Oprócz samej generacji e-sprawozdania podczas pierwszego kwartału funkcjonowania e-sprawozdania problemem okazało się jego podpisywanie. Zgodnie z art. 45 ust. 1f ustawy o  rachunkowości sprawozdanie finansowe w postaci elektronicznej opatruje się kwalifikowanym podpisem elektronicznym, podpisem zaufanym oraz od 1 stycznia 2020 r podpisem osobistym (po zmianie z 8 sierpnia 2019 r.) . Zgodnie z art. 52 ust. 2 UoR sprawozdanie finansowe podpisuje – podając zarazem datę podpisu – osoba, której powierzono prowadzenie ksiąg rachunkowych, i kierownik jednostki, a jeżeli jednostką kieruje organ wieloosobowy – wszyscy członkowie tego organu.

Innymi słowy plik xml powinien być podpisany przez kilka osób i może to być zrobione na kilka sposobów.

Podpis kwalifikowany

Rozpatrzmy na początek kwalifikowany podpis elektroniczny. W Polsce jest 5 kwalifikowanych dostawców usług zaufania (informacja ze strony NBP): Cencert, Eurocert, KIR, PWPW oraz Certum.

1. Cencert: opis składania podpisu zaczyna się od 10 strony instrukcji użytkownika http://soft.mpi.pl/PODPIS/PEM_HART/rozpakowane/dokumentacja/user.pdf Dodawanie podpisu jako kolejnego jest opisane od strony 24 tej samej instrukcji

2. Eurocert: opis składania podpisu zaczyna się od strony 6 instrukcji użytkownika https://eurocert.pl/images/2018/10/01/Instrukcja-Securedoc_v2.0.pdf Dodawanie kolejnego podpisu przebiega w ten sam sposób tylko przy zaznaczonym check-box „Dodaj kolejny podpis”

3. KIR: opis składania podpisu – podpis XAdES – punkt 1 instrukcji https://www.elektronicznypodpis.pl/gfx/elektronicznypodpis/userfiles/_public/informacje/instrukcje/instrukcja_podpis_i_weryfikacja_xades_pades_cades.pdf W instrukcji brak jest informacji jak dodać kolejny podpis, ale wykonuje się to przez wejście do opcji „Kreator” następnie wybranie opcji „Podpisu” i w kolejnym kroku zaznacza się check-box „Dodaj kolejny podpis do pliku z podpisem”

4. Certum: opis procesu podpisu na stronie: https://www.certum.pl/pl/cert_wiedza_jak_zlozyc_podpis_elektroniczny/ Opis jak dodać kolejny podpis znajduje się na stronie: https://www.certum.pl/pl/cert_wiedza_skladanie_podpisu_wielokrotnego/

5. PWPW: niestety PWPW (Sigillum) nie udostępnia na swoich stronach instrukcji użytkownika, więc nie mogę pomóc, ale po uruchomieniu aplikacji podpisowej Sign5 na ekranie startowym widoczne są przyciski „Podpisz” oraz „Dodaj kolejny podpis”.

Podpis zaufany

Od marca 2019 działa nowa funkcjonalność ePUAP do podpisywania, która znacznie uprościła podpisywanie XML.

Po wejściu na stronę https://www.gov.pl/web/uslugi/podpisz-dokument-elektronicznie-wykorzystaj-podpis-zaufany należy zalogować się swoim profilem zaufanym. Następnie należy dodać podpisywany plik (pliki dodaje się pojedynczo) i przy użyciu profilu zaufanego podpisać. Na kolejnym ekranie uzyskamy możliwość pobrania tak podpisanego pliku.

Podpis zapisywany jest w tym samym pliku XML, który został pobrany. Pliki XML nie podlegają wizualizacji podczas podpisu, nie możemy więc sprawdzić co było podpisywane.

W tym samym oknie można również sprawdzić podpisy pod tak podpisanym plikiem.

Inna metoda walidacji podpisu ePUAP: podpis taki oczywiście nie jest walidowany przez żadne oprogramowanie do podpisu kwalifikowanego. Żeby go zwalidować należy wejść na stronę epuap.gov.pl, wejść w zakładkę „strefa urzędnika”, rozwinąć w menu „Więcej” i wybrać „walidator” i dalej postępować zgodnie ze wskazaniami. Działa.

Podpis osobisty 

Podpis osobisty został zdefiniowany w ustawie o dowodach osobistych jako zaawansowany podpis elektroniczny. Podpis osobisty umieszczany jest od 4 marca 2019 na nowych typach dowodów osobistych (e-dowód). W związku z tym posiadacze nowych typów dowodów mogą wszystkie dokumenty podpisać również przy użyciu e-dowodów osobistych. Podpisywanie podpisem osobistym wymaga (oprócz posiadania nowego typu dowodu osobistego posiadającego warstwę elektroniczną):
a) aktywowania warstwy elektronicznej e-dowodu poprzez nadanie kodów osobistych 4-cyfrowego PIN1 oraz 6-cyfrowego PIN2 podczas odbioru dowodu osobistego w urzędzie gminy bądź później w dowolnym urzędzie gminy
b) zakupienia czytnika do e-dowodu oraz zainstalowania oprogramowania do takiego czytnika. Czytniki kupowane są komercyjnie u różnych dostawców.

Zgodnie z instrukcją oraz informacjami uzyskanymi od Ministerstwa Cyfryzacji proces podpisu podpisem osobistym jest intuicyjny. W pierwszej kolejności po podłączeniu czytnika oraz umieszczenia na nim e-dowodu wskazuje się podpisywany dokument i podaje się numer CAN (numer wydrukowany na dowodzie osobistym) a następnie 6-cyfrowy PIN2. Podczas podpisywania można określić również jak ma być zapisywany podpis. Analogicznie jak w przypadku podpisu kwalifikowanego możliwe są 3 sposoby:
1. podpis zewnętrzny
2. podpis otaczający
3. podpis wewnętrzny (otoczony)
Podpis kwalifikowany jest jednakże podpisem spełniającym bardziej restrykcyjne normy.

Metoda mieszana

Niestety użycie łączne powyższych metod (część osób podpis zaufany, część podpis osobisty a część podpis kwalifikowany) nie jest na dzień pisania zmiany w tym tekście możliwe (1 wrzesień 2019 – więcej w artykule http://www.audyt-bombik.pl/podpisem-osobistym-nie-mozna-podpisac-dokumentu-podpisanego-w-inny-sposob-szczegolnie-profilem-zaufanym/. Możliwe jest jedynie zastosowanie jednocześnie dwóch z trzech typów podpisów. Czyli albo jednocześnie podpisanie dowodem osobistym i podpisem kwalifikowanym przy użyciu podpisu zewnętrznego albo podpisanie najpierw podpisem zaufanym a następnie podpisem kwalifikowanym. Wynika to z samej właściwości podpisu zaufanego. Mianowicie podpis zaufany zapisuje (podpis otoczony) podpis wewnątrz pliku XML. Czyli w efekcie podpisania uzyskamy dalej plik XML tylko z dopisanymi informacjami o podpisach.

Natomiast w przypadku podpisu kwalifikowanego możemy uzyskać dodatkowy plik XAdES, w którym będzie umieszczona suma kontrolna z pliku XML oraz informacje o podpisach również.

Wymusza to następującą kolejność składania podpisów:

1. Najpierw wszystkie osoby podpisujące profilem zaufanym gdyż ich podpisy zmodyfikują zawartość pliku XML.

2. Dopiero po zakończeniu tych podpisów można podpisać tak uzyskany XML podpisami kwalifikowanymi pozostałych osób. Warto jednakże użyć tej samej metody podpisu dla wszystkich osób czyli albo podpisu zewnętrznego albo otaczającego. Powstały w efekcie plik XAdES będzie gwarantował, że podpisany plik XML nie był modyfikowany (weryfikacja sum kontrolnych).

 

Moja porada wynikająca z doświadczenia 

Proszę również pamiętać, że plikiem podpisywanym jest plik e-sprawozdania (czyli kończący się rozszerzeniem XML) a nie ostatni plik XAdES.

Jeśli nie są Państwo pewni jak dodać kolejny podpis proszę po prostu zrobić dla każdej osoby odrębny plik XAdES – KRS przyjmuje kilka plików XAdES do jednego pliku XML sprawozdania. Będzie to funkcjonowało jak odrębne kartki z podpisem pojedynczej osoby. Jest to równie skuteczne i być może, dla niezbyt wprawnych użytkowników, prostsze.

O podpisywaniu sprawozdań z działalności (lub też innych plików w pdf) podpisem zaufanym piszę więcej we wpisie http://www.audyt-bombik.pl/mozna-juz-podpisac-pdf-podpisem-zaufanym-epuap/

 

Zapraszam do podzielenia się doświadczeniami w tym względzie.