Att signera dokument digitalt har blivit allt vanligare i branschen. Men det finns utmaningar. Uppfyller exempelvis lösningarna på marknaden kravet på avancerad elektronisk underskrift?
Underskriften revisions- och rådgivningsbranschen använder för att signera vissa dokument digitalt heter avancerad elektronisk underskrift. Att signaturen verkligen uppfyller lagkravet är däremot svårt att få en säker garanti på. Det finns totalt tre typer av signaturer; elektronisk underskrift, kvalificerad elektronisk underskrift, samt avancerad elektronisk underskrift. I revisions- och redovisningsbranschen är det alltså avancerad elektronisk underskrift som används för att skriva under revisions- och redovisningsberättelser, då det föreskrivs i lagen. Det elektroniska sättet att signera dessa dokument – och som får allt större plats i branschen – är ett självklart steg framåt i digitaliseringsprocessen.
Kontrollen ska i normalfallet göras innan affärsförbindelsen etableras, alltså innan avtalet skrivs under. För högriskkunder kan ytterligare kontrollåtgärder vara befogade.
Viktigt att komma ihåg är att revisorn och konsulten som använder avancerad elektronisk underskrift måste säkerställa att all data sparas inom EU, det gäller sedan 25 maj 2018 då nya dataskyddsförordningen GDPR togs i bruk.
Under coronavåren 2020 och månaderna som följde noterade XBRL-föreningen, som består av programvaruföretag, kreditupplysningsföretag, myndigheter, samt medlemmar som arbetar med revision, redovisning, skatt och lön, att användningen av digitala underskrifter ökade lavinartat.
XBRL-föreningen började därför fråga sig: Alla de lösningar som används på marknaden, uppfyller de kravet på avancerad elektronisk underskrift? Det ska visa sig att det aldrig går att garantera att så är fallet. Och nu höjs röster för en certifiering av den avancerad elektronisk underskriften.
"Har rätt att granska"
Post- och telestyrelsen (PTS) har rätt att granska icke kvalificerade leverantörer, alltså tillhandahållare som erbjuder avancerade elektroniska underskrifter, om de inte uppfyller lagstiftningen.
Björn Scharin arbetar på avdelningen för säker kommunikation på Post- och telestyrelsen (PTS), tillsynsmyndigheten som bland annat bevakar post och elektronisk kommunikation i Sverige.
Hur arbetar PTS med tillsynen av digitala signaturer?
– Vi bedriver kontroll av kvalificerade tillhandahållare. Vid misstanke, eller konstaterat fakta, att man inte uppfyller EU-förordningen har vi rätt att granska även icke kvalificerade tillhandahållare, till exempel tillhandahållare av avancerade elektroniska underskrifter. Både kvalificerade och icke kvalificerade betrodda tjänster har en skyldighet att anmäla incidenter som inträffar, svarar Björn Scharin.
Skulle certifiering av avancerad elektronisk underskrift kunna vara en väg att gå?
– Den typen av krav finns för kvalificerade tillhandahållare. Men inte för icke kvalificerade sådana, som till exempel tjänster för skapande av avancerade elektroniska underskrifter. I dag finns två kvalificerade tillhandahållare i Sverige. Det innebär att de har anmält sig till PTS och innan anmälan genomgått en certifiering av ett ackrediterat certifieringsorgan i enlighet med kraven i eIDAS-förordningen. En av dessa levererar kvalificerade elektroniska underskrifter.
Hur vet man att en leverantör som utger sig för att tillhandahålla en avancerad elektronisk underskrift faktiskt kan det?
– För att ta reda på det får man fråga den tillhandahållare man väljer. Hur lever tillhandahållaren upp till de krav som finns på en avancerad elektronisk underskrift? Det handlar då om hur underskriften i fråga är knuten till den som skriver under, hur personen identifieras, hur tillhandahållaren säkerställer att ingen kan utge sig för att vara personen och hur förändring av den data som skrivs under kan upptäckas.
Hur kan revisorn och redovisningskonsulten kontrollera att den avancerade elektroniska underskriften är korrekt?
– Den som behöver göra kontrollen kan använda antingen en tjänst, kallad valideringstjänst, för detta eller i vissa fall inbyggd kontrollfunktion i en programvara. Flera tillhandahållare av tjänster för avancerade elektroniska underskrifter erbjuder även validering av underskriften.
– Först bör man kontrollera att man använder en tillhandahållare man litar på och vars tjänst har använts för att skapa underskriften. Sedan kontrolleras att giltighetstiden inte har gått ut för de certifkat eller andra medel som används för att skapa underskriften, och att dessa inte har spärrats.
– Den avancerade elektroniska underskriften är i slutändan en krypterad kontrollsumma av den information som är underskriven. Den sista delen av kontrollen är att se att kontrollsumman blir densamma, vilket innebär att innehållet inte har förändrats sedan det skrevs under.
"Man är i händerna på leverantörerna"
Det borde finnas en oberoende part som kan intyga att den digitala signaturen är korrekt. Det säger Sara Orback, föreningsjurist på FAR.
– I dag finns inget system där man vet om den avancerade elektroniska underskriften är helt säker. Det är ett stort problem. Samtidigt är budskapet från lagstiftaren, EU-kommissionen, att man är angelägen om att man ska kunna använda digitala signaturer, säger Sara Orback, föreningsjurist på FAR.
Enligt eIDAS-förordningen ska fyra krav uppfyllas (se faktaruta). Det finns däremot olika sätt att tolka kriterierna, påtalar FAR:s föreningsjurist.
– Vi behöver myndigheternas hjälp att reda ut vad som gäller. Att vara hänvisad till att lita på de privata aktörer som själva säger att de uppfyller kraven är otillräckligt. Det behöver finnas någon form av certifiering, understryker Sara Orback.
I nuläget förekommer certifiering av kvalificerad elektronisk underskrift. Däremot existerar inget sätt att certifiera en avancerad elektronisk underskrift, som ju är det branschen använder eftersom det är vad som föreskrivs i lagen.
– Om jag har en årsredovisning framför mig och är trygg med att alla har skrivit under med sina signaturer, då måste jag kunna utgå ifrån att det är så. Enligt de signaler från Bolagsverket som vi har fått är utgångspunkten att vi bör kunna lita på leverantörerna. Men det skulle ge en ökad trygghet med en oberoende part som kan intyga att den digitala signaturen uppnår kriterierna för avancerad elektronisk underskrift, Sara Orback.
"Det behövs tydlig vägledning"
Om en årsredovisning skulle vara signerad med en signatur som inte riktigt uppfyller kraven – innebär det då att årsredovisningen inte är angiven på rätt sätt? Och vad har styrelsen för ansvar?
När Björn Rydberg i egenskap av XBRL:s ordförande identifierade att de digitala underskrifterna exploderade under första halvan av 2020, försökte han utröna hur man som användare ska kunna bedöma att den avancerade elektroniska underskriften är hundra procent legitim.
– Det här är ett område som har hög aktualitet för våra medlemmar i XBRL-föreningen. Det är en EU-förordning som styr hur signaturerna ska vara konstruerade och det finns ramar och regelverk för tillitsnivån på signaturen. Leverantören säger själva att de har byggt lösningar som uppfyller kraven, men det är svårt för användaren att bedöma eller värdera, säger han.
– När vi får in en handling från en kund som har signerat digitalt ska vi använda det som underlag i våra bedömningar. Det kan vara en årsredovisning, signerad av ordförande och VD, och då måste vi veta att handlingarna uppfyller lagkraven. Regelverket är snårigt, även för oss som jobbar på stora byråer och har experter att tillgå, fortsätter Björn Rydberg som också är associate partner på EY.
Under 2020 skickade därför XBRL-föreningen ut en enkät till tjugo leverantörer som tillhandahåller tjänster inom digital signering, med frågor som handlade om just hur de har byggt upp avancerade elektroniska underskrifter. Tio svarade.
– När vi analyserade svaren och läste mellan raderna blev vi tveksamma till om fyra av leverantörer verkligen uppfyllde kraven, säger Björn Rydberg.
Han uppmanar alla som använder digital signering att fråga sin leverantör hur de säkerställer att den avancerade elektroniska underskriften verkligen uppfyller lagkraven som finns.
– Det behövs tydlig vägledning. PTS certifierar en del signaturer, men inte avancerade elektroniska underskrifter. Skulle det kunna vara en väg att gå?
Tre typer av underskrifter:
Elektronisk underskrift:
Uppgifter i elektronisk form som är fogade till eller logiskt knutna till andra uppgifter i elektronisk form och som används av undertecknaren för att skriva under.
Avancerad elektronisk underskrift:
En elektronisk underskrift som uppfyller kraven enligt artikel 26 (se faktaruta intill). Denna underskrift används av revisions- och rådgivningsbranschen.
Kvalificerad elektronisk underskrift:
En avancerad elektronisk underskrift som skapas med hjälp av en kvalificerad anordning för underskriftsframställning och som är baserad på ett kvalificerat certifikat för elektroniska underskrifter. Källa: eIDAS-förordningens artikel 3, Definitioner. (EU-reglering på området, reds.anm.).
Förordningen: "EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG".
En avancerad elektronisk underskrift ska uppfylla följande krav:
Den ska vara unikt knuten till undertecknaren.
Undertecknaren ska kunna identifieras genom den.
Den ska vara skapad på grundval av uppgifter för skapande av elektroniska underskrifter som undertecknaren med hög grad av tillförlitlighet kan använda uteslutande under sin egen kontroll.
Den ska vara kopplad till de uppgifter som den används för att underteckna på ett sådant sätt att alla efterföljande ändringar av uppgifterna kan upptäckas.
Källa: eIDAS-förordningens artikel 26, Krav med avseende på avancerade elektroniska underskrifter. (EU-reglering på området, reds.anm.).
Förordningen: "EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG."
Sofia Hadjipetri Glantz