Dołączenie pliku XAdES warunkiem złożenia skutecznego podpisu elektronicznego

Aleksander Kliszewski

Przesłałem do US pismo podpisane elektronicznie, jednak urząd stwierdził, że brakuje podpisu, gdyż nie załączyłem do niego pliku z rozszerzeniem XAdES.
Czy zarzut US jest słuszny?

Tak, gdyż to dane zawarte w pliku XAdES potwierdzają złożenie podpisu w formie elektronicznej.

  • WSA – wojewódzki sąd administracyjny
  • Op – Ordynacja podatkowa

Zgodnie z art. 168 § 1 i 3a pkt 1 Op podania (żądania, wyjaśnienia, odwołania, zażalenia, ponaglenia, wnioski) mogą być wnoszone nie tylko pisemnie lub ustnie do protokołu, ale także za pomocą środków komunikacji elektronicznej przez elektroniczną skrzynkę podawczą organu podatkowego lub portal podatkowy.

Podanie wniesione w formie dokumentu elektronicznego powinno być podpisane kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP.

Obecnie istnieją 4 główne formaty zaawansowanego podpisu elektronicznego spełniające wymagania określone rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 910/2014 z 23.07.2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (...). Są to preferowany przez administrację format XAdES, a także formaty CAdES, PAdES i ASiC.

W unijnym systemie prawnym obowiązuje zasada równoważności podpisu tradycyjnego i elektronicznego. Wynika ona z art. 25 ust. 2 rozporządzenia 910/2014, stanowiącego, że kwalifikowany podpis elektroniczny ma skutek prawny równoważny podpisowi własnoręcznemu.

Wg definicji art. 3 pkt 12 rozporządzenia 910/2014 „kwalifikowany podpis elektroniczny” oznacza zaawansowany podpis elektroniczny, który jest składany za pomocą kwalifikowanego urządzenia do składania podpisu elektronicznego i który opiera się na kwalifikowanym certyfikacie podpisu elektronicznego. Z kolei przez „kwalifikowany certyfikat podpisu elektronicznego” rozumie się, na mocy definicji art. 3 pkt 15, certyfikat podpisu elektronicznego (poświadczenie elektroniczne, które przyporządkowuje dane służące do walidacji podpisu elektronicznego do osoby fizycznej i potwierdza co najmniej imię i nazwisko lub pseudonim tej osoby – art. 3 pkt 14 rozporządzenia), który jest wydawany przez kwalifikowanego dostawcę usług zaufania i spełnia wymogi określone w zał. I do rozporządzenia.

Przez „walidację” rozumie się z kolei proces weryfikacji i potwierdzenia ważności podpisu elektronicznego (art. 3 pkt 41 rozporządzenia 910/2014).

Zatem podpisowi własnoręcznemu równoważny jest taki podpis elektroniczny, który ma oparcie w kwalifikowanym certyfikacie. Oznacza to, że podania wnoszone za pomocą środków komunikacji elektronicznej muszą być opatrzone kwalifikowanym podpisem elektronicznym weryfikowalnym za pomocą kwalifikowanego certyfikatu, a więc podatnik, wysyłając dokument w formacie elektronicznym, np. w DOCX lub PDF, powinien wraz z nim przesłać dokument umożliwiający weryfikację złożonego podpisu, np. plik w formacie XAdES.

Brak pliku w formacie XAdES traktowany jest tak samo jak brak podpisu własnoręcznego.

Warto wskazać na wyrok WSA w Rzeszowie z 12.09.2017 (I SA/Rz 468/17), w którym wyjaśniono, że w praktyce występują 2 typy podpisów – wewnętrzne i zewnętrzne. Podpis wewnętrzny zawarty jest w pliku i po wykonaniu podpisu tworzony jest jeden nowy plik zawierający dane o podpisującym. Jeżeli np. plik nazywał się „zapytanie.doc”, to nowy plik będzie się nazywał „zapytanie.doc.xades” i będzie zapisany w tej samej co źródłowy lokalizacji. Ten plik nie jest dokumentem MS WORD (z rozszerzenia .doc wynikało, że takim był plik źródłowy) i konieczne będzie posiadanie przez adresata programu nie tylko do weryfikacji, ale także do wyodrębnienia z niego samego dokumentu źródłowego zapytanie.doc, aby go odczytać. (...) Alternatywą eliminującą problemy dostępowe do dokumentu źródłowego (oryginału) jest podpis zewnętrzny. W tej konfiguracji tworzony jest (w tej samej lokalizacji) dodatkowy plik o rozszerzeniu .xades, zawierający podpis i zaświadczający o nieingerencji w treść pliku. Oznacza to, że jakakolwiek ingerencja w treść pliku źródłowego po jego podpisaniu spowoduje negatywną weryfikację podpisu.

Występują tutaj zatem 2 pliki – plik źródłowy i plik podpisu – i oba muszą zostać łącznie wysłane, dostarczone adresatowi. Tylko wówczas zostanie dostarczona całość, którą można nazwać dokumentem podpisanym.

w sprzedaży

Logowanie

email:

hasło:

 

 

Logowanie za pomocą emaila

Jeżeli nie pamiętasz hasła albo nie masz konta, to wyślemy na Twój email wiadomość weryfikującą. Po kliknięciu w link z emaila będziesz zalogowany na urządzeniu do chwili wylogowania.

email:

Klikając w poniższy link zgadzasz się na zapisanie podanych w formularzu danych i wykorzystywanie ich zgodnie z polityką przetwarzania danych dostępną w dokumencie ⇒Polityka przetwarzania danych osobowych (RODO)⇐

 

Logowanie do za pomocą emaila

Sprawdzanie danych....