Jak działa podpis elektroniczny w 2026 roku

Wprowadzenie

Podpis elektroniczny jest dziś sercem cyfrowej transformacji przedsiębiorstw: w 2025 roku ponad 70% dużych organizacji europejskich zintegrowało go przynajmniej w jeden proces kontraktowy (źródło: Gartner, Digital Process Automation Survey 2025). Jednak niewielu decydentów rozumie dokładnie mechanizmy, które czynią go ważnym prawnie i technicznie niepodrabialnym. Zrozumienie jak techniczne działa podpis elektroniczny — kryptografia, PKI, certyfikaty — pozwala wybrać właściwe rozwiązanie, zmniejszyć ryzyko prawne i przyspieszyć wewnętrzne wdrożenie. Ten artykuł prowadzi Cię krok po kroku przez architekturę techniczną i standardy regulujące podpis elektroniczny w 2026 roku.

---

Fundamenty kryptograficzne podpisu elektronicznego

Podpis elektroniczny opiera się na sprawdzonych prymitywach kryptograficznych. Zrozumienie mechanizmów to zrozumienie, dlaczego jest bardziej niezawodny niż zdigitalizowany podpis odręczny.

Szyfrowanie asymetryczne: klucz publiczny i klucz prywatny

Zasada fundamentalna to kryptografia asymetryczna, wynaleziona w latach 70. i standaryzowana algorytmami takimi jak RSA (Rivest–Shamir–Adleman) lub krzywe eliptyczne (ECDSA). Każdy podpisujący posiada dwa matematycznie powiązane klucze:

• Klucz prywatny: przechowywany tajnie przez podpisującego na bezpiecznym urządzeniu (karta inteligentna, token HSM, lub ochroniony moduł programowy). Służy do utworzenia podpisu.
• Klucz publiczny: rozpowszechniany swobodnie, zawarty w certyfikacie cyfrowym. Służy do weryfikacji podpisu.

Zasada bezpieczeństwa opiera się na asymetrii obliczeniowej: matematycznie trywialne jest zweryfikowanie podpisu za pomocą klucza publicznego, ale praktycznie niemożliwe jest odtworzenie klucza prywatnego z klucza publicznego (problem logarytmu dyskretnego lub faktoryzacji dużych liczb całkowitych).

Funkcje skrótu: cyfrowy ślad palca dokumentu

Przed podpisaniem system oblicza odcisk kryptograficzny dokumentu za pomocą funkcji skrótu (SHA-256 lub SHA-3 w 2026). Ten odcisk, zwany hash lub kondensat, jest ciągiem znaków o stałej długości (256 bitów dla SHA-256) reprezentującym unikatowo zawartość dokumentu.

Właściwość zasadnicza: modyfikacja choćby jednego znaku dokumentu daje radykalnie różny hash. To gwarantuje integralność podpisanego dokumentu: każda zmiana po podpisaniu jest natychmiast wykrywalna.

Właściwy podpis elektroniczny to zatem szyfrowanie tego skrótu za pomocą klucza prywatnego podpisującego. Podczas weryfikacji adresat:

1. Odszyfrowuje podpis za pomocą klucza publicznego, aby odnaleźć oryginalny skrót;
2. Sam ponownie oblicza skrót otrzymanego dokumentu;
3. Porównuje oba: jeśli identyczne, podpis jest ważny.

---

Infrastruktura Klucza Publicznego (PKI): łańcuch zaufania

Sama kryptografia nie wystarczy: należy również udowodnić, że klucz publiczny należy do osoby, która się do niego przyznaje. To zadanie PKI (Public Key Infrastructure) — czyli Infrastruktury Klucza Publicznego.

Urzędy certyfikacji (CA)

Urząd Certyfikacji (AC lub CA) to akredytowany trzeci podmiot zaufania, który wydaje certyfikaty cyfrowe. Certyfikat cyfrowy to standardowy plik (format X.509) zawierający:

• Tożsamość posiadacza (imię, nazwisko, organizacja, e-mail);
• Jego klucz publiczny;
• Okres ważności;
• Własny podpis cyfrowy AC.

W Europie akredytowane urzędy certyfikacji są wymienione w Trusted Lists publikowanych przez każdy państwo członkowskie UE zgodnie z rozporządzeniem eIDAS. We Francji ANSSI publikuje i utrzymuje tę listę. Dostawcy usług zaufania (QTSP) — tacy jak CertSign, Certigna, czy Universign — podlegają regularnym audytom zgodnie ze standardem ETSI EN 319 401.

Łańcuch certyfikacji i unieważnienie

PKI funkcjonuje na hierarchicznym modelu:

• AC root (Root CA) samopodpisana, przechowywana offline w warunkach maksymalnego bezpieczeństwa fizycznego;
• AC pośrednie, które wydają certyfikaty użytkowników końcowych.

Unieważnienie certyfikatów to krytyczny mechanizm: jeśli klucz prywatny zostanie skompromitowany, AC publikuje jego unieważnienie poprzez CRL (Certificate Revocation List) lub protokół OCSP (Online Certificate Status Protocol), umożliwiając weryfikację w czasie rzeczywistym.

Do podpisu elektronicznego kwalifikowanego w rozumieniu eIDAS klucz prywatny musi być wygenerowany i przechowywany w QSCD (Qualified Signature Creation Device) — sprzęt certyfikowany CC EAL4+ lub wyżej, takim jak karta inteligentna lub HSM (Hardware Security Module).

---

Trzy poziomy podpisu zgodnie z eIDAS

Rozporządzenie europejskie eIDAS nr 910/2014 (i jego ewolucja eIDAS 2.0 obecnie wdrażana) definiuje trzy poziomy podpisu, każdy opierający się na rosnących gwarancjach technicznych. Aby pogłębić ten opaski regulacyjny, zapoznaj się z naszym kompleksowym przewodnikiem do rozporządzenia eIDAS.

Prosty podpis elektroniczny (SES)

Prosty podpis to najmniej wymagająca technicznie forma. Może być tak prosta jak zaznaczenie pola, kod OTP (One-Time Password) wysłany SMS-em, lub obraz podpisu odręcznego. Niekoniecznie wiąże się z certyfikatem kwalifikowanym.

Typowe zastosowanie: walidacja ofert, zgody marketingowe, umowy niskiego ryzyka.

Ryzyko: ograniczona wartość dowodowa w razie sporu sądowego. Ciężar dowodu spoczywa na tym, kto powołuje się na podpis.

Zaawansowany podpis elektroniczny (AdES)

Zaawansowany podpis spełnia cztery dokładne wymogi techniczne (artykuł 26 eIDAS):

1. Jest jednoznacznie powiązany z podpisującym;
2. Pozwala zidentyfikować podpisującego;
3. Został utworzony przy użyciu danych pod wyłączną kontrolą podpisującego;
4. Pozwala na wykrycie każdej późniejszej modyfikacji dokumentu.

Konkretnie wymaga to użycia osobistego certyfikatu cyfrowego i solidnego mechanizmu uwierzytelniania. Standardowe formaty są definiowane przez ETSI: PAdES (dla PDF), XAdES (XML), CAdES (dane binarne) i JAdES (JSON), wszystkie standaryzowane w serii ETSI EN 319 100.

Kwalifikowany podpis elektroniczny (QES)

Kwalifikowany podpis to najwyższy poziom. Wymaga:

• Certyfikatu kwalifikowanego wydanego przez QTSP akredytowany eIDAS;
• QSCD do utworzenia podpisu.

Korzysta z domniemania prawnego wiarygodności i równoważności prawnej z podpisem odręcznym w całej Unii Europejskiej (artykuł 25 eIDAS). To poziom wymagany dla aktów autentycznych elektronicznych, niektórych aktów notarialnych, czy wrażliwych zamówień publicznych.

Nasze porównanie rozwiązań podpisu elektronicznego analizuje praktyczne różnice między tymi poziomami, aby pomóc Ci wybrać.

---

Pełny proces podpisu elektronicznego krok po kroku

Oto jak wygląda konkretnie transakcja podpisu elektronicznego na platformie SaaS jak Certyneo:

Krok 1: przygotowanie i wysłanie dokumentu

Inicjator podpisu przesyła dokument (umowę, zmianę, zamówienie) na platformę. System natychmiast generuje skrót SHA-256 oryginalnego pliku, opatrzony horodatowaniem i przechowywany niezmienny. Ten odcisk będzie służyć jako punkt odniesienia do przyszłych weryfikacji.

Krok 2: uwierzytelnianie podpisującego

W zależności od wybranego poziomu podpisu uwierzytelnianie się różni:

• SES: e-mail + link do podpisu;
• AdES: uwierzytelnianie mocne (OTP SMS, aplikacja mobilna FIDO2);
• QES: wcześniejsza weryfikacja tożsamości (twarzą w twarz lub przez wideo IDV), wydanie certyfikatu kwalifikowanego do jednokrotnego lub wielokrotnego użytku.

Krok 3: utworzenie podpisu kryptograficznego

Podpisujący wyzwala czynność podpisu. Platforma (lub QSCD):

1. Oblicza skrót dokumentu;
2. Szyfruje ten skrót za pomocą klucza prywatnego podpisującego;
3. Integruje podpis i certyfikat w dokumencie (PDF podpisany w formacie PAdES-LTV do długoterminowego przechowywania).

Krok 4: kwalifikowane znaczniki czasu

Usługa kwalifikowanego znacznika czasu (TSA) zgodna z normą RFC 3161 umieszcza timestamp kryptograficzny, dowodząc, że podpis istniał w konkretnym momencie. To chroni przed fałszerstwem daty i gwarantuje wartość dowodową w czasie — nawet jeśli certyfikat podpisującego później wygaśnie.

Krok 5: archiwum dowodowe

Podpisany dokument jest archiwizowany ze swoją pełną pełną ścieżką audytu: tożsamość podpisującego, adres IP, horodatowanie, skrót dokumentu, użyte certyfikaty. Ta teczka dowodowa (audit trail) jest niezbędna w razie sporu sądowego. Rozwiązania zgodne z eIDAS utrzymują te dowody w formacie PAdES-LTV (Long-Term Validation), który integruje dane walidacyjne, umożliwiając weryfikację lat po podpisaniu.

Aby zrozumieć, jak zintegrować ten proces w Twoje przepływy HR, odkryj naszą rozwiązanie podpisu elektronicznego dla HR i nasze szablony umów do pobrania.

Ramy prawne dotyczące podpisu elektronicznego

Podpis elektroniczny wpisuje się w wielowarstwowy standard normatywny, artykułujący prawo cywilne krajowe i zharmonizowane prawo europejskie.

Kodeks cywilny francuski

Artykuł 1366 Kodeksu cywilnego ustanawia zasadę fundamentalną: „Pismo elektroniczne ma taką samą siłę dowodową jak pismo na papierze, pod warunkiem że można należycie zidentyfikować osobę, z której pochodzi, i że jest sporządzane i przechowywane w warunkach gwarantujących jego integralność." Artykuł 1367 wyjaśnia, że podpis elektroniczny "polega na użyciu niezawodnego procedury identyfikacji gwarantującego jego powiązanie z aktem, do którego się odnosi".

Dekret nr 2017-1416 z 28 września 2017 r. definiuje domniemanie wiarygodności dla podpisów kwalifikowanych i zaawansowanych zgodnych z eIDAS.

Rozporządzenie eIDAS nr 910/2014

Węgielny kamień europejskiego prawa zaufania cyfrowego, eIDAS (electronic IDentification, Authentication and trust Services) ustanawia ujednolicone ramy prawne dla podpisów elektronicznych, pieczęci elektronicznych, kwalifikowanego znacznika czasu, usług przesyłania rekomendowanego i certyfikatów uwierzytelniania stron internetowych. Jego artykuł 25, ustęp 2, przyznaje podpisowi kwalifikowanemu domniemanie prawne równoważności z podpisem odręcznym w całej UE.

Rozporządzenie eIDAS 2.0 (obecnie transponowane do 1. kwartału 2026) wzmacnia te postanowienia portfelem tożsamości cyfrowej europejskiej (EUDIW) i rozszerza zobowiązania na rynki usług finansowych i opieki zdrowotnej.

Standardy ETSI

Formaty podpisów są standaryzowane przez ETSI:

• ETSI EN 319 132 (XAdES), EN 319 122 (CAdES), EN 319 102 (PAdES) definiują profile techniczne podpisów zaawansowanych i kwalifikowanych;
• ETSI EN 319 421 reguluje polityki usług kwalifikowanego znacznika czasu.

RODO i ochrona danych

Przetwarzanie danych tożsamości w kontekście podpisu elektronicznego (imię, nazwisko, e-mail, biometria do weryfikacji tożsamości) podlega RODO nr 2016/679. Administratorzy danych muszą: posiadać podstawę prawną (prawo słuszne lub wykonanie umowy), stosować zasadę minimalizacji danych, i gwarantować bezpieczeństwo poprzez odpowiednie środki techniczne (szyfrowanie, pseudonimizacja).

Dyrektywa NIS2

Dyrektywa NIS2 (2022/2555/UE), transponowana do prawa francuszczyzny od października 2024, narzuca operatorom usług niekritycznych i dostawcom usług cyfrowych (w tym dostawcom podpisu elektronicznego) wzmocnione zobowiązania w zakresie cyberbezpieczeństwa, zarządzania ryzykiem i powiadamiania o incydentach w ciągu 24 godzin. Niezastosowanie się grozi sankcjami do 10 milionów euro lub 2% światowego obrotu.

Konkretne scenariusze zastosowania podpisu elektronicznego

Scenariusz 1: kancelaria prawna automatyzuje podpisywanie mandatów

Kancelaria prawna zajmująca się sprawami gospodarczymi z około dwunastoma współpracownikami przetwarzała średnio 120 mandatów reprezentacji miesięcznie. Procedura papierowa obejmowała drukowanie, wysyłkę pocztową lub wręczenie osobiście, a następnie skanowanie zwróconych dokumentów — powodując średnie opóźnienie wynoszące 4,5 dnia roboczego na sprawę i szacunkową stratę dokumentów wynoszącą 8%.

Wdrażając zaawansowany podpis elektroniczny (AdES) z uwierzytelnianiem OTP, kancelaria skróciła czas podpisu do mniej niż 4 godzin średnio, zmniejszyła wskaźnik anomalii dokumentacyjnych do mniej niż 1%, i zaoszczędziła około 2 200 € rocznie na kosztach pocztowych i drukowania. Automatycznie wygenerowana pełna ścieżka audytu uprościła również dwa spory dotyczące mandatu, dostarczając niepodważalny, opatrzony znacznikiem czasu dowód. Odkryj nasze rozwiązanie dla kancelarii prawnych.

Scenariusz 2: MŚP przemysłowa digitalizuje umowy z dostawcami

MŚP przemysłowa zarządzająca około 200 umowami z dostawcami rocznie (warunki ogólne zakupu, zmianami tarifowe, NDA) poniosła opóźnienia podpisu przekraczające trzy tygodnie dla umów transgranicznych z partnerami z Niemiec i Hiszpanii. Różnice w systemach prawnych i brak wzajemnego uznania spowalniały negocjacje.

Przyjmując podpis kwalifikowany (QES) wydany przez QTSP akredytowany eIDAS, uznany w całej UE, MŚP skorzystała z automatycznego uznania prawnego w trzech krajach bez dodatkowej legalizacji. Średni czas podpisu transgranicznego spadł z 18 dni do 2,5 dnia. Podpis elektroniczny w przedsiębiorstwie szczegółowo opisuje te korzyści dla zespołów zakupów.

Scenariusz 3: szpital skaluje bezpieczeństwo świadomej zgody pacjentów

Grupa szpitalna z około 800 łóżkami musiała uzyskać świadomą zgodę pacjentów na protokoły badań klinicznych. Zarządzanie papierowe stwarzało zagrożenia RODO (źle zarchiwizowane dokumenty, nieutracalne daty) i mobilizowało personel medyczny do zadań administracyjnych.

Integrując prosty podpis elektroniczny z identyfikacją za pomocą kodu SMS — wystarczającą dla czynności nieobjętych wymaganiem kwalifikowanym — grupa szpitalna zautomatyzowała zbieranie, archiwizowanie i śledzenie zgód. Czas administracyjny na pacjenta spadł z 12 minut do mniej niż 2 minut, uwolniając około 800 godzin medycznych rocznie. Wszystkie dokumenty są archiwizowane z kwalifikowanym znacznikiem czasu, w pełni spełniając wymagania CNIL. Odkryj nasze rozwiązanie podpisu dla opieki zdrowotnej.

Wnioski

Zrozumienie, jak techniczne działa podpis elektroniczny — od kryptografii asymetrycznej do PKI, od certyfikatów kwalifikowanych do horodatowania dowodowego — jest niezbędne do podejmowania świadomych decyzji w kwestii zgodności i efektywności operacyjnej. Trzy poziomy eIDAS (prosty, zaawansowany, kwalifikowany) odpowiadają różnym potrzebom, a wybór powinien być zawsze kierowany analizą ryzyka prawnego i oczekiwanej wartości dowodowej.

Certyneo towarzyszyci w tej transformacji za pomocą platformy SaaS zgodnej z eIDAS, akredytowanych QTSP i uproszczoną integracją w Twoich istniejących procesach. Szacuj potencjalne zyski dla Twojej organizacji dzięki naszemu kalkulatorowi ROI podpisu elektronicznego, lub zacznij bezpośrednio, konsultując nasze oferty i ceny. Zgodność i wydajność nie są już kompromisem.