لماذا الفرق مهم
في الاتصالات اليومية، يستخدم مصطلحا "التوقيع الإلكتروني" و"التوقيع الرقمي" كمترادفين، لكن قانونيا وتقنيا هما ليسا الشيء نفسه. الفرق ليس أكاديميا: عند توقيع عقد بقيمة مئات الآلاف من اليوروهات أو الدخول في إجراء قضائي، يؤثر نوع التوقيع المختار مباشرة على ما إذا كان سيقبل المستند كدليل، وما إذا كان الطرف الآخر يستطيع الطعن فيه، وما إذا كنت ستضطر إلى تكرار العمل في شكل ورقي.
التوقيع الإلكتروني كمفهوم قانوني واسع
التوقيع الإلكتروني هو المفهوم الشامل الذي يضم كل شكل رقمي للتعبير عن الإرادة. يدخل فيه عمليا كل ما يحدد هوية الموقع في البيئة الإلكترونية:
- الاسم المكتوب في نهاية رسالة البريد الإلكتروني
- صورة ممسوحة ضوئيا للتوقيع اليدوي ملصقة في PDF
- النقر على زر "أوافق على الشروط"
- التوقيع بالإصبع أو القلم على شاشة جهاز لوحي
- إدخال رمز PIN أو كلمة مرور لمرة واحدة
- التأكيد البيومتري (بصمة، وجه)
كل هذه الأشكال هي قانونيا "توقيعات إلكترونية"، لكنها تختلف في مستوى الأمان وقوة الإثبات أمام المحكمة.
التوقيع الرقمي كمجموعة فرعية تشفيرية
التوقيع الرقمي هو مجموعة فرعية محددة تقنيا من التوقيعات الإلكترونية تستخدم التشفير غير المتماثل والشهادات الرقمية. ثلاث خصائص رئيسية:
- التشفير غير المتماثل: زوج من المفاتيح (خاص للتوقيع، عام للتحقق). المفتاح الخاص معروف للمالك فقط، والعام متاح للجميع.
- الشهادة الرقمية: تصدرها هيئة تصديق وتؤكد أن مفتاحا عاما معينا ينتمي إلى شخص معين.
- دالة hash: بصمة رياضية للوثيقة. كل تغيير بعد التوقيع يغير hash ويجعل التوقيع باطلا، مما يعطي عدم القابلية للإنكار (non-repudiation).
بعبارة أخرى: كل توقيع رقمي هو إلكتروني، لكن ليس كل توقيع إلكتروني هو رقمي. العلاقة كالمربع والمستطيل.
ثلاثة مستويات وفق قانون المعاملات الإلكترونية الإماراتي ونظام التعاملات الإلكترونية السعودي ولائحة eIDAS
قانون المعاملات الإلكترونية الإماراتي رقم 46 لسنة 2021 ونظام التعاملات الإلكترونية السعودي (المتوافقان مع لائحة eIDAS الأوروبية) يحددان ثلاثة مستويات للتوقيع الإلكتروني:
| المستوى | المتطلبات التقنية | القوة القانونية | مثال نموذجي |
|---|---|---|---|
| التوقيع الإلكتروني البسيط (الأساسي) | أي شكل إلكتروني للتعريف | صالح قانونيا لكن بقوة إثبات ضعيفة، عبء الإثبات على من يستند إلى التوقيع | الاسم في توقيع البريد الإلكتروني، النقر على "أوافق"، التوقيع الممسوح |
| التوقيع الإلكتروني المتقدم (AdES) | مرتبط بشكل فريد بالموقع، يتيح تحديد هوية الموقع، أنشئ بوسائل خاضعة للرقابة، مرتبط بالوثيقة بحيث يكون كل تغيير لاحق ملحوظا | قوة إثبات أكبر، عبء الإثبات معكوس، إذا لم يوجد دليل مضاد يقبل التوقيع كصحيح | التوقيع بشهادة معتمدة بدون جهاز QSCD، مثلا شهادة برمجية |
| التوقيع الإلكتروني المؤهل (QES) | توقيع متقدم أنشئ بجهاز مؤهل لإنشاء التوقيع (بطاقة ذكية، USB token، HSM) استنادا إلى شهادة مؤهلة صادرة عن مزود مؤهل مسجل | مساو قانونيا للتوقيع اليدوي في جميع العلاقات القانونية، مقبول تلقائيا في جميع دول الاتحاد الأوروبي دون تحقق إضافي | بطاقة الهوية الإماراتية بشريحة، أبشر السعودية، token صادر عن مزود معتمد، وحدة HSM في البنك |
المزودون المؤهلون في الإمارات والسعودية
تصدر الشهادات المؤهلة في الإمارات هيئات التصديق المسجلة لدى هيئة تنظيم الاتصالات والحكومة الرقمية (TDRA)، وأبرزها هيئة الإمارات للهوية والجنسية والجمارك وأمن المنافذ. في السعودية، يصدرها المركز الوطني للتصديق الرقمي (NCDC) ومزودون معتمدون من هيئة الاتصالات وتقنية المعلومات. تتراوح أسعار الشهادة المؤهلة بين 200 و 1.500 درهم/ريال سنويا، حسب المزود ونوع الحامل (بطاقة، token، سحابة).
متى يكون كل مستوى ضروريا قانونيا
| نوع الوثيقة | الحد الأدنى للمستوى | السبب |
|---|---|---|
| الاتصالات الداخلية، المراسلات | بسيط | لا وزن قانوني خارجي |
| أوامر الشراء، التقارير | بسيط أو متقدم | وفق السياسة الداخلية للشركة |
| العقود التجارية بين الشركات | متقدم موصى به | إذا وصل النزاع إلى المحكمة، الإثبات أسهل |
| عقود العمل | متقدم كحد أدنى، مؤهل موصى به | أي نزاع أمام المحكمة العمالية |
| الفواتير لأغراض ضريبية | متقدم (عبر نظام ZATCA للفوترة الإلكترونية) | أنظمة الفوترة الإلكترونية في السعودية والإمارات |
| المرافعات والدعاوى للمحاكم | مؤهل (إلزامي) | قوانين الإجراءات تتطلب QES |
| عقود العقارات | توثيق رسمي (موثق) | التوقيع الإلكتروني غير كاف، يلزم التوثيق الرسمي |
| الوثائق المصرفية بمبالغ كبيرة | مؤهل | المتطلبات الداخلية للبنك واللوائح المالية |
| وثائق الجهات الحكومية، البوابات الرقمية | مؤهل | البوابات الحكومية والقضائية لا تقبل مستوى أقل |
ما هو السابقة في الممارسة: متى رفضت المحكمة التوقيع الإلكتروني البسيط
سجلت في ممارسة المحاكم الإماراتية والسعودية حالات قدم فيها أحد أطراف النزاع عقدا بـ"توقيع ممسوح" كدليل، وطلبت المحكمة الخبرة. أثبت الخبير أن التوقيع الممسوح لا يقدم ضمانات بأنه لم ينسخ لاحقا من وثيقة أخرى، وقبلت المحكمة هذا التوقيع فقط مع أدلة إضافية (شهود، مراسلات، مدفوعات). عند وجود توقيع إلكتروني مؤهل، تقبله المحكمة دون إثبات إضافي، تماما كالتوقيع اليدوي على الورق.
الصلاحية عبر الحدود في الاتحاد الأوروبي
التوقيع الإلكتروني المؤهل الصادر وفق معيار eIDAS يسري قانونيا في جميع دول الاتحاد الأوروبي دون تصديق إضافي. هذا مهم بشكل خاص للشركات التي لديها شركاء في الاتحاد الأوروبي، لأنه يلغي الحاجة إلى السفر والمراسلين والأختام المادية على العقود. يقبل التوقيع المتقدم في بعض الدول، بينما يعامل التوقيع البسيط بشكل مختلف من دولة إلى أخرى.
كيفية اختيار المستوى لحالتك
- الالتزام القانوني: إذا اشترط القانون أو الجهة المنظمة صراحة مستوى معينا، استخدمه (مثلا نظام ZATCA يتطلب فواتير إلكترونية بتوقيع مؤهل، المرافعات القضائية مؤهل).
- قيمة الوثيقة أو خطورتها: عقد تتجاوز قيمته الراتب السنوي للموظف العادي يستحق على الأقل التوقيع المتقدم، ومثاليا المؤهل.
- الاستخدام عبر الحدود: إذا كانت الوثيقة تذهب إلى الخارج أو تأتي من الخارج، فإن التوقيع المؤهل هو الخيار الآمن الوحيد.
- الحفظ طويل الأمد: الوثائق التي تحفظ لأكثر من 5 سنوات يجب أن يكون لها صيغة تتيح التحقق طويل الأمد من التوقيع (LTV، مثلا PAdES-LTV لـ PDF).
- الراحة التشغيلية: للتوقيع الجماعي (مئات العقود يوميا)، قد يكون الاستثمار في QSCD في السحابة يستحق، لأنه يلغي الحاجة إلى tokens مادية.
