Elektronski podpis ni samo slika podpisa: kaj morajo podjetja in uporabniki vedeti o e-identiteti, storitvah zaupanja in evropski digitalni denarnici

Elektronsko poslovanje se v praksi pogosto začne z zelo preprostim vprašanjem “kdo je na drugi strani zaslona?” Pri papirnem poslovanju je ta odgovor običajno povezan z osebnim dokumentom, fizično prisotnostjo, lastnoročnim podpisom, žigom podjetja ali osebnim stikom. V digitalnem okolju pa takšna logika ni več dovolj. Oseba lahko pogodbo sklene na daljavo, podjetje lahko izda dokument brez fizičnega žiga, uporabnik lahko odpre bančni račun prek mobilne aplikacije, državljan pa lahko dostopa do e-uprave brez obiska urada.

Zato postajajo elektronska identiteta, elektronska identifikacija, avtentikacija in elektronsko podpisovanje temeljne storitve današnjega poslovanja. Uporabljajo se pri dostopu do e-uprave, zavarovalnic, spletnega in mobilnega bančništva ter pri podpisovanju pogodb na daljavo. Njihova vrednost ni le v tem, da nadomestijo papir, temveč v tem, da omogočajo hitrejše, bolj sledljive in pravno varnejše postopke.

Vendar se za navidezno preprostim klikom na gumb »podpiši« skriva več pravnih in tehničnih razlik. Elektronski podpis ni vedno enak elektronskemu podpisu. Nekateri podpisi so uporabni predvsem kot dokaz, da je uporabnik nekaj potrdil, drugi omogočajo precej večjo dokazno zanesljivost, kvalificirani elektronski podpis pa ima v Evropski uniji poseben položaj, saj ima enakovreden pravni učinek kot lastnoročni podpis.

Kaj je elektronska identiteta?

Elektronska oziroma digitalna identiteta je način, kako se pravna identiteta osebe predstavi in potrdi v elektronskem okolju. Pomeni, da se posameznik, podjetje ali druga organizacija v digitalnem prostoru ne predstavlja le z uporabniškim imenom, temveč z identiteto, ki je lahko povezana z uradnimi evidencami, kvalificiranimi potrdili, elektronskimi identifikacijskimi sredstvi ali drugimi zaupanja vrednimi podatki.

Pravna identiteta posameznika pomeni nabor podatkov, ki določeno osebo razlikujejo od drugih oseb in so zapisani v uradnih evidencah ali identifikacijskih dokumentih. V slovenskem okolju so takšni verodostojni viri na primer centralni register prebivalstva, davčni register in Poslovni register Slovenije.

Pomembno je razlikovati med identifikacijo in avtentikacijo. Identifikacija odgovarja na vprašanje, kdo oseba trdi, da je. Avtentikacija pa preverja, ali je ta trditev verodostojna. Uporabniško ime lahko predstavlja identifikacijo, geslo, enkratna SMS koda, mobilna aplikacija za potrjevanje prijave ali pametna kartica pa so sredstva, s katerimi se uporabnik avtenticira. V uporabi sta oba koraka pogosto združena v en uporabniški postopek, vendar pravno in varnostno ne pomenita iste stvari.

Zakaj klasični dokumenti na spletu ne zadoščajo več?

Osebna izkaznica, potni list in vozniško dovoljenje so odlični dokumenti za fizični svet. V digitalnem okolju pa ne rešijo vseh težav. Skeniran osebni dokument ni enak preverjeni elektronski identiteti. Fotografija dokumenta se lahko posreduje naprej, shrani v nezaščitenem okolju ali zlorabi. Poleg tega sama kopija dokumenta ne dokazuje nujno, da je oseba, ki jo pošilja, res imetnik dokumenta.

Zato se pri elektronskih storitvah uporabljajo elektronska identifikacijska sredstva. To so lahko uporabniško ime in geslo, enkratna SMS koda, mobilna aplikacija za avtentikacijo, pametna kartica, USB žeton, e-osebna izkaznica, račun pri zaupanja vrednem ponudniku identitete ali v prihodnje evropska denarnica za digitalno identiteto.

Pri tem je potrebno razumeti, da niso vsa sredstva enako zanesljiva. Geslo je preprosto, a ranljivo. SMS koda je uporabna, vendar odvisna od mobilnega omrežja in telefonske številke. Mobilna aplikacija je lahko varnejša, če vključuje biometrijo, kriptografske ključe in zaščiteno napravo. Kvalificirana sredstva identifikacije pa se uporabljajo tam, kjer so zahteve po pravni veljavnosti, sledljivosti in dokazljivosti bistveno višje.

Elektronski dokument ni manj vreden samo zato, ker je elektronski

Ena najpogostejših zmot je prepričanje, da ima papirni dokument samodejno večjo pravno težo kot elektronski dokument. To ne drži. Slovenska in evropska ureditev izrecno določata, da elektronskemu dokumentu oziroma podatkom v elektronski obliki ni mogoče odreči veljavnosti ali dokazne vrednosti zgolj zato, ker so v elektronski obliki.

ZEPEP določa, da se podatkom v elektronski obliki ne sme odreči veljavnosti ali dokazne vrednosti samo zato, ker so elektronski. Prav tako določa, da je elektronska oblika enakovredna pisni obliki, kadar so podatki dosegljivi in primerni za kasnejšo uporabo. Uredba eIDAS podobno določa, da se elektronskemu dokumentu ne odvzameta pravni učinek in dopustnost kot dokaz v pravnih postopkih samo zato, ker je v elektronski obliki.

To je za podjetja zelo pomembno. Elektronska pogodba, elektronski zapis soglasja, elektronsko oddana izjava ali elektronsko potrjen dokument so lahko pravno relevantni. Glavno vprašanje ni, ali je dokument elektronski, temveč ali je mogoče dokazati njegovo vsebino, izvor, celovitost, čas nastanka, identiteto podpisnika in morebitne spremembe.

Elektronski podpis ni ena sama tehnologija

Uredba eIDAS v evropskem prostoru razlikuje več vrst elektronskih podpisov. Najpogosteje se govori o preprostem elektronskem podpisu, naprednem elektronskem podpisu, naprednem elektronskem podpisu, podprtem s kvalificiranim potrdilom, in kvalificiranem elektronskem podpisu.

Preprost elektronski podpis je najširša kategorija. To je lahko klik na gumb, vpis imena v spletni obrazec, potrditveno polje, podpis s prstom na zaslonu, skenirana slika lastnoročnega podpisa ali elektronska potrditev pogojev poslovanja. Tak podpis ni brez vrednosti, vendar je njegova dokazna moč odvisna od okoliščin. Če sistem dobro beleži čas, uporabnika, IP naslov, napravo, potek postopka in vsebino dokumenta, je dokazna vrednost višja. Če gre samo za prilepljeno sliko podpisa v dokumentu, je dokazna vrednost bistveno šibkejša.

Napredni elektronski podpis mora biti zanesljiveje povezan s podpisnikom in podpisanim dokumentom. Namenjen je temu, da omogoča identifikacijo podpisnika, da je ustvarjen s podatki za elektronsko podpisovanje, ki jih podpisnik lahko uporablja pod svojim nadzorom, in da je povezan s podpisanimi podatki tako, da je mogoče zaznati kasnejše spremembe.

Napredni elektronski podpis, podprt s kvalificiranim potrdilom, je vmesna stopnja, ki povezuje prednosti naprednega podpisa s kvalificiranim potrdilom za elektronski podpis. To lahko v številnih poslovnih primerih pomeni dobro ravnotežje med uporabnostjo, stroškom, dokazno vrednostjo in pravno varnostjo.

Kvalificirani elektronski podpis je najvišja raven. Ima enakovreden pravni učinek kot lastnoročni podpis. Hkrati pa se drugim elektronskim podpisom ne sme odreči pravnega učinka ali dopustnosti kot dokaz zgolj zato, ker niso kvalificirani.

Rekono, SI-PASS in Halcom

Slovenski uporabnik se pri elektronski identiteti in podpisovanju najpogosteje sreča s storitvami, kot so Rekono, SI-PASS in Halcom. SI-PASS je državna storitev za spletno prijavo in e-podpis, ki deluje v okviru SI-TRUST oziroma Državnega centra za storitve zaupanja, uporabnikom pa omogoča prijavo v elektronske storitve in podpisovanje dokumentov s kvalificiranim digitalnim potrdilom SI-PASS-CA. Halcom je eden od uveljavljenih ponudnikov kvalificiranih digitalnih potrdil in storitev zaupanja, ki jih pogosto uporabljajo podjetja, banke in poslovni uporabniki; njegova potrdila so med podprtimi možnostmi tudi pri podpisovanju prek SI-PASS. Rekono pa je pomemben predvsem kot sodobna rešitev za elektronsko identiteto, prijavo in podpisovanje na daljavo. Uporabniku omogoča, da dokument podpiše prek mobilne aplikacije Rekono OnePass ali spletnega vmesnika, pri čemer Rekono Sign podpira tudi kvalificirani elektronski podpis na daljavo v skladu z uredbo eIDAS. To je posebej uporabno za podjetja, ki želijo v svoje spletne portale, pogodbeno poslovanje ali oblačne storitve vključiti pravno zanesljivo podpisovanje brez fizične prisotnosti podpisnika.

Kdaj je potreben kvalificirani elektronski podpis?

Za vsak dokument ni potreben kvalificirani elektronski podpis. Če podjetje za vsako interno potrditev, vsako manj tvegano soglasje ali vsak operativni dokument zahteva najvišjo obliko podpisa, lahko po nepotrebnem zaplete procese in poveča stroške. Če pa za pomembne pogodbe, regulirane postopke ali dokumente z visoko dokazno vrednostjo uporabi prešibek podpis, si lahko ustvari pravno tveganje.

Kvalificirani elektronski podpis je najbolj smiseln tam, kjer zakon zahteva lastnoročni podpis oziroma kjer je zaradi pravne varnosti nujno, da ima elektronski podpis enakovreden učinek kot lastnoročni podpis. Pri običajnih poslovnih razmerjih pa je izbira odvisna od tveganja. Pogodba o zaposlitvi, posojilna pogodba, pogodba z visoko vrednostjo, dokumenti finančnih institucij, soglasja v reguliranih postopkih in dokumenti, pri katerih je verjetnost spora večja, zahtevajo višjo raven dokazljivosti.

Interna potrdila, manj tvegani dogovori, operativni obrazci in soglasja z nizko vrednostjo lahko v nekaterih primerih zadostujejo z naprednim ali celo preprostim elektronskim podpisom, če je postopek dobro dokumentiran. Pri tem je bistveno, da podjetje ne izbira podpisa samo po ceni ali enostavnosti, temveč po pravnem tveganju in dokazni vrednosti.

Elektronski podpis, elektronski žig in časovni žig so trije različni pojmi

Najpogosteje se mešajo elektronski podpis, elektronski žig in elektronski časovni žig.

Elektronski podpis je vezan na fizično osebo. Uporablja se takrat, ko je pomembno, da določena oseba izrazi voljo, potrdi dokument ali prevzame odgovornost za podpisano vsebino.

Elektronski žig je bližje digitalnemu žigu organizacije. Namenjen je potrditvi izvora in celovitosti dokumenta, ki ga izda pravna oseba. Če podjetje izda elektronski dokument, lahko elektronski žig potrjuje, da dokument izvira iz tega podjetja in da po izdaji ni bil spremenjen. To je posebej uporabno pri računih, potrdilih, izpisih, uradnih obvestilih in množično izdanih dokumentih.

Elektronski časovni žig pa dokazuje, da je določen elektronski podatek obstajal v določenem trenutku. V poslovanju je to pomembno pri rokih, oddaji ponudb, dokazovanju časa podpisa, arhiviranju in vseh primerih, kjer ni dovolj vedeti samo, kdo je podpisal, temveč tudi kdaj je dokument obstajal ali bil potrjen.

Podpis ni dovolj, če dokument kasneje ni dokazljiv

Podjetja se pogosto osredotočijo samo na podpisovanje, zanemarijo pa hrambo. To je napaka. Elektronsko podpisan dokument mora ostati dostopen, berljiv, celovit in dokazljiv tudi čez več let. Če podjetje dokument shrani v neurejeno mapo, izgubi metapodatke, ne preverja veljavnosti potrdil ali nima jasnih pravil hrambe, se lahko dokazna vrednost sčasoma zmanjša.

ZEPEP določa, da mora elektronski dokument ostati dosegljiv in primeren za kasnejšo uporabo, verodostojno predstavljati vsebino, omogočati ugotovitev izvora ter v zadostni meri onemogočati neopazno spremembo vsebine oziroma zagotavljati zanesljivo jamstvo nespremenljivosti. Pri varni hrambi po ZVDAGA so posebej poudarjene dostopnost, uporabnost in celovitost gradiva.

Evropska denarnica za digitalno identiteto

Eden najpomembnejših premikov prihodnjih let je evropska denarnica za digitalno identiteto oziroma EUDI Wallet. Gre za mobilno aplikacijo oziroma digitalno okolje, ki ga bodo države članice zagotavljale državljanom in rezidentom ter bo omogočalo varno spletno in nespletno identifikacijo pri javnih in zasebnih storitvah po vsej Evropi.

Digitalna denarnica ne bo namenjena samo prijavi v e-upravo. Namenjena bo tudi dokazovanju atributov. Atribut je posamezen podatek o osebi ali organizaciji, na primer ime, starost, naslov, izobrazba, vozniško dovoljenje, status študenta, pooblastilo za zastopanje podjetja ali poklicna kvalifikacija. Bistvena novost je, da uporabniku ne bo treba vedno razkriti vseh podatkov, temveč samo tiste, ki so potrebni za konkretno storitev.

Pri preverjanju starosti za dostop do storitve denimo ni nujno razkriti celotnega datuma rojstva, naslova in številke dokumenta, temveč samo potrditev, da oseba izpolnjuje starostni pogoj. To je pomembno tudi z vidika varstva osebnih podatkov, saj digitalna identiteta ne sme postati orodje za pretirano zbiranje podatkov, ampak za nadzorovano, namensko in preverljivo dokazovanje.

Evropska poslovna denarnica in identiteta organizacij

Poleg osebne digitalne identitete se vse bolj odpira tudi vprašanje poslovne identitete. Podjetja v digitalnem okolju ne potrebujejo samo dokazila, da obstajajo. Potrebujejo tudi dokazila o zastopnikih, pooblastilih, poslovnih atributih, davčnem statusu, dovoljenjih in drugih podatkih, ki se uporabljajo v čezmejnem poslovanju.

Za podjetja bi lahko poslovna denarnica pomenila veliko spremembo. Namesto pošiljanja izpiskov iz poslovnih registrov, skeniranih pooblastil, potrdil in obrazcev bi lahko pooblaščena oseba digitalno dokazala, da sme zastopati podjetje, podpisati pogodbo, oddati ponudbo ali prevzeti obveznost. To bi lahko poenostavilo javna naročila, čezmejne pogodbe, bančne postopke, davčne obveznosti in poslovanje z dobavitelji.

Prava izbira podpisa je poslovna in pravna odločitev

Elektronski podpis je lahko zelo preprost ali zelo močan. Njegova vrednost ni v videzu podpisa, temveč v dokazljivosti postopka, povezavi s podpisnikom, zaščiti dokumenta in pravnem učinku. Preprost podpis je uporaben, vendar ima omejeno dokazno moč. Napredni podpis zagotavlja višjo raven povezave med podpisnikom in dokumentom. Kvalificirani elektronski podpis pa je najvišja raven in ima v EU enakovreden pravni učinek kot lastnoročni podpis.

Evropska digitalna identitetna denarnica bo ta prostor dodatno spremenila, ker bo uporabnikom omogočila varnejše dokazovanje identitete in izbranih osebnih atributov, podjetjem pa bo evropska poslovna denarnica lahko poenostavila dokazovanje poslovne identitete in pooblastil. Digitalno poslovanje bo zato vse manj temeljilo na skeniranih dokumentih in vse bolj na preverljivih elektronskih dokazilih, kvalificiranih storitvah zaupanja in standardiziranih evropskih okvirih.