Електронни подписи в глобален контекст: Какви са разликите между ЕС, САЩ, Азия, Африка и Южна Америка?

Все по-често наши клиенти ни питат как могат да адресират ситуацията, когато един договор се подписва от една страна в България, и от друга с партньор в ЕС, САЩ и Азия. И всеки път въпросите са в посока: "Този подпис валиден ли е?", "Трябва ли непременно квалифициран подпис?", "Мога ли да приема подпис, положен в DigiSign или друга подобна платформа?"

В тази статия ще погледнем на електронните подписи в глобален контекст - какво се случва в ЕС, САЩ, Азия, Африка и Южна Америка - и как една организация с международни операции може да подреди процесите си така, че да работи уверено в различни юрисдикции, без да ползва различни системи за всяка държава.

На теория електронният подпис е прост: електронни данни, които "застават" зад волеизявлението на подписващия.

На практика обаче възникват три големи въпроса:

1. Може ли подписът да се докаже в съда?
2. Какво изисква местното законодателство за конкретния тип документ?
3. Ще бъде ли този подпис приет от контрагента (банка, данъчна администрация, регулатор, одитор)?

Различните държави са решили тези въпроси по различен начин, както ще видите по-долу.

За международните компании това означава, че:

• Няма универсален "магически" подпис, който да е формално равен на ръкописен във всяка държава.
• Може да съществува универсален подход, който комбинира различни видове подписи и доказателства.

В ЕС електронните подписи са регулирани от Регламент (ЕС) 910/2014 - eIDAS. Той въвежда три нива, за които сме писали многократно: Обикновен електронен подпис, Усъвършенстван електронен подпис (УЕП/AES) и Квалифициран електронен подпис (КЕП/QES).

Практически това означава:

• Договор, подписан с КЕП от български доставчик на удостоверителни услуги (ДУУ), може да се ползва в Германия, Италия или Франция без нужда от допълнително "легализиране".
• В много частни отношения (B2B, вътрешно-фирмени процеси) страните често се съгласяват и на усъвършенстван подпис - стига да има добра проследимост (audit trail), двуфакторна идентификация и ясно волеизявление.

Платформи като DigiSign са изградени именно около тази логика - да могат да работят с различни видове подписи, но да дават максимална сигурност, когато залогът е висок.

DigiSign поддържа квалифицирани електронни подписи от всички европейски доставчици и позволява комбиниране на няколко метода на подписване върху един и същ документ.

Специално за България, DigiSign е интегриран и с всички облачни квалифицирани електронни подписи, така че процесът по подписване да може да се осъществява и през мобилен телефон.

В САЩ няма еквивалент на понятието "квалифициран електронен подпис" в смисъла на eIDAS. Вместо това има две основни рамки:

• ESIGN (Electronic Signatures in Global and National Commerce Act) - федерален закон;
• UETA (Uniform Electronic Transactions Act) - модел-закон, приет в повечето щати.

В общи линии и двата казват, че подпис или договор не може да бъде отхвърлен само защото е електронен.

Ако по закон се изисква "писмена форма", електронният запис може да я изпълни.

Електронният подпис има сила на ръкописен, ако са налице няколко ключови елемента:

• Намерение за подписване;
• Съгласие да се води бизнес по електронен път;
• Връзка между конкретния подпис и конкретния документ;
• Надеждно съхранение на подписания запис.

Част от документите -например завещания, някои семейноправни актове, част от ипотечните сделки - остават извън обхвата на ESIGN/UETA в много юрисдикции и изискват мокър подпис ("wet ink").

На практика това означава, че в САЩ фокусът е, не толкова върху "ниво на подписа", а върху доказуемостта на целия процес - кой, кога, от кое устройство, с какъв e-mail/телефон, при какви условия е подписал.

За международна група с клиенти или дъщерни дружества в САЩ това има две последици:

1. Ако документът е типичен търговски договор, често е напълно достатъчно да се използва надеждна e-sign платформа с audit trail, двуфакторна идентификация и ясни условия.
2. Ако документът попада в изключение (например част от имотни сделки), трябва да се провери местното законодателство и евентуално да се ползва ръчно положен подпис.

В Азия също няма единен нормативен акт, подобен на eIDAS. Вместо това имаме множество национални закони, често вдъхновени от моделите на UNCITRAL (United Nations Commission on International Trade Law).

Няколко примера:

• Сингапур - Electronic Transactions Act (ETA) - ETA признава електронните подписи и въвежда понятието "secure electronic signature". "Сигурният" електронен подпис има презумпция за еквивалентност с ръкописния, ако са изпълнени определени технически изисквания. Има и списък от документи, за които е нужен "мокър" подпис - напр. ипотеки върху земя.
• Индия - Information Technology Act - IT Act, 2000 признава електронните подписи и им дава правен ефект, ако отговарят на изискванията, определени от централното правителство. За по-чувствителни процеси се използват сертифицирани дигитални подписи.
• Япония - Act on Electronic Signatures and Certification Business - Законът урежда електронните подписи и въвежда режим на акредитация на сертификационни доставчици. Подписите, базирани на сертификати от такива доставчици, ползват презумпция за автентичност.
• Хонконг - Electronic Transactions Ordinance - Позволява електронни подписи и дава силна правна тежест на дигиталните подписи, базирани на признати сертификати (например от Hongkong Post CA).

Общото между режимите в Азия е, че електронните подписи са допустими за голяма част от търговските документи.

Има разделение между "обикновен" e-sign и "по-сигурни" форми (secure/advanced), за които се ползват сертификати от акредитирани доставчици.

Определени видове сделки (особено свързани с недвижими имоти, семейно право и др.) остават извън обхвата на електронното подписване.

Африка е един от регионите, които в момента търпи най-бурно развитие в дигитализацията, но също няма обща правна рамка или подход.

Няколко примера:

• Южна Африка - Electronic Communications and Transactions Act (ECTA) признава електронните подписи, като регулира две нива: Обикновен електронен подпис и Advanced Electronic Signature (AES) - това е специална форма на електронен подпис, призната от държавата. Само доставчици, акредитирани от South African Accreditation Authority (SAAA), могат да издават AES. AES в Южна Африка е най-близкото до европейския квалифициран подпис.
• Кения - един от технологичните центрове в Източна Африка. Kenya Information and Communications Act (KICA) признава: обикновени e-sign; сертифицирани електронни подписи; надеждни електронни записи, подобни на UETA/ESIGN модела.
• Нигерия - признава електронните подписи в почти всички търговски отношения, стига: да е ясно кой е подписал; да е защитен каналът; да може да се докаже връзката между подписващия и документа. Финтех секторът (особено mobile-first решенията) активно използва цифрови подписи.

Общо за Африка, е че липсва единен стандарт и че се разчита се на комбинация между законови дефиниции и доказателствена стойност на процеса.

Южна Америка също е регион с бурно развитие на дигитализацията и електронните подписи. Много държави въвеждат европейски модел с квалифицирани сертификати.

• Бразилия - има един от най-стабилните e-sign режими в света. ICP-Brasil е държавната инфраструктура за публични ключове (PKI). Сертификатите, издадени в тази система, са напълно равни на ръкописния подпис. Обикновен електронен подпис е допустим за нискорискови сделки, но за банкови, финансови или корпоративни документи най-често се иска ICP-Brasil сертификат.
• Аржентина - Аржентинският закон 25.506 различава "Електронен подпис" и "Дигитален подпис" - цифрово базиран и удостоверен от доверен орган, равен на ръкописен. Този подход е много близък до този на ЕС.
• Чили, Колумбия, Перу, Мексико - Повечето от тези държави следват схеми, базирани на акредитирани доставчици, издаващи цифрови сертификати; разделение между обикновен и квалифициран (или еквивалентен) подпис и приемане на обикновени e-sign процеси за B2B и нискорискови договори.

Това прави региона изненадващо предвидим за международни компании.

Да си представим една група:

• Холдинг в ЕС - например в Германия;
• Дъщерно дружество в България;
• Търговски офис в САЩ;
• Аутсорсинг партньор в Индия;
• Клиенти в Африка и Азия.

Една и съща сделка може да минава през хора и системи в два, три и дори повече различни правни режима. Как можете да подходите?

1. Определете "критичните" видове документи

Например:

• Трудови договори и анекси;
• Договори с ключови клиенти и доставчици;
• Договори, които влизат при регулатори/банки;
• Корпоративни решения и пълномощни.

2. Задайте "минимален стандарт"

Задайте "минимален стандарт" по региони и където се налага - по държави. Основното тук е да създадете вътрешна политика "по региони", а не "по доставчици". Съобразете се с спецификите, които изброихме по-горе. Примерен модел:

• ЕС - QES/KЕП и AES/УЕП;
• САЩ - e-sign с пълен audit trail;
• Азия - secure и обикновен e-sign;
• Африка - AES/сертифициран подпис в Южна Африка и Кения;
• Южна Америка - цифрови сертификати.

3. Осигурете единна платформа

Осигурете единна платформа, а не множество локални решения - Тук идва ролята на платформи като DigiSign. Вместо всяко звено да използва различен инструмент, холдингът избира една централна платформа, а тя се свързва с различни доставчици на електронни подписи и методи за идентификация по държави.

Така на практика комбинирате подписите и за един и същи документ:

• Директорът в ЕС → подписва с КЕП;
• Партньорът в САЩ → подписва с 2FA e-sign;
• Подизпълнителят в Индия → подписва с локален дигитален сертификат;
• Клиентът в Кения → подписва със сертифициран местен e-sign.

Това е и една от основните роли на DigiSign:

• Работи с КЕП от всички български и европейски доставчици.
• Поддържа усъвършенствани и обикновени подписи (SMS, e-mail, 2FA).
• Събира всички методи в едно доказателствено досие.
• Позволява гъвкаво конфигуриране на процеса според държавата и видовете документи.
• Предлага се като облачно (SaaS) решение, но при специфични нужди и регулаторни изисквания, може да бъде разположена и on-prem/частен облак.
• Има програмен интерфейс (API), което позволява интеграции с ERP/CRM/HR/портали.

Когато мислите за електронно подписване в глобален контекст, задайте следните въпроси:

1. Какви видове подписи се поддържат? Само "обикновен" e-sign (тип "подпиши тук"), или и усъвършенствани/квалифицирани подписи? Може ли да се комбинират различни методи върху един и същ документ - например клиентът подписва чрез двуфакторна идентификация, а юристът - с КЕП?
2. Може ли платформата да работи с локални доставчици на електронни подписи? В ЕС това означава квалифицирани доставчици (QTSP) по eIDAS. В Азия и САЩ - акредитирани сертификационни органи или локални изисквания.
3. Има ли гъвкави модели на внедряване? SaaS за по-малки организации; инсталация на място или в частен облак за най-високо ниво на сигурност.
4. Поддържа ли пълно доказателствено досие (audit trail)? Логове кой, кога, от кое IP/устройство е подписал; криптографско обвързване на подписа и документа; възможност за дългосрочно съхранение на документите и действията по тях.
5. ли удобен програмен интерфейс (API) и възможност за интеграции? За да вградите подписването в CRM, HRIS, документооборотни системи или клиентски портали, вместо хората да "качват и свалят" PDF-и на ръка.

DigiSign е разработена първоначално с фокус върху ЕС и България - там, където квалифицираният електронен подпис е основен инструмент, а регулацията е ясна.

Затова платформата работи с КЕП от всички квалифицирани доставчици в ЕС, (независимо на какъв носител са) и позволява на един и същ документ да се подпишат участници с различни видове подписи - КЕП, усъвършенстван подпис с SMS/2FA, биометричен подпис на таблет.

Това прави DigiSign естествен избор за компании, които имат силно присъствие в ЕС и в частност България, но работят с клиенти и партньори по света, където често е достатъчен "обикновен" електронен подпис с добра доказателствена стойност.

Процесът може да изглежда така:

1. Представител на компанията в България подписва с КЕП;
2. Партньор в САЩ - чрез двуфакторно електронно подписване (e-mail + SMS);
3. Подизпълнител в Индия - с локален дигитален подпис, интегриран чрез съответния доставчик.

Документът е един, пътят му е един, логиката в системата е една - различно е само това кой вид подпис се прилага за конкретния участник и юрисдикция.

Нещо повече – за различните подразделения на компанията може да се дефинират специфични права за достъп до документите според ролята и организационната единица още при изпращането на заявката за подпис.

Електронното подписване отдавна не е "екстра" само за големи организации - то е задължително условие за бърз и ефективен бизнес, особено когато компанията работи през граници.

В ЕС eIDAS дава яснота и правна сигурност, особено чрез квалифицирания електронен подпис, а по света "пейзажът" е изключително многообразен. Но тенденцията е ясна - все повече държави дават пълна правна сила на електронните подписи при определени условия.

Истинският въпрос за компаниите не е "Kой е най-добрият подпис?", а:

Как да изградим платформа и правила, които да работят логично навсякъде, а не да пренаписваме процесите за всяка отделна държава?

Решението е комбинация от:

1. Добра правна и процесна рамка вътре във фирмата;
2. Ясно разделение кои документи изискват "най-силен" подпис;
3. Платформа за подписване, която може да комбинира различни видове електронни подписи и да говори с различни доставчици.

Ако обмисляте как да подредите именно такава стратегия за вашата организация, DigiSign вече решава част от това уравнение - особено ако централата ви е в ЕС, а бизнесът ви расте глобално.

Остава само да помислите как искате да изглежда вашият международен процес - а ние с радост можем да помогнем да го превърнете в работеща практика.