2026'da Dijital İmza ve Elektronik İmza Farkı

Giriş

Günlük profesyonel alışverişlerde "elektronik imza" ve "dijital imza" terimleri sıklıkla birbirinin yerine kullanılır. Bununla birlikte, teknik ve hukuki olarak farklı gerçeklikleri temsil ederler. İkisini karıştırmak, belgelerinizin kanıt değeri, kuruluşunuzun yasal uyumu ve sözleşmesel alışverişlerinizin güvenliği üzerinde ciddi sonuçlar doğurabilir. Bu makale, eIDAS 2.0 çerçevesi, ETSI standartları ve Avrupa B2B uygulamasına dayanarak dijital imza ve elektronik imza arasındaki farkı uzman ve objektif bir şekilde açıklamaktadır. 2026'da durumunuza göre tam olarak hangi çözümü seçeceğinizi bilebileceksiniz.

---

Temel Tanımlar: Karıştırılmaması Gereken İki Kavram

Elektronik İmza: Geniş Bir Hukuki Kavram

Elektronik imza her şeyden önce bir hukuki kavramtır ve Avrupa eIDAS yönetmeliği (n° 910/2014) tarafından 3. madde, 10. paragrafta "elektronik verilere eklenmiş veya mantıksal olarak ilişkilendirilmiş elektronik şekildeki veriler ve imzalayan tarafından imza için kullanılan veriler" olarak tanımlanmıştır. Bu kasıtlı geniş tanım, çok sayıda prosedürü kapsar: "Kabul Ediyorum" seçeneğine basit bir tıklama, taranmış bir el yazısı imzasının görüntüsü, SMS ile alınan bir OTP kodu veya gelişmiş bir şifreleme imzası.

eIDAS yönetmeliği elektronik imzanın üç seviyesini ayırt eder:

• Basit Elektronik İmza (BEİ): en düşük seviye, güçlü teknik gereksinim yoktur.
• Gelişmiş Elektronik İmza (GEİ): imzalayana benzersiz şekilde bağlı, yazarının tanımlanmasını sağlayan, onun özel kontrolü altındaki verilerle oluşturulan ve belgenin daha sonraki herhangi bir değişikliğini tespit edebilen.
• Nitelikli Elektronik İmza (NEİ): en yüksek seviye, nitelikli bir sertifika tarafından verilmiş olan ve bir güven hizmeti sağlayıcısı (GHSağ) tarafından Avrupa güven listesine (Trusted List) kayıtlı.

Fransa'da Medeni Kanun 1366 ve 1367 maddelerine göre elektronik imzanın hukuki değeri tanınmıştır, şartıyla ki "onun imzalandığı dokümana bağlantısını garantileyen güvenilir bir prosedürün kullanılmasından" oluşması gerekir.

Dijital İmza: Kesin Bir Teknolojik Kavram

Dijital imza (İngilizcede digital signature) ise bir şifreleme mekanizması temsil eder. Asimetrik şifreleme ilkesine, diğer bir deyişle açık anahtarlı şifrelemeye (PKI - Public Key Infrastructure) dayanır. Somut olarak, imzalayanın bir anahtar çiftine sahiptir:

• Özel anahtar, gizli, güvenli bir cihazda korunan (akıllı kart, HSM belirteci veya bulut HSM).
• Genel anahtar, paylaşılabilir, akredite bir Sertifika Otoritesi (SO) tarafından verilen dijital sertifikaya ilişkin.

İmza sırasında, bir hash algoritması (tipik olarak SHA-256 veya SHA-3) belgenin benzersiz bir parmak izini oluşturur. Bu parmak izi daha sonra imzalayanın özel anahtarı ile şifrelenir: bu dijital imzanın ta kendisidir. Herhangi bir alıcı bu imzayı genel anahtar ile şifreyi çözerek ve yeniden hesaplanan belge parmak izi ile karşılaştırarak doğrulayabilir. Her iki parmak izi eşleşirse, belgenin bütünlüğü ve özü matematiksel olarak kanıtlanmış olur.

Dijital imzayı düzenleyen teknik standartlar özellikle şunları içerir:

• PKCS#7 / CMS (Cryptographic Message Syntax)
• XAdES, CAdES, PAdES (ETSI tarafından tanımlanan imza formatları, özellikle XAdES için ETSI EN 319 132)
• RSA-2048, ECDSA P-256 yaygın algoritmalar olarak

---

İki Kavram Arasındaki İlişki: Bir Muhalefet Değil Bir İçerme

Dijital İmza, Elektronik İmzanın Bir Alt Kümesidir

Sık yapılan bir hata, iki kavramı sanki rekabette hareket ediyormuş gibi muhalefet göz altında tutmaktır. Aslında, dijital imza belirli bir elektronik imza biçimidir — teknolojik olarak en sağlam biçim. Her dijital imza bir elektronik imzadır, ama tersi doğru değildir.

Aşağıdaki diyagram bu içermeyi açıklar:

> Elektronik İmza (geniş hukuki kavram) > └── Basit elektronik imza (örn. onay kutusu, taranmış görüntü) > └── Gelişmiş elektronik imza (örn. OTP + zaman damgası) > └── Nitelikli elektronik imza ↔ her zaman dijital imza PKI'ye dayanır

Bu nokta çok önemlidir: eIDAS'a göre nitelikli bir elektronik imza mutlaka nitelikli bir imza oluşturma cihazına (NEİOC) ve nitelikli bir sertifikaya dayanmalıdır — başka bir deyişle, asimetrik şifrelemeye, yani dijital imzaya mutlaka dayanır.

Bu Kafa Karışıklığı Neden Bu Kadar Yaygın?

Birkaç faktör kafa karışıklığını besler:

1. Yaklaşık çeviri: İngilizcede digital signature ve electronic signature iki farklı terimdir, ancak Türkçede "dijital" ve "elektronik" genellikle günlük dilde eş anlamlı olarak kullanılır.
2. Yayıncıların pazarlaması: Pek çok hizmet sağlayıcı, yalnızca basit veya gelişmiş bir seviyeye dayanan çözümleri tanımlamak için "dijital imza" ifadesini kullanarak ticari bir muğlaklaştırma yaratır.
3. Teknolojik gelişim: Modern kullanıcı arayüzleri, altında yatan şifreleme karmaşıklığını gizler, bu da teknik olmayan kişiler için ayrımı daha az belirgin kılar.

Uyum seviyeleri hakkında daha fazla bilgi için, lütfen elektronik imza kapsamlı rehberi ve Avrupa pazarında mevcut olan elektronik imza çözümleri karşılaştırması na bakınız.

---

Teknik ve Hukuki Karşılaştırma: Özet Tablo

Farklılaştırma Kriterleri

| Kriter | Elektronik İmza (basit) | Dijital İmza / NEİ | |---|---|---| | Temel | Hukuki (eIDAS, Medeni Kanun) | Şifreleme (PKI, X.509) | | Teknoloji | Değişken (OTP, görüntü, tıklama) | Asimetrik şifreleme | | Gerekli Sertifika | Hayır | Evet (nitelikli veya gelişmiş) | | Kanıt Değeri | Seviye ölçüsünde sınırlı ila güçlü | Maksimal (NEİ için hukuki inceleme) | | Teknik Standart | — | ETSI EN 319 132 (XAdES), PAdES | | İptal Edilebilir | Hayır | Evet (CRL, OCSP) | | Nitelikli Zaman Damgası | İsteğe bağlı | Önerilen / NEİ için zorunlu |

Dijital İmzanın Ek Olarak Sunduğu Avantajlar

Dijital imza, basit elektronik imzanın sağlayamayacağı dört garantiyi sunar:

• Özlük: sertifikası aracılığıyla imzalayanın kimliğinin matematiksel kanıtı.
• Bütünlük: imza sonrası belgedeki herhangi bir değişiklik hemen tespit edilir.
• İnkar Etmeme: imzalayan, özel anahtarı kendi özel kontrolü altında olduğu sürece imza attığını inkar edemez.
• Zaman Damgası: nitelikli bir saat servisi (TSA) ile birleştirildiğinde, imzanın tarihi tartışmasız şekilde belirlenir.

Bu özellikler, dijital imzayı nitelikli elektronik imzanın vazgeçilmez temelini ve eIDAS madde 25'e göre Avrupa Birliğinin tüm üye devletlerinde güvenilirlik hukuki incelemesine sahip tek seviye haline getirir.

eIDAS 2.0 yönetmeliğinin 2024'te yürürlüğe girmiş ayrıntılı çerçevesini anlamak için, lütfen eIDAS 2.0 yönetmeliğine adanmış rehberimize başvurunuz.

---

2026'da Kuruluşunuz İçin Hangi Seviye Seçilir?

İşlemlerin Türüne Göre Analiz

Basit, gelişmiş veya nitelikli elektronik imza (dijital imzaya dayanan) arasında seçim yapmak doğrudan işlemin hukuki niteliğine, ilişkili riske ve sektörel gerekliliklere bağlıdır:

• Basit imza: teklifler, dahili satın alma emirleri, alındı belgeleri, hassas olmayan İK formları. Düşük risk, olağan bir davada kanıt değeri yeterlidir.
• Gelişmiş imza: ticari sözleşmeler, NDA'lar, hizmet sunumu sözleşmeleri, ticari kiralamalar. ANSSI ve ENISA tarafından yapılan yönlendirmelere göre çoğu B2B kullanımı için önerilen seviye.
• Nitelikli imza (dijital PKI): noter imzalı işlemler, Avrupa eşikleri üzerinde kamu ihale işlemleri (yönerge 2014/24/UE), demateryalize sivil durum işlemleri, belirli bankacılık düzenleme işlemleri. Çeşitli düzenleme altındaki sektörlerde zorunludur.

eIDAS 2.0 Reformunun Uygulamalar Üzerindeki Etkisi

eIDAS 2.0 yönetmeliği (UE 2024/1183 Yönetmeliği, ABJD'de 30 Nisan 2024'te yayımlanmıştır), Avrupa Dijital Kimlik Cüzdanı (EUDI Wallet) tanıtır; konuşlandırılması 2026'da planlanmıştır. Bu cüzdan, Avrupa vatandaşları ve profesyonelleri, elektronik olarak imzalamak için nitelikli kimlik araçlarını kullanmalarını sağlayacak ve şifrelemeye dayanan nitelikli imzaya erişi önemli ölçüde artıracaktır. Şu anda PKI ile uyumlu çözümler benimseyen şirketler, bu evrim için altyapılarını hazırlayacak.

Kuruluşlarda elektronik imza sayfamız, çeşitli boyuttaki kuruluşlara uyarlanmış konuşlandırma stratejilerini ayrıntılandırır.

---

2026'da İmza Çözümü Seçim Kriterleri

Hizmet Sağlayıcısından Sorulacak Teknik Sorular

Bir imza platformunu değerlendirirken, BT ve hukuk ekipleri aşağıdaki noktaları kontrol etmelidir:

1. Hizmet sağlayıcı eIDAS nitelikli midir? Avrupa Güven Listesinde (Avrupa Komisyonu tarafından erişilir) bulunmasını doğrulayın.
2. Hangi imza formatları desteklenir? PAdES (PDF), XAdES (XML), CAdES (CMS) — ETSI tarafından standartlaştırılan üç format.
3. Özel anahtarların depolanması NEİOC uyumlu mudur? (örn. Common Criteria EAL 4+ veya FIPS 140-2 Seviye 3 sertifikalı HSM)
4. Nitelikli zaman damgası entegre miydir? Uzun vadeli saklama (LTV - Long Term Validation) için vazgeçilmezdir.
5. Çözüm çok-imzalayıcı iş akışlarını destekler mi temsilcilik, imza sırası ve kanıtlayıcı arşivleme ile?

Birlikte Çalışabilirlik ve Uzun Vadeli Arşivleme

Sıklıkla göz ardı edilen bir husus, kanıt değerinin kalıcılığıdır. Dijital imza, gelişen şifreleme algoritmalarına dayanır: SHA-1 2017'den beri geçersizdir, RSA-1024 2015'ten beri. Ciddi bir çözüm, ETSI EN 319 102-1'e göre uzun vadeli doğrulama (LTV) uygulamalı; bu, imzalama sırasında doğrulama kanıtlarını (iptal durumu, sertifika zinciri, zaman damgası) doğrudan imzalanmış dosya içine gömmeyi içerir, 10, 20 veya 30 yıl sonra doğrulanabilirliğini garantiler.

Certyneo natively LTV-PAdES biçimlerini ve eIDAS uyumlu kanıtlayıcı arşivlemeyi entegre eder. Fiyatlandırma sayfamızda bulunan özellikleri karşılaştırın veya elektronik imza ROI hesaplayıcısı ile yatırım geri dönüşünü tahmin edin.

Elektronik ve Dijital İmzaya Uygulanabilir Hukuki Çerçeve

Avrupa'nın Kurucu Metinleri

Avrupa'da elektronik imzanın yasal temeli, 1 Temmuz 2016'dan beri 27 üye devlette doğrudan uygulanabilen eIDAS yönetmeliği (n° 910/2014) (Electronic Identification, Authentication and Trust Services) üzerinde yatmaktadır. 25. maddesi kardinal ilkeyi ortaya koymaktadır: "Nitelikli elektronik imza, el yazısı imzayla eşdeğer bir hukuki etkiye sahiptir." 26 ile 32 maddeler, gelişmiş ve nitelikli seviyelerin teknik gereksinimlerini tanımlar.

eIDAS 2.0 yönetmeliği (UE 2024/1183) bu çerçeveyi Avrupa dijital kimlik cüzdanını (EUDI Wallet) tanıtarak, nitelikli güven hizmeti sağlayıcılarının kapsamını genişleterek ve GHSağ'lar için siber güvenlik gereksinimlerini güçlendirerek modernize eder.

Türk Hukuku

Türkiye'de elektronik imzanın hukuki değeri, Türk Medeni Kanununda ve ilgili yasal düzenlemelerde tanınmıştır. Elektronik imzaların kullanılması ve elektronik belgeler, yürürlükteki mevzuata göre güvenilir bulunmaları koşuluyla geçerli sayılır.

ETSI Teknik Standartları

Teknik uygulama, Avrupa Haberleşme Standartları Enstitüsü (ETSI) tarafından belirlenen standartlarla düzenlenmiştir:

• ETSI EN 319 132-1: XML belgeler için XAdES biçimi
• ETSI EN 319 122-1: ikili veriler için CAdES biçimi
• ETSI EN 319 162-1: PDF belgeler için PAdES biçimi
• ETSI EN 319 102-1: üretim ve doğrulama prosedürleri
• ETSI EN 319 401: GHSağ'lar için genel gereksinimler

Siber Güvenlik ve Veri Koruması

Şifreleme anahtarlarının ve dijital sertifikaların yönetimi, GDPR n° 2016/679 kapsamındaki kimlik verileri işlemesini içerir. İşlem sorumluları, özellikle tanımlama işlemleri sırasında toplanan veri minimizasyonunu garanti etmeli (m. 5), uygun güvenlik önlemleri almalı (m. 32) ve gerektiğinde yüksek riskli işlemler için etki analizi yapmalıdır (DPIA) m. 35'e göre.

NIS2 Yönergesi (UE 2022/2555), Türkiye'de uygun ulusal mevzuatla uyumlu hale getirilmiş, temel ve önemli kuruluşlara artırılmış siber güvenlik yükümlülükleri yüklemektedir. Bu yükümlülükler risk yönetimi, olay bildirimi ve yazılım tedarik zinciri güvenliğini kapsamaktadır.

Uyumsuzluk Durumunda Hukuki Riskler

Nitelikli imza gereken bir işlem için basit elektronik imza kullanmak, kuruluşu birkaç riske maruz bırakır: işlemin geçersizliği, davada kanıtın kabulü, hizmet sağlayıcısının sözleşmesel sorumluluğunun ortaya çıkması ve belirli düzenleme altındaki sektörlerde (sağlık, finans, kamu alımları) milyonlarca euroya ulaşabilen idari yaptırımlar.

Senaryo: Dijital İmza ve Elektronik İmza Uygulamada

Senaryo 1 — 15 Çalışanı Olan Bir İşletme Avukatlık Ofisi

Sözleşme hukuku ve birleşme-satın almalarda uzmanlaşmış bir avukatlık ofisi aylık ortalama 300 işlemi (özellikle ortaklık payı devri, varlık ve pasif garantisi (GAP) ve uzlaştırma protokollerini) işlemekteydi. Tarihsel olarak, her işlem posta gönderimi veya imza için fiziksel bir toplantı gerektirmiş ve dosya başına ortalama 5-8 iş günü gecikmesine yol açmıştır.

Gelişmiş elektronik imza (GEİ) için rutin ticari sözleşmeleri ve yüksek paydaşlı işlemler için nitelikli elektronik imza (NEİ, dijital imza PKI'ye dayanan) konuşlandırarak, ofis ortalama imza gecikmesini 4 saatten daha kısa süreye indirmiştir. 2024 yılında Milli Barolar Birliği tarafından yayımlanmış sektör karşılaştırma verilerine göre, imza işlemlerini demateryalize eden avukatlık ofisleri, sözleşmelendirme sürelerinde yüzde 60-75 azalma görmektedir ve işlem başına 8-12 € tasarruf sağlar (posta, baskı, kâğıt arşivleme masrafları). Platform'a entegre denetim izi, davada kanıtlayıcı güvenliği de artırmış; imza metaverileri (IP, nitelikli zaman damgası, sertifikeli kimlik) kanıt olarak kabul edilmiştir.

Senaryo 2 — Yıllık 400 Sözleşme Tedarikçi Yönetim ETI

Dört Avrupa ülkesinde dağılmış dört önemli endüstriyel Avrupa ölçekli bir kuruluş, Almanya, Polonya ve İspanya'da bulunan tedarikçilere çerçeve sözleşmeler ve ek protokoller imzalatması gerekmiştir. Hukuki çeşitliliğin yanı sıra yüksek kontraktuel hacim, manuel yönetimi özellikle pahalı ve riskli kılmıştır.

eIDAS uyumlu bir gelişmiş elektronik imza platformu benimseyen kuruluş — eIDAS 25. maddesinin karşılıklı tanıma ilkesi sayesinde tüm üye devletlerde tanınan — sözleşme işlemini unify edebilmiştir. Stratejik sözleşmeler için asimetrik şifreleme (dijital imza) kullanımı, yaşam döngüsü boyunca belgelerin bütünlüğünü garanti etmiştir. Sektör çalışmaları (IDC Avrupa Güven Hizmetleri Raporu, 2025), gelişmiş veya nitelikli elektronik imza kullanan ETI endüstriyel şirketlerin sözleşme yönetimi maliyetlerini yüzde 40-55 oranında azalttığını ve imza tartışmalarından doğan dava riskini üçe bölümündü göstermektedir.

Senaryo 3 — Yaklaşık 600 Yatak Kapasiteli Bir Hastane Grubu

Sağlık sektöründe klinik araştırma protokolleri, farmasötik laboratuvarlarla sözleşmeler ve hastane hekimleriyle çalışma sözleşmelerinin imzalanması kesin yasal gereklilikler içerir (HDS, GDPR, Sağlık Kanunu). Orta büyüklükte bir hastane grubu, hafta içinde birkaç düzine hassas işlemin imzasını güvenleştirmesi gereken ve sağlık otoriteleri tarafından talep edilen izlenebilirliği garanti etmesi gerekmektedir.

Nitelikli eIDAS GHSağ tarafından verilen sertifikaları kullanan nitelikli elektronik imza konuşlandırarak ve LTV-PAdES kanıtlayıcı arşivlemeyi entegre ederek, kuruluş Yüksek Sağlık Otoritesi (HSO) ve İlaç Kurumu denetim gereksinimlerini karşılamıştır. DSIH (Hastane Karar Sistemleri, 2024) tarafından yayımlanan deneyim raporlarına göre, nitelikli elektronik imzayı konuşlandıran sağlık kuruluşları, sanayi ortaklarıyla sözleşmelendirme sürelerinde yüzde 80 azalma görmektedir ve yasal denetimler sırasında belgesel uyumluluğu artmıştır.

Sağlık profesyonelleri için, Certyneo özel bir çözüm sunmaktadır: sağlıkta elektronik imza teklifimizi keşfedin.

Sonuç

Dijital imza ile elektronik imza arasındaki fark sadece bir terminoloji meselesi değildir: bu, eIDAS 2.0, GDPR ve NIS2 gereksinimlerine karşı işlemlerinizin hukuki değerini, işlemlerinizin teknik sağlamlığını ve kuruluşunuzun mevzui uyumunu ilgilendirir. Asimetrik şifreleme ve ETSI standartlarına dayanan dijital imza, nitelikli elektronik imzanın teknolojik temelini oluşturur — Avrupa Birliği genelinde güvenilirlik hukuki incelemesine sahip tek seviye.

İşlemlerinize uyarlanmış seviyeyi seçmek, sözleşmesel akışlarınızı güvenleştirmek ve 2026'da EUDI Wallet'in gelişini hazırlamak için, Certyneo eIDAS uyumlu, gelişmiş ve nitelikli imza, sertifikalı zaman damgası ve kanıtlayıcı arşivleme entegre B2B platformu sunmaktadır. Certyneo'da ücretsiz olarak başlayın veya işlem hacminize uygun formülü bulmak için fiyatlandırmaya başvurun.