Ψηφιακή Υπογραφή και Επιχειρηματικότητα.

Ψηφιακή Υπογραφή και Επιχειρηματικότητα.
Ένα χρήσιμο εργαλείο, διαθέσιμο για κάθε επιχείρηση.

Η Ψηφιακή Υπογραφή αποτελεί μία μοναδική ηλεκτρονική σφραγίδα ενός ατόμου στο ψηφιακό κόσμο. Αποτελεί αποδεικτικό γνησιότητας και ακεραιότητας, όπως ακριβώς και η φυσική υπογραφή. Ισοδυναμεί στην ουσία, με την χειρόγραφη υπογραφή ενός ατόμου για παράδειγμα σε μία υπεύθυνη δήλωση για κάποια υπηρεσία/φορέα του δημοσίου, ακόμα και σε ηλεκτρονικούς διαγωνισμούς δημοσίου. Μία έγκυρη ψηφιακή υπογραφή πιστοποιεί ότι το μήνυμα/έγγραφο που δημιουργήθηκε ανήκει στον αποστολέα που το υπέγραψε και δεν αλλοιώθηκε-παραποιήθηκε κατά την μεταφορά. Όταν δε, γίνεται σωστή υλοποίηση και εφαρμογή αυτής, η πιθανότητα πλαστογράφησής της ελαχιστοποιείται, γεγονός που την καθιστά εγκυρότερη της αντίστοιχης χειρόγραφης υπογραφής.

Η Ελλάδα έχει ενσωματώσει την Κοινοτική Οδηγία με την έκδοση του Προεδρικού Διατάγματος 150/2001, Προσαρμογή στην Οδηγία 1999/93/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, σχετικά με το κοινοτικό πλαίσιο για ηλεκτρονικές υπογραφές (ΦΕΚ: 125 Α’/25-6-2001). Το σχετικό κείμενο αποτελεί κατά το μεγαλύτερο μέρος του πιστή μεταφορά των αντίστοιχων αναφορών και προβλέψεων της Οδηγίας. Το Π.Δ. 150/2001 θέτει το κανονιστικό πλαίσιο και εναρμονίζει το ελληνικό με το ευρωπαϊκό δίκαιο όσον αφορά τις ηλεκτρονικές υπογραφές.

Στο ίδιο άρθρο ορίζεται ότι προηγμένη ηλεκτρονική υπογραφή ή ψηφιακή υπογραφή είναι η ηλεκτρονική υπογραφή που πληροί τους εξής όρους:

α) συνδέεται μονοσήμαντα με τον υπογράφοντα,

β) είναι ικανή να καθορίσει ειδικά και αποκλειστικά τη ταυτότητα του υπογράφοντος,

γ) δημιουργείται με μέσα, τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό έλεγχό του και

δ) συνδέεται με τα δεδομένα, στα οποία αναφέρεται κατά τρόπο, ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων.

Προϋπόθεση για να εξομοιωθεί η προηγμένη ηλεκτρονική υπογραφή με την ιδιόχειρη είναι να δημιουργείται από ασφαλή διάταξη δημιουργίας υπογραφής και να βασίζεται σε αναγνωρισμένο πιστοποιητικό (άρθρ. 3 § 1, Π.Δ. 150/2001). Ως ασφαλής διάταξη υπογραφής ορίζεται αυτή που παράγεται σύμφωνα με τους όρους του παραρτήματος ΙΙΙ που φέρει τον τίτλο Διασφάλιση αξιοπιστίας της δημιουργίας υπογραφής.

Συγκεκριμένα, πρέπει να διασφαλίζεται ότι τα δεδομένα δημιουργίας υπογραφής που χρησιμοποιούνται προς παραγωγή υπογραφών απαντούν κατ’ ουσία, μόνο μία φορά και ότι είναι απόρρητα. Επίσης, πρέπει να διασφαλίζεται ότι τα δεδομένα αυτά δεν μπορούν, με εύλογη βεβαιότητα, να αντληθούν από αλλού, ότι μπορούν να προστατεύονται αποτελεσματικά από τον νόμιμο υπογράφοντα κατά της χρησιμοποίησης τους από τρίτους και ότι η υπογραφή προστατεύεται από πλαστογραφία με τα μέσα της σύγχρονης τεχνολογίας.

Ως αναγνωρισμένο πιστοποιητικό ορίζεται από το άρθρο 2 του Π.Δ. η ηλεκτρονική βεβαίωση που εκδίδεται από κάποιον πάροχο υπηρεσιών πιστοποίησης και η οποία συνδέει μονοσήμαντα τα δεδομένα επαλήθευσης μιας υπογραφής (ή δημόσιο κλειδί) με ένα συγκεκριμένο φυσικό πρόσωπο, τηρώντας κάποιους βασικούς όρους (Παραρτήματα Ι & IV του Π.Δ. 150/2001). Ο φορέας παροχής υπηρεσιών πιστοποίησης είναι αρμόδιος για την ακρίβεια του παραπάνω πιστοποιητικού (άρθρο 3 § 1 Π.Δ. 150/2001), το οποίο, όταν εκδίδεται κατά τους όρους του Παραρτήματος Ι έχει ως σκοπό να συμβάλλει στη διαπίστωση της γνησιότητας της προηγμένης ηλεκτρονικής υπογραφής.

ΑΔΔΥ ή Ασφαλής Διάταξη Δημιουργίας Υπογραφής, είναι συσκευές USB TOKENS οι οποίες παρέχουν τη δυνατότητα παραγωγής και αποθήκευσης των ψηφιακών πιστοποιητικών σε ασφαλές προστατευμένο χώρο. Οι συσκευές USB token διαφέρουν τα γνωστά στικάκια μνήμης που αποθηκεύονται αρχεία, φωτογραφίες κλπ. Μια συσκευή USB token έχει ενσωματωμένο ένα «κρυπτογραφικό» τσιπ, που αποθηκεύει με ύψιστη ασφάλεια τα ιδιωτικά κλειδιά του κατόχου (αναγνωρισμένα ψηφιακά πιστοποιητικά). Παρόλα αυτά μια ΑΔΔΥ έχει την εμφάνιση όπως ένα στικάκι μνήμης, και συνδέεται σε θύρα USB υπολογιστή (PC, φορητό). Πληροί όλες τις προϋποθέσεις (τεχνικές, νομικές), και η χρήση της είναι υποχρεωτική με βάση τα διεθνή πρότυπα και νομοθεσία για αναγνωρισμένες ψηφιακές υπογραφές που αναγνωρίζονται νομικά ως ισότιμες των ιδιόχειρων σε έγγραφα. Η ΑΔΔΥ πρέπει να καλύπτει τα κριτήρια Αξιολόγησης που ορίζονται στο Παράρτημα Ά της απόφασης 295-63 της ΕΕΤΤ όπως αυτή δημοσιεύεται στο ΦΕΚ 1730/24-11-2003.

Ο νέος Ευρωπαϊκός Κανονισμός (eIDAS) αριθ. 910/2014 της 23ης Ιουλίου 2014 σχετικά με την ηλεκτρονική ταυτοποίηση και τις υπηρεσίες εμπιστοσύνης για τις ηλεκτρονικές συναλλαγές στην εσωτερική αγορά και την κατάργηση της οδηγίας 1999/93/ΕΚ, στοχεύει στην ενίσχυση της εμπιστοσύνης στις ηλεκτρονικές συναλλαγές εντός της εσωτερικής αγοράς, με την παροχή κοινής βάσης για ασφαλείς ηλεκτρονικές συναλλαγές μεταξύ των πολιτών, των επιχειρήσεων και των δημόσιων αρχών. Ενισχύει και αναπτύσσει ένα ολοκληρωμένο διασυνοριακό πλαίσιο για ασφαλείς, αξιόπιστες και εύχρηστες ηλεκτρονικές συναλλαγές δημιουργώντας μια ψηφιακή ενιαία αγορά. Ο eIDAS ορίζει ξεκάθαρα ότι η ψηφιακή υπογραφή έχει νομική ισχύ ισοδύναμη με την ιδιόχειρη υπογραφή όχι μόνο σε εθνικό επίπεδο αλλά, από τη στιγμή που βασίζεται σε εγκεκριμένο πιστοποιητικό που έχει εκδοθεί σε ένα Κράτος Μέλος, αναγνωρίζεται ως τέτοια σε όλα τα άλλα Κράτη Μέλη.

Τρόπος Λειτουργίας της Ψηφιακής υπογραφής

Για να παραχθεί μια έγκυρη Ψηφιακή Υπογραφή απαιτείται η χρήση ενός έγκυρου Αναγνωρισμένου Ψηφιακού Πιστοποιητικού, αλλά και η προμήθεια της κατάλληλης αξιόπιστης συσκευής για Ασφαλή Διάταξη Δημιουργίας Υπογραφής (ΑΔΔΥ/usb token). Σε αυτήν δημιουργούνται και αποθηκεύονται με ασφάλεια τα Αναγνωρισμένα Πιστοποιητικά (qualified certificate). Τα Αναγνωρισμένα Ψηφιακά Πιστοποιητικά αφενός πιστοποιούν τη γνησιότητα της ψηφιακής υπογραφής, αφετέρου ταυτοποιούν το χρήστη που τη χρησιμοποιεί, όπως ακριβώς γίνεται από ένα δημόσιο λειτουργό.

Η Ψηφιακή Υπογραφή, είναι ένα μαθηματικό σύστημα που χρησιμοποιεί την κρυπτογραφία δημοσίου κλειδιού. Ο χρήστης διαθέτει δύο κλειδιά (το δημόσιο και το ιδιωτικό) τα οποία έχουν κάποιο μαθηματικό συσχετισμό. Η σχέση των κλειδιών είναι τέτοια ώστε αν κάποιος γνωρίζει το ένα κλειδί να είναι πρακτικά αδύνατον να υπολογίσει το άλλο. Το ένα κλειδί χρησιμοποιείται για τη δημιουργία της υπογραφής και το άλλο για την επαλήθευσή της. Η διαφοροποίηση από την κρυπτογράφηση έγκειται στο ότι για τη δημιουργία της ηλεκτρονικής υπογραφής ο αποστολέας χρησιμοποιεί το ιδιωτικό του κλειδί και για την επαλήθευσή της ο παραλήπτης χρησιμοποιεί το δημόσιο κλειδί του αποστολέα.

Στη διαδικασία της δημιουργίας και επαλήθευσης της υπογραφής εμπλέκεται και η έννοια της συνάρτησης κατακερματισμού (ή κατατεμαχισμού -one way hash). Με την εφαρμογή της συνάρτησης κατακερματισμού, από ένα μήνυμα ανεξαρτήτου του μεγέθους του, παράγεται η «σύνοψή του», η οποία είναι μία σειρά από bits συγκεκριμένου μεγέθους (π.χ. 128 ή 160 bits). Η σύνοψη του μηνύματος (fingerprint ή message digest) είναι μία ψηφιακή αναπαράσταση του μηνύματος και μοναδική για το μήνυμα και το αντιπροσωπεύει.

Η συνάρτηση κατακερματισμού είναι μονόδρομη διότι από τη σύνοψη, που δημιουργεί, είναι υπολογιστικά αδύνατον κάποιος να εξάγει το αρχικό μήνυμα. Η πιθανότητα δύο μηνύματα να έχουν την ίδια σύνοψη είναι εξαιρετικά μικρή. Αυτό σημαίνει ότι αν το μήνυμα του αποστολέα έχει κάποια συγκεκριμένη σύνοψη και το μήνυμα που λάβει ο παραλήπτης (χρησιμοποιώντας την ίδια συνάρτηση κατακερματισμού) παράγει διαφορετική σύνοψη, τότε το μήνυμα κατά τη μετάδοσή του έχει αλλοιωθεί (μη ακεραιότητα). Οποιαδήποτε αλλαγή σε ένα μήνυμα συνεπάγεται και τη δημιουργία διαφορετικής σύνοψης.

Η ηλεκτρονική υπογραφή στην ουσία είναι η κρυπτογραφημένη με το ιδιωτικό κλειδί του αποστολέα σύνοψη. Δηλαδή, η ψηφιακή υπογραφή (σε αντίθεση με την ιδιόχειρη υπογραφή) είναι διαφορετική για κάθε μήνυμα. Θεωρώντας ότι ο αποστολέας έχει ένα συγκεκριμένο ζευγάρι κλειδιών και το ιδιωτικό του κλειδί είναι στην πλήρη κατοχή του, τότε το γεγονός ότι ο αποστολέας χρησιμοποιεί το ιδιωτικό του κλειδί για να κρυπτογραφήσει το μήνυμα, πιστοποιεί στον παραλήπτη που το αποκρυπτογραφεί με το αντίστοιχο δημόσιο κλειδί (του αποστολέα) την ταυτότητα του αποστολέα (αυθεντικότητα). Η ψηφιακή υπογραφή είναι ένας τρόπος αυθεντικοποίησης του αποστολέα του μηνύματος.

Συνοψίζοντας και απλουστεύοντας τη διαδικασία. Ο αποστολέας δημιουργεί το μήνυμα ή το έγγραφο στον υπολογιστή του και στη συνέχεια χρησιμοποιώντας το token, το οποίο έχει το αποκαλούμενο και ιδιωτικό κλειδί, επισυνάπτει την ψηφιακή υπογραφή που πρακτικά είναι μοναδική για τον κάθε χρήστη. Στη συνέχεια αποστέλλει το έγγραφο. Στον παραλήπτη φθάνει ένα έγγραφο ή μήνυμα το οποίο έχει μεν μία ψηφιακή υπογραφή που αναφέρει το όνομα και την ιδιότητα του χρήστη. Ο παραλήπτης αποσπά το μήνυμα και στη συνέχεια «αναζητά» το δημόσιο κλειδί του αποστολέα. Πρόκειται για μία διαδικασία που γίνεται αυτόματα μέσω του Internet. Πρακτικά, κάθε ιδιωτικό κλειδί έχει και ένα δημόσιο κλειδί το οποίο είναι διαθέσιμο στο Διαδίκτυο μέσω των ΠΥΠ. Το δημόσιο κλειδί χρησιμοποιείται ουσιαστικά για την επαλήθευση ότι η ψηφιακή υπογραφή είναι γνήσια και δεν έχει ανακληθεί.

Πλεονεκτήματα και Εφαρμογές Ψηφιακής Υπογραφής

Η ψηφιακή υπογραφή αποτελεί ένα ηλεκτρονικό μέσο επικύρωσης εγγράφων. Δίνει τη δυνατότητα στο συντάκτη, να πιστοποιεί τη γνησιότητα και την ακεραιότητα των εγγράφων που υπογράφει, όπως ακριβώς θα γινόταν η επικύρωση ενός φυσικού εγγράφου με μία χειρόγραφη υπογραφή. Η προηγμένη ψηφιακή υπογραφή, είναι αδύνατον να πλαστογραφηθεί. Δε μπορεί να αντικατασταθεί από εναλλακτικού είδους υπογραφές, καθώς η είναι βασισμένη σε ψηφιακό πιστοποιητικό, και περιέχει τα απαιτούμενα χαρακτηριστικά ως προς το νομικό πλαίσιο και την ουσία της. Η τοποθέτηση οποιασδήποτε άλλης μορφής υπογραφής (σκαναρισμένης, χαλαρής αποθήκευσης, ψηφιοποιημένης κτλ) αποτελεί αιτία αποκλεισμού από ηλεκτρονικούς διαγωνισμούς του Δημοσίου και μη έγκυρο πιστοποιητικό γνησιότητας του υπογεγραμμένου εγγράφου.

Η χρήση της ψηφιακής υπογραφής έχει και άλλα ποικίλα οφέλη όπως:

  • Γρήγορη και απλή ανταλλαγή εγγράφων
  • Ασφάλεια εγγράφων
  • Αύξηση αποδοτικότητας (μέσω της αποδέσμευσης ανθρώπινων ωρών σε τομείς που περιλαμβάνουν οργάνωση και αρχειοθέτηση φυσικών εγγράφων και αρχείου και διοχέτευση αυτών σε πιο παραγωγικούς τομείς δραστηριότητας της επιχείρησης)
  • Εξοικονόμηση χρόνου
    • Ανεξάρτητα από τη γεωγραφική απόσταση, η ψηφιακή υπογραφή εξοικονομεί χρόνο σε σχέση με τη hard copy ανταλλαγή εγγράφων
    • Απελευθέρωση του ανθρώπινου δυναμικού για την πιο ποιοτική αξιοποίηση των ωρών εργασίας
  • Μείωση κόστους
    • Στην ανταλλαγή των εγγράφων (ταχυδρομικά και έξοδα κούριερ)
    • Στις διαδικασίες πιστοποίησης υπογραφής (επικυρώσεις εγγράφων)
    • Ελαχιστοποίηση κόστους εκτυπώσεων (χαρτί, μελάνι, πολλαπλές φωτοτυπίες, μεταφορικά, εργαζόμενοι κτλ.)
    • Κόστος ψηφιοποίησης εγγράφων
    • Κόστος αποθήκευσης εγγράφων και διατήρησης αρχείου
    • Κόστος καταστροφής εγγράφων

Όπως γίνεται εύκολα αντιληπτό, δραστηριότητες όπως: η ανταλλαγή εγγράφων, η πιστοποίηση υπογραφής, το κόστος εκτυπώσεων, η μείωση του περιβαλλοντικού αποτυπώματος και η μη ανάγκη περί «φυσικής» αρχειοθέτησης συνδράμουν στην μείωση του κόστους και των εξόδων του εκάστοτε επιχειρηματία/επιχείρησης. Επίσης, παρέχεται μεγάλη ευελιξία όσον αφορά στη διαχείριση εγγράφων, καθώς δεν απαιτείται φυσική παρουσία στο γραφείο (η υπογραφή μπορεί να γίνει οπουδήποτε και οποτεδήποτε).

Όσον αφορά τις εφαρμογές της ψηφιακής υπογραφής, η χρήση της είναι υποχρεωτική για ορισμένες κατηγορίες επαγγελμάτων.

Το γεγονός αυτό ίσως σε πρώτη φάση να την καθιστά «μη επιθυμητή» για τους παραδοσιακούς χρήστες. Σίγουρα θα υπάρξει μια «περίοδος προσαρμόγης», όμως στο μέλλον θα επιφέρει σημαντικά οφέλη: Σταδιακά κερδίζεται χρόνος και χρήμα (ιδίως σε δημόσιες υπηρεσίες). Επιπρόσθετα διασφαλίζεται περαιτέρω η ασφάλεια καθώς δεν μπορεί κάποιος να αντιγράψει την ψηφιακή υπογραφή ή να την πλαστογραφήσει. Να σημειωθεί ότι η νομική ισχύ της ψηφιακής υπογραφής είναι όπως και της ιδιόχειρης υπογραφής.

Ενδεικτικά αναφέρουμε ορισμένες εφαρμογές της ψηφιακής υπογραφής:

  • Υποχρεωτική για επιχειρήσεις που θέλουν να συμμετέχουν σε διαγωνισμούς του δημοσίου άνω των 60.000€ (μέσω της ηλεκτρονικής πλατφόρμας του ΕΣΗΔΗΣ)
  • Δικηγόρους- Δικαστικούς (κατάθεση δικογραφιών ηλεκτρονικά)
  • Γιατρούς- Φαρμακοποιούς (e-prescription)
  • Συμβολαιογράφους
  • Λογιστές- Φοροτεχνικούς
  • Υποχρεωτικό για επιχειρήσεις που χρειάζονται Πιστοποιητικό Κατοχύρωσης Ευρεσιτεχνίας. Η εγγραφή στην Ηλεκτρονική Θυρίδα του Ο.Β.Ι. απαιτεί τη χρήση Ψηφιακής Υπογραφής. Ο Οργανισμός Βιομηχανικής Ιδιοκτησίας, αρμόδιος για την έκδοση του Ειδικού Δελτίου Βιομηχανικής Ιδιοκτησίας, χορηγεί πιστοποιητικά κατοχύρωσης ευρεσιτεχνίας όπως τα παρακάτω:
    • Διπλώματα Ευρεσιτεχνίας
    • Πιστοποιητικα Υποδείγματος Χρησιμότητας
    • Πιστοποιητικά Κατάθεσης Μετάφρασης Ευρωπαϊκού Διπλώματος Ευρεσιτεχνίας κ.α
  • Εταιρείες που ζητούν την ασφάλεια των εγγράφων τους και των συναλλαγών τους.