Електронен подпис – видове съгласно Регламент (ЕС) № 910/2014

Валидност и оспорване на електронен документ пред съд по ГПК

КЕП или „квалифициран електронен подпис“ често се използва като синоним на общото понятие „електронен подпис“ в България. Трябва обаче веднага да бъде пояснено, че електронните подписи биват 3 различни вида – „обикновен“, усъвършенстван (УЕП) и квалифициран (КЕП). Материята е уредена в Закона за електронния документ и електронните удостоверителни услуги (ЗЕДЕУУ), Закона за електронната идентификация (ЗЕИ) правилника за приложението му, както и Регламент (ЕС) № 910/2014 на Европейския парламент и на съвета от 23 юли 2014г. относно електронната идентификация и удостоверителните услуги при електронни трансакции на вътрешния пазар и за отмяна на Директива 1999/93/ЕО.

• „Обикновеният“ електронен подпис според Регламента и закона съставлява данни в електронна форма, които се добавят към други данни в електронна форма или са логически свързани с тях, и които титулярят на електронния подпис използва, за да се подписва. Т.е. тук няма никакво друго изискване, освен логически свързани данни в електронна форма. Оттам следва изводът, че дори един обикновен имейл подпис или подпис с химикал на хартия, който след това е бил сканиран и записан в електронен вид в JPG или PNG формат и вмъкнат в PDF или DOCX файл, също представлява електронен подпис по смисъла на действащото законодателство. Следва да се има предвид, че при сканираните подписани документи, съдебната практика възприема по-особена позиция.
• Усъвършенстваният електронен подпис (УЕП) следва да отговаря на повече изисквания, а най-популярният такъв е DocuSign. На първо място трябва да е свързан по уникален начин с титуляря, така че да може да го идентифицира. Освен това трябва да е създаден чрез данни за създаване на електронен подпис, които са под контрола на титуляря, но най-вече следва да има техническа възможност за проследяване на неоторизирани промени в даден подписан документ. Последната възможност отсъства по подразбиране при „обикновения“ електронен подпис, което го прави много по-лесен за подправяне. Обикновения и усъвършенствания електронен подпис имат правно значение на саморъчен по силата на законова фикция, само когато страните са постигнали съгласие за това, т.е. страните се договарят тези два вида електронни подписи да са равносилни на саморъчния подпис с химикал върху хартия.
• Квалифицираният електронен подпис (КЕП) отговаря на най-високите възможни изисквания и затова по силата на закона в целия ЕС КЕП се ползват с абсолютна доказателствена стойност относно авторството им. С малки изключения, разбира се, като напр. подписването на нотариален акт, което по силата на закона следва да стане не онлайн, а лично, по възможно „най-аналоговия“ възможен начин – чрез саморъчно полагане с мастило и съответното пишещо средство пред нотариуса, който лично се е уверил в самоличността на подписващото лице. Като цяло съдебната практика е категорична, че от приложното поле на ЗЕДЕУУ, уреждащ електронния документ и електронните удостоверителни услуги, са изключени единствено сделките, за които законът изисква квалифицирана писмена форма, а във всички останали случаи, дори да не са изрично предвидени в закона, КЕП е 100% допустим и приложим. Съгласно закона КЕП на практика представлява УЕП + 2 допълнителни изисквания – а/ да бъде създаден от устройство за създаване на КЕП и б/ да се основава на удостоверение за КЕП. Удостоверение за КЕП с прости думи е базата данни, съдържаща записи на всички КЕП, издадени от даден доставчик на квалифицирани удостоверителни услуги (в България те са едва няколко – „ИНФОРМАЦИОННО ОБСЛУЖВАНЕ“ АД [StampIT], „БОРИКА – БАНКСЕРВИЗ” АД [B-trust], „ИНФОНОТАРИ“ ЕАД [InfoNotary], „СПЕКТЪР” АД, „СЕП БЪЛГАРИЯ” АД). А устройство за създаване на КЕП е хардуерната част, предоставяна от доставчиците, като обикновено се състои от USB устройство (т. нар. флашка), в която се поставя памет (обикн. SIM карта), върху която се съдържат данните за КЕП.

Електронен документ пък е всяко съдържание, съхранявано в електронна форма, по-специално текстови или звуков, визуален или аудио-визуален запис. ЗЕДЕУУ казва, че „писмената форма се смята за спазена, ако е съставен електронен документ, съдържащ електронно изявление“. Електронните документи се признават за напълно валидни дори и като доказателство в съда, където са приравнени по сила на обикновените писмени документи на хартия. Такъв документ може да бъде представен на съда при евентуален съдебен спор на хартиен носител, заверен от страната, която го прилага по делото. Възможно е насрещната страна или съдът обаче да изиска представянето на документа и на електронен носител.

Успешното оспорване или доказване на фалшификация на електронен документ и електронен подпис е в зависимост най-вече от вида му. На пръв поглед най-лесен за оспорване е електронният документ, подписан с обикновен електронен подпис, като напр. имейл съобщение, което може да съдържа както едностранно волеизявление (напр. покана, заявление, предизвестие и т.н.), така и двустранен договор, с който двете страни (имейл адресати) трябва да се съгласят. Трайната съдебна практика приема, че разменените електронни съобщения между две страни представляват електронни изявления и могат да служат като доказателство за сключване на търговска сделка. „Тънкият“ момент тук се състои в това, че едно електронно съобщение се счита за доставено и получено по смисъла на закона с постъпването му в информационната система на адресата или друга информационна система. Съгласно практиката на съдилищата у нас, успешната комуникация между два сървъра е достатъчна, за да се приеме осъществена връзка и обмен на данни между две информационни системи, и респективно да се приеме, че съобщението е доставено, а фактът, че получателят не си е отворил електронната поща е без правно значение. Или с други думи, ако един търговец напр. има регистриран имейл акаунт в mail.bg и изпрати електронно съобщение до друг търговец с имейл акаунт в abv.bg, то съобщението се счита, че е достигнало до знанието на адресата с постъпването му в IT инфраструктурата на доставчика на електронна поща abv.bg. В следващата милисекунда обаче сървърът на abv.bg може да реши, че напр. изпратеното съобщение представлява зловредно (malware) или непоискано съобщение (spam) и да го прихване и изтрие, без съобщението да достигне до пощенската кутия на адресата. Когато става въпрос за сделки на стойност много хиляди или милиони левове, възможни са и „виртуозни“ изпълнения, целящи заобикалянето на закона, като напр. фалшификация на имейл адрес (e-mail spoofing), в който случай имейлът изглежда като напълно автентичен и изпратен от съответния имейл акаунт, но съдебно-техническа експертиза може да открие компрометирани записи при съответния хостинг акаунт, които, в съвкупност с други доказателства, свидетелстват за умишлено изпратено неавтентично (фалшифицирано) електронно съобщение. Или пък напр. изпращане на напълно валидно волеизявление за прекратяване на договор, съдържащо се в имейл, в който имейл обаче умишлено са добавени сливащи се визуално с фона записи, които обаче се засичат от филтрите на имейл доставчика и увеличават т.нар. spam score на имейл съобщението, което постъпва в системата на адресата (т.е. от законова гледна точка се счита за достигнало до знанието на адресата), но веднага след това бива терминирано като нежелано търговско съобщение и въобще не достига до имейл пощенската кутия на адресата. В подобни ситуации се препоръчва намесата на компетентен адвокат или техническо лице, което може да установи подобни незаконосъобразни действия и защити интереса на представляваното от него лице.

КЕП поначало не подлежи на оспорване. Това важи и когато титулярят на КЕП е предоставил идентификационните си данни на трето лице и третото лице фактически е подписало даден документ, а не титулярят. В този случай законът обаче допуска да бъде направено оспорване от самия титуляр, но то ще има действие само занапред. И все пак, важно е да се има предвид, че не подлежи на оспорване авторството, но подлежат на оспорване редица други атрибути на даден електронен документ, като напр. датата на подписване на документа. Един опитен адвокат по IT право знае, че има различни видове КЕП, като някои от тях включват и дата на подписване (time stamp), а наличието или липсата на такава може да доведе до успешно оспорване на електронен документ.

Валидността и оспорването на електронен подпис има връзка със задълбоченото познаване на различните технически спецификации на КЕП, които се съдържат в Регламент (ЕС) № 910/2014.

1. Възможни формати на самия КЕП
   1. CAdES – upgrade на популярния CMS/PKCS7 формат, позволява различни нива на подписване на всевъзможни видове файлове. Файловите разширения на този формат са .p7m (при ENVELOPING тип подпис) и .p7s (при DETACHED тип подпис).
   2. PAdES – за подписване само на PDF файлове, допустим е единствено ENVELOPED тип подписване, а разширението след подписването си остава .pdf.
   3. XAdES – за подписване само на XML файлове, единственият, който поддържа и трите типа подписване – ENVELOPED, ENVELOPING и DETACHED, а разширението след подписването си остава .xml.
2. Възможни формати на файловете след подписване
   1. ENVELOPED – 2 в 1, подписът се интегрира в подписвания файл и разширението на файла си остава същото, приложим при PAdES, XAdES.
   2. ENVELOPING – 2 в 1, целият подписван файл се „вкарва“ във файла на подписа, а разширението на файла се променя, приложим при CAdES и XAdES.
   3. DETACHED – подписът и документът са в 2 отделни файла (1 оригинален файл + 1 файл-подпис), приложим при CAdES и XAdES.
3. Възможни нива на подписване
   1. BASELINE_B – най-базовото възможно ниво на електронния подпис. Удостоверява единствено авторството на подписания документ.
   2. BASELINE_T – BASELINE_B + добавен атрибут за време на подписване (time stamp).
   3. BASELINE_LT – BASELINE_T + добавени атрибути CRL и OCSP, осигуряващи валидността на подписа чрез проверка единствено на подписания файл, без да се изискват допълнителни проверки като статус на удостоверението за КЕП или търсене на сертификационната верига на удостоверението за КЕП.
   4. BASELINE_LTA – BASELINE_LT + добавени атрибути, позволяващи периодично актуализиране на удостовереното време и валидацията на подписа дълго време след създаването му. Или с прости думи, дори някой ден доставчикът на КЕП да престане да съществува, заедно с базата данни, в която може да се провери валидността на подписан с КЕП документ, последният все още ще може да бъде проверен.