Weryfikacja podpisu cyfrowego: jak rzetelnie sprawdzić ważność prawnych podpisów elektronicznych w środowisku B2B

Sprawdź poprawność podpisu cyfrowego

Dr. Fabian Knirsch

Ostatnia modyfikacja: 2026-07-08
Weryfikacja podpisu cyfrowego: jak rzetelnie sprawdzić ważność prawnych podpisów elektronicznych w środowisku B2B – sproof
NAJWAŻNIEJSZE INFORMACJE W SKRÓCIE

To nie tylko zwykłe obrazy: wizualny obraz podpisu na pliku PDF nie ma znaczenia prawnego – decydujące znaczenie ma certyfikat kryptograficzny w tle.

Trzy filary weryfikacji: Podczas weryfikacji zawsze sprawdzana jest tożsamość osoby podpisującej, autentyczność dokumentu (integralność) oraz ważność certyfikatu.

Czynnik EUTL: Kwalifikowany podpis elektroniczny (QES) jest w 100% uznawany przez sądy w całej Europie tylko wtedy, gdy dostawca usług zaufania (TSP) znajduje się na oficjalnej liście zaufania UE (EUTL).

Wada konkurencyjna w USA: Wiele amerykańskich narzędzi nie spełnia wymagań europejskich narzędzi weryfikacyjnych (takich jak państwowa służba akredytacyjna RTR), ponieważ nie zapewniają one wystarczającego zakotwiczenia łańcuchów certyfikatów.

Wprowadzenie: Dlaczego „weryfikacja” stanowi prawdziwą podstawę procesów cyfrowych

W wielu przedsiębiorstwach cyfrowe podpisywanie umów już dawno stało się standardem. Jednak podczas gdy ogromną ilość energii poświęca się na składanie podpisów, w codziennej działalności B2B często pozostaje bez odpowiedzi fundamentalne pytanie: w jaki sposób weryfikujecie dokumenty, które po podpisaniu wracają do waszej firmy?

Firmy codziennie wymieniają między sobą poufne umowy – od umów o pracę w dziale kadr, przez umowy z dostawcami, aż po transakcje finansowe o dużej wartości. Każdy, kto ufa, że zeskanowany podpis lub zwykły obrazek zastępczy w pliku PDF jest zgodny z prawem, naraża się na ogromne ryzyko związane z nieprzestrzeganiem przepisów i odpowiedzialnością prawną. Tylko systematyczna weryfikacja kryptograficzna daje Państwu pewność, którą uznają sądy, że Państwa kontrahent jest rzeczywiście tym, za kogo się podaje, oraz że treść umowy nie została później sfałszowana.

Anatomia techniczna: co się dzieje podczas weryfikacji podpisu cyfrowego?

Podczas sprawdzania podpisu cyfrowego (na przykład za pomocą programu sproof Validator, Acrobat Reader, państwowych serwisów weryfikacyjnych, takich jak Rundfunk und Telekom Regulierungs-GmbH w Austrii, lub specjalistycznego oprogramowania) w tle przebiega trzyetapowy proces:

1. Sprawdzanie integralności dokumentów (porównanie skrótów)

Podczas podpisywania cała zawartość pliku jest kompresowana za pomocą algorytmu do postaci unikalnego cyfrowego odcisku palca – tzw. wartości skrótu. Narzędzie weryfikacyjne ponownie oblicza tę wartość skrótu po otwarciu pliku. Jeśli aktualna wartość skrótu dokładnie pokrywa się z wartością zaszyfrowaną w momencie podpisania, można stwierdzić z całą pewnością: dokument nie został zmieniony ani o jeden znak od momentu podpisania.

sproof Insight a lider rynku amerykańskiego: sproof sign na stałe i zgodnie z prawem osadza każdy podpis w pliku PDF za pomocą kryptografii w momencie jego złożenia. Amerykańscy dostawcy, tacy jak DocuSign, często umieszczają podpisy w trakcie procesu jedynie jako obrazy wizualne na dokumencie, a ostateczną pieczęć zbiorczą dodają dopiero podczas końcowego pobrania. Utrudnia to narzędziom weryfikacyjnym późniejsze dokładne ustalenie, w którym momencie wprowadzono konkretną zmianę w polu formularza.

2. Weryfikacja certyfikatu cyfrowego (tożsamość)

Każdy zaawansowany (FES) lub kwalifikowany podpis elektroniczny (QES) jest nierozerwalnie powiązany z certyfikatem cyfrowym. Certyfikat ten pełni rolę cyfrowego dowodu tożsamości. Narzędzie weryfikacyjne wyodrębnia metadane certyfikatu w celu odczytania nazwiska podpisującego, zweryfikowanego adresu e-mail oraz danych wystawcy (dostawcy usług zaufania, w skrócie TSP).

3. Porównanie z listą zaufanych podmiotów Unii Europejskiej (EUTL)

Rozporządzenie eIDAS zapewnia maksymalną moc dowodową na terenie Europy. Branże podlegające ścisłej regulacji wymagają standardowo QES, ponieważ tylko on jest prawnie w 100% równoważny z podpisem odręcznym. Podczas weryfikacji QES oprogramowanie porównuje dostawcę usług zaufania (TSP), który wydał podpis, z oficjalną listą zaufania Komisji Europejskiej (EUTL). Jeśli dostawca nie jest tam akredytowany, podpis traci status QES.

Dlaczego niektóre podpisy są uznawane za „nieważne” w europejskich narzędziach weryfikacyjnych

Często spotykane zjawisko w europejskich działach prawnych: umowa podpisana za pomocą amerykańskiego narzędzia zostaje przesłana do oficjalnego serwisu weryfikacyjnego RTR (Austria) i natychmiast klasyfikowana jako „nieważna” lub „niemożliwa do zweryfikowania pod względem technicznym ”.

Jest ku temu powód: brak akredytacji EUTL. Wielu globalnych dostawców usług w chmurze typu hyperscaler wykorzystuje do swoich standardowych podpisów własne łańcuchy certyfikatów, które co prawda są oznaczone jako „zielone” na komercyjnych listach (takich jak Adobe Approved Trust List – AATL), jednak nie spełniają rygorystycznych kryteriów regulacyjnych europejskich organów nadzorczych.

Krok po kroku: jak sprawdzić podpis cyfrowy w praktyce

Dla przedsiębiorstw istnieją przede wszystkim trzy sprawdzone sposoby weryfikacji podpisów w sposób zgodny z wymogami audytowymi:

  • Sposób 1: Zautomatyzowana weryfikacja za pomocą oprogramowania i API (dla przedsiębiorstw) Duże organizacje nie są w stanie ręcznie sprawdzać przychodzących dokumentów. W takich przypadkach wykorzystuje się moduły takie jak sproof Validate. Za pośrednictwem interfejsu REST-API umowy są automatycznie skanowane w momencie ich otrzymania, sprawdzane pod kątem kryptograficznym oraz archiwizowane w systemie zarządzania dokumentami (DMS) wraz z niezmiennym śladem audytowym (protokołem kontroli).
  • Sposób 2: Weryfikacja bezpośrednio na platformie sproof sign Jeśli zarządzasz dokumentami w centralnym panelu sproof sign, wystarczy jedno kliknięcie. Po prostu najedź kursorem myszy na kartę podpisu w edytorze dokumentów. Narzędzie natychmiast wyświetli w nakładce informację, czy podpis jest ważny, jaki standard bezpieczeństwa (EES, FES, QES) został zastosowany oraz który dostawca usług zaufania wydał certyfikat.
  • Sposób 3: Ręczna weryfikacja za pomocą programu Adobe Acrobat Reader Dzięki globalnemu standardowi PAdES podpisy obsługujące długoterminową walidację (LTV – Long-Term Validation) można weryfikować również w trybie offline w programie Adobe Reader. W tym celu program Adobe wykorzystuje wbudowane dane weryfikacyjne (CRL/OCSP) w celu potwierdzenia historycznej ważności podpisu na przestrzeni dziesięcioleci.

Połóż kres niepewności prawnej w zarządzaniu dokumentami

Zautomatyzuj procesy weryfikacji i chroń swoją firmę przed naruszeniami przepisów. Dzięki sproof sign i sproof Validate stawiasz na w 100% europejskie rozwiązanie – całkowicie niezależne od Stanów Zjednoczonych, w pełni zgodne z RODO i posiadające certyfikat ISO 27001.

Umów się teraz na niezobowiązującą prezentację lub wypróbuj sproof sign za darmo

Najczęściej zadawane pytania na ten temat

  • +
    Jaka jest różnica między podpisem wizualnym a certyfikatem cyfrowym?

    Obraz podpisu w pliku PDF służy wyłącznie jako informacja wizualna dla człowieka. Z prawnego i technicznego punktu widzenia wiążące znaczenie… więcej

    Obraz podpisu w pliku PDF służy wyłącznie jako informacja wizualna dla człowieka. Z prawnego i technicznego punktu widzenia wiążące znaczenie ma wyłącznie certyfikat cyfrowy, który jest kryptograficznie osadzony w danych pliku PDF nadających się do odczytu maszynowego. Sam obraz bez certyfikatu nie ma praktycznie żadnej mocy dowodowej jako podpis elektroniczny.

  • +
    Czy podpis cyfrowy można zweryfikować, gdy nie ma połączenia z Internetem?

    Tak, o ile podpis obsługuje standard LTV (Long-Term Validation). W przypadku podpisów z włączoną funkcją LTV wszystkie niezbędne informacje dotyczące… więcej

    Tak, o ile podpis obsługuje standard LTV (Long-Term Validation). W przypadku podpisów z włączoną funkcją LTV wszystkie niezbędne informacje dotyczące unieważnienia certyfikatu są osadzane w pliku PDF bezpośrednio podczas podpisywania.

  • +
    Co oznacza komunikat narzędzia kontrolnego: „Tożsamość wystawcy nieznana”?

    Ten komunikat pojawia się zazwyczaj wtedy, gdy dokument został podpisany za pomocą narzędzia, którego certyfikat główny nie figuruje na liście… więcej

    Ten komunikat pojawia się zazwyczaj wtedy, gdy dokument został podpisany za pomocą narzędzia, którego certyfikat główny nie figuruje na liście EUTL Unii Europejskiej ani w lokalnym magazynie certyfikatów systemu Windows lub Adobe. Chociaż integralność dokumentu może pozostać nienaruszona, status „kwalifikowanego podpisu elektronicznego” (QES) o mocy prawnej traci w ten sposób ważność.

  • +
    Co się stanie, jeśli dokument zostanie nieznacznie zmieniony po podpisaniu (np. poprzez dodanie numeru strony)?

    Gdy tylko dokument PDF zostanie choćby w najmniejszym stopniu zmieniony po nałożeniu podpisu cyfrowego, łańcuch kryptograficzny ulega zerwaniu. Każde profesjonalne… więcej

    Gdy tylko dokument PDF zostanie choćby w najmniejszym stopniu zmieniony po nałożeniu podpisu cyfrowego, łańcuch kryptograficzny ulega zerwaniu. Każde profesjonalne narzędzie weryfikacyjne natychmiast sygnalizuje, że dokument został zmodyfikowany, a tym samym podpis jest nieważny. W przypadku sproof, dzięki głębokiemu osadzeniu w pliku PDF, można dokładnie ustalić, czy i jakie zmiany zostały wprowadzone później z naruszeniem przepisów.

  • +
    Jak długo podpis cyfrowy pozostaje ważny i można go zweryfikować?

    Standardowe podpisy często nie mogą być już poprawnie zweryfikowane po wygaśnięciu certyfikatu, na którym się opierają (zazwyczaj po 2–3 latach)…. więcej

    Standardowe podpisy często nie mogą być już poprawnie zweryfikowane po wygaśnięciu certyfikatu, na którym się opierają (zazwyczaj po 2–3 latach). Dlatego sproof sign konsekwentnie stosuje standard LTV (Long-Term Validation). W ramach tego rozwiązania informacje o unieważnieniu (takie jak listy CRL lub OCSP) są osadzane bezpośrednio w dokumencie w momencie składania podpisu. Dzięki temu ważność podpisu można zweryfikować w sposób zgodny z wymogami audytowymi nawet po upływie dziesięcioleci, niezależnie od wystawcy.

  • +
    Czy można niezależnie od siebie zweryfikować kilka podpisów cyfrowych w jednym dokumencie?

    Tak. Jeśli kilka osób podpisuje dokument kolejno (sekwencyjny przebieg procesu), plik PDF zawiera historię tzw. wersji dokumentu. Narzędzie weryfikacyjne (np…. więcej

    Tak. Jeśli kilka osób podpisuje dokument kolejno (sekwencyjny przebieg procesu), plik PDF zawiera historię tzw. wersji dokumentu. Narzędzie weryfikacyjne (np. sproof Validate) sprawdza każdy podpis z osobna pod kątem stanu dokumentu obowiązującego w momencie jego podpisania.

  • +
    Dlaczego raport z audytu (audit trail) jest tak ważny dla osób odpowiedzialnych za zgodność z przepisami?

    Ścieżka audytu (protokół kontroli) zapewnia kompletną, mającą moc dowodową w sądzie historię całego procesu podpisywania. Dokumentuje on, kiedy i kto… więcej

    Ścieżka audytu (protokół kontroli) zapewnia kompletną, mającą moc dowodową w sądzie historię całego procesu podpisywania. Dokumentuje on, kiedy i kto przeglądał, zatwierdził i podpisał dokument, wraz z zastosowaną metodą weryfikacji (np. uwierzytelnianie dwuskładnikowe lub kwalifikowany identyfikator elektroniczny). Protokół ten służy podczas audytów lub sporów prawnych jako główny dowód potwierdzający, że podpis został złożony zgodnie z przepisami.

Ta witryna jest zarejestrowana na wpml.org jako witryna deweloperska. Przełącz na klucz witryny produkcyjnej, aby remove this banner.