Legal: Semnatura electronica reprezinta date in forma electronica, care sunt atasate sau logic asociate cu alte date in forma electronica si care servesc ca metoda de identificare [art. 4 pct. 3 din Legea 455/2001].

Practic: Semnatura electronica (digitala) valida ofera cititorului un motiv puternic de confirmare a faptului ca mesajul sau documentul digital este creat de catre persoana care l-a semnat, iar continutul mesajului sau documentului digital nu a fost modificat de la data emiterii acestuia.

Tehnic: Asupra documentului se aplică o funcţie hash-code, obtinandu-se amprenta documentului. Printr-un algoritm se aplica cheia privata peste amprenta documentului, rezultand semnatura electronica.

Semnatarul este acea persoana care detine un dispozitiv de creare a semnaturii electronice si care actioneaza fie in nume propriu (persoana fizica) fie in numele unui tert (persoana juridica).

Ce NU este semnatura electronica?
· nu este o semnatura scanata
· nu este o iconita
· nu este o poza
· nu este o holograma
· nu este un smart card

O semnatura electronica extinsa trebuie sa indeplineasca cumulativ, urmatoarele conditii:
1. Este legata in mod unic de semnatar.
2. Asigura identificarea semnatarului.
3. Este creata prin mijloace controlate exclusiv de semnatar.
4. Este legata de documentul in forma electronica la care se raporteaza in asa fel incat orice modificare a documentului, ulterioara semnarii, sa duca automat la invalidarea semnaturii.

Semnatura digitala se bazeaza pe trei algoritmi:
– Algoritmul de selectare aleatoare a unei chei private care se va asocia unei chei publice
– Algoritmul de semnare care, aplicat unei chei private si unui document digital, genereaza semnatura digitala
– Algoritmul de verificare a semnaturii digitale, care aplicat cheii publice si semnaturii digitale, accepta sau respinge mesajul de conformitate.

Certificatul digital calificat emis asigura „identitatea virtuala” a posesorului si permite crearea de semnatura electronica cu valoare legala (extinsa), permitand identificarea fara echivoc, in baza garantarii integritatii, autenticitatii si nerepudierii mesajelor si documentelor electronice.

In schema de mai jos gasiti o reprezentare a modului de semnare si verificare a documentului digital semnat electronic:

Semnatura electronica vs. semnatura olografa pe hartie

Semnatura olografa poate fi usor copiata de pe un document pe altul prin copierea imaginii manual sau digital. In plus, semnatura olografa NU garanteaza ca documentul a fost semnat la o anumita data si ora.

Semnatura digitala conecteaza identitatea electronica a semnatarului cu documentul digital si nu pot fi copiata de pe un document digital pe alt document digital. Semnatura digitala se pot aplica pentru intreg documentul astfel incat semnatura digitala prezenta pe fiecare pagina din document va arata intergitatea, autenticitatea, data si ora emiterii si semnarii documentului.

Semnatura digitala este mult mai greu de falsificat atunci cand este emisa de o autoritate recunoscuta legal. In plus are particularitatea de a obliga emitentul documentului digital sau al mesajului semnat electronic la recunoasterea faptului ca acel document sau mesaj a fost emis de emitent la data si ora mentionate.

Cum functioneaza sistemul de semnare si verificare a semnaturii electronice?

Cele trei motive principale pentru care se recomanda folosirea semnaturilor digitale sunt:
– Autenticitatea
Desi documentele digitale pot sa includa informatii despre idetitatea celui care le-a emis, aceste informatii pot sa nu fie corecte. Semnatura digitala poate fi folosita pentru autentificarea sursei documentului. Atunci cand dreptul de proprietate asupra unei semnturi digitale apartine unei anumite persoane, semnatura digitala arata ca documentul a fost eliberat de catre acea persoana. Importanta acestui aspect apare in dovedirea autenticitatii documentelor digitale in context financiar-contabil. De exemplu o actele contabile ale unei firme sunt trimise corect de catre firma de contabilitate catre administratorul firmei. Daca acesta va modifica aceste acte incercand sa schimbe informatiile financiare sau orice fel de informatii transmise ca fisier PDF/A semnat electronic, pentru a putea obtine un credit de la o banca, in momentul in care banca deschide acele documente, semnatura electronica va fi invalidata, deci firma de contabilitate nu va putea fi considerata responsabila de continutul documentului, persoana care a transmis documentul modificat nu va putea fi urmarita in justitie pentru fals si uz de fals, iar banca va fi asigurata ca nu cade in capcana acordarii unui credit pe baza unor documente false.
– Integritatea
Semnatura digitala aplicata unui document electronic reprezinta o garantie a integritatii documentului atunci cand este validata de o autoritate publica. Cheia aleatoare se creeaza pe baza unor criterii multiple care includ printre altele si detalii despre continutul documentului. Orice modificare a continutului unui document digital inseamna o chaie aleatoare noua diferita de cheia aleatoare folosita pentru aplicarea semnaturii digitale. In clipa in care se solicita validarea documentului cele doua chei aleatoare din imaginea de mai sus vor fi diferite, iar documentul se va putea considera ca avand continutul alterat.
– Imposibilitatea repudierii
Odata ce este emis un document digital semnat electronic, atata vreme cat semnatura electronica este valida pe documentul digital, autorul documentului nu isi poate declina raspunderea pentru continutul documentului cu semnatura electronica valida. In plus, nu poate nega faptul ca documentul a fost semnat personal, deoarece legislatia in vigoare prevede faptul ca detinatorul unei semnaturi digitale NU are dreptul sa instraineze/imprumute token-ul pe care exista certificatul digital calificat pe care il detine. Din acest punct de vedere, exemplul de mai sus in care firma de contabilitate transmite documentele financiare firmei pentru care le intocmeste, daca a comis greseli in intocmirea acestor acte, ramane responsabila pentru datele prezentate, cata vreme documentul digital transmis poarta o semnatura valida.

Ce este certificatul digital calificat ?
Pentru ca o persoana sa poata folosi semnatura electronica, este necesara ca in prealabil sa dobandeasca un certificat care ii atesta identitatea. Certificatul reprezinta o colectie de date in forma electronica si care atesta legatura dintre datele de verificare a semnaturii electronice si semnatarul ca persoana, confirmand identitatea acelei persoane. Certificatul calificat este eliberat de catre un furnizor de servicii de certificare, legal constituit.

ROMANIA: Registrul furnizorilor de servicii de certificare:  mcsi.ro

Art. 40 din Legea 455/2001 prevede:
Certificatul calificat eliberat de catre un furnizor de servicii de certificare cu domiciliul sau cu sediul intr-un alt stat este recunoscut ca fiind echivalent din punct de vedere al efectelor juridice cu certificatul calificat eliberat de un furnizor de servicii de certificare cu domiciliul sau cu sediul in Romania, daca:
– furnizorul de servicii de certificare cu domiciliul sau sediul in alt stat a fost acreditat in cadrul regimului de acreditare, in conditiile prevazute de prezenta lege;
– un furnizor de servicii de certificare acreditat, cu domiciliul sau cu sediul in Romania, garanteaza certificatul;
– certificatul sau furnizorul de servicii de certificare care l-a eliberat este recunoscut prin aplicarea unui acord bilateral sau multilateral intre Romania si alte state sau organizatii internationale, pe baza de reciprocitate.

UE: Lista ţărilor din Uniunea Europeană care recunosc certificatele emise de furnizori de servicii de certificare acreditaţi din România şi legile aferente: Ungaria, Suedia,  Slovenia,  Slovacia,  Portugalia,  Polonia,  Lituania,  Letonia,  Germania, Finlanda, Danemarca si Cehia [sursa:  certsign.ro]

Certificatul digital calificat va cuprinde urmatoarele mentiuni, conform legii:
a) indicarea faptului ca certificatul a fost eliberat cu titlu de certifcat calificat;
b) datele de identificare a furnizorului de servicii de certificare, respectiv numele semnatarului sau pseudonimul acestuia, identificat ca atare, precum si alte atribute specifice ale semnatarului, daca sunt relevante, in functie de scopul pentru care este eliberat certificatul calificat;
c) numele semnatarului sau pseudonimul acestuia, identificat ca atare, precum si alte atribute specifice ale semnatarului, daca sunt relevante, in functie de scopul pentru care este eliberat certificatul calificat.
d) codul personal de identificare a semnatarului;
e) datele de verificare a semnaturii, care corespund datelor de creare a semnaturii aflate sub controlul excfusiv al semnatarului;
f) indicarea inceputului si sfarsitului perioadei de valabilitate a certificatului calificat;
g) codul de identificare a certificatului calificat;
h) semnatura electronica extinsa a fumizorului de servicii de certificare care elibereaza certificatul calificat;
i) daca este cazul, limitele utilizarii certificatului calificat sau limitele vaiorice ale operatiunilor pentru care acesta poate fi utilizat;
j) orice alte informatii stabitite de autoritatea de regiementare si supraveghere specializata in domeniu.

Fiecarui semnatar i se va atribui de catre furnizorul de servicii de certificare un cod personal care sa asigure identificarea unica a semnatarului.

Generarea codului personal de identificare si a codului de identificare a certificatului calificat se face pe baza reglementarilor stabilite de autoritatea de reglementare si supraveghere specializata in domeniu.

La solicitarea titularului, fumizorul de servicii de certificare va putea inscrie in certificatul calificat si alte informatii decat cele mentionate anterior, cu conditia ca acestea sa nu fie contrare legii, bunelor moravuri sau ordinii publice, si numai dupa o prealabila verificare a exactitatii acestor informatii.

Certificatul calificat va indica in mod expres faptul ca este utiiizat un pseudonim, atunci cand titularul se identifica printr-un pseudonim.

Certificatele eliberate de catre autoritatea de certificare sunt mentinute intr-un registru electronic de evidenta a certificatelor eliberate si contin informatii asupra perioadei de valabiltate a acestora, cat si cazurile de suspendare sau revocare si motivatia acestor demersuri.

Cine poate sa semneze electronic?
Orice persoana care, in baza unui contract incheiat cu un furnizor de servicii de certificare, detine o pereche functionala cheie publica / cheie privata si are o identitate probata printr-un certificat digital emis de acel furnizor.

Pentru ce foloseste semnatura electronica ?
Semnatura electronica se aplica unui document in format electronic, redactat sau obtinut prin intermediul programelor informatice, ca de exemplu:
– documente MS Word (contracte, documente, notificari, retete medicale, etc. )
– spread-sheet Excel (rapoarte financiare, state de plata a salariilor, note de comanda, etc.)
– documente Adobe Acrobat (la fel ca si cele in MS Word, insa superioare ca si aspect si securitate a integritatii informatiilor)
– fotografii digitale (constatari, mostre, comanda de produse, etc.)
– programe expert de gestiune a documentelor (documente ale administratiei publice si locale, documente care urmeaza sa fie arhivate in cadrul arhivelor electronice din cadrul unor Data Centre, etc. )
– documente rezultate din prelucrarea datelor contabile si fiscale (declaratii de impunere, documente de plata catre Bugetul de Stat, etc. )
etc.

Semnatura electronica ofera urmatoarele facilitati:
– Eficientizarea procesului de business pentru companii si partenerii acesteia – comunicare rapida, de oriunde si oricand, in mod legal si in deplina siguranta, eliminand consumul ineficient de timp si de resurse umane
– Reducerea costurilor prin eliminarea totala a cheltuielilor legate de manipularea documentelor pe hartie (imprimare, trimitere, procesare, etc.) – un document semnat electronic are aceeasi valoare ca si un document tiparit pe hartie
– Pe de alta parte, un document semnat electronic se supune clauzei juridice de nonrepudiere, adica semnatarul nu poate sustine ca nu a semnat acel document.
– Prin faptul ca orice modificare, cat de mica a documentului semnat digital duce automat la anularea semnaturii, destinatarul are convingerea ca documentul a ajuns in stare nealterata.
– Orice document semnat digital poate fi tiparit la imprimanta, putand contine informatia ca documentul original e cel electronic si ca acesta poarta semnatura electronica a semnatarului.
– Practic, orice domeniu de activitate are nevoie de facilitatea transmisiei electronice a informatiilor, indiferent de natura acestora. Prin aplicarea semnaturii electronice pe documentele care impun autenfificarea prin semnatura si sigiliu ( celebrul SS de pe documentele tipizate), se realizeaza trecerea la noua era informationala.
– Acoperire in caz de litigiu – conform legislatiei in vigoare, semnatura electronica are valoare legala. Prin urmare, daca organizatia respectiva ajunge in instanta si autenticitatea documentelor este contestata, validitatea semnaturii electronice utilizate este usor de demonstrat si nu poate fi contestata
– Nerepudiere, integritate si confidentialitate – datele organizatiei vor ajunge acolo unde trebuie, existand garantia ca nu au fost vizualizate sau alterate de persoane neautorizate.

Ce este cheia privata?
Un cod digital cu caracter de unicitate, generat printr-un dispozitiv hardware si/sau software specializat.
În contextul semnăturii digitale cheia privată reprezintă datele de creare a semnăturii electronice.

Ce este cheia publica?
Un cod digital, perechea cheii private necesara verificarii semnaturii electronice.
În contextul semnăturii digitale cheia publică reprezintă datele de verificare a semnăturii electronice.

Care este mecanismul de creare a semnaturii electronice ? Ce este eToken?

eToken-ul, smart card-ul sau orice alt dispozitiv specializat contine un microprocesor care genereaza cele doua chei: publica si privata.

Cum se genereaza semnatura electronica?
1. Asupra documentului se aplica un algoritm si se obtine amprenta documentului;
2. Amprenta documentului este o insiruire de biti;
3. Amprenta documentului intra in dispozitivul securizat;
4. Printr-un alt algoritm se aplica cheia privata peste amprenta documentului, rezultand semnatura electronica.

Cheia privata ramane in memoria eTokenului, nu paraseste niciodata dispozitivul, asadar poate sa fie utilizata doar de posesorul dispozitivului.

Cheia privata reprezinta datele de creare a semnaturii electronice, iar cheia publica – datele de verificare ale acesteia.

Cheia privata nu poate fi dedusa in nici un fel din cheia sa publica pereche.

Principiul a avea + a sti = a utiliza se traduce astfel:
am dispozitiv securizat + stiu PIN = utilizez dispozitivul in vederea crearii semnaturii electronice.

Cum verifica destinatarul semnatura dvs electronica?
Documentul pe care l-ati semnat electronic va pleca via Internet spre destinatar, care are posibilitatea sa verifice daca, intr-adevar, ati semnat acel document.

Mecanismul de verificare a semnaturii electronice se bazeaza pe utilizarea cheii publice, a unui algoritm de calcul si a semnaturii electronice primite. Verificarea semnaturii este o operatie automata.

Spre deosebire de cheia privata care este cunoscuta doar de semnatar, cheia publica poate sa fie aflata de toti cei care primesc mesajele dvs. daca acceseaza site-ul furnizorului de servicii de certificare in domeniul semnaturii electronice.

Astfel, se pot consulta datele din certificatul digital de care dispuneti, verificand identitatea expeditorului. Sa nu uitam ca semnatura electronica se creaza cu ajutorul cheii private si se verifica prin cheia publica.

Ce inseamna non-repudiere?
Ansamblul „persoana – cheie publica – cheie privata” garanteaza non repudierea, adica semnatarul documentului nu poate sa respinga faptul ca acel document a fost semnat electronic de el insusi.

Certificatele digitale calificate pot fi utilizate in relatia cu:
– Agentia Nationala de Administrare Fiscala (ANAF),
– Casa Nationala de Asigurari de Sanatate (CNAS),
– Inspectoratul Teritorial de Munca (ITM),
– Oficiul National al Registrului Comertului (ONRC),
– Monitorul Oficial,
– Depozitarul Central,
– Comisia Nationala a Valorilor Mobiliare (CNVM), etc
– Autoritatile contractante din cadrul Sistemului Electronic de Achizitii Publice (SEAP)– pentru semnarea si transmiterea electronica a documentelor solicitate de acestia, etc
– Comisia de Supraveghere a Sistemului de Pensii Private (CSSP) – pentru transmiterea raportarilor
– Partenerii de afaceri – pentru transmiterea electronica a corespondentei cu implicatii legale(contracte,documente cu valoare legala, etc)
– Departamentele companiei – pentru transmiterea corespondentei cu valoare legala si implementarea fluxurilor de documente.

Referinte si Legislatie privind semnatura electronica:
– CFNET: Legea 455/2001 privind semnatura electronica
– MCSI: Prevederi legale – mcsi.ro
– EurLex: Directiva 1999/93/CE a Parlamentului European si a Consiliului din 13 decembrie 1999 privind un cadru comunitar pentru semnaturile electronice
– CE: Report from the Commission to the European Parliament and the Council – Report on the operation of Directive 1999/93/EC on a Community framework for electronic signatures – COM/2006/0120 final
– STORK – eid-stork.eu
– Community framework for electronic signatures – europa.eu
– Interoperable Delivery of European eGovernment Services to public Administrations, Businesses and Citizens – ec.europa.eu/idabc/

Bibliografie material:
pdf.com.ro
afm.ro
certsign.ro