Elektronski potpis u finansijama: usklađenost 2026
Finansijski sektor suočava se sa rastućim regulatornim zahtjevima u pogledu elektronskog potpisa. Saznajte kako uskladiti operativnu efikasnost sa usklađenošću sa eIDAS, DORA i GDPR u 2026.
Équipe éditoriale Certyneo
Urednik — Certyneo · O Certyneo-u

Uvod
Finansijski sektor je jedno od najuređenijih okruženja na svijetu, a dematerijalizacija dokumenata nije izuzetak od ove činjenice. U 2026. godini, elektronski potpis u finansijskom sektoru i regulatorna usklađenost su neodvojivi: između obnovljene eIDAS uredbe, DORA uredbe koja je stupila na snagu u januaru 2025, GDPR-a i zahtjeva ACPR-a, bankarske ustanove, društva za upravljanje imovinom, osiguravači i fintechs moraju da navigiraju kroz gust normativni okvir. Ovaj članak vas vodi kroz primjenjive obaveze, nivoe potpisa potrebne prema aktima i najbolje prakse za primjenu usklađenog rješenja bez žrtvovanja fluidnosti operacija.
---
Zašto je elektronski potpis strateški za finansije
Finansijske institucije generiraju ogromne količine dokumenata: ugovore o otvaranju računa, mandate upravljanja, kreditne sporazume, dopunske osigurane ugovore, prospekte subscription-a, akta o zastavi. Prema savetodavnom društvu McKinsey, kompletan dematerijalizacija dokumentarnih procesa u finansijama može smanjiti operativne troškove za 20 do 35% i smanjiti vremenske periode obrade slučajeva četiri puta.
Ali izvan dobitka u produktivnosti, elektronski potpis odgovara specifičnim regulatornim imperativima sektora:
- Praćenje obaveza: članak L. 533-11 Kodeksa novca i finansija zahtijeva od davatelja usluga investicije da čuva svu ugovornu dokumentaciju na način koji je celovit i dostupan.
- Identifikacija klijenta (KYC): zahtjevi protiv pranja novca (5. direktiva AML, transponovana uredbom 2020-1342) zahtijevaju robusnu provjeru identiteta potpisnika.
- Arhiviranje dokaznog sadržaja: čuvanje sa pravnom vrijednošću potpisanih dokumenata mora da zadovoljava standarde NF Z 42-013 i zahtjeve ACPR-a u pogledu vremena zadržavanja.
Za razumijevanje osnova pravne vrijednosti elektronskog potpisa, bitno je razlikovati tri nivoa definisana od strane eIDAS-a prije primjene pravog rješenja na svaki akt.
Tri nivoa potpisa prema eIDAS-u u finansijama
Uredba eIDAS br. 910/2014 (i njena evolucija eIDAS 2.0, u progresivnoj primjeni od 2024) razlikuje tri nivoa elektronskog potpisa, čija je relevantnost različita prema pravnoj prirodi finansijskog akta:
1. Jednostavni elektronski potpis (SES): prikladan je za dokumente rutinskog upravljanja, potvrde primitka, pisma klijentima ili interne obrasce sa niskim rizikom. Ne garantuje identitet potpisnika sa visokim nivoom sigurnosti.
2. Napredni elektronski potpis (SEA): zahtijeva jedinstvenu vezu sa potpisnikom, identifikaciju tog lica i otkrivanje bilo koje kasnije izmjene. Odgovara SEPA mandatima, konvencijama o računu, ugovorima o standardnom ličnom kreditu.
3. Kvalificirani elektronski potpis (SEQ): osnovan je na kvalificiranom certifikatu koji izdaje preuzimač usluge povjerenja (TSP) akreditovan na europskoj listi povjerenja (Trusted List). Samo on ima istu vrijednost kao potpis rukom sa stanovišta prava Unije. SEQ je neophodan za dematerijalizovane notarske akte, zastave ili određene bankovne garancije.
Za detaljnu analizu zahtjeva eIDAS 2.0 primjenjivih na vašu industriju, pogledajte naš detaljni vodič kroz uredbu eIDAS.
---
DORA i uticaj na upravljanje numeričkim dokumentima
Uredba DORA (Digital Operational Resilience Act, UE 2022/2554), stupila na snagu 17. januara 2025, uvodi neusporediv okvir za operativnu otpornost brojeva finansijskih entiteta. Primjenjuje se na banke, osiguravajuća društva, društva za upravljanje, centralne protivstrane, trgovine platforme i davatelje usluga kriptografije.
Šta DORA konkretno nameće
DORA ne cilja direktno na elektronski potpis, ali njegove odredbe imaju direktne posledice na izbor i audit rješenja potpisa koja koriste finansijski akteri:
- Članak 28 DORA: finansijski entiteti moraju da sklope ugovore sa TIC davateljima (među koje spadaju izdavači elektronskog potpisa) osiguravajući da potonji poštuju definirane nivoe usluga, sigurnosti i kontinuiteta. Ugovori sa kritičnim davateljima moraju da uključe klauzule o reverzibilnosti i auditu.
- Članak 30 DORA: prava na audit kompetentnih vlasti moraju biti garantovana ugovorom prema trećim davateljima.
- Upravljanje ICT rizicima (članci 5 do 15): proces elektronskog potpisa mora biti mapiran kao kritična ili važna funkcija, sa povezanim planom kontinuiteta.
Konkretno, bankarska ustanova koja koristi SaaS rješenje elektronskog potpisa mora osigurati da njen dobavljač može pružiti revizijske izvještaje, garantuje dostupnost veću od 99,9% i poštuje zahtjeve lokalizacije podataka (data residency u EU).
Artikulacija DORA / eIDAS / GDPR
Ova tri propisa se nadovezuju bez da se međusobno protivrječe:
- eIDAS definiše pravnu vrijednost potpisa i tehnijske zahtjeve TSP-a.
- DORA nameće otpornost i upravljanje rizicima vezanim za davalce digitalnih usluga.
- GDPR štiti lične podatke obrađene tokom procesa potpisa (identitet, IP adresa, ponašajuća biometrija za autentifikaciju).
Artikulacija ova tri okvira zahtijeva od odgovora za usklađenost i IT-a da sprovede detaljnu procjenu dužne pažnje pri izboru svog rješenja. Naš pregled rješenja elektronskog potpisa može vam pomoći da procijente relevantne kriterijume za finansijski sektor.
---
Specifični sektorski zahtjevi: ACPR, AMF i direktiva MIF II
Izvan europske osnove, francouzski finansijski akteri moraju poštovati sektorske zahtjeve izdane od strane nacionalnih i evropskih regulatora.
Stav ACPR-a na dematerijalizaciju
Vlast za prudencijsku kontrolu i rješavanje (ACPR) je precizirala u nekoliko preporuka (naročito njenu poziciju 2013-P-02 o komercijalnom vezanju elektronski putem i njene kasnije izmjene) da elektronski potpis ugovora o osiguranju života, socijalnoj zaštiti ili bancassurance mora:
- Biti povezan sa procesom provjere identiteta u skladu sa uredbom 2017-1416 koja se odnosi na elektronski potpis.
- Biti praćen dematerijalizovanom predugovornom informacijom dostavljenom prije potpisa.
- Biti čuvan u bezbijednom arhivskom sistemu najmanje 10 godina nakon isteka ugovora.
MIF II i dokumentacija upravljačkih mandata
Direktiva MIF II (2014/65/UE, transponovana u francusko pravo) nameće društvima za upravljanje i savjetnicima u investicijama da detaljno dokumentuju odnos sa klijentom. Elektronski potpis upravljačkih mandata, MIF profilovnih upitnika i pisama s informacijama o rizicima mora pružiti kompletan trag revizije: certificiran vremenski pečat, identitet potpisnika, integritet dokumenta.
Kvalificirani elektronski vremenski pečat čini neophodan dodatak potpisu u ovoj situaciji: on uspostavlja nepobitni dokaz datuma i vremena potpisa, bitnog u slučaju spora o prioritetu obaveze.
Borba protiv pranja novca i provjera identiteta
- direktiva AML (AMLD6), čija je transponacija u francusko pravo bila očekivana prije sredine 2025, pojačava obaveze brige o klijentima. Korišćenje elektronskog potpisa u potpuno dematerijalizovanom KYC putanju sada je moguće pod uslovima:
- Korišćenje visokog nivoa sigurnosti (LoA High) za identifikaciju, u skladu sa eIDAS 2.0 referentnim okvirom.
- Provjera autentičnosti identifikacijskog dokumenta od strane akreditovanog davatelja (priznavanje AI tehnologije za provjeru dokumenata u okviru AI Act uredbe).
- Čuvanje identifikacijskih dokaza tokom trajanja koji je zakonski obavezan (5 godina nakon završetka odnosa sa klijentom).
---
Primjena rješenja elektronskog potpisa usklađenog sa zakonom u finansijama: praktični vodič
Primjena rješenja elektronskog potpisa u finansijskoj instituciji mora pratiti strukturiranu metodologiju kako bi se garantila usklađenost, sigurnost i prihvatanje korisnika.
Korak 1 — Mapiranje dokumenarnih tokova i definisanje potrebnih nivoa
Počnite sa auditom postojećih dokumentarnih procesa. Klasificirajte svaki tip dokumenta prema tri ose: pravni rizik, regulatorna obaveza i frekvencija. Ova matrica kritičnosti vam će omogućiti dodjeljivanje pravilnog nivoa potpisa (jednostavnog, naprednog ili kvalificiranog) svakom toku, izbjegavajući tako skupu prezapletenost ili rizičnu podosigurujenost.
Korak 2 — Odabir kvalificiranog davatelja kompatibilnog sa DORA
Vaš dobavljač mora biti uključen na europsku listu povjerenja (za SEQ), imati ISO 27001 sertifikaciju i infrastrukturu hostovanu u Evropskoj uniji. Mora biti u mogućnosti da pruži SOC 2 Type II izvještaj ili ekvivalent kako bi zadovoljio zahtjeve audita DORA. Ugovorne klauzule moraju eksplicitno predvidjeti prava na audit, SLA dostupnosti i modalitete reverzibilnosti.
Korak 3 — Integracija potpisa u digitalne putanje klijentskog putovanja
Iskustvo korisnika je ključan faktor prihvatanja. Rješenje potpisa dobro integrirano putem API REST-a u vašem CRM, alatu za upravljanje portfoliom ili platformi subskribovanja smanjuje friktivnost i limitira napuštanje. Za institucije koje migriraju s postojećeg rješenja, naš ponuda migracije prema Certyneo omogućava bezneposledičnu tranziciju operativnih workflow-a.
Korak 4 — Uspostavljanje arhivskog dokaznog sadržaja
Sam potpis nije dovoljan: dokazni dosje (revizijski dnevnik, certifikat potpisa, vremenski pečat, dokazi identiteta) mora biti arhiviran u sistemu koji je u skladu sa normom NF Z 42-013 i ETSI EN 319 162 standardom za kvalificirane usluge depozita. Ovo arhiviranje mora biti dostupno i čitljivo tijekom cjelokupnog vremenskog perioda čuvanja koji se primjenjuje na svaku kategoriju dokumenta.
Pravni okvir primjenjljiv na elektronski potpis u finansijskom sektoru
Osnovni evropski tekstovi
Uredba eIDAS br. 910/2014 (i njena evolucija eIDAS 2.0 putem Uredbe UE 2024/1183): ovaj tekst predstavlja temeljni kamen elektronskog potpisa u Evropi. Definiše tri nivoa potpisa (jednostavni, napredni, kvalificirani), uspostavljava režim uzajamnog priznanja kvalificiranih davatelja usluga povjerenja (TSP) i postavlja princip ekvivalencije kvalificiranog potpisa sa potpisom rukom. Njegov članak 25 određuje da kvalificirani elektronski potpis ima istu pravnu vrijednost kao potpis rukom.
Građanski zakonik, članci 1366 i 1367: članak 1366 priziva pravnu vrijednost elektronskog pisanja pod uslovom da je njegov autor dužno identifikovan i da je integritet dokumenta garantovan. Članak 1367 definiše uslove validnosti elektronskog potpisa u francuskom pravu, upućujući na uredbu 2017-1416 za tehnijske modalitete.
Uredba br. 2017-1416 od 28. septembra 2017: ovaj tekst pojašnjava tehnične zahtjeve primjenjljive na elektronski potpis u Francuskoj, u skladu sa eIDAS-om. Uspostavljava pretpostavku pouzdanosti za potpise koji se oslanjaju na kvalificirani uređaj za kreiranje potpisa.
Regulatorne sektorske finansijske
Uredba DORA (UE 2022/2554): primjenjiva od 17. januara 2025, nameće finansijskim entitetima rigorozno upravljanje rizicima vezanim za davatelje usluga TIC, uključujući davatelje rješenja elektronskog potpisa. Članci 28 do 30 definišu minimalne ugovorne zahtjeve prema kritičnim trećim davateljima.
Zakonik o novcu i finansijama, članak L. 533-11: nameće davateljima usluga investicije da čuvaju cjelokupnu ugovornu dokumentaciju u uvjetima koji omogućavaju rekonstrukciju razmjena i obaveza.
Direktiva MIF II (2014/65/UE) i njeni delegirani akti: zahtijevaju detaljnu i praćenu dokumentaciju odnosa sa klijentom, naročito za mandate upravljanja i procjene prikladnosti.
5. i 6. direktive AML (transponovane uredbom 2020-1342 i njenih tekstova primjene): pojačavaju obaveze provjere identiteta u dematerijalizovanim putanjama.
Primjenjljivi tehnički standardi
- ETSI EN 319 132: tehnički standard za formate naprednog elektronskog potpisa (XAdES, CAdES, PAdES).
- ETSI EN 319 162: koji se odnosi na kvalificirane usluge elektronskog depozita.
- NF Z 42-013: francuski standard na sisteme elektronskog arhiviranja sa dokaznom vrijednošću.
- ISO 27001: referentna sertifikacija u sigurnosti informacija za davatelje.
Pravni rizici u slučaju neusklađenosti
Finansijska institucija koja koristi neprikladni elektronski potpis (nivo sigurnosti nedovoljan s obzirom na potpisani akt) se izlaže nekoliko rizika: ništavost ugovora ili neuporedivost potpisa u slučaju spora, sankcije ACPR-a ili AMF-a koje mogu dosegnuti više miliona eura, angažovanje građanske odgovornosti institucije, i šteta na komercijalnoj reputaciji. GDPR usklađenost mora biti takođe osigurana: obrada biometrijskih ili identifikacionih podataka u okviru dematerijalizovane KYC zahtijeva eksplicitnu pravnu osnovu i preliminarnu analizu uticaja (AIPD).
Konkretni scenariji upotrebe u finansijskom sektoru
Scenarij 1 — Subskribiranje ugovora osiguranja života u bankarskoj mreži
Mreža bancassurance koja obrađuje oko 15.000 subskripcija osiguranja života godišnje je dematerijalizala čitav proces potpisivanja klijenta. Ranije je svaki slučaj trebao poštansku razmjenu oba smjera i prosječno vrijeme od 8 do 12 radnih dana prije prikupljanja potpisa klijenta. Nakon primjene rješenja naprednog elektronskog potpisa integrirane u CRM savjetnika, sa slanjem OTP-a (One-Time Password) na mobilni telefon klijenta za pojačanu autentifikaciju, vrijeme potpisa je smanjeno na manje od 24 sata u 87% slučajeva. Stopa napuštanja subskripcije je smanjena za 23%, a troškovi ispisa, poštarine i upravljanja fizičkim arhivima su smanjeni za oko 65%. Dosje dokaznog sadržaja (certifikat potpisa, vremenski pečat, revizijski dnevnik) je automatski arhiviran u numerički sefu sukladan NF Z 42-013 za vrijeme od 10 godina nakon isteka ugovora, u skladu sa zahtjevima ACPR-a.
Scenarij 2 — Mandate upravljanja i dokumentacija MIF II u društvu za upravljanje
Društvo za upravljanje portfolijima koje upravljanje klijentskom masom od oko 800 klijenta mora godišnje obnoviti mandate upravljanja, MIF upitnikima profiliranja i pisma s informacijama o rizicima. Ovaj proces je historijski predstavljao upravljačko opterećenje od 3 do 4 sedmice godišnje, sa ručnim praćenjem podsjetnika i visokim rizikom neosiguranih mandata na vrijeme. Nakon integracije rješenja naprednog elektronskog potpisa preko API-ja u njihovom sistemu upravljanja portfolijima, sa automatizovanim workflow-om podsjetnika i tablom nadzora u realnom vremenu, društvo je smanjilo ciklus obnove sa 28 dana na prosječno 4 dana. Stopa dovršavanja mandata prije regulatorne krajnje godine je porasla sa 74% na 98%. Automatsko arhiviranje potpisanih dossier-a sa kvalificiranim vremenskim pečatom pruža kompletan trag revizije u slučaju AMF pregleda, bez dodatnih ručnih manipulacija.
Scenarij 3 — Putanja KYC potpuno dematerijalizovana u fintech kreditu online
Fintech specijalizovan za kredite potrošačima online je dizajnirao 100% numerički unos u odnos, od provjere identiteta (skeniranje identifikacijskog dokumenta + biometrijska provjera putem živosti detekcije) do potpisa kreditne ponude. Izbor naprednog elektronskog potpisa sa pojačanom identifikacijom (sukladan sa bitan nivoom sigurnosti eIDAS-a) je omogućio ispunjenje zahtjeva 5. direktive AML dok se održavao tekoć putanj, završen za manje od 10 minuta u prosjeku. Stope konverzije su napredovale za 18 poena u poređenju sa prethodnim hibridnim papirnom putanjom. Svi prikupljeni identifikacijski podaci su šifrirani i pohranjeni u infrastrukturu hostovanu u Francuskoj, sa politikom zadržavanja od 5 godina nakon završetka odnosa sa klijentom, u skladu sa LCB-FT obavezama. Dobavljač potpisa je dao DORA-kompatibilne ugovorne klauzule potrebne za kategorizaciju davatelja i upravljanje rizikom koncentracije.
Zaključak
U 2026. godini, elektronski potpis u finansijskom sektoru nije više tehnološka opcija: to je operativna i regulatorna obaveza. Između eIDAS 2.0, DORA, zahtjeva ACPR-a, AMF-a i direktiva AML, institucije koje nisu osigurale svoje dokumentarne procese izlažu se većim pravnim, finansijskim i reputacionim rizicima. Pravi nivo potpisa, kvalificirani davatelj kompatibilan sa DORA, robusno dokazno arhiviranje i tekoća integracija u putanje klijenta: evo četiri stupa usklađene i učinkovite dokumentarne strategije.
Certyneo je dizajniran da precizno odgovori zahtjevima finansijskog sektora: suverena infrastruktura hostovana u Francuskoj, eIDAS i DORA usklađenost, kompletan audit i robustan API. Otkrijan naš cijena i pokrenite vašu besplatnu studiju već danas, ili procijenite vašu povratak ulaganja zahvaljujući našem namjenskom alatu.
Isprobajte Certyneo besplatno
Pošaljite vašu prvu kovertu za potpisivanje za manje od 5 minuta. 5 besplatnih koverti mesečno, bez kartice.
Saznajte više
Naši kompletan vodiči za savladavanje elektronskog potpisivanja.
Preporučeni članci
Proširite svoja znanja sa ovim povezanim člancima.

Sertifikacija ISO za elektronski potpis: vodič 2026
ISO 27001, eIDAS, ETSI… sertifikacije pružalaca usluga elektronskog potpisa postale su neophodni kriterijum za izbor. Saznajte kako ih efikasno porediti.

Skribble vs Oodrive : komparacija rešenja za elektronsku signaturu u 2026.
Skribble ili Oodrive? Otkrijte našu stručnu analizu dve platforme za elektronsku signaturu da biste izabrali rešenje najusklađenije sa vašim B2B potrebama u 2026.

Elektronski potpis u oblaku ili on-premise: koji izbor u 2026?
Cloud SaaS ili on-premise razvoj: izbor infrastrukture vaše rešenja za elektronski potpis utiče na bezbednost, troškove i usklađenost sa eIDAS. Odkrijte našu stručnu analizu.