Potencijal digitalnog potpisa snažno vidljiv u ovoj korona krizi

E-potpis definira se kao “podaci u elektroničkom obliku koji se prilažu ili logički povezuju s drugim podacima u elektroničkom obliku i koje potpisnik koristi za potpisivanje“. Zakon koji regulira tematiku elektroničkog potpisa u RH zove se „Zakon o provedbi Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća od 23. srpnja 2014. o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ“.

Ovaj zakon je na snazi od srpnja 2017, a sam njegov naziv dosta govori o stanju na tom području. Dakle, elektronički potpis, ili preciznije elektronička identifikacija i usluge povjerenja u RH su regulirani Uredbom (EU) br. 910/2014. uvriježenog naziva eIDAS uredba. eIDAS uredbu su u svoja zakonodavstva implementirale sve članice EU, tvoreći time jedinstveno tržište usluga elektroničke identifikacije i usluga povjerenje.

„IT Sistemi su, u suradnji s dugogodišnjim partnerom, tvrtkom Namirial, na tržište ponudili uslugu ITS Advanced Signature Service. Radi se o usluzi koje se bazira na tehnološkoj platformi eSignAnywhere tvrtke Namirial. SignAnywhere platforma se godinama nalazi „gore desno“, tj. među vodećim rješenjima u relevantnim izvještajima analitičarskih kuća“, ističe Stipe Sumić, Business Development Manager i stručnjak za elektroničko potpisivanje.

On pojašnjava da uz dugogodišnje iskustvo IT Sistema na implementaciji rješenja na navedenoj platformi, u mogućnosti su ponuditi zainteresiranim korisnicima e-potpis u roku 2-3 dana. Praktično, korisnici s određenim vrstama potpisivanja (SMS-OTP, lokalni certifikati) mogu početo odmah po registraciji, pojašnjava Sumić i dodaje da ostale, naprednije vrste potpisa, mogu početi koristiti u najkraćem mogućem roku koji je potreban za rješavanje formalnopravnih preduvjeta.

U sklopu ITS Advanced Signature Service, korisnici pošalju dokument, korištenjem vizualnog alata na dokumentu definiraju potpisna polja, odrede potpisnike i dokument je spreman za potpisivanje.

Za slučajeve kad su potrebne dodatne aplikativne integracije, bilo u smislu automatskog generiranja dokumenata za potpisivanje  i potpisnih workflowa, bilo za integracije vezane za automatizirano pohranjivanje potpisanih dokumenata, na raspolaganju samo za brzu implementaciju korisničkih zahtjeva. Osim što je proizvođač eSignanywhere platforme, Namirial je ujedno i QTSP registriran u Italiji. Ova kombinacija rezultira tijesnom integracijom naprednih usluga povjerenja (s naglaskom na rad s udaljenim kvalificiranim certifikatima, jednokratnim kvalificiranim certifikatima te kvalificiranim vremenskim ovjerama) u samu platformu.

To nam omogućuje da svojim klijentima ponudimo najnapredniju tehnologiju elektroničkog potpisa, u kombinaciji s vrhunskim korisničkim iskustvom, koje višestruko nadmašuje svu dosadašnju ponudu na hrvatskom tržištu, zaključuje Sumić.

Zakonska regulativa

eIDAS uredba sama po sebi predstavlja regulatorni okvir, koji svaka od članica EU mora do kraja definirati vlastitim podzakonskim aktima. Za razliku od prijašnje regulative u ovom području, u kojoj je težište bilo na tehnikalijama vezanim za elektroničke potpise da bi se oni smatrali pravno obvezujućim, eIDAS uredba je ponudila otvoreniji pristup, te je kao najvažnije istakla slobodno i neograničeno izražavanje namjere i volje potpisnika. Time je značajno proširila broj potencijalnih use-caseova i kojima su elektronički potpisi primjenjivi. Ono što su se prije nazivali Certificate Authority (autoriteti), postali su Trust Service Providers (pružatelji usluga).

eIDAS uredbom definirna su tri nivoa elektroničkih potpisa: jednostavni, napredni i kvalificirani. Jednostavni elektronički potpis (Simple Electronic Signature - SES) je bilo koji potpis u digitalnom obliku (npr. navedeni potpis u emailu) i može se promatrati kao “placebo“ jer nema pravnu težinu. Da bi je imao, potrebno je uzeti u obzir integritet dokumenta, kao i revizijske tragove procesnih koraka. Ova vrsta potpisa zahtijeva najjednostavnije procedure, kao i najmanje tehničkih preduvjeta. Obično se svodi na tzv. „HTML potpise“ (zato jer je za njihovu izradu dovoljan standardni HTML preglednik) u koje spadaju tzv. click2sign, draw2sign i type2sign potpisi. Napredni elektronički potpis (Advanced Electronic Signature - AdES) - smatra se “dokazivim“ jer se ovakvim potpisom može identificirati potpisnika. Mora ispunjavati sljedeće zahtjeve na nedvojben način je povezan s potpisnikom, omogućava identificiranje potpisnika, izrađen je korištenjem podacima za izradu elektroničkog potpisa koje potpisnik može, uz visoku razinu pouzdanja, povezan je s njime potpisanim podacima na način da se može otkriti bilo koja naknadna izmjena podataka

U praksi se, kao predstavnici AdES-a najčešće sreću biometrijski potpis (izrađuje se vlastoručnim potpisivanjem elektroničkom olovkom po potpisnom ekranu), te tzv. SMS-OTP potpis (proširenje standardnog clisk2sign potpisa autorizacijom, korištenjem jednokratne lozinke koja se šalje SMS-om na prethodno registrirani broj mobilnog telefona).

Kvalificirani elektronički potpis (Qualified Electronic Signature - QES) je napredni elektronički potpis koji je izrađen pomoću kvalificiranih sredstava za izradu elektroničkog potpisa i temelji se na kvalificiranom certifikatu za elektroničke potpise. Njegov pravni učinak je ekvivalentan vlastoručnom potpisu i ima karakteristiku neporecivosti. Jednostavno rečeno, kvalificirani elektronički potpis povećava razinu sigurnosti onoga što omogućuje napredni elektronički potpis, te ga u praksi nije moguće poreći.

Kvalificirani pružatelji usluga povjerenja (Qualified Trust Service Providers - QTSP) razvili su i certificirali kod regulatornih tijela procese i procedure koje značajno olakšavaju korištenje QES-ova, posebno za krajnje korisnike.

Inicijalno su QES-ovi mogli biti izrađeni isključivo korištenjem kvalificiranih certifikata, koji su se u pravilu nalazili na lokalnim uređajima, USB stickovima ili pametnim karticama. Korištenje ovakvih uređaja vrlo često jako nepraktično. Potreban je čitač kartica, ili upravljački programi specijalizirani upravo za vašu vrstu uređaja, potrebno je pamtiti PIN-ove.

e-Osobna iskaznica kao digitalni potpis

U ovu kategoriju spada i  hrvatska e-osobna iskaznica. Postotak e-osobnih iskaznica na kojim su certifikati aktivirani, koje je moguće umetnuti u vlasnikovo računalo i za koje će vlasnik napamet znati PIN još uvijek nije tržišno interensantan, ali je broj korisnika u porastu. Stanje u Republici Hrvatskoj ne odudara bitno od iskustava u drugim članicama EU, jednostavno zato što operativna procedura kreiranja i korištenja takvih načina potpisivanja od krajnjih korisnika zahtijeva određeni napor koji oni nisu spremni uložiti.

Umjesto lokalnih certifikata, QTSP-ovi su razvili i na tržište ponudili tzv. udaljene kvalificirane certifikate. U ovom scenariju, QTSP u ime nositelja certifikata (fizičke osobe) u svom podatkovnom centru izrađuje, pohranjuje i upravlja certifikatom koji je vlasništvo nositelja certifikata. Pri potpisivanju, nositelj certifikata QTSP-u šalje dokument kojeg je potrebno potpisati, te autorizira korištenje svog certifikata unosom PIN-a. Na ovaj način, ukida se potreba za korištenjem lokalnog hardvera za pohranu certifikata. No, ne ukida se potreba za pamćenjem PIN-a.

Zapravo, između nositelja certifikata i QTSP-a postoji i treća, posrednička strana, a to je tzv. registracijsko tijelo (Local Registration Authority - LRA). LRA je u pravilu pravna osoba koja u ime QTSP-a vrši dio procedura potrebnih za izdavanje certifikata, od kojih je jedna od najvažniji identifikacija (budućeg) nositelja certifikata.

Jednokratni certifikati

Korak dalje kod tehnologije udaljenih certifikata je korištenje tzv. jednokratnih kvalificiranih certifikata. Ovi certifikati se namjerno izrađuju s vrlo kratkim rokom trajanja, te se koriste za potpisivanje samo jedne transakcije. S obzirom na to da se koriste samo jednom, nema smisla za upotrebom PIN-a. Zbog toga su QTSP-ovi uspjeli certificirati procedure po kojima se, u slučaju jednokratnih kvalificiranih certifikata, njihovo izdavanje i upotreba autoriziraju u jednom koraku i to korištenjem jednokratne lozinke koja se šalje SMS-om (tzv. SMS-OTP). Za krajnjeg korisnika to znači da, uz uvjet posjedovanja mobilnog telefona (preciznije, mobilnog plana s uključenom SMS uslugom), može potpisivati dokumente kvalificiranim certifikatom.

Jedan od ključnih koraka u korištenju jednokratnih kvalificiranih certifikata je identifikacija potpisnika. Identifikaciju je moguće obaviti u direktnom fizičkom kontaktu, ali pravu vrijednost ovaj scenarij pokazuje korištenjem udaljene identifikacije korištenjem sredstava za elektroničku videoidentifikaciju. U RH je pravilnik koji propisuje minimalne tehničke uvjete za elektroničku videoidentifikaciju donesen polovinom 2019. godine.

Da bi se pojačala tržišna utakmica na tržištu isporuke usluga povjerenja, eIDAS uredba kaže sljedeće da svaki QTSP u EU mora svoje procedure certificirati kog certifikacijskog tijela u svojoj matičnoj zemlji (u RH je to Ministarstvo gospodarstva, npr. u Italiji je to Agenzia per l'Italia digitale, itd.), jednom kad certificira proceduru u svojoj matičnoj zemlji, QTSP uslugu baziranu na toj certificiranoj proceduri može nuditi u bilo kojoj zemlji članici EU.

Ovo zapravo znači da, npr. talijanski QTSP, jednom kad je certificirao svoju uslugu u Italiji, može tu uslugu nuditi u Hrvatskoj, bez obzira što Hrvatska ima ili nema pravilnike. On radi po talijanskim pravilnicima, a rezultati usluga koje pruža (certifikati i na njima temeljeni elektronički potpisi) su valjani i u Hrvatskoj. Živjela EU.

eIDAS uredba eksplicitno kaže da se elektroničkom potpisu kao dokazu u sudskim postupcima ne smiju uskratiti pravni učinak i dopuštenost samo zbog toga što je on u elektroničkom obliku ili zbog toga što ne ispunjava sve zahtjeve za kvalificirani elektronički potpis. Ova pravna regulacija zapravo govori da je elektronički potpis, neovisno o vrsti, primjenjiv u bilo kojem poslovnom scenariju i u bilo kojem sektoru. Meritum potpisa je izražavanje suglasnosti i pristanka potpisnika s potpisanim sadržajem. Ne tako davno, prije pedesetak godina, u našim krajevima su se i značajne, nekretninske transakcije obavljale pomoću svjedoka i stiskom ruke. I to je vrsta „potpisa“.

Pri odabiru vrste elektroničkog potpisa ponajprije je potrebno odgovoriti na pitanje koliko vjerujete drugoj strani te, ne manje važno, na pitanje kakve tehničke uvjete imate dostupne na mjestu na kojem želite izvršavati potpisivanje.

Način korištenja

Primjerice, na šalterima je uobičajeno korištenje potpisnih ekrana. Oni omogućavaju izradu tzv. biometrijskih potpisa, koji spadaju u kategoriju AdES. Ovi potpisi, iako se na dokumentu vizualno vide kao slika vlastoručnog potpisa, u sebi sadrže mnogo više podataka: nivo pritiska na podlogu pri izradi potpisa, ubrzanje i ritam pisanja. Korištenjem specijaliziranih alata, moguće ih je vještačiti znatno naprednije u odnosu na vlastoručna potpise na papirnim dokumentima. Pored toga, korištenjem unaprijed pohranjenih potpisnih profila, moguće je korištenje biometrijske validacije u realnom vremenu (tj. neposredno pri izradi potpisa). U ovom slučaju, teret dokazivanja u slučaju spora je na strani onog tko prima potpis.

Osim na potpisnim ekranima, biometrijske potpise moguće je izrađivati i na naprednijim modelima moblinih telefona, tj. onim telefonima koji imaju podršku za elektroničke olovke (stylus).

Nadalje, u scenarijima potpisivanja na terenu, ili u scenarijima potpisivanja na korisničkom mobilnom ili PC uređaju, zadnje vrijeme sve popularnije je korištenje tzv. SMS-OTP potpisa. Radi se o click2sign potpisu koji je obogaćen dodatnim korakom autorizacije korištenjem jednokratne lozinke koja se šalje SMS-om. Ovaj potpis popularnost duguje minimalnim tehničkim preduvjetima (browser i mobilni broj), dok istovremeno nudi napredni potpis po eIDAS kategorizaciji.

Za najveću sigurnost, kad je neophodno korištenje kvalificiranih certifikata, trenutno je najpopularnije korištenje jednokratnih kvalificiranih certifikata. Iako se u pozadini zasnivaju na značajno složenijim i strože reguliranim procesima, za krajnjeg korisnika je korištenje takvog potpisa gotovo jednako kao i korištenje SMS-OTP potpisa. Sve što korisnik pri potpisivanju mora napraviti, je prihvaćanje uvjeta korištenja usluge klikom na dijalog, te unos OTP-a koji dobije putem SMS-a. Sve drugo je briga pružatelja usluge, tj. QTSP-a.

Sa zakonodavne i provedbene strane, elektronički potpis može se nazvati zrelom tehnologijom. Isto tako, na tržištu postoje rješenja koja elektronički potpis nude zapakiran u proizvode koji omogućavaju njegovu laku integraciju u postojeće poslovne procese i koji maksimalno olakšavaju u pojednostavljuju upotrebu tehnologije krajnjim korisnicima.

Razloge zašto ta tehnologija (barem do sad) nije ostvarila još jaču penetraciju treba tražiti u birokratskom „mentalitetu pečata“ od kojeg, uz (poslovično) javni, nije imun ni privatni sektor. U pravilu se radi o određenim ulaganjima, ali za koje je ROI vrlo visok. Više od cijene ulaganja, branu predstavlja mentalni napor potreban da bi se prihvatilo da ne postoji „papirni original“. Originalni dokument (izvornik) postaje elektronički.

Svima nama s dugogodišnjim iskustvom borbe s birokratskim staklenim zidovima ove vrste, na neki način je zabavno gledati situaciju u kojoj ti zidovi, u današnjoj situaciji kad fizički kontakt bilo koje vrste predstavlja opasnost za zdravlje, bivaju izbrisani. Najednom je moguće sve ono što smo mi odavno znali i govorili da je moguće, a mnogi oko nas su to osporavali.

Poslovanje bez papira

Uvođenje elektroničkog poslovanja predstavlja „zadnju milju“ na putu do bespapirnog poslovanja. Napredne korporacije u razvijenim gospodarstvima danas u pravilu provode strategije bespapirnog poslovanja, bez backup-a u papirnim procesima. Njima vrlo skoro, kompanije koje posluju papirom neće biti prihvatljivi partneri.

U ovisnosti o vrsti elektroničkog potpisa, postoje različiti pristupi metodologije za utvrđivanje vjerodostojnosti potpisa. Kod standardnih elektroničkih potpisa, vjerodostojnost jamči sustav bilježenja raznih podatka pri potpisu, kojih potpisnik ne mora nužno biti svjestan, a koji mogu pomoći pri analizi vjerodostojnosti potpisa. Radi se o podacima ka što su npr. e-mail adresa na koju je poslan dokument, IP adresa s koje je otvoren dokument, operacije koje su izvršene nad dokumentom, geolokacija s koje je otvoren dokument, podaci o korisniku koji je pristupio dokumentu i sl. Svi navedeni podaci formiraju revizijski trag, te se zajednički pohranjuju u dokument, koji se sam za sebe odvojeno potpiše certifikatom, čime se jamči njegov integriteti  nepromjenjivost.

Napredni elektronički potpisi omogućavaju dodatne mehanizme provjere vjerodostojnosti. S obzirom na to da oni u pravilu sadržavaju biometrijske podatke, ti se podaci mogu koristiti za biometrijsko-grafometrijsko vještačenje. Za ovakva vještačenja postoje specijalizirani softverski alati, pomoću kojih je moguće značajno smanjiti rizik prijevare, u odnosu na vještačenja standardnih potpisa na papiru. Nadalje, biometrijski podaci u sklopu elektroničkog potpisa se kriptiraju posebnim biometrijskim certifikatima. Pristup biometrijskim podacima stoga je moguć samo vlasnicima privatnog ključa biometrijskog certifikata. Dekripcija i pristup biometrijskim podacima stoga se u pravilu izvršavaju isključivo u slučaju potrebe za rješavanjem spora, tj. na zahtjev suda.

Kvalificirani elektronički potpis je po definiciji neporeciv, te je njegova pravni učinak ekvivalentan vlastoručnom potpisu na papiru . On se bazira na kriptografskim algoritmima, za koje vrijedi da ih, uz trenutno komercijalno dostupan hardver nije moguće dešifrirati. No, s obzirom na napredak hardvera, kao i na moguća buduća otkrića ranjivosti kriptografskih algoritama, kvalificirani potpisni certifikati se izdaju s ograničenim rokom trajanja, koji je u pravilu tri godine. Nakon isteka certifikata, ni potpisani dokument se više ne smatra vjerodostojnim. S obzirom na to da je tri godine relativno kratak period, a da je veliku većinu dokumentacije potrebno čuvati značajno dulje, problem istaka certifikata rješava se korištenjem tehnologije vremenske ovjere. Kvalificirana vremenska ovjera (timestamping) predstavlja posebnu vrstu elektroničkog potpisa, za koju je značajno da može potvrditi dvije važne činjenice, a to je trenutak u kojem je obavljen, nepromjenjivost potpisanog sadržaja nakon trenutka potpisivanja.

Dakle, ako je određeni dokument potpisan elektroničkim certifikatom u određenom trenutku u kojem je potpisni certifikat bio valjan, te je vremenski ovjeren, vremenska ovjera je garancija da će dokument biti vjerodostojan i nakon isteka potpisnog certifikata, iz razloga što je vremenska ovjera garancija da je u trenutku potpisa potisni certifikat bio valjan.

Vezano za kvalificirane certifikate, postoje i dodatni rizici. Npr. potpisni certifikat može biti povučen iz upotrebe i prije istega roka trajanja. Ili QTSP koji je izdao certifikat može nestati s tržišta, čime je onemogućena verifikacija certifikata. Za izbjegavanje problema u takvim slučajevima koristi se tehnologija pod nazivom PAdES, što je skaraćenica za PDF Advaced Electronic Signature. Radi se o proširenju ISO standarda kojim je definiran PDF format (ISO 32000) konceptom koji ima naziv Long Term Validation - LTV. Ova proširenja praktički omogućavaju da se u elektronički potpis spreme podaci kojim je moguće dokazati vjerodostojnost potpisnog certifikata korištenog za potpis, potpuno neovisno o vanjskim izvorima podataka. Vjerodostojnost ovako formiranog potpisa moguće je dokazati bez uvida u vanjske revocation liste. U kombinaciji s vremenskom ovjerom, ovako formiran potpis smatra se vjerodostojnim i u slučaju proboja kriptografskog algoritma kojim je napravljen, naravno, pod uvjetom da vremenska ovjera pokaže da je izrađen prije poznatog proboja kriptografskog algoritma.