Bankovní identita a její role v elektronickém podepisování

Služby bankovní identity („BankID“) jsou od 1. června 2021 dostupné soukromým subjektům, které je mohou za úplatu implementovat do svých obchodních modelů. Společnost Bankovní identita, a.s., zastřešující služby BankID, zatím tyto služby firmám poskytuje zejména za účelem ověření totožnosti uživatelů pro přihlášení do svých účtů na různých platformách nebo za účelem sjednání smluv v rámci jedné platformy. [1][2] 

Od září 2021 by měla být rovněž dostupná služba SIGN pro elektronické podepisování. [3] K této službě Bankovní identita, a.s. společně s PwC, Trask a ROWAN LEGAL pořádají 9. června 2021 webinář, na který je možné se nyní bezplatně přihlásit. [4]

Bez ohledu na spuštění „oficiální“ služby SIGN pro elektronické podepisování, některé platformy pro elektronickou kontraktaci a digitální podpisy už BankID do svých systémů začlenili. Tak například platforma DigiSign (www.digisign.org) už nyní nabízí zprostředkované či dosvědčené elektronické podepisování dokumentů s možností autentizace podepisujícího přes BankID. 

Jak to funguje?

Platformy jako DigiSign, DocuSign, AdobeSign, iSmlouva a další, již delší dobu nabízí řešení pro podepisování dokumentů elektronicky bez nutnosti obtěžovat se s analogovým formátem. 

Technicky to funguje tak, že uvedené platformy vystupují v pozici jakéhosi „soukromého notáře“ či svědka a potvrzují, že daný dokument podepsal konkrétní podepisující, resp. konkrétní smlouvu mezi sebou sjednaly uvedené strany. O tomto způsobu tzv. „dosvědčeného elektronického podepisování“ se podrobněji a zasvěceněji rozepsal ve svých článcích Jiří Peterka na LUPA.cz. [5][6] Toto jeho označení způsobu uzavírání smluv budu dále používat též v tomto článku. 

V analogovém světě si takové „dosvědčené podepisování“ můžeme představit například tak, že pan Adam, aniž by k tomu ze zákona měl nějakou zvláštní funkci či pozici, sepíše záznam o tom, že paní Barborauzavřela smlouvu s panem Cyrilem. Tento záznam, který může mít podobu samotné smlouvy následně za účelem stvrzení souhlasu s jeho obsahem podepíše (1) pouze pan Adam, nebo (2) společně s ním také paní Barbora i pan Cyril. Samozřejmě uvedené příklady v analogovém světě nedávají moc smysl. 

V prvním případě, kdy dokument podepisuje jen pan Adam, je sice takový postup možný a smlouvu lze v principu tímto způsobem platně sjednat, protože stávající právní úprava u většiny právních jednání nevyžaduje žádnou konkrétní formu. Sjednání smlouvy tímto způsobem nicméně nebude moc praktické s ohledem na průkaznost toho, že daná smlouva byla skutečně uzavřena. Důkazní situace bude sice o něco silnější, než kdyby smlouvu její strany sjednaly ústně jen mezi sebou bez žádného svědka, přesto však tento postup uzavírání smluv pravděpodobně nelze bez dalšího doporučit. Otázka platného uzavření smlouvy totiž v takovém případě stojí a padá se svědectvím a důvěryhodností pana Adama o tom, že k uzavření smlouvy skutečně došlo.

Ve druhém případě je důkazní situace ve vztahu k tomu, zda byla smlouva uzavřena silnější, neboť podpis paní Barbory i pana Cyrila, a samotná existence podepsaného dokumentu, zvyšuje průkaznost toho, že k uzavření smlouvy skutečně došlo. Ovšem v tomto případě zase nedává moc smysl, aby pan Adam v celé věci dále vůbec figuroval. Paní Barbora pan Cyril jednoduše uzavřou smlouvu „tradičním“ způsobem. Pokud smlouvu podepíší analogově vlastnoručním podpisem, není v zásadě důvod, aby její vznik mezi stranami dále „dosvědčoval“ ještě svým podpisem pan Adam

Z analogu do digitálu

Zatímco v analogovém světě nedává druhý popisovaný případ dost dobře smysl, v případě digitálního světa tento postup nějaký smysl mít může. Odvíjí se to od existence několika „úrovní“ elektronických podpisů. 

Na tomto místě si udělejme krátký exkurz. Zatímco v analogovém světě rozlišujeme v zásadě jen vlastnoruční podpis a případně ještě úředně ověřený vlastnoruční podpis, který zatím nemá v digitálním světě ekvivalent, úrovní elektronických podpisů rozlišujeme několik. Je obecně přijímáno, že v praxi rozlišujeme následující druhy elektronických podpisů:

  • „prostý“ elektronický podpis, za který se považuje i například jen uvedené jméno v patičce emailu,
  • zaručený elektronický podpis, tj. který splňuje požadavky podle článku 26 nařízení eIDAS, v zásadě jde o elektronický podpis vytvoření použitím asymetrické kryptografie bez kvalifikovaného certifikátu,
  • zaručený elektronický podpis založený na kvalifikovaném certifikátu vydaným kvalifikovaným poskytovatelem služeb vytvářejících důvěru (v ČR např. I.CA, Česká pošta a další)
  • zaručený elektronický podpis, který je vytvořen kvalifikovaným prostředkem pro vytváření elektronických podpisů a který je založen na kvalifikovaném certifikátu pro elektronické podpisy („kvalifikovaný elektronický podpis“).

Aby toho názvosloví nebylo málo, tak elektronické podpisy ze skupiny (3) a (4) uvedené výše se v ČR označují souhrnným pojmem „uznávané elektronické podpisy“ a jako takové jsou ze strany státu přijímané v komunikaci s ním. Unijní nařízení eIDAS nicméně tuto kategorii nezná. Nelze proto spoléhat, že jednotlivé členské státy budou stejně jako ČR elektronickému podpisu ze skupiny (3) výše přisuzovat stejnou právní sílu jako kvalifikovanému elektronickému podpisu. 

Zároveň platí, že „záruky“ ve vztahu k právní jistotě podepisujících osob, které jednotlivé druhy elektronických podpisů poskytují, se významně liší. Tak například „prostý“ elektronický podpis toho ve vztahu k totožnosti jednající osoby a autentičnosti výsledného právního jednání mnoho nezaručuje. Další druhy elektronických podpisů poskytují dodatečné záruky a případě sporu je možné s jistou vyšší mírou autentičnosti počítat. Nicméně pouze kvalifikovaný elektronický podpis je podle mého názoru v současné době jediným prostředkem v digitálním světě, který je postaven naroveň vlastnoručnímu analogovému podpisu. [7] Pro úplnost uvádím, že toto není jediný, a dost možná ani mainstreamový, pohled na tuto problematiku, se kterým se lze u odborné veřejnosti setkat. Ve vztahu k této problematice existuje i liberálnější postoj, podle kterého je v podstatě každý elektronický podpis postaven naroveň vlastnoručnímu analogovému podpisu. [8] 

Odlišnosti mezi výše popsaným konzervativním pohledem a liberálním pohledem v otázce parity elektronického podpisu a vlastnoručního analogového podpisu mají nicméně význam zásadně jen ve vztahu k právním jednáním, u kterých zákon vyžaduje písemnou formu. Těch není mnoho, ale přece se taková najdou. Jde například o výhradní licenci nebo dlužní úpis. Podle obou výše uvedených pohledů je přípustné elektronicky uzavřít jakoukoli smlouvu, u které zákon nepožaduje písemnou formu, a to použitím jakéhokoli druhu elektronického podpisu. Úroveň „záruky“ spojená s konkrétním druhem elektronického podpisu bude hrát roli v případě následného zpochybnění pravosti či autentičnosti daného právního jednání. Pokud ale zákon vyžaduje písemnou formu právního jednání, podle výše uvedeného konzervativního pohledu je možné v takovém případě pro platné sjednání takové smlouvy použít pouze kvalifikovaný elektronický podpis. Podle zastánců liberálního pohledu je i v tomto případě možné využít jakéhokoli druhu elektronického podpisu.

Role BankID v elektronickém podepisování

Vraťme se nyní zpět k platformám poskytující služby dosvědčeného elektronického podepisování a k příkladu z analogového světa, ve kterém paní Barbora podepisuje smlouvu s panem Cyrilem. S ohledem na existenci různých druhů elektronických podpisů a odlišné míry „záruk“ ve vztahu k autentičnosti spojené s jednotlivými druhy, dává určitý smysl při jednání v digitální světě do vztahu dvou stran sjednávajících mezi sebou elektronicky smlouvu začlenit rovněž pana Adama, který dále potvrdí, že paní Barbora pan Cyril mezi sebou smlouvu elektronicky skutečně uzavřeli. 

Paní Barbora pan Cyril mezi sebou mohou smlouvu v digitálním světě uzavřít za použití například jen „prostých“ elektronických podpisů, kde není míra autentičnosti nijak vysoká. Na rozdíl od analogového světa, kde zapojení pana Adama v situaci, kdy smlouvu vlastnoručně podepíše paní Barbora pan Cyril, nemá moc smysl, v digitálním světě naopak může jeho zapojení zvýšit průkaznost a autentičnost uskutečněného právního jednání. Zejména potom v případě, kdy obě strany opatří podepisovaný dokument některým druhem elektronického podpisu s nižší mírou „záruky“. 

Smysl platforem pro dosvědčené elektronické podepisování potom závisí zejména na schopnosti poskytovatele takové platformy spolehlivě ověřit totožnost podepisujících osob a toto vhodným způsobem doložit. Právě v tomto ohledu mohou posloužit služby BankID. 

Platformy dosvědčeného podepisování pro účely ověření totožnosti podepisujících osob dosud běžně používaly například různé číselné kódy zaslané na telefonní číslo uvedené podepisujícím. V takových případech se ovšem nabízí poznámka, že takovým způsobem dojde k nějakému ověření pouze toho, že dokument podepsala osoba, která má zároveň přístup k uvedenému telefonnímu číslu. Prakticky ale není možné ověřit, že právně jednala skutečně osoba ve smlouvě uvedená jako podepisující. Kdokoli se jednoduše může vydávat za kohokoli a „podepsat“ tímto způsobem smlouvu jménem třetí osoby. V kombinaci s tím, že samotný elektronický podpis použitý v takových případech je často pouze „prostým“ elektronickým podpisem, nevzbuzuje tento způsob uzavírání smluv mnoho důvěry. To ovšem neznamená, že by takovým způsobem sjednaná smlouva byla neplatná, pokud ji takto uzavřela skutečně uvedená podepisující osoba. V případě sporu nicméně nelze podle mého názoru vkládat do důkazu spočívajícím v „dosvědčení“ takto uzavřené smlouvy mnoho naděje.

Pokud ale poskytovatel platformy dosvědčeného podepisování použije pro účely ověření totožnosti podepisujících osob služeb BankID, úroveň „záruky“ ve vztahu k podepisující osobě bude podstatně vyšší. Totožnost podepisující osoby bude ověřena důvěryhodnějším způsobem, než jen skrze kód zaslaný na uvedené telefonní číslo. 

Jak to funguje na DigiSign?

Jak už jsem uvedl výše, společnost DigiSign již služby BankID pro účely elektronického podepisování do své platformy začlenila. Po registraci je možné do uživatelského rozhraní nahrát podepisovaný dokument, vyznačit podpisová pole a označit podepisující osoby. Následně je možné přímo z platformy dokument odeslat k podpisu uvedeným osobám a zvolit jako způsob ověření totožnosti BankID. Podepisující osoba obdrží na uvedený email připravený dokument k podpisu a po kliknutí bude vyzvána k přihlášení k poskytovateli její bankovní identity (v době psaní tohoto článku pouze ČSOB a Česká spořitelna). Po přihlášení a tedy po ověření totožnosti jednající osoby je do podepisovaného dokumentu doplněn elektronický podpis podepisujícího, který podle mého názoru dosáhne maximálně úrovně zaručeného elektronického podpisu. Takto podepsaný dokument je dále opatřen elektronickou pečetí poskytovatele platformy, založenou na kvalifikovaném certifikátu (ekvivalent kvalifikovaného elektronického podpisu u právnických osob). Tento dodatečný prvek má garantovat, že dokument nebyl následně změněn. Tímto se DigiSign pravděpodobně liší od konkurenčních služeb, které často podepisovaný dokument opatřovaly pouze elektronickou pečetí bez kvalifikovaného certifikátu. [9] Používání platformy je intuitivní a jednoduché. Vše funguje, jak má a bez jakýchkoli problémů.

Výsledným „produktem“ je podepsaný dokument a audit log, který rozepisuje jednotlivé kroky kontraktačního procesu. Z tohoto logu je zřejmé, že banka za účelem ověření mojí totožnosti poskytla platformě pouze moje jméno, email a telefonní číslo. Při podpisu daného dokumentu proto podle mého můžeme brát za věrohodně prokázané, že dokument podepsal nějaký Lukáš Pelcman s emailem „X“ a telefonním číslem „Y“. U mého jména to možná stačí, ale u takového Jana Nováka už by to nemuselo být dostatečné. Chybí zde totiž další identifikační údaje, zpřesňující identitu podepisující osoby, jejichž poskytování zřejmě společnost DigiSign nemá nasmlouvané. Ale to se možná do budoucna změní. 

Budoucnost dosvědčeného podepisování

Způsob dosvědčeného podepisování dokumentů a uzavírání smluv lze díky využití služeb BankID při autentizaci rozhodně považovat za atraktivní způsob kontraktace v digitální světě. Na rozdíl od používání kvalifikovaných elektronických podpisů je podepisování smluv prostřednictvím platforem dosvědčeného podepisování intuitivnější a uživatelsky přívětivější. Zcela zde odpadá nutnost získat kvalifikovaný certifikát a s tím spojené těžkosti. Zároveň společně se zapracováním služeb BankID do těchto řešení se možnost elektronické kontraktace s celkem slušnou mírou autentičnosti a „záruk“ otevírá velkému počtu lidí. Úroveň těchto záruk a průkaznost v případném sporu zůstává zachována navzdory tomu, že technicky vzato jsou elektronické podpisy podepisujících osob v uvedených případech pouze „prosté“ elektronické podpisy nebo maximálně zaručené elektronické podpisy. 

Jisté pochyby ohledně využitelnosti platforem dosvědčeného podepisování s využitím služeb BankID nicméně přetrvávají ve vztahu k právním jednáním, u kterých zákon požaduje písemnou formu. Nahlíženo perspektivou výše uvedeného konzervativního pohledu, podle parity analogového vlastnoručního podpisu dosahuje pouze kvalifikovaný elektronický podpis, není možné dosvědčeným způsobem uskutečněná právní jednání postavit naroveň právním jednáním opatřeným kvalifikovaným elektronickým podpisem. V tomto ohledu lze jistě očekávat určitý tlak na změnu legislativy, aby takto dosvědčeně podepsané dokumenty parity s právním jednáním v písemné formě dosáhly. Stejně tak je možné očekávat, že tímto způsobem budou rozhodovat soudy a výše zmiňovaný liberální pohled na tuto problematiku bude v tomto ohledu závazně uznán. 

Nový okruh služeb vytvářejících důvěru?

Ve vztahu k postavení platforem pro dosvědčené podepisování na závěr přikládám malou úvahu, zda by nebylo vhodné vytvořit další kategorii služeb vytvářejících důvěru pro elektronické transakce podle zákona č. 297/2016 Sb., v platném znění. 

Kvalifikovanými poskytovateli služeb vytvářejících důvěru by v takovém případě mohli vedle kvalifikovaných poskytovatelů vydávajících kvalifikované certifikáty pro elektronické podpisy, být také např. „kvalifikovaní poskytovatelé služeb dosvědčeného podepisování“. Zavedení této další kategorie služeb vytvářejících důvěru pro elektronické transakce by dále mohlo přispět k neoddiskutovatelnému přijetí tímto způsobem podepsaných dokumentů jako dokumentů stejné právní síly jako ty opatřené kvalifikovaným elektronickým podpisem. 

***

[1] https://www.penize.cz/osobni-ucty/425753-bankovni-identita-se-otevre-prvnim-firmam

[2] https://www.mesec.cz/clanky/overeni-totoznosti-ci-nahlizeni-do-registru-bankovni-identitu-nabizeji-prvni-firmy/

[3] https://www.bankid.cz/pro-firmy

[4] https://www.bankid.cz/novinky/pozvani-na-webinar-sign-9-6-2020

[5] https://www.lupa.cz/clanky/komercni-banka-spustila-digitalizovany-podpis-smluv-pro-kohokoli-k-cemu-je-sluzba-dobra/

[6] https://www.lupa.cz/clanky/mujpodpis-ismlouva-adobe-sign-jak-se-dosvedcuji-elektronicke-podpisy/

[7] https://advokatnidenik.cz/2020/05/04/podepisovani-soukromych-listin-vcera-dnes-a-zitra/

[8] https://www.pravniprostor.cz/clanky/obcanske-pravo/interpretace-elektronickeho-podpisu-souvisejici-identifikace-v-soukromem-pravu

[9] op. cit. [6]

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *