Ce este semnatura electronica

Articolul își propune să răspundă la următoarele întrebări:

  • ce este semnătura electronică (semnatura digitală)
  • diferența dintre semnătura electronică și semnătura olografă în format electronic
  • ce este semnătura electronică extinsă
  • ce este certificatul digital
  • cine utilizează semnătura electronică în România
  • cine oferă servicii de certificare digitală în România
  • ce instituții ale statului acceptă sau solicită ca documentele să fie semnate electronic
  • care sunt avantajele utilizării semnăturii electronice
  • cum se generează semnătura electronică

Importanța semnăturii electronice

Semnătura electronică certifică faptul că documentul digital este realizat sau, cel puțin, asumat de către persoana care l-a semnat, iar continutul documentului digital nu a suferit modificări din momentul semnării electronice.

Legea semnăturii electronice

Conform articolului 4, punctul 3 din Legea semnăturii electronice (Legea nr. 455 / 2001)  Semnătura electronică reprezintă date în forma electronică, care sunt atașate sau logic asociate cu alte date în formă electronică și care servesc ca metodă de identificare”. Un document (fişier) este reprezentat drept o înşiruire de biți (1 şi 0, de exemplu 1101111011010111110001…01110), iar în urma aplicării semnăturii electronice el “se îmbogăţeşte” cu încă un şir de biți (alt şir compus din 1 şi 0).

Diferența dintre semnătura electronică și semnătura olografă în format electronic

Fişierul rezultat (un .pdf, .jpg, .gif, de exemplu) prin scanarea unei pagini semnate olografic (de mână) nu este considerat un document semnat electronic. Semnătura olografă inclusă ca imagine într-un document în format electronic nu oferă garanția ca documentul a fost semnat la un anumit moment de timp  și poate fi ușor “decupată” dintr-un fișier pentru a putea fi inserată în alt fișier. Semnătura electronică este corelată cu documentul digital pe care a fost aplicată, astfel că operațiunea de copiere de pe un fișier pe altul este inutilă.

Semnătura electronică extinsă

Pentru a avea valoare legală (în mod identic cu a unei semnături private, olografe) un document trebuie să conțină o semnătură electronică extinsă bazată pe un certificat digital calificat şi realizată cu ajutorul unui dispozitiv securizat de creare a semnăturii electronice.

Semnătura electronică extinsă îndeplinește următoarele condiții:
1. Este legată în mod unic de semnatar.
2. Oferă identificarea semnatarului.
3. Este realizată prin mijloace controlate doar de către semnatar.
4. Este dependentă de documentul în format electronic pe care se aplică astfel încat orice modificare ulterioară a documentului să invalideze automat semnătura electronică.

Certificat digital calificat

Pentru a putea oferi identificarea semnatarului semnătura electronică extinsă are atașat un certificat digital calificat (o colecție de date în format electronic care atestă legătura dintre semnatar și datele de verificare a semnăturii digitale). Certificatul digital calificat cuprinde mai multe informații cum ar fi:

  • numele semnatarului
  • furnizorul de servicii de certificare
  • CNP-ul semnatarului
  • perioada de valabilitate
  • semnătura electronică extinsă a furnizorul de servicii de certificare
  • alte informații incluse le găsiți în articolul privind condițiile ce trebuie să le îndeplinească un certificat digital calificat

Kit pentru realizarea semnăturii electronice extinse

Semnătura electronică extinsă (acel nou șir de biți care se inserează în documentul ce se dorește a fi semnat) este generată de un dispozitiv pus la dispoziția unei persoane (semnatar) de către o firmă ce oferă servicii de certificare digitală. Semnatarul va putea semna atât în nume propriu (persoana fizică), cât și în numele unui terț (de exemplu un contabil va putea semna pentru una sau mai multe persoane juridice).

Pentru a putea aplica o semnătură electronică extinsă pe un document o persoană fizică trebuie să dețină:

  • un dispozitiv (token) care are asociat un cod PIN pentru a fi accesat
  • un certificat digital calificat emis de către un furnizor de servicii de certificare recunoscut după ce i-a fost verificată/probată identitatea
  • o aplicație software (program)

Bineînțeles că un furnizor de certficate digitale va oferi un pachet (kit) format din aceste 3 componente acelei persoane care dorește să aibă posibilitatea să semneze electronic.

Prin semnătura electronică extinsă este garantată:

  • integritatea (asupra documentului nu au fost operate modificări după momentul semnării)
  • autenticitatea (certificatul digital calificat oferă informații despre persoana care a semnat electronic)
  • nonrepudierea (la semnarea documentului se utilizează un dispozitiv electronic accesat cu PIN/parolă, iar deținătorului acestuia nu îi este permis prin lege să îl împrumute sau înstrăineze, deci acesta nu îl poate respinge și răspunde legal la fel ca în cazul semnăturii olografe)

Cine poate să utilizeze semnătura electronică extinsă?

Orice persoană care deține o pereche funcțională cheie publică / cheie privată (la sfârșitul articolului sunt câteva considerații tehnice privind modalitatea de generare a semnăturii electronice) obținută de la un furnizor de servicii de certificare și a cărui identitate este probată printr-un certificat digital calificat.

Furnizori certificate digitale calificate

Lista firmelor din România care oferă certificate digitale, ordonată după cifra de afaceri (cf. bilanțurilor contabile depuse pentru anul 2016). Este destul de probabil ca aceste firme să ofere și alte servicii care să contribuie la valorile afișate în graficul de mai jos.

Furnizori Semnatura Electronica
Furnizori Semnatura Electronica

Certificatele digitale calificate emise de furnizorii acreditaţi din România sunt recunoscute în următoarele țari din Uniunea Europeană: Cehia, Danemarca, Finlanda, Germania, Letonia, Lituania, Polonia, Portugalia, Slovacia, Slovenia, Suedia și Ungaria.

Unde se poate folosi semnătura electronică ?

Semnătura electronică se poate aplica fișierelor obținute prin utilizarea diferitelor programe informatice cum ar fi editoarele de texte (Microsoft Word, de exemplu), aplicațiile de calcul tabelar (Excel), care operează cu fotografiile digitale, programele de evidență contabilă etc.

Formatul pdf (considerat superior dpdv al securității integrității informațiilor) este foarte utilizat, find mai ales cerut în relația cu diferitele instituții ale statului.

Certificatul digital calificat (pe baza căruia se poate genera o semnătura electronică extinsă) poate fi utilizat pentru:

  • depunerea declarațiilor fiscale la ANAF (Agenţia Naţională de Administrare Fiscală);
  • raportările către Casele de Sănătate (CASMB, CNAS, CASMT, OPSNAJ);
  • semnarea anumitor documente necesare înființării unei firme trimise către ONRC (Oficiul Naţional al Registrului Comerţului);
  • semnarea electronică şi transmiterea documentelor cerute de autorităţile contractante din cadrul SEAP (Sistemului Electronic de Achiziţii Publice);
  • transmiterea raportărilor către  CSSP (Comisia de Supraveghere a Sistemului de Pensii Private);
  • raportări către CNVM (Comisia Naţională a Valorilor Mobiliare);
  • semnarea electronică a mesajelor către alte instituții cum ar fi ITM (Inspectoratul Teritorial de Muncă), Monitorul Oficial, Depozitarul Central, BVB, CSA-CEDAM, MYSMIS;
  • semnarea facturilor electronice (operațiune diferită de scanarea unei facturi semnate olograf)
  • semnarea electronică a unor documente cu implicații legale (contracte, notificări samd) trimise unor parteneri sau utilizate între angajații unei companii
  • autentificarea în anumite sisteme informatice

De exemplu în 2017 declarația 112 era acceptată la Agenţia Naţională de Administrare Fiscală (ANAF) doar semnată electronic, iar pentru declarația 100 contribuabilul putea alege între forma clasică (semnată olograf, pe hârtie) și cea semnată electronic. Începând cu anul 2018 sunt acceptate doar declarațiile fiscale semnate electronic.

Avantajele utilizării semnăturii electronice:

  • Comunicarea mai rapidă între angajații companiilor și partenerii acestora;
  • Siguranța că documentul nu a fost alterat în procesul transmiterii (orice modificare duce la anularea semnăturii electronice) și că a fost semnat într-adevăr de persoana ale cărei date sunt incluse în certificatul digital calificat inclus în semnătura electronică extinsă;
  • Rapiditatea în cazul rezolvării contestărilor (este cu mult mai ușor de verificat o semnătură electronică decât o semnătură olografă);
  • Reducerea costurilor privind cheltuielile generate de imprimarea, trimiterea, accesarea și stocarea unui document.

În anumite cazuri, mai ales în relația firmelor cu diferite instituții ale statului, utilizarea semnăturii electronice nu este doar o opțiune, ci o necesitate.

Bineînțeles că documentele semnate electronic pot fi tipărite la imprimantă.


Cum este generată semnătura electonică dpdv tehnic:

  1. documentul/fișierul pe care îl putem vizualiza pe un monitor
  2. este o înșiruire de biți 0 și 1
  3. din care care o aplicație software (program) extrage o „amprentă”
  4. care este tot o înșiruire de biți 0 și 1
  5. ce este introdusă de către acel soft într-un token/dispozitiv  de generare a semnăturii electronice
  6. care va genera pe baza ei o semnătura electronică (o altă înșiruire de biți 0 și 1)
  7. pe care aplicația o va insera în fișier
  8. rezultând astfel un nou fișier, „îmbogățit” cu o secventă suplimentară de biți
  9. pe care îl putem vizualiza pe ecran cu o nouă informație care, de obicei, nu este sau nu include semnătura electronică, ci doar o semnalare a faptului că acel document a fost semnat digital.

 

 

Semnatura electronica extinsa

Semnătura electronică extinsă este acel instrument care garantează integritatea, autenticitatea și nonrepudierea unui document digital. Cu alte cuvinte, un document digital care are atașată o semnătură electronică nu mai poate fi modificat fără ca acest lucru să nu devină depistabil. Acest tip de semnătură are la bază un certificat digital calificat ce are scopul de a ne asigura că datele de identificare ale semnatarului sunt reale și nu pot fi falsificate.

A treia garanție (nonrepudierea) reiese din faptul că semnatura electronica extinsa nu poate fi respinsă, repudiată. Ea este generată pe baza unui dispozitiv securizat care se află sau ar trebui să fie tot timpul în posesia sau sub controlul semnatarului. Chiar și dacă nu se află tot timpul în posesia semnatarului, dispozitivul securizat de generare a semnăturii electronice extinse nu poate fi utilizat decât cu ajutorul unui cod PIN, la fel ca un card bancar, pe care nu îl cunoaște decât titularul semnăturii electronice extinse.

Am început mai întâi cu garanțiile semnăturii electronice extinse pentru a înțelege de ce este singura semnătură electronică ce îi oferă unui document digital valoarea legală a unui înscris sub semnătură privată.

Condițiile legale ale semnăturii electronice extinse

Cele trei garanții amintite mai sus „își trag forța” din Legea 455/2001 care pune, printre altele, patru condiții pe care trebuie să le îndeplinească semnătura electronică extinsă. Ea trebuie să fie legată în mod unic de semnatar și să ofere identificarea semnatarului, așa cum se arată în primele două condiții. În principiu, acest lucru se realizează cu ajutorul certificatului digital calificat.

A treia condiție legală este aceea că acest tip de semnatura electronica trebuie să fie realizată prin mijloace controlate doar de semnatar. Din acest motiv, semnătura electronică extinsă este realizată cu ajutorul unui dispozitiv securizat ce poate fi folosit doar cu ajutorul unui cod PIN, ştiut doar de semnatar.

Potrivit celei de-a patra condiție legală, semnătura electronică extinsă trebuie să fie dependentă de documentul în format electronic pe care se aplică astfel încat orice modificare ulterioară a documentului să invalideze automat semnătura electronică.

Cu scopul de a se respecta o parte dintre aceste condiţii, certificatul digital calificat trebuie să conţină numele semnatarului şi numele furnizorului de servicii de certificare, CNP-ul semnatarului, perioada de valabilitate a certificatului, semnătura electronică extinsă a furnizorul de servicii de certificare şi alte date care sunt obligatorii şi sunt enumerate în articolul 18, alineat 1, din Legea 455 din 2001 sau sau care sunt considerate necesare de către semnatar.

Kitul necesar pentru folosirea semnăturii electronice extinse

Orice persoana poate folosi semnătura electronică extinsă dacă deţine un kit de generare a ei. Acesta poate fi luat de la orice furnizor de certificate digitale şi trebuie să conţină:

  • un dispozitiv (token) care are asociat un cod PIN pentru a fi accesat2
  • un certificat digital calificat
  • o aplicație software (program).

Dispozitivul trebuie să se afle mereu sub controlul semnatarului, iar PIN-ul trebuie cunoscut doar de acesta. Dacă tokenul iese de sub posesia lui, iar PIN devine cunoscut de altcineva, semnatarul este obligat să anunţe furnizorul de la care a obţinut certificatul digital. În cazul în care nu face acest lucru, va fi foarte greu să dovedească faptul că semnăturile ulteriore de pe documentele digitale nu îi aparţin.

Certificatul digital calificat reprezintă o suită de date în formă electronică. El nu are o formă materială, aşa cum probabil ne-am aştepta mulţi dintre noi. Pentru a putea vorbi de un certificat digital acesta trebuie să respecte o serie de reguli impuse de lege astfel încât să ateste „legătura dintre datele de verificare a semnăturii electronice și o persoană, confirmând identitatea acelei persoane”. Acest lucru reiese din punctele 11 şi 12 ale articolului 4 al Legii 455/2001.

Certificat digital calificat

Pentru ca un document digital să aibă valoarea juridică a unui înscris sub semnătură privată trebuie să aibă neapărat ataşată o semnătură electronică extinsă, care atunci când e aplicată pe un document digital este asimilată semnăturii olografe de pe un document care nu e digital. În acelaşi timp, semnătura electronică extinsă nu este valabilă decât dacă se bazează pe un certificat digital calificat, eliberat de un furnizor acreditat ce respectă o serie de obligaţii ce se regăsesc în Legea 455 din 2001.

Din conţinutul acestei legi descoperim că certificatul digital calificat este „o colecţie de date în formă electronică” şi nu un act convenţional, aşa cum s-ar putea aştepta mulţi dintre noi. Mergând mai departe, am putea spune că este ceea ce face legătura între semnătura electronică extinsă şi o persoană anume.

Pentru a putea vorbi de certificat digital calificat, colecţia de date în formă electronică trebuie să ateste „legătura dintre datele de verificare a semnăturii electronice și o persoană, confirmând identitatea acelei persoane”, aşa cum se precizează în articolul 4, punctul 11, din Legea 455, dar şi să respecte anumite obligaţii prevăzute în punctul următor. Dacă aceste obligaţii nu sunt respectate, atunci vom vorbi doar de un certificat digital simplu şi nu se mai poate lua în calcul semnătura electronică extinsă ci doar semnătura electronică simplă, care prin ataşarea pe un document digital nu îi va mai da acestuia valoarea juridică a unui înscris sub semnătură privată.

Cine poate elibera certificatul digital calificat

Un certificat digital calificat poate fi eliberat de orice furnizor acreditat care respectă o serie de obligaţii impuse de legea care reglementează domeniul semnăturii electronice extinse şi pe care am amintit-o anterior. Aceste obligaţii nu sunt cu titlu exclusiv, lăsând puterea autorităţii de reglementare şi supraveghere din domeniu să impună noi obligaţii.

Dintre obligaţiile existente în lege reţinem trei mai importante:

  • furnizorul trebuie să facă dovada că are suficiente resurse financiare pentru a îşi desfăşura activitatea;

  • trebuie să verifice de fiecarea dată identitatea beneficiarului când eliberează un certificat digital calificat;

  • trebuie să ia permanent măsuri de securizare a serviciile oferite şi pentru a lupta împotriva falsificării certificatelor digitale calificate.

O măsură împotriva falsificării certificatelor digitale poate fi considerată obligaţia furnizorilor de a ţine permanent, online, un registru electronic al certificatelor digitale calificate emise, în care să se prevadă perioada de valabilitate a acestora dar şi cauzele de suspendare sau revocare a lor, dacă este cazul.

Respectând obligaţiile impuse de lege, furnizorii români pot elibera certificate digitale calificate care să fie recunoscute atât în România cât şi în alte state din Uniunea Europeană.

Ce menţiuni trebuie să cuprindă certificatele digitale calificate

Spre deosebire de certificatul digital simplu, cel calificat trebuie să conţină o serie de menţiuni pentru a fi considerat valabil. Prima menţiune prevăzută de lege este chiar aceea legată de titlul sub care a fost eliberat certificatul. În el trebuie să se menţioneze că a fost eliberat cu titlul de certificat digital calificat. De asemenea, trebuie să se menţioneze perioada de valabilitatea şi, dacă e cazul, limitele valabilităţii. Spre exemplu, se poate menţiona că în baza lui se pot semna doar acte de administrare sau conservare, nu şi acte de dispoziţie.

Printre altele, în certificatul digital calificat trebuie să se menţioneze numele beneficiarului şi numele furnizorului acreditat, dar şi alte informaţii care să ajute la identificarea exactă a acestora. Titularul certificatului digital calificat poate opta chiar să îşi ascundă numele sub un pseudonim, dar cu obligaţia de a menţiona acest lucru. Restul menţiunilor obligatorii se pot găsi în Legea 455/2001. Autoritatea de reglementare şi supraveghere din domeniu poate decide oricând ca anumite menţiuni ce nu se regăsesc în lege să devină obligatorii.

Semnatura electronica ANAF

După ce am achiziționat semnatura electronica cu peripețiile și dramele semnalate în articolul anterior a trebuit să înregistrez semnătura electronică la ANAF.

Sunt necesari mai mulți pași. În prima etapă, realizată la PC:

  • instalăm programului Adobe Reader (majoritatea il avem, e bine să fie actualizat)
  • descărcăm fișierul de confirmare de la adresa static.anaf.ro/static/10/Anaf/formulare/confirmare.pdf, îl completăm lui și aplicăm semnătura electronică (dacă avem semnătura electronică de la certSIGN la instalarea softului ni se generează fisierul completat)
  • accesăm rubrica „Servicii online -> Înregistrare certificate calificate persoane juridice / reprezentant fiscal” din siteul ANAF (anaf.ro)
  • încarcăm fișierul de confirmare realizat anterior și completăm în formularul din pagina web datele necesare: CUI, denumire, adresă
  • listăm „Formularul 150 – Cerere pentru utilizarea unui certificat digital calificat” deja completat cu datele introduse

Apoi va trebui să inregistrăm formularul 150 la unitatea fiscală teritorială unde suntem inregistrați ca plătitori de taxe și impozite. Vom avea la noi:

  • formularul 150 listat, semnat și stampilat;
  • documentul de identitate (cartea de identitate, de exemplu) al titularului certificatului calificat (original + copie);
  • documentul (original + copie) care atesta calitatea titularului certificatului calificat, de reprezentant legal al contribuabilului (Statutul societatii comerciale în cazul clasic sau o hotărâre a adunării generale a acționarilor);
  • un document de împuternicire autentificat de un notar public în cazul în care titularul certificatului calificat nu are calitatea de reprezentant legal al contribuabilului reprezentat

În maxim 4 zile de la depunerea actelor se va primi o confirmare pentru utilizarea serviciului „Depunere declarații online” pe adresa de email specificată în formularul 150.

Din acest moment avem un certificat digital calificat și vom putea utiliza semnătura electronică / semnătura digitală pentru depunerea online a declarațiilor fiscale cerute de ANAF (declaratia 100 sau declaratia 112, de exemplu).