Digital signering gir overlegen sikkerhet

Sivilingeniør

Carl H. Pedersen

Partner i Maestro Soft

En digital signatur er tilnærmet umulig å forfalske og gir oss først og fremst en teknisk gyldighet som langt overgår håndskrevne underskrifter. I likhet med andre typer digitalisering handler muligheten for å ta i bruk digitale signaturer vel så mye om å endre lover og forskrifter som å ta i bruk ny teknologi.

En digital signatur på høyeste sikkerhetsnivå er krypterte data som følger dokumentet og som kan benyttes til å kontrollere hvem som har signert og at innholdet ikke er endret siden signaturtidspunktet.

Felles for mange prosesser som omfatter utveksling av informasjon mellom parter, er at de krever godkjenning og underskrift for å autorisere innholdet for videre behandling. Dette steget har tradisjonelt vært noe utfordrende å digitalisere. Å skanne inn en fysisk signatur er verken en effektiv eller sikker måte å digitalisere den fysiske underskriften på.

Hva er en digital signatur?

Definisjonen i esignaturloven sier at digital signatur er «data i elektronisk form som er knyttet til andre elektroniske data og som brukes som autentiseringsmetode».

Digital signatur på høyeste sikkerhetsnivå med BankID, Buypass og Commfides, benevnes som avansert elektronisk signatur med kvalifiserte sertifikater, og er i praksis en kryptert kobling mellom din identitet og de dataene du signerer på. Det er altså ikke snakk om et merke eller bilde av underskriften i dokumentet, men krypterte data som følger dokumentet og som kan benyttes til å kontrollere hvem som har signert og at innholdet ikke er endret siden signaturtidspunktet.

Digitale signaturer skiller seg fra ordinære underskrifter på mange måter og må behandles annerledes enn tradisjonelle underskrifter fordi:

  • Digitale signaturer er ikke synlig i dokumentet.

  • En kopi av digital signatur er like gyldig som originalen.

  • Digitale signaturer kan ikke skrives ut

Kompenserer for manglende synlighet

Det at en digital signatur ikke er synlig i dokumentet, er først og fremst en utford­ring i forhold til eksisterende forventninger til underskrifter i et dokument. Et synlig emblem som representerer signaturene, kan brukes for å kompensere for manglende synlighet.

Kopien er like ekte som originalen

Dokumenter signert med elektronisk signatur kan kopieres og sendes pr. e-post. Mottakeren kan dermed åpne en kopi hvor både innhold og signaturer er like ekte som i originalen. Det er derfor ikke behov for en egen attestasjon for rett kopi av offentlig tjenestemann siden denne funksjonen ligger innebygd i Public Key Infrastructure (PKI) som benyttes når dokumenter valideres.

Utskrift?

Et digitalt signert dokument kan selvsagt skrives ut, gjerne også med emblemer som viser at dokumentet er digitalt signert. Men på samme måte som man ikke kan skrive ut en melodi fra Mp3-spilleren, kan heller ikke papirutskriften inneholde validerbare digitale signaturer. Papiret er jo tross alt ikke digitalt.

Når er digitale signaturer gyldige?

Etter norsk lov (Lov om avslutning av avtaler, om fuldmagt og om ugyldige viljes­erklæringer [avtaleloven]) er det partene selv som fastsetter på hvilken måte de ønsker å forplikte seg til en avtale, og en muntlig avtale kan derfor være like bindende som en skriftlig med digital signatur. Juridisk gyldighet er heller et spørsmål om det kan sannsynliggjøres at partene hadde til hensikt å forplikte seg til en avtale. I denne sammenhengen vil signatur være én faktor, men også det at partene har etterlevd en avtale over tid kan bidra til å sannsynliggjøre at avtalen fortsatt forplikter partene.

Selskapsdokumentasjonens gyldighet

Dersom det ikke er snakk om en gjensidig avtale mellom to parter, men selskaps­dokumentasjon som årsregnskap, styreprotokoller, fullmakter og revisjonsberetning, vil dokumentets gyldighet i større grad hvile på signaturene i dokumentet. En digital signatur er tilnærmet umulig å forfalske og gir oss først og fremst en teknisk gyldighet som langt overgår håndskrevne underskrifter. Hva kan da for­hindre eller bremse digitaliseringen?

Behandles av mange

Enkelte selskapsdokumenter behandles av flere parter på sin vei. Alle som er pålagt å behandle og oppbevare et digitalt signert dokument, må også ha hjemmel og være teknisk kapable til å gjøre dette digitalt. Dokumentet må være i digital form hele veien. En utskrift holder som kjent ikke, og vil bryte signaturene i dokumentet.

Revisjonsberetningen

Ta for eksempel revisjonsberetningen. Revisorloven § 5–5 og § 5–6 sier at denne skal signeres, dateres og oppbevares av revisor i ti år. Beretningen avgis til selskapet som er pålagt å oppbevare det samme dokumentet, men da etter Bokførings­loven § 13 i fem år. Til slutt sendes revisjonsberetningen til Brønnøysundregist­rene som i sin tur må følge arkivforskriften både i forhold til format og lagringstid. Alle ledd, fra revisor til BRREG må være i stand til å håndtere dokumentet elektronisk for at dokumentet skal kunne anvende digitale signaturer. Dersom én part er pålagt å holde et fysisk arkiv og derfor må skrive ut dokumentet, forsvinner også de digitale signaturene på veien. Selv om Brønnøysundregistrene aksepterer, og tar imot digitalt signerte dokumenter, har de likevel en gammel konverteringsrutine som gjør om innkommende formater til bildeformatet TIFF, noe som dessverre også fjerner de digitale signaturene. Dette er likevel ikke til hinder for å signere dokumenter elektronisk da Brønnøysundregistrene i praksis ikke støtter seg på signaturer i dokumentet, men på signaturfunksjonen i Altinn. Det ville likevel vært en styrke dersom man også kunne hente ut dokumenter fra registrene med sine digitale signaturer intakt.

På samme måte som man ikke kan skrive ut en melodi fra Mp3-spilleren, kan heller ikke papirutskriften inneholde validerbare digitale signaturer.

Oppbevaringstid

Oppbevaringstid er et annet problem­område. En del selskapsdokumentasjon, som for eksempel styreprotokoller, skal ifølge aksjeloven oppbevares i selskapets levetid. I Ot.prp. nr. 108 fra 2001, i forbindelse med eRegelprosjektet, heter det at «Styreprotokollen bør føres på fysisk papir på grunn av hensynet til tidsbestandighet». Den gangen fantes det ikke et godt etablert digitalt signaturformat, og det var ingen tiltro til at et digitalt format kunne bestå over lengre tid.

I forhold til utarbeidelse og oppbevaring av generalforsamlings- og styreprotokoller mv. ligger det i forslaget til ny aksjelov* Prop. 112L. av 21. april 2017. en sidestilt anerkjennelse av elektronisk signatur med fysisk underskrift. Lovteksten er langt mer teknologinøytral enn tidligere og presiser flere steder at det ikke er til hinder for elektroniske løsninger. Departementet (NFD) går så langt som å si at «For å kunne foreta en gjennomgående digitalisering av arbeidsprosessene, er adgang til elektronisk signatur nødvendig». Aksjelovutvalget ble imidlertid ikke hørt på ønsket om å samkjøre oppbevaringsplikten i aksjeloven med oppbevaringsplikten i bokførings­loven, men det legges til ny § 1–6 i aksje­loven der elektronisk og fysisk utarbeidelse og oppbevaring sidestilles. Bestemmelser for oppbevaringstid og krav til sikkerhetsnivå for signaturer fastsettes eventuelt i egen forskrift, og selv om oppbevarings­tiden fastholdes til selskapets levetid, bør altså ikke dette lenger være til hinder for elektronisk oppbevaring av generalforsamlings- og styreprotokoller.

Alle som er pålagt å behandle og oppbevare et digitalt signert dokument, må også ha hjemmel og være teknisk kapable til å gjøre dette digitalt.

Digital signering og elektronisk oppbevaring av årsregnskapet

Oppbevaringsplikten av årsregnskapet for aksjeselskaper følger imidlertid bokføringslovens krav på fem år etter utgangen av regnskapsåret. Utarbeidelse og oppbevaring av årsregnskapet har derfor ikke møtt den samme problemstillingen med oppbevaring på ubestemt tid og usikkerheten relatert til elektroniske formater, og det er følgelig heller ingen hindringer for digital signering og elektronisk oppbevaring av årsregnskapet.

Handler om å endre lover og ­forskrifter

I mange tilfeller handler digitalisering vel så mye om å endre lover og forskrifter som faktisk å ta i bruk ny teknologi. Ta for eksempel registrering av signaturbestemmelsene i Samordnet registermelding til Enhetsregisteret. Her kan enheten selv formulere en egen fritekst som definerer signaturrett til foretaket, noe som har resultert i ca. 15 000 ulike fritekster i registeret. Dette skaper selvsagt utfordringer senere når en aktør skal kontrollere om et foretak har signert i henhold til sine egne signaturbestemmelser. Formuleringer som trekker inn forutsetninger eller informasjon som ikke er tilgjengelig utenfor selskapet, gjør det tilnærmet umulig å automatisere kontroll av signaturrett.

Slike formuleringer er for eksempel: «Daglig leder og styrets leder i fellesskap. Hvis daglig leder eller styrets leder ikke er til stede, gis NN fullmakt til å undertegne», eller «Begge deltakerne har lik signaturrett hver for seg, men må ha forrådet seg med den andre part i forhånd av signaturen».

Må bruke kunstig intelligens?

Eksemplene ovenfor illustrerer at man nesten må ty til kunstig intelligens for å tolke og forstå denne friteksten maskinelt. Flere aktører forsøker da også etter beste evne å gjøre en maskinell tolkning og bruker betydelige ressurser på å utvikle algoritmer som best mulig forstår friteksten. Enhetsregisteret arbeider også selv med en teknisk løsning som skal dekke opptil 93 % av tilfellene.

Hadde man i stedet gjort endringer i regi­sterlovgivningen knyttet til registrering av signatur og prokura slik at også enhetens signaturbestemmelser måtte følge visse retningslinjer og være entydig definerte, ville maskinell kontroll vært så uproblematisk at digitaliseringen nærmest ville ha gått av seg selv.

Videre fremover

En ting er i hvert fall sikkert – fremtiden er digital og vi er helt avhengig av å tilrettelegge for dette på en måte som også imøte­kommer internasjonale krav. En ny forordning om eID og elektroniske tillitstjenester innført i EU (eIDAS-forordningen) vil innlemmes i EØS-avtalen slik at denne også får gyldighet i Norge. Kort fortalt legger denne forordningen til grunn at digital signatur skal være like gyldig som en håndskrevet underskrift, og at digital ID og digital signatur skal anerkjennes på tvers av landegrensene i Europa. Dette skaper nok litt hodebry for myndighetene og ID-porten som må tilby tjenester for personer med utenlandsk eID, men byr samtidig på en fantastisk mulighet for digitalisering av avtaler, kontrakter og fullmakter mellom personer og virksomheter i Europa. Notarialbekreftelse og legalisering over landegrensene betyr i dag at man fysisk må til notarius publicus i Tingretten og deretter til Fylkesmannen for å få Apostillestempel i papirdokumentet. Den nye forordningen legger til rette for en ekstrem effektivisering av slik dokumenthåndtering samtidig som sikkerheten ivaretas på et langt sterkere nivå.