”Man är i händerna på leverantörerna”

Sara Orback. Foto: Lieselotte van der Meijs

Det borde finnas en oberoende part som kan intyga att den digitala signaturen är korrekt. Det säger Sara Orback, föreningsjurist på FAR.

– I dag finns inget system där man vet om den avancerade elektroniska underskriften är helt säker. Det är ett stort problem. Samtidigt är budskapet från lagstiftaren, EU-kommissionen, att man är angelägen om att man ska kunna använda digitala signaturer, säger Sara Orback, föreningsjurist på FAR.

Enligt eIDAS-förordningen ska. Det finns däremot olika sätt att tolka kriterierna, påtalar FAR:s föreningsjurist.

– Vi behöver myndigheternas hjälp att reda ut vad som gäller. Att vara hänvisad till att lita på de privata aktörer som själva säger att de uppfyller kraven är otillräckligt. Det behöver finnas någon form av certifiering, understryker Sara Orback.

I nuläget förekommer certifiering av kvalificerad elektronisk underskrift. Däremot existerar inget sätt att certifiera en avancerad elektronisk underskrift, som ju är det branschen använder eftersom det är vad som föreskrivs i lagen.

– Om jag har en årsredovisning framför mig och är trygg med att alla har skrivit under med sina signaturer, då måste jag kunna utgå ifrån att det är så. Enligt de signaler från Bolagsverket som vi har fått är utgångspunkten att vi bör kunna lita på leverantörerna, säger Sara Orback.

– Men det skulle ge en ökad trygghet med en oberoende part som kan intyga att den digitala signaturen uppnår kriterierna för avancerad elektronisk underskrift, avslutar hon.

”Det behövs tydlig vägledning”

Björn Rydberg. Foto: EY

Om en årsredovisning skulle vara signerad med en signatur som inte riktigt uppfyller kraven – innebär det då att årsredovisningen inte är angiven på rätt sätt? Och vad har styrelsen för ansvar?

När Björn Rydberg i egenskap av XBRL:s ordförande identifierade att de digitala underskrifterna exploderade under första halvan av 2020, försökte han utröna hur man som användare ska kunna bedöma att den avancerade elektroniska underskriften är hundra procent legitim.

– Det här är ett område som har hög aktualitet för våra medlemmar i XBRL-föreningen. Det är en EU-förordning som styr hur signaturerna ska vara konstruerade och det finns ramar och regelverk för tillitsnivån på signaturen. Leverantören säger själva att de har byggt lösningar som uppfyller kraven, men det är svårt för användaren att bedöma eller värdera, säger han.

– När vi får in en handling från en kund som har signerat digitalt ska vi använda det som underlag i våra bedömningar. Det kan vara en årsredovisning, signerad av ordförande och VD, och då måste vi veta att handlingarna uppfyller lagkraven. Regelverket är snårigt, även för oss som jobbar på stora byråer och har experter att tillgå, fortsätter Björn Rydberg som också är associate partner på EY.

Under 2020 skickade därför XBRL-föreningen ut en enkät till tjugo leverantörer som tillhandahåller tjänster inom digital signering, med frågor som handlade om just hur de har byggt upp avancerade elektroniska underskrifter. Tio svarade.

– När vi analyserade svaren och läste mellan raderna blev vi tveksamma till om fyra av leverantörer verkligen uppfyllde kraven, säger Björn Rydberg.

Han uppmanar alla som använder digital signering att fråga sin leverantör hur de säkerställer att den avancerade elektroniska underskriften verkligen uppfyller lagkraven som finns.

– Det behövs tydlig vägledning. PTS certifierar en del signaturer, men inte avancerade elektroniska underskrifter. Skulle det kunna vara en väg att gå?

”Har rätt att granska”

Björn Scharin. Foto: PTS

Post- och telestyrelsen (PTS) har rätt att granska icke kvalificerade leverantörer, alltså tillhandahållare som erbjuder avancerade elektroniska underskrifter, om de inte uppfyller lagstiftningen.

Björn Scharin arbetar på avdelningen för säker kommunikation på Post- och telestyrelsen (PTS), tillsynsmyndigheten som bland annat bevakar post och elektronisk kommunikation i Sverige.

Hur arbetar PTS med tillsynen av digitala signaturer?

– Vi bedriver kontroll av kvalificerade tillhandahållare. Vid misstanke, eller konstaterat fakta, att man inte uppfyller EU-förordningen har vi rätt att granska även icke kvalificerade tillhandahållare, till exempel tillhandahållare av avancerade elektroniska underskrifter. Både kvalificerade och icke kvalificerade betrodda tjänster har en skyldighet att anmäla incidenter som inträffar, svarar Björn Scharin.

Skulle certifiering av avancerad elektronisk underskrift kunna vara en väg att gå?

– Den typen av krav finns för kvalificerade tillhandahållare. Men inte för icke kvalificerade sådana, som till exempel tjänster för skapande av avancerade elektroniska underskrifter. I dag finns två kvalificerade tillhandahållare i Sverige. Det innebär att de har anmält sig till PTS och innan anmälan genomgått en certifiering av ett ackrediterat certifieringsorgan i enlighet med kraven i eIDAS-förordningen. En av dessa levererar kvalificerade elektroniska underskrifter.

Hur vet man att en leverantör som utger sig för att tillhandahålla en avancerad elektronisk underskrift faktiskt kan det?

– För att ta reda på det får man fråga den tillhandahållare man väljer. Hur lever tillhandahållaren upp till de krav som finns på en avancerad elektronisk underskrift? Det handlar då om hur underskriften i fråga är knuten till den som skriver under, hur personen identifieras, hur tillhandahållaren säkerställer att ingen kan utge sig för att vara personen och hur förändring av den data som skrivs under kan upptäckas.

Hur kan revisorn och redovisningskonsulten kontrollera att den avancerade elektroniska underskriften är korrekt?

– Den som behöver göra kontrollen kan använda antingen en tjänst, kallad valideringstjänst, för detta eller i vissa fall inbyggd kontrollfunktion i en programvara. Flera tillhandahållare av tjänster för avancerade elektroniska underskrifter erbjuder även validering av underskriften.

– Först bör man kontrollera att man använder en tillhandahållare man litar på och vars tjänst har använts för att skapa underskriften. Sedan kontrolleras att giltighetstiden inte har gått ut för de certifkat eller andra medel som används för att skapa underskriften, och att dessa inte har spärrats.

– Den avancerade elektroniska underskriften är i slutändan en krypterad kontrollsumma av den information som är underskriven. Den sista delen av kontrollen är att se att kontrollsumman blir densamma, vilket innebär att innehållet inte har förändrats sedan det skrevs under.

 

Mer om ämnet: