Nowe rozwiązania technologiczne coraz szerzej wkraczają w nasze życie. Często jest to jednak powiązane z nowymi zagrożeniami. Typowym tego przykładem są zaawansowane urządzenia komputerowe do odwzorowania pisma ręcznego, rejestrujące nie tylko jego dwuwymiarową grafikę, lecz również cechy biometryczne takie jak nacisk, kąty nachylenia pióra i dynamikę pisma. Oczywiście producenci tych urządzeń prezentują same korzyści płynące z ich wdrożenia do powszechnego użytku, ale czy tak jest naprawdę? Czy składanie podpisu za pomocą urządzenia, nad którym podpisujący nie ma wyłącznej kontroli jest bezpieczne?

W przypadku dokumentu papierowego, graficzne odwzorowywanie podpisu i opatrywanie dokumentu tym podpisem stanowią jedną czynność i są ze sobą nierozerwalnie powiązane. Złożony podpis jest przypisany do ściśle określonej kartki papieru, której zawartość jest nam znana i nie da się go przenieść w sposób niewykrywalny na inną kartkę papieru. Zupełnie inaczej wygląda sprawa w przypadku składania odręcznego podpisu za pomocą elektronicznych urządzeń, np. tabletu graficznego i specjalnego, elektronicznego pióra. Najpierw, podczas pisania, dokonywane jest przetwarzanie pisma na zapis cyfrowy (tzw. digitalizacja), a dopiero później uzyskane w ten sposób dane cyfrowe mogą być użyte do opatrzenia podpisem jakiegoś dokumentu elektronicznego.

Jeżeli osoba podpisująca dokument nie ma kontroli nad urządzeniem, na którym składa podpis, to tak na prawdę nie wie do jakiego celu ten podpis zostanie wykorzystany i nie ma tu żadnego znaczenia jaki obraz jest wyświetlany na ekranie urządzenia podczas składania podpisu. Osoby mające rzeczywistą kontrolę nad urządzeniem, w szczególności mające wpływ na zainstalowane oprogramowanie, mogą ten podpis wykorzystać w dowolny sposób.

Biometryczna digitalizacja naszego podpisu sprawia, że przestajemy być jego wyłącznym właścicielem. Od tej pory jego dysponentami będą wszyscy ludzie mający dostęp do baz danych, na których podpisy biometryczne są przechowywane. Oczywiście, my sami nie będziemy mieli dostępu do tych baz danych i nawet nie będziemy wiedzieli gdzie te bazy się znajdują. W takiej sytuacji udowodnienie nieuprawnionego użycia naszego podpisu stanie się praktycznie niemożliwe, gdyż nie będziemy w stanie wykazać, że ten podpis był wcześniej przez nas złożony pod jakimś innym dokumentem. Nie będziemy nawet wiedzieli kiedy złożyliśmy ten podpis, ani też w jakiej bazie danych mógłby się on ewentualnie znajdować, o ile wcześniej, dla zatarcia śladów, nie zostanie on z tej bazy trwale usunięty.

Przy zastosowaniu wrogiego oprogramowania istnieje też taka możliwość, że przedłożony dokument w ogóle nie zostanie opatrzony złożonym podpisem, natomiast podpis ten zostanie skopiowany i w późniejszym czasie wykorzystany bez zgody jego właściciela. Operacje wykonywane w urządzeniu elektronicznym nie są dla podpisującego widoczne, a zważywszy że system informatyczny składa się z wielu podprogramów, pisanych przez wielu programistów na całym świecie, nikt tak naprawdę nie może być pewien bezpieczeństwa całego systemu.

Na domiar złego, nie ma żadnych przeszkód prawnych, aby jeden egzemplarz odręcznego podpisu biometrycznego mógł być wykorzystany wielokrotnie. W rozporządzeniu Ministra Sprawiedliwości z dnia 19 kwietnia 2013 r., zmieniającym rozporządzenie w sprawie szczegółowego trybu i sposobu doręczania pism sądowych w postępowaniu cywilnym (Dz. U. z 2013r. Poz. 600), jest nawet zalecenie, aby w przypadku dostarczenia wielu przesyłek do adresata, ich odbiór był potwierdzony tym samym podpisem.

W grę wchodzi również możliwość fałszerstwa podpisu biometrycznego. Jeżeli dzisiaj istnieją programy, pozwalające na bazie wzorca, zweryfikować autentyczność składanego podpisu, to zachodzi duże prawdopodobieństwo, że istnieją również programy wykonujące odwrotną operację tj. na bazie wzorca podpisu biometrycznego tworzą wiele różniących się od siebie wersji tego podpisu w taki sposób, że udowodnienie fałszerstwa będzie niemożliwe.

Moim zdaniem, z obecnie stosowanych technologii podpisu elektronicznego, tylko infrastruktura klucza publicznego (PKI) zapewnia dostateczny poziom bezpieczeństwa, choć oczywiście go nie gwarantuje. Złamanie szyfrowania opartego np. na algorytmie RSA wymagałoby geniuszu, a to ogranicza liczbę potencjalnych oszustów niemalże do zera. Ponadto urządzenie służące do podpisywania dokumentów oraz klucz prywatny posiada wyłącznie jego właściciel, dzięki czemu nie ma żadnych możliwości manipulowania tym urządzeniem przez postronne osoby.

Być może znajdzie się jakiś rzekomy ekspert, który będzie bagatelizował potencjalne zagrożenie oraz negował przytoczone wyżej fakty i wyszydzał wynikające z nich konkluzje. Dlatego każdy sam musi ocenić jaki jest poziom ryzyka. Trzeba mieć też świadomość, że oryginałem dokumentu elektronicznego jest jego cyfrowy zapis, a nie graficzna ilustracja, która może być wyświetlona na ekranie lub wydrukowana. Ponadto dokument elektroniczny ma taką samą moc prawną jak dokument sporządzony na papierze. We wszystkich peanach na cześć wdrażania technologii odręcznego podpisu biometrycznego nie uwzględnia się jednej zasadniczej kwestii. Odręczny podpis może być nie tylko narzędziem do weryfikacji tożsamości, ale przede wszystkim jest narzędziem do trwałego wyrażania naszej woli. Jeden podpis złożony na nieodpowiednim dokumencie może zrujnować całe życie. Powierzając nasz odręczny podpis innym ludziom, tak naprawdę powierzamy im swój los. Jeżeli ktoś ma bezgraniczne zaufanie do urzędów, firm pocztowych, banków itd., to oczywiście może zaakceptować tę technologię – jest to jego własny wybór. Nie wolno jednak narzucać tego rozwiązania ludziom, którzy takiego zaufania nie mają.

Jeżeli nie chcemy obudzić się w kraju, w którym osoby kontrolujące systemy komputerowe będą miały możliwość zniszczenia życia dowolnie wybranego człowieka, to musimy zaprotestować przeciw jakiemukolwiek nakazowi stosowania nowych technologii. Każdy sam ma prawo decydować, czy akceptuje dane rozwiązanie, czy też nie. Powszechne i przymusowe stosowanie urządzeń do odwzorowania pisma ręcznego może powstrzymać tylko masowy protest społeczeństwa. Jeżeli ktoś chce wyrazić swój sprzeciw wobec prawnego narzucania stosowania tej technologii, petycję w tej sprawie można złożyć tutaj.