Wróć do Blogi
    Ustawodawstwo16.2.2026

    Poziomy podpisów elektronicznych UE (eIDAS): jaka jest różnica między podpisem zwykłym, zaawansowanym a kwalifikowanym?

    Rozporządzenie eIDAS UE określa trzy poziomy podpisów elektronicznych: zwykły (SES), zaawansowany (AES) i kwalifikowany (QES). W tym artykule wyjaśnimy prostym językiem, co oznacza każdy poziom, kiedy który jest wystarczający i jak mała firma może wykorzystać je w swojej codziennej działalności.

    Podstawowa idea rozporządzenia eIDAS

    eIDAS (electronic IDentification, Authentication and trust Services) to rozporządzenie UE, które weszło w życie w 2016 roku. Tworzy ono wspólne zasady dla identyfikacji elektronicznej i podpisów elektronicznych we wszystkich krajach UE. W praktyce eIDAS oznacza, że podpisu elektronicznego nie można odrzucić w sądzie tylko dlatego, że jest w formie elektronicznej. Dotyczy to całego obszaru UE. Rozporządzenie zostało zaktualizowane w 2024 roku (eIDAS 2.0), wprowadzając m.in. Europejski Portfel Tożsamości Cyfrowej (EUDI Wallet) oraz bardziej rygorystyczne wymagania dla usług zaufania.

    SES – zwykły podpis elektroniczny

    SES to najprostszy poziom podpisu. Może to być na przykład:

    • Imię i nazwisko wpisane w e-mailu
    • Zaznaczenie pola „Akceptuję warunki” w formularzu internetowym
    • Narysowany podpis na ekranie dotykowym

    SES nie wymaga osobnej weryfikacji tożsamości. Wystarcza w sytuacjach, gdy ryzyko jest niewielkie, a między stronami istnieje już stosunek zaufania. Co to oznacza w praktyce: jeśli sprzedajesz swojemu stałemu, małemu klientowi usługę za 500 euro, a on potwierdza zamówienie e-mailem, jest to podpis na poziomie SES. Jest on ważny, ale w przypadku sporu jego wartość dowodowa jest najsłabsza.

    AES – zaawansowany podpis elektroniczny

    AES wymaga, aby podpisujący został wiarygodnie zidentyfikowany, a podpis był z nim powiązany w taki sposób, aby nie można było go później zmienić.\n\nW praktyce AES oznacza, że podpisujący uwierzytelnia się przed podpisaniem, na przykład za pomocą danych bankowych, certyfikatu mobilnego lub podobnej metody.\n\nAES spełnia cztery wymagania:

    1. Podpis jest jednoznacznie powiązany z podpisującym
    2. podpisujący jest możliwy do zidentyfikowania
    3. Podpisujący posiada wyłączną kontrolę nad danymi wykorzystywanymi do utworzenia podpisu
    4. wszelkie zmiany w dokumencie dokonane po złożeniu podpisu są wykrywalne

    Co to oznacza w praktyce: kiedy wysyłasz umowę z klientem do podpisania za pośrednictwem EpicSign, a klient uwierzytelnia się za pomocą danych bankowych, jest to podpis na poziomie AES. Jest on zazwyczaj wystarczający dla większości umów handlowych.

    QES – kwalifikowany (zatwierdzony) podpis elektroniczny

    QES to najsilniejszy poziom. W prawodawstwie UE jest on bezpośrednio równoważny z podpisem odręcznym. QES wymaga dwóch rzeczy:

    1. Certyfikatu wydanego przez kwalifikowanego dostawcę usług zaufania (Qualified Certificate)
    2. Kwalifikowanego urządzenia do tworzenia podpisu (Qualified Signature Creation Device, QSCD)

    Twórcy podpisu QES znajdują się na Trusted List UE – oficjalnym rejestrze, w którym są zarejestrowani zatwierdzeni dostawcy usług zaufania. Każde państwo UE prowadzi własną listę. Co to oznacza w praktyce: QES jest potrzebny głównie wtedy, gdy prawo wyraźnie wymaga formy pisemnej (np. niektóre transakcje dotyczące nieruchomości, sprawy urzędowe) lub gdy wartość i ryzyko umowy są szczególnie wysokie.

    Kiedy który poziom jest wystarczający?

    Dla małej firmy wybór odpowiedniego poziomu zależy od ryzyka i wartości dokumentu:

    Typ dokumentuZalecany poziomUzasadnienie
    Potwierdzenie wewnętrzne, potwierdzenie zamówieniaSESNiskie ryzyko, szybkie i niedrogie
    Umowa z klientem, ofertaAESWiarygodne rozpoznanie podpisującego
    Umowa o pracę, umowa o zachowaniu poufnościAESRozpoznawanie obu stron jest istotne
    Umowa o podwykonawstwoAESSilne połączenie z podpisującym
    Protokół (zarząd, walne zgromadzenie)AESOsoba zidentyfikowana, ochrona przed zmianami
    Transakcja nieruchomości, dokument urzędowyQESPrawo może wymagać najwyższego poziomu

    Rejestr audytu i dowody

    Każdy podpis elektroniczny pozostawia cyfrowy ślad, czyli rejestr audytu. To elektroniczny dowód na to, kto podpisał, kiedy i skąd. Dobrze zaimplementowany rejestr audytu zawiera:

    • Dane identyfikacyjne podpisującego (imię, adres e-mail, metoda uwierzytelniania)
    • Znacznik czasu (kiedy złożono podpis)
    • Adres IP i informacje o urządzeniu
    • Skrót dokumentu (hash), który dowodzi, że dokument nie został zmieniony po podpisaniu

    Praktyczny przykład: firma konsultingowa i zarządzanie umowami

    Trzyosobowa firma konsultingowa w Tampere zawiera miesięcznie 10–15 umów z klientami. Wcześniej umowy były drukowane, podpisywane i skanowane. Proces zajmował 30–45 minut na umowę. Przejście na podpis elektroniczny AES w EpicSign zmieniło proces:

    1. Umowa jest ładowana do EpicSign (1 min)
    2. Podpisujący są dodawani, a prośba o podpis jest wysyłana (1 min)
    3. Klient uwierzytelnia się za pomocą identyfikatorów bankowych i podpisuje (2 min)
    4. Podpisana umowa jest archiwizowana automatycznie (0 min)

    Oszczędność czasu: około 2 godzin tygodniowo. Ponadto każda umowa jest identyfikowalna dzięki rejestrowi audytu.

    Często zadawane pytania

    Jaka jest praktyczna różnica między podpisami SES, AES i QES?

    SES to najprostszy (np. imię w e-mailu). AES wymaga silne uwierzytelnianie, takie jak identyfikatory bankowe. QES jest najsilniejszy i jest równoważny podpis odręczny – wymaga zatwierdzonego certyfikatu.

    Czy poziom AES jest wystarczający do umowy o pracę?

    Tak, w większości przypadków AES jest wystarczający do umów o pracę w Finlandii. Prawo zazwyczaj nie wymaga poziomu QES w umowach o pracę.

    Czym jest lista zaufanych podmiotów UE (EU Trusted List)?

    Trusted List to oficjalny wykaz zatwierdzonych dostawców usług zaufania prowadzony przez państwa członkowskie UE. Lista jest dostępna na stronach Komisji Europejskiej.

    Czy podpis SES może zostać zakwestionowany w sądzie?

    Podpis SES nie może zostać odrzucony wyłącznie z tego powodu, że jest w formie elektronicznej (art. 25 eIDAS). Jednak wartość dowodowa jest słabsza niż w przypadku AES lub QES.

    Czy EpicSign obsługuje podpis na poziomie AES?

    Tak. EpicSign obsługuje silne uwierzytelnianie (identyfikatory bankowe), które spełnia wymagania AES.

    Czy mała firma potrzebuje podpisu QES?

    Rzadko. QES jest potrzebny głównie, gdy prawo wyraźnie wymaga formy pisemnej lub w kontaktach z władzami. Do zwykłych umów wystarczy AES.

    Ten artykuł ma charakter ogólny i nie stanowi porady prawnej.

    Wypróbuj EpicSign

    Rozpocznij bezpłatne testowanie i wyślij pierwszą prośbę o podpis w mniej niż 20 sekund.

    Zobacz ceny