Declaratii – semnatura electronica – juridic

Reglementarile recente privind depunerea declaratiilor fiscale în format electronic au adus în discutie utilizarea semnaturilor electronice. Suportul de hârtie era si este înca dominant în relatiile cu continut juridic, iar concepte precum semnatura electronica sunt înca greu de asimilat, mai ales tinând cont de detaliile si complicatiile tehnice.

Acest articol are ca scop descrierea cadrului legislativ aplicabil semnaturii electronice, comentarea unor prevederi ale legii si indicarea unor probleme potentiale carora practica urmeaza sa le gaseasca solutii.

Atentie, nu urmeaza un mesaj de Twitter, ci un text despre un subiect nu tocmai usor de prezentat în putine cuvinte!
Legislatia privind semnatura electronica

La sfârsitul anului 1999, în contextul foarte dinamic din epoca dot-com bubble, Uniunea Europeana a adoptat Directiva 1999/93/CE privind un cadru comunitar pentru semnaturile electronice. Scopul actului era stabilirea unui regim juridic în materia încheierii actelor în format electronic.

De remarcat ca în aceeasi perioada (1998-2001) reglementari similare au fost adoptate de S.U.A. (ex. Digital Signature And Electronic Authentication Law, Uniform Electronic Transactions Act, Electronic Signatures in Global and National Commerce Act). De asemenea, Comisia Natiunilor Unite pentru Drept International Comercial (UNCITRAL) a elaborat Legea-model privind semnaturile electronice.

România, atunci candidata la aderare si aflata în proces de armonizare a legislatiei cu cea a Uniunii Europene, a adoptat Legea 455/2001 privind semnatura electronica, respectiv normele de aplicare a acesteia (H.G. 1259/2001).

În acelasi context legislativ pot fi enumerate si alte doua legi: Legea 589/2004 privind regimul juridic al activitatii electronice notariale si Legea 451/2004 privind marca temporala.
Concepte

Articolul 4 din Legea 455/2001 contine o enumerare a definitiilor pentru conceptele utilizate. Câteva dintre aceste definitii pot ajuta la interpretarea regimului juridic al înscrisurilor electronice, purtatoare sau nu de semnatura electronica.
Înscrisul în forma electronica

Înscrisul în forma electronica este colectia de date în forma electronica având o semnificatie inteligibila. Acest tip de înscris este corespondentul electronic al înscrisului pe suport material „clasic” (ex. Hârtia). Trebuie remarcat ca definitia legala nu distinge între mijloacele tehnice care permit citirea înscrisului în forma electronica – înscrisul în forma electronica poate fi continut deopotriva de unitatile de stocare a memoriei din calculatoare personale ori telefoane mobile; sunt, asadar, astfel de înscrisuri: documentele electronice în format.doc,.pdf,.txt,.jpg etc., mesajele email, mesajele SMS, mesajele instantanee.
Doua tipuri de semnatura electronica

Legea distinge între semnatura electronica si semnatura electronica extinsa. Prima desemneaza o colectie de date atasate sau continute de un înscris în forma electronica, date care servesc ca metoda de identificare, fara a fi precizate cerinte asupra sigurantei acestei metode de identificare. De pilda, pentru a identifica la prima vedere originea unui mesaj email se poate folosi atât numele autorului, plasat de obicei la sfârsitul mesajului, cât mai ales adresa de email a expeditorului; în mod similar, pentru a identifica la prima vedere originea unui mesaj SMS se poate folosi numarul de telefon al expeditorului.

Semnatura electronica extinsa (cf. semnatura electronica avansata în Directiva 1999/93/CE, digital signature în dreptul american) adauga cerinte pentru a fi asigurat un nivel de încredere mai ridicat al metodei de identificare. Asemeni unei semnaturi „clasice”, pe hârtie, semnatura electronica extinsa trebuie (1) sa fie legata în mod unic de semnatar, (2) sa asigure identificarea semnatarului, (3) sa fie creata prin mijloace controlate exclusiv de semnatar si (4) sa fie legata de datele la care se raporteaza în asa fel încât sa permita detectarea modificarilor ulterioare semnarii. Ultima cerinta este specifica înscrisurilor în forma electronica si deriva din posibilitatea tehnica de a controla automat integritatea unui înscris. Mutatis mutandis, acestui procedeu îi corespunde în domeniul înscrisurilor „clasice” semnarea tuturor paginilor unui document, mentionarea numarului de pagini si eventual bararea spatiilor libere, pentru a preveni adaugirile ulterioare semnarii.

În practica, realizarea cerintelor semnaturii electronice extinse nu poate fi garantata în mod absolut, ci numai într-o anume masura, asa cum vom observa mai departe în articol.
Doua tipuri de certificate

În mod obisnuit, identificarea unei persoane se face cu ajutorul unui act de identitate emis de o autoritate publica. Pâna la proba contrara, posesorul unui astfel de act este prezumat a avea identitatea mentionata.

Exista, însa, posibilitatea ca un particular sa emita un act de identitate pentru un scop bine precizat – ex. Legitimatia de serviciu serveste la identificarea titularului si la atestarea calitatii de salariat în relatiile cu personalul de paza.

În mediul electronic corespondentul actului de identitate este, de regula, certificatul digital. Acesta este un fisier care contine atribute de identificare a persoanei si date tehnice necesare verificarii semnaturii electronice. Din punct de vedere tehnic, certificatul digital poate fi emis de oricine, inclusiv de titularul lui (ex. Self-signed certificate), cu toate consecintele asupra încrederii care îi poate fi acordata.

Aceasta posibilitate tehnica a dus la necesitatea unui cadru prin care sa fie asigurata opozabilitatea certificatelor si raspunderea furnizorilor de servicii de certificare.

Ca si în cazul tipurilor de semnatura electronica, legea opune certificatului („simplu” – cel care poate fi generat de oricine) un certificat calificat, care trebuie sa respecte cerintele legale în ceea ce priveste (1) datele continute (articolul 18) si (2) furnizorul de servicii de certificare (articolul 20).

Certificatul, în ambele sale forme, este utilizat pentru atestarea identitatii celui care îl utilizeaza, inclusiv cu ocazia semnarii înscrisurilor în format electronic.

Asa cum un act de identitate declarat pierdut, distrus sau furat de titularul sau devine nul de drept (cf. articolul 21:3 din OUG 97/2005) pentru a preveni, cel putin formal, utilizarea neautorizata a actului, un certificat digital poate fi revocat sau suspendat la cererea titularului. De aceea legea insista asupra unei formulari cât mai explicite atunci când reglementeaza semnatura electronica extinsa bazata pe un „certificat calificat nesuspendat sau nerevocat la momentul respectiv” (articolul 5).
Doua tipuri de furnizori de servicii de certificare

Furnizorul de servicii de certificare este în esenta persoana care elibereaza certificate, fara a fi conditionat de o acreditare prealabila din partea autoritatii de reglementare în domeniul comunicatiilor. Furnizorul de servicii de certificare digitala este obligat sa respecte cerintele articolelor 18-22 din lege. Aceste cerinte privesc existenta unei baze materiale care sa permita prestarea serviciului în conditii de siguranta si operativitate.

Pentru o confirmare a îndeplinirii cerintelor legale, furnizorii de servicii de certificare au posibilitatea (nu si obligatia) de a solicita acreditare din partea autoritatii de resort.
Regimul juridic al semnaturii electronice, pe scurt

Primele 11 articole ale legii prevad efectele juridice asociate semnaturii electronice. În primul rând, legea se completeaza cu dreptul comun în materia încheierii, validitatii si efectelor actelor juridice (ex. Codul civil, Codul comercial; v. si regulile privind capacitatea de exercitiu raportate la vârsta persoanei fizice, insuficient tratate de normele speciale privind semnatura electronica). Continua sa fie aplicabile, asadar, regulile comune privind capacitatea partilor, conditiile de valabilitate a actelor juridice etc. Mai mult, legea nu limiteaza autonomia de vointa si nici libertatea contractuala a partilor. Pentru întelegerea acestei formulari vagi, putem apela si la prevederile articolului 5 din Directiva 1999/93/CE:

Statele membre sunt obligate sa recunoasca unui înscris în forma electronica purtând o semnatura electronica avansata („extinsa” în terminologia legii române) bazata pe un certificat calificat si creata cu ajutorul unui dispozitiv securizat (1) aceeasi valoare ca si înscrisului pe suport de hârtie semnat de mâna („înscris sub semnatura privata” în acceptiunea Codului civil – articolul 1176 si urmatoarele) si (2) admisibilitatea ca proba în justitie;
Statele membre trebuie sa se asigure ca nu vor refuza (1) eficienta juridica a unei semnaturi electronice (N.B. „simpla”, nu avansata/extinsa!) si (2) admisibilitatea ca proba în justitie, doar pentru unul dintre urmatoarele motive: semnatura este în forma electronica, semnatura nu se bazeaza pe un certificat calificat, semnatura nu se bazeaza pe un certificat calificat eliberat de un furnizor acreditat de servicii de certificare, semnatura nu este creata printr-un dispozitiv securizat.

O aplicare în practica a acestor prevederi face ca un înscris în forma electronica neasimilabil înscrisului sub semnatura privata pe motiv ca semnatura nu a fost generata cu ajutorul unui certificat calificat sau a unui dispozitiv securizat sa poata în continuare sa constituie un mijloc de proba admisibil în justitie (articolul 5:2 din directiva), daca poarta o semnatura electronica („simpla”). Aceasta interpretare corespunde conceptului de „început de dovada scrisa” (articolul 1197 din Codul civil).
Înscris în forma electronica, purtând semnatura electronica extinsa

Conditiile cerute de lege (articolul 5 din lege) privind semnatura pentru ca un înscris în forma electronica sa fie asimilat ca efecte juridice înscrisului sub semnatura privata sunt:

Semnatura electronica sa fie una extinsa;
Semnatura sa se bazeze pe un certificat calificat nesuspendat si nerevocat în momentul semnarii;
Semnatura sa fie generata cu ajutorul unui dispozitiv securizat (definit în lege).

Înscrisul în forma electronica îndeplinind conditiile enumerate satisface si cerinta formei scrise, atunci când aceasta este ceruta ca o conditie de proba (ad probationem) sau de validitate (ad validitatem) a unui act juridic (articolul 7 din lege).

Prin contrast, nu pot fi asimilate înscrisului sub semnatura privata, ci numai unui început de dovada scrisa (deci admisibil ca mijloc de proba în justitie): (1) înscrisul în forma electronica, purtând o semnatura electronica „simpla”; (2) înscrisul în forma electronica, purtând o semnatura electronica extinsa, care se bazeaza pe un certificat calificat revocat sau suspendat; (3) înscrisul în forma electronica, purtând o semnatura electronica extinsa care nu a fost generata cu ajutorul unui dispozitiv securizat.

Din modul de reglementare a semnaturii electronice extinse necesare pentru ca un înscris în forma electronica sa fie asimilat unui înscris sub semnatura privata rezulta ca mesajele SMS sau cele instantanee, prin limitari tehnologice inerente, nu pot îndeplini conditiile legale, neputându-se atasa certificate calificate unor astfel de mesaje. Totusi, nu poate fi refuzata de plano valoarea lor ca mijloace de proba în forma începutului de dovada scrisa.
Înscris în forma electronica, purtând o semnatura electronica

Înscrisul în forma electronica, purtând o semnatura electronica („simpla”), daca este recunoscut de cel caruia i se opune, are acelasi efect ca si actul autentic între cei care l-au subscris si cei care reprezinta drepturile lor. Prevederea este similara celei de la articolul 1176 din Codul civil („Actul sub semnatura privata, recunoscut de acela carui se opune, este privit, dupa lege, ca recunoscut, are acelasi efect ca actul autentic, între acei care l-au subscris si între cei care reprezinta drepturile lor”).

Daca înscrisul nu este recunoscut de cel caruia i se opune instanta este obligata sa dispuna întotdeauna ca verificarea sa fie facuta prin expertiza (articolul 8 din lege). Prevederea corespunde articolelor 1177 si 1178 din Codul civil („Acela carui se opune un act sub semnatura privata este dator a-l recunoaste sau a tagadui curat scriptura sau subsemnatura sa.”; „Când cineva nu cunoaste scriptura si subsemnatura sa, sau când succesorii sai declara ca nu le cunosc, atunci justitia ordona verificarea actului.”; v. si procedura verificarii de scripte prevazuta de articolele 177-184 din Codul de procedura civila). Expertiza nu poate ignora posibilitatea reala si serioasa de falsificare a înscrisurilor electronice (ex. Furtul instrumentelor si datelor necesare generarii semnaturii electronice, email spoofing, SMS spoofing).

Aceste prevederi se pot dovedi eficiente în conditiile în care comunicarea se desfasoara prin mijloace electronice, inclusiv mesaje email sau SMS. Cu toate acestea, în modesta jurisprudenta în materie, instantele au preferat invocarea lipsei semnaturii electronice extinse pentru o respingere sumara a unor înscrisuri în forma electronica (emailuri) utile.
Proba semnaturii electronice extinse

Legea prevede ca partea care invoca o semnatura electronica extinsa are sarcina probei ca aceasta îndeplineste cerintele legale (privind continutul si furnizorul de servicii de certificare). Legea înlocuieste sarcina probei cu prezumtia ca semnatura electronica extinsa bazata pe un certificat calificat emis de un furnizor acreditat îndeplineste cerintele legale.
Proba certificatului calificat

Partea care invoca un certificat calificat are sarcina probei ca furnizorul care l-a emis îndeplineste conditiile legale. Legea înlocuieste sarcina probei cu prezumtia ca furnizorul acreditat îndeplineste conditiile legale.
Proba dispozitivului securizat de creare a semnaturii

Partea care invoca un dispozitiv („mecanism” în lege) securizat de creare a semnaturii are sarcina probei ca acesta îndeplineste conditiile legale. Legea înlocuieste sarcina probei cu prezumtia ca dispozitivul omologat îndeplineste conditiile legale.
Suspendarea si revocarea certificatelor

Suspendarea unui certificat are ca efect juridic neîndeplinirea, pe durata suspendarii, a conditiilor legale pentru ca înscrisul în forma electronica purtând o semnatura electronica extinsa sa fie asimilat înscrisului sub semnatura privata. Potrivit legii (articolul 23:1), furnizorul de servicii de certificare este obligat sub sanctiunea amenzii contraventionale sa suspende în termen de 24 de ore „din momentul în care a luat cunostinta sau trebuia si putea sa ia cunostinta despre aparitia oricaruia” dintre cazurile legale – ex. Cererea titularului de certificat, hotarârea judecatoreasca privind suspendarea certificatului, informatiile continute de certificat nu mai corespund realitatii. Daca fapta are natura unei infractiuni (ex. Înselaciune, gestiune frauduloasa), este aplicabil tratamentul penal corespunzator.

Revocarea unui certificat, în mod similar suspendarii, are ca efect juridic neîndeplinirea conditiilor legale pentru ca înscrisul sa fie asimilat unui înscris sub semnatura privata. Cazurile de revocare, mai numeroase decât cele de suspendare, includ si utilizarea frauduloasa a certificatului sau decesul ori punerea sub interdictie a semnatarului. Regimul sanctionator este similar.

Furnizorul de servicii de certificare este obligat sa notifice imediat titularul asupra masurilor luate si a motivelor care stau la baza lor.

Suspendarea sau revocarea certificatelor devin opozabile tertilor din momentul în care furnizorul înscrie masura în registrul electronic de evidenta a certificatelor.

Titularii de certificate au obligatia sa solicite de îndata revocarea certificatelor daca: au pierdut datele de generare a semnaturii electronice, au motive sa creada ca aceste date au ajuns la cunostinta unui tert neautorizat, informatiile esentiale din continutul certificatului nu mai corespund realitatii.
Raspunderea furnizorilor de servicii de certificare

Furnizorii de servicii de certificare sunt raspunzatori în fata oricarei persoane care a suferit un prejudiciu întemeindu-si conduita pe efectele juridice ale certificatelor emise. Raspunderea furnizorului priveste:

Exactitatea datelor din certificat, în momentul emiterii;
Asigurarea ca titularul certificatului detinea datele de generare a semnaturii, în momentul emiterii certificatului;
Asigurarea ca datele de generare a semnaturii corespund celor de verificare a ei, daca furnizorul le genereaza pe ambele;
Suspendarea si revocarea certificatului;
Îndeplinirea cerintelor legale privind organizarea si desfasurarea activitatii.

Furnizorul de servicii de certificare îsi poate limita raspunderea prin indicarea în cuprinsul certificatului calificat a restrictiilor de utilizare si a limitelor valorice ale operatiunilor pentru care acesta poate fi utilizat, cu conditia ca aceste limite sa poata fi cunoscute de terti.

Normele metodologice pentru aplicarea Legii 455/2001 (articolul 14) prevad în sarcina furnizorului de servicii de certificare calificata obligatia de a dovedi ca are resurse materiale pentru a acoperi eventualele prejudicii: echivalentul în lei al sumei de 10.000 euro pentru fiecare risc asigurat (prejudiciu produs) si o garantie în forma unei polite de asigurare sau a unei scrisori de garantie bancara în favoarea autoritatii de reglementare în valoare cel putin egala cu echivalentul în lei al sumei de 500.000 euro.
Probleme
Non-repudierea tehnica – non-repudierea juridica

Una dintre caracteristicile tehnice ale semnaturii electronice extinse, frecvent mentionata atunci când este descrisa, este „non-repudierea” (alaturi de asigurarea autenticitatii si a integritatii mesajului). Non-repudierea consta în imposibilitatea tehnica a sustinerii faptului ca o semnatura nu a fost generata folosind un anume certificat digital.

Din punct de vedere juridic, însa, non-repudierea nu are un efect absolut. Legatura între o persoana si certificatul sau digital nu este, oricâte precautii s-ar lua, una indisolubila. Ea poate fi prezumata, însa numai relativ, pâna la proba contrara. Parolele, token-urile (dispozitive de creare a semnaturii electronice), certificatele sunt susceptibile de sustragere si utilizare neautorizata. Parolele sunt expuse ingineriei sociale, obiectele fizice sunt expuse furtului, fisierele sunt expuse sustragerii cu ajutorul unui malware. Nu exista o garantie absoluta ca un certificat nu poate fi compromis. Ca atare, nici nu poate functiona o non-repudiere juridica a semnaturii electronice, în sensul în care este înteleasa non-repudierea tehnica.

Bineînteles ca o asemenea posibilitate de dubiu poate profita celui rau-intentionat.
Revocarea certificatului – revocarea actului juridic

Unul dintre principiile actului juridic este irevocabilitatea – în actele juridice bi- sau multilaterale, cel care a manifestat valabil consimtamântul în scopul producerii unor efecte juridice nu îl poate revoca decât cu acordul celeilalte parti.

Certificatul, chiar si calificat, folosit pentru semnarea unui înscris în forma electronica poate fi revocat sau suspendat. Acest fapt afecteaza calitatea de înscris sub semnatura privata a respectivului document; legea nu prevede nimic în privinta valabilitatii lui. Problema este ca, în practica, între momentul solicitarii de revocare sau suspendare a certificatului si momentul în care aceste masuri devin opozabile tertilor poate trece un timp suficient pentru semnarea frauduloasa a unui contract, eventual de o persoana neautorizata. Cum verificarea starii unui certificat depinde de disponibilitatea unui serviciu extern (ex. Internetul, serverele furnizorului de servicii de certificare etc.) expus cazului fortuit (ex. Traficul de moment al retelei) sau atacului informatic (ex. DDoS) este greu de asigurat ca partenerul într-un contract semnat electronic poate constata la timp frauda.
Suntem pregatiti pentru înscrisuri semnate electronic?

Semnatura electronica este înca într-o etapa incipienta. Gradul de întelegere al potentialilor „consumatori” este insuficient pentru o utilizare de încredere (v. sfaturile de pe site-uri oficiale privind necesitatea unui singur certificat pentru un numar nelimitat de semnaturi). Iar caracterul destul de tehnic al informatiilor referitoare la semnatura electronica nu ajuta.

Nici mijloacele materiale nu sunt înca favorabile unei utilizari semnificative a semnaturii electronice. Deocamdata ramâne de neconceput pentru birocratia autohtona, de pilda, depunerea unei cereri de chemare în judecata în forma electronica – la care adresa? Cine citeste acel email? Cum punem timbrul judiciar de 0,30 lei?

Toate acestea sunt motive pentru a crede ca probabil va mai trece un timp pâna când semnaturile electronice vor fi asimilate real în viata cotidiana.
Concluzie

Stabilirea unui cadru normativ aplicabil semnaturii electronice era necesara pentru a conferi un anume grad de încredere actelor juridice încheiate prin intermediul mijloacelor electronice. Totusi, desi legislatia exista de aproape 10 ani, înca nu se poate observa o practica, inclusiv judiciara, semnificativa. Acest fapt nu înseamna ca în tot acest rastimp nu au existat raporturi juridice perfectate prin mijloace electronice, fara utilizarea semnaturii electronice extinse prevazute de lege. Un refuz sumar de recunoastere a acestor raporturi juridice, sub scuza facila a neîndeplinirii cerintelor Legii 455/2001, este periculos întrucât pune la îndoiala securitatea juridica a respectivelor raporturi fara examinarea atenta a faptelor – o îndatorire esentiala a instantei judecatoresti.