Η ηλεκτρονική υπογραφή στο ελληνικό δίκαιο
Με το π.δ. 150/2001 ενσωματώθηκε στο ελληνικό δίκαιο η Οδηγία 99/93/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου «Σχετικά με το κοινοτικό πλαίσιο για ηλεκτρονικές υπογραφές».
Σύμφωνα με αυτό, μία ηλεκτρονική υπογραφή (δηλαδή δεδομένα σε ηλεκτρονική μορφή συνημμένα σε άλλα ηλεκτρονικά δεδομένα ή συσχετιζόμενα λογικά με αυτά που χρησιμεύουν ως μέθοδος απόδειξης της γνησιότητας) επέχει θέση ιδιόχειρης υπογραφής τόσο στο ουσιαστικό όσο και στο δικονομικό δίκαιο, εφόσον πληροί τις ουσιαστικές και τυπικές προϋποθέσεις που αναφέρονται παρακάτω.
A. Ουσιαστικές προϋποθέσεις της ηλεκτρονικής υπογραφής
α) Να συνδέεται μονοσήμαντα με τον υπογράφοντα·
β) Να είναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος·
γ) Να δημιουργείται με μέσα, τα οποία ο υπογράφων να μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο· και
δ) Να συνδέεται με τα δεδομένα, στα οποία αναφέρεται, κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων.
Μία ηλεκτρονική υπογραφή που πληροί τις ουσιαστικές προϋποθέσεις χαρακτηρίζεται από τη νομοθεσία ως «προηγμένη ηλεκτρονική υπογραφή» ή «ψηφιακή υπογραφή».
Β. Τυπικές προϋποθέσεις της ηλεκτρονικής υπογραφής
α) Να βασίζεται σε αναγνωρισμένο πιστοποιητικό· και
β) Να δημιουργείται από ασφαλή διάταξη δημιουργίας υπογραφής.
Καθορίζοντας τη σημασία των δύο αυτών τυπικών προϋποθέσεων, το π.δ. ρητά ορίζει ότι από μόνης της η μη συνδρομή τους δεν αποκλείει την ισχύ της ηλεκτρονικής υπογραφής ή το παραδεκτό της ως αποδεικτικού στοιχείου.
Εν προκειμένω, ως «πιστοποιητικό» χαρακτηρίζεται η ηλεκτρονική βεβαίωση που συνδέει δεδομένα επαλήθευσης της ηλεκτρονικής υπογραφής (όπως κώδικες ή δημόσια κλειδιά κρυπτογραφίας) με ένα άτομο και επιβεβαιώνει την ταυτότητά του. Ένα πιστοποιητικό θεωρείται «αναγνωρισμένο», αν πληροί τους όρους του Παραρτήματος Ι του παρόντος και εκδίδεται από πάροχο υπηρεσιών πιστοποίησης που πληροί τους όρους του Παραρτήματος ΙΙ του παρόντος. (η αρίθμηση των Παραρτημάτων δεν ακολουθεί την αρίθμηση του ΠΔ).
Περαιτέρω, ως «ασφαλής διάταξη δημιουργίας υπογραφής» χαρακτηρίζεται το διατεταγμένο υλικό ή λογισμικό που χρησιμοποιείται για την εφαρμογή των δεδομένων δημιουργίας της ηλεκτρονικής υπογραφής, το οποίο διασφαλίζει, μέσω ενδεδειγμένων τεχνικών και διαδικαστικών μέσων, την αξιοπιστία της δημιουργίας ηλεκτρονικής υπογραφής και συγκεκριμένα ότι τα δεδομένα δημιουργίας ηλεκτρονικής υπογραφής που χρησιμοποιούνται προς παραγωγή υπογραφών (μονοσήμαντα δεδομένα, όπως π.χ. κώδικες ή ιδιωτικά κλειδιά κρυπτογραφίας):
α) απαντούν κατ’ ουσία μόνο μία φορά και ότι το απόρρητο είναι διασφαλισμένο,
β) δεν μπορούν, με εύλογη βεβαιότητα, να αντληθούν από αλλού, καθώς και ότι η υπογραφή προστατεύεται από πλαστογραφία με τα μέσα της σύγχρονης τεχνολογίας, και
γ) μπορούν να προστατεύονται αποτελεσματικά από τον νόμιμο υπογράφοντα κατά της χρησιμοποίησης από τρίτους.
Επισημαίνεται ότι οι ασφαλείς διατάξεις δημιουργίας υπογραφής δε μεταβάλλουν τα προς υπογραφή δεδομένα, αλλά ούτε εμποδίζουν την υποβολή των δεδομένων αυτών στο υπογράφοντα πριν από τη διαδικασία υπογραφής.
Η διασφάλιση της αξιοπιστίας της δημιουργίας υπογραφής κατά τα ανωτέρω από τις ασφαλείς διατάξεις δημιουργίας υπογραφής διαπιστώνεται από την Εθνική Επιτροπή Τηλεπικοινωνιών Ταχυδρομείων (Ε.Ε.Τ.Τ.) ή από οριζόμενους από αυτή δημόσιους ή ιδιωτικούς φορείς. Η Ε.Ε.Τ.Τ. και οι φορείς αυτοί υποχρεούνται στην εφαρμογή των ελαχίστων κριτηρίων που προβλέπονται στην Απόφαση της Επιτροπής της 6.11.2000 (Ε (2000) 3179 τελικό). Η συμμόρφωση των προϊόντων ηλεκτρονικής υπογραφής προς αναγνωρισμένα πρότυπα αποτελεί τεκμήριο συμμόρφωσης με τις απαιτήσεις που καθορίζονται στο σημείο (στ) του Παραρτήματος ΙΙ και του ότι διασφαλίζεται η αξιοπιστία της δημιουργίας υπογραφής κατά τα ανωτέρω.
Γ. Διεθνή ζητήματα
Η προσφορά υπηρεσιών πιστοποίησης εντός της ελληνικής επικράτειας από παρόχους υπηρεσιών πιστοποίησης εγκατεστημένους στην Ελλάδα διέπεται από την κείμενη ελληνική νομοθεσία. Υπηρεσίες πιστοποίησης στους καλυπτόμενους από τη νομοθεσία της Ε.Ε. για την ηλεκτρονική υπογραφή τομείς, εφόσον προέρχονται από άλλη χώρα-μέλος της Ε.Ε., συνεπάγονται τις ίδιες έννομες συνέπειες με τις αντίστοιχες υπηρεσίες πιστοποίησης που παρέχονται από πάροχο υπηρεσιών πιστοποίησης εγκατεστημένο στην Ελλάδα.
Προϊόντα ηλεκτρονικής υπογραφής που συνάδουν με την κείμενη νομοθεσία της Ε.Ε. συνεπάγονται τις ίδιες έννομες συνέπειες με τα αντίστοιχα προϊόντα ηλεκτρονικής υπογραφής που προέρχονται από την Ελλάδα.
Ιδιαίτερα η διαπίστωση συμμόρφωσης προς την κείμενη νομοθεσία της Ε.Ε. που αφορά προϋποθέσεις για ασφαλείς διατάξεις δημιουργίας της υπογραφής από φορέα, στον οποίο έχει ανατεθεί ή διαπίστωση αυτή σύμφωνα με τη νομοθεσία κράτους μέλους της Ε.Ε., έχει άμεση ισχύ και στην Ελλάδα.
Τα αναγνωρισμένα πιστοποιητικά που εκδίδονται στο κοινό από πάροχο υπηρεσιών πιστοποίησης εγκατεστημένο σε χώρα εκτός της Ε.Ε. είναι νομικώς ισοδύναμα με τα εκδιδόμενα από πάροχο υπηρεσιών πιστοποίησης εγκατεστημένο στην Ε.Ε., εφόσον πληρούν ορισμένους όρους που καθορίζει το π.δ. 150/2001.
Όροι ισχύοντες για αναγνωρισμένα πιστοποιητικά
Τα αναγνωρισμένα πιστοποιητικά πρέπει να περιλαμβάνουν:
α) ένδειξη ότι το πιστοποιητικό εκδίδεται ως αναγνωρισμένο πιστοποιητικό,
β) τα στοιχεία αναγνώρισης του παρόχου υπηρεσιών πιστοποίησης και το κράτος, στο οποίο είναι εγκατεστημένος,
γ) το όνομα του υπογράφοντος ή ψευδώνυμο που αναγνωρίζεται ως ψευδώνυμο,
δ) πρόβλεψη ειδικού χαρακτηριστικού του υπογράφοντος, που θα περιληφθεί, εφόσον είναι σημαντικό σε σχέση με τον σκοπό, για τον οποίο προορίζεται το πιστοποιητικό,
ε) δεδομένα επαλήθευσης υπογραφής που αντιστοιχούν σε δεδομένα δημιουργίας υπογραφής υπό τον έλεγχο του υπογράφοντος,
στ) ένδειξη της έναρξης και του τέλους της περιόδου ισχύος του πιστοποιητικού,
ζ) τον κωδικό ταυτοποίησης του πιστοποιητικού,
η) την προηγμένη ηλεκτρονική υπογραφή του παρόχου των υπηρεσιών πιστοποίησης που το εκδίδει,
θ) τυχόν περιορισμούς του πεδίου χρήσης του πιστοποιητικού και
ι) τυχόν όρια στο ύψος των συναλλαγών, για τις οποίες το πιστοποιητικό μπορεί να χρησιμοποιηθεί.
Όροι ισχύοντες για παρόχους υπηρεσιών πιστοποίησης που εκδίδουν αναγνωρισμένα πιστοποιητικά
Οι πάροχοι υπηρεσιών πιστοποίησης πρέπει:
α) να αποδεικνύουν την απαραίτητη αξιοπιστία για την παροχή υπηρεσιών πιστοποίησης σύμφωνα με τα εκάστοτε ισχύοντα κριτήρια,
β) να διασφαλίζουν την παροχή ασφαλών και άμεσων υπηρεσιών καταλόγου και ανάκλησης,
γ) να διασφαλίζουν ότι η ημερομηνία και ο χρόνος έκδοσης ή ανάκλησης πιστοποιητικού μπορεί να προσδιοριστεί επακριβώς,
δ) να προβαίνουν, με κατάλληλα μέσα και σύμφωνα με το εθνικό δίκαιο, σε επαλήθευση της ταυτότητας και ενδεχομένως τυχόν ειδικών χαρακτηριστικών του ατόμου, στο όνομα του οποίου έχει εκδοθεί αναγνωρισμένο πιστοποιητικό,
ε) να απασχολούν προσωπικό που διαθέτει την κατάρτιση, την εμπειρία και τα προσόντα που είναι απαραίτητα για τις παρεχόμενες υπηρεσίες, ιδίως ικανότητα σε διαχειριστικό επίπεδο, τεχνογνωσία και εμπειρία στις ηλεκτρονικές υπογραφές και εξοικείωση με τις κατάλληλες διαδικασίες ασφάλειας, και να χρησιμοποιούν κατάλληλες διοικητικές και διαχειριστικές διαδικασίες, οι οποίες να αντιστοιχούν προς αναγνωρισμένα πρότυπα,
στ) να χρησιμοποιούν αξιόπιστα συστήματα και προϊόντα, τα οποία προστατεύονται έναντι τροποποίησης, και να διασφαλίζουν την τεχνική και κρυπτογραφική ασφάλεια των διεργασιών πιστοποίησης, οι οποίες υποστηρίζονται από αυτά,
ζ) να λαμβάνουν μέτρα έναντι της πλαστογράφησης πιστοποιητικών και σε περίπτωση που ο πάροχος πιστοποίησης παράγει δεδομένα δημιουργίας υπογραφής να εγγυώνται την τήρηση του απορρήτου κατά τη διάρκεια της διεργασίας παραγωγής των εν λόγω δεδομένων,
η) να διαθέτουν επαρκείς χρηματικούς πόρους, ώστε να λειτουργούν σύμφωνα με τις απαιτήσεις που καθορίζονται στην οδηγία, ιδίως για την ανάληψη της ευθύνης ζημιών,
θ) να καταγράφουν το σύνολο των συναφών πληροφοριών που αφορούν ένα αναγνωρισμένο πιστοποιητικό για χρονικό διάστημα 30 ετών, ιδίως για την παροχή αποδεικτικών στοιχείων πιστοποίησης σε νομικές διαδικασίες. Η καταγραφή αυτή δύναται να πραγματοποιείται με ηλεκτρονικά μέσα,
ι) να μην αποθηκεύουν ή αντιγράφουν δεδομένα δημιουργίας υπογραφής του ατόμου, προς το οποίο ο πάροχος υπηρεσιών πιστοποίησης παρέσχε υπηρεσίες διαχείρισης κλειδιών,
ια) πριν συνάψουν συμβατική σχέση με πρόσωπο που ζητεί πιστοποιητικό από αυτούς για να κατοχυρώσει την ηλεκτρονική του υπογραφή, να το ενημερώνουν με ανθεκτικά μέσα επικοινωνίας σχετικά με τους ακριβείς όρους και προϋποθέσεις χρησιμοποίησης του πιστοποιητικού, συμπεριλαμβανομένων ενδεχομένων περιορισμών της χρήσης του πιστοποιητικού, της ύπαρξης μηχανισμού εθελοντικής διαπίστευσης και των διαδικασιών υποβολής παραπόνων και επίλυσης διαφορών. Οι πληροφορίες αυτές, οι οποίες μπορούν να διαβιβάζονται ηλεκτρονικώς, πρέπει να παρέχονται εγγράφως, σε εύκολα καταληπτή γλώσσα. Σχετικά αποσπάσματα των πληροφοριών αυτών καθίστανται επίσης προσιτά κατόπιν αιτήματος τρίτων, οι οποίοι βασίζονται στο πιστοποιητικό αυτό,
ιβ) να χρησιμοποιούν αξιόπιστα συστήματα για την αποθήκευση πιστοποιητικών σε επαληθεύσιμη μορφή, ούτως ώστε:
– μόνο αρμόδιοι να μπορούν να διενεργούν εισαγωγές και τροποποιήσεις,
– να μπορεί να ελέγχεται η γνησιότητα των πληροφοριών,
– να είναι δυνατή η κοινόχρηστη ανάκτηση πιστοποιητικών μόνο στις περιπτώσεις εκείνες, για τις οποίες έχει δοθεί η συγκατάθεση του κατόχου, και
– οι τυχόν τεχνικές αλλαγές που θέτουν σε κίνδυνο τις εν λόγω απαιτήσεις ασφαλείας να γίνονται εμφανώς αντιληπτές από τον χειριστή.
Ευθύνη των παρόχων υπηρεσιών πιστοποίησης
Οι πάροχοι υπηρεσιών πιστοποίησης που εκδίδουν αναγνωρισμένο πιστοποιητικό στο κοινό ή εγγυώνται για την ακρίβεια τέτοιου πιστοποιητικού ευθύνονται έναντι οποιουδήποτε φορέα ή φυσικού ή νομικού προσώπου για τη ζημία που προκλήθηκε σε βάρος του, επειδή το πρόσωπο αυτό εύλογα βασίσθηκε στο πιστοποιητικό, όσον αφορά:
α) Στην ακρίβεια, κατά τη στιγμή της έκδοσής του, όλων των πληροφοριών που περιέχονται στο αναγνωρισμένο πιστοποιητικό και την ύπαρξη όλων των στοιχείων που απαιτούνται για την έκδοσή του.
β) Στη διαβεβαίωση ότι ο υπογράφων, η ταυτότητα του οποίου βεβαιώνεται στο αναγνωρισμένο πιστοποιητικό, κατά τη στιγμή της έκδοσής του, κατείχε δεδομένα δημιουργίας υπογραφής που αντιστοιχούσαν στα αναφερόμενα ή καθοριζόμενα στο πιστοποιητικό δεδομένα επαλήθευσης της υπογραφής.
γ) Στη διαβεβαίωση ότι αμφότερα τα δεδομένα δημιουργίας υπογραφής και επαλήθευσης υπογραφής μπορούν να χρησιμοποιηθούν συμπληρωματικά, εφόσον προέρχονται από πάροχο υπηρεσιών πιστοποίησης.
Οι πάροχοι υπηρεσιών πιστοποίησης ευθύνονται επίσης, αν παραλείψουν να καταγράψουν την ανάκληση του πιστοποιητικού.
Σε όλες τις παραπάνω περιπτώσεις ο εκάστοτε πάροχος δεν ευθύνεται, αν αποδείξει ότι δεν τον βαρύνει πταίσμα.
Στο αναγνωρισμένο πιστοποιητικό μπορούν να αναγράφονται, από τον πάροχο υπηρεσιών πιστοποίησης, περιορισμοί χρήσης αυτού υπό την προϋπόθεση ότι οι περιορισμοί τίθενται κατά τρόπο, ο οποίος είναι αναγνωρίσιμος από οποιονδήποτε τρίτο. Σε αυτή την περίπτωση ο πάροχος υπηρεσιών πιστοποίησης δεν ευθύνεται για τη ζημία που προκύπτει από την υπέρβαση των αναφερόμενων περιορισμών κατά τη χρήση του αναγνωρισμένου πιστοποιητικού.
Επίσης, στο αναγνωρισμένο πιστοποιητικό δύνανται να αναγράφονται, από τον πάροχο υπηρεσιών πιστοποίησης, όρια για το ύψος των συναλλαγών, για τις οποίες μπορεί να χρησιμοποιηθεί το σχετικό πιστοποιητικό, με την προϋπόθεση ότι τα όρια αυτά τίθενται κατά τρόπο αναγνωρίσιμο από οποιονδήποτε τρίτο. Στην περίπτωση αυτή ο πάροχος υπηρεσιών πιστοποίησης δεν ευθύνεται για τη ζημία που προκαλείται από την υπέρβαση των ορίων αυτών.
Συστάσεις για την ασφαλή επαλήθευση της υπογραφής
Κατά τη διαδικασία επαλήθευσης της υπογραφής θα πρέπει να διασφαλίζεται με εύλογη βεβαιότητα ότι:
α) τα δεδομένα που χρησιμοποιούνται προς επαλήθευση της υπογραφής αντιστοιχούν στα δεδομένα που εμφανίζονται στον επαληθεύοντα,
β) η υπογραφή επαληθεύεται με αξιοπιστία και ότι το αποτέλεσμα της επαλήθευσης εμφανίζεται με ορθό τρόπο,
γ) ο επαληθεύων μπορεί ενδεχομένως να ορίσει με βεβαιότητα τα περιεχόμενα των δεδομένων που υπογράφονται,
δ) η γνησιότητα και η εγκυρότητα του πιστοποιητικού που απαιτείται κατά τη στιγμή της επαλήθευσης της υπογραφής έχουν ελεγχθεί με αξιοπιστία,
ε) το αποτέλεσμα της επαλήθευσης, όπως και η ταυτότητα του υπογράφοντος, εμφανίζονται με τον ορθό τρόπο,
στ) η χρησιμοποίηση ψευδωνύμου δηλώνεται εμφανώς και
ζ) μπορούν να εντοπιστούν τυχόν τροποποιήσεις απτόμενες της ασφάλειας.