Telefónica přechází na čistě elektronické smlouvy, zvládnou to ale i její zákazníci?

Česká Telefónica končí s papírovými smlouvami, její zákazníci už je budou standardně dostávat pouze v elektronické podobě. A také se nebudou podepisovat na papír, ale na destičku speciálního tabletu. Jde prý o „vlastnoruční digitální podpisy“.

Když se dnes rozhodnete stát zákazníkem nějakého poskytovatele, standardní postup je takový, že zajdete do příslušné prodejny, kde vám předloží kupu papírů. Vy do nich vyplníte své údaje, a pak je musíte podepsat. V lepším případě se vás nejprve vyptají na vaše údaje, sami je zanesou do formuláře se smlouvou a následně vytisknou, tak abyste již vyplněné a „personalizované“ smluvní dokumenty pouze podepsali.

Nový postup: již bez papíru

U české Telefóniky  (či Kellnerofóniky, nebo jak se bude časem jmenovat :) to už začíná fungovat jinak: pracovník prodejny s vámi vyplní potřebné údaje rovnou do elektronického formuláře, ať již na běžném stolním počítači, nebo na tabletu. Následně jej už ale nebude tisknout. Místo toho vám podá speciální podepisovací tablet a vyzve vás, abyste se podepsali na něj. Tedy nikoli tužkou na papír, na kterém je napsán text toho, co podepisujete, ale speciálním perem na samostatnou „destičku“, která slouží ke snímání podpisu i způsobu, jakým jej vytváříte. A na které ve chvíli vašeho podepisování nemusí být napsáno vůbec nic, protože příslušná destička ani nic zobrazit neumí. Viz příklad takové destičky (speciálního podepisovacího tabletu) na následujícím obrázku.

V závislosti na druhu smlouvy po vás operátor bude chtít i předložení osobních dokladů. Třeba když se poprvé chcete stát jeho zákazníkem, bude je chtít určitě. V případě nějakého dodatečného rozšíření poskytovaných služeb (například aktivace nějakého balíčku) už nejspíše ne.

Pokud operátor požaduje vaše osobní doklady, obvykle občanský průkaz, pořizuje si jejich kopii (sken). Díky tlaku ÚOOÚ už ale neskenuje celé doklady, nýbrž jen určité jejich části: které, to naznačují následující dva obrázky. Na nich jsem se snažil názorně zreprodukovat efekt „košilky“, do které je vaše občanka vložena a která zakrývá ty části, které si operátor nekopíruje. Skutečná košilka je samozřejmě neprůsvitná, na obrázku jsou zakryté část záměrně ponechány trochu průsvitné, aby bylo vidět, jaké informace jsou zakryty.

Pak se další postup rozdvojuje:

• operátor si do svých systémů zanese jak samotný obsah smlouvy, tak i sken vašich dokladů, a váš nasnímaný podpis (nejenom jeho křivku, ale také další biometrické charakteristiky - jak rychle jste pohybovali perem, jak moc jste na něj tlačili atd.). Přitom uvádí, že data o vašem podpisu uchovává jen v takové podobě, že se k nim sám nedostane: prý je zašifruje pomocí asymetrického kryptografie (tj. veřejným klíčem), s tím že příslušný soukromý klíč (nutný pro dešifrování) k dispozici nemá, a je prý uložen u notáře pro případ sporu.
• pro vás, coby svého zákazníka, operátor připraví PDFko, které je chudší o sken vašich dokladů. Celé PDFko pak zkomprimuje (vloží do ZIP archivu), zahesluje  a odešle na vámi zadanou emailovou adresu, kterou jste mu při vyplňování údajů  ve smlouvě zadali. Potřebné heslo vám pošle jiným kanálem, konkrétně SMSkou do  vašeho mobilu.

Jak to vypadá v praxi, vidíte na dalších obrázcích: včera po tiskové konferenci Telefóniky jsem si vše vyzkoušel na vlastní kůži. Po mnoha letech jsem se na chvíli znovu stal zákazníkem Telefóniky: objednal si tarif Zero bez závazku, nechal si oskenovat občanku, podepsal se na podepisovací tablet a dostal mailem vyplněnou smlouvu i heslo SMSkou. Snad byla smlouva záhy zase stornována, jak mi bylo slíbeno.

Bude existovat alternativa?

Než se pustíme do technických aspektů, zastavme se nejprve u těch praktických. Na straně Telefóniky je jasné, proč vše dělá: aby se zbavila záplavy papíru a zefektivnila své fungování, přechodem na čistě elektronickou podobu zákaznických smluv. Popisovaný postup je prý již nasazen ve čtyřech značkových prodejnách, kde je již několik dní ověřován (v pilotním provozu). Ještě během prosince a ledna by se ale měl rozšířit postupně do všech značkových prodejen, a poté i do dalších prodejen a odbytových míst. A fungovat by měl i „v terénu“, kdy zástupci Telefóniky mohou chodit přímo za zákazníkem – s tabletem, který používá dotykové pero a je schopen snímat i sílu přítlaku (jako např. Samsung Galaxy Note s perem S pen). A který nafotí i doklady svým zabudovaným fotoaparátem.

Ale co zákazníci? Jsou připraveni na popisovaný přechod? Budou ochotni akceptovat již jen čistě elektronickou verzi smluv? Nebo ještě jinak: má dnes již každý zákazník funkční email a také funkční mobil, aby mu na něj mohla přijít smlouva v el. podobě i heslo SMSkou? Budou schopni, a také ochotni s ní pracovat?

A co když se někdo odmítne si nechat poslat elektronickou verzi smlouvy a bude trvat na tom, že chce smlouvu na papíře? Včera na tiskové konferenci zaznělo, že zákazník, který bude trvat na papírové verzi smlouvy, ji přeci jen dostane. Když jsem následně vznesl dotaz na tiskové oddělení Telefóniky, zda to bude vždy bezplatně, odpověď zněla:

o zpoplatnění tištěné verze smlouvy zatím neuvažujeme …..

Stejně tak prý bude existovat i nějaké náhradní řešení pro ty, kteří z nějakého důvodu odmítnou podepisovat se „na destičku“, místo na papír.

Největším otazníkem ale možná bude samotná elektronická podoba smluv a jejich podpisů: budou zákazníci ochotni vystavit se nástrahám elektronizace, a zejména pak elektronického podpisu, se všemi jeho problémy a nástrahami? A co až jim dojde, že zde se jedná o něco ještě komplikovanějšího: o kombinaci klasických elektronických podpisů, založených na asymetrické kryptografii, a tzv. dynamických biometrických podpisů? Což je natolik horká půda, že se jí i Telefónica bojí pojmenovat pravým jménem, a tak vše raději skrývá pod novotvarem „vlastnoruční digitální podpis“?

Pojďme si proto rozebrat vše po technické stránce.

Jak vypadá PDFko, které dostává zákazník?

Začněme nejprve u PDF-ka, které dostane zákazník mailem. Má hned čtyři elektronické podpisy, jak můžete vidět na následujícím obrázku:

Po řadě (od nejvíce vnitřního, a tím i nejstaršího) podpisu, na obrázku shora dolů:

• zaručený elektronický podpis „za zákazníka“ (viz: podepsal SignoSoft)
• zaručený elektronický podpis „za pracovníka operátora“ (viz: podepsal SignoSoft)
• zaručený elektronický podpis interních systémů Telefóniky (viz: podepsal ED channel BS)
• uznávaná elektronická značka Telefóniky (viz: podepsal Elektronický dokument certificates@o2.com

Pokud takovýto dokument předložíte třeba Adobe Readeru (nebo jinému obdobnému programu), nastavenému pro správné ověřování elektronických podpisů podle tuzemské legislativy, dopadne to podle předchozího obrázku: jako platný bude vyhodnocen pouze „poslední“ (uznávaný) elektronický podpis, přesněji značka. U ostatních to skončí konstatováním, že platnost není známa. Jde totiž o elektronické podpisy, založené na certifikátech, u kterých standardně nastavený program (Reader apod.) neví, zda je může považovat za důvěryhodné.

Nejzajímavější jsou určitě první dva podpisy (nejstarší, na obrázku nejvyšší): jde o klasické elektronické podpisy, ovšem založené na tzv. self-signed certifikátu (certifikátu s vlastním podpisem). Souvisí přitom s aktem vytvoření vlastnoručního podpisu „na destičce“ (na podepisovacím tabletu): v okamžiku, kdy zákazník (či zástupce operátora) vytvoří perem svůj vlastnoruční podpis, je systémem vygenerován certifikát s vlastním podpisem, který je ihned použit pro příslušný elektronický podpis smlouvy, viz následující obrázek: já jsem se podepsal na tabletu v 10:50:23, viz zelený rámeček.

Následně se v 10:50:37 podepsal na tablet zástupce operátora (pracovník prodejny), viz následující obrázek s detaily druhého podpisu.

Oba tyto elektronické podpisy, které lze označit jako zaručené elektronické podpisy (ve smyslu naší legislativy), mají viditelnou (vizualizovanou) podobu: tou je právě ona křivka, kterou člověk „naškrábe“ na podpisový tablet („destičku“). Obecně může být takovouto vizualizovanou podobou cokoli, jakýkoli obrázek (například fotka osoby), nebo nějaká ikona („zelená fajfka“), často i animovaná. Zde se tedy jedná o statický obrázek, nasnímaný na podpisovém tabletu při vytváření vlastnoručního podpisu.

Na následujícím obrázku vidíte, kde je v dokumentu umístěna takto vizualizovaná podoba prvního elektronického podpisu. Obdobně pro druhý elektronický podpis, jeho vizualizovaná podoba je hned napravo.

Třetí podpis je „běžným“ zaručeným elektronickým podpisem, v tom smyslu že není založen na certifikátu s vlastním podpisem, ale na certifikátu, který vydala (zřejmě interní) certifikační autorita Telefóniky, resp. O2. Nejde tedy o certifikát vytvořený v okamžiku vzniku vlastnoručního podpisu na tabletu. Nejspíše jde o el. podpis některého ze systémů, které se podílejí na zpracování celého PDF dokumentu. Nejde přitom o značku, protože příslušný certifikát není označen jako systémový.

Konečně čtvrtý, poslední a „nejvíce vnější“ elektronický podpis je podpisem uznávaným, přesněji uznávanou elektronickou značkou: je založen na kvalifikovaném systémovém certifikátu, který Telefónice vydala I.CA. Platnost tohoto certifikátu je do 18. listopadu 2014.

Podstatné přitom je, že ani jeden z elektronických podpisů (ani poslední značka) na PDF dokumentu není opatřen časovým razítkem.

Lze ověřit platnost značek a podpisů na smlouvě v el. podobě?

Co tedy může udělat zákazník s takovouto smlouvou v elektronické podobě? Může se sám přesvědčit o platnosti jednotlivých podpisů? A pokud ano, jak dlouho?

Pokud si podpisy nechá ověřit na správně nastaveném programu pro ověřování podpisů (např.na Adobe Readeru), jako platný bude moci být vyhodnocen pouze poslední (čtvrtý, nejvíce vnější) podpis, který je ve skutečnosti značkou, viz předchozí obrázky. A to do již zmiňovaného 18. listopadu 2014.

Možnosti ověřit platnost tohoto podpisu po uvedeném datu brání dvě věci: absence (kvalifikovaného) časového razítka, a dále absence revokačních informací (vhodného CRL seznamu). Obojí si sice může přidat sám uživatel, ale musí vědět jak, a také si musí uvědomit, že je to potřeba. Že se sám musí postarat o tzv. digitální kontinuitu PDF dokumentu (pokud s ním potřebuje pracovat i později, zde po 18.11.2014). V tomto ohledu mu Telefónica rozhodně nevyšla jakkoli vstříc.

Pokud jde o další elektronické podpisy, možnosti vyhodnotit je jako platné brání absence informací o důvěryhodnosti certifikátů, na kterých jsou založeny. V případě prvních dvou podpisů jde o ony certifikáty s vlastním podpisem (self-signed), u třetího podpisu jde o otázku důvěry v certifikáty vydané interní certifikační autoritou Telefóniky. Pokud uživatel chce, aby se i všechny tyto podpisy mohly vyhodnotit jako platné, musí jim sám udělit důvěru (ve smyslu: tomu programu, který používá, musí sám sdělit, zda je má považovat za důvěryhodné).

Zajímavé přitom je, že nemožnost ověřit platnost prvních tří podpisů nebrání možnosti autorizované konverze PDF dokumentu na CzechPointu. Zákon totiž vůbec neřeší možnost konverze takového dokumentu, který má více podpisů. Neříká tedy, zda musí být možné ověřit všechny jako platné, nebo zda stačí, aby se jako platný dal ověřit jen ten „poslední“, a na ostatních nezáleží. Proto si Czechpoint musel zavést nějaká pravidla sám – a ta zní tak, že poslední podpis či podpisy musí být možné ověřit jako platné. A ty „před nimi“ musí mít alespoň neporušenou integritu. Což v popisovaném případě nastává – a tak předmětný PDF dokument je možné autorizovaně konvertovat na CzechPointu. V jeho původní podobě do 10. listopadu 2013.

Pokud by si zákazník potřeboval sám zajistit digitální kontinuitu popisovaného dokumentu, i ve smyslu možnosti autorizované konverze, musel by k ní sám přidávat potřebná časová razítka (a nezbytné revokační informace). Případně „protáhnout“ smlouvu skrze systém datových schránek, protože tím fakticky celý PDF dokument „obalí“ datovou zprávou, která již bude mít časové razítko. A pro přidávání dalších časových razítek lze využít služeb samotných datových schránek.

Jde o dynamický biometrický podpis?

Pokud jste článek dočetli až sem, nejspíše se budete prát, kde že je schován dynamický biometrický podpis, avizovaný výše. Nuže tedy: v popisovaném PDF dokumentu jsou (dynamická) biometrická data schována v prvních dvou podpisech. Pokud ale nemáte speciální modul pro ověřování podpisů od dodavatele celého řešení (jde o řešení SignoSoft, které využívá technologii SOFTPRO), k těmto biometrickým datům se nedostanete. A i kdybyste onen modul měli, stále vám to nebude stačit. Jsou totiž zašifrována tak, že se dají dešifrovat jen tím soukromým klíčem, který Telefonica nechala deponovat u notáře. Tento klíč by měl být k dispozici jen pro expertní zkoumání, nejspíše až u soudu, pokud by došlo k nějakému sporu.

Takže, shrnuto jinými slovy: to, co dodavatel technologie (SingSoft, resp. SOFTPRO) prezentuje jako (dynamický) biometrický podpis, a co Telefónica raději označuje jako "vlastnoruční digitální podpis", je v PDF dokumentu, který dostane zákazník (i v systémech samotné Telefóniky), schováno pro strýčka příhodu: pro opravdu zvláštní případy, pokud by došlo na příslovečné lámání chleba.

To odpovídá tomu, o čem dynamické biometrické podpisy doopravdy jsou - navzdory právnímu rozboru, který na stránkách SignSoft najdete (v záložce Legislativa, doporučuji věnovat pozornost autorům stanoviska). Jsou něčím principiálně jiným než elektronické podpisy a nelze je považovat za vzájemnou alternativu. Zatímco klasické (kryptografické) elektronické podpisy, založené na asymetrické kryptografii, certifikátech a PKI, jsou řešením pro podepisování dokumentů, (dynamické) biometrické podpisy samy o sobě nic podepsat nedokáží. Slouží k identifikaci a autentizaci konkrétní fyzické osoby, skrze její vlastnoruční podpis. A to ve stejném smyslu, jako otisk palce, snímek rohovky, vzorek řeči, DNA, či třeba styl chůze.

Jinými slovy: biometrický podpis, ať již dynamický či nikoli, je něčím jako  ingrediencí, která jednoznačně identifikuje určitou konkrétní osobu. To, co Telefónika výše popisovaným způsobem dělá, je to že v elektronické formě vytvoří smlouvu s konkrétním zákazníkem, a přidá k ní dvě další „ingredience“: jednu ingredienci zákazníka, a druhou svého zástupce, který ji při sjednávání smlouvy zastupuje. A teprve pak výsledný celek sama podepíše (opatří výše popisovanými „klasickými“ elektronickými podpisy). A má za to, že poskytnutí příslušné ingredience zákazníkem je takovým projevem jeho vůle, který je jinak přisuzován vlastnoručnímu podpisu na papírovém dokumentu a považován za akt podpisu.

Místo dynamického biometrického podpisu by ale příslušnou ingrediencí mohla být třeba zákazníkova DNA. Stačilo by třeba říznout zákazníka do prstu, ustřihnout mu kus vlasů, nechat ho na něco plivnout apod. Nebo sejmout jeho oční rohovku, nechat ho namluvit nějaký text apod. Ale pravdou je, že ze všech těchto možností je sejmutí vlastnoručního podpisu na destičce (podpisovém tabletu) nejlepší analogií toho, na co je zákazník zvyklý u papírových dokumentů. A také asi nejdůstojnější variantou.

Na druhou stranu má i toto řešení svá úskalí. Zákazník například musí důvěřovat Telefónice v tom, že tu ingredienci, která je pro něj unikátní a kterou ona získá (jeho dynamický biometrický podpis) nezneužije: že ji logicky spojí právě a pouze s tím elektronickým dokumentem, který mu ukazuje při sjednávání smlouvy, a že ji následně zašifruje tak, že se k ní sama dále nedostane (bez soukromého klíče, který by měl být deponován u notáře).

Ovšem i pro Telefóniku to má svá úskalí. Nepracuje totiž s žádným podpisovým vzorem, a nemůže tak kontrolovat, zda ona „zákazníkova ingredience“ je autentická. Třeba zda se zákazník (nebo někdo, kdo se za něj pouze vydává) schválně nepodepsal na tablet jinak, než jak se podepisuje normálně. Určité vodítko sice má v možnosti kontroly právě vytvářeného podpisu vůči tomu podpisu, který je uveden na občanském průkazu. Ale ani to nemusí stačit, protože jde pouze o statický obrázek, bez jakékoli dynamiky. Takže pokud by došlo na příslovečné lámání chleba a spor se řešil u soudu, Telefónica by si vyzvedla u notáře soukromý klíč a díky němu odemkla a soudu předložila data popisující dynamiku podpisu, použitou při uzavírání smlouvy. Ovšem zákazník by u soudu předvedl podobně vypadající podpis, ovšem s úplně jinou dynamikou. Otázkou je, jak by to dopadlo.

Nehledě na to, že podepisovat se „na destičku“ (na podpisový tablet) rozhodně není stejné, jako podepisovat se na papír. Však také včera představené řešení od Telefóniky počítá s tím, že zákazník může postupně vytvářet více (dynamických biometrických) podpisů, a následně je zase mazat a zůstat u toho, který se mu bude líbit nejvíce. Já sám jsem včera zůstal u třetího pokusu, a i u toho jsem měl pocit, že je dost odlišný od mého běžného podpisu na papíře.

A ono to obdobně platí i pro posuzování (ověřování) dynamických biometrických podpisů vůči podpisovým vzorům. Zde je nutné jít na určitou míru podobnosti: je vytvořený podpis  dostatečně podobný podpisovému vzoru, nebo mu není dostatečně podobný? Jenže jak volit správnou míru podobnosti?

Zdůrazněme si ale, že Telefónica se svým novým řešením před takovouto otázkou nestojí: ona nepracuje s žádnými podpisovými vzory a žádné (zákazníky vytvářené) dynamické biometrické podpisy nehodnotí, ani neověřuje. Ani jinak s nimi aktivně nepracuje. Pouze je snímá a uchovává pro případ nějakého sporu.