Sähköinen allekirjoittaminen: Joko pdf-kierrokset voisi lopettaa?

Tyypillinen tapa on kierrättää pdf-tiedostoja sähköpostilla siten, että allekirjoittaja tulostaa, allekirjoittaa ja skannaa asiakirjan ja lähettää sen sitten eteenpäin. Kokemustemme mukaan tätä tapaa käytetään muun muassa isojen rahoitusjärjestelyjen lainadokumentaatiossa.

Voisiko nämä pdf-kierrokset siirtää jo historiaan ja siirtyä kokonaan sähköiseen allekirjoittamiseen?

Sähköinen allekirjoitus on jo arkipäivää

Kauppakirjoja ja muita transaktiosopimuksia allekirjoitetaan jo tottuneesti sähköisillä ohjelmilla. Joissain tilanteissa sähköistä allekirjoittamista pidetään jo niin itsestään selvänä, ettei välttämättä tule mieleenkään varmistaa etukäteen, hyväksyvätkö kaikki osapuolet tämän menetelmän. Vaikka osapuolilla on lain mukaan täysi vapaus sopia asioista ilman perinteisiä käsintehtyjä allekirjoituksia, transaktioissa eri osapuolten prosessit ja vaatimukset on syytä huomioida.

Sähköistä allekirjoitusta käyttämällä satojen sivujen dokumentaatio voidaan allekirjoittaa sähköpostilinkin välityksellä. Tyypillisesti asiakirja lähetetään allekirjoittajan sähköpostiin, ja linkin kautta allekirjoittaja pääsee lähettämään oman sähköisen allekirjoituksensa. Tähän voidaan liittää vaatimus vahvasta tunnistautumisesta.

Sähköinen allekirjoittaminen säästää aikaa, vaivaa ja rahaa silloin, kun kaikki osapuolet eivät ole samassa tilassa. Pandemia-aika on lisännyt painetta sähköisen allekirjoittamisen käyttöön, kun fyysisiä kontakteja on ollut tarpeen vähentää.

Sähköinen sopimus lähtökohtaisesti pätevä

Sähköisten allekirjoitusten oikeudellinen asema ja oikeusvaikutukset rakentuvat toisaalta EU-tason sääntelyn periaatteille ja toisaalta kansallisen lainsäädännön varaan.

Euroopan unionin asetus (EU) N:o 910/2014 (eIDAS-asetus) pitää sisällään periaatteen, jonka mukaan sähköisen allekirjoituksen oikeusvaikutuksia ei pitäisi kieltää sillä perusteella, että allekirjoitus on sähköisessä muodossa. Asetus on Suomessa suoraan sovellettavaa oikeutta.

Suomessa sopimusoikeuden yleislaki on oikeustoimilaki (laki varallisuusoikeudellisista oikeustoimista). Sen mukaan pätevän sopimuksen syntyminen ei edellytä osapuolten käsin allekirjoittamaa sopimusta, jos sopimusosapuolet muutoin pääsevät yksimielisyyteen sopimukseen sitoutumisesta ja sen sisällöstä.

Ellei sopimukselle ole säädetty laissa erityistä määrämuotoa, osapuolet voivat vapaasti valita, tehdäänkö sopimus suullisesti, kirjallisesti tai sähköisesti.

Kolme erilaista sähköistä allekirjoitusta

On hyvä huomata, että sähköisiä allekirjoituksia on kolmen tasoisia.

Korkeinta varmuustasoa edustaa niin sanottu hyväksytty sähköinen allekirjoitus, joka on oikeudellisesti sitova sellaisenaan ilman erillistä todistelua. Korkeimman varmuustason sähköistä allekirjoitusta tarjoaa Suomessa vain Digi- ja väestötietovirasto.

Toiseksi korkeimmalla varmuustasolla on vahvalla tunnistautumisella varmennettu sähköinen allekirjoitus. Vahvoja tunnistusjärjestelmiä ovat esimerkiksi suomalaiset pankkitunnisteet ja mobiilivarmenne.

Kolmannella ja heikoimmalla varmuustasolla on heikolla tunnistautumisella varmennettu sähköinen allekirjoitus. Heikko tunnistautuminen tapahtuu esimerkiksi sähköpostiosoitteella tai salasanalla.

Sähköisen allekirjoituksen turvallisuus

Sähköinen allekirjoittaminen on herättänyt epäilyksiä muun muassa siitä, kuinka luotettavasti sähköiset allekirjoitukset toimivat, millaisia teknisiä epävarmuuksia niihin liittyy ja ovatko ne päteviä esimerkiksi riitatilanteissa.

Kokemuksemme mukaan käytännössä ei ole tullut esiin tilanteita, joissa sähköistä allekirjoitusta käytettäessä olisi jälkikäteen tullut esiin väärinkäytöksiä. Vahvan tunnistautumisen edellyttäminen nostaa sähköisen allekirjoittamisen luotettavuudeltaan selkeästi esimerkiksi pdf-kierrosten yläpuolelle. Ainakin allekirjoittajan henkilöllisyys todennetaan vahvemmin kuin perinteisen pdf-kopion lähettäjän.

Mahdolliset tietoturvariskit ja peukalointiyritykset pyritään torjumaan erityisellä teknologialla sekä lisäasetuksilla esimerkiksi käyttämällä useampia auditointiketjuja tai tunnistautumisedellytyksiä.

Jos käytetään hyväksyttyä sähköistä allekirjoitusta, tekijä ei voi kiistää tehneensä allekirjoitusta tai väittää, että asiakirjaa olisi muutettu jälkeenpäin. Ellei sopimukselle ole säädetty laissa erityistä määrämuotoa, osapuolet voivatkin lähtökohtaisesti tehdä sopimuksen suullisesti, kirjallisesti tai sähköisesti. Sähköinen allekirjoitus sitoo siis riitatilanteissa pääsääntöisesti suullisen ja kirjallisen allekirjoituksen lailla.

Digi- ja väestötietoviraston tarjoamalla allekirjoitusvarmenteella on eIDAS-asetuksen (EU N:o 910/2014) perusteella käsin kirjoitettua allekirjoitusta vastaava asema, ja tällainen allekirjoitus tulee hyväksyä muissa jäsenvaltioissa sellaisenaan.

Onko aika jo kypsä?

Miten pdf-kierrosten kanssa sitten tulisi menetellä?

Kukaan ei tietenkään kiellä jatkamasta niitä, mutta niihinkin liittyy luotettavuusriskejä – jopa suurempia riskejä kuin sähköiseen allekirjoittamiseen.

Allekirjoittajan tosiasiallista henkilöllisyyttä ei usein varmenneta mitenkään. Jos allekirjoittaja on kaukana kesämökillään, kuka voi olla varma, että allekirjoittaja on juuri hän?

Se, että pdf-tiedostojen kierrättäminen olisi itsessään sähköistä allekirjoittamista turvallisempi vaihtoehto, on pelkkä traditionaaliseen ajatteluun perustuva myytti.