Nebezpečí elektronického podpisu – podruhé

  • 16
Před nedávnem jsme uveřejnili článek o problému s časovým rozlišením u elektronického podpisu, který by tak teoreticky mohl být zneužitý. Do diskuse k tomuto článku jsme přizvali i docenta Smejkala, který spolupracoval na tvorbě zákona o elektronickém podpisu.

Ke konci ledna jsme přinesli informaci o možnosti, jak by se případný podvodník mohl pokusit zneužít svůj elektronický podpis. Podstata problému tkvěla v tom, že tento podvodník vytvoří elektronicky podepsaný dokument a následně u certifikační autority nahlásí, že byl jeho elektronický podpis zkompromitován.

V případném soudním sporu, který by se týkal výše zmíněného dokumentu, se pak tento podvodník může hájit falešným obviněním příjemce. V tomto obvinění by mohl uvést, že příjemce kdesi získal jeho zkompromitovaný elektronický podpis a s jeho pomocí vytvořil podepsaný falešný dokument, o který se vede soudní spor. Hlavní argument podvodníka pak bude spočívat v tvrzení, že příjemce změnil všechny časové údaje, tak aby to vypadalo, že dokument byl vytvořen ještě před zneplatněním podvodníkova elektronického podpisu. Další informace a vyjádření Ministerstva informatiky o tomto specifickém problému naleznete v předcházejícím článku.

Většina komentářů ke článku směřovala k tomu, že je současná právní úprava dostatečná. Případné pokusy o zneužití elektronického podpisu výše zmíněnou cestou pak jsou prý příliš krkolomné. V podobném duchu se nese i názor, o který jsme požádali Vladimíra Smejkala, soudního znalce a spoluautora zákona o elektronickém podpisu.

Ten se domnívá, že společnost Infima, která o tomto problému informovala a z jejíchž informací jsme vycházeli, se dopustila nefér kroku. Ten prý spočívá v tom, že tato firma jako by objevila vadu elektronického podpisu, která zabrání jeho užívání. Smejkal dále uvádí:

Ve skutečnosti jde pouze a jen o to, že Infima se pokusila popsat v souvislosti s použitím elektronického podpisu něco, co známe z mnoha sporů, probíhajících před našimi obecnými soudy. V této běžné právní situaci jedna strana popírá, že by učinila určitý právní úkon."

To se podle Smejkala děje dnes a denně, jak při používání vlastnoručního, tak dokonce i notářsky ověřeného podpisu.

"Jak tento spor vypadá? Jedna nebo druhá strana tvrdí, že určitý úkon učinila, či naopak neučinila, popřípadě že jeho obsah byl jiný. A to vše bez ohledu na stav, kdy z listiny jasně vyplývá obsah právního úkonu i určení osoby, která jej učinila. A přesto ještě nikdo nenapsal článek, v němž by doporučoval povinně doplňovat smlouvy otiskem palce nebo vzorkem tělní tekutiny, umožňující určit DNA," vysvětluje Smejkal.

Podle tohoto odborníka uvedená teorie zneužití elektronického podpisu, jak byla popsána, trpí vadami z hlediska klasických právních přístupů a samotného zákona o elektronickém podpisu, jakož i běžných obchodních postupů a jejich jisté logiky. Jde prý o případ značně vytržený z kontextu předpokládaného jednání zúčastněných osob a lze zde najít řadu rozporů.

Poněkud jiný názor zastává Vojtěch Kment ze společnosti Kment Consulting, který i vzhledem k právním úpravám v sousedních zemích tvrdí, že riziko zpochybnění času vzniku e-podpisu existuje.

"Je to reálný důsledek toho, že české předpisy e-podpisu nepředpokládají zahrnutí časového razítka a opomenuly situaci řešit jinak. Oproti tomu slovensky zákon časové razítko předpokládá, nicméně jeho řešení trpí podle mého názoru ještě horšími důsledky."

Podle Kmenta je pochopení tohoto rizika zamlženo skutečností, že zákon 227/2000Sb. o elektronickém podpisu ani jeho prováděcí vyhláška 366/2001Sb. nevyjasňují v případě zneplatnění kvalifikovaného certifikátu způsob přechodu odpovědnosti za škodu z podepisujícího na spoléhajícího zcela jednoznačně. To prý může být důvodem sporů samo o sobě.

Uvedené riziko podle vyjádření Vojtěcha Kmenta spočívá v neprůkaznosti času, kdy elektronicky podepsaná zpráva vůbec vznikla. Dalším problémem je možnosti podepisujícího prohlásit, že zpráva vznikla až po zneplatnění jeho kvalifikovaného certifikátu.

Problém je prý skrytý v existujících předpisech včetně platného standardu ISVS pro elektronické podatelny č. 016/01.01, které dané riziko neřeší. I připravený návrh novelizace standardu 016/02.01 zde zůstává vágní. Předpisy ISVS navíc nejsou vůbec závazné pro soukromé a další subjekty, které nepodléhají zákonu 365/2000Sb. o informačních systémech veřejné správy.

Perfekcionistické řešení je zahrnutí časového razítka vystaveného časovou autoritou do podpisu zprávy. To má ale mnoho stinných stránek. Nelze je vůbec použít u off-line podpisů na odpojených počítačích ani u četných počítačů za firewallem organizace. Chybí pro něj dostatečně prosazené formáty i klientské aplikace a zdražuje provoz,“ dodává Kment. 

Tato vyjádření dvou odborníků, která dle našeho názoru shrnují většinu aspektů zmiňovaného problému, jsme ponechali bez komentáře. Ke komu se přikloníte vy, čtenáři? Je potřeba v tomto bodě legislativu upravit, problém řešit technickými úpravami, nebo se v případném soudním sporu spoléhat na práci soudů?


Témata: počítač, software