Digitális vs. elektronikus aláírás
Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
Ha az elektronikus, illetve digitális aláírások iránt érdeklődünk, könnyen szembesülhetünk azzal, hogy a két fogalmat mind a gyakorlatban, mind termékismertetőkben, de még akár szakcikkekben is szinonimaként használják. Cikkünkben bemutatjuk a két aláírástípus közötti alapvető különbséget.
1. Hogyan lehet mégis különbséget tenni a digitális aláírás és az elektronikus aláírás között?
Ha megnézzük a vonatkozó jogszabályok és szabványokat, akkor látható, hogy a digitális aláírás és elektronikus aláírás fogalmak sokban hasonlítanak egymáshoz, az alapvető különbség az, hogy a digitális aláírás elsősorban egy műszaki fogalom, amely a technológiára is utal (kriptográfiai transzformáció)[1] . Az elektronikus aláírás ezzel szemben jogi fogalom, amelyet jogszabály (az eIDAS rendelet[2]) határoz meg. Az eIDAS rendelet az elektronikus aláírást nagyon tág és technológia-független fogalomként definiálja („az elektronikus aláírás olyan elektronikus adat, amelyet más elektronikus adathoz csatolnak, illetve logikailag hozzárendelnek és amelyet az aláíró aláírásra használ”)[3], így az elektronikus aláírás fogalmából nem következik feltétlenül kriptográfiai módszerek alkalmazása.
Tehát: minden digitális aláírás elektronikus aláírás, de nem minden elektronikus aláírás minősül (kriptográfiai algoritmusokon alapuló) digitális aláírásnak.
Az „egyszerű” elektronikus aláírások nem alapulnak olyan biztonságos kódolási módszereken, mint a fokozott biztonságú és a minősített elektronikus aláírások. Ahhoz, hogy egy elektronikus aláírás fokozott vagy minősített biztonságú legyen, szigorú műszaki követelményeknek kell megfelelnie, ezáltal lényegesen nagyobb biztonságot nyújtva a felhasználók számára, mint egy „egyszerű” e-aláírás. Az ilyen, biztonságos e-aláírásokhoz a jogalkotó ezért jogszabályban nevesített joghatást rendel, míg az „egyszerű” elektronikus aláírás jogszabályban nevesített joghatással nem rendelkezik.
2. Az „egyszerű” elektronikus aláírás, avagy elegendő biztonságot nyújt-e az e-mailbe illesztett vagy a dokumentum végére „beszúrt” aláíráskép?
Csábító megoldásnak tűnhet, ha azt a gyors és egyszerű módszert tekintjük elektronikus aláírásnak, hogy az e-mail végére feladóként odaírjuk a nevünket, beillesztjük a levelezőprogramban szerkeszthető aláíráspanelt, esetleg a .pdf formátumú dokumentumra (szerződésre, nyilatkozatra) az Adobe vagy Paint programok segítségével szúrunk be aláírásképet. Nyilatkozatunkat, panaszunkat „aláírhatjuk” chat felületen, SMS-ben, a másik fél által rendelkezésre bocsátott elektronikus platformon is, hiszen végülis egy olyan elektronikus adatról van szó, amit aláírásra használunk, és amelyet más elektronikus adathoz csatolunk. A nevünk valamilyen formában valóban megjelenik ezeken a dokumentumokon, de egy esetleges jogvitában mire számíthatunk vajon ezen nyilatkozatok kapcsán, hogyan tudjuk majd bizonyítani az igazunkat?
Az eIDAS rendeletben definiált „egyszerű” elektronikus aláírás fogalmának a fenti módokon létrehozott aláírások mind megfelelnek, azok tehát ilyen értelemben valóban elektronikus aláírások. Ezekhez az „egyszerű” elektronikus aláírásokhoz azonban semmiféle jogszabályban rögzített joghatás nem kapcsolódik, tehát ha bizonyítékként szeretnénk felhasználni az ilyen módon aláírt dokumentumot, nyilatkozatot, akkor elég nehéz helyzetben leszünk, hiszen a jog nem fogja feltételezni, hogy az adott nyilatkozatot valóban mi tettük, az valóban a mi aláírásunk (hiszen könnyen belátható, hogy bárki más is rá tud tenni egy szkennelt dokumentumból kivágott aláírásképet egy .pdf-re, így az adott „elektronikus aláírás” nagyon könnyen hamisítható, nem kizárólag hozzánk köthető).
Ha ilyen „egyszerű” elektronikus aláírást olyan esetben használunk, amikor jogszabály vagy szerződés azt írja elő, hogy írásban kell nyilatkozatot tenni (pl. munkaszerződések, társasági jogi nyilatkozatok, bérleti és haszonbérleti szerződések, illetve ezek megszüntetése esetén), akkor utóbb a nyilatkozatunk írásbeliségét minden esetben egyedileg kell vizsgálni[4], ami jelentős kockázat, hiszen ha utóbb pl. a bíróság előtt nem tudjuk hitelt érdemlően bizonyítani, hogy valóban mi tettük a nyilatkozatot, akkor az formai okból érvénytelennek fog minősülni. Mivel az ilyen „egyszerű” e-aláírásokhoz nem kapcsolja a jog a „letagadhatatlanság” vélelmét, az ilyen módszerrel aláírók utólag bármikor állíthatják azt, hogy az aláírás nem tőlük származik, az ott szereplő kötelezettségeket így nem ismerik el… Kérdéses tehát, hogy egy nagyobb összegű szerződésnél fel akarjuk-e vállalni azt a kockázatot, hogy a partner ilyen módon „ír alá”…
Érdemes tudni, hogy a külföldön igen népszerű DocuSign szolgáltatás alap verziójának megvásárlásával is ilyen „egyszerű” elektronikus aláírás birtokába juthatunk, amelyet sztenderd elektronikus aláírásnak („Standard Electronic Signature – SES”) neveznek és megkülönböztetik a fokozott, illetve minősített elektronikus aláírásoktól („Digital Signature: AES – Advanced Electronic Signature, QES – Qualified Electronic Signature”) és maguk is hosszasan bemutatják, hogy mely dokumentumtípusok, tranzakciók aláírására NEM használható Magyarországon az ún. sztenderd elektronikus aláírás.[5]
3. A fokozott biztonságú és a minősített elektronikus aláírás – avagy mit nyújt a digitális technológiai háttérrel rendelkező, tanúsítvány alapú elektronikus aláírás?
A fenti, „egyszerű” elektronikus aláírás mellett az eIDAS rendelet nevesít másik két típusú elektronikus aláírást, a fokozott biztonságú elektronikus aláírást[6] és a minősített elektronikus aláírást[7], melyek a jogszabályban foglalt írásbeliség kritériumait teljesítik, letagadhatatlanok és bizonyító erejük is jóval erősebb.
Ezen aláírások mögött található meg az a PKI technológia[8], mely garantálja az eIDAS szerinti követelményeknek való megfelelést. Maga az eIDAS szerinti definíció nem zárja ki más technológia használatát, de annak megfelelőségét (pl. „biometrikus aláírás”) külön igazolni szükséges.
Ezen PKI technológia garantálja a fokozott biztonságú és a minősített elektronikus aláírás esetén a dokumentum
- írásbeliségét, így valamennyi, fokozott vagy minősített elektronikus aláírással ellátott nyilatkozat megfelel az írásbeliség Polgári Törvénykönyvben rögzített követelményeinek[9]
- sértetlenségét, azaz azt, hogy az aláírást követően bekövetkező változtatás esetén az aláírás érvénytelen,
- eredetének hitelességét, azaz azt, hogy a tanúsítvány kiadását minden esetben megelőző azonosításnak köszönhetően tudható, hogy a dokumentumot ki írta alá,
- letagadhatatlanságát, azaz azt, hogy az aláíró nem tudja később letagadni, hogy a dokumentumot ő írta alá, így az rá nézve állapít meg kötelezettséget.
- bizonyító erejét tekintve pedig
- a minősített elektronikus aláírás a saját kezű aláírással azonos joghatású[10], azaz ezzel más személyek „segítsége”, tanúk, ügyvéd vagy közjegyző nélkül is létrehozható olyan dokumentum, ami teljes bizonyító erővel bír[11], azaz az ellenkező bizonyításáig az egész EU területén teljes bizonyító erővel bizonyítja, hogy az okirat aláírója az abban foglalt nyilatkozatot megtette, illetve elfogadta vagy magára kötelezőnek ismerte el. Aki pedig ezek ellenkezőjét állítja, azt annak kell bizonyítania, a minősített elektronikus aláírást használó félnek tehát semmi teendője nincs.
- a legalább fokozott biztonságú elektronikus aláírással ellátott okirathoz a „meg nem hamisítottság vélelme” kapcsolódik[12], azaz a jog feltételezi, hogy a nyilatkozatot annak aláírója tette, de ez még nem bizonyosság, így annak ellenbizonyítása, hogy az aláírás valóban attól származik, aki a dokumentumot aláírta, könnyebb, mint minősített e-aláírások esetén (a személyes azonosítás hiánya miatt).
[1] ETSI EN 319-411 Electronic Signatures and Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates
[2] Európai Parlament és a Tanács 910/2014/EU számú, a belső piacon történő elektronikus tranzakciókhoz kapcsolódó elektronikus azonosításról és bizalmi szolgáltatásokról, valamint az 1999/93/EK irányelv hatályon kívül helyezéséről szóló rendelete
[3] eIDAS rendelet 3. cikk 10. pont
[4] A bíróság előtt bizonyítani kell, hogy ki volt a nyilatkozattevő, mikor tette a nyilatkozatot, a nyilatkozat formája alkalmas-e jognyilatkozatban foglalt tartalom változatlan visszaidézésére. https://kuria-birosag.hu/hu/ptk?page=1 A Kúria polgári ügyekben kialakított gyakorlata alapján egy egyszerű email alapján a nyilatkozattevő személye nem azonosítható önmagában egy emailes aláírás alapján, így az írásbeliség kritériumai nem teljesülnek.
[5] https://www.docusign.com/products/electronic-signature/legality/hungary/
[6] eIDAS rendelet 26. cikk
[7] eIDAS rendelet 3. cikk 12. pont
[8] https://hu.wikipedia.org/wiki/Nyilv%C3%A1nos_kulcs%C3%BA_infrastrukt%C3%BAra
[9] Polgári Törvénykönyvről szóló 2013. évi V. törvény 6:7. § (3) bek.
[10] eIDAS rendelet 25. cikk (2) bekezdés
[11] Polgári perrendtartásról szóló 2016. évi CXXX. törvény (Pp) 325. § f) pont
[12] Pp 325. § (5) bekezdés