« Secţiuni « Articole « RNSJOpiniiPovestim cărţi
Opinii

10 mituri despre semnătura electronică
25.05.2021 | Costin BURDUN

JURIDICE - In Law We Trust Video juridice
Costin Burdun

Costin Burdun

Conform DEX online “mit” înseamnă, printre altele, și “lucru fictiv”.

În acest articol voi prezenta 10 mituri pe care le-am auzit în diverse contexte în ultimii ani, încercând să motivez de ce consider ca sunt niște mituri.

Mitul 1 – Regulamentul EIDAS definește trei tipuri distincte de semnătură electronică

Când se discută despre semnătura electronică, inevitabil, se face trimitere la definițiile din Regulamentul 910/2014: semnătura electronică, semnătura electronică avansată și semnătura electronică calificată și în toate situațiile se lasă ascultătorilor impresia ca acele trei definiții adresează trei tipuri distincte de semnătura electronică. Ei bine este o impresie falsă.

Din analiza definițiilor pe care le redau mai jos:

• „semnătură electronică” înseamnă date în format electronic, atașate sau asociate logic cu alte date în format electronic și care sunt utilizate de semnatar pentru a semna;

• „semnătură electronică avansată” înseamnă o semnătură electronică ce îndeplinește cerințele prevăzute la articolul 26;

a) face trimitere exclusiv la semnatar;

b) permite identificarea semnatarului;

c) este creată utilizând date de creare a semnăturilor electronice pe care semnatarul le poate utiliza, cu un nivel ridicat de încredere, exclusiv sub controlul său; și

d) este legată de datele utilizate la semnare astfel încât orice modificare ulterioară a datelor poate fi detectată.

• „ semnătură electronică calificată” înseamnă o semnătură electronică avansată care este creată de un dispozitiv de creare a semnăturilor electronice calificat și care se bazează pe un certificat calificat pentru semnăturile electronice.

Rezultă foarte clar că realitatea este cea din figura de mai jos, a cărei sursa este studiul realizat de ENISA (The European Union Agency for Cybersecurity)[1]Security guidelines on the appropriate use of qualified electronic signatures” Guidance for users, Version 2.0, Final, December 2016 și anume mulțimea semnăturilor electronice include mulțimea semnăturilor avansate care, la rândul ei, include semnătura electronică calificată.

Dacă dorim să identificăm categoriile distincte, atunci acestea ar fi următoarele:

– Semnături electronice ne-avansate – este cea denumită “în popor” semnătură electronică simplă;
– Semnături electronice avansate ne-calificate;
– Semnătură electronică calificată.

Și figurativ ar fi așa:

Atrag atenția asupra faptului că pe primele două categorii le-am intitulat “Semnături”, la plural, iar la ultima categorie am specificat “Semnătură electronică calificată”, la singular articulat. Explicația o veți vedea la următoarele mituri.

Mitul 2 – Orice semnătura electronică ne-calificată este automat semnătură electronică avansată

Acest mit se demontează relativ simplu, analizând figurile de mai sus, de la mitul precedent. Cu toate astea, de foarte multe ori mi s-a întâmplat să întâlnesc această gândire sau percepție, că dacă o semnătură nu e calificată, înseamnă că este avansată. Este fals.

În realitate, îndeplinirea celor patru condiții din definiția semnăturii avansate nu este deloc ușoară, astfel că, în foarte multe dintre situații, de fapt, foarte puține tipuri de semnături electronice ne-calificate sunt avansate.

Mitul 3 – Toate semnăturile electronice utilizează aceeași tehnologie

Analizând definiția „semnătură electronică” din Regulamentul 910/2014, pe care am redat-o la Mitul 1, se poate vedea că vorbim de fapt doar despre un concept abstract care nu se referă la nici o tehnologie specifică. Semnătura electronică se poate realiza prin diferite tehnologii, așa cum se vede și din exemplele de mai jos:

– simpla precizare a numelui semnatarului la sfârșitul unui document electronic se încadrează la definiția semnăturii electronice, sau
– atașarea unei poze a semnăturii olografe, sau chiar a pozei semnatarului la un document se încadrează în definiție, sau
– un scan după un document semnat olograf de semnatar atașat la un e-mail se încadrează în definiție.

Asta înseamnă că o semnătură electronică nu poate fi evaluată/înțeleasă dacă nu se precizează tehnologia (mecanismele tehnice și procedurale) prin care se realizează.

Deci, un tip de semnătură electronică se identifică prin tehnologia prin care se creează, prin tehnologie înțelegându-se mecanismele tehnice și procedurale prin care se realizează.

Acesta este motivul pentru care vorbim de semnături electronice (la plural) pentru că avem atâtea tipuri de semnături electronice câte tehnologii există pentru a le realiza.

Mitul 4 – Semnătura electronică este o semnătură digitală

„Semnătură electronică” este un concept abstract, nu refera nici o tehnologie specifică (mecanism tehnic și procedural) prin care se crează o semnătură electronică.

Semnătura digitală este un mecanism tehnic pentru crearea unei semnături electronice, bazată pe criptarea cu chei publice generate cu ajutorul unei Infrastructuri cu chei publice – PKI (Public Key Infrastructure). Semnătura digitală atașată unui document este de fapt rezultatul criptării acelui document, mai precis al unui rezumat (hash) al acestuia cu o cheie așa numită privată pe care se presupune că numai semnatarul o are. Rezultatul criptării (adică semnătura digitală), asociat documentului electronic, poate fi decriptat cu o cheie publică, unică, asociată acelei chei private. Cheia publică este cunoscută tuturor, în acest fel, oricine poate verifica semnătura documentului. Cel care verifică semnătura calculează, la rândul lui, hash-ul documentului. Dacă hash-ul calculat de cel care verifică semnătura este identic cu cel decriptat din semnătura digitală, înseamnă ca documentul a fost semnat cu certitudine cu cheia privată corespunzătoare acelei chei publice. Dacă nu, înseamnă că nu a fost semnat cu cheia privată asociată sau că documentul a fost modificat între timp. Cheia publică este încorporată într-un așa numit certificat digital care garantează legătura dintre persoana fizică semnatară și perechea cheie publică – cheie privată. Certificatul digital este emis de un prestator de servicii de încredere, el garantând această asociere într-un grad mai mare sau mai mic de încredere.

Mitul 5 – Toate semnăturile electronice avansate utilizează aceeași tehnologie

„Semnătură electronică avansată” este un concept abstract, nu se referă la o tehnologie specifică, ci se poate realiza prin diferite tehnologii (mecanisme tehnice și procedurale) și aceste tehnologii trebuie să asigure îndeplinirea celor patru cerințe din definiția semnăturii electronice avansate, precizate la Mitul 1.

În concluzie, un tip de semnătură electronică avansată nu poate fi evaluată dacă este avansată dacă nu se precizează tehnologia (mecanismele tehnice și procedurale) prin care se realizează și nu se demonstrează îndeplinirea celor patru condiții.

De asemenea, un tip de semnătură electronică avansată se identifică prin tehnologia prin care se creează, prin tehnologie înțelegându-se mecanismele tehnice și procedurale prin care se realizează acea semnătură avansată. Acesta este motivul pentru care vorbim de semnături electronice avansate (la plural) pentru ca avem atâtea tipuri de semnături electronice avansate cate tehnologii există pentru a le realiza.

Mitul 6 – Semnătura calificată nu este o semnătura electronică avansată

Semnătura electronică calificată este un tip de semnătură avansată identificată foarte clar prin tehnologia (mecanismul tehnic și procedural) prin care este creată, și anume, utilizând certificatul calificat și dispozitivul calificat de creare a semnăturii.

Această tehnologie de creare a semnăturii calificate este descrisă și reglementată în detaliu în Regulamentul EIDAS, tocmai în scopul îndeplinirii celor patru condiții ale semnăturii avansate.

Semnătura calificată este UNICUL tip de semnătură avansată pentru care Regulamentul 910/2014 precizează în mod complet tehnologia (mecanismele tehnice și procedurale) utilizată pentru crearea ei. Practic, prin Regulamentul 910/2014 se prezumă faptul că semnătura calificată îndeplinește condițiile din definiția semnăturii avansate.

Acesta este motivul pentru care, la Mitul 1, folosesc exprimarea “Semnătură electronică calificată” (la singular) pentru ca este vorba de o singură tehnologie.

Mitul 7 – Există situații în care este suficientă o semnătură electronică ne-avansată (simplă) pentru a stabili actul de voință al semnatarului

O semnătură electronică simplă, care nu îndeplinește condițiile pentru semnătura avansată, nu poate să fie suficientă pentru a stabili actul de voință al semnatarului pentru că, cele patru condiții cumulate din definiția semnăturii avansate înseamnă, de fapt, “traducerea tehnică” pentru ceea ce reprezintă actul de voință al semnatarului în context digital. Neîndeplinirea oricăreia dintre aceste condiții:

a) face trimitere exclusiv la semnatar;
b) permite identificarea semnatarului;
c) este creată utilizând date de creare a semnăturilor electronice pe care semnatarul le poate utiliza, cu un nivel ridicat de încredere, exclusiv sub controlul său;
d) este legată de datele utilizate la semnare astfel încât orice modificare ulterioară a datelor poate fi detectată, duce la imposibilitatea de a stabili ca acea semnătură electronica reprezintă actul de voință al semnatarului.

O exprimare corectă este următoarea: un anumit mecanism tehnic de creare a unei semnături electronice, utilizat într-un anumit context foarte bine definit, poate duce la crearea unei semnături avansate, dovedindu-se astfel că reprezintă actul de voință al semnatarului. Prin context înțeleg un ansamblu de particularități tehnice și/sau procedurale care vine să “ajute” respectivul mecanism tehnic de creare a unei semnături electronice să îndeplinească toate cele patru condiții din definiția semnăturii avansate. Dar dacă acel context se modifică, calitatea de semnătură avansată se pierde, rezultând crearea doar a unei semnături electronice simple (ne-avansate).

Ca un exemplu, semnarea digitală, ca mecanism tehnic, în funcție de contextul în care este utilizată, poate duce la crearea unei semnături electronice simple (ne-avansate), sau a unei semnături electronice avansate ne-calificate sau a unei semnături electronice calificate. Se poate întâmpla și invers, dacă, de exemplu, la utilizarea unei semnături digitale în scopul creării unei semnături calificate se modifica contextul specific, rezultatul, de fapt, poate fi o semnătură electronică avansată ne-calificată sau doar o semnătură electronică ne-avansata (simplă).

În miturile următoare, vom vedea exemple concrete de cum se modifică, concret, acest context specific.

Mitul 8 – Există o listă prestabilită cu semnături avansate, altele decât cea calificată

Nu există o astfel de listă nici la nivel European și nici la nivel național. Există o listă de mecanisme tehnice la nivel European care specifică formate de semnătură electronică pentru semnătura avansată, dar partea procedurală care să stabilească indubitabil faptul că o semnătură este avansată nu este reglementată în Regulament decât pentru semnătura calificată.

Multitudinea de tehnologii posibile (mecanisme tehnice + PROCEDURALE) pentru crearea unei semnături electronice, fac ca, în lipsa unor reglementari sau standarde clare, calitatea de avansat a unei semnături electronice să nu poată fi stabilită a priori.

Mai mult, asa cum am arătat la mitul 7, un același mecanism tehnic de creare a unei semnături electronice, utilizat într-un anumit context, poate duce la obținerea calității de semnătură avansată, iar într-un alt context nu.

Mitul 9 – Este foarte simplu și ieftin să creezi o semnătură electronică avansată

Pentru a demonta acest mit, voi prezenta un studiu de caz bazat pe serviciile de semnătură electronică furnizate de Docusign, un mare producător la nivel internațional.

Astfel, conform Docusign[2], tipurile de semnături electronice pe care le furnizează sunt cele din figura de mai jos:

Am marcat aceste tipuri de semnături cu culoarea corespunzătoare tipurilor de semnătura prezentate la Mitul 1. Așadar “Electronic signature” și “Express signature”, cele mai utilizate tipuri de semnături de către majoritatea clienților Docusign, nu sunt semnături electronice avansate EIDAS, conform Docusign.

“Electronic signature” este ieftină și simplu de creat… dar nu este o semnătură electronică avansată. Vedeți în figură un exemplu de document semnat cu acest tip de semnătură, “Electronic signature”.

Mitul 10 – Semnătura calificată este mai “birocratică” și mai scumpă decât semnătura avansată ne-calificată

Si pentru demontarea acestui mit, voi utiliza ca studiu de caz, tot produsele Docusign. În figura de mai jos[3] se ilustrează, foarte clar, contextul specific (revedeți mitul 7 referitor la ce reprezintă contextul specific) pentru fiecare dintre tipurile de semnătura electronică create de Docusign.

În această figură cu roșu este evidențiat contextul pentru Express signature (semnătura electronică ne-avansată), apoi cu portocaliu contextul specific pentru EU Advanced Signature (adică semnătură electronică avansată ne-calificată) și, cu verde, EU Qualified Signature.

Se observă că fiecare context specific se bazează pe precedentul, la care se mai adaugă niște standarde.

Standardele ETSI EN 319 411-1 și ETSI TS 102023 precizate la EU Advanced Signature vin cu cerințe foarte multe și detaliate cu privire la procedurile necesare pentru a ajunge să implementezi o semnătură electronică avansată.

Identificarea prealabilă a semnatarului este OBLIGATORIE pentru a crea o semnătură electronică avansată cu Docusign așa cum se poate vedea și în figura de mai jos.[4]

În legătură deci cu acest ultim mit, o primă concluzie este că, cerințele privind identificarea semnatarului sunt aceleași în cazul unei semnături electronice avansate ne-calificate ca și în cazul unei semnături electronice calificate, așa cum rezultă din documentația Docusign, adică “birocrația” legată de identificarea sigură a semnatarului se impune atât pentru semnătura electronică avansată ne-calificată cât și pentru cea calificată și în consecință, dacă ne raportăm la costuri, costul cu identificarea trebuie suportat în ambele situații și este similar.

Mai departe, după identificarea semnatarului, utilizând semnătura electronică calificată în cloud, procesul de semnare calificat este la fel de facil ca și procesul de semnare avansat ne-calificat și costul unei tranzacții cu semnătura calificată este sub 1 EUR pentru semnături ocazionale, ajungând până la câteva zeci de eurocenți per tranzacție în cazul volumelor mari de tranzacții realizate de organizații mari cu multe procese digitalizate.

În schimb, validarea unei semnături calificate de către o parte terță este mult mai facilă și, în consecință, mult mai ieftină decât validarea semnăturilor avansate ne-calificate, din cauza eterogenității tehnologiilor pentru crearea semnăturilor avansate ne-calificate.

Mai mult, în cazul instituțiilor publice, costurile cu validarea semnăturilor electronice avansate ne-calificate sunt mari și din cauza prevederilor art. 27 din Regulamentul EIDAS. Acest articol obligă o instituție publică să accepte, adică să valideze:

• orice tip de semnătură avansată, precum și
• semnătura electronică avansată bazată pe certificat calificat și, de asemenea, și
• semnătura electronică calificată,

în situația în care acea instituție publică decide că acceptă semnătura electronică avansată în cadrul serviciilor sale on-line. O astfel de obligație vine cu costuri foarte mari pentru respectiva instituție publică, mult mai mari decât dacă ar accepta doar semnătura calificată.

Închei prin a spune că nu există soluții universal valabile, dar este universal valabil principiul că informarea și discutarea cu specialiștii (cu experiență dovedită, nu specialiști autoproclamați de care, din păcate, presa este plină) ne ajută să găsim soluția cea mai potrivită pentru fiecare dintre noi.


[1] Disponibil aici
[2] Disponibil aici
[3] Disponibil aici
[4] Disponibil aici


Dr. Costin Burdun, Expert digitalizare ANSSI

* Opinie susținută în legătură cu conferința Semnătura electronică în domeniul juridic, organizată de Societatea de Științe Juridice (SSJ)

 
Secţiuni: Opinii, Selected | Toate secţiunile
Cuvinte cheie: ,
Vă invităm să publicaţi şi dvs., chiar şi opinii cu care nu suntem de acord. JURIDICE.ro este o platformă de exprimare. Publicarea nu semnifică asumarea de către noi a mesajului. Totuşi, vă rugăm să vă familiarizaţi cu obiectivele şi valorile Societătii de Stiinţe Juridice, despre care puteti ciţi aici. Pentru a publica vă rugăm să citiţi Condiţiile de publicare, Politica privind protecţia datelor cu caracter personal şi să ne scrieţi la adresa de e-mail redactie@juridice.ro!

Lex Discipulo Laus Încurajăm utilizarea RNPM - Registrul Naţional de Publicitate Mobiliară Securitatea electronică este importantă pentru avocaţi
Mesaj de conştientizare susţinut de FORTINET
JURIDICE utilizează SmartBill

Faci un comentariu sau dai un răspuns?

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Important: Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile care respectă Politica JURIDICE.ro şi Condiţiile de publicare.


.
PLATINUM Signature      

PLATINUM  ACADEMIC

GOLD                        

VIDEO   STANDARD