Uredba o e-podpisu v drugo
Da bi zagotovili veljavnost elektronskega podpisovanja, ga je treba umestiti v pravni okvir. Podobno kot drugje imamo tudi v Sloveniji ustrezno pravno ureditev (od leta 2000). Ta je nastala (ZEPEP) na osnovi evropske Direktive 1999/93. Zaradi njene ohlapnosti pri implementaciji je Evropska komisija leta 2014 omejila pravila z Uredbo (EU) o elektronski identifikaciji in storitvah zaupanja za elektronske transakcije, krajše eIDAS. Letos smo dobili različico 2.0.
Aljoša Jerman Blažič, dr. Davorka Šel
Namen pravne ureditve je preprečiti diskriminacijo elektronske oblike v primerjavi z drugimi samo zato, ker je … elektronska. To pomeni, da pravnega učinka samo zaradi obličnosti (identitete, podpisa, dokumenta …) ne moremo odvzeti. V nasprotju z direktivo uredba namesto usmeritev določa neposredno upoštevanje določb. Seveda daje državam EU na posameznih področjih še vedno nekaj prostih rok, a o tem malo kasneje.
Z direktivo je Evropska unija poskusila doseči harmonizacijo v vseh članicah, vendar ji zaradi ohlapnosti samega instrumenta to ni najbolj uspelo. Vsaka članica je po svoje interpretirala navodila in jih prenesla v nacionalno zakonodajo. Uredba je bolj striktna, vendar Unija tudi pri tem ni bila najbolj učinkovita, tako da se je kakofonija še nadaljevala. Različica 2.0 poskuša to popraviti.
Elektronska identiteta
Elektronska identifikacija je prvo poglavje Uredbe. Gre za sredstvo, elektronsko seveda, in postopek uporabe osebnih identifikacijskih podatkov za enolično interpretacijo fizične (ali pravne osebe) v digitalnem okolju. Osebni identifikacijski podatki ločijo posamezne entitete med seboj na nedvoumen način in jih dejansko uporabljamo tudi pri podpisovanju. Da bi zagotovili sprejemljivost sredstev elektronske identifikacije na enak način, je treba vzpostaviti enotne mehanizme za zajem, preverjanje, uporabo in upravljanje teh podatkov, saj Uredba nalaga, da moramo identitete, izdane v eni državi, prepoznati tudi v drugi.
Ena izmed pomembnejših novosti novost eIDAS 2.0 so e-denarnice, ki so tako dobile podlago tudi v zakonodaji. Namenjene niso samo javni upravi oziroma storitvam javne uprave, ampak tudi gospodarskemu sektorju, kjer je zagotovo največ povpraševanja po verodostojni identifikaciji oseb na daljavo.
Elektronski podpisi in storitve zaupanja
Pravni okvir zajema vse oblike podpisov, ustvarjenih z elektronskimi sredstvi. Tehnološki nabor je torej širok in ne vedno enako varen. Zato Uredba loči med navadnimi, naprednimi in kvalificiranimi elektronskimi podpisi. Razlika je v varnosti uporabe in zato stopnji zaupanja. Navadni podpis je lahko karkoli, tudi samo izbira gumba za strinjanje na spletišču. Podpis je tudi vnos kode PIN pri bančni transakciji (ta je učinkovito zamenjala podpisovanje papirnatih izpiskov na terminalih POS). Napredni podpis mora vključevati že nekatere dodatne kontrole in tehnike, da je identifikacija podpisnika nedvoumna, medtem ko je kvalificirani podpis zgolj tisti, ustvarjen na osnovi kvalificiranega digitalnega potrdila, ki ga je izdal (kvalificirani) izdajatelj za namen podpisovanja (potrdilo sicer lahko uporabimo tudi za varno prijavo – avtentikacijo ali šifriranje).
Kar zadeva definicije elektronskih podpisov, novela ne prinaša sprememb. Prav tako se z novo Uredbo niso spremenili pravni učinki elektronskih podpisov. V zvezi z naprednimi elektronskimi podpisi bo šele leta 2026 jasno, ali bo Komisija določila seznam standardov, po katerih naj bi bili ti podpisi izvedeni.
Kvalificirani podpis Uredba deklarira kot enakovrednega lastnoročnemu. Pri tem je treba posebej poudariti, da v nasprotju z zmotnim prepričanjem dela javnosti to ni edini podpis, ki nadomešča lastnoročnega. Razlika je zgolj v tem, da je kvalificirani privzeto veljaven, pri vseh drugih oblikah podpisa pa je veljavnost treba naknadno dokazovati, seveda če do take potrebe (sploh) pride. Obstaja še ena oblika podpisa, zajem lastnoročnega (s podpisno tablico), ki bi ga glede na pravni red večinoma uvrstili med napredne, vendar tukaj nastaja precejšnja zmeda med članicami. Grčija je, recimo, tak podpis (mimo Uredbe) kar uzakonila in mu dodelila enak status kot lastnoročnemu. V Sloveniji pa tako obliko podpisovanja prepoznava pred Uredbo objavljen Zakon o varstvu dokumentarnega in arhivskega gradiva ter arhivih – ZVDAGA, saj gre dejansko za faksimile podpisa, kot bi ga skenirali na dokumentu. Če vključimo pri zajemu še biometrijo samega podpisa, postane ta z vidika varnosti tehnološko povsem enakovreden kvalificiranemu podpisu.
Bistvo elektronskega podpisa je, da povezuje podpisnika z vsebino na nedvoumen način in da prepreči (neavtorizirano) poseganje v vsebino (zagotavljanje integritete). Pri storitvah zaupanja se je predhodna Uredba spotikala, saj ji ni uspelo vzpostaviti enotnega pogleda na celoten redosled korakov do elektronskega podpisa. Tehnika podpisovanja je relativno neposredna, do zmede lahko pride pri pridobivanju sredstev za podpisovanje.
Tukaj imajo osrednjo vlogo digitalna potrdila, ki povezujejo imetnika (fizično ali pravno osebo) s sredstvi za podpis (šifrirnimi ključi). Če taka potrdila izdaja subjekt (overitelj), organiziran po črki zakona, lahko vzpostavimo zaupanja v identiteto in tako ustvarjen podpis. Za pridobitev statusa ponudnika storitev zaupanja, sploh kvalificiranega, veljajo (strogo) določena pravila in (javni) seznami, kjer lahko preverimo, kdo je ponudnik storitev zaupanja (ne nujno kvalificirani).
Uredba je članicam pustila odprte roke pri postopkih pridobivanja potrdil. Neposreden način je fizično izkazovanje identitete (recimo obisk upravne enote), kar je z vidika uporabniške izkušnje nerodno (težko bomo zbrali voljo za obisk upravne enote samo za to, da bi podpisali dokument, čeravno to naredimo samo enkrat). Članice so zato iskale različne prijeme, kako olajšati ta korak. V Sloveniji, recimo, smo se odločili za nalaganje (kvalificiranih) potrdil na nove osebne izkaznice. Drugi so vpeljali sisteme video identifikacije, kar pa predstavlja takojšen problem, če ena članica takega postopka ne priznava in se seveda potem tudi otepa priznavanja tako izdanih kvalificiranih potrdil (in torej tudi na tak način kreiranih podpisov).
Kaj je bistveno novega?
Nove zahteve niso povezane samo z Uredbo, ampak tudi z Direktivo NIS-2 in novelo Zakona o informacijski varnosti. Ponudniki storitev (zaupanja) so zdaj dolžni izvajati dodatne ukrepe za obvladovanje tveganj ter priglasiti vse incidente nadzornemu organu. Na ta način so uporabniki storitev zaupanja (kvalificiranih in nekvalificiranih) bolj zaščiteni, kar je dobro. Prav tako se odgovornosti z novo Uredbo spreminjajo na način, da je dokazno breme na ponudnikih kvalificiranih storitev zaupanja in ne na uporabniku. Nova Uredba določa še konkretne sankcije (kazni), zato lahko pričakujemo krepitev zaupanja v elektronski način poslovanja.
Poleg overiteljev Uredba vključuje še druge subjekte, na primer ponudnike elektronskega podpisovanja, časovnega žigosanja, potrjevanja in hrambe podpisov, elektronske priporočene dostave … in po novem ponudnike elektronske hrambe (podpisov in/ali dokumentov), upravljanja naprav za ustvarjanje kvalificiranega elektronskega podpisa na daljavo, kvalificirane elektronske evidence in izdajatelje potrdil o atributih. Nabor je širok, javnosti pa omogoča, da lažje razširi načine digitalnega poslovanja.
Na področju e-podpisov je tudi nekaj sprememb. Dobrodošli sta ureditev priznavanja in objavljanja seznama ponudnikov storitev e-podpisovanja (in ne samo izdajateljev digitalnih potrdil ali časovnih žigov, kot smo poznali do zdaj) ter spodbuda uporabe naprednih podpisov, ki so za uporabnika prijaznejši.
Izpostaviti velja storitvi hrambe podpisov in elektronske hrambe dokumentov. Vrednost oziroma veljavnost elektronskih dokumentov s podpisi z leti degradira in povsem razvodeni, ko preteče digitalno potrdilo. Od takrat dalje tako ustvarjen podpis ni več veljaven. To rešujejo posebne tehnike zaščite podpisov in njihovega obnavljanja.
Velika novost Uredbe je Elektronska denarnica. Ta bo postala legitimno sredstvo identifikacije in zbirališče različnih dokumentov, kot sta potni list, vozniško dovoljenje idr. O tem smo že pisali, pomembno pa je, da poleg implementacijskih prizadevanj (nove denarnice naj bi dobili do leta 2026) dobivamo tudi pravno podlago z namenom, da bodo take denarnice prepoznane na celotnem območju EU. Recimo slovensko mobilno vozniško dovoljenje bo moral sprejeti španski policist.
Zanimivo je, da predvideva Uredba uporabo denarnic tudi za (kvalificirano) podpisovanje. Ta novost je sicer precejšna zagata za ponudnike storitev podpisovanja (denarnice bodo za uporabnike brezplačne), zato je Komisija vendarle pozvala, da se tako podpisovanje ne uporablja za poklicne namene. Z drugimi besedami, podpis z denarnico bo lahko izvedel državljan zgolj za lastne potrebe (ne pa, recimo, banka za svoje komitente).
Drugo pomembno novost najdemo v 63. točki uvodnika. Zaradi nerodnosti uporabe kvalificiranih potrdil so se izjemno razširili napredni podpisi, ki v Sloveniji prednjačijo (saj obisk upravne enote za to ni potreben). To, kar so ponudniki storitev podpisovanja vedno znova zagovarjali, je zdaj zapisano tudi v Uredbi: države članice bi morale upoštevati načelo sorazmernosti med pravno vrednostjo dokumenta, ki ga je treba podpisati, ter ravnjo varnosti in stroški, ki jih zahteva elektronski podpis. Da bi izboljšale dostopnost in povečale uporabo elektronskih podpisov, države članice spodbuja, naj razmislijo o uporabi naprednih elektronskih podpisov pri vsakodnevnih transakcijah, za katere ponujajo zadostno raven varnosti in zaupanja.