Ce trebuie să știi despre semnătura electronică, având în vedere că noile buletine vor conține una - valoarea juridică, recunoașterea în alte state și aspecte tehnice

Cartea nouă de identitate va conține un certificat digital pentru semnătură electronică, ce va fi emis de Ministerul Afacerilor Interne (MAI). Această semnătură digitală va fi putea fi folosită numai în relația cu MAI și cu alte instituții. Pe lângă acesta, noua CI va încorpora datele biometrice ale titularului, constând în imaginea facială şi impresiunile papilare (amprentele) a două degete. Termenul-limită pentru emiterea cărților de identitate electronice este cuprins în Regulamentul (UE) 2019/1157 și este stabilit, mai exact, în data de 2 august 2021. 

Tipuri de semnătură electronică

“Semnătură electronică” nu înseamnă orice fel de semnătură pe ecranul unui dispozitiv digital. Conform regulamentului electronic IDentification, Authentication and trust Services (eIDAS), există mai multe tipuri:

1. Semnătură electronică standard (tastată, scanată): reprezintă date în formă electronică, care sunt ataşate sau logic asociate cu alte date în formă electronică şi care servesc ca metodă de identificare;

2. Semnătură electronică extinsă (avansată): acea semnătură electronică care îndeplineşte cumulativ următoarele condiţii:

• este legată în mod unic de semnatar;
• asigură identificarea semnatarului;
• este creată prin mijloace controlate exclusiv de semnatar;
• este legată de datele în formă electronică, la care se raportează în aşa fel încât orice modificare ulterioară a acestora este identificabilă;

3. ​Semnătura electronică calificată: semnătură electronică ce este creată de un dispozitiv calificat de creare a semnăturilor electronice și care se bazează pe un certificat calificat pentru semnăturile electronice.

Semnătura electronică este rezultatul unui proces tehnic pe care-l realizează semnatarul. În funcție de tipul de semnătură, acesta poate consta în utilizarea CI împreună cu un program de calculator și/sau un dispozitiv portabil (de tip USB, de exemplu) sau un smartphone cu acces la Internet. Certificatele digitale sunt cele pe baza cărora se generează semnătura electronică, de fiecare dată când semnatarul vrea să certifice că un anume act este corespunzător și validat de el.

Tipuri de certificate digitale

Certificatul pentru semnătură electronică avansată este emis de către MAI, este unul cu nivel de securitate medie. Se utilizează pentru autentificare și semnare în raport cu sistemele informatice ale MAI și cu sistemele informatice ale altor instituții publice sau private. Acest tip de semnătură va avea valoare de semnătură olografă (privată) la instituțiile din România. În instanță, este posibil ca semnatarului să i se ceară și alte elemente care să ateste identitatea sa și semnătura.

Certificatele calificate pentru semnătură electronică sunt cele emise de către prestatori calificați de servicii de încredere, listați într-un registru european. La data redactării acestui articol, erau doar cinci prestatori calificați în România: AlfaTrust Certification S.A., Centrul de Calcul S.A., Certsign S.A., DigiSign S.A., Trans Sped S.R.L. Pe piața din România mai activează două companii înregistrate în Italia: Namirial și Infocert.

Furnizarea serviciilor de certificare nu este supusă nici unei autorizări prealabile şi se desfăşoară în concordanţă cu principiile concurenţei libere şi loiale, cu respectarea actelor normative în vigoare. Reprezentanții MAI au menționat că ministerul nu s-a notificat ca emițător de certificare calificate și că s-a optat pentru semnătură avansată pentru a nu fi acuzat că influențează piața de certificate digitale calificate. 

Furnizorii de certificate calificate s-au reunit în Asociația Furnizorilor de Servicii de Certificare, care are ca obiectiv promovarea utilizării certificatelor digitale calificate, stabilirea standardelor de calitate și securitate, precum și promovarea unui cadru legislativ flexibil, adecvat dinamismului economiei de piață.

Recunoașterea națională și internațională a tipurilor de semnături electronice

După cum spuneam, nu orice semnătură electronică este acceptată în România și, în egală măsură, în UE. Iată diferențele:

Semnătura electronică calificată este folosită în relațiile cu instituțiile publice, iar documentele semnate cu certificatul calificat au aceeași valoare ca documentele semnate olograf. 

Este important de știut că o semnătură electronică calificată bazată pe un certificat calificat eliberat de un stat membru al Uniunii Europene (UE) este recunoscută drept semnătură electronică calificată în toate celelalte state membre, arată Regulamentul UE 910/2014. Pe de altă parte, același regulament precizează. la Art. 25:

“Unei semnături electronice nu i se refuză efectul juridic și posibilitatea de a fi acceptată ca probă în procedurile judiciare doar din motiv că aceasta este în format electronic sau că nu îndeplinește cerințele pentru semnăturile electronice calificate.” 

Am putea trage de aici concluzia că și semnăturile avansate ar trebui acceptate în procedurile judiciare, dar asta rămâne la latitudinea instanței sau a instituției decidente. Pe de altă parte, Ministerul Comunicațiilor și Societății Informaționale (MCSI) explică:

“Prin intrarea în vigoare a Regulamentului 910/2014, vă aducem la cunoștință că semnăturile și sigiliile electronice bazate pe certificate calificate emise de către prestatorii de servicii de încredere cu statut de calificat, înscrisi în Trusted List publicat la nivelul CE sunt valabile la nivelul tuturor statelor membre UE, deci și în România (art. 25, punctul 3 din Reg.UE 910/2014), indiferent de țara în care își are sediul prestatorul care a emis certificatul.” 

Care este situația certificatelor eliberate de furnizori cu sediul în alt stat UE decât România? Ei bine, “certificatul calificat eliberat de către un furnizor de servicii de certificare cu domiciliul sau cu sediul într-un alt stat este recunoscut ca fiind echivalent din punct de vedere al efectelor juridice cu certificatul calificat eliberat de un furnizor de servicii de certificare cu domiciliul sau cu sediul în România” (Art. 40 din Legea 455/2001). Totuși, în acest caz, trebuie îndeplinite niște condiții:

• furnizorul de servicii de certificare cu domiciliul sau sediul în alt stat a fost acreditat în cadrul regimului de acreditare, în condiţiile prevăzute de prezenta lege;
• un furnizor de servicii de certificare acreditat, cu domiciliul sau cu sediul în România, garantează certificatul;
• certificatul sau furnizorul de servicii de certificare care l-a eliberat este recunoscut prin aplicarea unui acord bilateral sau multilateral între România şi alte state sau organizaţii internaţionale, pe bază de reciprocitate.

Cum rămâne însă cu semnătura electronică avansată? De ce mai există ea, din moment ce nu este acceptată peste tot și nu este echivalentul unei semnături olografe? Ei bine, pentru că este o semnătură electronică gratuită, ce nu impune plata unor servicii și achiziționarea unor dispozitive de către semnatar. Astfel, MAI, prin certificatul avansat pe care-l eliberează, asigură un minim acces tuturor cetățenilor la o formă de semnătură electronică. În relația cu statul, semnătura electronică avansată are valoare de semnătură de mână, după cum s-a stabilit printr-o ordonanță de urgență a Guvernului.

Asta nu înseamnă însă că România nu poate decide să facă un “upgrade” semnăturii avansate, însă acest lucru nu înseamnă că semnătura avansată va fi recunoscută și în UE ca fiind echivalentă celei olografe, după cum spune chiar Comisia Europeană:

“O semnătură electronică avansată care are același efect juridic al unei semnături olografe în România nu va fi recunoscută legal în alte state membre. România poate decide ca o semnătură electronică avansată să aibă efectul juridic echivalent al unei semnături olografe în România. În cazul acordării unui astfel de statut semnăturilor electronice avansate, acest statut trebuie să fie aplicat în mod egal tuturor semnăturilor electronice avansate - indiferent de locul în care provin sau unde este stabilit TSP (Trusted Service Provider, adică furnizorul de servicii de încredere - n.red.) pentru emiterea certificatelor, adică în interiorul sau în afara României”, s-a precizat în ședința Comisiei pentru tehnologia informaţiei şi comunicaţiilor din Camera Deputaților, în 2018, ca urmare a solicitării adresate de parlamentarul Cătălin Drulă Comisiei Europene.

Într-un drept la replică trimis redacției noastre în iulie 2020 de către Asociația Patronală a Industriei Românești de Software și Servicii, Consiliul Patronatelor Bancare din România și Confederația Patronală Concordia, legea este intepretată într-un sens mai larg:

“Legiuitorul european lasă la latitudinea fiecărui stat membru reglementarea celorlalte două tipuri de semnături electronice (semnături electronice și semnături electronice avansate). (...) Deşi un nivel ridicat de securitate este necesar pentru a asigura recunoaşterea reciprocă a semnăturilor electronice, (...), semnăturile electronice cu un nivel mai scăzut de asigurare a securităţii ar trebui să fie, de asemenea, acceptate”.

Dacă o instituție publică decide să utilizeze în relația cu cetățenii semnătura avansată emisă de MAI atunci, în temeiul art. 27. din Regulamentul 910/2014 este obligată să recunoască orice semnătură avansată emisă de orice prestator de servicii de încredere din Europa. Acest lucru nu este chiar ușor de implementat, deoarece semnăturile avansate pot fi create utilizând tehnologii diferite, iar instituția publică ar trebui să le implementeze pe toate. Dacă ar recunoaște doar certificatele emise de MAI, atunci instituția ar fi în situația de a nu respecta regulamentul eIDAS 910/2014.

Avantajele, elementele, utilizările semnăturilor electronice

Avantajele acestor semnături sunt evidente:

• 100% acoperire legală; documentele semnate electronic nu pot fi contestate în instanță (dar instanța poate cere elemente suplimentare pentru stabilirea semnatarului);
• Identificarea certă și neechivocă a semnatarului;
• Integritatea documentelor (știi sigur că nu au fost modificate după semnare);
• Garanția autenticității și siguranței documentelor semnate;
• Reducerea costurilor prin eliminarea hârtiei.

Elementele constitutive ale unei semnături electronice sunt:

• Certificat digital;
• Dispozitiv criptografic (de ex., un token USB) pe care este stocat certificatul digital;
• Aplicațe pentru generarea semnăturii electronice.

Iată câteva utilizări ale semnăturii electronice:

• Depunerea declarațiilor online, pe site-ul ANAF;
• Emiterea rețetelor electronice;
• Transmiterea rapoartelor lunare către CNAS;
• Participarea la licitații prin SEAP și SICAP;
• Transmiterea rapoartelor către CNVM;
• Semnarea și/sau criptarea e-mail-urilor;
• Semnarea facturilor electronice.

Bune practici din Uniunea Europeană

Este bine să învățăm din experiența statelor din UE care au implementat semnătura electronică imediat după apariția legislației în domeniu și am ales trei exemple.

Belgia

• A recunoscut semnăturile electronice încă de la începuturile legislației specifice (2000-2001).
• Conform legii, semnăturile olografe nu sunt obligatorii pentru ca un contract să fie valid, ele pot fi înlocuite cu cele electronice.
• Semnăturile electronice sunt acceptate în majoritatea cazurilor. În unele situații, e posibil să existe cerințe tehnice deosebite.
• Organismele recunoscute pentru emiterea de certificate digitale sunt numai din sectorul privat.

Estonia

• Prima semnătură digitală a fost folosită în 2002. Guvernul a oferit programe de calculator gratuite utilizatorilor și integratorilor de sistem. A fost adoptat formatul DigiDoc.
• Semnătura electronică este egală cu cea olografă.
• Utilizatorii pot crea documente semnate digital folosind cartea de identitate națională sau cartea digitală de identitate sau un Mobile-ID, folosind programul DigiDoc3 instalat pe calculator și programul de citire a cărții naționale de identitate, la www.eesti.ee or sau în portalul DigiDoc.
• Organismele recunoscute pentru emiterea de certificate digitale sunt numai din sectorul privat.

Germania

• A recunoscut semnăturile electronice încă din 2001.
• Semnăturile calificate sunt recunoscute legal. În instanță, pot fi prezentate și alte semnături, dar instanța poate cere elemente suplimentare pentru stabilirea semnatarului.
• În 2017, a notificat la Comisia European schema eID, în concordanță cu eIDAS (introdusă în 2016). Din 2018, toate statele membre care doresc să comunice cu sistemul german eID trebuie să implementeze un nivel de securitate cel puțin egal cu german.
• Organismele recunoscute pentru emiterea de certificate digitale sunt atât din sectorul public, cât și din sectorul privat.

Concluzia: semnăturile digitale din România trebuie armonizate cu cele din restul UE

În contextul migrației, al muncii în spațiul comunitar și al afacerilor transfrontaliere, semnăturile digitale ne vor fi de mare folos. Includerea unui certificat de semnătură electronică în viitoarele cărți de identitate va ușura mult utilizarea procedurii de semnare electronică. Este însă nevoie de mai multe precizări legislative referitoare la ce tip de semnătură electronică va fi acceptată în fiecare context al activității cetățenilor.