Skriva under elektroniskt via BankID? INGA KONSTIGHETER. Men hur funkar digitala signaturer i revisions- och rådgivningsbranschen?

Carina Hedrum är auktoriserad redovisningskonsult, godkänd revisor och byråledare för PBAB Redovisning och Revision. Byrån började leta efter en möjlighet att använda elektroniska signaturer för flera år sedan, i samband med att kunderna på allvar hade omfamnat bruket av BankID.

– Deklarationer har vi lämnat in elektroniskt i flera år nu och där har vi även en ombudsroll och kan skriva under åt kunderna. Men vi behövde en bra lösning för att hantera alla andra underskrifter som gjordes på papper. Vi ville ha möjligheten att själva kunna skicka dokument som vi kunde få tillbaka med en digital signatur, säger Carina Hedrum.

Reko, bokföringsorder, uppdragsbrev, lagerintyg, uttalande från företagsledningen ... Alla dokument i branschen som kräver signatur genererar en oerhört tidskrävande pappersexercis.

Med det i bakhuvudet hittade Carina Hedrum så småningom en modell genom Wolters Kluwer som passade PBAB:s sätt att arbeta. Och numera skickas automatiska mejl till kunderna via olika digitala mappsystem och PDF:er. Mejlen innehåller en särskild länk och när kunderna klickar på länken kommer de till en inloggningssida där de kan fylla i sina uppgifter och skriva under med mobilt BankID.

– I stället för att rita dit sin signatur med en digital penna kommer underskriften i form av ett stämpelkvitto. Jag kan gå in i portalen och övervaka att det är på gång. Om det dröjer en vecka behöver jag inte ens påminna kunden, utan det går ut automatiska påminnelser från programmet, berättar Carina Hedrum.

Det Carina Hedrum använder är avancerad elektronisk underskrift. Det finns ytterligare typer av signaturer; elektronisk underskrift samt kvalificerad elektronisk underskrift. Men i revisions- och redovisningsbranschen är det alltså avancerad elektronisk underskrift som används.

Björn Scharin arbetar på nätsäkerhetsavdelningen på Post- och telestyrelsen (PTS), tillsynsmyndigheten som bevakar post och elektronisk kommunikation i Sverige.

Hur vet man att ett företag som utger sig för att tillhandahålla en avancerad elektronisk underskrift faktiskt kan det?

– För att kunna skapa en avancerad elektronisk underskrift behöver man en sorts certifikat. Det är som en id-handling, något som identifierar avsändaren som har certifikatet. Mobilt BankID kan användas för att skapa en sådan avancerad elektronisk underskrift, säger Björn Scharin.

Hur kontrollerar revisorn och redovisningskonsulten att det är rätt person som skriver under elektroniskt?

– Det ser man genom att systemtekniskt kontrollera en avancerad elektronisk underskrift. Dels behöver man undersöka att det är en legitim utfärdare. Man ska alltså fråga sig vem som har utfärdat certifikatet. Är det någon jag litar på? Sedan har certifikaten en giltighetstid och därför kontrollerar man även att giltighetstiden inte har gått ut.

– Signaturen, den avancerade elektroniska underskriften, är i slutändan en krypterad kontrollsumma av den information som är underskriven. Den sista delen av kontrollen är att se att kontrollsumman blir densamma, vilket innebär att innehållet inte har förändrats sedan den skrevs under.

Nyligen ingick FAR ett samarbete med leverantören Verified, som erbjuder medlemmarna att elektroniskt signera bland annat uppdragsbrev, kassaintyg och uttalande från företagsledning. Verifieds vd Tommy Flemström pekar på kortare ledtid som en av alla positiva aspekter av elektroniska attester.

– Man ökar konverteringen och får dessutom bättre spårbarhet genom att följa allt som sker i realtid. Revisorn och konsulten får större kontroll eftersom allt samlas i ett och samma e-arkiv. Bevisningsgraden är mycket högre. En signatur med penna på papper är svår för mig att kontrollera om jag inte jämför med id eller pass. Avancerad elektronisk underskrift är säkrare. Inga dokument hamnar på vift och allt sparas i en skyddad miljö, säger Tommy Flemström.

Viktigt att komma ihåg är att revisorn och konsulten som använder avancerad elektronisk underskrift måste säkerställa att all data sparas inom EU, särskilt från 25 maj 2018 då nya dataskyddsförordningen GDPR börjar gälla.

Det nya sättet att signera dokument och som får allt större plats i branschen är ett självklart steg framåt i digitaliseringensprocessen. Avancerad elektronisk underskrift kan exempelvis redan nu användas som id-kontroll enligt penningtvättslagen.

Kontrollen ska i normalfallet göras innan affärsförbindelsen etableras, alltså innan avtalet skrivs under. För högriskkunder kan ytterligare kontrollåtgärder vara befogade.

Camilla Carlsson, auktoriserad redovisningskonsult och redovisningsexpert på FAR, menar att digitala underskrifter är här för att stanna.

– Det handlar framförallt om enkelheten. Du har ju tillgång till systemet oavsett var du befinner dig. Det är smidigt att få rätt person att skriva under och lätt att bevaka hela kedjan. För hur många kollar egentligen sitt postfack numera? De flesta är väldigt mobila i sitt yrke, säger Camilla Carlsson.

– Många av våra redovisningskonsulters kunder har dessutom krav att byrån ska tillhandahålla ett digitalt alternativ. För att vara helt digital måste byrån kunna erbjuda avancerade elektroniska underskrifter. Utmaningen ligger nog snarare i vanans makt. Att en del vill ha avtal på papper av gammal tradition.

För Carina Hedrum på PBAB Revision och Redovisning finns det ingen väg tillbaka. Vad gäller deklarationer jobbar byrån hundra procent digitalt, medan bokföringen hanteras utan papper till 60–70 procent.

– Nu när Bolagsverket har öppnat upp för digitala årsredovisningar hoppar vi självklart på tåget. Och den avancerade elektroniska underskriften är en pusselbit i den digitala omställningen. Att vänja sig går relativt fort. Kunderna tycker att det är smidigt och enkelt, därför blir de mer motiverade att acceptera även andra liknande förändringar. I slutändan handlar allt det digitala om att säga ja till utvecklingsmöjligheter, säger Carina Hedrum.

Sofia Hadjipetri Glantz

De tre nivåerna av underskrifter:

Elektronisk underskrift:

Uppgifter i elektronisk form som är fogade till eller logiskt knutna till andra uppgifter i elektronisk form och som används av undertecknaren för att skriva under.

Avancerad elektronisk underskrift:

En elektronisk underskrift som uppfyller kraven enligt artikel 26 (se faktaruta på nästa sida).

Kvalificerad elektronisk underskrift:

En avancerad elektronisk underskrift som skapas med hjälp av en kvalificerad anordning för underskriftframställning och som är baserad på ett kvalificerat certifikat för elektroniska underskrifter.

Källa:

eIDAS-förordningens artikel 3, Definitioner. (EU-reglering på området, reds.anm.)

Förordningen:

”EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG”

En avancerad elektronisk underskrift ska uppfylla följande:

A) Den ska vara unikt knuten till undertecknaren.

B) Undertecknaren ska kunna identifieras genom den.

C) Den ska vara skapad på grundval av uppgifter för skapande av elektroniska underskrifter som undertecknaren med hög grad av tillförlitlighet kan använda uteslutande under sin egen kontroll.

D) Den ska vara kopplad till de uppgifter som den används för att underteckna på ett sådant sätt att alla efterföljande ändringar av uppgifterna kan upptäckas.

Källa: eIDAS-förordningens artikel 26, Krav med avseende på avancerade elektroniska underskrifter. (EU-reglering på området, reds.anm.)

Förordningen: ”EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG”