Câteva probleme juridice legate de semnătura electronică

Astăzi vă prezentăm încă un guest post scris de Alin Clincea, IT-avocat-ul sau avocat-IT-istul nostru preferat! O temă interesantă și un subiect despre care nu prea s-a discutat serios în România – semnătura electronică și implicațiile sale juridice.

***

Reglementările recente privind depunerea declarațiilor fiscale în format electronic au adus în discuție utilizarea semnăturilor electronice. Suportul de hârtie era și este încă dominant în relațiile cu conținut juridic, iar concepte precum semnătura electronică sunt încă greu de asimilat, mai ales ținând cont de detaliile și complicațiile tehnice.

Acest articol are ca scop descrierea cadrului legislativ aplicabil semnăturii electronice, comentarea unor prevederi ale legii și indicarea unor probleme potențiale cărora practica urmează să le găsească soluții.

Atenție, nu urmează un mesaj de Twitter, ci un text despre un subiect nu tocmai ușor de prezentat în puține cuvinte!

Legislația privind semnătura electronică

La sfârșitul anului 1999, în contextul foarte dinamic din epoca dot-com bubble, Uniunea Europeană a adoptat Directiva 1999/93/CE privind un cadru comunitar pentru semnăturile electronice. Scopul actului era stabilirea unui regim juridic în materia încheierii actelor în format electronic.

De remarcat că în aceeași perioadă (1998-2001) reglementări similare au fost adoptate de S.U.A. (ex. Digital Signature And Electronic Authentication Law, Uniform Electronic Transactions Act, Electronic Signatures in Global and National Commerce Act). De asemenea, Comisia Națiunilor Unite pentru Drept Internațional Comercial (UNCITRAL) a elaborat Legea-model privind semnăturile electronice.

România, atunci candidată la aderare și aflată în proces de armonizare a legislației cu cea a Uniunii Europene, a adoptat Legea 455/2001 privind semnătura electronică, respectiv normele de aplicare a acesteia (H.G. 1259/2001).

În același context legislativ pot fi enumerate și alte două legi: Legea 589/2004 privind regimul juridic al activității electronice notariale și Legea 451/2004 privind marca temporală.

Concepte

Articolul 4 din Legea 455/2001 conține o enumerare a definițiilor pentru conceptele utilizate. Câteva dintre aceste definiții pot ajuta la interpretarea regimului juridic al înscrisurilor electronice, purtătoare sau nu de semnătură electronică.

Înscrisul în formă electronică

Înscrisul în formă electronică este colecția de date în formă electronică având o semnificație inteligibilă. Acest tip de înscris este corespondentul electronic al înscrisului pe suport material „clasic” (ex. hârtia). Trebuie remarcat că definiția legală nu distinge între mijloacele tehnice care permit citirea înscrisului în formă electronică – înscrisul în formă electronică poate fi conținut deopotrivă de unitățile de stocare a memoriei din calculatoare personale ori telefoane mobile; sunt, așadar, astfel de înscrisuri: documentele electronice în format .doc, .pdf, .txt, .jpg etc., mesajele email, mesajele SMS, mesajele instantanee.

Două tipuri de semnătură electronică

Legea distinge între semnătura electronică și semnătura electronică extinsă. Prima desemnează o colecție de date atașate sau conținute de un înscris în formă electronică, date care servesc ca metodă de identificare, fără a fi precizate cerințe asupra siguranței acestei metode de identificare. De pildă, pentru a identifica la prima vedere originea unui mesaj email se poate folosi atât numele autorului, plasat de obicei la sfârșitul mesajului, cât mai ales adresa de email a expeditorului; în mod similar, pentru a identifica la prima vedere originea unui mesaj SMS se poate folosi numărul de telefon al expeditorului.

Semnătura electronică extinsă (cf. semnătura electronică avansată în Directiva 1999/93/CE, digital signature în dreptul american) adaugă cerințe pentru a fi asigurat un nivel de încredere mai ridicat al metodei de identificare. Asemeni unei semnături „clasice”, pe hârtie, semnătura electronică extinsă trebuie (1) să fie legată în mod unic de semnatar, (2) să asigure identificarea semnatarului, (3) să fie creată prin mijloace controlate exclusiv de semnatar și (4) să fie legată de datele la care se raportează în așa fel încât să permită detectarea modificărilor ulterioare semnării. Ultima cerință este specifică înscrisurilor în formă electronică și derivă din posibilitatea tehnică de a controla automat integritatea unui înscris. Mutatis mutandis, acestui procedeu îi corespunde în domeniul înscrisurilor „clasice” semnarea tuturor paginilor unui document, menționarea numărului de pagini și eventual bararea spațiilor libere, pentru a preveni adăugirile ulterioare semnării.

În practică, realizarea cerințelor semnăturii electronice extinse nu poate fi garantată în mod absolut, ci numai într-o anume măsură, așa cum vom observa mai departe în articol.

Două tipuri de certificate

În mod obișnuit, identificarea unei persoane se face cu ajutorul unui act de identitate emis de o autoritate publică. Până la proba contrară, posesorul unui astfel de act este prezumat a avea identitatea menționată.

Există, însă, posibilitatea ca un particular să emită un act de identitate pentru un scop bine precizat – ex. legitimația de serviciu servește la identificarea titularului și la atestarea calității de salariat în relațiile cu personalul de pază.

În mediul electronic corespondentul actului de identitate este, de regulă, certificatul digital. Acesta este un fișier care conține atribute de identificare a persoanei și date tehnice necesare verificării semnăturii electronice. Din punct de vedere tehnic, certificatul digital poate fi emis de oricine, inclusiv de titularul lui (ex. self-signed certificate), cu toate consecințele asupra încrederii care îi poate fi acordată.

Această posibilitate tehnică a dus la necesitatea unui cadru prin care să fie asigurată opozabilitatea certificatelor și răspunderea furnizorilor de servicii de certificare.

Ca și în cazul tipurilor de semnătură electronică, legea opune certificatului („simplu” – cel care poate fi generat de oricine) un certificat calificat, care trebuie să respecte cerințele legale în ceea ce privește (1) datele conținute (articolul 18) și (2) furnizorul de servicii de certificare (articolul 20).

Certificatul, în ambele sale forme, este utilizat pentru atestarea identității celui care îl utilizează, inclusiv cu ocazia semnării înscrisurilor în format electronic.

Așa cum un act de identitate declarat pierdut, distrus sau furat de titularul său devine nul de drept (cf. articolul 21:3 din OUG 97/2005) pentru a preveni, cel puțin formal, utilizarea neautorizată a actului, un certificat digital poate fi revocat sau suspendat la cererea titularului. De aceea legea insistă asupra unei formulări cât mai explicite atunci când reglementează semnătura electronică extinsă bazată pe un „certificat calificat nesuspendat sau nerevocat la momentul respectiv” (articolul 5).

Două tipuri de furnizori de servicii de certificare

Furnizorul de servicii de certificare este în esență persoana care eliberează certificate, fără a fi condiționat de o acreditare prealabilă din partea autorității de reglementare în domeniul comunicațiilor. Furnizorul de servicii de certificare digitală este obligat să respecte cerințele articolelor 18-22 din lege. Aceste cerințe privesc existența unei baze materiale care să permită prestarea serviciului în condiții de siguranță și operativitate.

Pentru o confirmare a îndeplinirii cerințelor legale, furnizorii de servicii de certificare au posibilitatea (nu și obligația) de a solicita acreditare din partea autorității de resort.

Regimul juridic al semnăturii electronice, pe scurt

Primele 11 articole ale legii prevăd efectele juridice asociate semnăturii electronice. În primul rând, legea se completează cu dreptul comun în materia încheierii, validității și efectelor actelor juridice (ex. Codul civil, Codul comercial; v. și regulile privind capacitatea de exercițiu raportate la vârsta persoanei fizice, insuficient tratate de normele speciale privind semnătura electronică). Continuă să fie aplicabile, așadar, regulile comune privind capacitatea părților, condițiile de valabilitate a actelor juridice etc. Mai mult, legea nu limitează autonomia de voință și nici libertatea contractuală a părților. Pentru înțelegerea acestei formulări vagi, putem apela și la prevederile articolului 5 din Directiva 1999/93/CE:

• statele membre sunt obligate să recunoască unui înscris în formă electronică purtând o semnătură electronică avansată („extinsă” în terminologia legii române) bazată pe un certificat calificat și creată cu ajutorul unui dispozitiv securizat (1) aceeași valoare ca și înscrisului pe suport de hârtie semnat de mână („înscris sub semnătură privată” în accepțiunea Codului civil – articolul 1176 și următoarele) și (2) admisibilitatea ca probă în justiție;
• statele membre trebuie să se asigure că nu vor refuza (1) eficiența juridică a unei semnături electronice (N.B. „simplă”, nu avansată/extinsă!) și (2) admisibilitatea ca probă în justiție, doar pentru unul dintre următoarele motive: semnătura este în formă electronică, semnătura nu se bazează pe un certificat calificat, semnătura nu se bazează pe un certificat calificat eliberat de un furnizor acreditat de servicii de certificare, semnătura nu este creată printr-un dispozitiv securizat.

O aplicare în practică a acestor prevederi face ca un înscris în formă electronică neasimilabil înscrisului sub semnătură privată pe motiv că semnătura nu a fost generată cu ajutorul unui certificat calificat sau a unui dispozitiv securizat să poată în continuare să constituie un mijloc de probă admisibil în justiție (articolul 5:2 din directivă), dacă poartă o semnătură electronică („simplă”). Această interpretare corespunde conceptului de „început de dovadă scrisă” (articolul 1197 din Codul civil).

Înscris în formă electronică, purtând semnătura electronică extinsă

Condițiile cerute de lege (articolul 5 din lege) privind semnătura pentru ca un înscris în formă electronică să fie asimilat ca efecte juridice înscrisului sub semnătură privată sunt:

1. semnătura electronică să fie una extinsă;
2. semnătura să se bazeze pe un certificat calificat nesuspendat și nerevocat în momentul semnării;
3. semnătura să fie generată cu ajutorul unui dispozitiv securizat (definit în lege).

Înscrisul în formă electronică îndeplinind condițiile enumerate satisface și cerința formei scrise, atunci când aceasta este cerută ca o condiție de probă (ad probationem) sau de validitate (ad validitatem) a unui act juridic (articolul 7 din lege).

Prin contrast, nu pot fi asimilate înscrisului sub semnătură privată, ci numai unui început de dovadă scrisă (deci admisibil ca mijloc de probă în justiție): (1) înscrisul în formă electronică, purtând o semnătură electronică „simplă”; (2) înscrisul în formă electronică, purtând o semnătură electronică extinsă, care se bazează pe un certificat calificat revocat sau suspendat; (3) înscrisul în formă electronică, purtând o semnătură electronică extinsă care nu a fost generată cu ajutorul unui dispozitiv securizat.

Din modul de reglementare a semnăturii electronice extinse necesare pentru ca un înscris în formă electronică să fie asimilat unui înscris sub semnătură privată rezultă că mesajele SMS sau cele instantanee, prin limitări tehnologice inerente, nu pot îndeplini condițiile legale, neputându-se atașa certificate calificate unor astfel de mesaje. Totuși, nu poate fi refuzată de plano valoarea lor ca mijloace de probă în forma începutului de dovadă scrisă.

Înscris în formă electronică, purtând o semnătură electronică

Înscrisul în formă electronică, purtând o semnătură electronică („simplă”), dacă este recunoscut de cel căruia i se opune, are același efect ca și actul autentic între cei care l-au subscris și cei care reprezintă drepturile lor. Prevederea este similară celei de la articolul 1176 din Codul civil („Actul sub semnătură privată, recunoscut de acela cărui se opune, este privit, după lege, ca recunoscut, are același efect ca actul autentic, între acei care l-au subscris și între cei care reprezintă drepturile lor”).

Dacă înscrisul nu este recunoscut de cel căruia i se opune instanța este obligată să dispună întotdeauna ca verificarea să fie făcută prin expertiză (articolul 8 din lege). Prevederea corespunde articolelor 1177 și 1178 din Codul civil („Acela cărui se opune un act sub semnătură privată este dator a-l recunoaște sau a tăgădui curat scriptura sau subsemnătura sa.”; „Când cineva nu cunoaște scriptura și subsemnătura sa, sau când succesorii săi declară că nu le cunosc, atunci justiția ordonă verificarea actului.”; v. și procedura verificării de scripte prevăzută de articolele 177-184 din Codul de procedură civilă). Expertiza nu poate ignora posibilitatea reală și serioasă de falsificare a înscrisurilor electronice (ex. furtul instrumentelor și datelor necesare generării semnăturii electronice, email spoofing, SMS spoofing).

Aceste prevederi se pot dovedi eficiente în condițiile în care comunicarea se desfășoară prin mijloace electronice, inclusiv mesaje email sau SMS. Cu toate acestea, în modesta jurisprudență în materie, instanțele au preferat invocarea lipsei semnăturii electronice extinse pentru o respingere sumară a unor înscrisuri în formă electronică (emailuri) utile.

Proba semnăturii electronice extinse

Legea prevede că partea care invocă o semnătură electronică extinsă are sarcina probei că aceasta îndeplinește cerințele legale (privind conținutul și furnizorul de servicii de certificare). Legea înlocuiește sarcina probei cu prezumția că semnătura electronică extinsă bazată pe un certificat calificat emis de un furnizor acreditat îndeplinește cerințele legale.

Proba certificatului calificat

Partea care invocă un certificat calificat are sarcina probei că furnizorul care l-a emis îndeplinește condițiile legale. Legea înlocuiește sarcina probei cu prezumția că furnizorul acreditat îndeplinește condițiile legale.

Proba dispozitivului securizat de creare a semnăturii

Partea care invocă un dispozitiv („mecanism” în lege) securizat de creare a semnăturii are sarcina probei că acesta îndeplinește condițiile legale. Legea înlocuiește sarcina probei cu prezumția că dispozitivul omologat îndeplinește condițiile legale.

Suspendarea și revocarea certificatelor

Suspendarea unui certificat are ca efect juridic neîndeplinirea, pe durata suspendării, a condițiilor legale pentru ca înscrisul în formă electronică purtând o semnătură electronică extinsă să fie asimilat înscrisului sub semnătură privată. Potrivit legii (articolul 23:1), furnizorul de servicii de certificare este obligat sub sancțiunea amenzii contravenționale să suspende în termen de 24 de ore „din momentul în care a luat cunoștință sau trebuia și putea să ia cunoștință despre apariția oricăruia” dintre cazurile legale – ex. cererea titularului de certificat, hotărârea judecătorească privind suspendarea certificatului, informațiile conținute de certificat nu mai corespund realității. Dacă fapta are natura unei infracțiuni (ex. înșelăciune, gestiune frauduloasă), este aplicabil tratamentul penal corespunzător.

Revocarea unui certificat, în mod similar suspendării, are ca efect juridic neîndeplinirea condițiilor legale pentru ca înscrisul să fie asimilat unui înscris sub semnătură privată. Cazurile de revocare, mai numeroase decât cele de suspendare, includ și utilizarea frauduloasă a certificatului sau decesul ori punerea sub interdicție a semnatarului. Regimul sancționator este similar.

Furnizorul de servicii de certificare este obligat să notifice imediat titularul asupra măsurilor luate și a motivelor care stau la baza lor.

Suspendarea sau revocarea certificatelor devin opozabile terților din momentul în care furnizorul înscrie măsura în registrul electronic de evidență a certificatelor.

Titularii de certificate au obligația să solicite de îndată revocarea certificatelor dacă: au pierdut datele de generare a semnăturii electronice, au motive să creadă că aceste date au ajuns la cunoștința unui terț neautorizat, informațiile esențiale din conținutul certificatului nu mai corespund realității.

Răspunderea furnizorilor de servicii de certificare

Furnizorii de servicii de certificare sunt răspunzători în fața oricărei persoane care a suferit un prejudiciu întemeindu-și conduita pe efectele juridice ale certificatelor emise. Răspunderea furnizorului privește:

• exactitatea datelor din certificat, în momentul emiterii;
• asigurarea că titularul certificatului deținea datele de generare a semnăturii, în momentul emiterii certificatului;
• asigurarea că datele de generare a semnăturii corespund celor de verificare a ei, dacă furnizorul le generează pe ambele;
• suspendarea și revocarea certificatului;
• îndeplinirea cerințelor legale privind organizarea și desfășurarea activității.

Furnizorul de servicii de certificare își poate limita răspunderea prin indicarea în cuprinsul certificatului calificat a restricțiilor de utilizare și a limitelor valorice ale operațiunilor pentru care acesta poate fi utilizat, cu condiția ca aceste limite să poată fi cunoscute de terți.

Normele metodologice pentru aplicarea Legii 455/2001 (articolul 14) prevăd în sarcina furnizorului de servicii de certificare calificată obligația de a dovedi că are resurse materiale pentru a acoperi eventualele prejudicii: echivalentul în lei al sumei de 10.000 euro pentru fiecare risc asigurat (prejudiciu produs) și o garanție în forma unei polițe de asigurare sau a unei scrisori de garanție bancară în favoarea autorității de reglementare în valoare cel puțin egală cu echivalentul în lei al sumei de 500.000 euro.

Probleme

Non-repudierea tehnică – non-repudierea juridică

Una dintre caracteristicile tehnice ale semnăturii electronice extinse, frecvent menționată atunci când este descrisă, este „non-repudierea” (alături de asigurarea autenticității și a integrității mesajului). Non-repudierea constă în imposibilitatea tehnică a susținerii faptului că o semnătură nu a fost generată folosind un anume certificat digital.

Din punct de vedere juridic, însă, non-repudierea nu are un efect absolut. Legătura între o persoană și certificatul său digital nu este, oricâte precauții s-ar lua, una indisolubilă. Ea poate fi prezumată, însă numai relativ, până la proba contrară. Parolele, token-urile (dispozitive de creare a semnăturii electronice), certificatele sunt susceptibile de sustragere și utilizare neautorizată. Parolele sunt expuse ingineriei sociale, obiectele fizice sunt expuse furtului, fișierele sunt expuse sustragerii cu ajutorul unui malware. Nu există o garanție absolută că un certificat nu poate fi compromis. Ca atare, nici nu poate funcționa o non-repudiere juridică a semnăturii electronice, în sensul în care este înțeleasă non-repudierea tehnică.

Bineînțeles că o asemenea posibilitate de dubiu poate profita celui rău-intenționat.

Revocarea certificatului – revocarea actului juridic

Unul dintre principiile actului juridic este irevocabilitatea – în actele juridice bi- sau multilaterale, cel care a manifestat valabil consimțământul în scopul producerii unor efecte juridice nu îl poate revoca decât cu acordul celeilalte părți.

Certificatul, chiar și calificat, folosit pentru semnarea unui înscris în formă electronică poate fi revocat sau suspendat. Acest fapt afectează calitatea de înscris sub semnătură privată a respectivului document; legea nu prevede nimic în privința valabilității lui. Problema este că, în practică, între momentul solicitării de revocare sau suspendare a certificatului și momentul în care aceste măsuri devin opozabile terților poate trece un timp suficient pentru semnarea frauduloasă a unui contract, eventual de o persoană neautorizată. Cum verificarea stării unui certificat depinde de disponibilitatea unui serviciu extern (ex. Internetul, serverele furnizorului de servicii de certificare etc.) expus cazului fortuit (ex. traficul de moment al rețelei) sau atacului informatic (ex. DDoS) este greu de asigurat că partenerul într-un contract semnat electronic poate constata la timp frauda.

Suntem pregătiți pentru înscrisuri semnate electronic?

Semnătura electronică este încă într-o etapă incipientă. Gradul de înțelegere al potențialilor „consumatori” este insuficient pentru o utilizare de încredere (v. sfaturile de pe site-uri oficiale privind necesitatea unui singur certificat pentru un număr nelimitat de semnături). Iar caracterul destul de tehnic al informațiilor referitoare la semnătura electronică nu ajută.

Nici mijloacele materiale nu sunt încă favorabile unei utilizări semnificative a semnăturii electronice. Deocamdată rămâne de neconceput pentru birocrația autohtonă, de pildă, depunerea unei cereri de chemare în judecată în formă electronică – la care adresă? cine citește acel email? cum punem timbrul judiciar de 0,30 lei?

Toate acestea sunt motive pentru a crede că probabil va mai trece un timp până când semnăturile electronice vor fi asimilate real în viața cotidiană.

Concluzie

Stabilirea unui cadru normativ aplicabil semnăturii electronice era necesară pentru a conferi un anume grad de încredere actelor juridice încheiate prin intermediul mijloacelor electronice. Totuși, deși legislația există de aproape 10 ani, încă nu se poate observa o practică, inclusiv judiciară, semnificativă. Acest fapt nu înseamnă că în tot acest răstimp nu au existat raporturi juridice perfectate prin mijloace electronice, fără utilizarea semnăturii electronice extinse prevăzute de lege. Un refuz sumar de recunoaștere a acestor raporturi juridice, sub scuza facilă a neîndeplinirii cerințelor Legii 455/2001, este periculos întrucât pune la îndoială securitatea juridică a respectivelor raporturi fără examinarea atentă a faptelor – o îndatorire esențială a instanței judecătorești.

Despre autor: Alin-Cristian Clincea este avocat în Baroul Dolj, însă are experiență profesională și ca IT-ist.

Image credit: R. M. Calamar.

No related posts.