2025 végére megváltozott a digitális aláírás rendje: a korábban alkalmazott AVDH (vagyis azonosításra visszavezetett dokumentumhitelesítés) rendszerét egy másik, a FEDOR (felhasználó dokumentumhoz rendelése) váltotta fel, párhuzamosan a DÁP (digitális állampolgárság) funkcióinak terjedésével. Mi van a betűszavak mögött? Elmagyarázzuk.
Novembertől alapvető különbség van a magánszemélyek és a gazdálkodó szervezetek számára elérhető elektronikus aláírások között. Magánszemélyek a DÁP rendszerén belül tudnak dokumentumokat hitelesíteni a Digitális Aláírás menüpont alatt elérhető szolgáltatással, ezt az Európai Unió teljes területén elfogadják egyenértékűen a személyesen aláírt dokumentumokkal.
A vállalkozások – beleértve az egyéni vállalkozókat – számára ez nem elérhető: a gazdálkodó szervezetek a FEDOR szolgáltatással tudnak hiteles elektronikus dokumentumot létrehozni. Az AVDH-val ellentétben azonban a FEDOR-ban létrehozott iratok nem minősülnek teljes bizonyító erejű magánokiratnak, ahhoz, hogy azok legyenek, a benyújtás előtt az iratot úgynevezett minősített bizalmi szolgáltatókkal kell hitelesíttetni.
A szigorítást az elektronikus tranzakciókhoz kapcsolódó elektronikus azonosításról és bizalmi szolgáltatásokról szóló uniós rendelet (eIDAS) írja elő, amely arra kötelezi a tagországokat, hogy listán vezessék az elérhető bizalmi szolgáltatókat. A magyarországi szolgáltatók listája ezen az oldalon érhető el, itt elkülönítve láthatók az aktív és az inaktív szolgáltatók, illetve az is, pontosan milyen hitelesítés bonyolítható ezekkel a cégekkel (például elérhető-e időbélyeg). Az uniós belső piac szabályai alapján egyébként a magyar cégek nem csak a magyar bizalmi szolgáltatókat vehetik igénybe a hitelesítéshez, hanem bármely az EU-ban működő listázott szolgáltatót. (A DÁP egyelőre nem alkalmas erre, bár hírek szerint folyik az ez irányú fejlesztés.) A szolgáltatás nem ingyenes, a magyarországi szolgáltatóknál általában havi néhány ezer forintért érhető el.
Mit is ír elő pontosan az eIDAS? A rendelet háromféle elektronikus aláírást különböztet meg: az egyszerűt (SES), a fokozott biztonságút (AdES), illetve a minősítetett (QES). Az első kategória egyszerűen fogalmazva semmire nem jó, hiszen nem azonosítja az aláírót, nem lehet nyomon követni a dokumentum változásait sem. Ebbe a kategóriába tartozik az, ha kézzel aláírunk egy pdf-et, majd beszkenneljük és e-mailben továbbítjuk. A második kategóriánál már megvan a bizalmi szolgáltató és az aláírás bizonyíthatóan köthető az aláíróhoz, de annak azonosítása nem minden esetben felel meg az előírásoknak – ez a helyzet most a céges aláírásoknál. Itt van szükség a minősített elektronikus aláírásra (QES), amelynek létrehozásához minősített tanúsítványra van szükség, ez igazolja az aláíró személyazonosságát, egyúttal az aláírás hitelességét – méghozzá egy szoftver vagy token segítségével, személyes vagy távazonosítás után. Ez lehet például egy videós kapcsolat, ahol az aláíró (a szervezet nevében eljáró természetes személy) belenéz a kamerába és felmutatja személyazonosító okmányát is. Ez kell tehát az új rendszerben ahhoz, hogy magánokirattá váljon egy elektronikusan aláírt dokumentum.
