Του Ζήση Λιούπα
Η προώθηση των ψηφιακών υπογραφών αποτέλεσε τα τελευταία χρόνια σημαντική πολιτική της ΕΕ, ως μοχλός για τη μείωση της γραφειοκρατίας και την εξασφάλιση εμπιστοσύνης στις επιχειρηματικές συναλλαγές. Με τον πρόσφατο, μάλιστα, Ευρωπαϊκό Κανονισμό eIDAS (910/2014), οι ψηφιακές υπογραφές ισχυροποιήθηκαν και τέθηκαν οι βάσεις για την υποχρεωτική αναγνώρισή τους σε συμφωνίες μεταξύ οντοτήτων από διαφορετικές χώρες.
Η εξέλιξη αυτή αποτελεί ανακούφιση για αρκετές ελληνικές επιχειρήσεις, στο βαθμό που η απόκτηση ψηφιακών πιστοποιητικών και, συνεπώς, δυνατότητας για ψηφιακή υπογραφή, απαλλάσσει τους νόμιμους εκπροσώπους τους από την υποχρέωση ιδιόχειρης υπογραφής με θεώρηση γνησιότητας σε αρμόδια αρχή.
Στο πλαίσιο αυτό, ίσως ακόμη μεγαλύτερη εξυπηρέτηση εξασφαλίζουν οι υπηρεσίες δημιουργίας ηλεκτρονικών υπογραφών από απόσταση. Στο κάτω-κάτω, ποιος δεν θα ήθελε τη δυνατότητα να υπογράφει έγγραφα από οποιονδήποτε υπολογιστή ή ακόμη και από tablet ή smartphone, χωρίς μάλιστα να χρειάζεται συγκεκριμένη συσκευή ΑΔΔΥ (Ασφαλής Διάταξη Δημιουργίας Υπογραφής), δηλαδή USB token ή smart card, που είναι τα συνήθη μέσα αποθήκευσης των προσωπικών πιστοποιητικών μας!
Το τελευταίο διάστημα τέτοιες υπηρεσίες δημιουργίας ηλεκτρονικών υπογραφών από απόσταση προωθούνται εντατικά και στην ελληνική αγορά, από το ΕΒΕΑ και τα υπόλοιπα Επιμελητήρια, ως εκπροσώπων της Κεντρικής Ένωσης Επιμελητηρίων (ΚΕΕ). Σύμφωνα με το ενημερωτικό υλικό, η προτεινόμενη υπηρεσία έχει σημαντικά πλεονεκτήματα έναντι της κλασικής ψηφιακής υπογραφής, καθώς είναι χαμηλότερου κόστους, έχει ισοδύναμη νομική ισχύ με την ιδιόχειρη υπογραφή, ενώ φυσικά δίνει δυνατότητα χρήσης από οποιαδήποτε συσκευή.
Οι παραπάνω ισχυρισμοί σίγουρα εντυπωσιάζουν, στον έμπειρο χρήστη πληροφοριακών συστημάτων όμως, γεννούν παράλληλα ερωτήματα:
- Εφόσον χρησιμοποιώ τα ψηφιακά μου πιστοποιητικά από απόσταση και όχι από το USB token που έχω υπό τον έλεγχό μου, που φυλάσσονται αυτά;
- Ο πάροχος της υπηρεσίας, τι εγγυήσεις μου παρέχει ότι τα πιστοποιητικά μου μπορώ να τα χρησιμοποιήσω αποκλειστικά εγώ;
- Ποιος ελέγχει ότι οι πάροχοι τέτοιων υπηρεσιών προστατεύουν τα ψηφιακά πιστοποιητικά μας με επάρκεια;
Αναζητώντας κανείς περισσότερες πληροφορίες ανακαλύπτει τελικά ότι το ζήτημα τυγχάνει ιδιαίτερης μέριμνας στην παράγραφο 52, του προοιμίου του Κανονισμού eIDAS:
«Η δημιουργία εξ αποστάσεως ηλεκτρονικών υπογραφών, όπου το περιβάλλον της δημιουργίας της ηλεκτρονικής υπογραφής θα τελεί υπό τη διαχείριση παρόχου υπηρεσιών εμπιστοσύνης εξ ονόματος του υπογράφοντος, πρόκειται να ενταθεί, λόγω των πολλαπλών οικονομικών πλεονεκτημάτων της. Ωστόσο, για να διασφαλιστεί ότι οι εν λόγω ηλεκτρονικές υπογραφές θα τυγχάνουν της ίδιας νομικής αναγνώρισης με τις ηλεκτρονικές υπογραφές που δημιουργούνται σε περιβάλλον το οποίο τελεί υπό την πλήρη διαχείριση του χρήστη, οι πάροχοι υπηρεσιών εξ αποστάσεως ηλεκτρονικής υπογραφής οφείλουν να εφαρμόζουν συγκεκριμένες διαχειριστικές και διοικητικές διαδικασίες ασφαλείας, να χρησιμοποιούν αξιόπιστα συστήματα και προϊόντα, όπου περιλαμβάνονται ειδικότερα ασφαλείς ηλεκτρονικοί δίαυλοι επικοινωνίας, προκειμένου να εξασφαλίζεται η αξιοπιστία του περιβάλλοντος δημιουργίας ηλεκτρονικής υπογραφής και να υπάρχουν εγγυήσεις ότι το περιβάλλον αυτό χρησιμοποιήθηκε με αποκλειστικό έλεγχο του υπογράφοντος. Όταν μια εγκεκριμένη ηλεκτρονική υπογραφή έχει δημιουργηθεί με χρήση διάταξης εξ αποστάσεως δημιουργίας ηλεκτρονικών υπογραφών, θα πρέπει να εφαρμόζονται οι απαιτήσεις που ισχύουν για τους εγκεκριμένους παρόχους υπηρεσιών εμπιστοσύνης βάσει του παρόντος κανονισμού.»
Ο όρος κλειδί στο παραπάνω εδάφιο είναι ο «Εγκεκριμένος Πάροχος Υπηρεσιών Εμπιστοσύνης». Πρόκειται για πιστοποιημένους φορείς για τους οποίους διατηρείται δημόσια προσβάσιμο μητρώο. Στην Ελλάδα η σχετική αρμοδιότητα ανήκει στην ΕΕΤΤ. Όπως λοιπόν εύκολα μπορεί να διαπιστώσει κανείς, ούτε το ΕΒΕΑ, ούτε η ΚΕΕ είναι καταχωρημένοι στο σχετικό εθνικό μητρώο.
Κατόπιν επικοινωνίας με το ΕΒΕΑ, πληροφορείται κανείς ότι η παρεχόμενη σε συνεργασία με την ΚΕΕ υπηρεσία, βασίζεται σε ψηφιακά πιστοποιητικά που εκδίδονται από την Αρχή Πιστοποίησης Ελληνικού Δημοσίου (ΑΠΕΔ) και ότι για την απομακρυσμένη υπογραφή χρησιμοποιείται επίσης προϊόν που διαθέτει πιστοποίηση ως ΑΔΔΥ. Δεν παρέχεται όμως καμία διαβεβαίωση πιστοποίησης ότι εφαρμόζονται οι «διαχειριστικές και διοικητικές διαδικασίες ασφαλείας» που προβλέπονται, παρά μόνο μια δήλωση της ΚΕΕ ότι συμμορφώνεται με τον Κανονισμό Πιστοποίησης της ΑΠΕΔ. Αντιλαμβάνεται κανείς το παράδοξο, η ίδια η ΚΕΕ να λειτουργεί ως αξιολογητής του εαυτού της, αντί να επικαλείται την πιστοποίηση ενός τρίτου και ανεξάρτητου, αρμόδιου φορέα.
Περαιτέρω, κατόπιν επικοινωνίας με την ΕΕΤΤ πληροφορείται κανείς ότι το προϊόν με το οποίο παρέχεται η υπηρεσία απομακρυσμένης υπογραφής από την ΚΕΕ (ARX Cosign), στην έκδοση 8.2, σύμφωνα με την Ευρωπαϊκή Επιτροπή, πληροί τις προϋποθέσεις δημιουργίας ψηφιακής υπογραφής που θεωρείται εγκεκριμένη (νομικά ισχυρή δηλαδή), μόνο εφόσον το προϊόν λειτουργεί υπό τον έλεγχο Εγκεκριμένου Παρόχου Υπηρεσιών Εμπιστοσύνης.
Το θέμα γίνεται πιο ανησυχητικό, αν παρατηρήσει κανείς ότι τελευταία εξαπλώνεται η πεποίθηση ότι για την απομακρυσμένη ψηφιακή υπογραφή δεν απαιτείται κανένας έλεγχος ή πιστοποίηση του παρόχου της υπηρεσίας. Χαρακτηριστικά, σε διαγωνισμό του Δήμου Φυλής που διενεργήθηκε τον Ιανουάριο του τρέχοντος έτους ζητούνταν «Υπηρεσία Προηγμένων Απομακρυσμένων Ψηφιακών Υπογραφών» χωρίς καμία απολύτως πιστοποίηση!
Δεν τολμώ να αμφισβητήσω ότι στον δημοτικό υπάλληλο είναι εντελώς απαραίτητο να υπογράφει από το smartphone του, ωστόσο διερωτώμαι αν οι υπογραφές που μπορεί να μπαίνουν σε έγγραφα του Δήμου με τη μέθοδο αυτή (π.χ. πιστοποιητικά που εκδίδονται) θα έχουν νομική ισχύ.
Ο Andy Grove, εξέχουσα μορφή της πληροφορικής και της τεχνολογίας ημιαγωγών, εκ των ιδρυτών της Intel και πρόεδρός της, είχε κάποτε πει: «Στον καπιταλισμό, μόνο οι παρανοϊκοί επιβιώνουν». Το θέμα της ψηφιακής υπογραφής μας και της σωστής διαχείρισής της από όλους τους εμπλεκόμενους αξίζει, ενδεχομένως, λίγο προβληματισμό παραπάνω.