Elektronikus aláírások: milyen megoldásokból választhatnak a cégvezetők?

Számos hazai cég már évek óta él a dokumentumok elektronikus aláírásának, hitelesítésének lehetőségével. Ehhez tavaly év végéig többen az azonosításra visszavezetett dokumentumhitelesítés-szolgáltatást (AVDH) használták, annak ellenére, hogy mindvégig egymásnak ellentmondó álláspontok ütköztek az AVDH-szolgáltatás cégjegyzésre történő igénybevételének lehetősége kapcsán. A bizonytalan helyzetnek a digitális államról és a digitális szolgáltatások nyújtásának egyes szabályairól szóló 2023. évi CIII. törvény (DÁP tv.) vetett véget, amelynek rendelkezései alapján az AVDH-szolgáltatás – 2025. január 1-jétől – nem használható.

Az AVDH helyett a magánszemélyek a Digitális Állampolgárság Program (DÁP) e-Aláírását használhatják, amely ingyenesen elérhető a Digitális Állampolgár mobilalkalmazásban regisztrált felhasználói számára. A DÁP-regisztrációval nem rendelkező magánszemélyeknek – magáncél esetén – ingyenes megoldást jelenleg a Microsec e-Szignó szolgáltatása nyújt, amellyel okostelefonra telepíthető minősített elektronikus aláírás igényelhető e-szignó Terminálon. (Ehhez chipes e-Személyire, már aktivált 6 számjegyű e-ID PIN-kódra és az e-Személyi előlapján található CAN-számra van szükség.)

Céges ügyek esetén azonban ezek a szolgáltatások nem alkalmazhatóak, és más ingyenes megoldás sem áll rendelkezésre, de számos minősített bizalmi szolgáltató működik a piacon. Ezek bemutatása előtt azonban érdemes részletesebben ismertetni a jogi környezetet.

Egységes uniós szabályozás

Az elektronikus azonosítási, hitelesítési és bizalmi szolgáltatások jogi keretét a belső piacon történő elektronikus tranzakciókhoz kapcsolódó elektronikus azonosításról és bizalmi szolgáltatásokról szóló, az Európai Parlament és a Tanács 910/2014/EU rendelete (eIDAS Rendelet) (Electronic Identification, Authentication and Trust Services) adja meg. Tekintettel arra, hogy az eIDAS Rendelet közvetlenül alkalmazandó az uniós tagállamokban, így 2016 óta egységes szabályozást biztosít az Európai Unión belül.

Az eIDAS rendelkezései Magyarországon is közvetlenül hatályosulnak, azonban figyelemmel kell lenni a kapcsolódó magyar szabályozásra is. Az eIDAS Rendelet alapján három elektronikus aláírástípust különböztetünk meg.

Egyszerű elektronikus aláírás (SES)

Ilyen például egy e-mail alján lévő aláíráspanel, egy szkennelt aláírás vagy a .pdf dokumentumra történő aláíráskép beszúrása. Jogszabályban rögzített joghatás nem kapcsolódik hozzá, nem hiteles. Az aláíró személye könnyen vitatható (nincs azonosítás, nincs az aláíró személyéhez kötöttség), nem követhető nyomon a dokumentumban esetlegesen bekövetkezett változás.

Egyszerű elektronikus aláírást hoz létre többek között a népszerű DocuSign, illetve a HelloSign is, amely csupán e-mail-cím alapján (ami lehet akár hamis vagy hamisított) azonosítja az aláíró felet. Az ilyen aláírásoknak bizonyító ereje hazánkban nincs, esetleg amerikai egyesült államokbeli, illetve más külföldi jog kapcsol(hat) hozzájuk joghatást.

Fokozott biztonságú elektronikus aláírás (AdES)

A fokozott biztonságú elektronikus aláírásnak meg kell felelnie bizonyos műszaki követelményeknek. Ezen aláíráshoz a meg nem hamisítottság vélelme kapcsolódik, vagyis ellenkező bizonyítása hiányában feltételezhető, hogy az írta alá, akinek az elektronikus aláírása azon szerepel, és a dokumentum az ő jognyilatkozatát tartalmazza. Az ilyen aláírás alkalmas az aláíró azonosítására és kizárólag, egyedülállóan az aláíróhoz köthető (az aláíró kizárólag saját ellenőrzése alatt álló adatokkal készítheti el aláírását). Az ekként aláírt adatok minden későbbi változása nyomon követhető, az aláírást követően a dokumentumban bekövetkező változtatás esetén az aláírás érvénytelen.

A gyakorlatban általában fokozott biztonságú aláírásnak tekintik, ha elkészítése során az aláíró egy bizalmi szolgáltató által kibocsátott tanúsítványt használ fel, de a tanúsítvány kibocsátását nem előzi meg személyes vagy videós azonosítás, az aláírási folyamatában pedig nincs minősített aláíró eszköz. A fokozott biztonságú e-aláírásnak – mivel az eIDAS Rendelet a kézi aláírással azonosnak kizárólag a minősített e-aláírást tekinti – az egész Európai Unióban nincs azonos ereje, joghatása. Fokozott biztonságú e-aláírással ellátott dokumentum írásbelinek minősül ugyan, de nem felel meg a teljes bizonyító erejű magánokirat követelményeinek.

Minősített elektronikus aláírás (QES)

Ez a legmagasabb szintű aláírás, ilyet csak minősített bizalmi szolgáltatók állíthatnak ki. Minősített elektronikus aláírás esetén magát az e-aláírást egy speciális eszköz (kártya vagy token) és/vagy szoftver segítségével kell létrehozni.

A minősített bizalmi szolgáltató egy úgynevezett minősített tanúsítványt bocsát ki, ami az e-dokumentum részét képezi és ezzel a tanúsítvánnyal az aláíró személyazonossága igazolható, az aláírás hitelessége megerősítésre kerül. A tanúsítvány kibocsátását megelőzően minden esetben történik személyazonosítás (személyesen vagy videós kapcsolat útján). 

Egy minősített e-aláírással ellátott elektronikus dokumentum teljes bizonyító erejű magánokiratnak minősül, azaz a fenti aláírási formákhoz képest magasabb bizonyító erővel rendelkezik. Egy ekként aláírt dokumentumot az Európai Unió teljes területén kötelező elfogadni.

Cégek számára elérhető minősített elektronikus aláírások

Tekintettel arra, hogy a minősített elektronikus aláírás a legmagasabb biztonsági szintű elektronikus aláírás (azonos joghatású a kézi aláírással és az Európai Unió teljes területén kötelező elfogadni), a cégek képviseletében történő e-aláíráshoz, az elektronikus cégjegyzéshez is ezen aláírási forma alkalmazása javasolt.

A minősített elektronikus aláírás minősített tanúsítványon alapul, amelyet kizárólag az Európai Unióban letelepedett bizalmi szolgáltató bocsáthat ki.

Minősített bizalmi szolgáltatók az Unióban

Az Európai Unió teljes területén érvényes minősített elektronikus aláírást nyújtó bizalmi szolgáltatók listáját (EU Trusted list – EUTL) az Európai Bizottság tartja nyilván. A hivatalos lista ezen a linken érhető el.

A listán szereplő, „QCert for ESig” megnevezéssel rendelkező szolgáltatók jogosultak minősített elektronikus aláírás (tanúsítvány) kiállítására. A listában lehet ország vagy szolgáltató alapján keresni, de akár az aláírt dokumentum feltöltésére is lehetőség van, ezzel a tanúsítvány és az azt kibocsátó szolgáltató ellenőrizhető.

Minősített bizalmi szolgáltatók Magyarországon

Bizalmi szolgáltatók tekintetében nemzeti felügyeleti szervnek Magyarországon a Nemzeti Média- és Hírközlési Hatóság (NMHH) minősül. A minősített bizalmi szolgáltatásokról az NMHH nyilvántartást vezet, ami ezen a linken érhető el.

A minősített bizalmi szolgálatók közül a piaci szolgáltatók által kínált lehetőségeket, csomagajánlatokat áttekintve megállapítható, hogy egy cég működése során a minősített elektronikus aláírások előfizetése elhanyagolható összeg ahhoz képest, hogy milyen sok területen hozhat könnyebbséget, kiemelve itt a szerződéskötéseken túl az ajánlatok, megrendelések, teljesítésigazolások, jelentések, HR-dokumentumok aláírását, e-számlák hitelesítését, a minősített e-aláírással ellátott nyilatkozatok, dokumentumok cégeljárásokban, ingatlan-nyilvántartási eljárásokban való felhasználhatóságát. A legtöbb piaci szolgáltatónál már elérhető a távoli, videós regisztrációs beazonosítás, és gyorsan történik a tanúsítvány kibocsátása.

Hasznos volt a cikkünk? Iratkozzon fel az Útmutató cégvezetőknek hírösszefoglalóra, és rendszeresen küldünk hasonlóan értékes tartalmakat.