Brzy oslavíme 6 měsíců od spuštění iSmlouvy. A i když myšlenka digitalizace smluv a jejich elektronického podepisování není zdaleka nová, v jistém ohledu přinášíme do firem a jejich léta zaběhnutých procesů zásadní změny. A každá změna s sebou nese také obavy, odpor a nejrůznější výmluvy typu: Je to opravdu skvělé, jistě za pár měsíců (až let) budeme všichni uzavírat smlouvy elektronicky, ale teď to pro nás ještě není. Za těch bezmála 6 měsíců jsme slyšeli mnoho různých názorů, výmluv a doporučení, tolik, že by to vydalo na samostatný článek.

Dnes se tedy zaměříme na vaše obavy, které můžeme rozdělit do 2 skupin.

  1. Jak zabezpečíte, že mé dokumenty tady budou ještě za 10 let?
  2. Co když druhá strana řekne – já jsem to nepodepsal?

První skupina se týká dlouhodobého uložení a přístupnosti vašich dat. To je technologicky a procesně dobře řešitelné a tato problematika je detailně popsána a zakotvena v našich i evropských zákonech. Možná jste už slyšeli anglický termín „durable medium”, který definuje, jakým způsobem musí být doručeny a uchovávány informace, aby byla zajištěna jejich dostupnost v čase a zejména i nezměnitelnost. Jedním z formátů, který bezpochyby vyhovuje definici durable medium je formát PDF, který využíváme pro ukládání všech elektronických dokumentů. Více se o tomto tématu rozepíšeme v jednom z dalších článků.

Obavu „Já jsem to nepodepsal“ bychom mohli ještě rozdělit na dvě varianty, které mohou nastat.

První je, že protistrana nijak nezpochybňuje, že s vámi uzavřela smlouvu nebo že s vámi má obchodní vztah a na smlouvě je její elektronický podpis. Zpochybňuje ale obsah dokumentu a fakt, že tento text rozhodně nepodepsala. V tomto případě, vás mohu ubezpečit, že iSmlouva je navržena tak, aby nebylo sebemenších pochyb o tom, kdo jaký dokument podepsal, jaký byl obsah dokumentu, který obdržela druhá smluvní strana a který následně podepsala, a byl vám doručen zpět. Říká se tomu „chain” nebo také „integrita dokumentu” a věřte, že jsme věnovali skutečně mnoho hodin tomu, abychom si touto oblastí byli naprosto jisti.

Ano souhlasím, že v digitálním světě platí rozšířený názor, že ten, kdo má Admin přístup, vyhrává a může téměř vše. V praxi to ale tak není. Zejména proto, že každý takový zásah, pokud je vůbec možný, nese obrovské náklady.

Pokud byste chtěli změnit minulost v prostředí blockchain a vrátit čas o několik minut nebo hodin zpátky, musíte vynaložit tolik energie, že si dobře rozmyslíte, zda se vám to vyplatí. Vrátit čas a zrušit nebo změnit transakci, která se stala včera je v podstatě nemožné. Pokud bychom chtěli vrátit čas v iSmlouvě, museli bychom popřít několik emailů a SMS zpráv, rozšifrovat, pozměnit a znovu zašifrovat půl databáze a v případě, že daný klient používá časová razítka, tak ještě hacknout server vydavatele časových razítek. Neříkáme, že nic z toho není možné, ale ty náklady jsou opravdu enormní. Věřte; padělat podpis na papíře je oproti tomu jednodušší a levnější.

Je potřeba si ale také uvědomit jaké jsou vedlejší náklady takového zásahu. Pokud se tak stane, jedna strana bude mluvit pravdu a jedna bude zákonitě lhát. Už jen samotný fakt, že někdo pochybuje, je pro službu vytvářející důvěru kam iSmlouva patří likvidační. Ztracené renomé nikdy zpět nezískáte a už se budete do konce vašeho účinkování jen omlouvat a vysvětlovat.

Pokud vás zajímá tato oblast detailně, navrhuji, pojďme si zavolat a pojďme to probrat do nejmenšího detailu.



Pojďme si zavolat

Druhá varianta je, že protistrana zpochybňuje fakt, že on / ona nikdy žádnou smlouvu neuzavřeli a že to musel být někdo jiný. Souhlas, tohle je problém. Ale není to problém samotného elektronického podpisu, stejný problém máte s papírovými smlouvami, jen u těch elektronických se o tom více mluví. Navíc tento problém se týká jednoznačného určení identity vás a druhé smluvní strany.

V tuto chvíli opravdu není možné bez předchozí osobní identifikace s jistotou určit, zda osoba na druhé straně je opravdu ta osoba, za kterou se vydává. Ať vám kdokoliv bude tvrdit cokoliv.

Existují služby, které o vás ví opravdu hodně, znají dopodrobna váš denní program, jak máte rádi vás steak nebo kam jedete na víkend. Ale neví, kolik je vám let, kde opravdu bydlíte, jak opravdu vypadáte a to podstatné, zda celou tu dobu za vás nevystupuje váš virtuální dvojník. Takový, který je jako vy, chová se jako vy, ale bohužel nemá oprávnění za vás podepisovat smlouvy.

A přitom řešení je relativně snadné… Oproti ostatním problémům ohledně integrity, zabezpečení, dostupnosti se zdá jako triviální. V životě každého z nás jistě nastala chvíle, kdy slyšel dotaz: Půjčte mi prosím občanský průkaz. A to je přesně ten moment, kdy už nejste anonymní, virtuální postava bez jednoznačné identity. V tento moment jste to VY. Tak proč tuto skutečnost nezaznamenat, nezakotvit v čase, nevystavit vám o tom potvrzení a neočíslovat vás a toto číslo nezpřístupnit ostatním a pak na tom nevydělávat? A kdo vás v minulosti nejméně jednou takto identifikoval? Ano správně, vaše banka.

A máme tu bankovní identitu

Nadšeně jsem si domluvil schůzku s pěti bankami a v jejich nablýskaných zasedačkách jsem jim vyprávěl, jak pomocí bankovní identity budeme bezpečně podepisovat dokumenty. Zdálo se, že mě nechápou, tak jsem to pro jistotu ještě několikrát zopakoval: Vy máte identifikované klienty, my máme partnery, kteří chtějí uzavírat desítky tisíc smluv bez toho, aby se museli s vašimi klienty scházet a za to jsou ochotni zaplatit. Odpověď byla přibližně taková:

To je skvělé, ale my vám takovou službu nemůžeme poskytnout, dokonce bychom jí neměli poskytnout nikomu, to že to sem tam děláme je umožněno mezerou v dnešních zákonech a pohybujeme se v šedé zóně.

Neradi prohráváme, dokonce bychom řekli, že nesnášíme prohry, proto jsme se nevzdali a ptali se dál:

Proč nám takovou sužbu nemůžete poskytnout? Nadiktujte si podmínky, které jako firma i jako služba musíme splnit, vyžadujte certifikaci, audit, dosaďte si k nám svého člověka, který bude vše dozorovat.

O to ani tak nejde, vy nejste osoba povinná AML (pozn. zkratka AML znamená boj proti praní špinavých peněz), bankovní identitu nyní smíme poskytnout pouze tomu, kdo je ze zákona povinný dle AML. 

Skvělé, to je velké množství firem, které uzavírají velké množství dokumentů. Investiční poradci, finanční poradci, realitní makléři a další. Můžeme tedy pro ně tuto službu poskytovat?

To bohužel nejde, protože my musíme předat tu identitu přímo osobě / firmě povinné dle AML. Vy jako iSmlouva nesmíte v celém vztahu: my a váš klient figurovat.

A kdyby se iSmlouva stala osobou povinnou dle AML, můžete nám bankovní identitu klienta poskytnout?

Ano můžeme.

Skvělé, my tedy klienta ověříme, informace si bezpečně uložíme a jakmile náš partner bude chtít tohoto klienta identifikovat a uzavřít s ním smlouvu tak u nás již bude ověřený a vše bude jednoduché. 

Tak to by nešlo…. Za prvé byste nám brali business a za druhé by se jednalo o řetězení identit a vámi poskytnutá identita vašemu partnerovi již není platná dle AML.

Aha, takže iSmlouva, resp. Digital factory s.r.o., která tuto službu provozuje, nesmí nijak figurovat ve vztahu banka –  partner. Náš partner bude mít smlouvu přímo s bankami, my mu dodáme pouze licenci aplikace. 

Ano, takto by to bylo možné.

To ale znamená, že v iSmlouvě nesmíme takovou identitu uložit, tzn. každá identifikace = nový požadavek na API banky, což při ceně “vyšší jednotky EUR až nižší desítky EUR” v podstatě vylučuje rozumný business model vyjma online sázení a hazardu.

Ano je to přesně tak. A ještě musíte zabezpečit, aby se k API banky dostala jen osoba povinná dle AML a žádný další váš partner. A pak také bychom chtěli upozornit, že tento způsob není vyzkoušený a je možné, že když to naimplementujete, tak to neprojde přes naše risk a compliance oddělení. A pak bychom vás rádi informovali, že za rok takto poskytovaná služba pravděpodobně skončí.

Tudy zkrátka cesta nevede. I kdybych zavřel oči nad vysokými náklady na vývoj a úpravu aplikace, kdyby klienti akceptovali vysokou cenu za jednu takto uzavřenou smlouvu, risk a compliance bank by tuto službu schválil, než to všechno proběhne je léto, spíše podzim 2020. Ale hlavně, proč bychom poskytovali službu, kdy přes nás, bez nás uzavírají naši partneři smlouvy?

Zrodilo se Bank ID

Na každé z těch schůzek, ale zazněla zmínka a připravovaném projektu, který by přesně splňoval to, co bychom si jako iSmlouva přáli. Tedy že banka, nám poskytne ověřenou bankovní identitu klienta, kterou my přijmeme a bezpečně u nás uložíme.

Zároveň poskytne možnost přihlašování do iSmlouvy pomocí stejných přihlašovacích údajů jako používá pro internetové bankovnictví. My tak můžeme uživatele iSmlouvy nejen identifikovat a našim partnerům garantovat, že uživatel je skutečně ten, za kterého se vydává, ale hlavně svou bankovní identitou, tedy BankID bude moci podepisovat dokumenty. Už nebudou třeba žádné osobní certifikáty na USB discích, žádné klíčenky ani HW klíče, pro vše bude stačit jedna uznávaná, kvalifikovaná identita.

Psal se říjen 2019…

Od té doby jsme v této oblasti ušli velký kus cesty, aktivně spolupracuje s několika bankami, abychom vám přinesli nejlepší možnou službu jak na identifikaci prostřednictvím BankID tak zejména podepisování dokumentů přes iSmlouvu. První reálné výstupy budeme mít v 1Q/2020 tak se těším, až se s vámi podělím o novinky a zkušenosti. BankID je realitou nejdříve v roce 2021, tak věříme, že vše dopadne.

Závěrem bych chtěl zopakovat, že problém identifikace není problémem elektronického podpisu a nijak nesnižuje jeho platnost a účinnost. A tak jak bych vám nedoporučil bez jakékoliv identifikace uzavřít papírovou smlouvu, nedoporučuji vám to ani v případě té elektronické. Pokud ale znáte např. email nebo telefonní číslo, ze kterého jste s druhou smluvní stranou komunikovali, myslím, že máte na 95 % vyhráno.

Mějte pohodový závěr roku, užijte si šťastné vánoční svátky se svými blízkými a v tom novém, ještě více digitálním roce 2020 se budu těšit na viděnou.