Skip to content

E-underskrift utan kryptografisk integritet är en tickande bomb

Okej, kanske inte en tickande bomb i ordets rätta bemärkelse. E-underskrift utan kryptografisk integritet är dock en DORA-risk som många organisationer underskattar och definitivt något du bör tänka på innan nästa granskning.

Ett avtal undertecknat med en inklistrad bild av en BankID-logotyp och ett personnummer - det kan förfalskas på minuter med generativ AI och din organisation har inget sätt att bevisa att den är falsk. För organisationer som omfattas av DORA är detta inte längre en hypotetisk risk, utan en konkret sårbarhet i era dagliga flöden.

DORA har nu varit en del av den finansiella sektorns vardag i över ett år, men många brottas fortfarande med grundläggande frågeställningar: Hur och var skapas den elektroniska underskriften – och hur kan vi i efterhand bevisa att dokumentet inte ändrats? Risken ligger inte i att att någon skulle signera fel dokument, den är att det inte går att bevisa vad som faktiskt signerades.

 


Varför simpla elektroniska underskrifter är en tickande bomb

Många organisationer använder idag vad eIDAS-förordningen klassificerar som en simpel elektronisk underskrift (SES). Det kan vara allt från en inklippt bild av en namnteckning till att en användare klickar på "OK" i ett digitalt gränssnitt.

Ur ett säkerhetsperspektiv är dessa metoder problematiska. De saknar en teknisk koppling som binder underskriften till en specifik person på ett bevisbart sätt, och officiella källor beskriver dem som lätta att förfalska. Generativ AI kan med enkelhet skapa något som ser ut som en autentisk signatur i ett dokument. Det innebär att användandet av en simpel elektronisk underskrift har ett begränsat och ofta ifrågasatt bevisvärde om det bestrids. Utan teknisk försegling finns det inget sätt att i efterhand varken upptäcka om någon har manipulerat innehållet efter att underskriften genomfördes eller om underskriften ens är riktig.

 


BankID identifierar – men garanterar inte dokumentets integritet

Det finns en utbredd missuppfattning att en underskrift med BankID per automatik innebär att dokumentet är säkrat för all framtid. Det är viktigt att förstå skillnaden mellan två separata egenskaper:

Identifiering – BankID är en utmärkt e-legitimation på tillitsnivå 3 (väsentlig) för att säkerställa vem som befinner sig vid skärmen i signeringsögonblicket.
Integritet och validerbarhet – Att kunna bevisa ett dokuments äkthet kräver att underskriften är kopplad till dokumentets innehåll på ett sätt som gör att alla efterföljande ändringar omedelbart kan upptäckas.
 

SES

(simpel)

AdES/PAdES

(avancerad)

Bevisar vem som signerade?

Svagt

Ja

Bevisar att dokumentet inte ändrats?

Nej

Ja

Håller vid en juridisk tvist?

Tveksamt

Ja

BankID svarar på vem. Kryptografi svarar på om dokumentet fortfarande är sant.

Problemet är inte BankID i sig – utan hur signeringslösningen är implementerad. BankID kan användas i lösningar som saknar kryptografisk försegling av själva dokumentet, och det är där sårbarheten uppstår.

För att uppnå verklig integritet krävs en avancerad elektronisk underskrift. Svenska Bankföreningens Electronic Signature Guideline understryker detta: kopplingen mellan det undertecknade dokumentet och den kryptografiska underskriften måste kunna bevisas matematiskt, utan möjlighet att ändra dokumentet utan att underskriften blir ogiltig.

Tekniken bakom detta är PAdES-standarden. När ett dokument signeras enligt PAdES skapas en unik kontrollsumma, ett digitalt fingeravtryck, av hela dokumentets innehåll. Om så mycket som ett kommatecken ändras i efterhand blir fingeravtrycket ett annat, och underskriften flaggas omedelbart som ogiltig.  Min kollega Magnus har skrivit om avancerade underskrifter här, om du vill läsa mer om vad det är.

Det finns idag svenska lösningar som kombinerar BankID-identifiering med PAdES-försegling och som därmed ger er både den starka identifieringen ni är vana vid och den kryptografiska integritet som stärker er förmåga att uppfylla DORA:s krav på spårbarhet och dataintegritet.

 


Datasuveränitet: Teknisk integritet räcker inte alltid ensamt

För en CISO handlar detta inte bara om signering. Det handlar om beviskedja – och var i kedjan kontrollen faktiskt ligger.

Teknisk integritet och geografisk kontroll är två sidor av samma mynt. Det hjälper föga att dokumentet är kryptografiskt förseglat om det passerar genom servrar utanför er kontroll, eller för den delen utanför EU:s jurisdiktion.

DORA ställer omfattande krav på hur finansiella entiteter hanterar tredjepartsrisker och kontrollerar sina leverantörskedjor. Många molnbaserade underskriftstjänster har komplexa strukturer med moderbolag eller underleverantörer i tredje land, vilket skapar reell osäkerhet kring jurisdiktion och åtkomst till känsliga data.

För att minimera riskerna bör organisationer prioritera lösningar som driftas i Sverige av leverantörer som följer svenska föreskrifter – gärna med möjlighet till lokal installation för de organisationer där det krävs. DIGG beskriver hur det fungerar att skicka enbart dokumentets hash-summa till en extern tjänst för underskrift. Känslig information stannar då inom er organisation medan endast dokumentets fingeravtryck skickas för underskrift. Den kryptografiska beviskedjan är fullständig utan att någon känslig information har lämnat er organisation.

Likheterna mellan DORA:s krav på kontroll i varje led och de specifikationer DIGG tagit fram för offentlig sektor är slående. I båda fallen är målet en robust digital motståndskraft där organisationen själv äger sin beviskedja.

 


Det finns ingen anledning att vänta

Personligen bedömer jag att det kommer att dröja lång tid innan den kvalificerade elektroniska underskriften (QES) når bred användning – hur gärna vi och EU än vill se en snabb utveckling. Det råder närmast total avsaknad av svenska leverantörer som erbjuder lättillgängliga e-tjänster på den kvalificerade nivån, och teknisk interoperabilitet och juridiska definitioner är frågor som fortfarande behöver lösas. Även om EUDI Wallet ska vara på plats senast 2026 pekar mycket på att utrullningen av e-legitimationer på högsta tillitsnivå till den breda massan kommer att ta tid.

Det finns dock ingen anledning att vänta med att uppgradera säkerheten. Avancerade elektroniska underskrifter enligt PAdES-standarden finns tillgängliga idag, uppfyller eIDAS-förordningens krav och ger er den tekniska grund ni behöver.

 


Sammanfattning: Gör rätt enligt eIDAS och DORA redan idag

Det finns idag ingen anledning för banker och försäkringsbolag att acceptera de risker som simpla elektroniska underskrifter medför.

Genom att implementera avancerade elektroniska underskrifter enligt PAdES säkerställer ni att era dokument är självbärande – all bevisning för att validera underskriften finns inbäddad i filen, oberoende av vilken leverantör ni använder eller om den leverantören ens existerar om tio år.

Att välja en svensk lösning, med möjlighet till lokal installation för de organisationer där det krävs, är inte bara ett sätt att bocka av DORA-krav. Det är ett strategiskt val för att bygga en digital motståndskraft som skyddar mot AI-drivna förfalskningar och säkerställer att ni äger er data i varje led.

Validerbarhet är den enda garantin för att ett avtal är precis vad det utger sig för att vara – idag och om tio år. 

Välkommen att höra av dig till mig med funderingar om DORA och era e-underskrifter!