Як працює електронний підпис у 2026 році

Вступ

Електронний підпис сьогодні є центром цифрової трансформації підприємств: у 2025 році більше 70% великих європейських організацій інтегрували його принаймні в один договірний процес (джерело: Gartner, Digital Process Automation Survey 2025). Однак мало хто з керівників точно розуміє механізми, що роблять його юридично дійсним та технічно невідмовним. Розуміння того, як технічно працює електронний підпис — криптографія, PKI, сертифікати — дозволяє обрати правильне рішення, зменшити юридичні ризики та прискорити внутрішнє впровадження. Ця стаття проведе вас крок за кроком через архітектуру та стандарти, що регулюють електронний підпис у 2026 році.

---

Криптографічні основи електронного підпису

Електронний підпис ґрунтується на перевірених криптографічних примітивах. Розуміння механізмів означає розуміння того, чому він надійніший за оцифровану рукописну підпис.

Асиметричне шифрування: публічний та приватний ключ

Фундаментальний принцип — це асиметрична криптографія, винайдена у 1970-х роках та стандартизована алгоритмами, такими як RSA (Rivest–Shamir–Adleman) або еліптичні криві (ECDSA). Кожен підписувач має два математично пов'язані ключі:

• Приватний ключ: зберігається в секреті підписувачем на безпечному пристрої (смарт-карта, токен HSM або захищений програмний модуль). Він використовується для створення підпису.
• Публічний ключ: розповсюджується вільно, включається до цифрового сертифіката. Він використовується для перевірки підпису.

Принцип безпеки ґрунтується на обчислювальній асиметрії: математично тривіально перевірити підпис за допомогою публічного ключа, але практично неможливо відновити приватний ключ із публічного ключа (проблема дискретного логарифма або факторизація великих цілих чисел).

Функції гешування: цифровий відбиток документа

Перед підписанням система обчислює криптографічний відбиток документа за допомогою функції гешування (SHA-256 або SHA-3 у 2026 році). Цей відбиток, називаний hash або конденсат, — це рядок символів фіксованого розміру (256 біт для SHA-256), який унікально представляє вміст документа.

Істотна властивість: зміна одного символу документа виробляє кардинально інший хеш. Саме це гарантує цілісність підписаного документа: будь-яке подальше спотворення одразу виявляється.

Електронний підпис власне є шифруванням цього гешу приватним ключем підписувача. Під час перевірки адресат:

1. Розшифровує підпис публічним ключем, щоб отримати оригінальний гешу;
2. Самостійно пересраховує гешу отриманого документа;
3. Порівнює обидва: якщо ідентичні, підпис дійсний.

---

Інфраструктура публічних ключів (PKI): ланцюг довіри

Однієї криптографії недостатньо: також необхідно довести, що публічний ключ насправді належить тій особі, яка це стверджує. Це роль PKI (Infrastructure à Clés Publiques) — або Інфраструктури публічних ключів.

Органи видачі сертифікатів (CA)

Орган видачи сертифікатів (AC або CA) — це акредитований надійний орган, який видає цифрові сертифікати. Цифровий сертифікат — це стандартизований файл (формат X.509), що містить:

• Ідентичність власника (ім'я, організація, електронна пошта);
• Його публічний ключ;
• Період дійсності;
• Цифровий підпис самого AC.

В Європі акредитовані AC зазначаються в Trusted Lists, опублікованих кожною державою-членом ЄС відповідно до регламенту eIDAS. У Франції ANSSI публікує та веде цей список. Кваліфіковані провайдери служб довіри (QTSP) — такі як CertSign, Certigna або Universign — піддаються регулярним аудитам за стандартом ETSI EN 319 401.

Ланцюг сертифікації та відкликання

PKI працює за ієрархічною моделлю:

• Кореневий AC (Root CA) із власною підписом, зберігається в автономному режимі в умовах максимальної фізичної безпеки;
• Проміжні AC, які видають сертифікати кінцевим користувачам.

Відкликання сертифікатів — це критичний механізм: якщо приватний ключ скомпрометований, AC публікує його анулювання через CRL (Certificate Revocation List) або через протокол OCSP (Online Certificate Status Protocol), дозволяючи перевірку в реальному часі.

Для кваліфікованого електронного підпису на основі eIDAS приватний ключ має генеруватися та зберігатися в QSCD (Qualified Signature Creation Device) — апаратураті, сертифікованій CC EAL4+ або вище, наприклад смарт-карті або HSM (Hardware Security Module).

---

Три рівні підпису за eIDAS

Європейський регламент eIDAS № 910/2014 (та його еволюція eIDAS 2.0, що розгортається) визначає три рівні підпису, кожен спирається на зростаючі технічні гарантії. Для глибшого вивчення цієї нормативної бази, див. наш повний посібник щодо регламенту eIDAS.

Простий електронний підпис (SES)

Простий підпис — це найменш зобов'язуючою форма технічно. Він може бути простим як галочка, OTP код (One-Time Password), відправлений SMS, або зображення рукописної підпису. Він не обов'язково передбачає наявність кваліфікованого сертифіката.

Типове використання: валідація кошторисів, маркетингові дозволи, договори з низьким ризиком.

Ризик: обмежена доказова сила у разі судового оспорювання. Тягар доказування лежить на тому, хто посилається на підпис.

Розширений електронний підпис (AdES)

Розширений підпис відповідає чотирьом точним технічним вимогам (стаття 26 eIDAS):

1. Він унікально пов'язаний із підписувачем;
2. Він дозволяє ідентифікувати підписувача;
3. Він створюється з даних, які перебувають під виключним контролем підписувача;
4. Він дозволяє виявити будь-яку подальшу модифікацію документа.

Практично це передбачає використання особистого цифрового сертифіката та надійного механізму автентифікації. Стандартні формати визначені ETSI: PAdES (для PDF), XAdES (XML), CAdES (бінарні дані) та JAdES (JSON), всі стандартизовані в серії ETSI EN 319 100.

Кваліфікований електронний підпис (QES)

Кваліфікований підпис — це найвищий рівень. Він вимагає:

• Кваліфікованого сертифіката, виданого акредитованим QTSP eIDAS;
• QSCD для створення підпису.

Він має законну презумпцію надійності та еквівалентність в правах рукописній підписи в усій Європейській Союзі (стаття 25 eIDAS). Це рівень, потрібний для електронних автентичних актів, деяких нотаріальних актів або чутливих державних закупівель.

Наш порівняльний огляд рішень електронного підпису аналізує практичні різниці між цими рівнями, щоб допомогти вам обрати.

---

Повний процес електронного підпису крок за кроком

Ось як насправді відбувається транзакція електронного підпису на платформі SaaS, як Certyneo:

Етап 1: підготовка та відправлення документа

Ініціатор підпису завантажує документ (контракт, додаток, замовлення) на платформу. Система миттєво генерує гешу SHA-256 оригінального файлу, позначену часовою міткою та зберігану незмінюваним способом. Цей відбиток служитиме еталоном для будь-якої подальшої перевірки.

Етап 2: автентифікація підписувача

Залежно від обраного рівня підпису, автентифікація різна:

• SES: електронна пошта + посилання для підпису;
• AdES: сильна автентифікація (OTP SMS, мобільний додаток FIDO2);
• QES: попередня перевірка ідентичності (особисто або через IDV на відео), видача кваліфікованого сертифіката для одноразового або постійного використання.

Етап 3: створення криптографічного підпису

Підписувач ініціює акт підпису. Платформа (або QSCD):

1. Обчислює гешу документа;
2. Шифрує цю гешу приватним ключем підписувача;
3. Інтегрує підпис та сертифікат у документ (PDF, підписаний у форматі PAdES-LTV для довгострокового зберігання).

Етап 4: кваліфіковане часове позначення

Служба кваліфікованого часового позначення (TSA), відповідна RFC 3161, додає криптографічну timestamp, доводячи, що підпис існував у конкретний момент. Це захищає від фальсифікації дати та гарантує доказову силу з часом — навіть якщо сертифікат підписувача пізніше закінчується.

Етап 5: архівування доказів

Підписаний документ архівується зі своєю повною пісною аудиту: ідентичність підписувача, IP-адреса, часове позначення, гешу документа, використані сертифікати. Цей файл доказів (audit trail) є істотним у разі судового оспорювання. Рішення, відповідні eIDAS, ведуть ці докази у форматі PAdES-LTV (Long-Term Validation), який інтегрує дані валідації, щоб дозволити перевірку років після підпису.

Щоб зрозуміти, як інтегрувати цей процес у ваші HR-потоки, ознайомтеся з нашим рішенням електронного підпису для HR та нашими шаблонами договорів для завантаження.

Нормативна база, що застосовується до електронного підпису

Електронний підпис розміщується в багаторівневій нормативній базі, артикулюючи національне цивільне право та гармонізоване європейське право.

Французький цивільний кодекс

Стаття 1366 Цивільного кодексу встановлює фундаментальний принцип: «Електронний документ має таку ж доказову силу, що й документ на паперовому носії, за умови, що особа, від якої він надходить, може бути належно ідентифікована та що він складений і зберігається у спосіб, що гарантує його цілісність». Стаття 1367 уточнює, що електронний підпис «полягає у використанні надійного процесу ідентифікації, що гарантує його зв'язок з актом, до якого він прилаштовується».

Указ № 2017-1416 від 28 вересня 2017 року визначає презумпцію надійності для кваліфікованих та розширених підписів, відповідних eIDAS.

Регламент eIDAS № 910/2014

Наріжний камінь європейського права цифрової довіри, регламент eIDAS (electronic IDentification, Authentication and trust Services) встановлює уніфіковану правову базу для електронних підписів, електронних печаток, кваліфікованого часового позначення, служб рекомендованої доставки та сертифікатів автентифікації веб-сайтів. Його стаття 25, пункт 2, надає кваліфікованому підписові законну презумпцію еквівалентності рукописній підписі в усій ЄС.

Регламент eIDAS 2.0 (що транспонується у першому кварталі 2026 року) посилює ці положення із портфелем європейської цифрової ідентичності (EUDIW) та розширює зобов'язання на ринки фінансових послуг та охорони здоров'я.

Стандарти ETSI

Формати підписів стандартизовані ETSI:

• ETSI EN 319 132 (XAdES), EN 319 122 (CAdES), EN 319 102 (PAdES) визначають технічні профілі розширених та кваліфікованих підписів;
• ETSI EN 319 421 регламентує політики служб кваліфікованого часового позначення.

GDPR та захист даних

Обробка даних ідентичності в контексті електронного підпису (ім'я, електронна пошта, біометрія для перевірки ідентичності) підлягає GDPR № 2016/679. Контролери даних повинні: мати правову основу (законний інтерес або виконання контракту), застосовувати принцип мінімізації даних та гарантувати безпеку відповідними технічними заходами (шифрування, псевдонімізація).

Директива NIS2

Директива NIS2 (2022/2555/ЄС), трансформована у французькі закони з жовтня 2024 року, накладає на операторів основних служб та провайдерів цифрових послуг (включаючи провайдерів електронного підпису) посилені зобов'язання щодо кібербезпеки, управління ризиками та повідомлення про інциденти протягом 24 годин. Невиконання виявляється штрафами до 10 мільйонів євро або 2% світового обороту.

Конкретні сценарії використання електронного підпису

Сценарій 1: фірма адвокатів з великими справами автоматизує підпис мандатів

Фірма адвокатів з великими справами, що складається з дванадцяти співробітників, обробляла в середньому 120 мандатів на місяць. Паперова процедура передбачала друк, поштову доставку або передачу в руки, а потім сканування повернених документів — створюючи середній затримку в 4,5 робочих днів на справу та передбачувану втрату документів на рівні 8%.

Розгорнувши розширений електронний підпис (AdES) з аутентифікацією OTP, фірма скоротила час підпису до менше 4 годин в середньому, зменшила аномалії документів до менше 1% та заощадила приблизно 2 200 € на рік на поштових та друкарських витратах. Автоматично генерована аудит траса також спростила два спори з приводу мандатів, забезпечивши незаперечне доказове свідоцтво. Ознайомтеся з нашим рішенням для юридичних фірм.

Сценарій 2: невелике промислове підприємство діджиталізує контракти з постачальниками

Невелике промислове підприємство, що керує приблизно 200 контрактами з постачальниками на рік (загальні умови закупівель, аменди з тарифами, угоди про конфіденційність), стикалося із затримками підпису, які можуть перевищувати три тижні для договорів через кордон із партнерами в Німеччині та Іспанії. Різниці в правових системах та відсутність взаємного визнання сповільнювали переговори.

Прийнявши кваліфікований підпис (QES), виданий акредитованим QTSP eIDAS, визнаний в усій ЄС, невелике підприємство отримало автоматичне юридичне визнання в усіх трьох країнах без будь-якої додаткової легалізації. Середній час міжнародного підпису скоротився з 18 днів до 2,5 днів. Електронний підпис на підприємстві деталізує ці переваги для закупівельних команд.

Сценарій 3: медичний複合複合 безпечує інформовану згоду пацієнтів

Медичний комплекс з приблизно 800 ліжками мав збирати інформовану згоду пацієнтів на протоколи клінічних досліджень. Паперова управління створювала ризики відповідності GDPR (погано архіовані документи, відсутність відстежуваних дат) та мобілізувала медичний персонал для адміністративних завдань.

Інтегрувавши простий електронний підпис з ідентифікацією SMS — достатній для актів, не підлягаючих вимозі про кваліфікацію — комплекс автоматизував збір, архівування та відстеження дозволів. Адміністративний час на пацієнта скоротився з 12 хвилин до менше 2 хвилин, звільнивши приблизно 800 медичних годин на рік. Всі документи архівуються з кваліфікованою часовою міткою, повністю задовольняючи вимогам CNIL. Вивчіть наше рішення підпису для охорони здоров'я.

Висновок

Розуміння того, як технічно працює електронний підпис — від асиметричної криптографії до PKI, від кваліфікованих сертифікатів до доказового часового позначення — є обов'язковим для прийняття обґрунтованих рішень щодо відповідності та операційної ефективності. Три рівні eIDAS (простий, розширений, кваліфікований) відповідають різним потребам, і вибір завжди має бути спрямований аналізом юридичного ризику та очікуваної доказової сили.

Certyneo супроводжує вас у цьому переході з SaaS платформою, відповідною eIDAS, акредитованими QTSP та спрощеною інтеграцією у ваші існуючі процеси. Оцініть потенційні переваги для вашої організації за допомогою нашого калькулятора ROI електронного підпису або почніть негайно, звернувшись до нашої пропозиції та цін. Відповідність та продуктивність більше не є компромісом.