Semnătura electronică și fragilitatea unor lanțuri de încredere
Am citit cu interes un articol publicat recent pe Hotnews, intitulat Semnătura electronică și lanțul de încredere. Acesta pleca de la constatarea că deși ”accesibilă oricărei persoane care deține o adresă de email și oferind numeroase avantaje, semnătura electronică, în mod paradoxal, nu se bucură de suficientă încredere și nu este folosită pe scară largă”.
Plecând de la anumite reglementări aplicabile în cazuri particulare, autorul respectivului articol de presă juridică a construit în mod inteligent și abil, printr-o metodă extrem de apropiată metodei inducției matematice, o pledoarie interesantă în favoarea folosirii pe scară largă a semnăturilor electronice create exclusiv pe baza unor platforme ușor accesibile, unele chiar gratuite, care certifică, în urma unei proceduri de autentificare, că semnăturile aplicate pe documentele electronice aparțin persoanei care utilizează o anumită adresă de e-mail.
Deși avem în vedere toate elementele de legislație și de jurisprudență înfățișate de autorul articolului, nu putem să nu observăm, însă, că nicăieri în cuprinsul său nu se face vreo referire la Regulamentul UE nr. 910/2014, privind identificarea electronică și serviciile de încredere pentru tranzacțiile electronice pe piața internă și de abrogare a Directivei 1999/93/CE. Acesta reprezintă, la acest moment (începând cu data de 1 iulie 2016, data intrării sale în vigoare), actul normativ direct aplicabil în orice țară membră a Uniunii Europene.
Prin urmare, dispozițiile Legii nr. 455/2001, la care s-a făcut în mod repetat trimitere și care, de altfel, nu a reprezentat altceva decât o transpunere în dreptul național a Directivei 1999/93/CE (abrogată în mod expres, după cum rezultă chiar din titlu, prin Regulamentul UE nr. 910/2014), sunt abrogate tacit în măsura în care contravin reglementării europene. Prima modificare esențială constă chiar în termenii cu care operează noua reglementare. Dacă Legea nr. 455/2001 operează cu noțiunile de „semnătură electronică” și de „semnătură electronică extinsă„, Regulamentul UE nr. 910/2014 operează cu următoarele definiții cuprinse în art. 3 pct. 10 – 12:
10 „semnătură electronică” înseamnă date în format electronic, atașate la sau asociate logic cu alte date în format electronic și care sunt utilizate de semnatar pentru a semna;
11 „semnătură electronică avansată” înseamnă o semnătură electronică ce îndeplinește cerințele prevăzute la articolul 26;
12 „semnătură electronică calificată” înseamnă o semnătură electronică avansată care este creată de un dispozitiv de creare a semnăturilor electronice calificat și care se bazează pe un certificat calificat pentru semnăturile electronice.
Dacă analizăm aceste definiții, ajungem în mod cert la concluzia că semnătura electronică pentru care autorul articolului pledează, în scopul de a fi folosită pe scară largă, pentru a produce efecte juridice dintre cele mai diverse, nu reprezintă altceva decât o semnătură electronică simplă, adică o semnătură căreia Regulamentul UE nr. 910/2014 îi conferă cel mai scăzut grad de autenticitate. Este adevărat că legiuitorul european a stabilit, cu caracter de principiu, că niciunei semnături electronice nu i se poate refuza efectul juridic și posibilitatea de a fi acceptată ca probă în procedurile judiciare doar din motiv că aceasta este în format electronic sau că nu îndeplinește cerințele pentru semnăturile electronice calificate.
Aceasta înseamnă că și semnătura electronică simplă, bazată pe un e-mail sau care are doar natura unei semnături olografe efectuată pe un ecran tactil, cu ajutorul unui pen electronic, poate constitui un mijloc de probă în eventualitatea unui litigiu. Să nu confundăm, însă, din punct de vedere juridic, natura juridică a semnăturilor electronice, altele decât cele calificate, de mijloc de probă în cazul unui litigiu, cu natura juridică a semnăturilor electronice calificate, de semnătură efectivă.
Dacă este să ne raportăm la legislația internă, semnăturile electronice simple sau avansate reprezintă, din punctul nostru de vedere, începuturi de dovadă scrisă, în sensul art. 310 C. pr. civ. Ele pot constitui mijloace de probă dacă semnarea documentului este credibilă însă, în caz de contestare, cel care invocă respectivele semnături trebuie să completeze probațiunea prin alte mijloace de probă, inclusiv prin proba cu martori sau prezumții.
Spre deosebire de aceste tipuri de semnături, semnătura electronică calificată (adică acel tip de semnătură avansată pentru a cărei autenticitate garantează un furnizor de servicii de încredere calificat), face dovadă deplină ca semnătură. În cazul în care este contestată o astfel de semnătură, sarcina probei se răstoarnă, în sensul că cel care o contestă, nu cel care o invocă, are obligația de a produce probe (de obicei expertiză informatică) pentru a demonstra că semnătura electronică calificată nu este valabilă.
O astfel de probațiune, echivalează, practic, cu procedura înscrierii în fals împotriva unui înscris sub semnătură privată, ceea ce conduce, de obicei, și la consecințe penale, fie pentru cel care se bazează pe semnătură (pentru fals), fie pentru cel care contestă semnătura (pentru inducerea în eroare a organelor judiciare).
Sigur că, pentru tranzacțiile curente (shopping on-line, plăți bancare obișnuite, inclusiv plata de facturi etc.), autentificarea electronică, prin folosirea sistemului de e-mail, parolă și, eventual, alte elemente de siguranță, este indispensabilă. Nu este necesar să pretindem fiecărei persoane să cumpere o semnătură calificată pentru a putea să facă astfel de operațiuni.
Ar echivala, de exemplu, cu obligația cumpărătorilor din magazine de a semna de fiecare dată câte un contract pentru cumpărarea de produse. Luarea în posesie a produsului și bonul fiscal eliberat fac dovadă deplină despre perfectarea tranzacției. Dar putem fi liniștiți să extrapolăm aceeași metodă la toate tranzacțiile care pot avea loc on-line? Dacă este așa, de ce legiuitorul european nu a pus semnul egalității între efectele juridice ale tuturor semnăturilor electronice definite?
De ce, deși Regulamentul UE nr. 910/2014 permite derogări, nu avem cunoștință despre nicio țară europeană care să fi pus semnul egalității, prin legislație națională, nici măcar între semnătura electronică avansată și cea calificată, cu atât mai mult între cea calificată și cea simplă, așa cum propune autorul articolului menționat? Vom încerca să răspundem, pe scurt și într-un limbaj cât mai accesibil, acestor întrebări.
În primul rând, atragem atenția asupra faptului că între procedura de autentificare electronică și cea de identificare electronică nu se poate pune semnul egalității. Numai aceasta din urmă poate stabili identitatea unei persoane, oferind astfel garanția că persoana care pretinde o anumită identitate este într-adevăr persoana căreia i s-a atribuit respectiva identitate (aceasta pentru că verificarea identității se face pe baza unui document de identitate verificat în prealabil de furnizorul de servicii de încredere calificat). În schimb, prin autentificare bazată pe e-mail, se poate certifica doar faptul că documentul a fost semnat cu adresa de e-mail de pe care o persoană s-a autentificat.
În al doilea rând, semnalăm faptul că platformele despre care s-a făcut vorbire nu sunt supuse niciunui control de securitate prealabil, pentru a se stabili dacă serviciile oferite de aceste platforme respectă sau nu un grad minim de securitate, în așa fel încât documentele electronice semnate prin intermediul lor să asigure garanții suficient de serioase în ceea ce privește integritatea documentelor. Întrucât platformele nu sunt controlate în prealabil, înseamnă că oricine poate deveni furnizor de semnătură electronică. Într-un astfel de scenariu, se mai poate considera că titularul unei astfel de platforme este automat un profesionist, iar documentele electronice pe care le intermediază se bucură de prezumția de autenticitate? În mod evident nu, pentru motivele de mai jos.
Dispozițiile art. 282 C. pr. civ. stabilesc că un înscris prezentat pe suport informatic poate fi un instrument probator pentru datele înscrise pe acesta dacă prezintă garanții suficient de serioase pentru a face deplină credință în privința conținutului acestuia și a identității persoanei de la care acesta emană. În completare, art. 283 C. pr. civ. stabilește că un înscris pe suport informatic este prezumat a prezenta garanții suficient de serioase dacă (i) înscrierea datelor s-a făcut în mod sistematic și fără lacune și când (ii) datele înscrise sunt protejate contra alterărilor și contrafacerilor astfel încât integritatea documentului este deplin asigurată.
Or, în contextul în care platformele amintite nu sunt supuse niciunei verificări de către un organism abilitat, cum se poate prezuma că documentele electronice pe care le intermediază prezintă garanții suficient de serioase în ceea ce privește integritatea documentului? Pentru a se naște o astfel de prezumție, este necesar să se stabilească mai întâi că documentele electronice nu au suferit alterări (modificări, completări), că datele au fost înscrise sistematic, fără lacune. O astfel de analiză o poate face judecătorul, în eventualitatea unui litigiu, pe baza unei expertizări a suportului informatic care stochează înregistrarea. O astfel de expertiză va determina printre altele dacă tehnologia utilizată de titularul platformei garantează integritatea documentului.
Așadar, ținând seama și de prevederile art. 310 C. pr. civ, la care am făcut referire mai sus, ori de câte ori o parte nu va recunoaște semnarea de către sine a unui document electronic, va fi suficient să precizeze acest lucru, caz în care persoana care se prevalează de semnătura electronică, va trebui să dovedească securitatea tehnologiei folosite. Aceasta presupune costuri și eforturi care ar putea fi evitate dacă s-ar opta pentru semnarea documentelor electronice cu o semnătură electronică calificată eliberată de un furnizor de servicii de încredere calificat.
Riscurile au fost semnalate și de ENISA (Agenția Uniunii Europene pentru Securitate Informatică), care a declarat că, în cazul unei alte semnături decât cea calificată, cel care invocă validitatea ei trebuie să dovedească securitatea tehnologiei folosite și/sau alte elemente dacă validitatea semnăturii este disputată în cadrul unui litigiu.
Spre deosebire de semnătura electronică bazată pe e-mail, furnizată prin platforme tehnice de prestatori de servicii de încredere necalificați, sau chiar de semnătura electronică avansată, semnătura electronică calificată este emisă de un prestator de servicii de încredere calificat, care dobândește acest statut de calificat, în urma parcurgerii unei proceduri riguroase de acreditare, în care se analizează o serie de condiții, inclusiv ce tehnologii folosește, resursele financiare de care dispune, dacă personalul angajat deține cunoștințele și calificările necesare, dacă are o asigurare consistentă pentru răspundere civilă etc. În plus, activitatea prestatorilor calificați este atent monitorizată în permanență de organismul de supraveghere, iar cel puțin o dată la 24 de luni sunt auditați.
Așadar, nu orice agent economic poate fi prestator de servicii de încredere calificat, ci numai o persoană juridică a cărei activitate este supusă verificărilor permanente din partea autorităților statului și, mai mult decât atât, prezintă garanții suficiente că, în cazul în care a greșit, are posibilitatea de a acoperi prejudiciile. În schimb, nici deținătorii platformelor la care face referire colegul nostru, nici furnizorii de semnături electronice avansate, nu sunt supuși niciunui control a priori și nici nu există certitudinea că dețin o asigurare sau că dețin fonduri suficiente pentru a oferi despăgubiri palpabile în cazul unor probleme de ordin tehnic.
Certificatul calificat face legătura neechivocă cu semnatarul, identitatea acestuia fiind verificată prin mijloace sigure (*), iar dispozitivul calificat de creare a semnăturii electronice asigură faptul că numai semnatarul are acces la datele de creare a semnăturii. Aceste două elemente cheie ale semnăturii electronice calificate creează garanții suficient de serioase ale integrității unui document electronic, existând o prezumție de autenticitate a acestuia, conform art. 283 C. pr. civ.. Tocmai de aceea Regulamentul UE nr. 910/2014 a stabilit că doar semnătura electronică calificată este echivalentă prin efectul acestei reglementări semnăturii olografe din punct de vedere al efectului juridic.
Echivalența între semnătura electronică calificată și cea olografă a fost reținută și de Înaltă Curte de Casație și Justiție-Secția I civilă prin Decizia nr. 20/7 martie 2019. Pentru a decide astfel, instanța a reținut că semnătura electronică calificată„conectează identitatea electronică a semnatarului cu documentul digital, neputând fi copiată de pe un document digital pe altul, fapt ce conferă documentului autenticitate” și „oferă instanței o garanție a faptului că mesajul sau documentul digital este creat de către persoana care l-a semnat, iar conținutul mesajului sau documentului digital nu a fost modificat de la data emiterii”.
Pe cale de consecință, nu putem fi de acord cu liberalizarea fără discernământ a folosirii altor semnături electronice decât cea calificată, întrucât numai aceasta prezintă suficiente garanții care pot susține ceea ce în mod frumos a numit, colegul nostru, lanțul de încredere. În lipsa acestor garanții, lanțul de încredere se poate dovedi fragil, ceea ce ar avea consecințe nu numai pe planul tranzacției concrete eșuate, ci, mai grav, însuși scopului suprem al Regulamentului UE nr. 910/2014, astfel cum transpare acesta din primele două puncte ale Preambulului:
(1) „Instaurarea încrederii în mediul online este esențială pentru dezvoltarea economică și socială. Lipsa încrederii, datorată în special unei lipse a securității juridice percepute de public, determină consumatorii, întreprinderile și autoritățile publice să ezite în efectuarea de tranzacții pe cale electronică și în adoptarea de noi servicii.
(2) Obiectivul prezentului regulament este de a crește încrederea în tranzacțiile electronice de pe piața internă prin furnizarea unei baze comune pentru realizarea de interacțiuni electronice sigure între cetățeni, întreprinderi și autoritățile publice, contribuind astfel la creșterea eficienței serviciilor online din sectorul public și privat, a activităților economice electronice și a comerțului electronic în Uniune.”
De altfel, ținând seama de posibilele consecințe, nu există nicio rațiune pentru care utilizatorii care chiar sunt implicați în tranzacții serioase, nu ar opta mai degrabă pentru semnătura electronică calificată. În spațiul public s-a creat imaginea eronată că obținerea unei semnături electronice calificate implică multă birocrație și costuri ridicate.
În realitate, în prezent, datorită Regulamentului UE nr. 910/2014, există o piață internă la nivelul Uniunii Europene pe care activează peste 200 de prestatori de servicii de încredere calificați. Aceștia, în virtutea prevederilor Regulamentului UE nr. 910/2014, vin cu soluții care nu mai presupun deplasarea la sediul lor pentru identificare, folosind mijloace de identificare video certificate ca fiind echivalente cu prezența fizică.
În plus, dupa ce s-a realizat identificarea într-un astfel de mod, tot datorită Regulamentului UE nr. 910/2014, se poate opta pentru semnătura calificată în cloud, accesibilă de oriunde și de orice tip de dispozitiv, laptop sau telefon mobil, fără a mai fi necesar un token criptografic. Iar în ceea ce privește prețul, dupa identificare, o persoană care are nevoie să semneze ocazional, pentru aplicarea unei astfel de semnături electronice calificate în cloud pe un document, plateste cam tot atât cât ar plăti pentru a face o fotocopie de 2 pagini la un prestator de astfel de servicii.
(*) Potrivit art. 24 din Regulamentul UE nr. 910/2014.
Un articol semnat de Dan-Rareș Răducanu, Senior Partner – rraducanu@stoica-asociatii.ro și Roxana Daskălu, Senior Associate – rdaskalu@stoica-asociatii.ro – STOICA & Asociații