Регулатива електронског потписа
Већ 1999. године Европска унија усваја Директиву 1999/93/EC о електронским потписима, чиме је први пут успостављен правни оквир за признање електронских потписа унутар земаља чланица. Циљ ове директиве био је стварање поверења у електронску комуникацију и подстицање развоја дигиталне економије у ЕУ. Директива је признала правну ваљаност електронских потписа и дефинисала основне појмове, али је оставила знатан простор за различите приступе међу државама чланицама. Паралелно, у Сједињеним Америчким Државама донет је Electronic Signatures in Global and National Commerce Act (E-SIGN Act) 2000. године.
У Републици Србији, први закон који је уређивао ову област био је Закон о електронском потпису из 2004. године. Иако је овај закон представљао значајан корак, његово нормативно решење није било у потпуности усклађено са убрзаним развојем дигиталне технологије, нити је садржавало детаљна правила о електронским документима, идентификацији и услугама од поверења. Закон се у пракси није широко примењивао, највише због недостатка инфраструктуре и поверења тржишта у сигурност електронског потписа.
Због неуједначене праксе и ограничења ранијих прописа, Европска унија доноси Уредбу (ЕУ) бр. 910/2014, познату као eIDAS (electronic IDentification, Authentication and trust Services). За разлику од директиве, eIDAS је правно обавезујућа у целини и директно применљива у свим државама чланицама од 1. јула 2016. године. Ова уредба уводи строжу стандардизацију електронског потписа, квалификованих сертификата, електронског печата и временског жига.
На основу тих стандарда, Србија је 2017. године усвојила Закон о електронском документу, електронској идентификацији и услугама од поверења у електронском пословању. Овим законом су између осталог:
- прецизно дефинисани појмови електронског потписа и његове врсте
- уређени статус и обавезе пружалаца услуга од поверења
- успостављени правни ефекти електронског документа и потписа
- омогућено равноправно коришћење електронских доказа у правном промету.
Тиме се домаће законодавство приближило европским стандардима и обезбеђен је основ за унапређење електронског пословања у Србији, али и прекогранично.
Из угла Закона постоје три врсте електронског потписа:
- Једноставан или обичан електронски потпис (SES) – представља електронски потпис који не испуњава услове да се сматра напредним, односно потпис који укључује било који електронски податак који потписник користи да означи свој пристанак (нпр. скениран потпис). Има ограничену правну тежину и подложан је оспоравању.
- Напредни електронски потпис (AES) – технички софистициранији, заснива се на асиметричној криптографији (јавног и приватног кључа) и омогућава идентификацију потписника, као и откривање било какве накнадне измене документа. Нема аутоматску правну снагу својеручног потписа, али има значајну доказну вредност.
- Квалификовани електронски потпис (QES) – издаје га квалификовани пружалац услуга од поверења, у складу са посебним правилима и има исту правну снагу као својеручни потпис у складу са Законом и уредбом eIDAS.
Квалификовани електронски потпис (QES)
Квалификовани електронски потпис (QES) представља највиши ниво поузданости у дигиталном окружењу. Иако се већина комерцијалних платформи претежно користи за једноставан (SES) и напредни електронски потпис (AES), многе од њих омогућавају и интеграцију са квалификованим пружаоцима услуга поверења (QTSP) ради издавања и коришћења QES потписа.
Због своје сложености, QES се може издавати искључиво путем овлашћених QTSP организација, које обезбеђују и квалификовани сертификат и квалификовано средство за креирање потписа (QSCD). Употребљава се у ситуацијама када је потребан ниво правне сигурности и доказне снаге еквивалентан својеручном потпису.
QES се, дакле, користи у ситуацијама где закон изричито допушта дигиталну замену физичког потписа, нарочито у области комуникације са органима јавне власти, потписивања уговора веће правне тежине и давања изјава воље са доказним ефектима.
Технички и безбедносни услови
Да би електронски потпис био квалификован, морају бити испуњени следећи кумулативни услови:
- Потпис мора испуњавати све захтеве напредног електронског потписа (AES), тј. бити:
- јединствено повезан са потписником
- подобан да идентификује потписника
- израђен коришћењем података под искључивом контролом потписника
- повезан са потписаним подацима тако да свака накнадна измена може бити откривена.
- Потпис мора бити израђен помоћу квалификованог средства за креирање потписа (QSCD) и уз употребу квалификованог сертификата издатог од овлашћеног QTSP организације.
- Сертификат и QSCD морају бити уписани у јавни регистар квалификованих пружалаца – у Србији га води Министарство информисања и телекомуникација, а у ЕУ евиденцију води ENISA кроз тзв. EU Trusted List.
Издавање квалификованих сертификата
У Републици Србији квалификоване сертификате издају само QTSP организације уписане у регистар Министарства информисања и телекомуникација. Најпознатији међу њима су:
- Пошта Србије (eID квалификовани потпис)
- Halcom d.o.o.,
- Привредна комора Србије
- Министарство унутрашњих послова РС
- и други акредитовани субјекти.
Квалификовани сертификати имају ограничен рок важења, најчешће од једне до три године. QTSP је дужан да изврши опозив на захтев корисника, у случају компромитације приватног кључа, престанка рада QTSP-а, смрти или губитка правне способности потписника.
Опозив мора бити објављен најкасније у року од 24 часа, а корисник је дужан да одмах реагује у случају сумње на угрожавање безбедности.
У оквиру ЕУ, најзначајније QTSP организације су:
Chambersign (Француска), D-Trust (Немачка), Namirial и InfoCert (Италија), Swisscom (Швајцарска) и GlobalSign (Белгија).
QTSP има обавезу да:
- верификује идентитет физичког или правног лица
- обезбеди квалификовано средство (нпр. смарт картицу, УСБ токен, HSM или клауд QSCD)
- води регистар издатих и опозваних сертификата
- омогући опозив сертификата најкасније у року од 24 часа у случају угрожавања безбедности.
Правно дејство, доказна снага и употреба у пракси
Квалификовани електронски потпис ужива пуну правну снагу и обезбеђује пресумпцију аутентичности, јер се у правном промету сматра да документ потписан QES-ом потиче од потписника, осим ако се не докаже супротно. Доказивање против валидности QES-а могуће је само у изузетним случајевима, нпр. када постоји доказ о злоупотреби квалификованог средства, компромитацији приватног кључа или изостанку стварне воље потписника.
QES се у пракси користи како у јавном сектору (на пример, за приступ и остваривање права преко е-управе), али и у привреди односно привредном сектору, где се појављује као легалан и легитиман начин за закључивање уговора, односно поштовање форми потписа, где то законом није искључено. А искључено је у ситуацијама у којим законодавац захтева неку посебну форму, попут солемнизације пред јавним бележником у вези са прометом непокретности или када закон изричито прописује обавезну материјалну, дакле, папирну форму уговора.
Комерцијалне платформе као што су DocuSign, Adobe Acrobat Sign и Namirial омогућавају интеграцију са QTSP организацијама и употребу QES потписа у пословним процесима:
- DocuSign нуди опцију „Qualified Signatures“ преко партнера из ЕУ
- Adobe Sign подржава потписивање са квалификованим сертификатима и временским жигом
- Namirial омогућава коришћење HSM или клауд QSCD решења у складу са eIDAS стандардима.
Квалификовани електронски потпис (QES) представља врхунац дигиталне правне сигурности. Иако његово коришћење захтева сложенију инфраструктуру и строже техничке стандарде, заузврат пружа највиши ниво правне заштите и доказне снаге која је једнака својеручном потпису.
У пракси, AES и SES потписи задовољавају већину свакодневних комерцијалних потреба, док се QES користи када је потребно гарантовати пуноважност, идентитет и интегритет документа у складу са законом.
