Poziomy podpisów elektronicznych UE (eIDAS): jaka jest różnica między podpisem zwykłym, zaawansowanym a kwalifikowanym?
Rozporządzenie eIDAS UE określa trzy poziomy podpisów elektronicznych: zwykły (SES), zaawansowany (AES) i kwalifikowany (QES). W tym artykule wyjaśnimy prostym językiem, co oznacza każdy poziom, kiedy który jest wystarczający i jak mała firma może wykorzystać je w swojej codziennej działalności.
Podstawowa idea rozporządzenia eIDAS
eIDAS (electronic IDentification, Authentication and trust Services) to rozporządzenie UE, które weszło w życie w 2016 roku. Tworzy ono wspólne zasady dla identyfikacji elektronicznej i podpisów elektronicznych we wszystkich krajach UE. W praktyce eIDAS oznacza, że podpisu elektronicznego nie można odrzucić w sądzie tylko dlatego, że jest w formie elektronicznej. Dotyczy to całego obszaru UE. Rozporządzenie zostało zaktualizowane w 2024 roku (eIDAS 2.0), wprowadzając m.in. Europejski Portfel Tożsamości Cyfrowej (EUDI Wallet) oraz bardziej rygorystyczne wymagania dla usług zaufania.
SES – zwykły podpis elektroniczny
SES to najprostszy poziom podpisu. Może to być na przykład:
- Imię i nazwisko wpisane w e-mailu
- Zaznaczenie pola „Akceptuję warunki” w formularzu internetowym
- Narysowany podpis na ekranie dotykowym
SES nie wymaga osobnej weryfikacji tożsamości. Wystarcza w sytuacjach, gdy ryzyko jest niewielkie, a między stronami istnieje już stosunek zaufania. Co to oznacza w praktyce: jeśli sprzedajesz swojemu stałemu, małemu klientowi usługę za 500 euro, a on potwierdza zamówienie e-mailem, jest to podpis na poziomie SES. Jest on ważny, ale w przypadku sporu jego wartość dowodowa jest najsłabsza.
AES – zaawansowany podpis elektroniczny
AES wymaga, aby podpisujący został wiarygodnie zidentyfikowany, a podpis był z nim powiązany w taki sposób, aby nie można było go później zmienić.\n\nW praktyce AES oznacza, że podpisujący uwierzytelnia się przed podpisaniem, na przykład za pomocą danych bankowych, certyfikatu mobilnego lub podobnej metody.\n\nAES spełnia cztery wymagania:
- Podpis jest jednoznacznie powiązany z podpisującym
- podpisujący jest możliwy do zidentyfikowania
- Podpisujący posiada wyłączną kontrolę nad danymi wykorzystywanymi do utworzenia podpisu
- wszelkie zmiany w dokumencie dokonane po złożeniu podpisu są wykrywalne
Co to oznacza w praktyce: kiedy wysyłasz umowę z klientem do podpisania za pośrednictwem EpicSign, a klient uwierzytelnia się za pomocą danych bankowych, jest to podpis na poziomie AES. Jest on zazwyczaj wystarczający dla większości umów handlowych.
QES – kwalifikowany (zatwierdzony) podpis elektroniczny
QES to najsilniejszy poziom. W prawodawstwie UE jest on bezpośrednio równoważny z podpisem odręcznym. QES wymaga dwóch rzeczy:
- Certyfikatu wydanego przez kwalifikowanego dostawcę usług zaufania (Qualified Certificate)
- Kwalifikowanego urządzenia do tworzenia podpisu (Qualified Signature Creation Device, QSCD)
Twórcy podpisu QES znajdują się na Trusted List UE – oficjalnym rejestrze, w którym są zarejestrowani zatwierdzeni dostawcy usług zaufania. Każde państwo UE prowadzi własną listę. Co to oznacza w praktyce: QES jest potrzebny głównie wtedy, gdy prawo wyraźnie wymaga formy pisemnej (np. niektóre transakcje dotyczące nieruchomości, sprawy urzędowe) lub gdy wartość i ryzyko umowy są szczególnie wysokie.
Kiedy który poziom jest wystarczający?
Dla małej firmy wybór odpowiedniego poziomu zależy od ryzyka i wartości dokumentu:
| Typ dokumentu | Zalecany poziom | Uzasadnienie |
|---|---|---|
| Potwierdzenie wewnętrzne, potwierdzenie zamówienia | SES | Niskie ryzyko, szybkie i niedrogie |
| Umowa z klientem, oferta | AES | Wiarygodne rozpoznanie podpisującego |
| Umowa o pracę, umowa o zachowaniu poufności | AES | Rozpoznawanie obu stron jest istotne |
| Umowa o podwykonawstwo | AES | Silne połączenie z podpisującym |
| Protokół (zarząd, walne zgromadzenie) | AES | Osoba zidentyfikowana, ochrona przed zmianami |
| Transakcja nieruchomości, dokument urzędowy | QES | Prawo może wymagać najwyższego poziomu |
Rejestr audytu i dowody
Każdy podpis elektroniczny pozostawia cyfrowy ślad, czyli rejestr audytu. To elektroniczny dowód na to, kto podpisał, kiedy i skąd. Dobrze zaimplementowany rejestr audytu zawiera:
- Dane identyfikacyjne podpisującego (imię, adres e-mail, metoda uwierzytelniania)
- Znacznik czasu (kiedy złożono podpis)
- Adres IP i informacje o urządzeniu
- Skrót dokumentu (hash), który dowodzi, że dokument nie został zmieniony po podpisaniu
Praktyczny przykład: firma konsultingowa i zarządzanie umowami
Trzyosobowa firma konsultingowa w Tampere zawiera miesięcznie 10–15 umów z klientami. Wcześniej umowy były drukowane, podpisywane i skanowane. Proces zajmował 30–45 minut na umowę. Przejście na podpis elektroniczny AES w EpicSign zmieniło proces:
- Umowa jest ładowana do EpicSign (1 min)
- Podpisujący są dodawani, a prośba o podpis jest wysyłana (1 min)
- Klient uwierzytelnia się za pomocą identyfikatorów bankowych i podpisuje (2 min)
- Podpisana umowa jest archiwizowana automatycznie (0 min)
Oszczędność czasu: około 2 godzin tygodniowo. Ponadto każda umowa jest identyfikowalna dzięki rejestrowi audytu.
Często zadawane pytania
Jaka jest praktyczna różnica między podpisami SES, AES i QES?
SES to najprostszy (np. imię w e-mailu). AES wymaga silne uwierzytelnianie, takie jak identyfikatory bankowe. QES jest najsilniejszy i jest równoważny podpis odręczny – wymaga zatwierdzonego certyfikatu.
Czy poziom AES jest wystarczający do umowy o pracę?
Tak, w większości przypadków AES jest wystarczający do umów o pracę w Finlandii. Prawo zazwyczaj nie wymaga poziomu QES w umowach o pracę.
Czym jest lista zaufanych podmiotów UE (EU Trusted List)?
Trusted List to oficjalny wykaz zatwierdzonych dostawców usług zaufania prowadzony przez państwa członkowskie UE. Lista jest dostępna na stronach Komisji Europejskiej.
Czy podpis SES może zostać zakwestionowany w sądzie?
Podpis SES nie może zostać odrzucony wyłącznie z tego powodu, że jest w formie elektronicznej (art. 25 eIDAS). Jednak wartość dowodowa jest słabsza niż w przypadku AES lub QES.
Czy EpicSign obsługuje podpis na poziomie AES?
Tak. EpicSign obsługuje silne uwierzytelnianie (identyfikatory bankowe), które spełnia wymagania AES.
Czy mała firma potrzebuje podpisu QES?
Rzadko. QES jest potrzebny głównie, gdy prawo wyraźnie wymaga formy pisemnej lub w kontaktach z władzami. Do zwykłych umów wystarczy AES.
Źródła
- Rozporządzenie eIDAS (UE) nr 910/2014 – w sprawie identyfikacji elektronicznej i usług zaufania
- Agencja ds. Usług Cyfrowych i Informacji o Ludności (DVV) – Identyfikacja elektroniczna i usługi zaufania
- Traficom – Usługi zaufania i podpisy elektroniczne
- EU Trusted Lists – lista zatwierdzonych dostawców usług zaufania
Ten artykuł ma charakter ogólny i nie stanowi porady prawnej.
Wypróbuj EpicSign
Rozpocznij bezpłatne testowanie i wyślij pierwszą prośbę o podpis w mniej niż 20 sekund.
Zobacz ceny