„Zablokowałem sobie kartę” – początek jednej z rozmów, których kilka odbyłem w ostatnich miesiącach – „Co mam teraz zrobić?”. W tle mojego rozmówcy jakiś gwar, wyraźnie słyszę głosy kilku osób. Nie, to nie reprymenda z powodu zablokowania karty, raczej zwykły hałas niewielkiego biurowego pomieszczenia, gdzie pracuje wspólnie kilka osób.
Sprawa dosyć prosta. Pytam: „Czy pamięta pan hasło PUK?”. Chwila ciszy i radosne: „Jest, zapisałem”. „Proszę uruchomić program PEM-Heart Signature i w zakładce Karta uruchomić opcję Odblokuj kartę, wpisać PUK i nadać nowe hasło PIN”. Dźwięk wciskanych klawiszy i mój rozmówca wraca do rozmowy: „Udało się!”. Wyraźna ulga i radość. No tak, 25 dzień miesiąca, ostatni na składanie deklaracji VAT.
Każdy z posiadaczy kwalifikowanego podpisu elektronicznego CenCert podczas aktywacji nadaje tylko sobie znane hasła dostępowe: PIN i PUK. Hasłem PIN potwierdza decyzję o podpisaniu pliku (dokumentu) elektronicznego, natomiast PUK jest używany tylko w sytuacji awaryjnej. Kiedy hasło PIN zostanie wpisane trzykrotnie nieprawidłowo. W opisanym powyżej wypadku sprawa był prosta. Właściciel zablokowanej karty szybko odnalazł zapisany PUK i sprawnie uzyskał dostęp do podpisu. Drobna satysfakcja dla inspektora rejestracji: słuchał mojej krótkiej informacji na temat posługiwania się kwalifikowanym podpisem i sugestii: „PUK proszę zapisać w bezpiecznym, tylko sobie znanym miejscu i w sposób, który gwarantuje, że tylko użytkownik będzie wiedział o przeznaczeniu hasła.” Dostawca e-podpisu nie ma wiedzy na temat nadanych haseł, nie przechowuje w swoim systemie i nie ma do nich dostępu.
Często jednak moi klienci polegają na swojej pamięci, obawiają się tak ważnego hasła zapisać w notesie itp. PUK-u używają incydentalnie, PIN-u często. Dlaczego więc zdarzają się taki sytuacje błędnego wpisania trzykrotnie hasła PIN? Tak jak w opisanej historii powodów może być kilka. Hałas w pomieszczeniu utrudniający skupienie się w tak ważnym momencie, presja czasu (konieczność złożenia ważnego dokumentu urzędowego czy przetargowego), gorszy dzień użytkownika podpisu, czy zwykły prozaicznie wciśnięty klawisz Caps Lock.
Sytuacja byłaby dużo gorsza, gdyby mój rozmówca nie znał lub nie odnalazł zapisanego w sobie tylko znanym miejscu hasła PUK. Program PEM-Heart Signature daje możliwość dziesięciokrotnego wpisania PUK w nadziei, że jest to właśnie to. Czasami się udaje. Jeśli nie, karta do składania bezpiecznego podpisu zostaje trwale zablokowana. Jedynym wyjściem jest spotkanie z inspektorem rejestracji CenCert, powtórzenie procedury wystawienia kwalifikowanego podpisu elektronicznego i ponownego wysłuchania: „PUK proszę zapisać w bezpiecznym, tylko sobie znanym miejscu i w sposób, który gwarantuje, że tylko użytkownik będzie wiedział o przeznaczeniu hasła”.