Jednoduchý elektronický podpis: ilúzia bezpečnosti
Jednoduchý elektronický podpis, skrátene SES, je to, čo si väčšina ľudí pod digitálnym podpisom predstaví. Niekto klikne na „podpísať“, jeho meno sa objaví ako dôkaz, že to urobil, a časová pečiatka zaznamená, kedy sa tak stalo. A to je všetko.
Žiadne overenie totožnosti. Žiadny špeciálny certifikát. Žiadne šifrovanie. Žiadna ochrana proti manipulácii. SES môžete sfalšovať skopírovaním obrázka cudzieho podpisu. Dokument môžete po podpise zmeniť a SES tam bude sedieť úplne spokojne ďalej. Z technického hľadiska je SES sotva niečím viac ako metadáta pripojené k súboru.
A teraz to podstatné: SES je podľa nariadenia eIDAS v EÚ technicky právne platný. Súdy sa ním budú zaoberať. Ak však niekto neskôr vyhlási, že dokument nikdy nepodpísal, bojujete do kopca. V podstate hovoríte „nemám ani tušenia, od koho to naozaj prišlo, ale dúfam, že to bol on“. To nie je silná pozícia.
SES sa hodí na interné firemné použitie: schvaľovacie formuláre, interné potvrdzovanie procesných zmien, potvrdenia rozpočtu v rámci vašej organizácie, kde si aj tak všetci navzájom veria. Len čo do hry vstúpia externé strany alebo čokoľvek nesie reálne riziko, SES sa stáva rizikom prezlečeným za riešenie.
Pokročilý elektronický podpis: praktický štandard
Pokročilý elektronický podpis, skrátene AES, je tam, kde by mala žiť väčšina obchodných zmlúv. Toto je kategória, ktorá skutočne niečo znamená.
AES vyžaduje kvalifikované digitálne certifikáty. To znamená, že certifikačná autorita pred vydaním certifikátu overila totožnosť osoby do určitej miery. Nevyžaduje skenovanie preukazu totožnosti – to je územie QES – ale vyžaduje skutočné overenie. Často overenie telefónneho čísla v kombinácii s kontrolou identity inými kanálmi.
Len čo je certifikát zavedený, podpis sa pri použití AES stáva matematicky naviazaný na dokument. Po podpise nemožno dokument zmeniť bez toho, aby sa podpis stal neplatným. Zmeňte jediný znak a celé to prestane fungovať.
Toto je úroveň, ktorá pokrýva seriózne obchodné potreby bez réžie spojenej s procesmi overovania identity podľa štátnych preukazov. Obchodné zmluvy: AES funguje bezchybne. NDA: AES je štandard. Pracovné zmluvy: AES ich zvláda. Lízingové zmluvy: AES je solídny. Zmluvy o dielo: AES vás pokryje.
AES má podľa eIDAS silnú právnu pozíciu. Ak niekto podpis napadne, argumentuje proti kvalifikovaným certifikátom, šifrovaniu a detekcii manipulácie. Ste vo výrazne silnejšej pozícii ako pri SES, ale ešte nie ste na úrovni, kedy zákon predpokladá platnosť podpisu, pokiaľ sa nepreukáže opak – to je QES.
Kvalifikovaný elektronický podpis: keď na tom naozaj záleží
Kvalifikovaný elektronický podpis, skrátene QES, je ťažká váha. Používa sa tam, kde je zlyhanie skutočne drahé alebo právne komplikované.
QES vyžaduje kvalifikovaný certifikát vydaný štátom schváleným poskytovateľom dôveryhodných služieb. Pred vydaním certifikátu niekto osobne overí vašu totožnosť pomocou oficiálnych štátnych dokumentov — pasu, občianskeho preukazu alebo ekvivalentu. Stojí to viac a trvá to dlhšie ako pri AES, pretože je to skutočne dôkladné.
Ale tu je právny rozdiel: podľa eIDAS má QES presne rovnakú právnu váhu ako vlastnoručný podpis. Bodka. Súdy ho nespochybňujú. Dôkazné bremeno sa obracia. Ak niekto QES podpis napadne, musí dokázať, že bol sfalšovaný alebo zmanipulovaný. Vy nemusíte dokazovať, že bol legitímny.
Na tom záleží pri fúziách a akvizíciách, kde dokumenty nesú mnohomiliónovú zodpovednosť. Záleží na tom pri pracovných zmluvách s vážnymi odstupnými klauzulami. Záleží na tom pri úverových zmluvách, zdravotníckej dokumentácii a citlivých právnych zmluvách. Pri všetkom, kde by sporný podpis mohol vašej firme skutočne ublížiť.
Cenový rozdiel medzi AES a QES býva menší, ako ľudia čakajú. Často len niekoľko eur na podpis. Rozdiel v právnej ochrane je však obrovský.
Ako sa rozhodnúť: rozhodovací strom
Kladte si tieto otázky v tomto poradí:
- Ide o interný dokument alebo proces? Použite SES. Žiadne externé strany znamenajú, že podpisy používate iba na sledovanie workflow.
- Ide o štandardnú obchodnú zmluvu s externou stranou? Prejdite na AES. Obchodné dohody, NDA, podmienky služby, lízingové zmluvy. AES je štandardom z dobrého dôvodu.
- Zahŕňa zmluva významné čiastky, právnu zložitosť alebo regulačné požiadavky? Použite QES. Pracovné zmluvy so skutočným odstupným. Fúzie a akvizície. Úverové zmluvy. Zdravotníctvo. Nehnuteľnosti.
- Žiada si protistrana konkrétny typ podpisu? Použite to, čo vyžaduje. Vždy rešpektujte konkrétne požiadavky zakotvené v zmluve alebo diktované štandardmi odvetvia.
Úprimné zhrnutie
Väčšina firiem potrebuje AES ako svoj základ. Je to voľba uvažujúceho človeka. Platíte za skutočnú bezpečnosť bez réžie plného overovania totožnosti podľa štátnych preukazov. Kryjete si chrbát pri bežných obchodných zmluvách bez zbytočnej komplikovanosti.
Niektoré firmy občas potrebujú QES pre konkrétne zmluvy s vysokou hodnotou. Pre takéto situácie si to zaveďte do workflow. Vedzte, kedy to potrebujete.
A SES? Ak ho nepoužívate interne alebo na tie najtriviálnejšie potvrdenia, beriete zbytočné riziko. Keď sa niečo pokazí, právne krytie tam nie je.
| Vlastnosť | Jednoduchý (SES) | Pokročilý (AES) | Kvalifikovaný (QES) |
|---|---|---|---|
| Overenie identity | Žiadne | Založené na certifikáte (telefón/e-mail) | Štátne ID + QTSP certifikát |
| Detekcia manipulácie | Žiadna | Áno — podpis sa zneplatní pri zmene | Áno — šifrované + časová pečiatka |
| Právna váha (eIDAS) | Platný, ale ľahko spochybniteľný | Silný — napadnuteľný, ale solídny | Rovný vlastnoručnému podpisu |
| Dôkazné bremeno | Na vás | Prevažne na vás | Na tom, kto napáda |
| Vhodný pre | Interné workflow | NDA, zmluvy, HR | M&A, financie, právne listiny |