Eritasoiset sähköiset allekirjoitukset
Eritasoiset sähköiset allekirjoitukset on määritelty eIDAS-asetuksessa (EU 910/2014).
Allekirjoitukset jaotellaan kolmeen eri tasoon, jotka matalimmasta korkeampaan ovat
- sähköinen allekirjoitus
- kehittynyt sähköinen allekirjoitus
- hyväksytty sähköinen allekirjoitus.
Mitä korkeampi taso on kyseessä, sitä turvallisemmat ovat taustalla olevat toteutukset ja sitä paremmin pystytään varmistumaan allekirjoittajan henkilöllisyydestä.
Sähköinen allekirjoitus
Sähköinen allekirjoitus on sähköisessä muodossa oleva tieto, jota allekirjoittaja käyttää allekirjoittamiseen.
Sähköiseksi allekirjoitukseksi voidaan kutsua esimerkiksi sähköpostin loppuun kirjoitettua nimeä. Tällaisessa tapauksessa allekirjoitusta ei kuitenkaan voi kiistämättömästi yhdistää oikean henkilöön ja osoittaa aidoksi.
Kehittynyt sähköinen allekirjoitus
Kehittynyt sähköinen allekirjoitus on sähköinen allekirjoitus, joka liittyy yksilöivästi allekirjoittajaan.
Kehittynyt sähköinen allekirjoitus varmentaa
- sähköisen asiakirjan tietosisällön
- allekirjoittajan henkilöllisyyden.
Jos sähköisen asiakirjan tietosisältöä muutetaan allekirjoittamisen jälkeen, ei aiemmin tehty allekirjoitus enää täsmää allekirjoitetun sisällön kanssa. Tämä tarkoittaa, että tiedon muuttaminen tai väärentäminen jälkikäteen voidaan havaita.
Esimerkiksi mobiilivarmenteella tai pankkitunnuksilla tehty allekirjoitus on kehittynyt sähköinen allekirjoitus.
Hyväksytty sähköinen allekirjoitus
Hyväksytty sähköinen allekirjoitus on kehittynyt sähköinen allekirjoitus, jonka tekemiseen käytetty
- varmenne on eIDAS-hyväksytty
- luontiväline (esimerkiksi kortin siru) on eIDAS-hyväksytty sähköisen allekirjoituksen luontiväline (QSCD).
Hyväksytty sähköinen allekirjoitus varmentaa asiakirjan tietosisällön sekä allekirjoittajan henkilöllisyyden, kuten edellä kuvattu kehittynyt sähköinen allekirjoituskin. Tämän lisäksi hyväksytyn sähköisen allekirjoituksen tekoon käytettäviä välineitä säädellään, valvotaan ja arvioidaan tarkemmin. Niitä saavat myöntää vain sellaiset palveluntarjoajat, jotka EU-akkreditoitu arviointilaitos on etukäteen arvioinut ja hyväksynyt.
Seuraavien Digi- ja väestötietoviraston varmennekorttien allekirjoitusvarmenteilla tehty allekirjoitus on hyväksytty sähköinen allekirjoitus:
-
organisaatiokortti (19.12.2019 alkaen myönnetyt)
-
henkilökortti (11.1.2021 alkaen myönnetyt)
Hyväksytty sähköinen allekirjoitus on juridisesti sitova ja kiistämätön koko Euroopan Unionin alueella. eIDAS-asetuksen mukaan hyväksytyllä sähköisellä allekirjoituksella on oltava samanlaiset oikeusvaikutukset kuin käsin kirjoitetulla allekirjoituksella. Hyväksytty sähköisen allekirjoituksen luontiväline (QSCD) on teknisesti hyvin turvallinen, sillä se on suojattu ulkopuolisilta hyökkäyksiltä.
eIDAS-asetus ei ota kantaa siihen, minkä tasoista allekirjoitusta missäkin tilanteessa tulee käyttää. eIDAS-asetus rinnastaa hyväksytyn sähköisen allekirjoituksen käsintehtyyn allekirjoitukseen, mutta samalla kuitenkin toteaa, että muillakin sähköisillä allekirjoituksilla voidaan pätevästi allekirjoittaa asiakirjoja ja käyttää allekirjoitettua dokumentaatiota todisteena oikeudellisissa menettelyissä. Sähköinen allekirjoittaminen vakiintuu käytännön kautta ja lainsäädännön kautta erityisesti niissä tilanteissa, joissa dokumentaation allekirjoittamista edellytetään.
Eri valtiot saattavat asettaa sähköiselle allekirjoitukselle erilaisia vaatimuksia kansallisessa lainsäädännössään. Käyttämällä hyväksyttyä sähköistä allekirjoitusta voi varmistua siitä, että allekirjoitus hyväksytään koko Euroopan Unionin alueella. Etenkin Keski- ja Etelä-Euroopassa asioidessa saatetaan vaatia määrämuotoista allekirjoitusta.
Suomessa ja muissa pohjoismaissa vallitsee sopimus- ja muotovapaus. Tämä tarkoittaa, että allekirjoitus voidaan tehdä vapaamuotoisesti ilmaisemalla tahdonilmaisu tavalla tai toisella. Tämä voidaan tehdä esimerkiksi käyttämällä pankki- tai mobiilitunnisteita. Esimerkiksi kansalaisaloitteen voi allekirjoittaa paitsi DVV:n varmennekortin allekirjoitusvarmenteella, myös pankkitunnisteilla tai mobiilivarmenteella. Kaksi viimeksi mainittua ovat kehittyneen sähköisen allekirjoituksen tason välineitä.
Joissakin oikeustoimissa ei ainakaan vielä hyväksytä sähköistä allekirjoitusta. Tällaisia voivat olla esimerkiksi eräät perinnönjakoon liittyvät asiakirjat sekä kiinteistönluovutuksen yhteydessä laadittavat, allekirjoitettavat ja kaupanvahvistajan vahvistamat asiakirjat. Nämä vaaditaan paperisena, ja lisäksi kaupanvahvistaja tarkistaa myös osapuolten henkilöllisyyden.
Tarvittaessa kannattaa varmistaa vaadittavan allekirjoituksen muoto siltä organisaatiolta, jonka kanssa asioit.
Sähköisten luottamuspalvelujen tavoite on taata turvallinen sähköinen asiointi. Sähköisistä luottamuspalveluista säädetään EU:n eIDAS-asetuksessa. eIDAS-asetuksen perusteella valvottuja luottamuspalveluita ovat
- sähköisen allekirjoituksen varmenne, validointi, ja säilyttäminen
- sähköisen leiman varmenne, validointi tai säilyttäminen
- sähköinen aikaleima
- sähköinen rekisteröity jakelupalvelu
- verkkosivujen todentamisen varmenne.
Suomessa sähköisiä luottamuspalveluita valvoo Traficomin Kyberturvallisuuskeskus.
Lue lisää sähköisten luottamuspalvelujen säätelystä ja valvonnasta Traficomin verkkosivuilta.
Tietoa luottamuspalveluista EU-komission verkkosivuilla (englanniksi).