Η αυξημένη ζήτηση για εγκεκριμένες ψηφιακές υπογραφές είχε ξεκινήσει αρκετό χρόνο πριν την έναρξη της πανδημίας, η οποία την ενίσχυσε, ενώ ενισχυτικό ρόλο αναμένεται να παίξει και η θετική διάθεση του Δημοσίου.

Η αυξημένη ζήτηση για εγκεκριμένες ψηφιακές υπογραφές είχε ξεκινήσει αρκετό χρόνο πριν την έναρξη της πανδημίας, η οποία την ενίσχυσε, ενώ ενισχυτικό ρόλο αναμένεται να παίξει και η θετική διάθεση του Δημοσίου. Ωστόσο, για να λειτουργήσει το σύστημα θα πρέπει να αυξηθεί ο αριθμός των εφαρμογών που υποστηρίζουν ηλεκτρονική υπογραφή και να τύχει κοινής αποδοχής πολλών μερών.

Εκτός απροόπτου, εντός του 2021, η Κυβέρνηση θα διαθέσει σε αρκετούς τομείς της 150.000 ηλεκτρονικές υπογραφές, με στόχο τη βελτίωση της ηλεκτρονικής διακίνησης εγγράφων και κατ’ επέκταση τη μείωση της γραφειοκρατίας. Η δράση αυτή είναι το επόμενο βήμα, ενός πιλοτικού έργου που ξεκίνησε τον περασμένο Σεπτέμβριο και αφορούσε στη διάθεση 1.100 ψηφιακών πιστοποιητικών στους εργαζόμενους του Υπουργείου Ψηφιακής Διακυβέρνησης. Σύμφωνα με δημοσίευση του Υπουργείου, η δράση αυτή είναι μέρος του έργου ΚΣΗΔΕ (Κεντρικό Σύστημα Ηλεκτρονικής Διακίνησης Εγγράφων), το οποίο θα έχει συνολικό προϋπολογισμό 27 εκατομμύρια ευρώ και έχει ανατεθεί στις εταιρείες ΟΤΕ, Unisystems και Byte. Ήδη έχει ξεκινήσει η διάθεση των ψηφιακών υπογραφών από τους τέσσερις παρόχους που λειτουργούν ως υπεργολάβοι.

Στο παρελθόν, σφραγιδόλιθοι, κώδικες επικοινωνίας, ακόμα και τατουάζ, είχαν χρησιμοποιηθεί για να πιστοποιήσουν ότι το μήνυμα που λάμβανε ο παραλήπτης, ήταν αυτό που έστειλε ο αποστολέας. Πιο πρόσφατα, τα μικροφίλμ που είχαν αρχειοθετημένα οι τράπεζες, λειτουργούσαν ως σύστημα αναφοράς για να πιστοποιηθεί η υπογραφή πάνω σε μια επιταγή ή σε ένα έντυπο ανάληψης. Όλες οι παραπάνω μέθοδοι άφηναν περιθώρια για κάποιον που ήθελε να δράσει κακόβουλα, όπως άλλωστε αφήνει και η ψηφιακή υπογραφή. Η βασική διαφορά επομένως είναι στην ταχύτητα πιστοποίησης, η οποία σε ένα κόσμο που η πληροφορία κινείται σχεδόν με την ταχύτητα του φωτός, είναι αδύνατο η πιστοποίηση να κινείται με την ταχύτητα σύγκρισης μικροφίλμ.

Η ηλεκτρονική υπογραφή είναι ένα κρυπτογραφημένο αρχείο, το οποίο διακινείται μεταξύ υπολογιστών, χωρίς θεωρητικά να είναι εφικτή η αλλοίωση του. Κάποιες φορές δημιουργείται σύγχυση ανάμεσα στις ηλεκτρονικές υπογραφές και τις ψηφιακές υπογραφές, οι οποίες, όπως ορίζονται από το Federal ESIGN Act είναι «ψηφιακοί ήχοι, σύμβολα ή διαδικασίες που είναι προσαρτημένα ή λογικά συνδεδεμένα με κάποιο συμβόλαιο ή άλλη εγγραφή και αποστέλλονται ή υιοθετούνται από το άτομο που σκοπεύει να υπογράψει την εγγραφή». Σε αυτό το πλαίσιο, ένα ψηφιακό υδατογράφημα σε ένα αρχείο εικόνας είναι μια ψηφιακή υπογραφή. Ωστόσο, μια ηλεκτρονική υπογραφή έχει κάποια ιδιαίτερα χαρακτηριστικά, τα οποία τη διαφοροποιούν και τεχνολογικά, αλλά και νομικά.

Το πρώτο πείραμα απέτυχε λόγω απουσίας εφαρμογών
Η Eurobank ήταν η πρώτη ελληνική τράπεζα, αλλά και η πρώτη ελληνική επιχείρηση, η οποία από τις αρχές του 2000, δυνατότητα έκδοσης long – term Ψηφιακών Πιστοποιητικών στους πελάτες e-Banking, με στόχο τη διασφάλιση των ηλεκτρονικών συναλλαγών τους. Το ψηφιακό πιστοποιητικό αποτελούσε, άλλωστε, την πιο προηγμένη μέθοδο επιβεβαίωσης της ταυτότητας των συναλλασσόμενων κατά τη διενέργεια τραπεζικών συναλλαγών από απόσταση και παρείχε τη δυνατότητα στον κάτοχό του να υπογράφει ψηφιακά όλες τις συναλλαγές που υποστηρίζουν αυτή τη διαδικασία.
Όπως μας λέει η Όλγα Χαραλαμπίδη, επικεφαλής Τομέα Group Digital Channels, «σήμερα οι ψηφιακές υπογραφές χρησιμοποιούνται κυρίως για την υπογραφή συμβατικών και άλλων εγγράφων κατά την απόκτηση νέων προϊόντων ψηφιακά, ακόμη και χωρίς τη φυσική παρουσία του πελάτη, μεταξύ άλλων, για την αίτηση πιστωτικής κάρτας και δανείου μέσα από το e-Banking».
Η έκδοση και χρήση τους γίνεται on-demand, αποκλειστικά και μόνο για την υπογραφή κάθε συγκεκριμένου εγγράφου. Για το σκοπό αυτό η Eurobank χρησιμοποιεί ψηφιακά πιστοποιητικά μικρής και μεγάλης διάρκειας, που είναι σύμφωνα με την ισχύουσα νομοθεσία στην Ευρώπη (eIDAS Digital Certificates), σε συνδυασμό και με τη χρήση «Χρονοσήμανσης» (eIDAS Qualified Time Stamping). Για τις συναλλαγές (μεταφορές χρημάτων, πληρωμές), η επιβεβαίωσή τους από τον χρήστη γίνεται μέσω κωδικών μίας χρήσης (OTP) ή απλά με Push μήνυμα στο κινητό για τους χρήστες του Eurobank Mobile App.

Πολύ σύντομα, μετά τη Eurobank, δραστηριοποιήθηκε στην ελληνική αγορά η εταιρεία Adacom, η οποία μέσω συνεργασίας που είχε με τη Verisign λειτούργησε και συνεχίζει να λειτουργεί ως ένας από τους 220 παρόχους ηλεκτρονικών υπογραφών που δραστηριοποιούνται στην Ευρώπη. Η πρώτη ανάγκη για ψηφιακά πιστοποιητικά στο Δημόσιο, προέκυψε από την τεχνική περιγραφή ενός υπο-έργου του ΣΥΖΕΥΞΙΣ, η οποία προέβλεπε 50.000 ψηφιακά πιστοποιητικά για λειτουργούς της κυβέρνησης, τα οποία διανεμήθηκαν, αλλά τελικά χρησιμοποιήθηκαν ελάχιστα, κυρίως από εργαζόμενους στα ΚΕΠ. Πρακτικά μέχρι και το 2014 – 2015 δεν υπήρχαν εφαρμογές που θα μπορούσαν να στηρίξουν την ευρεία χρήση ηλεκτρονικών υπογραφών.
Αυτό άλλαξε, όταν το κράτος δημιούργησε το Εθνικό Σύστημα Ηλεκτρονικών Δημοσίων Συμβάσεων και απαίτησε τη χρήση εγκεκριμένων ηλεκτρονικών υπογραφών σε διαγωνισμούς άνω των 60.000 ευρώ. Η πρωτοπορία των κρατών στην αποδοχή ψηφιακών πιστοποιητικών ήταν ένα ευρωπαϊκό φαινόμενο και ήταν απαραίτητη για να δημιουργηθεί η εμπιστοσύνη στη ηλεκτρονική υπογραφή με τα απαραίτητα θεσμικά και νομικά πλαίσια.

Από το 2016 έρχονται στο προσκήνιο αρκετές νέες υπηρεσίες, οι οποίες βασίζονται στη ηλεκτρονική υπογραφή και επιπλέον δημιουργείται ένα ενιαίο νομικό πλαίσιο, για όλα τα κράτη μέλη της ΕΕ. Στα πλαίσια του eIDAS δημιουργήθηκαν πολλές νέες υπηρεσίες εμπιστοσύνης όπως η εγκεκριμένη χρονοσήμανση, η ηλεκτρονική σφραγίδα αλλά και η ηλεκτρονική υπογραφή φυσικού προσώπου που δεσμεύει νομικό πρόσωπο. Επομένως, σε αυτή τη μορφή μέσα στα στοιχεία της ηλεκτρονικής υπογραφής περιλαμβάνονται και τα στοιχεία της επιχείρησης και έτσι το ψηφιακό πιστοποιητικό ανήκει στο νομικό πρόσωπο και όχι στο φυσικό.

Μια ΚΥΑ που αναμένεται εδώ και ένα έτος, βλάπτει τους τοπικούς TSPs
Όποιος έχει ανοίξει ένα λογαριασμό σε ψηφιακή τράπεζα, γνωρίζει ότι για την ολοκλήρωση της διαδικασίας δεν απαιτείται πλέον η επίσκεψη σε φυσικό κατάστημα, καθώς η πιστοποίηση της ταυτοπροσωπίας γίνεται εξ’ αποστάσεως μέσω τηλεδιάσκεψης και δυναμικών φωτογραφιών που στέλνει ο ενδιαφερόμενος από την κάμερα του κινητού του.
Ωστόσο, κάτι ανάλογο δεν ισχύει για την απόκτηση εγκεκριμένης ηλεκτρονικής υπογραφής, καθώς ο ενδιαφερόμενος θα πρέπει να ταυτοποιηθεί με φυσική παρουσία στα γραφεία των TSPs. Πέρα από το γεγονός ότι κάτι τέτοιο είναι επικίνδυνο στην περίοδο της πανδημίας, είναι και μια αχρείαστη ταλαιπωρία, η οποία έχει καταργηθεί σε άλλες ευρωπαϊκές χώρες, όπου η ταυτοποίηση γίνεται χωρίς φυσική παρουσία.
Αν η ταλαιπωρία ήταν το μόνο πρόβλημα θα μπορούσε ίσως να γίνει αποδεκτή, όπως άλλωστε δεκάδες άλλες ταλαιπωρίες που χρειάζεται να υπομένουμε σε σχέση με πολίτες προηγμένων ευρωπαϊκών κρατών. Όμως το πρόβλημα είναι σημαντικότερο, καθώς σε μια ελεύθερη αγορά, ένας ιδιώτης ή μια επιχείρηση που θέλει να αποκτήσει ηλεκτρονική υπογραφή, έχει την επιλογή να την αγοράσει από έναν πάροχο χώρας της ΕΕ που δεν απαιτεί τη φυσική παρουσία του αγοραστή.
Όπως μας λέει ο Πάνος Βασιλειάδης, CEO της Adacom, «αυτό συμβαίνει ήδη, με αποτέλεσμα οι TSPs στην Ελλάδα να χάνουν πωλήσεις, καθώς πελάτες επιλέγουν TSPs άλλων χωρών για να αποκτήσουν τη ηλεκτρονική υπογραφή τους μέσω τηλεδιάσκεψης. Επιπλέον, το ίδιο εμπόδιο δεν επιτρέπει σε παρόχους με έδρα στην Ελλάδα να διαθέσουν ηλεκτρονικές υπογραφές σε διαγωνισμούς που γίνονται στο εξωτερικό». Το ζήτημα εκκρεμεί για περισσότερο από ένα έτος (https://bit.ly/3fxDlte) και για την επίλυση του εκρεμεί η έκδοση σχετικής ΚΥΑ από το Υπουργείο Ψηφιακής Διακυβέρνησης, το οποίο έχει «φορτωθεί» με πολλά έργα κατά τη διάρκεια της πανδημίας.

Η πανδημία ενίσχυσε επιπλέον την τάση για remote ηλεκτρονικές υπογραφές
Τα δύο προηγούμενα χρόνια, οι remote ηλεκτρονικές υπογραφές λειτούργησαν ως «καύσιμο» για την ανάπτυξη της αγοράς ηλεκτρονικών υπογραφών σε παγκόσμιο επίπεδο. Σύμφωνα με τον Πάνο Βασιλειάδη, «τρεις στις τέσσερις υπογραφές που εκδίδονται πλέον ανήκουν σε αυτήν την κατηγορία». Μια εξ’ αποστάσεως ηλεκτρονική υπογραφή, η οποία είναι γνωστή και ως server signing, δημιουργείται και αποθηκεύεται με ασφάλεια στις υποδομές του Trust Service Provider για λογαριασμό του κατόχου της, επιτρέποντας του την πρόσβαση, μέσω εφαρμογής ισχυρής αυθεντικοποίησης. Το σημαντικότερο πλεονέκτημα είναι ότι ο κάτοχος μπορεί να υπογράψει ηλεκτρονικά από οποιαδήποτε κινητή συσκευή χωρίς να απαιτείται να κουβαλά USB token ή smart cards. Σύμφωνα με αναλύσεις, οι επιχειρήσεις φαίνεται να προτιμούσαν τις token-based λύσεις, ώστε να είναι ευκολότερη η αφαίρεση της ηλεκτρονικής υπογραφής από κάποιον εργαζόμενο που αποχωρεί από την επιχείρηση. Ωστόσο, η διάθεση υπογραφών που ανήκουν στο νομικό πρόσωπο επιλύει το πρόβλημα αυτό. Σε γενικές γραμμές, όμως οι cloud-based υπηρεσίες ηλεκτρονικών υπογραφών προτείνονται ως πιο ενδεδειγμένες λύσεις.

Επίσης η συγκεκριμένη τεχνολογία επιτρέπει και την έκδοση στιγμιαίων υπογραφών περιορισμένου χρόνου ισχύος (short term remote certificates) με πολύ χαμηλότερο κόστος από μια ηλεκτρονική υπογραφή τριετούς διάρκειας, οι οποίες χρησιμοποιούνται κυρίως για την υπογραφή συναλλαγών όπου το/τα συμβαλλόμενα μέρη δεν διαθέτουν ηλεκτρονική υπογραφή εν ισχύ την στιγμή της υπογραφής (πχ. μια online έκδοση τραπεζικού δανείου) Η πανδημία ενίσχυσε επιπλέον την ανάγκη χρήσης των εξ’ αποστάσεως εγκεκριμένων ηλεκτρονικών υπογραφών, καθώς ένα μεγάλο ποσοστό των εργαζομένων έχει υποχρεωθεί να τηλεργάζεται. Αν αποδεχτούμε τις έρευνες που αναφέρουν ότι πολλοί από τους νυν τηλεργαζόμενους επιθυμούν να συνεχίσουν με αυτόν τον τρόπο εργασίας και μετά το πέρας της πανδημίας, οι εξ’ αποστάσεως ηλεκτρονικές υπογραφές, είναι πιθανό να αποτελούν ένα σημαντικό ποσοστό της αγοράς στο μεσοπρόθεσμο μέλλον.

Σε κάθε περίπτωση, η χρήση των εγκεκριμένων ηλεκτρονικών υπογραφών χρειάζεται να υποστηριχτεί από όλα τα μέρη που εμπλέκονται στην έκδοση και αποδοχή του ηλεκτρονικά υπογεγραμμένου εγγράφου. Δεν θα είχε νόημα, για παράδειγμα, ο κάτοχος ενός ακινήτου και ο συμβολαιογράφος που συνεργάζεται να αποδέχονται τη χρήση της ηλεκτρονικής υπογραφής, αν αυτή δεν ήταν εξίσου αποδεκτή από τους δημόσιους τομείς, όπου χρειάζεται να κατατεθούν τα σχετικά έγγραφα. Θεωρητικά τα έργα που έχουν ξεκινήσει για τη διάθεση ηλεκτρονικών υπογραφών στο δημόσιο τομέα θα επιλύσουν το πρόβλημα αυτό.
Το γνήσιο της υπογραφής, μια διαδικασία που ταλαιπωρεί αρκετό κόσμο στην Ελλάδα και ειδικά στην περίοδο της πανδημίας, θα μπορούσε να είναι ένα θεμέλιο έργο για την ευρύτερη αποδοχή των ηλεκτρονικών υπογραφών στην Ελλάδα. Ωστόσο, κάτι τέτοιο θα σήμαινε ότι τα ΚΕΠ θα έχαναν ένα μεγάλο ποσοστό της πελατείας τους και επομένως η λειτουργία τους θα έπρεπε να τεθεί σε επαναδιαπραγμάτευση, γεγονός που ενισχύει την άποψη ότι η εφαρμογή της ηλεκτρονικής υπογραφής είναι κυρίως πολιτική απόφαση.

Ηλεκτρονικές υπογραφές και τεχνολογία Βlockchain

Ένα ψηφιακό λογιστικό βιβλίο βρίσκεται συνήθως αποθηκευμένο σε μια «βιβλιοθήκη» και κάθε φορά που κάποιος το χρειάζεται το παίρνει από το «ράφι» και βλέπει τις συναλλαγές που έχουν καταγραφεί. Με τις τεχνολογίες blockchain, το ίδιο βιβλίο είναι διάσπαρτο σε ένα δίκτυο υπολογιστών και τα δεδομένα του είναι αποθηκευμένα σε κρυπτογραφημένη μορφή. Σε ένα blockchain λογιστικό βιβλίο είναι αδύνατο θεωρητικά να αφαιρεθούν σελίδες. Επιπλέον, κάθε φορά που μια νέα σελίδα προστίθεται αποκτά ένα μοναδικό «δακτυλικό αποτύπωμα» και χρονοσήμανση.
Αυτό το μοναδικό «δακτυλικό αποτύπωμα», φροντίζει για την ασφάλεια των των εγγράφων με τα οποία συνδέεται, αλλά είναι δυνατό να λειτουργήσει και ως ηλεκτρονική υπογραφή, διασφαλίζοντας ότι κάθε αντίγραφο του ψηφιακού αρχείου που είναι συνδεδεμένο είναι ακριβώς το ίδιο με το πρωτότυπο.
Επιπρόσθετα, οι περισσότερες τεχνολογίες blockchain βασίζονται σε ανοιχτό κώδικα. Οπότε, αν μια ηλεκτρονική υπογραφή δημιουργηθεί μέσω μιας εφαρμογής, η γνησιότητα της υπογραφής

αυτής μπορεί να πιστοποιηθεί χρόνια αργότερα με τη χρήση μιας διαφορετικής εφαρμογής.
Επομένως, η βασική διαφορά των ηλεκτρονικών υπογραφών με τεχνολογία blockchain από τις TSP, είναι η απεξάρτηση από μια κεντρική αρχή πιστοποίησης. Για να θεωρηθεί αξιόπιστη μια ηλεκτρονική υπογραφή τεχνολογίας blockchain θα πρέπει να συμφωνήσει ένα ποσοστό των υπολογιστών που είναι καταχωρισμένη, ενώ στην περίπτωση των Public key Infrastructure (PKI) ηλεκτρονικών υπογραφών χρειάζεται να δώσει τη «συγκατάθεση» του μόνο ο Trusted Provider. Μια μερίδα ειδικών της τεχνολογίας, θεωρούν αυτήν την απεξάρτηση μειονέκτημα, κυρίως γιατί η πιστοποίηση της υπογραφής με την τεχνολογία blockchain μπορεί να απαιτεί περισσότερο χρόνο και περισσότερη κατανάλωση ενέργειας.

Σε αυτή τη φάση, η τεχνολογία blockchain έχει διεισδύσει ελάχιστα στην αγορά των ηλεκτρονικών υπογραφών και κυρίως σε εφαρμογές που απαιτούνται smart contracts, τα οποία δεν υποστηρίζουν οι PKI ηλεκτρονικές υπογραφές. Ένα smart contract, είναι στην πράξη απλά προγράμματα που είναι αποθηκευμένα σε ένα blockchain, τα οποία μπαίνουν σε λειτουργία μόνο όταν ικανοποιούνται συγκεκριμένες συνθήκες που έχει προσδιοριστεί. Για παράδειγμα, εάν ο κατασκευαστής ολοκληρώσει το 80% του έργου σε χρόνο μικρότερο από τον προβλεπόμενο, τότε το συμβόλαιο προβλέπει ένα bonus ανάλογο της μείωσης του χρόνου.

Το OpenSig είναι μια υλοποίηση ανοιχτού λογισμικού που χρησιμοποιεί τεχνολογία blockchain για τη δημιουργία ηλεκτρονικών υπογραφών και θα μπορούσε να αποτελέσει βάση για πειραματισμό σε blockchain ηλεκτρονικές υπογραφές. Επίσης, λύσεις ανοιχτού λογισμικού είναι διαθέσιμες και για PKI ηλεκτρονικές υπογραφές. Η παλαιότερη εξ’ αυτών, με 19 χρόνια ιστορίας, βασίζεται στην ανάπτυξη της EJBCA Community, η οποία έχει να παρουσιάσει αρκετά success stories με δημόσιους οργανισμούς και επιχειρήσεις, οπότε είναι μια αξιόπιστη επιλογή για την υλοποίηση έργων που απαιτούνται δεκάδες χιλιάδες ή και εκατομμύρια ηλεκτρονικές υπογραφές με αποτέλεσμα να είναι πολύ μεγάλη η αμοιβή του TSP.

Διαβάστε επίσης το άρθρο του Στάθη Ασπιώτη με θέμα: Ψηφιακές υπογραφές και τραπεζική καινοτομία