För att leva upp till kraven på en avancerad underskrift måste underskriften:
•Vara unikt kopplad till undertecknaren.
•Kunna identifiera undertecknaren.
•Vara skapad genom data som endast undertecknaren kan använda.
•Medge att förändringar som görs på underskrift eller dokument kan upptäckas i efterhand.
För att leverera avancerade eller enkla underskrifter krävs inget tillstånd, och leverantörerna står inte under aktiv tillsyn av myndigheter. Istället förutsätts aktörerna själva göra bedömningen huruvida det system som används lever upp till kraven. Rekvisiten är ganska vida och öppna för tolkning. Det faktum att eIDAS eftersträvar teknikneutralitet, betyder att kraven kan uppnås på flera olika sätt. För svensk del finns det en särskild diskussion kring kraven på identifikation och koppling till undertecknaren – huruvida exempelvis ett eID som BankID eller liknande måste användas eller om det är tillräckligt med en två-faktorsautentisering via SMS. För svensk del ligger det nu ett förslag om att införa en särskild lista med leverantörer av avancerade elektroniska underskrifter samt en nationell verifieringstjänst. .
För kvalificerade underskrifter finns mer tydliga, tekniska krav på såväl hård- som mjukvara. Leverantörer går igenom en ansökningsprocess och verifieras innan de kan ta sina lösningar till marknaden. Det kräver stora investeringar på förhand. När leverantörerna fått sina tillstånd förs de upp på den nationella förteckningen över kvalificerade tillhandahållare av betrodda tjänster som rapporteras in till EU:s Trusted List. Sedan står leverantören, för svensk del, under tillsyn från Post- och telestyrelsen. Tjänsten är då giltig inom hela EES-området och kan enkelt kontrolleras gentemot Trusted List, men även genom s k DSS-verktyg.
En elektronisk underskrift samlar in mer verifieringsdata om personen som skriver under dokumentet än en skannad fysisk underskrift. Eftersom kraven ska vara teknikneutrala varierar verktygen för verifiering med tjänsten som används. Vissa leverantörer har ett “bevispaket” i det signerade dokumentet eller i ett separat certifikat som berättar om processen innan och under signering av dokumentet. Andra leverantörer erbjuder verifiering av underskriften genom en webbsida eller OCR-kod. Det är dock svårt att avgöra om något verkligen är en avancerad elektronisk underskrift – oavsett om leverantören berättar om sina processer för hur de lever upp till kraven. Det finns dock god hjälp: en kvalificerad underskrift, som alltid kan kontrolleras gentemot Trusted List och via DSS-verktyg. Det gör verifikationen betydligt smidigare och säkrare.
Läs mer om verifieringen av elektronisk underskrift och det svenska vägvalet i nästa del. Tveka inte att kontakta oss på Cederquist för rådgivning i dessa frågor!