Пут провере Електронског потписа: Водич за 2026. годину

Увод: зашто је пут провере неодвојив од електронског потписа

Од ступања на снагу правилника eIDAS 2016. године и његове еволуције ка eIDAS 2.0, питање дигиталног доказа је постало централно за сваку организацију која користи електронски потпис. Пут провере — или аудит траил — представља хронолошки и неизмењив регистар сваког корака у процесу потписивања. Одговара на фундаментално питање: у случају спора, можете ли безаман доказати да је ваш потписник заиста пристао на овај документ, у овом тренутку, са овог терминала који је идентификован? Овај водич детаљно објашњава структуру, законске захтеве и добра праћка путање провере за 2026. годину.

---

Шта је пут провере у електронском потписивању?

Дефиниција и суштински елементи

Пут провере (аудит траил) је временски означени, структурирани и криптографски заштићени дневник ereignостей који прати читав животни циклус документа потписаног електронски. То није обичан дневник логовања: то је докажни артефакт намењен за приказ пред судијом, регулатором или ревидентом.

Минимални делови путање провере који је у складу са стандардима укључују:

• Идентитет странака: е-поштна адреса, телефонски број коришћен за OTP, IP адреса у тренутку потписивања
• Квалификовани временски печат: временска марка коју издаје акредитована Канцеларија за сертификацију (CA) eIDAS, гарантујући правно време
• Криптографски отисак документа: SHA-256 или SHA-3 хеш израчунат пре и после потписивања да би се гарантовао интегритет
• Извршене радње: отварање документа, прегледане странице, време прегледања, клик потписивања, евентуални одбијања
• Геолокација и контекстуални подаци: user-agent веб-прегледача, оперативни систем, GPS координате ако су дозвољене
• Ланац сертификата: X.509 сертификати потписника и пружаоца услуга поверења (ПСП)

Разлика између простог и квалификованог пута провере

Нису сви путеви провере исти. Простa путања (ниво SES — Обична електронска синтатура) забележава облести без гаранције јаког криптографског интегритета. Може бити довољна за акте мале правне вредности (потврде о пријему, унутрашња истраживања).

Квалификована путања (ниво QES — Квалификована електронска синтатура) укључује:

• Квалификован временски печат у складу са чланом 41 правилника eIDAS
• Потпис самог дневника од стране ПСП-а са квалификованим сертификатом
• Дугорочно архивирање у складу са стандардом ETSI EN 319 122 (CAdES) или ETSI EN 319 132 (XAdES)

Ова разлика је критична: само други ниво има користи од претпоставке поузданости пред европским судовима, у складу са чланом 25 §2 eIDAS.

---

Докажна вредност путање провере: шта каже судска пракса

Преобраћање терета доказивања

У француском праву, чланом 1366 Грађанског законика устаљава се начело еквивалентности између електронског потписа и рукописног потписа, под условом да буду гарантовани идентитет потписника и интегритет акта. Чланом 1367 се наводи да се поузданост поступка потписивања претпоставља док се не докаже супротно када се користи квалификовани потпис.

То конкретно значи: ако је ваша путања провере потпуна, временски означена и криптографски интактна, странка која спори мора доказати превару или измену — а не вам да доказујете аутентичност. Ово преобраћање терета доказивања је значајна предност у комерцијалном или радном спору.

Критеријуми коју су усвојили француски судови

Францускe jурисдикције, посебно Касациони суд у својим скорашњим одлукама (Civ. 1re, 2022), оцењују вредност путање провере према неколико критеријума:

1. Целокупна пракљивост: свака радња мора бити забележена без временског пропуста
2. Неизменљивост: дневник мора бити заштићен од било какве накнадне измене (потпис логовања од стране ПСП-а)
3. Независност пружаоца услуга: аудит траил произведен од стране квалификованог трећег лица од поверења (ПСП акредитована од ANSSI) има већу докажну силу него сопствено произведен дневник
4. Читљивост: документ мора бити разумљив судији који није техничар, са јасним форматирањем облести

Ризици у случају непотпуне путање провере

Непотпуна путања провере излаже организацију неколико ризика:

• Ништавост доказа: судија може одбацити документ ако идентитет потписника не може бити установљен са извесношћу
• Преобраћање спора: потписник може тврдити да никад није прочитао документ или да је деловао под присилом, без могућности да од њега захтевате противаргументе
• Правни санкције: у регулираним секторима (банка, осигурање, здравство), одсуство комплијантне путање провере може резултирати казнама од ACPR или CNIL
• Одговорност пружаоца услуга: ако ваш SaaS добављач не чува путање провере у складу са захтеваним стандардима, можете му пришколи, али штета послу остаје на вама

---

Техничка архитектура чврсте путање провере у 2026. години

Квалификовани временски печат и криптографски интегритет

Квалификовани временски печат (RFC 3161) је вертебра свих озбиљних путања провере. Канцеларија за временске марке (TSA — Time Stamping Authority) сертификована генерише криптографски потписани времески токен, везујући отисак документа на прецизно одређено вријеме на милисекунду. У 2026. години, препоручени стандарди препоручују коришћење SHA-3 алгоритма (256 или 512 бита) за нове имплементације, SHA-256 остајући прихватљив за постојеће архиве.

Стандард ETSI EN 319 401 (Опча политика за ПСП) и ETSI EN 319 421 (Политика за TSA) дефинишу минималне захтеве. Путања провере у складу са овим стандардима аутоматски је признају у 27 чланица ЕУ.

Дугорочна чување и архивирање доказа

Време чувања путање провере мора бити усклађено са временом застарелости спорова vezaних за потписани акт:

• Комерцијални уговори: 5 година (застарелост по општем праву, чланом 2224 C.civ.)
• Уговори о раду: до 5 година после завршетка уговора
• Акти о непокретностима: 30 година (непокретна заста)
• Финансијски документи: 10 година (Трговачки кодекс, чланом L.123-22)

Да би се гарантовала читљивост дугорочно, препоручује се PDF/A-3 (ISO 19005-3) за инкапсулирање путање провере, у комбинацији са архивирањем на WORM медијумима (Write Once Read Many) или у дигиталном сефу у складу са стандардом NF Z42-020.

Интеграција у радне токове кроз API

У 2026. години, зреле решења за електронско потписивање излажу REST API или webhook омогућавајући вам да дохватите путању провере у реалном времену и интегрујете је у постојеће архивске системе (GED, ERP, SIRH). Овај приступ избегава зависност од једног пружаоца услуга и олакшава преносивост доказа.

Типичне облести експозиције кроз API укључују: `document.created`, `signature.invited`, `document.opened`, `signature.completed`, `document.declined`, `document.expired`. Свака облест носи своју HMAC сигнатуру омогућавајући вам да проверите њену аутентичност на клијентској страни.

За истраживање различитих решења на тржишту и њихових способности аудита, погледајте наш упоредни водич за решења електронског потписивања који детаљно приказује функције путање провере сваке платформе.

---

Добра праћка за оптимизацију ваше путање провере у предузећу

Конфигурисање нивоа потписивања према ризику

Не захтевају сви документи исти ниво праћљивости. Политика управљања документима мора дефинисати:

| Врста акта | Ниво потписивања | Захтеви путање провере | |---|---|---| | NDA / уговор о поверљивости | Напредна (AES) | IP, е-пошта, OTP, временски печат | | Уговор о раду | Напредна (AES) | + jачана верификација идентитета | | Нотарски акт / непокретност | Квалификована (QES) | + TSA квалификована, архивирање 30 година | | Сагласност GDPR | Обична (SES) | Временска марка, ID сесије, верзија текста |

Ова сегментација омогућава оптимизацију трошкова уз обезбеђивање одговарајућег правног покривања за ризик.

Обучавање тимова о докажној вредности

Путања провере има вредност само ако тимови знају како је производити у случају потребе. Одговорни лица за праву и комплијансу требају бити обучени да:

• Преузму и тумаче извештај о путањи провере
• Проверавају криптографски интегритет документа помоћу алата за валидацију (нпр. валидација eIDAS кроз портал EC)
• Припреме докажни досије за судски или арбитражни поступак

Одељења за управљање људским ресурсима, која управљају великим количинама уговора о раду и допунских уговора, чине приоритетну мету обуке. Наш водич о електронском потписивању за HR детаљно излаже специфичности по сектору.

Редовна ревизија вашег пружаоца услуга

Ваш добављач електронског потписивања је ваш подуговарач у смислу GDPR (чланом 28). Као такав, имате право — и обавезу — да проверите да ли поштује своје уговорне обавезе везане за чување и безбедност путања провере. Елементи за редовну проверу:

• ISO 27001 сертификација и/или ANSSI квалификација ПСП-а
• Политика задржавања и физичка локација сервера (ЕУ обавезна за личне податке)
• План континуитета и опоравка (PCA/PRA) гарантујући приступ путањама провере у случају инцидента
• Резултати теста пенетрације (pentest) и извештаји SOC 2 Type II аудита

Ако тренутно користите решење која више не задовољава ове захтеве, наша понуда миграције ка Certyneo омогућава безбједан пренос ваших постојећих архива и путања провере.

Законски оквир применљив на путању провере електронског потписа

Основни европски текстови

Правилник eIDAS бр. 910/2014 (Electronic IDentification, Authentication and trust Services) чини правну основу електронског потписа у Европи. Његов чланом 25 §2 устаљава да квалификовани електронски потпис има исту правну снагу као рукописни потпис, креирајући претпоставку поузданости која се директно примењује на путању провере која га прати. Чланом 41 истог правилника дефинише се правна дејства квалификованог временског печата: он има користи од претпоставке тачности датума и времена и интегритета података на које је дата и време везана.

Ревизија eIDAS 2.0 (правилник ЕУ 2024/1183, примењљив прогресивно до 2026) појачава ове захтеве увођењем Европског дигиталног идентитетског новчаника (EUDIW) и проширењем обавезе логовања на пружаоце услуга дигиталног идентитета.

Француско национално право

У француском праву, чланови 1366 и 1367 Грађанског законика транспонују принципе eIDAS. Чланом 1366 се устаљава функционална еквивалентност између електронског и папирног писма, под условом идентификације аутора и гаранције интегритета. Чланом 1367 се креира претпоставка поузданости за квалификоване потпис, директно применљива на путању провере.

Декрет бр. 2017-1416 од 28. септембра 2017. године о електронском потписивању прецизира технички услови примене, упућујући на ETSI стандарде као противстављљив технички референцијал.

Применљиви ETSI стандарди

• ETSI EN 319 132 (XAdES) и ETSI EN 319 122 (CAdES): облици напредног потписивања са дугорочним докажним подацима
• ETSI EN 319 401: опча политика за пружаоце услуга поверења
• ETSI EN 319 421: политика и безбедносни захтеви за TSA
• ETSI TS 119 511: захтеви за услуге чувања потписа

GDPR и заштита личних пода у путањи провере

Путања провере садржи личне податке у смислу GDPR бр. 2016/679 (IP адреса, е-пошта, подаци геолокације). Као таква, њено чување је подложно принципу минимизације (чланом 5 §1 в) и ограничењу намене (чланом 5 §1 б). Време чувања мора бити документовано у регистру обраде (чланом 30) и не сме премашити оно што је неопходно за докажну намену.

У случају повреде путањи која утиче на путање провере, обавештење CNIL у року од 72 сата је обавезно (чланом 33). Директива NIS2 (директива ЕУ 2022/2555, транспонована у Францији законом бр. 2024-449) такође намеће оператерима важности и есенцијалним ентитетима јачане захтеве за логовање и откривање инцидената, што укључује заштиту путање провере њихових алата за електронско потписивање.

Конкретни сценарији коришћења путање провере

Сценарио 1: Адвокатска канцеларија која управља цесијама удела у друштву

Адвокатска канцеларија од петнаест сарадника специјализована за право привредних друштава обрађује око 80 операција цесије удела у друштву или акција годишње, од којих свака укључује 3 до 8 потписника распоређених на неколико европских земаља. Пре имплементације решења квалификованог потписивања са интегрисаном путањом провере, свака операција је захтевала поштанске размене, консуларне легализације и ручну координацију муцавих, што је у просеку захтевало 4 сата асистента за свакo случај.

После имплементације решења QES са квалификованом путањом провере (ETSI EN 319 421 временски печат, PDF/A-3 архивирање на NF Z42-020 дигиталном сефу), канцеларија је забележила 65% редукцију времена закрављања дела на овим операцијама (са просечних 12 калеских дана на 4 дана). Кад је требало рфесити спор око цесије од стране цесионара, путања провере приказана пред Трговачким судом је омогућила да се без сумње утврди да је потписник отворио документ 7 минута и 43 секунде, прегледао 18 страница и кликнуо у зону потписивања после активирања OTP на његовом регистрованом телефону. Захтев за ништетавост је одбачен у првом степену.

Сценарио 2: PME индустријска компанија дематеријализује своје уговоре са добављачима

PME индустријска компанија од сто запослених која управља око 350 уговора са добављачима и подизвођачима годишње суочена је са класичном проблематиком: уговори потписани е-поштом (обичан пренос скенираног PDF-а), без временског печата или структуиране путање провере. Кад су је ревидури извршили редовну ревизију, указан јој је на то да ова праћка не омогућава да оправда уговорне обавезе у случају пореске провере или комерцијалног спора.

Миграција на SaaS платформу електронског потписивања авансирана (AES) са аутоматском генерисањем путање провере омогућила је:

• 80% редукцију времена обраде уговора са добављачима (са 5 дана на 1 радни дан у просеку)
• Конституисање потпуне докажне основе, директно интегрисане у ERP кроз webhook API
• Проллазак ревизије ревидура без резерви на управљању документима
• Наметљивање 3 спора са добављачима у 18 месеци захвајујући путањама провере као доказне конате

Укупан трошак решења (SaaS абонента + обука) амортизован је за мање од 4 месеца с обзиром на измерене добитке у продуктивности. За прорачун сопственог повраћаја уложеног капитала, користите наш калкулатор ROI електронског потписивања.

Сценарио 3: Болнички концерн управља документима о потписивању пацијената

Болнички концерн са око 600 кревета морао је дематеријализовати обрасце информисане сагласности за хирушке закупе и клиничке огледе, у веома захтевном нормативном контексту (Закон о јавном здравству, правила о клиничким огледима, GDPR здравствени подаци). Проблема: неопходно је доказати неоспорно да је пацијент информисан и добровољно пристао, без временског притиска, пре интервенције.

Имплементација решења потписивања са обогаћеном путањом провере (укључујући време прегледа документа, број враћања уназад при читању, верификација идентитета кроз дигиталну личну карту) омогућила је да буду исплаћени захтеви Националне комисије за клиничке огледе и аудити ANSM (Национална агенција за леке). Путање провере чувају се 30 година, у складу са применљивим регулаторним захтевима за медицинске досијее, у дигиталном сефу сертификованом HDS (Hospice од здравствених подаци). За специфичности електронског потписивања у здравственом сектору, погледајте нашу посвећену страницу о електронском потписивању у здравству.

Закључак

Путања провере није техничка аксесорна од електронског потписа: то је његова правна вертебра. У 2026. години, у контексту интензивирања дигиталних спорова и јачања регулаторних захтева (eIDAS 2.0, NIS2, GDPR), располагање потпуном, временски означеном, криптографски интактном путањом провере која је архивирана у складу са ETSI стандардима постало је практична обавеза за сваку организацију која електронски потписује акте правне вредности.

Облости су јасне: докажна вредност пред судовима, регулаторна усклађеност по сектору, заштита од превара и оспоравања. Избор квалификованог пружаоца услуга, конфигурисање нивоа потписивања према ризицима и обука тимова су три стуба ефикасне стратегије путање провере.

Certyneo квалификоване путање провере интегрише наполне у сваком радном наступу потписивања, са дугорочним архивирањем и извозом API. Почните са бесплатним испитивањем на Certyneo и обезбедите докажну вредност ваших електронских потписа већ данас.