Semnătura electronică extinsă este acel instrument care garantează integritatea, autenticitatea și nonrepudierea unui document digital. Cu alte cuvinte, un document digital care are atașată o semnătură electronică nu mai poate fi modificat fără ca acest lucru să nu devină depistabil. Acest tip de semnătură are la bază un certificat digital calificat ce are scopul de a ne asigura că datele de identificare ale semnatarului sunt reale și nu pot fi falsificate.
A treia garanție (nonrepudierea) reiese din faptul că semnatura electronica extinsa nu poate fi respinsă, repudiată. Ea este generată pe baza unui dispozitiv securizat care se află sau ar trebui să fie tot timpul în posesia sau sub controlul semnatarului. Chiar și dacă nu se află tot timpul în posesia semnatarului, dispozitivul securizat de generare a semnăturii electronice extinse nu poate fi utilizat decât cu ajutorul unui cod PIN, la fel ca un card bancar, pe care nu îl cunoaște decât titularul semnăturii electronice extinse.
Am început mai întâi cu garanțiile semnăturii electronice extinse pentru a înțelege de ce este singura semnătură electronică ce îi oferă unui document digital valoarea legală a unui înscris sub semnătură privată.
Condițiile legale ale semnăturii electronice extinse
Cele trei garanții amintite mai sus „își trag forța” din Legea 455/2001 care pune, printre altele, patru condiții pe care trebuie să le îndeplinească semnătura electronică extinsă. Ea trebuie să fie legată în mod unic de semnatar și să ofere identificarea semnatarului, așa cum se arată în primele două condiții. În principiu, acest lucru se realizează cu ajutorul certificatului digital calificat.
A treia condiție legală este aceea că acest tip de semnatura electronica trebuie să fie realizată prin mijloace controlate doar de semnatar. Din acest motiv, semnătura electronică extinsă este realizată cu ajutorul unui dispozitiv securizat ce poate fi folosit doar cu ajutorul unui cod PIN, ştiut doar de semnatar.
Potrivit celei de-a patra condiție legală, semnătura electronică extinsă trebuie să fie dependentă de documentul în format electronic pe care se aplică astfel încat orice modificare ulterioară a documentului să invalideze automat semnătura electronică.
Cu scopul de a se respecta o parte dintre aceste condiţii, certificatul digital calificat trebuie să conţină numele semnatarului şi numele furnizorului de servicii de certificare, CNP-ul semnatarului, perioada de valabilitate a certificatului, semnătura electronică extinsă a furnizorul de servicii de certificare şi alte date care sunt obligatorii şi sunt enumerate în articolul 18, alineat 1, din Legea 455 din 2001 sau sau care sunt considerate necesare de către semnatar.
Kitul necesar pentru folosirea semnăturii electronice extinse
Orice persoana poate folosi semnătura electronică extinsă dacă deţine un kit de generare a ei. Acesta poate fi luat de la orice furnizor de certificate digitale şi trebuie să conţină:
- un dispozitiv (token) care are asociat un cod PIN pentru a fi accesat2
- un certificat digital calificat
- o aplicație software (program).
Dispozitivul trebuie să se afle mereu sub controlul semnatarului, iar PIN-ul trebuie cunoscut doar de acesta. Dacă tokenul iese de sub posesia lui, iar PIN devine cunoscut de altcineva, semnatarul este obligat să anunţe furnizorul de la care a obţinut certificatul digital. În cazul în care nu face acest lucru, va fi foarte greu să dovedească faptul că semnăturile ulteriore de pe documentele digitale nu îi aparţin.
Certificatul digital calificat reprezintă o suită de date în formă electronică. El nu are o formă materială, aşa cum probabil ne-am aştepta mulţi dintre noi. Pentru a putea vorbi de un certificat digital acesta trebuie să respecte o serie de reguli impuse de lege astfel încât să ateste „legătura dintre datele de verificare a semnăturii electronice și o persoană, confirmând identitatea acelei persoane”. Acest lucru reiese din punctele 11 şi 12 ale articolului 4 al Legii 455/2001.