Vérifier authenticité document signé : commerce international

Thương mại quốc tế tạo ra hàng triệu hợp đồng hàng năm, thư tín dụng, vận đơn và chứng chỉ xuất xứ được ký điện tử trên toàn bộ hàng chục khu vực pháp lý khác nhau. Tuy nhiên, một nghiên cứu của ICC (Phòng Thương mại Quốc tế) công bố năm 2024 tiết lộ rằng 34% các tranh chấp thương mại xuyên biên giới liên quan đến các tranh chấp về tính xác thực hoặc tính toàn vẹn của các tài liệu được ký. Trước thách thức này, biết cách xác minh tính xác thực của tài liệu được ký trong lĩnh vực thương mại quốc tế đã trở thành kỹ năng chiến lược đối với các bộ phận pháp lý, tài chính và hậu cần. Bài viết này hướng dẫn bạn qua các cơ chế kỹ thuật, tiêu chuẩn quốc tế và các phương pháp hoạt động tốt nhất cần áp dụng vào năm 2026.

Hiểu các cơ chế xác thực của chữ ký điện tử

Trước khi xác minh tính xác thực của tài liệu được ký, điều cần thiết là phải hiểu những gì cấu thành tính xác thực này từ phương diện kỹ thuật. Một chữ ký điện tử đủ điều kiện dựa trên ba trụ cột cơ bản: mật mã khóa công khai (PKI), chứng chỉ số và dấu thời gian đủ điều kiện.

Mật mã bất đối xứng: nền tảng của việc xác minh

Khi người ký đặt chữ ký điện tử, một thuật toán mật mã tạo ra một dấu vân tay duy nhất (hash) của tài liệu. Dấu vân tay này được mã hóa bằng khóa riêng của người ký, do đó tạo ra chữ ký số. Để xác minh tính xác thực của tài liệu được ký trong thương mại quốc tế, người xác minh sử dụng khóa công khai tương ứng để giải mã dấu vân tay này và so sánh nó với hash được tính toán lại của tài liệu được nhận. Nếu cả hai khớp nhau, hai sự chắc chắn được áp đặt: tài liệu không bị sửa đổi kể từ khi ký (tính toàn vẹn), và chỉ có người giữ khóa riêng mới có thể ký (tính xác thực).

Các thuật toán được sử dụng rộng rãi nhất vào năm 2026 vẫn là RSA-2048, ECDSA và, đối với các môi trường dự tính mật mã hậu lượng tử, CRYSTALS-Dilithium, hiện đã được NIST chuẩn hóa.

Chứng chỉ số: chuỗi tin tưởng

Chỉ có khóa công khai là không đủ. Độ tin cậy của nó phụ thuộc vào chứng chỉ số kèm theo, được cấp bởi Cơ quan Cấp chứng chỉ (CA) được công nhận. Trong bối cảnh châu Âu được quản lý bởi quy định eIDAS, chỉ những nhà cung cấp dịch vụ tin tưởng đủ điều kiện (QTSP) xuất hiện trên danh sách tin tưởng quốc gia (Danh sách tin tưởng được công bố trên cổng thông tin chính thức của EU) mới có thể cấp chứng chỉ đủ điều kiện.

Đối với thương mại quốc tế, sự phức tạp nằm ở việc công nhận lẫn nhau giữa các khu vực pháp lý. Chứng chỉ được cấp bởi CA của Mỹ (ví dụ: DigiCert hoặc Sectigo) có thể không được hưởng lợi từ sự công nhận độ tin cậy được cung cấp cho chứng chỉ eIDAS đủ điều kiện ở châu Âu. Ngược lại, chứng chỉ eIDAS đủ điều kiện không được tự động công nhận là đủ điều kiện ở Nhật Bản hoặc Trung Quốc, mặc dù nó thường sẽ được chấp nhận làm bằng chứng pháp lý.

Dấu thời gian đủ điều kiện: bằng chứng về ưu tiên

Dấu thời gian đủ điều kiện (Qualified Time Stamp, QTS) cấu thành cột thứ ba. Nó chứng minh, một cách chặt chẽ, rằng tài liệu tồn tại dưới hình thức được ký vào một thời điểm chính xác. Trong các giao dịch thương mại quốc tế, bằng chứng ưu tiên này rất quan trọng để giải quyết các tranh chấp liên quan đến thời hạn hợp đồng, ngày có hiệu lực của bảo đảm hoặc thời hạn giao hàng. Tiêu chuẩn ETSI EN 319 421 quy định các chính sách và thủ tục áp dụng cho các cơ quan dấu thời gian đủ điều kiện trong không gian eIDAS.

Các phương pháp xác minh thực tế trong thương mại quốc tế

Lý thuyết mật mã phải dịch thành các thủ tục hoạt động cụ thể. Dưới đây là các phương pháp đã được chứng minh để xác minh tính xác thực của tài liệu được ký trong lĩnh vực thương mại quốc tế.

Xác minh thông qua các nền tảng ký được chứng nhận

Phương pháp trực tiếp nhất là sử dụng nền tảng ký gốc hoặc công cụ xác minh của bên thứ ba được công nhận. Hầu hết các giải pháp SaaS ký điện tử tuân thủ eIDAS đều tích hợp cổng thông tin xác minh công khai hoặc API xác minh. Certyneo, chẳng hạn, tạo ra cho mỗi tài liệu được ký một báo cáo bằng chứng (Audit Trail) có thể tải xuống dưới dạng PDF/A, bao gồm dấu vân tay mật mã, danh tính của người ký được xác minh, dấu thời gian đủ điều kiện và siêu dữ liệu kết nối.

Đối với các tài liệu ở định dạng PDF, trình đọc Adobe Acrobat Reader (phiên bản 11 trở lên) cho phép xác minh gốc các chữ ký PDF/A tuân thủ tiêu chuẩn PAdES (ETSI EN 319 132). Nó hiển thị một biểu ngữ xác thực cho biết liệu chữ ký có hợp lệ, liệu chứng chỉ có hiệu lực hay tài liệu có bị sửa đổi sau khi ký hay không.

Xác minh bằng các công cụ tổ chức

Ủy ban Châu Âu cung cấp DSS (Digital Signature Services), một công cụ mã nguồn mở tham chiếu cho phép xác thực chữ ký ở các định dạng PAdES, XAdES, CAdES và ASiC. Có sẵn trực tuyến trên cổng thông tin ec.europa.eu/cefdigital/DSS, nó tự động xác minh chữ ký so với Danh sách tin tưởng của châu Âu.

Đối với các tài liệu từ các nước thứ ba, một số cơ quan quốc gia đề nghị các công cụ tương tự:

• Cổng thông tin Adobe Approved Trust List (AATL) cho các chứng chỉ được công nhận trên toàn thế giới

• Trust List Browser của ETSI cho các QTSP châu Âu

• Công cụ xác minh của Phòng Thương mại Quốc tế (ICC) cho các tài liệu thương mại được chuẩn hóa (Incoterms, thư tín dụng điện tử eLCs)

Xác minh các tài liệu giấy số hóa với chữ ký điện tử

Trong thương mại quốc tế, nhiều tài liệu lai tạp cùng tồn tại: bản gốc giấy mang chữ ký viết tay được số hóa, có hoặc không có con dấu điện tử. Trong trường hợp này, xác minh yêu cầu một cách tiếp cận khác:

1. Xác minh con dấu điện tử (eSealing) được áp dụng bởi tổ chức phát hành trên PDF được số hóa

1. Kiểm tra mã QR hoặc mã vạch 2D được tích hợp, dẫn đến một sổ đăng ký được bảo mật

1. Tư vấn các sổ đăng ký gốc (đối với chứng chỉ xuất xứ, chứng chỉ thực vật, v.v.) từ các tổ chức có thẩm quyền (hải quan, phòng thương mại)

Đối với vận đơn điện tử (eBL), xác minh hiện thường diễn ra qua các nền tảng chuyên biệt như BOLERO, essDOCS hoặc DCSA (Digital Container Shipping Association), những nơi duy trì sổ đăng ký tiêu đề quyền sở hữu điện tử.

Những thách thức cụ thể đối với thương mại quốc tế

Khả năng tương tác giữa các khu vực pháp lý và tiêu chuẩn

Thách thức chính của việc xác minh tính xác thực trong thương mại quốc tế là không có tiêu chuẩn duy nhất trên toàn thế giới. Ba khung lớn cùng tồn tại vào năm 2026:

• Châu Âu: Quy định eIDAS 2.0 (Quy định EU 2024/1183, có hiệu lực kể từ tháng 5 năm 2024), mở rộng công nhận lẫn nhau và giới thiệu ví danh tính số châu Âu (EUDIW)

• Hoa Kỳ: ESIGN Act (2000) và UETA, với một cách tiếp cận trung lập về công nghệ nhưng không có danh sách tin tưởng tập trung

• Châu Á-Thái Bình Dương: Khung APEC (e-Commerce Steering Group), với các mức độ trưởng thành rất không đồng nhất tùy theo các nước thành viên

UNCITRAL (Ủy ban Luật thương mại Quốc tế của Liên Hợp Quốc) đã công bố vào năm 2017 Luật mẫu về tài liệu và chữ ký điện tử có thể chuyển nhượng (MLETR), được Bahreïn, Singapore, Vương quốc Anh, UAE, Đức, Pháp (Sắc lệnh n°2024-872) và khoảng 10 quốc gia khác thông qua kể từ đó. Luật này cấu thành nền tảng cho tiêu chuẩn toàn cầu trong tương lai để xác minh các tài liệu thương mại điện tử.

Vấn đề về ngôn ngữ và định dạng

Một hợp đồng được ký bằng tiếng Trung Quốc bởi một công ty dựa tại Thượng Hải, sử dụng chứng chỉ được cấp bởi CA được chứng nhận bởi MIIT (Bộ Công nghiệp và Công nghệ Thông tin Trung Quốc), có những thách thức cụ thể. Không có công cụ châu Âu cũng không phải Adobe sẽ tự động tích hợp CA này vào danh sách tin tưởng của họ. Xác minh sau đó yêu cầu:

• Yêu cầu chứng chỉ hợp pháp hóa (apostille số nếu quốc gia đã tham gia HCCH e-Apostille)

• Sử dụng bên thứ ba tin tưởng song phương hoặc phòng thương mại quốc tế

• Sử dụng nền tảng xác minh trung lập được cả hai bên chấp nhận trong hợp đồng

Quản lý rủi ro thu hồi chứng chỉ

Một tài liệu có thể được ký bằng chứng chỉ hợp lệ tại thời điểm ký, sau đó chứng chỉ này có thể bị thu hồi sau (xâm phạm khóa riêng, thay đổi trạng thái của người ký, phá sản của CA). Do đó, xác minh tính xác thực phải bao gồm kiểm tra Danh sách Thu hồi Chứng chỉ (CRL) hoặc yêu cầu OCSP (Online Certificate Status Protocol) tại thời điểm xác minh.

Tiêu chuẩn ETSI EN 319 102-1 yêu cầu rằng các chữ ký đủ điều kiện tích hợp các bằng chứng xác thực dài hạn (LTV – Long Term Validation), cho phép xác minh tính hợp lệ của chúng thậm chí nhiều năm sau khi ký, độc lập với trạng thái sau này của chứng chỉ. Tham khảo hướng dẫn đầy đủ của chúng tôi về quy định eIDAS 2.0 để tìm hiểu sâu hơn về những cơ chế tin tưởng dài hạn này.

Thiết lập quy trình xác minh có hệ thống

Xác định chính sách xác minh nội bộ

Trước sự phức tạp của việc xác minh trong bối cảnh quốc tế, các doanh nghiệp phải chính thức hóa chính sách xác minh chữ ký điện tử (PVSE) được tích hợp vào hệ thống quản lý tài liệu của họ. Chính sách này phải chỉ rõ:

• Mức độ ký được chấp nhận tùy theo bản chất của tài liệu (SES, AES hoặc QES theo eIDAS)

• Định dạng chữ ký được công nhận (PAdES, XAdES, CAdES, JAdES)

• Danh sách CA được chấp nhận cho mỗi khu vực địa lý đối tác

• Các quy trình xác minh thủ công cho các trường hợp ngoài tiêu chuẩn

• Thời hạn lưu giữ bằng chứng tính xác thực

Tự động hóa xác minh thông qua API

Đối với các tổ chức xử lý số lượng lớn tài liệu quốc tế, xác minh thủ công là không khả thi. Các nền tảng ký hiện đại, bao gồm Certyneo, cung cấp API REST xác minh cho phép tự động hóa kiểm soát tính xác thực trong các luồng tài liệu (ERP, TMS, nền tảng hải quan). Một sự tích hợp như vậy cho phép tự động xác minh từng tài liệu khi nhận được, ghi nhật ký kết quả và cảnh báo trong trường hợp có bất thường.

Máy tính ROI của Certyneo sẽ cho phép bạn ước tính các lợi ích năng suất liên quan đến tự động hóa các xác minh này trong tổ chức của bạn.

Đào tạo các đội hoạt động

Công nghệ một mình là không đủ. Các đội hải quan, mua hàng, pháp lý và tài chính phải được đào tạo để nhận ra các tín hiệu cảnh báo: không có báo cáo bằng chứng, chữ ký hình ảnh không mật mã, chứng chỉ hết hạn hoặc được cấp bởi CA không được công nhận. Đào tạo hàng năm, kết hợp với các thủ tục được ghi chép, làm giảm đáng kể rủi ro chấp nhận tài liệu giả mạo. Danh sách thuật ngữ ký điện tử của chúng tôi cấu thành tài nguyên giáo dục hữu ích để đào tạo các đội của bạn về các khái niệm cơ bản.

Khung pháp lý áp dụng cho xác minh tính xác thực trong thương mại quốc tế

Quy định eIDAS và sự phát triển của nó thành eIDAS 2.0

Ở châu Âu, nền tảng pháp lý của xác minh tính xác thực của chữ ký điện tử là Quy định (EU) n°910/2014 của Nghị viện Châu Âu và Hội đồng ngày 23 tháng 7 năm 2014, được gọi là quy định eIDAS. Điều 25 của nó đặt ra nguyên tắc cơ bản: chữ ký điện tử đủ điều kiện (SEQ) có hiệu lực pháp lý của chữ ký viết tay và được hưởng lợi từ sự công nhận độ tin cậy. Điều 32 làm rõ các yêu cầu xác thực chữ ký điện tử đủ điều kiện, tham chiếu các tiêu chuẩn kỹ thuật ETSI.

Kể từ tháng 5 năm 2024, Quy định (EU) 2024/1183 (eIDAS 2.0) tăng cường khung này bằng cách giới thiệu Ví Danh tính Số Châu Âu (EUDIW), các chứng chỉ thuộc tính điện tử đủ điều kiện và quản lý QTSP tăng cường. Nó cũng mở rộng công nhận chữ ký đủ điều kiện của châu Âu với các thực thể khu vực tư nhân.

Pháp luật Pháp: Bộ luật Dân sự và chuyển đổi

Trong pháp luật Pháp, các điều 1366 và 1367 của Bộ luật Dân sự (xuất phát từ sắc lệnh n°2016-131) xác định giá trị bằng chứng của tài liệu điện tử và chữ ký điện tử. Điều 1366 chỉ rõ rằng tài liệu điện tử có cùng lực bằng chứng với tài liệu trên giấy hỗ trợ, với điều kiện là người mà nó được phát hành phải được xác định đúng cách và tài liệu được thiết lập và lưu giữ theo các điều kiện có tính chất để đảm bảo tính toàn vẹn của nó. Điều 1367 định nghĩa chữ ký điện tử và tham chiếu các điều kiện được quyết định bởi sắc lệnh (Sắc lệnh n°2017-1416 ngày 28 tháng 9 năm 2017).

MLETR và pháp luật quốc tế

Trên phạm vi quốc tế, Luật Mẫu của UNCITRAL về Tài liệu và Chữ ký Điện tử Có thể Chuyển nhượng (MLETR, 2017) cấu thành tham chiếu cho các tài liệu thương mại không sắp xếp (vận đơn, thương phiếu, biên lai kho). Điều 10 của nó áp đặt rằng bất kỳ hệ thống kiểm soát tài liệu điện tử có thể chuyển nhượng nào cũng phải đáng tin cậy và thích hợp với bối cảnh. Pháp đã chuyển đổi nó thông qua Sắc lệnh n°2024-872 ngày 27 tháng 9 năm 2024.

GDPR và lưu giữ bằng chứng

Xác minh tính xác thực thường liên quan đến xử lý dữ liệu cá nhân (danh tính người ký, dữ liệu sinh trắc học hành vi). Quy định (EU) 2016/679 (GDPR), đặc biệt là các điều 5 (nguyên tắc xử lý), 17 (quyền xóa) và 89 (lưu trữ), quản lý thời lượng và phương thức lưu giữ bằng chứng xác minh. Trong thực tế, các báo cáo kiểm toán ký phải được lưu giữ trong thời gian thích hợp cho tài liệu — lên đến 10 năm đối với các hành động thương mại (điều L.110-4 của Bộ luật Thương mại) — điều này có thể gây ra căng thẳng với nguyên tắc tối thiểu hóa dữ liệu.

Trách nhiệm trong trường hợp xác minh bị lỗi

Chấp nhận tài liệu mà chữ ký của nó chưa được xác minh đúng cách có thể gây ra trách nhiệm hợp đồng và có lỗi của tổ chức. Trong trường hợp gian lận tài liệu được hỗ trợ bởi sự vắng mặt của xác minh, các điều 1240 và 1241 của Bộ luật Dân sự có thể được gọi. Hơn nữa, Chỉ thị NIS2 (EU) 2022/2555, được chuyển đổi ở Pháp bởi luật n°2024-659 ngày 22 tháng 7 năm 2024, áp đặt các yêu cầu bảo mật hệ thống thông tin cho các nhà khai thác tầm quan trọng sống còn và các thực thể cần thiết bao gồm xác minh tính toàn vẹn của trao đổi điện tử.

Tình huống sử dụng: xác minh tính xác thực trong thương mại quốc tế

Tình huống 1: Công ty nhập khẩu-xuất khẩu châu Âu xử lý hàng trăm hợp đồng hàng năm

Một công ty SME công nghiệp châu Âu chuyên về nhập khẩu-xuất khẩu linh kiện điện tử quản lý khoảng 350 hợp đồng nhà cung cấp mỗi năm, với các bên đối tác nằm ở Đông Nam Á, Bắc Mỹ và Trung Đông. Trước khi triển khai quy trình xác minh có hệ thống, các đội mua hàng của nó chấp nhận các hợp đồng được ký điện tử mà không kiểm soát tính hợp lệ của chứng chỉ cũng như sự hiện diện của dấu thời gian đủ điều kiện. Sau một cuộc tranh chấp với nhà cung cấp Malaysia người phản đối ngày tháng của lệnh mua hàng được ký, công ty đã phải chịu thiệt hại ước tính hàng chục nghìn euro.

Bằng cách triển khai API xác minh tự động được tích hợp vào ERP và áp dụng chính sách yêu cầu chữ ký ở mức AES tối thiểu cho các hợp đồng dưới 50.000 € và QES cho các khoản tiền lớn hơn, SME đã giảm 90% thời gian xử lý các tranh chấp tài liệu và loại bỏ các sự cố chấp nhận chứng chỉ hết hạn. Lợi nhuận trên đầu tư đã đạt được trong vòng chưa đầy 8 tháng.

Tình huống 2: Công ty vận chuyển hàng hóa hải quan quản lý khai báo điện tử đa quốc gia

Một công ty vận chuyển hàng hóa hoạt động cho một khách hàng khoảng 80 người đặt hàng hoạt động xử lý hàng ngày các chứng chỉ xuất xứ, danh sách bao bì và hóa đơn thương mại được ký điện tử từ 15 nước khác nhau. Sự đa dạng về định dạng (PAdES cho các tài liệu châu Âu, chữ ký XML cho các tài liệu châu Á, tài liệu lai giấy-số cho một số quốc gia ở châu Phi) làm cho xác minh thủ công cực kỳ tốn thời gian — khoảng 45 phút cho mỗi tập hợp phức tạp.

Bằng cách tích hợp nền tảng ký điện tử tuân thủ eIDAS với mô-đun xác minh đa định dạng, công ty vận chuyển đã giảm thời hạn này xuống dưới 5 phút cho mỗi hồ sơ nhờ xác minh tự động, tức là giảm 89% thời gian xử lý. Tuân thủ hải quan (chế độ thủ tục hải quan đơn giản OEA) cũng được tăng cường, giảm tắc nghẽn hải quan 40% trên phạm vi tương tự.

Tình huống 3: Văn phòng luật quốc tế chuyên về pháp luật hợp đồng xuyên biên giới

Một hãng luật kinh doanh có khoảng 20 thành viên sáng lập chuyên về giao dịch M&