Zašto je razlika važna
U svakodnevnoj komunikaciji, pojmovi "elektronički potpis" i "digitalni potpis" koriste se kao sinonimi, ali pravno i tehnički to nisu iste stvari. Razlika nije akademska: kada potpisujete ugovor vrijedan stotine tisuća eura ili ulazite u sudski postupak, odabrani tip potpisa izravno utječe na to hoće li dokument biti prihvaćen kao dokaz, može li ga druga strana osporiti, i hoćete li morati ponavljati posao u papirnatom obliku.
Elektronički potpis kao širok pravni pojam
Elektronički potpis je krovni pojam koji obuhvaća svaku digitalnu formu izjave volje. U njega ulazi praktički sve što identificira potpisnika u elektroničkom okruženju:
- Utipkano ime na kraju email poruke
- Skenirana slika vlastoručnog potpisa zalijepljena u PDF
- Klik gumba "Prihvaćam uvjete"
- Potpis prstom ili stylus olovkom na ekranu tableta
- Unos PIN koda ili jednokratne lozinke
- Biometrijska potvrda (otisak, lice)
Svi ovi oblici su pravno "elektronički potpisi", ali se razlikuju po razini sigurnosti i dokaznoj snazi pred sudom.
Digitalni potpis kao kriptografska podgrupa
Digitalni potpis je tehnički specifična podgrupa elektroničkih potpisa koja koristi asimetričnu kriptografiju i digitalne certifikate. Tri ključne karakteristike:
- Asimetrično šifriranje: par ključeva (privatni za potpisivanje, javni za verifikaciju). Privatni ključ poznat samo vlasniku, javni dostupan svima.
- Digitalni certifikat: izdaje ga certifikacijsko tijelo i potvrđuje da određeni javni ključ pripada određenoj osobi.
- Hash funkcija: matematički otisak dokumenta. Svaka izmjena nakon potpisa mijenja hash i čini potpis nevažećim, što daje neporecivost (non-repudiation).
Drugim riječima: svaki digitalni potpis jest elektronički, ali nije svaki elektronički potpis digitalni. To je odnos kao kvadrat i pravokutnik.
Tri razine po Zakonu o provedbi Uredbe (EU) br. 910/2014 (eIDAS)
Hrvatski Zakon o provedbi Uredbe (EU) br. 910/2014 o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu definira tri razine elektroničkog potpisa:
| Razina | Tehnički zahtjevi | Pravna snaga | Tipičan primjer |
|---|---|---|---|
| Jednostavni (osnovni) e-potpis | Bilo koja elektronička forma identifikacije | Pravno važeći ali sa slabom dokaznom snagom, teret dokaza na onom tko se poziva na potpis | Ime u email potpisu, klik na "Slažem se", skenirani potpis |
| Napredni e-potpis (AdES) | Jedinstveno povezan s potpisnikom, omogućuje identifikaciju potpisnika, kreiran kontroliranim sredstvima, povezan s dokumentom tako da je svaka kasnija izmjena uočljiva | Veća dokazna snaga, teret dokaza obrnut, ako nema kontrasignala potpis se prihvaća kao valjan | Potpis kvalificiranim certifikatom bez QSCD uređaja, npr. softverski certifikat |
| Kvalificirani e-potpis (QES) | Napredni potpis kreiran kvalificiranim uređajem za kreiranje potpisa (smart kartica, USB token, HSM) na temelju kvalificiranog certifikata izdanog od strane registriranog kvalificiranog pružatelja | Pravno izjednačen s vlastoručnim potpisom u svim pravnim odnosima, automatski prihvatljiv u svim državama EU bez dodatne provjere | Smart kartica FINA-e, AKD eOI, HSM modul u banci |
Kvalificirani pružatelji u Hrvatskoj
Kvalificirane certifikate u Hrvatskoj izdaju certifikacijska tijela registrirana u Registru kvalificiranih pružatelja usluga povjerenja koji vodi Hrvatska regulatorna agencija za mrežne djelatnosti (HAKOM). Najpoznatiji su FINA (Financijska agencija), AKD (Agencija za komercijalnu djelatnost) koja izdaje eOI (elektroničku osobnu iskaznicu), te nekoliko komercijalnih pružatelja. Cijena kvalificiranog certifikata kreće se od 25 do 100 EUR godišnje, ovisno o pružatelju i tipu nositelja (kartica, token, oblak).
Kada je koja razina zakonski neophodna
| Tip dokumenta | Minimalna razina | Razlog |
|---|---|---|
| Interna komunikacija, dopisi | Jednostavni | Nema vanjske pravne težine |
| Narudžbenice, izvješća | Jednostavni ili napredni | Po internoj politici tvrtke |
| Komercijalni ugovori između tvrtki | Napredni preporučen | Ako spor dođe na sud, lakše dokazati |
| Ugovori o radu | Napredni minimum, kvalificirani preporučen | Bilo koji spor pred sudom rada |
| Računi za porezne svrhe (e-Račun) | Napredni (preko sustava e-Račun) | Zakon o elektroničkom izdavanju računa |
| Prijedlozi sudovima i tužbe (e-Komunikacija) | Kvalificirani (obvezno) | Procesni zakoni traže QES |
| Ugovori o nekretninama | Javnobilježnički (ovjeren) | Elektronički potpis nije dovoljan, potrebna javnobilježnička forma |
| Bankovna dokumentacija s visokim iznosima | Kvalificirani | Interni zahtjevi banke i financijska regulativa |
| Dokumenti državnih tijela, e-Građani | Kvalificirani | e-Građani i sudski portali ne prihvaćaju nižu razinu |
Što je presedan u praksi: kada je sud odbacio jednostavan e-potpis
U praksi hrvatskih sudova zabilježeni su slučajevi gdje je strana u sporu dostavila ugovor sa "skeniranim potpisom" kao dokaz, a sud zatražio vještačenje. Vještak je utvrdio da skenirani potpis ne pruža jamstva da nije naknadno kopiran s drugog dokumenta, i sud je takav potpis prihvatio samo uz dodatne dokaze (svjedoci, prepiska, plaćanja). Kada postoji kvalificirani elektronički potpis, sud ga prihvaća bez dodatnog dokazivanja, isto kao vlastoručni potpis na papiru.
Prekogranično važenje u EU
Kvalificirani elektronički potpis izdan u Hrvatskoj prema eIDAS standardu pravno vrijedi u svim državama EU bez dodatne ovjere. To je posebno bitno za tvrtke koje imaju partnere u EU, jer eliminira potrebu za putovanjima, kuririma i fizičkim pečatima na ugovorima. Napredni potpis se prihvaća u nekim državama, dok se jednostavni potpis tretira različito od države do države.
Kako odabrati razinu za vaš slučaj
- Pravna obveza: ako zakon ili regulator izričito traži određenu razinu, koristite je (npr. e-Račun traži kvalificirani potpis, sudski podnesci kvalificirani).
- Vrijednost ili rizik dokumenta: ugovor vrijedan više od godišnje plaće prosječnog zaposlenika zaslužuje minimum napredni potpis, idealno kvalificirani.
- Prekogranična uporaba: ako dokument ide u inozemstvo ili dolazi iz inozemstva, kvalificirani potpis je jedini siguran izbor.
- Dugoročno čuvanje: dokumenti koji se čuvaju duže od 5 godina trebaju imati format koji omogućuje dugoročnu validaciju potpisa (LTV, npr. PAdES-LTV za PDF).
- Operativni komfor: za masovno potpisivanje (stotine ugovora dnevno), ulaganje u QSCD u oblaku može vrijediti, jer eliminira potrebu za fizičkim tokenima.
