób stosujących faktury elektroniczne, zwłaszcza te aspekty, które zmierzają do wzajemnego uznawania, komunikatywności, konsystencji i spójności procesów walidacyjnych. Prace te prowadzone są przez: European Electronic Signature Standardization Initiative (EESSI)

Podpis elektroniczny i Ustawa o podpisie w Polsce Podpis elektroniczny jest stosowany w Polsce od kilkunastu lat. Ustawa z dnia 18 września 2001 r określiła zasady jego powszechnego zastosowania -9 miesięcy vacatio legis – początek obowiązywania 17 sierpnia 2002 roku. W terminie 4 lat od dnia wejścia w życie ustawy organy władzy publicznej umożliwią odbiorcom usług certyfikacyjnych wnoszenie podań i wniosków oraz innych czynności w postaci elektronicznej,..

Skutki prawne podpisu elektronicznego w Ustawie opodpisie elektronicznym z 18 września 2001 roku art. 5.2 (DZ. U nr 130 póz. 1450) "dane w postaci elektronicznej opatrzone bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu są równoważne pod względem skutków prawnych dokumentom opatrzonym podpisami własnoręcznymi". Oświadczenie woli złożone w postaci elektronicznej opatrzone bezpiecznym podpisem elektronicznym weryfikowanym za pomocą ważnego kwalifikowanego certyfikatu jest równoważne formie pisemnej (kodeks cywilny – Art. 78. §2)

Ustawa o podpisie elektronicznym z dnia 18 września 2001 r.i kodeks cywilny Definicja podpisu elektronicznego: dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub z którymi są logicznie powiązane, służą do identyfikacji osoby składającej podpis elektroniczny Art. 6. ust 1 Bezpieczny podpis elektroniczny weryfikowany przy pomocy ważnego kwalifikowanego certyfikatu stanowi dowód tego, że został on złożony przez osobę określoną w tym certyfikacie, jako składającą podpis elektroniczny. Oświadczenie woli złożone w postaci elektronicznej opatrzone bezpiecznym podpisem elektronicznym weryfikowanym za pomocą ważnego kwalifikowanego certyfikatu jest równoważne formie pisemnej (kodeks cywilny – Art. 78. §2)

Bezpieczny podpis a podpis zwykły Bezpieczny podpisPodpis zwykły Bezpieczny podpis jest składany z użyciem klucza prywatnego przypisanego do certyfikatu kwalifikowanego Podpis zwykły jest składany z użyciem klucza prywatnego przypisanego do certyfikatu zwykłego Certyfikaty kwalifikowane wydają CC wpisane przez ministra właściwego ds. gospodarki do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne Certyfikaty zwykłe może wydać każdy podmiot świadczący usługi certyfikacji Certyfikat kwalifikowany jest przypisany wyłącznie do konkretnej osoby fizycznej Certyfikat zwykły nie koniecznie musi być przypisany do konkretnej osoby fizycznej, może być przypisany do osoby prawnej lub nawet urządzenia. Bezpieczny podpis jest składany i weryfikowany za pomocą bezpiecznych urządzeń Nie zostały określone specjalne wymagania odnośnie składania podpisu zwykłego dane opatrzone bezpiecznym podpisem są – z mocy ustawy - równoważne pod względem skutków prawnych dokumentom opatrzonym podpisami własnoręcznymi". aby dane opatrzone podpisem zwykłym były równoważne pod względem skutków prawnych dokumentom opatrzonym podpisami własnoręcznymi strony muszą zawrzeć stosowne porozumienia.

Ustawa o podpisie elektronicznym w szczególności (o znaczniku czasu) stanowi: Art7 ust 2.: Znakowanie czasem przez kwalifikowany podmiot świadczący usługi certyfikacyjne wywołuje w szczególności skutki prawne daty pewnej w rozumieniu przepisów Kodeksu cywilnego Znakowanie czasem przez kwalifikowany podmiot świadczący usługi certyfikacyjne ma również istotne znaczenie dla ważności podpisu elektronicznego – przedłuża jego ważność poza okres ważności certyfikatu.

Ważność podpisu / faktury a ważność certyfikatu Art Bezpieczny podpis elektroniczny weryfikowany przy pomocy ważnego kwalifikowanego certyfikatu stanowi dowód tego, że został on złożony przez osobę określoną w tym certyfikacie, jako składającą podpis elektroniczny. 2. Przepis ust. 1 nie odnosi się do certyfikatu po upływie terminu jego ważności lub od dnia jego unieważnienia oraz w okresie jego zawieszenia, chyba że zostanie udowodnione, że podpis został złożony przed upływem terminu ważności certyfikatu lub przed jego unieważnieniem albo zawieszeniem.

Ważność podpisu / faktury a ważność certyfikatu Art Podpis elektroniczny może być znakowany czasem. 2. Znakowanie czasem przez kwalifikowany podmiot świadczący usługi certyfikacyjne wywołuje w szczególności skutki prawne daty pewnej w rozumieniu przepisów Kodeksu cywilnego. 3. Uważa się, że podpis elektroniczny znakowany czasem przez kwalifikowany podmiot świadczący usługi certyfikacyjne został złożony nie później niż w chwili dokonywania tej usługi. Domniemanie to istnieje do dnia utraty ważności zaświadczenia certyfikacyjnego wykorzystywanego do weryfikacji tego znakowania. Przedłużenie istnienia domniemania wymaga kolejnego znakowania czasem podpisu elektronicznego wraz z danymi służącymi do poprzedniej weryfikacji przez kwalifikowany podmiot świadczący tę usługę.

Ważność podpisu / faktury a ważność certyfikatu Wiele instytucji nie jest przygotowanych do wdrożenia długoterminowej archiwizacji dokumentów podpisanych elektronicznie. Należy dokonywać przedłużania ważności podpisu pod dokumentem z uwagi na – uwarunkowania prawne - certyfikat jest ważny 1-2 lata, zaświadczenie certyfikacyjne 5 lat – rozwój technologii – obecne algorytmy kryptograficzne mogą w przyszłości nie być wystarczająco dobre – konieczność przepisania na inny nośnik

Czy macie Państwo pytania Warszawa ul Sanguszki 1