Podpis kwalifikowany to nie tylko technologia, ale przede wszystkim zaufanie. Certyfikaty i podpisy elektroniczne to fundament zaufania do dokumentów w obiegu cyfrowym. Dzięki nim wiemy, kto podpisał plik i że treść nie została zmieniona.
Pozostaje pytanie: skąd mamy wiedzieć, że sam dostawca podpisu jest wiarygodny? Odpowiedź: listy zaufanych dostawców (Trusted Lists). A żeby wszystko działało bez zgrzytów — listy i oprogramowanie muszą być aktualne.
Przyjrzyjmy się, jak wygląda to w Europie, a jak poza nią.
Czym są listy zaufanych dostawców (Trusted List)? To oficjalne rejestry podmiotów, które mogą wydawać kwalifikowane podpisy, pieczęcie i znaczniki czasu na terenie EU.
W Unii Europejskiej wszystkie państwa prowadzą własne rejestry kwalifikowanych dostawców usług zaufania (QTSP). Następnie są one scalane w jedną EU Trusted List (EUTL) zarządzaną przez Komisję Europejską. Dzięki temu dokument podpisany w Polsce kwalifikowanym podpisem (np. Certum SimplySign czy Certum Mini) jest automatycznie uznawany we wszystkich krajach EU. To właśnie eIDAS i EUTL zapewniają interoperacyjność i pewność prawną w całej UE.
W Polsce nadzór nad listą pełni Minister Cyfryzacji, a dane są dodatkowo publikowane przez Narodowe Centrum Certyfikacji (NCCert). Dane z polskiego rejestru trafiają do EU Trusted List na poziomie UE.
Efekt? Podpisany dokument może być swobodnie używany w całej Europie, bez dodatkowych procedur.
Oprócz oficjalnych list istnieją jeszcze listy zaufanych odbiorców, które działają w konkretnych aplikacjach. Najbardziej znanym przykładem jest AATL (Adobe Approved Trust List).
Wartość dla użytkownika → Acrobat Reader sam rozpoznaje ważność podpisu wystawionego przez podmiot z AATL i/lub EUTL → podpisy kwalifikowane będą walidowały się „na zielono”. Weryfikacja podpisów bezpośrednio w Acrobat Reader jest praktyczna, jednak nie oznacza prawnej walidacji podpisu kwalifikowanego. Należy mieć na uwadze, że firma Adobe Inc. tworząca oprogramowanie Adobe, jest tylko producentem oprogramowania a nie instytucją rządową. Lista AATL nie nadaje mocy prawnej, ale ułatwia automatyczną walidację. Kwalifikowane podpisy, pieczęcie i znaczniki czasu zweryfikujesz prawidłowo u kwalifikowanych dostawców usług zaufania cyfrowego w: proCertum SmartSign (desktop) oraz w usłudze WebNotarius (online).
Cecha | EU Trusted List (EUTL) | AATL Adobe (Adobe Approved Trust List) |
Kto prowadzi? | Komisja Europejska + organy krajowe (np. Minister Cyfryzacji w Polsce) | Firma Adobe (komercyjny producent oprogramowania) |
Podstawa prawna | Rozporządzenie eIDAS (UE) | Brak mocy prawnej – wewnętrzny program Adobe |
Zakres | Wszystkie państwa UE (27 krajów) | Globalna lista dostawców certyfikatów akceptowanych przez Adobe |
Rola | Decyduje o statusie prawnym kwalifikowanych usług zaufania (QES, pieczęci, znacznika czasu) | Ułatwia automatyczną weryfikację podpisów w Acrobat Reader i innych aplikacjach Adobe |
Konsekwencje braku wpisu na listę | Podpis nie ma mocy kwalifikowanego podpisu elektronicznego w UE | Podpis może nie być automatycznie rozpoznany w Adobe, ale nadal jest ważny i można go zweryfikować innymi narzędziami |
Przykład | Certum wpisane w EUTL → podpis Certum uznawany w całej UE | Certum wpisane w AATL → podpisy Certum automatycznie „na zielono” w Acrobat Reader |
Wyobraź sobie, że podpisujesz ważną umowę, a program oznacza Twój podpis jako „nieważny”. To wcale nie musi być błąd podpisu – często winna jest nieaktualna lista lub przestarzała aplikacja.
Aktualizacje są konieczne, aby:
Brak aktualizacji oznacza ryzyko odrzucenia dokumentów i zbędne komplikacje w pracy, np:
O tym jak aktualizować listy dostawców w Acrobat Reader przeczytasz tutaj.
Jak się okazuje w każdej części świata sytuacja kwalifikowanych usług zaufania wygląda odmiennie. Poniżej zestawienie pokazujące, które kraje i regiony posiadają listy zaufanych dostawców oraz jak funkcjonuje system podpisów elektronicznych.
Region / Państwo | System zaufania | Czy istnieje lista zaufanych dostawców? | Uwagi |
Unia Europejska | eIDAS + EU Trusted List (EUTL) | Tak (każde państwo ma listę krajową, scaloną w EUTL) | Pełna interoperacyjność — QES z jednego kraju jest uznawany w całej UE. |
Polska | QES (np. Certum) | Tak — rejestr nadzoruje Minister Cyfryzacji; informacje publikowane też przez NCCert; dane trafiają do EUTL | Standard UE. |
USA | ESIGN Act + UETA | Nie — brak centralnej rządowej listy | Liczy się umowa stron i możliwość weryfikacji; rynek prywatny (np. Adobe Sign, DocuSign). |
Kanada | Przepisy federalne i prowincjonalne dot. e-podpisu | Nie — brak jednolitej „trust list” | Model zbliżony do USA; walidacja oparta na łańcuchu zaufania i zgodności. |
Szwajcaria | ZertES | Tak — Swiss Trusted List (SAS) Szwajcarskiej Służby Akredytacyjnej | System lokalny, wysoce zharmonizowany z eIDAS |
ZEA (UAE) | Federal Decree-Law 46/2021 | Tak — UAE Trust List (TDRA) | Lokalna jurysdykcja; Scentralizowany system krajowy. Brak unijnej unifikacji. |
Arabia Saudyjska | NCDC / DGA (ramy państwowe) | Tak — rządowy rejestr/PKI | Ważność głównie w granicach państwa. |
Singapur | Ustawa o e-podpisie + akredytacja IMDA | Tak — lista akredytowanych CA (np. Netrust) | Lokalna lista/akredytacja, nie regionalna „EUTL”. |
Japonia | Prawo o e-podpisie + J-TSL | Tak — J-TSL (akredytowane usługi) | System krajowy z akredytacją rządową. |
Korea Południowa | Ustawa o podpisie elektronicznym | Tak (Certyfikowany Podpis Cyfrowy) | System licencjonowanych urzędów certyfikacji nadzorowany przez rząd. |
Unia Europejska jest więc unikalna – to jedyny region na świecie, gdzie istnieje spójna lista uznawana we wszystkich państwach członkowskich.
Listy zaufanych dostawców są niewidoczne na co dzień, ale to wpis dostawcy usług zaufania na listę gwarantuje, że podpis kwalifikowany jest naprawdę uniwersalny, bezpieczny i prawnie skuteczny.
Dlatego pamiętaj:
Dzięki temu Twoje dokumenty będą respektowane nie tylko w Polsce, ale i w całej Europie – a przy właściwej konfiguracji także globalnie.
W podpisano.pl pomagamy nie tylko wybrać podpis kwalifikowany (SimplySign, Certum Mini), ale też poprawnie skonfigurować środowisko i weryfikację — tak, by Twoje podpisy były zawsze aktualne, ważne i rozpoznawalne, bez względu na granice.
Jeśli masz jakiekolwiek wątpliwości lub pytania, skontaktuj się z nami
Odpowiemy na Twoje pytania, znajdziemy pasujący Ci termin oraz doradcę w Gdańsku, Gdyni, Krakowie, Warszawie lub Wrocławiu.
Możesz również napisać od nas emaila [email protected].
