Kako funkcionira elektronski podpis v letu 2026

Uvod

Elektronski podpis je danes v srcu digitalne transformacije podjetij: v letu 2025 je več kot 70 % velikih evropskih organizacij elektronski podpis integriralo v najmanj en pogodbeni proces (vir: Gartner, Digital Process Automation Survey 2025). Vendar je malo odločevalcev, ki natančno razumejo mehanizme, ki ga naredijo pravno veljaven in tehnično neponarejljiv. Razumevanje kako tehnično funkcionira elektronski podpis — kriptografija, PKI, certifikati — omogoča izbiro prave rešitve, zmanjšanje pravnih tveganj in pospešitev notranjega sprejetja. Ta članek vas vodi, korak za korakom, skozi tehnično arhitekturo in standarde, ki urejajo elektronski podpis v letu 2026.

---

Kriptografske osnove elektronskega podpisa

Elektronski podpis temelji na dokazanih kriptografskih primitivih. Razumevanje mehanizmov pomeni razumevanje, zakaj je bolj zanesljiv od skenirane ročno napisane podpisa.

Asimetrična šifracija: javni in zasebni ključ

Temeljni princip je asimetrična kriptografija, izumljena v sedemdesetih letih prejšnjega stoletja in standardizirana z algoritmi, kot sta RSA (Rivest–Shamir–Adleman) ali eliptične krivulje (ECDSA). Vsak podpisnik ima dva matematično povezana ključa:

• Zasebni ključ: varnostno hranjen pri podpisancu na varnem naprave (pametna kartica, HSM žeton ali zaščiteni programski modul). Služi za ustvarjanje podpisa.
• Javni ključ: prosto razširjen, vključen v digitalni certifikat. Služi za preverjanje podpisa.

Varnostni princip temelji na računski asimetriji: matematično je trivialno preveriti podpis z javnim ključem, vendar je praktično nemogoče obnoviti zasebni ključ iz javnega ključa (problem diskretnega logaritma ali faktorizacije velikih celih števil).

Zgoščevalne funkcije: digitalni odtis dokumenta

Pred podpisom sistem izračuna kriptografski odtis dokumenta z zgoščevalno funkcijo (SHA-256 ali SHA-3 v letu 2026). Ta odtis, imenovan hash ali povzetek, je niz znakov fiksne dolžine (256 bitov za SHA-256), ki edinstveno predstavlja vsebino dokumenta.

Bistvena lastnost: sprememba samo enega znaka dokumenta produce radikalno drugačen hash. To je tisto, kar zagotavlja integriteto podpisanega dokumenta: katerakoli poznejša sprememba dokumenta je takoj zaznana.

Elektronski podpis je torej šifriranje tega heša z zasebnim ključem podpisanca. Pri preverjanju prejemnik:

1. Dešifrira podpis z javnim ključem, da najde prvotni heš;
2. Sam ponovno izračuna heš prejete dokumente;
3. Primerja oba: če sta enaka, je podpis veljaven.

---

Infrastruktura javnih ključev (PKI): veriga zaupanja

Samo kriptografija ni dovolj: dokazati je treba tudi, da javni ključ dejansko pripada osebi, ki to trdi. To je vloga PKI (Public Key Infrastructure) — ali Infrastrukture za javne ključe.

Certifikacijske oblasti (CA)

Certifikacijska avtoriteta (AC ali CA) je akreditiran tretni strokovnjak, ki izdaja digitalne certifikate. Digitalni certifikat je standardizirana datoteka (format X.509), ki vsebuje:

• Identiteto imetnika (ime, organizacija, e-pošta);
• Njegov javni ključ;
• Obdobje veljavnosti;
• Digitalni podpis same CA.

V Evropi so kvalificirane CA navedene na Trusted Lists, ki jih objavljajo vsa država članica EU v skladu z uredbijo eIDAS. V Franciji to listo objavlja in vzdržuje ANSSI. Kvalificirani ponudniki storitev zaupanja (QTSP) — kot so CertSign, Certigna ali Universign — so podvrženi rednim revizijam v skladu s standardom ETSI EN 319 401.

Veriga certifikacije in preklicevanje

PKI deluje po hierarhičnem modelu:

• Osnovna CA (Root CA), samopotrjena, hranjena brez povezave v pogojih največje fizične varnosti;
• Vmesne CA, ki izdajajo certifikate končnih uporabnikov.

Preklicevanje certifikatov je kritičen mehanizem: če je zasebni ključ vpliven, CA objavi njegovo neveljavnost s CRL (Certificate Revocation List) ali s protokolom OCSP (Online Certificate Status Protocol), kar omogoča preverjanje v realnem času.

Za kvalificirani elektronski podpis v smislu eIDAS mora biti zasebni ključ ustvarjen in hranjen v QSCD (Qualified Signature Creation Device) — certificiranem strojenju CC EAL4+ ali višjem, kot je pametna kartica ali HSM (Hardware Security Module).

---

Trije nivoji podpisa v skladu z eIDAS

Evropska uredba eIDAS št. 910/2014 (in njena razvoj eIDAS 2.0 v teku) opredeljuje tri nivoje podpisa, od katerih vsak temelji na naraščajočih tehničnih garancijah. Za poglobljeni vpogled v ta regulatorni okvir si oglejte naš celovit vodnik po uredbici eIDAS.

Preprost elektronski podpis (SES)

Preprost podpis je tehnično najmanj zahtevna oblika. Lahko je tako osnovna kot izbira polja, koda OTP (One-Time Password), poslana po SMS, ali slika ročno napisane podpisa. Ne vključuje nujno kvalificiranega certifikata.

Tipična uporaba: potrditev ponudb, soglasja za trženje, pogodbe z majhnim tveganjem.

Tveganje: omejena dokazna vrednost v primeru sodno sporne. Dokazno breme je pri tistem, ki se sklicuje na podpis.

Napredni elektronski podpis (AdES)

Napredni podpis izpolnjuje štiri natančne tehnične zahteve (27. člen eIDAS):

1. Je enolično povezan s podpisancem;
2. Omogoča identifikacijo podpisanca;
3. Je ustvarjen s podatki, ki jih ima podpisanec izključno pod nadzorom;
4. Omogoča zaznavanje katere koli poznejše spremembe dokumenta.

V praksi to pomeni uporabo osebnega digitalnega certifikata in robusten mehanizem avtentifikacije. Standardi so opredeljeni od ETSI: PAdES (za PDF), XAdES (XML), CAdES (binarni podatki) in JAdES (JSON), vsi normizirani v seriji ETSI EN 319 100.

Kvalificirani elektronski podpis (QES)

Kvalificirani podpis je najvišja raven. Zahteva:

• Kvalificiran certifikat, izdan od QTSP s akreditacijo eIDAS;
• QSCD za ustvarjanje podpisa.

Uživa pravno domnevo zanesljivosti in pravno enakovrednost ročnemu podpisu v celotni Evropski uniji (25. člen eIDAS). To je raven, potrebna za elektronske avtentične listine, nekatere notarske listine ali občutljive javne naročevalsce.

Naš primerjalni seznam rešitev za elektronski podpis analizira praktične razlike med temi nivoji, da vam pomaga pri izbiri.

---

Celoten proces elektronskega podpisa korak za korakom

Evo, kako se konkretno dogaja transakcija elektronskega podpisa na SaaS platformi, kot je Certyneo:

Korak 1: Priprava in pošiljanje dokumenta

Iniciator podpisa naloži dokument (pogodbo, spremembo, naročilnico) na platformo. Sistem takoj ustvari heš SHA-256 prvotne datoteke, časovno označen in shranjen na nespremenljiv način. Ta odtis bo v prihodnosti služil kot referenca za vsakršno preverjanje.

Korak 2: Avtentifikacija podpisanca

Odvisno od izbrane ravni podpisa se avtentifikacija razlikuje:

• SES: e-pošta + povezava za podpis;
• AdES: krepka avtentifikacija (OTP SMS, mobilna aplikacija FIDO2);
• QES: preverjanje istovetnosti pred to (osebno ali preko videa IDV), izdaja kvalificiranega certifikata za enkratno ali trajno uporabo.

Korak 3: Ustvarjanje kriptografskega podpisa

Podpisanec sproži dejanje podpisa. Platforma (ali QSCD):

1. Izračuna heš dokumenta;
2. Šifrira ta heš s podpisancevim zasebnim ključem;
3. Vključi podpis in certifikat v dokument (PDF podpisan v obliki PAdES-LTV za dolgoročno konservacijo).

Korak 4: Kvalificirani časovni žig

Kvalificirana storitev časovnega žiga (TSA) v skladu s standardom RFC 3161 naloži timestamp kriptografske, kar dokazuje, da je bil podpis v obstoju v točnem trenutku. To varuje pred prikrivanjem datuma in zagotavlja dokazno vrednost v času — tudi če se certifikat podpisanca pozneje iztečeta.

Korak 5: Revidirani arhiv

Podpisani dokument je arhiviran s popolnim revizijskim sledi: identiteta podpisanca, IP naslov, časovni žig, heš dokumenta, uporabljeni certifikati. Ta dokumentacijska mapa (audit trail) je bistvena v primeru sporne sodbe. Rešitve, ki ustrezajo eIDAS, vzdržujejo te dokazne podatke v obliki PAdES-LTV (Long-Term Validation), ki vključuje podatke za preverjanje veljavnosti, ki omogočajo preverjanje let po podpisu.

Za razumevanje, kako integrirati ta proces v vaše HR tokove, odkrijte našo rešitev za elektronski podpis v kadrovskih zadeva in našo zbirko predlog pogodb na prenos.

Pravni okvir, ki je primeren za elektronski podpis

Elektronski podpis je vpisan v večplastni normativi okvir, ki povezuje nacionalno civilno pravo in usklajeno evropsko pravo.

Francoski civilni zakonik

Člen 1366 Francoske civilnega zakonika postavlja temeljni princip: »Elektronski dokument ima enako dokazno vrednost kot dokument na papirnem nosilcu, pod pogojem, da je mogoče pravilno identificirati osebo, iz katere izvirа, in da je vzpostavljena in ohranjena na način, ki zagotavlja njeno integriteto.« Člen 1367 pojasnjuje, da je elektronski podpis »uporaba zanesljive metode identifikacije, ki zagotavlja njeno povezavo z dejanjem, ki se nanj veže«.

Odlok št. 2017-1416 z dne 28. septembra 2017 opredeljuje domnevo zanesljivosti za kvalificirane in napredne podpise, ki se ujemajo z eIDAS.

Uredba eIDAS št. 910/2014

Temeljni kamen evropskega prava digitalnega zaupanja, uredba eIDAS (electronic IDentification, Authentication and trust Services) vzpostavlja poenoten pravni okvir za elektronske podpise, elektronske pečate, kvalificirani časovni žig, storitve priporočene pošiljke in certifikate za avtentifikacijo spletnih strani. Njegov člen 25, odstavek 2, podeli kvalificiranemu podpisu pravno domnevo enakovrednosti s ročnim podpisom v celotni EU.

Uredba eIDAS 2.0 (prenos v teku do 1. četrtine 2026) krepi te določbe z evropskim digitalni identitetnim denarnico (EUDIW) in razširja obveznosti na finančne storitve in zdravstvo.

Standardi ETSI

Oblike podpisov so standardizirane od ETSI:

• ETSI EN 319 132 (XAdES), EN 319 122 (CAdES), EN 319 102 (PAdES) določajo tehnične profile naprednih in kvalificiranih podpisov;
• ETSI EN 319 421 ureja politike kvalificiranih storitev časovnega žiga.

GDPR in zaščita podatkov

Obdelava podatkov osebne identifikacije v okviru elektronskega podpisa (ime, e-pošta, biometrija za preverjanje istovetnosti) je podvržena GDPR št. 2016/679. Upravljavci morajo: imeti pravno podlago (zakoniti interes ali izvedba pogodbe), применiti načelo minimizacije podatkov in zagotoviti varnost z ustreznimi tehničnimi ukrepi (šifriranje, psevdonimizacija).

Direktiva NIS2

Direktiva NIS2 (2022/2555/UE), prensena v francosko pravo oktobra 2024, nalaga operatorjem bistvenih storitev in ponudnikom digitalne storitve (vključno s ponudniki elektronskega podpisa) okrepljene obveznosti na področju kibernetske varnosti, upravljanja tveganj in prijavlja incidentov v 24 urah. Neupoštevanje je izpostavljeno kazni do 10 milijonov evrov ali 2 % svetovnega prometa.

Praktični scenariji uporabe elektronskega podpisa

Scenarij 1: Pisarna poslovnih pravnikov avtomatizira podpis pooblastil

Pisarna poslovnih pravnikov z dobrimi ducat sodelavci je v povprečju obravnavala 120 pooblastil za zastopanje na mesec. Postopek na papirju je vključeval tiskanje, pošiljanje po pošti ali osebno dostavo ter nato skeniranje vrnjennih dokumentov — kar je povzročilo povprečno zamudo 4,5 delovnega dneva na zadevi in ​​ocenjeno stopnjo izgube dokumentov 8 %.

Z uvedbo naprednega elektronskega podpisa (AdES) z avtentifikacijo OTP je pisarna skrajšala čas za podpis na manj kot 4 ure, zmanjšala stopnjo dokumentarne anomalije na manj kot 1 % in prihranila približno 2.200 € letno pri poštnih in tiskanje stroških. Samodejno ustvarjeni revizijski sled je poenostavljel tudi dve postopki sporne moči pooblastila, zagotovljiv nesporno dokazano časovno označeno. Odkrijte našo rešitev za pravne pisarne.

Scenarij 2: Mala industrijska družba digitalizira pogodbe s svojimi dobavitelji

Mala industrijska družba, ki upravlja približno 200 dobavitelnih pogodb letno (splošni pogoji nabave, cenovna spremembe, NDA) je trpela zamude pri podpisu, ki so lahko presegale tri tedne za pogodbe preko meja s partnerji iz Nemčije in Španije. Razlike v pravnih sistemih in pomanjkanje medsebojne priznanosti so upočasnile pogajanja.

Z uvedbo kvalificiranega podpisa (QES), izdanega od QTSP s certifikacijo eIDAS, priznanega v vseh treh državah, je mala družba imela samodejno pravno priznanost v vseh treh državah brez dodatne legalizacije. Povprečna zamuda mednarodno podpisani transakcije je padla s 18 dni na 2,5 dneva. Elektronski podpis v podjetju podrobno opisuje te koristi za nabavne ekipe.

Scenarij 3: Bolnišnična skupina varuje premišljeno privolitev pacientov

Bolnišnična skupina s približno 800 posteljami je morala zbirati premišljeno privolitev pacientov za protokole klinične raziskave. Upravljanje na papirju je ustvarilo tveganja skladnosti GDPR (dokumenti slabo arhivirani, datumi neusledljivi) in mobilizirala medicinsko osebje za upravne naloge.

Z integracijo preprostega elektronskega podpisa z identifikacijo prek SMS kode — dovolj za dejanja brez zahteve za kvalificirani podpis — je bolnišnična skupina avtomatizirala zbiranje, arhiviranje in sledljivost privolitvi. Upravljalni čas na pacienta je padel z 12 minut na manj kot 2 minuti, kar je osvobodilo približno 800 medicinskih ur letno. Vsi dokumenti so arhivirani s kvalificiranim časovnim žigom, v celoti izpolnjujući zahteve CNIL. Istražite našo rešitev za podpis v zdravstvu.

Zaključek

Razumevanje kako tehnično funkcionira elektronski podpis — od asimetrične kriptografije do PKI, od kvalificiranih certifikatov do dokazanega časovnega žiga — je nujno za sprejemanje premišljenih odločitev glede skladnosti in operativne učinkovitosti. Trije nivoji eIDAS (preprost, napredni, kvalificirani) naslovijo različne potrebe, in izbira mora biti vedno vodena z analizo pravnega tveganja in pričakovane dokazne vrednosti.

Certyneo vas spremlja pri tej tranziciji z SaaS platformo, ki je skladna z eIDAS, akreditivanimi QTSP in poenostavljeno integracijo v vaše obstoječe procese. Ocenite potencialne dobitke za vašo organizacijo z našim kalkulatorjem ROI za elektronski podpis ali začnite neposredno s pregledom naših ponudb in cen. Skladnost in učinkovitost nista več kompromis.