Reminder: Mai multe tipuri de semnături electronice sunt acum echivalente, în anumite situații, cu semnătura de mână

Legea 214/2024 privind utilizarea şi prestarea serviciilor de încredere, ce se aplică din 8 octombrie, conturează cadrul juridic intern de aplicare directă a Regulamentului (UE) nr. 910/2014 privind identificarea electronică și serviciile de încredere pentru tranzacțiile electronice pe piața internă și, pe de altă parte, reglementează măsurile lăsate la latitudinea statelor membre.

În primul rând, noua lege stabilește efectele juridice ale semnăturilor electronice, introducând în legislația locală elemente suplimentare față de regulamentul amintit. Mai precis, actul normativ stabilește că, față de regulamentul european, mai multe tipuri de semnături electronice sunt acum echivalente cu semnătura olografă (de mână) ca efect juridic. Regulamentul (UE) 910/2014 prevede că doar semnătura calificată este echivalentă semnăturii olografe.

În România există trei tipuri de semnături electronice, fiecare dintre ele având un grad diferit de securitate/ încredere:

• semnătura electronică simplă - nivel scăzut de securitate;
• semnătura electronică avansată - nivel mediu de securitate;
• semnătura electronică calificată - nivel mare de securitate.

Astfel, un document electronic semnat cu o semnătură electronică avansată produce aceleași efecte juridice ca un înscris semnat cu o semnătură olografă în oricare dintre următoarele cazuri:

• a fost semnat cu o semnătură electronică avansată emisă de o autoritate sau o instituție publică din România sau de un prestator de servicii de încredere calificat;
• documentul electronic este recunoscut de cel căruia îi este opus, recunoașterea putând să rezulte și din faptul neechivoc al executării în tot sau în parte, de către cel care contestă semnătura electronică avansată, a obligațiilor care s-au născut din documentul electronic;
• părțile au agreat în mod expres, printr-un înscris distinct, semnat cu semnătură olografă sau cu semnătură electronică calificată, faptul că vor conferi semnăturii electronice avansate efectele juridice ale semnăturii olografe. Părțile confirmă prin același act faptul că au înțeles riscurile și sarcina probei privind semnătura electronică avansată. În cazul raporturilor juridice în care ambele părți sunt profesioniști (toți cei care exploatează o întreprindere, după cum apare în Codul civil), înscrisul distinct se poate semna și cu semnătură electronică avansată.

Apoi, documentul electronic semnat cu o semnătură electronică avansată emis de o persoană juridică de drept privat și utilizată într-un sistem închis produce, în acel sistem închis, aceleași efecte juridice ca un înscris semnat cu o semnătură olografă.

După cum e definit în lege, sistemul electronic închis reprezintă o platformă electronică utilizată de un set definit de participanți, din cadrul aceleiași entități sau stabiliți de către aceasta, ale cărei procese nu au niciun efect direct asupra terților și cu care nu se poate interacționa în mod direct din afara entității în care sistemul este implementat, utilizată pentru procedurile interne ale entității, pentru serviciile prestate de entitate clienților săi sau în orice alte scopuri similare.

În plus, și în cazul semnăturii electronice simple avem situații în care este echivalentă semnăturii olografe. Concret, documentul electronic semnat cu semnătură electronică simplă produce aceleași efecte juridice ca un înscris semnat cu o semnătură olografă în oricare dintre următoarele cazuri:

• în cazul actelor patrimoniale evaluabile în bani cu o valoare mai mică de jumătate din salariul minim brut pe economie la data semnării actului;
• înscrisul semnat cu o semnătură electronică simplă este recunoscut de cel căruia îi este opus, recunoașterea putând să rezulte și din faptul neechivoc al executării în tot sau în parte, de către cel care contestă semnătura electronică simplă, a obligațiilor care s-au născut din înscrisul în formă electronică;
• în cazul în care ambele părți sunt profesioniști și au agreat, în mod expres, printr-un înscris semnat cu semnătură olografă sau cu semnătură electronică calificată, că vor conferi semnăturii electronice simple efectele juridice ale semnăturii olografe. Părțile confirmă prin același act că au înțeles riscurile și sarcina probei privind semnătura electronică simplă.

E de remarcat aici că, prin legea de față, se atrage atenția asupra riscurilor implicate de semnarea documentelor cu alte semnături electronice decât cea calificată.

Cerințe pentru emitenții de semnături electronice

Totodată, Legea 214/2024 stabilește cerințe clare pentru prestatorii de servicii de încredere (în esență, emitenții de semnături electronice) care emit certificate digitale pentru semnătură avansată. Prestatorii de astfel de servicii trebuie să furnizeze informații precum:

• procedura ce trebuie urmată în scopul creării și verificării semnăturii electronice;
• tarifele percepute, după caz;
• modalitățile, condițiile și limitele utilizării certificatelor;
• obligațiile legale ale titularului certificatului și ale prestatorului de servicii de încredere;
• condițiile contractuale de eliberare a certificatului cu menționarea expresă a eventualelor limitări ale răspunderii prestatorului de servicii de încredere;
• condițiile și cazurile în care valabilitatea certificatului poate fi revocată;
• căile de soluționare a litigiilor;
• orice alte informații stabilite de autoritatea de reglementare și supraveghere specializată în domeniu.

Suplimentar, pentru a emite semnături electronice avansate, prestatorii privați de servicii de încredere trebuie să îndeplinească următoarele condiții:

• să dispună de mijloace financiare și de resurse materiale, tehnice și umane corespunzătoare pentru garantarea securității, fiabilității și continuității serviciilor de încredere oferite;
• să asigure operarea rapidă și sigură a înregistrării informațiilor din certificat, precum și a unui serviciu de suspendare și revocare a certificatelor pentru semnătura electronică avansată;
• să asigure posibilitatea de a se determina cu precizie data și ora exactă a eliberării, a suspendării sau a revocării unui certificat pentru semnătura electronică avansată;
• să verifice, cu mijloace corespunzătoare și conforme dispozițiilor legale, identitatea și, dacă este cazul, atributele specifice ale persoanei căreia îi este eliberat certificatul pentru semnătura electronică avansată;
• să folosească personal cu cunoștințe de specialitate, experiență și calificare, necesare pentru furnizarea serviciilor respective, în special, competență în domeniul gestiunii, cunoștințe de specialitate în domeniul tehnologiei semnăturii electronice și o practică suficientă în ceea ce privește procedurile de securitate corespunzătoare;
• să aplice procedurile administrative și de gestiune adecvate și care corespund standardelor recunoscute;
• să utilizeze produse asociate semnăturii electronice, cu un înalt grad de fiabilitate, care sunt protejate împotriva modificărilor și care asigură securitatea tehnică și criptografică a desfășurării activităților de certificare a semnăturii electronice;
• să adopte măsuri împotriva falsificării certificatelor și să garanteze confidențialitatea în cursul procesului de generare a datelor și de creare a semnăturilor, în cazul în care prestatorii de servicii de încredere generează astfel de date;
• să păstreze toate informațiile cu privire la un certificat pentru semnătura electronică avansată pentru o perioadă de minimum 10 ani de la data încetării valabilității certificatului;
• să nu stocheze, să nu reproducă și să nu dezvăluie terților datele de creare a semnăturii, cu excepția cazului în care semnatarul solicită aceasta;
• să utilizeze sisteme fiabile pentru stocarea certificatelor pentru semnătura electronică avansată, astfel încât: numai persoanele autorizate să poată introduce și modifica informațiile din certificate; exactitatea informației să poată fi verificată; certificatele să poată fi consultate de terți doar în cazul în care există acordul titularului acestora; orice modificare tehnică, care ar putea pune în pericol aceste condiții de securitate, să poată fi identificată de persoanele autorizate;
• să dețină un plan actualizat pentru cazul încetării serviciului, în vederea asigurării continuității acestuia, plan pe care îl comunică autorității de supraveghere;
• să asigure un nivel adecvat de securitate cibernetică și fizică a infrastructurii la nivelul căreia se generează și gestionează certificatele și datele cu caracter personal;
• să dețină un plan de acțiune actualizat, pentru cazul producerii unui incident de securitate cibernetică, în vederea asigurării limitării compromiterii serviciului, plan pe care îl comunică autorității de reglementare și supraveghere specializată în domeniu.

Autoritățile și instituțiile publice care emit certificate digitale pentru crearea semnăturii electronice avansate sunt obligate să parcurgă o procedură de auditare, prin care se verifică îndeplinirea tuturor condițiilor legale pentru emiterea semnăturii electronice avansate. Procedura de auditare trebuie stabilită prin ordin al ministrului cercetării, inovării și digitalizării.

Legea stabilește și sancțiuni pentru prestatorii de servicii de încredere care nu-și îndeplinesc obligațiile legale, inclusiv amenzi de până la 100.000 de lei.

În 8 octombrie, data intrării noii legi în vigoare, mai multe acte normative au fost abrogate. Este vorba despre abrogarea Legii nr. 455/2001 privind semnătura electronică, Legii nr. 451/2004 privind marca temporală și OUG nr. 38/2020 privind utilizarea înscrisurilor în formă electronică la nivelul autorităților și instituțiilor publice.