Γιατί έχει σημασία η διαφορά
Στην καθημερινή επικοινωνία, οι όροι "ηλεκτρονική υπογραφή" και "ψηφιακή υπογραφή" χρησιμοποιούνται ως συνώνυμοι, αλλά νομικά και τεχνικά δεν είναι το ίδιο πράγμα. Η διαφορά δεν είναι ακαδημαϊκή: όταν υπογράφετε σύμβαση αξίας εκατοντάδων χιλιάδων ευρώ ή εμπλέκεστε σε δικαστική διαδικασία, ο τύπος υπογραφής που επιλέξατε επηρεάζει άμεσα αν το έγγραφο θα γίνει δεκτό ως αποδεικτικό μέσο, αν ο αντισυμβαλλόμενος μπορεί να το αμφισβητήσει, και αν θα χρειαστεί να επαναλάβετε την εργασία σε έντυπη μορφή.
Η ηλεκτρονική υπογραφή ως ευρεία νομική έννοια
Η ηλεκτρονική υπογραφή είναι η γενική έννοια που καλύπτει κάθε ψηφιακή μορφή έκφρασης βούλησης. Σε αυτήν εντάσσεται πρακτικά οτιδήποτε ταυτοποιεί τον υπογράφοντα σε ηλεκτρονικό περιβάλλον:
- Πληκτρολογημένο όνομα στο τέλος email
- Σαρωμένη εικόνα ιδιόχειρης υπογραφής επικολλημένη σε PDF
- Πάτημα κουμπιού "Αποδέχομαι τους όρους"
- Υπογραφή με δάχτυλο ή stylus σε οθόνη tablet
- Εισαγωγή κωδικού PIN ή κωδικού μίας χρήσης
- Βιομετρική επιβεβαίωση (αποτύπωμα, πρόσωπο)
Όλες αυτές οι μορφές είναι νομικά "ηλεκτρονικές υπογραφές", αλλά διαφέρουν ως προς το επίπεδο ασφάλειας και την αποδεικτική ισχύ ενώπιον του δικαστηρίου.
Η ψηφιακή υπογραφή ως κρυπτογραφική υποομάδα
Η ψηφιακή υπογραφή είναι μια τεχνικά συγκεκριμένη υποομάδα ηλεκτρονικών υπογραφών που χρησιμοποιεί ασύμμετρη κρυπτογραφία και ψηφιακά πιστοποιητικά. Τρία βασικά χαρακτηριστικά:
- Ασύμμετρη κρυπτογράφηση: ζεύγος κλειδιών (ιδιωτικό για υπογραφή, δημόσιο για επαλήθευση). Το ιδιωτικό κλειδί γνωστό μόνο στον κάτοχο, το δημόσιο διαθέσιμο σε όλους.
- Ψηφιακό πιστοποιητικό: εκδίδεται από φορέα πιστοποίησης και επιβεβαιώνει ότι συγκεκριμένο δημόσιο κλειδί ανήκει σε συγκεκριμένο πρόσωπο.
- Συνάρτηση κατακερματισμού: μαθηματικό αποτύπωμα του εγγράφου. Κάθε αλλαγή μετά την υπογραφή αλλάζει το hash και καθιστά την υπογραφή άκυρη, παρέχοντας μη αποποίηση (non-repudiation).
Με άλλα λόγια: κάθε ψηφιακή υπογραφή είναι ηλεκτρονική, αλλά δεν είναι κάθε ηλεκτρονική υπογραφή ψηφιακή. Η σχέση είναι σαν τετράγωνο και ορθογώνιο.
Τρία επίπεδα κατά τον νόμο 4727/2020 και τον κανονισμό eIDAS
Ο ελληνικός νόμος 4727/2020 για την ψηφιακή διακυβέρνηση (εναρμονισμένος με τον κανονισμό eIDAS της ΕΕ) ορίζει τρία επίπεδα ηλεκτρονικής υπογραφής:
| Επίπεδο | Τεχνικές απαιτήσεις | Νομική ισχύς | Τυπικό παράδειγμα |
|---|---|---|---|
| Απλή ηλεκτρονική υπογραφή | Οποιαδήποτε ηλεκτρονική μορφή ταυτοποίησης | Νομικά έγκυρη αλλά με αδύναμη αποδεικτική ισχύ, βάρος απόδειξης σε αυτόν που επικαλείται την υπογραφή | Όνομα στην υπογραφή email, κλικ στο "Συμφωνώ", σαρωμένη υπογραφή |
| Προηγμένη ηλεκτρονική υπογραφή (AdES) | Μοναδικά συνδεδεμένη με τον υπογράφοντα, επιτρέπει την ταυτοποίησή του, δημιουργείται με ελεγχόμενα μέσα, συνδέεται με το έγγραφο έτσι ώστε κάθε μετέπειτα αλλαγή να γίνεται αντιληπτή | Μεγαλύτερη αποδεικτική ισχύς, αντιστροφή του βάρους απόδειξης, αν δεν υπάρχει αντίθετη ένδειξη η υπογραφή γίνεται δεκτή ως έγκυρη | Υπογραφή με αναγνωρισμένο πιστοποιητικό χωρίς συσκευή QSCD, π.χ. πιστοποιητικό λογισμικού |
| Εγκεκριμένη ηλεκτρονική υπογραφή (QES) | Προηγμένη υπογραφή που δημιουργείται με εγκεκριμένη συσκευή δημιουργίας υπογραφής (έξυπνη κάρτα, USB token, HSM) βάσει αναγνωρισμένου πιστοποιητικού που εκδίδεται από καταχωρισμένο εγκεκριμένο πάροχο | Νομικά εξισωμένη με ιδιόχειρη υπογραφή σε όλες τις νομικές σχέσεις, αυτόματα αποδεκτή σε όλα τα κράτη μέλη της ΕΕ χωρίς πρόσθετη επαλήθευση | Έξυπνη κάρτα, token Byte, HSM module σε τράπεζα |
Εγκεκριμένοι πάροχοι στην Ελλάδα
Τα αναγνωρισμένα πιστοποιητικά στην Ελλάδα εκδίδουν φορείς πιστοποίησης καταχωρισμένοι στον κατάλογο εμπίστευσης (Trust List) που τηρεί η Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων (ΕΕΤΤ). Πιο γνωστοί είναι η Αρχή Πιστοποίησης Ελληνικού Δημοσίου (ΑΠΕΔ), η Byte Computer, η ADACOM, η Hellenic Exchanges (ATHEX), και αρκετοί εμπορικοί πάροχοι. Η τιμή ενός αναγνωρισμένου πιστοποιητικού κυμαίνεται από 30 έως 150 ευρώ ετησίως, ανάλογα με τον πάροχο και τον τύπο φορέα (κάρτα, token, cloud).
Πότε είναι νομικά απαραίτητο κάθε επίπεδο
| Τύπος εγγράφου | Ελάχιστο επίπεδο | Λόγος |
|---|---|---|
| Εσωτερική επικοινωνία, υπομνήματα | Απλή | Δεν έχει εξωτερική νομική βαρύτητα |
| Παραγγελίες, αναφορές | Απλή ή προηγμένη | Κατά την εσωτερική πολιτική της επιχείρησης |
| Εμπορικές συμβάσεις μεταξύ επιχειρήσεων | Προηγμένη συνιστάται | Αν προκύψει διαφορά στο δικαστήριο, ευκολότερη απόδειξη |
| Συμβάσεις εργασίας | Προηγμένη ελάχιστο, εγκεκριμένη συνιστάται | Οποιαδήποτε διαφορά ενώπιον εργατικού δικαστηρίου |
| Τιμολόγια για φορολογικούς σκοπούς | Προηγμένη (μέσω myDATA) | Νόμος για ηλεκτρονικά τιμολόγια στην Ελλάδα |
| Δικόγραφα και αγωγές | Εγκεκριμένη (υποχρεωτικό) | Δικονομικοί νόμοι απαιτούν QES |
| Συμβάσεις ακινήτων | Συμβολαιογραφική | Η ηλεκτρονική υπογραφή δεν αρκεί, απαιτείται συμβολαιογραφικός τύπος |
| Τραπεζική τεκμηρίωση μεγάλων ποσών | Εγκεκριμένη | Εσωτερικές απαιτήσεις τράπεζας και χρηματοοικονομική νομοθεσία |
| Έγγραφα δημοσίων αρχών, gov.gr | Εγκεκριμένη | Το gov.gr και οι δικαστικές πύλες δεν δέχονται χαμηλότερο επίπεδο |
Τι αποτελεί προηγούμενο στην πράξη: όταν το δικαστήριο απέρριψε απλή ηλεκτρονική υπογραφή
Στην πρακτική των ελληνικών δικαστηρίων έχουν καταγραφεί περιπτώσεις όπου ένα μέρος σε διαφορά προσκόμισε σύμβαση με "σαρωμένη υπογραφή" ως αποδεικτικό μέσο, και το δικαστήριο ζήτησε πραγματογνωμοσύνη. Ο πραγματογνώμονας διαπίστωσε ότι η σαρωμένη υπογραφή δεν παρέχει εγγυήσεις ότι δεν αντιγράφηκε εκ των υστέρων από άλλο έγγραφο, και το δικαστήριο δέχθηκε τέτοια υπογραφή μόνο με πρόσθετα αποδεικτικά μέσα (μάρτυρες, αλληλογραφία, πληρωμές). Όταν υπάρχει εγκεκριμένη ηλεκτρονική υπογραφή, το δικαστήριο τη δέχεται χωρίς πρόσθετη απόδειξη, όπως ακριβώς ιδιόχειρη υπογραφή σε χαρτί.
Διασυνοριακή ισχύς στην ΕΕ
Η εγκεκριμένη ηλεκτρονική υπογραφή που εκδίδεται στην Ελλάδα κατά το πρότυπο eIDAS ισχύει νομικά σε όλα τα κράτη μέλη της ΕΕ χωρίς πρόσθετη επικύρωση. Αυτό είναι ιδιαίτερα σημαντικό για επιχειρήσεις με συνεργάτες στην ΕΕ, καθώς εξαλείφει την ανάγκη για ταξίδια, κούριερ και φυσικές σφραγίδες σε συμβάσεις. Η προηγμένη υπογραφή γίνεται δεκτή σε ορισμένα κράτη, ενώ η απλή υπογραφή αντιμετωπίζεται διαφορετικά από κράτος σε κράτος.
Πώς να επιλέξετε επίπεδο για την περίπτωσή σας
- Νομική υποχρέωση: αν ο νόμος ή ο ρυθμιστής απαιτεί ρητά συγκεκριμένο επίπεδο, χρησιμοποιήστε το (π.χ. το myDATA απαιτεί ηλεκτρονικά τιμολόγια με αναγνωρισμένη υπογραφή, τα δικαστικά υπομνήματα εγκεκριμένη).
- Αξία ή κίνδυνος εγγράφου: σύμβαση αξίας μεγαλύτερης από τον ετήσιο μισθό μέσου εργαζομένου αξίζει ελάχιστα προηγμένη υπογραφή, ιδανικά εγκεκριμένη.
- Διασυνοριακή χρήση: αν το έγγραφο πηγαίνει στο εξωτερικό ή προέρχεται από εκεί, η εγκεκριμένη υπογραφή είναι η μόνη ασφαλής επιλογή.
- Μακροπρόθεσμη φύλαξη: έγγραφα που φυλάσσονται περισσότερο από 5 χρόνια πρέπει να έχουν μορφή που επιτρέπει μακροπρόθεσμη επαλήθευση υπογραφής (LTV, π.χ. PAdES-LTV για PDF).
- Λειτουργική άνεση: για μαζική υπογραφή (εκατοντάδες συμβάσεις ημερησίως), η επένδυση σε QSCD στο cloud μπορεί να αξίζει, καθώς εξαλείφει την ανάγκη για φυσικά tokens.
