Vérifier l'authenticité d'un document signé en télécoms

Uvod: zašto je autentičnost dokumenata kritična u telekomunikacijama

Sektor telekomunikacija obrađuje milijune ugovora godišnje: poslovne pretplate, dogovore o međusobnoj povezanosti, konvencije o razini usluge (SLA), dodatke tarifama i regulatorne dokumente dostavljene ARCEP-u. U ovoj okolini sa velikim volumenom ugovora, provjera autentičnosti elektronički potpisanog dokumenta u telekomunikacijskom sektoru nije opcionalna formalnost — to je operativni i pravni zahtjev. Neispravna ili neprovjerna elektronička signatura može dovesti do ništavnosti ugovora, izložiti operatora sporovima s partnerima ili klijentima, te predstavljati regulatornu propust prema nadzornim tijelima. Ovaj članak detaljno objašnjava mehanizme provjere, dostupne alate i najbolje prakse koje treba primjenjivati ovisno o razini rizika.

---

Razumijevanje što znači „autentičnost" elektronički potpisanog dokumenta

Tri stupa valjane elektroničke signature

Prije nego što se bavi proverom, potrebno je razjasniti što se zapravo kontrolira. Elektronička signatura u skladu sa zahtjevima počiva na tri temeljne garancije:

• Integritet dokumenta: datoteka nije bila modificirana nakon potpisivanja. Svaka izmjena, čak i manja, poništava signaturу.
• Identitet potpisnika: osoba koja je potpisala je stvarno ona koju tvrdi biti, identificirana preko digitalnog certifikata izdanog od strane kvalificiranog Pružatelja Usluga Povjerenja (PSC).
• Neinkorpabilnost: potpisnik ne može negirati da je applikuje svoju signaturу, zahvaljujući kvalificiranoj vremenskoj oznaci i praćenju čina.

Ova tri stupa odgovaraju zahtjevima postavljen od strane regulacije eIDAS i njezinih razina potpisivanja, koji razlikuju jednostavnu, naprednu i kvalificiranu signaturу. U telekomunikacijama, B2B komercialni ugovori obično se temeljе na naprednoj ili kvalificiranoj signaturi, ovisno o kritičnosti obveza.

Lanac povjerenja digitalnih certifikata

Svaka elektronička signatura poduprijena je s digitalnim certifikatom X.509, izdanim od strane priznate Certificirajuće Vlasti (AC). Ta AC sama pripada hijerarhijskom lancu povjerenja čiji je korijen validiran od strane tijela akreditiranih na europskoj razini (TSL liste povjerenja objavljene od strane svake države članice). Za telekomunikacijske operatore koji rade s međunarodnim partnerima, ta dimenzija je presudna: certifikat izdан od strane kvalificiranog francuskog PSC-a automatski je priznat u cijeloj Europskoj uniji.

Za detaljnije objašnjenje mehanike potpisivanja, sveobuhvatni vodič elektroničke signature tvrtke Certyneo predstavlja sve formate, razine i sektorske primjene.

---

Tehničke metode za provjeru autentičnosti potpisanog dokumenta

Provjera putem čitača PDF-a s potpisom (Adobe Acrobat, Foxit, itd.)

Prva provjera dostupna svakom suradniku je ona obavljena izravno u čitaču PDF-a. Adobe Acrobat Reader prikazuje, za svaki dokument potpisан u PAdES formatu (PDF Advanced Electronic Signatures), statusnu traku koja označava:

• Valjanost signature (certifikat istekao ili opozvan?)
• Identitet potpisnika (ime, organizacija, izdavač AC)
• Datum i vrijeme postavljanja signature
• Integritet dokumenta (svaka izmjena nakon potpisivanja je naznačena)

Ova provjera je brza ali ograničena: ovisi o dostupnosti online popisа opoziva (CRL/OCSP) i zahtijeva da čitač ima ažurirane glavne certifikate. Pogodno je za povremene provjere, ne za industrijsku obrada.

Provjera putem online servisa za validaciju

Za višu razinu pouzdanosti, kvalificirani servisi validacije nude standardiziranu provjeru. Europski komisijski servis DSS (Digital Signature Services), dostupan online, omogućava provjeru XAdES, CAdES i PAdES formata u skladu s normama ETSI EN 319 102. Proizvodi strukturirani izvještaj validacije (SVR — Signature Validation Report) koji se može koristiti u procesima audita.

U kontekstu obrade velikih količina — operater telekomunikacija može potpisati desete tisuće dokumenata mjesečno — API integracija automatiziranog servisa validacije postaje nezaobilazna. Certyneo nudi ovu funkcionalnost izvorno u svojoj platformi, dopuštajući pravnim i tehničkim timovima da validiraju u stvarnom vremenu svaki pristigli dokument.

Provjera kvalificirane vremenske oznake

Kvalificirana vremenska oznaka (prema normi ETSI EN 319 421) nudi neospornu dokaz datuma i vremena potpisivanja, nezavisno od sustava izdavatelja. U ugovornim sporama — često u telekomunikacijama za klauzule o raskidu ili penalizaciji — često je vremenska oznaka ta koja određuje prihvatljivost dokumenta u sudskom postupku.

Potpuna provjera autentičnosti mora stoga istodobno kontrolirati: samu signaturу, certifikat potpisnika i vremensku oznaku. Ova tri elementa čine nerazdvojiv triplet u svakom strogom postupku validacije.

---

Specifičnosti telekomunikacijskog sektora: volumeni, formati i regulatorni zahtjevi

Upravljanje volumenom i automatizacija provjera

Telekomunikacijski operater srednje veličine (10-50 milijuna pretplatnika) godišnje potencijalno proizvodi nekoliko milijuna potpisanih dokumenata: ugovore o pretplatama, dodatke, mandate SEPA, certifikate prenosivosti, roamingske konvencije. Ručna provjera strukturalno je nemoguća u ovoj skali.

Automatizacija provjera putem radnih tokova integriranih u informacijski sustav operatora postaje stoga neophodno. SaaS rješenja za elektroničko potpisivanje, kao što je Certyneo, nudi REST API-je koji omogućavaju stvarnovremeno upozoravanje o statusu validnosti dokumenta i injiciranje rezultata u CRM, ERP ili GED sustav operatora.

Za timove koji žele usporediti tržišna rješenja prije opremanja, usporedba rješenja za elektroničko potpisivanje omogućava procjenu funkcionalnosti validacije dostupnih kod glavnih igrača.

Usklađenost s ARCEP obvezama i sektorskim referentnim okvira

Autoritet za Regulaciju Elektroničkih Komunikacija, Poštanskih i Distribucije Tiska (ARCEP) nameće operatorima da čuvaju i mogu producirati svoje ugovorne dokumente kad god tijekom nadzora. Ta obaveza dokumentarnog praćenja kombinira se s GDPR zahtjevima o sigurnoj čuvanju osobnih podataka povezanih sa signaturama (identitet potpisnika, IP adresa, pristanak).

Nadalje, operatori podvrgnuti direktivi NIS2 (preneseni u francuski zakon od 26. listopada 2024.) moraju integrirati provjeru autentičnosti u svoj plan upravljanja cyber rizicima. Falsificirani dokument ili ugrožena signatura predstavlja sigurnosni incident u smislu NIS2, s obvezom obavijesti ANSSI-ju u roku od 24 sata za bitne subjekte.

Elektronička arhivacija kao dokaz: telekomunikacijski imperativ

Trajanje čuvanja ugovora u telekomunikacijama varira ovisno o vrsti dokumenta: 2 godine za ugovore za potrošače (čl. L.224-30 Zakona o zaštiti potrošača), 5 godina za poslovne ugovore (čl. L.110-4 Trgovačkog zakona) i do 10 godina za određene poreske dokumente. Elektronički potpisani dokument mora ostati verificibilan tijekom cijelog tog perioda.

Format PAdES LTV (Long Term Validation) zadovoljava taj zahtjev: umeće u PDF datoteku sve podatke potrebne za budućnu provjeru (certifikate, CRL, vremensku oznaku), čak i nakon isteka originalnog certifikata. Za telekomunikacije, prihvaćanje ovog formata od početka potpisivanja je neprocjenjiva najbolja praksa, koju timovi mogu produbiti konzultirajući naš vodič o elektroničkoj signaturi u poduzeću.

---

Alati i preporučene procedure za telekomunikacijske timove

Uspostavljanje validacijskog procesa pri primitku

Svaki potpisani dokument primljen od vanjskog partnera (davatelja pristupa, oprematelja, pružatelja upravljanih usluga) mora se sistematski validirati prije obrade. Preporučeni proces obuhvaća:

1. Identificiranje formata: PAdES, XAdES ili CAdES ovisno o vrsti dokumenta
2. Provjera certifikata: razina signature (jednostavna/napredna/kvalificirana), izdavač AC, rok isteka
3. Kontrola opoziva: stvarnovremeno savjetovanje CRL popisa ili preko OCSP protokola
4. Validacija integriteta: kontrola kriptografske otiska (hash SHA-256 minimalno)
5. Arhiviranje validacijskog izvještaja: čuvanje SVR na istoj razini kao originalni dokument

Ovaj proces može se integrirati u poslovna sredstva putem API-ja validacije eksponirane od strane platformi povjerenja. Centar pomoći Certyneo nudi vodiče integracije za glavne okoline (Salesforce, SAP, Microsoft 365).

Obuka pravnih i nabavnih timova

Tehnička provjera je potrebna ali nije dovoljna. Pravni i nabavni timovi moraju razumjeti što znači pozitivan ili negativan izvještaj o validaciji i znati reagirati na neispravnu signaturу. Obuka od 2 do 4 sata obično pokriva osnove: razine signature, čitanje DSS izvještaja, postupak osporavanja.

Ključne metrike za praćenje u validacijskom izvještaju:

• TOTAL_PASSED: sve provjere su uspjele — dokument je valjan
• INDETERMINATE: validacija je nemoguća bez informacija (certifikat nije pronađen, OCSP je nedostupan) — tražiti novu verziju od potpisnika
• TOTAL_FAILED: signatura je neispravna ili je dokument modificiran — sustavno odbijanje i obavijest

Integracija provjere u ugovorni due diligence

U operacijama spajanja-preuzimanja ili otuđenja telekomunikacijske imovine, data room-i sadrže tisuće elektronički potpisanih dokumenata. Provjera njihove autentičnosti je sastavni dio pravnog due diligence-a. Specijalizirani pravni timovi koriste alate za masovnu analizu kako bi validirali cijeli korpus u nekoliko sati, gdje bi ručna provjera trajala tjednima.

Pravni okvir primjenjiv na provjeru dokumenata potpisanih u telekomunikacijama

Provjera autentičnosti elektronički potpisanog dokumenta dio je gustog normativnog korpusa, artikuliranog oko europskih i nacionalnih tekstova čija je usvajanja neophodna za aktere telekomunikacijskog sektora.

Regulacija eIDAS br. 910/2014 (i njena revizija eIDAS 2.0): ova regulacija čini temeljnu podlogu za pravnu priznatost elektroničkih signatura u Europskoj uniji. Članak 25 postavlja princip nediskriminacije: elektronička signatura ne može biti odbjena kao dokaz samo zato što je elektronička. Članci 26 (napredna signatura) i 28 (kvalificirana signatura) definiraju najmanje tehničke zahtjeve. Revizija eIDAS 2.0 (Regulacija UE 2024/1183, primjenjiva od 2026.) pojačava zahtjeve interoperabilnosti i uvodi Europski Novčanik Digitalne Identitete (EUDI Wallet), što će izravno utjecati na procese identifikacije u telekomunikacijama.

Francuski građanski zakonik, članci 1366 i 1367: članak 1366 priznaje elektronički dokument kao dokaz na istoj razini kao pisani dokument, pod uvjetom da se autor može pravilno identificirati i da se dokument čuva u uvjetima koji jamče njegov integritet. Članak 1367 definira pouzdanu elektroničku signaturу kao onu koja koristi postupak identifikacije koji jamči njezinu vezu s činom kojem se applikuje. Te odredbe u potpunosti se primjenjuju na telekomunikacijske ugovore.

Norme ETSI: norma ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) i ETSI EN 319 162 (PAdES) definiraju priznatne formate napredne signature. Norma ETSI EN 319 102-1 precizira algoritme validacije. Te norme obavezno implementiraju kvalificirani PSC-ovi koji se pojavljuju na nacionalnim listama povjerenja.

GDPR br. 2016/679: metapodaci povezani s elektroničkom signaturom (IP adresa, vrijeme potpisivanja, podaci identiteta) predstavljaju osobne podatke u smislu GDPR-a. Njihova prikupljanja, čuvanja i obrada moraju biti temeljeni na identificiranoj pravnoj bazi (izvršavanje ugovora, članak 6.1.b) i trebali bi biti predmet definirane razdoblje čuvanja u registru obrade operatora.

Direktiva NIS2 (prenesena u Francusku zakonom br. 2024-1416 od 20. studenog 2024.): telekomunikacijski operatori spadaju u kategoriju bitnih subjekata podvrgnuti NIS2. Moraju uključiti sigurnost procesa potpisivanja i dokumentarne verifikacije u svoju politiku upravljanja cyber sigurnosnim rizicima te obavijestiti o svakom značajnom sigurnosnom incidentu ANSSI u regulatornim rokovima (24h za inicijalni izvještaj, 72h za međuizvještaj).

Dekret br. 2017-1416 od 28. rujna 2017: ovaj tekst pojašnjava uvjete pod kojima se kvalificirana elektronička signatura u francuskom pravu smatra pouzdanom, u skladu s člankom 1367 Građanskog zakonika. Telekomunikacijski operatori koji koriste kvalificiranu signaturу imaju tako zakonsku presumpciju pouzdanosti koja preokreće terete dokazivanja u slučaju spora.

Scenariji upotrebe: dokumentarna verifikacija u telekomunikacijama

Scenarij 1: regionalni operater koji verificira svoje ugovore o međusobnoj povezanosti

Regionalni telekomunikacijski operater koji upravlja oko 3 000 aktivnih ugovora o međusobnoj povezanosti s drugim nacionalnim i međunarodnim operatorima uveo je proces automatiziranu verifikaciju. Prije implementacije, pravni tim od 4 osobe prosječno je trošio 45 minuta po primljenom ugovoru da ručno verificira valjanost potpisa u Adobe Acrobatu. Uz 80 novih ugovora ili dodataka primljenih mjesečno, vrijeme posvećeno toj aktivnosti predstavljalo je oko 60 sati mjesečno.

Nakon integracije API validacije u radni tok primanja dokumenata, verifikacija je sada automatska i traje manje od 3 sekunde po dokumentu. Slučajevi INDETERMINATE ili TOTAL_FAILED pokrenuli bi automatsku upozorenja prema jurističnom predstavniku odgovornom za dotičnog partnera. Dobitak vremena dosegao je 85 %, oslobađajući tim za zadatke veće dodane vrijednosti. Stopa detekcije anomalija (istekli certifikati, neispravne vremenske oznake) porasla je sa 2 % na 7 %, otkrivajući suboptimalne prakse kod pojedinih partnera.

Scenarij 2: podružnica međunarodne telekomunikacijske grupe u fazi due diligence

Tijekom stjecanja podružnice specijalizirane za upravljane usluge namijenjene poduzećima, kupac mora auditirati data room s 8 400 elektronički potpisanih dokumenata kroz 7 godina. Ti dokumenti obuhvaćaju ugovore o uslugama, SLA-ove, sporazume o subkontrakciji i mandate za reprezentaciju.

Pravni revizorski tim koristi alat za masovnu analizu sposoban obraditi cijeli korpus u 4 sata. Završni izvještaj identificira 340 dokumenata s anomalijama signature (istekli certifikati na vrijeme potpisivanja za 180 od njih, ugroženi integritet za 12 kritičnih dokumenata). Ta analiza omogućava kupcu da ponovno pregovara 2,3 % cijene transakcije, opravdane pravnim rizikom povezanom s neispravnim dokumentima. Bez sustavne provjere, te anomalije bi prošle nezapažene i mogle bi stvoriti značajne postakquisition sporove.

Scenarij 3: upravljanje SEPA mandatima za MVNO

Virtualni operater (MVNO) koji upravlja 180 000 abonentima fizičkih osoba prikuplja elektronički potpisane SEPA mandate za cijelu svoju bazu. Ti mandati predstavljaju bitnu ugovornu dokazu u slučaju spora s klijentom koji osporava dvostruku uplatu. SEPA regulacija zahtijeva da se ti mandati čuvaju 14 mjeseci nakon posljednje dvostruke uplate i mogu biti producirani na zahtjev za povrat novca.

Operater je uveo automatsku verifikaciju pri prepisivanju (stvarnovremena kontrola valjanosti signature) i arhivski proces u PAdES LTV formatu koji jamči dugoročnu verificibilnost. Tijekom kampanje internog nadzora, 99,4 % mandate pokazao se valjan i verificibilan. Preostali 0,6 % (mandati potpisani putem nekvalificiranog trećeg pružatelja) ponovno su poslani dotičnim klijentima. Ta razina sukladnosti omogućava operateru da obradi sporove s bankama u rokovima manjim od 48 sati, nasuprot sektorskom prosjeku od 5-7 dana.

Zaključak

Provjera autentičnosti elektronički potpisanog dokumenta u telekomunikacijskom sektoru je pristup koji kombinira tehničku strogoću, pravnu usvajanja i operativnu automatizaciju. Rizici su značajni: ugovorna valjanost, regulatorna sukladnost ARCEP i NIS2, zaštita od dokumentarne prijevare i učinkovitost pravnih timova. Metode postoje — od ručne provjere u čitaču PDF-a do kvalificiranih API-ja validacije u stvarnom vremenu — i trebale bi biti odabrane ovisno o volumenima obrađenih i razini rizika povezanoj sa svakim tipom dokumenta.

Certyneo prati telekomunikacijske operatore i njihove partnere u uspostavljanju radnih tokova potpisa i provjere u skladu s eIDAS, s nativnom integracijom u glavne telekomunikacijske SI. Kako bi evaluali rješenje i izračunali očekivani povrat ulaganja za vašu organizaciju, posjetite naš kalkulator ROI elektroničke signature ili kontaktirajte naše stručnjake za audit vaših trenutnih dokumentarnih procesa.