Skip to content
  • Det finns inga förslag eftersom sökfältet är tomt.

Kvalificerade underskrifter – varför det är svårt, men viktigt att förstå

I takt med att allt fler processer digitaliseras växer behovet av att kunna underteckna dokument digitalt. Men alla digitala underskrifter är inte lika. Enligt EU-förordningen eIDAS finns tre nivåer: enkel, avancerad och kvalificerad. Skillnaden ligger i hur säkert och verifierbart det är att rätt person faktiskt har undertecknat dokumentet – och vilka krav som ställs på tekniken bakom.

Den enkla elektroniska underskriften är just det – enkel. Ett namn i ett e-postmeddelande eller en kryssruta på en webbplats kan räcka. Den är snabb, men ger låg juridisk tyngd. 

En avancerad elektronisk underskrift (AdES) har alltid namnet på personen som skrivit under i certifikatet, och vid elektronisk validering enligt standarder visas namnet på den fysiska person som skrivit under vilket också är juridiskt bindande. Den är även kopplad till en person på ett unikt sätt, och ändringar i dokumentet efter underskrift gör underskriften ogiltig. Den bygger ofta på någon form av autentisering, vanligtvis i Sverige till exempel BankID och Freja eID. 

Det är vanligt att avancerade elektroniska underskrifter och avancerade elektroniska  stämplar blandas ihopNär en organisations namn står i certifikatet är det en organisationsstämpelVid validering enligt standarder kommer därmed namnet på organisationen att visas och räknas inte som underskrivet av en faktisk person. Även om en sista sida är ifylld med namn på personer som påstås ha skrivit under dokumentet så är dokumentet juridiskt fortfarande endast stämplat av en organisationSom underskrift  räknas avancerade elektroniska stämplar därför som enkel.  

Samma princip gäller även kvalificerade organisationsstämplar, det är inga personliga underskrifter även om stämplingscertifikatet för organisationen är kvalificerat. 

En metod som ibland används för att försöka efterlikna en personlig signatur är att kombinera en avancerad företagsstämpel med en identifiering via BankID. Resultatet blir att dokumentet kan visa en grön bock i exempelvis Adobe Acrobat, förutsatt att företagsstämpeln finns upptagen i Adobe Approved Trust List, AATL. Personnumret kan finnas med i dokumentinformationen men behöver inte göra det. Detta räknas dock inte heller som en  en avancerad personlig signatur och än mindre en kvalificerad underskrift. Det är ett sätt att delvis kringgå otydliga regler, där leverantören förlitar sig på att ytan ser trovärdig ut snarare än att underskriften uppfyller formella krav. För mottagare och granskare kan detta skapa en falsk känsla av trygghet – men ur ett rättsligt perspektiv är det mycket osäkert. Det går inte att enligt standarder elektroniskt validera vem som har skrivit under och heller inte vad. 
 
Den kvalificerade elektroniska underskriften (QES) är den högsta nivån. Den är juridiskt likställd med en handskriven underskrift inom hela EU, och för att den ska vara giltig krävs att: 
  1. Signaturen skapas med en kvalificerad signature creation-enhet (QSCD), vanligtvis en Hardware Security Module (HSM) som är godkänd enligt eIDAS.
  2. Signaturcertifikatet är utfärdat av en kvalificerad betrodd tjänsteleverantör (QTSP).
  3. Den som signerar har identifierats med hög tillitsnivå enligt eIDAS.
  4. Det går att, enligt standarder elektroniskt, validera underskriften till personen som har skrivit under.
  5. Dokumentets integritet är säkrad, dvs det går inte att ändra efter underskrift. 
 
Att identifieras med hög tillitsnivå innebär att identiteten bekräftats med metoder som uppfyller eIDAS-kraven för tillitsnivå hög. Det kan till exempel ske genom: 
  • Ett fysiskt möte med pass- eller ID-kontroll
  • Videolegitimering med biometrisk jämförelse mot pass
  • Användning av ett eID som är notifierat enligt eIDAS på tillitsnivå hög (vilket idag är sällsynt i Sverige) 
 
Kvalificerade underskrifter ska, enligt eIDAS2 som antogs 2024, göras via en eID-utfärdare på den högsta tillitsnivån. Inom eIDAS är det tillitsnivå ”High” och den motsvaras av den svenska tillitsnivå ”4”. I Sverige är BankID och Freja eID Plus vanliga eID-utfärdare, men de är på en lägre tillitsnivå motsvarande eIDAS ”Substantial” eller svenska tillitsnivå ”3”. Det är alltså inte möjligt att göra en kvalificerad underskrift via exempelvis BankID eller Freja eID Plus i nuläget. 

 
För offentlig sektor, där krav på kvalificerade underskrifter ofta följer lagar, förordningar eller föreskrifter, kan detta kännas både krångligt och tekniskt komplext. Verktygen kan upplevas som svåranvända, och det är inte alltid tydligt vilken nivå som faktiskt krävs i varje enskilt fall. Men att förstå dessa skillnader är centralt för att göra rätt – och för att skapa rättsligt hållbara digitala processer. Med rätt stöd och verktyg går det att införa kvalificerade underskrifter som både följer lagkrav och fungerar smidigt i vardagen.  

 

Välkommen att höra av dig till mig om du vill fördjupa din kunskap i de olika nivåerna på digitala underskrifter!  

Relaterade inlägg