Kvalifikovani elektronski potpis (QES)

Regulativa elektronskog potpisa

Već 1999. godine Evropska unija usvaja Direktivu 1999/93/EC o elektronskim potpisima, čime je prvi put uspostavljen pravni okvir za priznanje elektronskih potpisa unutar zemalja članica. Cilj ove direktive bio je stvaranje poverenja u elektronsku komunikaciju i podsticanje razvoja digitalne ekonomije u EU. Direktiva je priznala pravnu valjanost elektronskih potpisa i definisala osnovne pojmove, ali je ostavila znatan prostor za različite pristupe među državama članicama. Paralelno, u Sjedinjenim Američkim Državama donet je Electronic Signatures in Global and National Commerce Act (E-SIGN Act) 2000. godine.

U Republici Srbiji, prvi zakon koji je uređivao ovu oblast bio je Zakon o elektronskom potpisu iz 2004. godine. Iako je ovaj zakon predstavljao značajan korak, njegovo normativno rešenje nije bilo u potpunosti usklađeno sa ubrzanim razvojem digitalne tehnologije, niti je sadržavalo detaljna pravila o elektronskim dokumentima, identifikaciji i uslugama od poverenja. Zakon se u praksi nije široko primenjivao, najviše zbog nedostatka infrastrukture i poverenja tržišta u sigurnost elektronskog potpisa.

Zbog neujednačene prakse i ograničenja ranijih propisa, Evropska unija donosi Uredbu (EU) br. 910/2014, poznatu kao eIDAS (electronic IDentification, Authentication and trust Services). Za razliku od direktive, eIDAS je pravno obavezujuća u celini i direktno primenljiva u svim državama članicama od 1. jula 2016. godine. Ova uredba uvodi strožu standardizaciju elektronskog potpisa, kvalifikovanih sertifikata, elektronskog pečata i vremenskog žiga.

Na osnovu tih standarda, Srbija je 2017. godine usvojila Zakon o elektronskom dokumentu, elektronskoj identifikaciji i uslugama od poverenja u elektronskom poslovanju. Ovim zakonom su između ostalog:

• precizno definisani pojmovi elektronskog potpisa i njegove vrste
• uređeni status i obaveze pružalaca usluga od poverenja
• uspostavljeni pravni efekti elektronskog dokumenta i potpisa
• omogućeno ravnopravno korišćenje elektronskih dokaza u pravnom prometu.

Time se domaće zakonodavstvo približilo evropskim standardima i obezbeđen je osnov za unapređenje elektronskog poslovanja u Srbiji, ali i prekogranično.

Iz ugla Zakona postoje tri vrste elektronskog potpisa:

1. Jednostavan ili običan elektronski potpis (SES) – predstavlja elektronski potpis koji ne ispunjava uslove da se smatra naprednim, odnosno potpis koji uključuje bilo koji elektronski podatak koji potpisnik koristi da označi svoj pristanak (npr. skeniran potpis). Ima ograničenu pravnu težinu i podložan je osporavanju.
2. Napredni elektronski potpis (AES) – tehnički sofisticiraniji, zasniva se na asimetričnoj kriptografiji (javnog i privatnog ključa) i omogućava identifikaciju potpisnika, kao i otkrivanje bilo kakve naknadne izmene dokumenta. Nema automatsku pravnu snagu svojeručnog potpisa, ali ima značajnu dokaznu vrednost.
3. Kvalifikovani elektronski potpis (QES) – izdaje ga kvalifikovani pružalac usluga od poverenja, u skladu sa posebnim pravilima i ima istu pravnu snagu kao svojeručni potpis u skladu sa Zakonom i uredbom eIDAS.

Kvalifikovani elektronski potpis (QES)

Kvalifikovani elektronski potpis (QES) predstavlja najviši nivo pouzdanosti u digitalnom okruženju. Iako se većina komercijalnih platformi pretežno koristi za jednostavan (SES) i napredni elektronski potpis (AES), mnoge od njih omogućavaju i integraciju sa kvalifikovanim pružaocima usluga poverenja (QTSP) radi izdavanja i korišćenja QES potpisa.

Zbog svoje složenosti, QES se može izdavati isključivo putem ovlašćenih QTSP organizacija, koje obezbeđuju i kvalifikovani sertifikat i kvalifikovano sredstvo za kreiranje potpisa (QSCD). Upotrebljava se u situacijama kada je potreban nivo pravne sigurnosti i dokazne snage ekvivalentan svojeručnom potpisu.

QES se, dakle, koristi u situacijama gde zakon izričito dopušta digitalnu zamenu fizičkog potpisa, naročito u oblasti komunikacije sa organima javne vlasti, potpisivanja ugovora veće pravne težine i davanja izjava volje sa dokaznim efektima.

Tehnički i bezbednosni uslovi

Da bi elektronski potpis bio kvalifikovan, moraju biti ispunjeni sledeći kumulativni uslovi:

1. Potpis mora ispunjavati sve zahteve naprednog elektronskog potpisa (AES), tj. biti:

• jedinstveno povezan sa potpisnikom
• podoban da identifikuje potpisnika
• izrađen korišćenjem podataka pod isključivom kontrolom potpisnika
• povezan sa potpisanim podacima tako da svaka naknadna izmena može biti otkrivena.

1. Potpis mora biti izrađen pomoću kvalifikovanog sredstva za kreiranje potpisa (QSCD) i uz upotrebu kvalifikovanog sertifikata izdatog od ovlašćenog QTSP organizacije.
2. Sertifikat i QSCD moraju biti upisani u javni registar kvalifikovanih pružalaca – u Srbiji ga vodi Ministarstvo informisanja i telekomunikacija, a u EU evidenciju vodi ENISA kroz tzv. EU Trusted List.

Izdavanje kvalifikovanih sertifikata

U Republici Srbiji kvalifikovane sertifikate izdaju samo QTSP organizacije upisane u registar Ministarstva informisanja i telekomunikacija. Najpoznatiji među njima su:

• Pošta Srbije (eID kvalifikovani potpis)
• Halcom d.o.o.,
• Privredna komora Srbije
• Ministarstvo unutrašnjih poslova RS
• i drugi akreditovani subjekti.

Kvalifikovani sertifikati imaju ograničen rok važenja, najčešće od jedne do tri godine. QTSP je dužan da izvrši opoziv na zahtev korisnika, u slučaju kompromitacije privatnog ključa, prestanka rada QTSP-a, smrti ili gubitka pravne sposobnosti potpisnika.

Opoziv mora biti objavljen najkasnije u roku od 24 časa, a korisnik je dužan da odmah reaguje u slučaju sumnje na ugrožavanje bezbednosti.

U okviru EU, najznačajnije QTSP organizacije su:

Chambersign (Francuska), D-Trust (Nemačka), Namirial i InfoCert (Italija), Swisscom (Švajcarska) i GlobalSign (Belgija).

QTSP ima obavezu da:

• verifikuje identitet fizičkog ili pravnog lica
• obezbedi kvalifikovano sredstvo (npr. smart karticu, USB token, HSM ili klaud QSCD)
• vodi registar izdatih i opozvanih sertifikata
• omogući opoziv sertifikata najkasnije u roku od 24 časa u slučaju ugrožavanja bezbednosti.

Pravno dejstvo, dokazna snaga i upotreba u praksi

Kvalifikovani elektronski potpis uživa punu pravnu snagu i obezbeđuje presumpciju autentičnosti, jer se u pravnom prometu smatra da dokument potpisan QES-om potiče od potpisnika, osim ako se ne dokaže suprotno. Dokazivanje protiv validnosti QES-a moguće je samo u izuzetnim slučajevima, npr. kada postoji dokaz o zloupotrebi kvalifikovanog sredstva, kompromitaciji privatnog ključa ili izostanku stvarne volje potpisnika.

QES se u praksi koristi kako u javnom sektoru (na primer, za pristup i ostvarivanje prava preko e-uprave), ali i u privredi odnosno privrednom sektoru, gde se pojavljuje kao legalan i legitiman način za zaključivanje ugovora, odnosno poštovanje formi potpisa, gde to zakonom nije isključeno. A isključeno je u situacijama u kojim zakonodavac zahteva neku posebnu formu, poput solemnizacije pred javnim beležnikom u vezi sa prometom nepokretnosti ili kada zakon izričito propisuje obaveznu materijalnu, dakle, papirnu formu ugovora.

Komercijalne platforme kao što su DocuSign, Adobe Acrobat Sign i Namirial omogućavaju integraciju sa QTSP organizacijama i upotrebu QES potpisa u poslovnim procesima:

• DocuSign nudi opciju „Qualified Signatures“ preko partnera iz EU
• Adobe Sign podržava potpisivanje sa kvalifikovanim sertifikatima i vremenskim žigom
• Namirial omogućava korišćenje HSM ili klaud QSCD rešenja u skladu sa eIDAS standardima.

Kvalifikovani elektronski potpis (QES) predstavlja vrhunac digitalne pravne sigurnosti. Iako njegovo korišćenje zahteva složeniju infrastrukturu i strože tehničke standarde, zauzvrat pruža najviši nivo pravne zaštite i dokazne snage koja je jednaka svojeručnom potpisu.

U praksi, AES i SES potpisi zadovoljavaju većinu svakodnevnih komercijalnih potreba, dok se QES koristi kada je potrebno garantovati punovažnost, identitet i integritet dokumenta u skladu sa zakonom.