Na tomto blogu často připomínáme, jak obtížné může být chování ve světě elektronických dokumentů a jaké návyky k tomu potřebujeme. Tentokrát se zaměříme na jedno často podceňované riziko, které jsme zdědili z papírového světa.
Několika firmám v ústeckém kraji se před pár týdny stalo, že je navštívil důvěryhodně působící mladý muž vybavený padělaným papírovým dokumentem napodobujícím tiskopisy krajského úřadu. Dokument obsahoval razítko a podpis neexistujícího úředníka. Firmy na základě toho vydaly zahradní techniku v celkové hodnotě statisíců korun a teprve, když faktury nebyly proplaceny ani po urgencích, zjistily, že něco není v pořádku. Podvodník byl nakonec odsouzen, ale je otázka, zda postižené firmy své peníze dostanou (více zde).
Severočeský příklad ukazuje na velmi nebezpečný problém. Pokud narazíme na falešnou papírovou listinu vyrobenou zručným podvodníkem, jsme více méně bezmocní. Můžeme papír studovat s lupou nebo jej třeba prohlížet proti slunci, ale opravdu kvalitnímu padělku se neubráníme. Ostatně, i vyznačení notářského ověření může být falešné.
Zvýšit jistotu můžeme v podstatě jen tak, že kontaktujeme protistranu a ověříme si, zda opravdu vydala dotyčný dokument – podobně jako paní učitelka, která má pochybnosti o podpisu v žákovské knížce a pro jistotu zavolá rodičům. Ani to nemusí být pokaždé bez rizika. Je pochopitelně naivní volat na číslo uvedené na posuzovaném papíře, ale v případě velmi sofistikovaného podvodu je představitelné, že dokonce i třeba webová stránka s kontakty není tím, čím se zdá být.
V elektronickém světě můžeme postupovat podobně jako v papírovém. Obdržím sken listiny, nic neřeším, prostě se spolehnu, že je dokument pravý, vydám zboží a doufám, že dostanu peníze. Nebo dokumentu z principu nevěřím a zboží nevydám, dokud nemám peníze na účtu.
Jenže vedle toho tu máme elektronický podpis. Když obdržím elektronický dokument opatřený zaručeným elektronickým popisem, může se můj počítačový program spojit s důvěryhodnou třetí stranou (kvalifikovanou certifikační autoritou), která potvrdí, kdo připojil podpis. Pokud je k dokumentu připojeno i časové razítko, potvrdí také čas, ve kterém dokument zcela jistě existoval (a tudíž doloží, že dokument nebyl vytvořen zpětně až po nějaké události). Kromě toho elektronický podpis garantuje, že v dokumentu nebyla změněna ani tečka.
To všechno má ale jednu vadu na kráse. Ten, kdo dokument přijímá, musí být schopen správně ověřit jeho pravost. Pokud to provede nedbale nebo nesprávně, přebírá tím na sebe odpovědnost za případnou škodu. Původce falešného dokumentu se totiž může zprostit odpovědnosti za následky, „…pokud prokáže, že ten, komu vznikla škoda, neprovedl veškeré úkony potřebné k tomu, aby si ověřil, že zaručený elektronický podpis je platný a jeho kvalifikovaný certifikát nebyl zneplatněn.“ (Zákon o elektronickém podpisu, paragraf 5). A ověření nemusí být pokaždé jednoduché. Ostatně, není tomu dlouho, co se řešil případ elektronického dokumentu, v němž podepsaná verze říkala, že žadatel má dluhy, zatímco na obrazovce a při tisku se ukazovala formulace, podle níž dluhy nemá.
Chcete-li zakládat jistotu na dokumentech, existují v zásadě tři možnosti:
a) Vyhrát si se správným nastavením nástroje, který to bude posuzovat (v našich podmínkách nejčastěji Adobe Acrobat) a naučit se rozumět jeho hláškám. Dokument s elektronickým podpisem a časovým razítkem se totiž může nacházet v některém z celkem 16 možných stavů, takže potřebujete i určitou schopnost výsledek ověření správně interpretovat.
b) Nosit elektronické dokumenty na Czech POINT. Pokud je možné dokument s elektronickým podpisem konvertovat do listinné podoby, máte jistotu, že na něj můžete spoléhat.
c) Využít nějaké online služby, která dává záruku správného posouzení. Optimálně takové, která je procesně shodná s Czech POINTem (pokud by došlo na důkazní řízení, úřad nejspíš využije Czech POINTu.
Nebo si možná můžete poradit nějak jinak. Ale nenamlouvejte si, že vám se to stát nemůže. Ti lidé ze severočeských firem, co vydali techniku za statisíce korun falešnému krajskému úřadu, nebyli žádní hlupáci. Postupovali tak, jak se zpravidla postupuje ve většině firem.
