Zakaj je razlika pomembna
V vsakdanji komunikaciji se pojma "elektronski podpis" in "digitalni podpis" uporabljata kot sinonima, vendar pravno in tehnično nista isto. Razlika ni akademska: ko podpisujete pogodbo, vredno več sto tisoč evrov, ali vstopate v sodni postopek, izbrani tip podpisa neposredno vpliva na to, ali bo dokument sprejet kot dokaz, ali ga lahko druga stranka izpodbija in ali boste morali ponavljati delo v papirni obliki.
Elektronski podpis kot širok pravni pojem
Elektronski podpis je krovni pojem, ki obsega vsako digitalno obliko izjave volje. Vanj sodi praktično vse, kar identificira podpisnika v elektronskem okolju:
- Vtipkano ime na koncu email sporočila
- Skenirana slika lastnoročnega podpisa, prilepljena v PDF
- Klik gumba "Sprejmem pogoje"
- Podpis s prstom ali stylus pisalom na zaslonu tablice
- Vnos PIN kode ali enkratnega gesla
- Biometrijska potrditev (prstni odtis, obraz)
Vse te oblike so pravno "elektronski podpisi", a se razlikujejo po stopnji varnosti in dokazni moči pred sodiščem.
Digitalni podpis kot kriptografska podskupina
Digitalni podpis je tehnično specifična podskupina elektronskih podpisov, ki uporablja asimetrično kriptografijo in digitalne certifikate. Tri ključne značilnosti:
- Asimetrično šifriranje: par ključev (zasebni za podpisovanje, javni za verifikacijo). Zasebni ključ je znan le lastniku, javni je dostopen vsem.
- Digitalni certifikat: izda ga certifikacijski organ in potrjuje, da določen javni ključ pripada določeni osebi.
- Hash funkcija: matematični odtis dokumenta. Vsaka sprememba po podpisu spremeni hash in podpis postane neveljaven, kar daje neoporečnost (non-repudiation).
Z drugimi besedami: vsak digitalni podpis je elektronski, ni pa vsak elektronski podpis digitalni. To je razmerje kot kvadrat in pravokotnik.
Tri ravni po Zakonu o elektronski identifikaciji in storitvah zaupanja in eIDAS uredbi
Slovenski Zakon o elektronski identifikaciji in storitvah zaupanja (ZEISZ), usklajen z EU eIDAS uredbo, opredeljuje tri ravni elektronskega podpisa:
| Raven | Tehnične zahteve | Pravna moč | Tipičen primer |
|---|---|---|---|
| Preprost (osnovni) e-podpis | Katera koli elektronska oblika identifikacije | Pravno veljaven, a s šibko dokazno močjo, dokazno breme nosi tisti, ki se sklicuje na podpis | Ime v email podpisu, klik na "Strinjam se", skeniran podpis |
| Napredni e-podpis (AdES) | Enotno povezan s podpisnikom, omogoča identifikacijo podpisnika, ustvarjen z nadzorovanimi sredstvi, povezan z dokumentom tako, da je vsaka kasnejša sprememba opazna | Večja dokazna moč, dokazno breme obrnjeno, če ni protisignala, se podpis sprejme kot veljaven | Podpis s kvalificiranim certifikatom brez QSCD naprave, npr. programski certifikat |
| Kvalificirani e-podpis (QES) | Napredni podpis, ustvarjen s kvalificirano napravo za ustvarjanje podpisa (pametna kartica, USB token, HSM) na podlagi kvalificiranega certifikata, ki ga izda registrirani kvalificirani ponudnik | Pravno izenačen z lastnoročnim podpisom v vseh pravnih razmerjih, samodejno sprejemljiv v vseh državah EU brez dodatnega preverjanja | Pametna kartica SIGEN-CA, SIGOV-CA, HSM modul v banki |
Kvalificirani ponudniki v Sloveniji
Kvalificirane certifikate v Sloveniji izdajajo certifikacijski organi, registrirani v Registru kvalificiranih ponudnikov storitev zaupanja, ki ga vodi Ministrstvo za digitalno preobrazbo. Najbolj znani so SIGEN-CA in SIGOV-CA pri Ministrstvu za javno upravo, POŠTA®CA pri Pošti Slovenije, AC NLB pri Novi Ljubljanski banki ter nekaj komercialnih ponudnikov. Cena kvalificiranega certifikata se giblje od 30 do 100 EUR letno, odvisno od ponudnika in tipa nosilca (kartica, token, oblak).
Kdaj je katera raven zakonsko nujna
| Tip dokumenta | Minimalna raven | Razlog |
|---|---|---|
| Interna komunikacija, dopisi | Preprost | Brez zunanje pravne teže |
| Naročilnice, poročila | Preprost ali napredni | Po notranji politiki podjetja |
| Komercialne pogodbe med podjetji | Napredni priporočen | Če spor pride na sodišče, lažje dokazljivo |
| Pogodbe o zaposlitvi | Napredni minimum, kvalificirani priporočen | Vsak spor pred delovnim sodiščem |
| Računi za davčne namene (e-SLOG) | Napredni (preko sistema e-SLOG) | Zakon o davčnem postopku |
| Predlogi sodiščem in tožbe (eSodstvo) | Kvalificirani (obvezno) | Procesni zakoni zahtevajo QES |
| Pogodbe o nepremičninah | Notarsko (overjeno) | Elektronski podpis ni dovolj, potrebna notarska oblika |
| Bančna dokumentacija z visokimi zneski | Kvalificirani | Notranje zahteve banke in finančna regulativa |
| Dokumenti državnih organov, eUprava | Kvalificirani | eUprava in sodni portali ne sprejemajo nižje ravni |
Kaj je precedens v praksi: ko je sodišče zavrnilo preprost e-podpis
V praksi slovenskih sodišč so zabeleženi primeri, ko je stranka v sporu predložila pogodbo s "skeniranim podpisom" kot dokaz, sodišče pa je zahtevalo izvedensko mnenje. Izvedenec je ugotovil, da skenirani podpis ne daje jamstev, da ni bil naknadno kopiran iz drugega dokumenta, in sodišče je tak podpis sprejelo le ob dodatnih dokazih (priče, korespondenca, plačila). Ko obstaja kvalificirani elektronski podpis, ga sodišče sprejme brez dodatnega dokazovanja, enako kot lastnoročni podpis na papirju.
Čezmejna veljavnost v EU
Kvalificirani elektronski podpis, izdan v Sloveniji po eIDAS standardu, pravno velja v vseh državah EU brez dodatne overitve. To je posebej pomembno za podjetja, ki imajo partnerje v EU, saj odpravlja potrebo po potovanjih, kurirjih in fizičnih žigih na pogodbah. Napredni podpis se sprejema v nekaterih državah, medtem ko se preprost podpis obravnava različno od države do države.
Kako izbrati raven za vaš primer
- Pravna obveznost: če zakon ali regulator izrecno zahteva določeno raven, jo uporabite (npr. e-SLOG zahteva napredni podpis, sodni vlogi kvalificirani).
- Vrednost ali tveganje dokumenta: pogodba, vredna več kot letna plača povprečnega zaposlenega, si zasluži vsaj napredni podpis, idealno kvalificirani.
- Čezmejna uporaba: če dokument gre v tujino ali prihaja iz tujine, je kvalificirani podpis edina varna izbira.
- Dolgoročna hramba: dokumenti, ki se hranijo dlje kot 5 let, naj imajo format, ki omogoča dolgoročno validacijo podpisa (LTV, npr. PAdES-LTV za PDF).
- Operativna udobnost: za množično podpisovanje (stotine pogodb dnevno) lahko naložba v QSCD v oblaku obrodi sadove, saj odpravlja potrebo po fizičnih tokenih.
