Elektronički potpis u financijama: usklađenost 2026
Financijski sektor se suočava s rastućim regulatornim zahtjevima u pogledu elektroničkog potpisa. Saznajte kako uskladiti operativnu učinkovitost s eIDAS, DORA i GDPR usklađenošću do 2026.
Équipe éditoriale Certyneo
Urednik — Certyneo · O Certyneu

Uvodnja
Financijski sektor je jedno od najreguliranih okruženja na svijetu, a dematerijalizacija dokumenata nije izuzetak od te stvarnosti. Do 2026. godine, elektronički potpis u financijskom sektoru i regulatorna usklađenost su neodvojivi: između obnovljene uredbe eIDAS, uredbe DORA koja je stupila na snagu u siječnju 2025., GDPR-a i zahtjeva ACPR-a, bankarskim ustanovama, društvima za upravljanje imovinom, osigurateljima i fintechima trebate se kretati u gustom normativnom okviru. Ovaj članak vas vodi kroz primjenjive obveze, razine potpisa potrebne za različite akte te najbolje prakse za primjenu usklađenog rješenja bez žrtvovanja fluidnosti operacija.
---
Zašto je elektronički potpis strateški u financijama
Financijske ustanove generiraju značajne količine dokumenata: ugovore o otvaranju računa, mandate za upravljanje, kreditne konvencije, anekse osiguranja, prospekte zaduživanja, anekse hipoteke. Prema konzultantskoj kući McKinsey, potpuna dematerijalizacija dokumentarnih procesa u financijama može smanjiti operativne troškove za 20 do 35% i četiri puta skratiti vremenske periode obrade dosijea.
Ali izvan produktivnosti, elektronički potpis ispunjava specifičke regulatorne imperativne financijskog sektora:
- Evidentiranja obveza: članak L. 533-11 Kodeksa o novcu i financijama obvezuje pružatelje investicijskih usluga da čuvaju svu ugovornu dokumentaciju na način koji je nepogrešiv i dostupan.
- Identifikacija klijenta (KYC): antipraotvorne obveze (5. direktiva AML, preuređena uredbom 2020-1342) traže snažnu provjeru identiteta potpisnika.
- Arhiviranje kao dokaz: čuvanje s pravnom vrijednosti potpisa elektronički potpisanih dokumenata mora biti u skladu s normama NF Z 42-013 i zahtjevima ACPR-a u pogledu vremenskog čuvanja.
Da biste razumjeli temelje pravne vrijednosti elektroničkog potpisa, bitno je razlikovati tri razine definirane eIDAS-om prije primjene boljeg rješenja na svaki akt.
Tri razine potpisa prema eIDAS-u u financijama
Uredba eIDAS br. 910/2014 (i njezina evolucija eIDAS 2.0, postepeno se primjenjuje od 2024.) razlikuje tri razine elektroničkog potpisa, čija je relevantnost različita ovisno o pravnoj prirodi financijskog akta:
1. Jednostavni elektronički potpis (SES): prikladan za dokumente redovitog upravljanja, potvrde primitka, klijentske korespondencije ili interne obrasce niskog rizika. Ne osigurava identitet potpisnika s visokom razinom sigurnosti.
2. Napredni elektronički potpis (SEA): zahtijeva jedinstveanu vezu s potpisnikom, identifikaciju potonjeg i otkrivanje sve kasnije izmjene. Odgovarajuće je za mandate SEPA, konvencije računa, ugovore o osobnom kreditu standard.
3. Kvalificirani elektronički potpis (SEQ): temelji se na kvalificiranom certifikatu izdanom od strane verifikovanog pružatelja usluga povjerenja (TSP) na listi povjerenja Europe (Trusted List). Samo on ima istu vrijednost kao ručni potpis prema pravu Unije. SEQ je neophodno za dematerijalizirane notarske akte, hipoteke ili određene bankarske garancije.
Za detaljnu analizu zahtjeva eIDAS 2.0 primjenjiv na vaš sektor, pogledajte naš detaljan vodič o uredbi eIDAS.
---
DORA i utjecaj na upravljanje digitalnom dokumentacijom
Uredba DORA (Digital Operational Resilience Act, EU 2022/2554), stupila na snagu 17. siječnja 2025., uvodi neusporediv okvir za operativnu otpornost finansijskih entiteta. Primjenjuje se na banke, osiguravajuće kompanije, društva za upravljanje, središnje protustrane, trgovačke platforme i davatelje usluga kriptografije.
Što DORA konkretno nameće
DORA se ne tiče izravno elektroničkog potpisa, ali njegove odredbe imaju izravne posljedice na izbor i reviziju rješenja elektroničkog potpisa koju koriste financijski sudionici:
- Članak 28 DORA: financijski entiteti moraju sklopiti ugovore s ICT pružateljima (od kojih su urednici elektroničkog potpisa) osiguravajući da potonji ispunjavaju definirane razine usluge, sigurnosti i kontinuiteta. Ugovori s kritičnim pružateljima trebaju sadržavati klauzule povratne mogućnosti i revizije.
- Članak 30 DORA: pravo na reviziju nadležnih vlasti mora biti osigurano ugovorno prema trećim stranama.
- Upravljanje ICT rizicima (članci 5 do 15): proces elektroničkog potpisa mora biti mapiran kao kritična ili važna funkcija s pridruženim planom kontinuiteta.
Praktično, bankarsku ustanovu koja koristi SaaS rješenje elektroničkog potpisa trebate osigurati da njen dobavljač može pružiti izvještaje o reviziji, osigurati dostupnost veću od 99,9% i poštovati zahtjeve za lokalizaciju podataka (data residency u EU).
Artikulacija DORA / eIDAS / GDPR
Tri regulacije se slažu bez proturječenja:
- eIDAS definira pravnu vrijednost potpisa i tehničke zahtjeve TSP-a.
- DORA nameće otpornost i upravljanje rizicima povezanim s digitalnim pružateljima.
- GDPR štiti osobne podatke obrađene tijekom procesa potpisivanja (identitet, IP adresa, biometrika ponašanja za autentifikaciju).
Artikulacija tih triju okvira nameće voditelje usklađenosti i CIO-ima da provedu duboku provjeru pri izboru svog rješenja. Naša usporedba rješenja elektroničkog potpisa može vam pomoći vrednovati relevantne kriterije za financijski sektor.
---
Specifični sektorski zahtjevi: ACPR, AMF i direktiva MIF II
Izvan europske osnove, francuski financijski sudionici moraju poštovati sektorske zahtjeve koje izdaju nacionalni i europski regulatori.
Pozicija ACPR-a o dematerijalizaciji
Autoritet za kontrolu i otpornost (ACPR) je pojačao u nekoliko preporuka (posebno sua pozicija 2013-P-02 o komercijalnoj prodaji elektroničkim putem i njena naknadna ispravljanja) da elektronički potpis ugovora o životnom osiguranju, zaštiti ili bankaassurance mora:
- Biti povezan s procesom provjere identiteta u skladu s uredbom 2017-1416 o elektroničkom potpisu.
- Biti praćen predkonktraktnom informacijom dematerijalizanom dostavljenom prije potpisa.
- Biti čuvan u siguran arhivski sustav minimalno 10 godina nakon završetka ugovora.
MIF II i dokumentiranje upraviteljskih mandata
Direktiva MIF II (2014/65/EU, implementirana u francusko zakonodavstvo) obvezuje društva za upravljanje i savjetnike za investicije da dokumentiraju potpuno klijentsku relaciju. Elektronički potpis upraviteljskih mandata, MIF profilnih upitnika i pisama o rizicima mora pružiti puno bilježenje: verificiranog vremenskog oznaka, identiteta potpisnika, integriteta dokumenata.
Kvalificirani elektronički vremenski oznaka čini neophodni dodatak potpisu u ovom kontekstu: on utvrdj nepriklonjivo dokaz datuma i vremena potpisa, ključnog u slučaju spora o prioritetu obveze.
Borba protiv pranja novca i provjera identiteta
- direktiva AML (AMLD6), čija je implementacija u francusko zakonodavstvo očekivana prije sredine 2025., pojačava obveze dužne pažnje. Korištenje elektroničkog potpisa u potpuno dematerijalizovanoj KYC putanji je sada moguće pod uvjetima:
- Korištenje visoke razine sigurnosti (LoA High) za identifikaciju, u skladu s eIDAS 2.0 referencijom.
- Provjera autentičnosti dokumenata identiteta od strane akreditiranog pružatelja (prepoznavanje AI tehnologije za verifikaciju dokumenata u okviru uredbe o AI Aktu).
- Čuvanje dokaza identiteta tijekom potrebnog vremenskog razdoblja (5 godina nakon završetka poslovnog odnosa).
---
Primjena usklađenog rješenja elektroničkog potpisa u financijama: praktični vodič
Primjena rješenja elektroničkog potpisa u financijskoj instituciji trebala bi slijediti strukturiranu metodologiju koja osigurava usklađenost, sigurnost i prihvaćanje korisnika.
Korak 1 — Mapiranje dokumentarnih tokova i definiranje potrebnih razina
Počnite pregledom postojećih dokumentarnih procesa. Klasificirajte svaku vrstu dokumenata prema tri osi: pravni rizik, regulatorni zahtjev i učestalost. Ova matrica kritičnosti vam omogućava dodijeliti dobru razinu potpisa (jednostavna, napredna ili kvalificirana) svakom toku, izbjegavajući skupu nad-inženjeringu ili rizičnu pod-zaštitu.
Korak 2 — Odabir kvalificiranog pružatelja kompatibilnog s DORA-om
Vaš dobavljač mora biti na listi povjerenja Europe (za SEQ), imati ISO 27001 certifikaciju i infrastrukturu hostiranu u Europskoj uniji. On mora biti u mogućnosti pružiti SOC 2 Type II izvještaj ili ekvivalent da zadovolji zahtjeve revizije DORA. Ugovorni klauzuli trebaju izričito predvidjeti pravo revizije, dostupnost SLA-a i modalitete povratne mogućnosti.
Korak 3 — Integracija potpisa u digitalne klijentske putanje
Korisnički sučelje je ključan čimbenik prihvaćanja. Dobro integrirana rješenja za potpis putem API REST u vašem CRM-u, alatima za upravljanje portfeljem ili platformi zaduživanja smanjuje trenja i ograničava napuštanja. Za institucije koje migriraju s postojećeg rješenja, naša ponuda migracije u Certyneo omogućava prelazak bez prekida operativnih tokova.
Korak 4 — Primjena dokaza arhiviranja
Samo potpis nije dovoljno: datoteka dokaza (dnevnik revizije, certifikat potpisa, vremenski oznaka, dokazi identiteta) trebala bi biti arhivirana u sustavu koji je sukladan normi NF Z 42-013 i normi ETSI EN 319 162 za kvalificirane depozitne usluge. Ovo arhiviranje mora biti dostupno i čitljivo tijekom cijelog vremenskog perioda zakonskog čuvanja primjenjivo na svaku kategoriju dokumenata.
Pravni okvir primjenjiv na elektronički potpis u financijskom sektoru
Osnovni europski tekstovi
Uredba eIDAS br. 910/2014 (i njezina evolucija eIDAS 2.0 putem uredbe EU 2024/1183): ovaj tekst predstavlja temeljni kamen elektroničkog potpisa u Europi. On definira tri razine potpisa (jednostavni, napredni, kvalificirani), uspostavlja sustav uzajamnog priznanja kvalificiranih davatelja usluga povjerenja (TSP) i postavlja načelo ekvivalencije kvalificiranog potpisa s ručnim potpisom. Njegov članak 25 izjavljuje da kvalificirani elektronički potpis ima istu pravnu vrijednost kao ručni potpis.
Građanski zakonik, članci 1366 i 1367: članak 1366 priznaje pravnu vrijednost elektroničkog pisma pod uvjetom da je njegov autor pravilno identificiran i da je integritet dokumenata osiguran. Članak 1367 definira uvjete valjanosti elektroničkog potpisa u francuskom pravu, upućujući na uredbu 2017-1416 za tehničke modalitete.
Uredba br. 2017-1416 od 28. rujna 2017: ovaj tekst pojačava tehničke zahtjeve primjenjive na elektronički potpis u Francuskoj, u skladu s eIDAS-om. Joj postavlja pretpostavku pouzdanosti za potpise temeljene na kvalificiranom uređaju za stvaranje potpisa.
Regulatorne financijske norme sektora
Uredba DORA (EU 2022/2554): primjenjiva od 17. siječnja 2025., nameće financijskim entitetima strogog upravljanja rizicima vezanim uz dobavljače ICT usluga, uključujući dobavljače rješenja elektroničkog potpisa. Članci 28 do 30 definiraju minimalne ugovorne zahtjeve prema kritičnim trećim stranama.
Kodeks o novcu i financijama, članak L. 533-11: obvezuje davatelje usluga investicija da čuvaju kompletan dokumentarnu dokumentaciju na način koji omogućava rekonstrukciju razmjena i obveza.
Direktiva MIF II (2014/65/EU) i njezini delegirani akti: traže cjelokupnu i dostavljenu dokumentaciju klijentske relacije, posebno za mandate za upravljanje i procjene prikladnosti.
5. i 6. direktive AML (implementirane uredbom 2020-1342 i njenim primjenjivim tekstima): pojačavaju obveze provjere identiteta u dematerijalizovanim putanjama.
Primjenjive tehničke norme
- ETSI EN 319 132: tehnička norma za formate naprednog elektroničkog potpisa (XAdES, CAdES, PAdES).
- ETSI EN 319 162: o kvalificiranim elektroničkim depozitnim uslugama.
- NF Z 42-013: francuska norma o sustavima elektroničkog arhiviranja s dokaznom vrijednosti.
- ISO 27001: referentna certifikacija u informacijskoj sigurnosti za davatelje usluga.
Pravni rizici u slučaju neusklađenosti
Financijska institucija koja koristi neprikladan elektronički potpis (razina sigurnosti nedovoljna s obzirom na potpisani akt) izlaže se nekoliko rizicima: ništavost ugovora ili neupotrebljivost potpisa u slučaju spora, administrativne sankcije ACPR-a ili AMF-a koje mogu dosegnuti nekoliko milijuna eura, angažiranost civilne odgovornosti institucije i ošteta komercijalnoj reputaciji. GDPR usklađenost mora biti osigurana: obrada biometrijskih ili identitetnih podataka tijekom dematerijalizovane KYC putanje zahtijeva izričitu pravnu osnovu i prethodnu analizu utjecaja (AIPD).
Konkretni scenariji korištenja u financijskom sektoru
Scenarij 1 — Zaključivanje životnog osiguranja u bankarskoj mreži
Bankaassurance mreža koja se bavi oko 15 000 zaključivanja životnog osiguranja godišnje je dematerijalizirala cijelu putanju zaključivanja klijenta. Ranije je svaki dosije zahtijevao poštanski odlazak i povratak te prosječan vremenski period od 8 do 12 radnih dana prije prikupljanja klijentskog potpisa. Nakon primjene rješenja naprednog elektroničkog potpisa integriranog u CRM-u savjetnika, s OTP posilanjem (One-Time Password) na klijentski mobilni za pojačanu autentifikaciju, vremenski period potpisa je smanjen na manje od 24 sata u 87% slučajeva. Stopa napuštanja zaključivanja smanjila se za 23%, i troškovi za ispisivanje, slanje i upravljanje fizičkim arhivima smanjeni su oko 65%. Datoteka dokaza (certifikat potpisa, vremenski oznaka, dnevnik revizije) automatski se arhivira u digitalni trezor usklađen s NF Z 42-013 za vremenski period od 10 godina nakon gašenja ugovora, u skladu s zahtjevima ACPR-a.
Scenarij 2 — Mandate za upravljanje i MIF II dokumentacija u društvu za upravljanje
Društvo za upravljanje portfeljem koje upravlja privatnom klijentskom bazom od oko 800 klijenata mora godišnje obnavljati mandate za upravljanje, MIF profilne upitnike i pisma o rizicima. Ovaj proces historijski je predstavljao administrativnog tereta od 3 do 4 radna tjedna godišnje, s ručnim praćenjem podsjetnika i visokim rizikom od nepotpisanih mandata na vrijeme. Nakon integracije rješenja naprednog elektroničkog potpisa putem API-ja u svoj sustav upravljanja portfeljem, s automatiziranim tokom podsjetnika i nadzornom pločom praćenja u realnom vremenu, društvo je skratilo ciklus obnavljanja sa 28 dana na prosječno 4 dana. Stopa završetka mandata prije roka regulatorna je porasla sa 74% na 98%. Automatsko arhiviranje potpisanih datoteka s kvalificiranim vremenskim oznakom pruža detaljnu putanju revizije u slučaju AMF kontrole bez dodatne ručne obrade.
Scenarij 3 — Potpuno dematerijalizirana KYC putanja u fintech kreditnoj platformi
Fintech specijaliziran za potrošnjene kredite na mreži je dizajnirao 100% digitalnu putanju otvaranja odnosa, od provjere identiteta (skeniranje dokumenta identiteta + provjera biometrije žive liveness-a) do potpisivanja kreditne ponude. Izbor naprednog elektroničkog potpisa s pojačanom identifikacijom (usklađen sa značajnom razinom sigurnosti eIDAS-a) omogućio je zadovoljavanje zahtjevima 5. direktive AML, dok se održala fluidna putanja, završena za manje od 10 minuta prosječno. Stope konverzije su napredovale 18 bodova naspram prethodne hibridne papirne putanje. Svi prikupljeni identiteti podaci su šifrirani i pohranjeni u infrastrukturu hostiranu u Francuskoj, s politikom zadržavanja od 5 godina nakon završetka poslovnog odnosa, u skladu s LCB-FT obvezama. Davatelj usluge potpisa je pružio DORA-kompatibilne ugovorne klauzule potrebne za kategorizaciju dobavljača i upravljanje rizikom koncentracije.
Zaključak
Do 2026. godine, elektronički potpis u financijskom sektoru nije više tehnološka mogućnost: on je operativna i regulatorna obveza. Između eIDAS 2.0, DORA, zahtjeva ACPR-a, AMF-a i direktiva AML, institucije koje nisu osigurale svoje dokumentarne procese izlažu se najvećim pravnim, financijskim i reputacijskim rizicima. Ispravna razina potpisa, kvalificirani dobavljač kompatibilan s DORA-om, robusno dokaze arhiviranja i fluidna integracija u klijentske putanje: to su četiri stupa usklađene i performantne dokumentarne strategije.
Certyneo je dizajniran da ispuni precizne zahtjeve financijskog sektora: suverena infrastruktura hostirana u Francuskoj, usklađenost eIDAS i DORA, cjelovita revizija i robustan API. Otkrijte naše cijene i započnite besplatnu probnu verziju danas, ili procijenite vašu povrat na ulaganje koristeći naš posvećeni alat.
Isprobajte Certyneo besplatno
Pošaljite vašu prvu omotnicu potpisa za manje od 5 minuta. 5 besplatnih omotnica mjesečno, bez kreditne kartice.
Dublje razumijevanje teme
Naši sveobuhvatni vodiči za savladavanje elektroničkog potpisivanja.
Preporučeni članci
Proširite svoje znanje sa članicima povezanim sa ovom temom.

Certifikacija ISO za elektronički potpis: vodič za 2026.
ISO 27001, eIDAS, ETSI… certifikacije davatelja usluga elektroničkog potpisa postale su neizbežan kriterij izbora. Saznajte kako ih učinkovito uspoređivati.

Comparatif Skribble vs Oodrive : quelle solution choisir en 2026
Skribble ili Oodrive? Odkrijte našu stručnjačku analizu dviju platformi za elektronički potpis kako biste odabrali rješenje most u skladu s vašim B2B potrebama u 2026.

Signatura elektronska cloud ili on-premise: koji izbor u 2026?
Cloud SaaS ili on-premise implementacija: izbor pohrane vaše rješenja za elektronsku signaturu utječe na sigurnost, troškove i sukladnost eIDAS-u. Otkrij našu stručnu analizu.