Подписване на договор с SMS код или еднократна парола

В стремежа си да дигитализираме всички процеси и тържествено да обявим, че дигиталната трансформация е приключена, може (неволно) да пропуснем някое от изискванията на нормативната рамка.

А законите по отношение на електроното подписване в ЕС са доста ясни и изчерпателни, като не оставят място за свободни интерпретации. Единствено квалифицирания електронен подпис е изцяло приравнен на традиционния ръкописен подпис.

Другите два вида подписи (обикновен и усъвършенстван) са също валидни и не могат да бъдат оспорени, базирайки се само на факта, че са в електронна форма. Ако могат да се предоставят достатъчно доказателства за идентичността на подписващия, и че документът не е бил променян след като е подписан.

Срещат се случаи, в които даден доставчик извършва процес на подписване, като ви изпраща код по SMS, който вие трябва да въведете. С това действие доставчика заявява, че вие сте подписали дадено споразумение.

Изпращайки към телефонния ви номер текстово съобщение, единственото, което доставчика прави, е да провери дали номера е валиден, и дали зад него стои човека, с който се твърди, случва сделката. И в това няма нищо лошо или неправилно, но това не може да счита за електронно подписване. Не бива да се бърка процесът по идентификация с процеса по подписване.

Едно от основните изисквания за усъвършенстваните и квалифицирани подписи е да се гарантира, че документът не е бил променян след като е подписан. Или ако е бил променен, да се знае точно какво е променено. Технологията всъщност позволява към един подписан документ да бъдат добавяне само още подписи. Всяка друга промяна ще бъде ясно индикирана.

Банка в Европейския Съюз е приложила вариант за подписване, с който клиентът, за да подпише даден договор, трябва да въведе PIN код на банкомат.

До колкото по договор с банката, лицето е длъжно да не споделя кода си с никой друг, това може да се счита за достатъчно сигурен начин за идентификация. Човекът разполага с пластиката (нещо, което има) и знае кода (нещо, което знае). Това отговаря на критериите за двуфакторна идентификация.

Но по какъв начин може да се докаже, че въпросния договор е електронно подписан, ако не е "заключен" за бъдещи промени със валиден сертификат? По никакъв. Затова и така подписания договор не може да се счита за валиден, тъй като не е подписан с електронен подпис.

Ако подписването на даден документ се осъществява по електронен път, то трябва да бъдат налични т. нар. сертификационни вериги, които да удостоверят по какъв начин съдържанието на документа е заключено. Употребата само на PIN не може да се счита за електронен подпис.

Текущо, електронното подписване на договори става все по-популярно и все по-често замества физическия подпис. И всичко това е чудесно, стига да може да се провери идентичността на подписващия и да се гарантира, че точно той е подписал даден документ.

Но работейки с невалидни методи за подписване, излагаме организацията на изключително висок риск. В произволен момент клиент или доставчик може да заяви, че така подписаният договор е невалиден, и да откаже да изпълнява задълженията си по него. А когато става дума за договори с банка, обикновено същите имат много ясно монетарно изражение.

Какво би станало, ако изведнъж голяма група от клиенти откаже да плаща вноските си, защото са разбрали, че подписаните от тях договори могат да се считат за невалидни? Това може да доведе до огромни финансови загуби за организацията.

За да се реши проблемът с безхартиеното подписване на договори, доставчиците на удостоверителни услуги за измисли метода на работа с еднократен подпис. Вижте повече информация как работи и кой предлага тази услуга в България в статията "Какво значи еднократен квалифициран електронен подпис?".

Тук също имаме въвеждане на ПИН код, според процеса, но самия документ е крайна сметка е подписан с валиден квалифициран електронен подпис. Банката е идентифицирала физически лицето и е валидирала неговата идентичност. А върху документа е положен валиден електронен подпис, издаден на името на човека.

Ако ситуацията не налага използването на квалифициран електронен подпис, може да се използва и усъвършенстван подпис. Но е не по-малко важно да бъде установена идентичността на подписващия.

При метода 1-Click-Sign на DigiSign използваме двуфакторна идентификация, като се въвежда не само електронна поща, но и се извършва допълнителна валидация чрез SMS.

Изпращащият документа за полагане на електронен подпис знае имената на лицето, от което иска да вземе съгласие за съдържанието на документа. Знаейки и телефонен ѝ номер и и-мейл адреса ѝ, показва, че между страните има изградено нужното ниво доверие.

След като премине процедурата по връзка чрез електронна поща и валидиране и на телефонен номер чрез въвеждане на SMS, платформата слага електронен подпис. В случая, усъвършенства електронен печат, издаден от квалифициран (ще рече официално регистриран) доставчик на удостоверителни услуги.

С това се гарантира, че по документа не може да има повече изменения. В логовете на системата се записва кой е изпратил документа за подпис, до какъв и-мейл адрес и с какъв телефонен номер ще се валидира трансакцията. Във всеки момент от времето може да се направи справка за действията по подписване.

Технологията променя начина, по който подписваме договори и документи, а електронните подписи стават все по-значими в бизнеса и ежедневието ни.

Съществуват различни методи за подписване, но за да гарантираме законността и сигурността на документите, следва да използваме усъвършенствани и квалифицирани електронни подписи. С тях не само улесняваме процесите, но и разполагаме с юридическа защита и увереност в автентичността на съдържанието и идентичността на подписващия.

Използването на квалифицирани удостоверителни услуги или на двуфакторна идентификация в комбинация с усъвършенстван електронен подпис, са ключът към овладяване на рисковете, свързани с невалидно електронно подписване.