Cum se face semnatura electronica?

Acest articol arata, pas cu pas, cum se face semnatura electronica si cum alegi varianta potrivita pentru documentele tale. Vei afla care sunt tipurile de semnatura recunoscute in UE, ce spune legea in 2025, cum obtii rapid un certificat calificat si cum semnezi efectiv fisiere PDF sau alte formate. Sunt incluse liste de verificare, recomandari de securitate si cifre actuale despre adoptarea semnaturii electronice in spatiul european.

Ne vom baza pe standardele europene (ETSI), pe cadrul eIDAS gestionat de Comisia Europeana si pe bune practici validate de organisme precum ENISA si Autoritatea pentru Digitalizarea Romaniei (ADR). Scopul este sa poti trece de la zero la semnare legala, rapida si sigura, fara ambiguitati.

Ce este si ce nu este semnatura electronica

Semnatura electronica este orice set de date in forma electronica atasate sau logic asociate unui document si folosite pentru a-l semna. In practica, in UE avem trei niveluri: semnatura electronica simpla (SES), semnatura electronica avansata (AES) si semnatura electronica calificata (QES). Diferenta critica este nivelul de asigurare si forta probatorie: QES, creata cu un dispozitiv calificat si bazata pe un certificat calificat emis de un furnizor calificat, are acelasi efect juridic ca o semnatura olografa, in toate cele 27 de state membre ale UE, conform regulamentului eIDAS. AES si SES pot fi suficiente in contexte cu risc redus sau mediu, dar pentru acte cu impact ridicat (contracte comerciale semnificative, relatii cu autoritatile, operatiuni cross-border) QES este standardul.

Nu trebuie confundata o imagine scanata a semnaturii olografe lipita intr-un PDF cu o semnatura electronica in sens legal. Acea imagine nu ofera garantii criptografice, nu asigura integritatea documentului si nu ataseaza o identitate verificata. O semnatura electronica reala foloseste criptografie asimetrica (perechi de chei), sigilii si marcaje de timp (timestamp), iar validarea se face prin certificate si lanturi de incredere. In 2025, majoritatea fluxurilor legale solide din UE folosesc formate standardizate precum PAdES (pentru PDF) sau XAdES (pentru XML), definite de ETSI.

Cadrul legal in 2025: eIDAS, ETSI si institutiile cheie

In 2025, cadrul european aplicabil este Regulamentul (UE) nr. 910/2014 (eIDAS), completat de actualizari si standarde tehnice ETSI din familia EN 319 (ex. EN 319 411-1/-2 pentru certificat, EN 319 102 si EN 319 122 pentru profiluri XAdES/PAdES/CAdES). Comisia Europeana administreaza Lista de Incredere a UE (LOTL), care agregeaza listele nationale ale furnizorilor calificati (QTSP). La nivelul anului 2025, LOTL include peste 200 de QTSP activi in UE si SEE, ceea ce asigura interoperabilitate transfrontaliera. In Romania, Autoritatea pentru Digitalizarea Romaniei (ADR) coordoneaza aspectele nationale legate de identitatea digitala si servicii de incredere, iar validarea transfrontaliera se face prin recunoasterea mutuala din eIDAS.

ENISA (Agentia Uniunii Europene pentru Securitate Cibernetica) publica periodic recomandari privind securitatea serviciilor de incredere, inclusiv lectii invatate din incidente si bune practici pentru HSM (modul hardware de securitate) si operatiuni de semnare la distanta. La nivel practic, recomandarile se traduc in cerinte precum folosirea cheilor RSA 2048/3072 sau ECDSA P-256/P-384, timestamp conform RFC 3161 si audituri regulate conform eIDAS si ETSI. Pentru utilizatori finali, aceste institutii garanteaza ca semnaturile calificate recunoscute in LOTL sunt verificabile in orice stat membru, iar formatele standard pot fi validate in aplicatii mainstream (de exemplu, Adobe Acrobat semnalizeaza corect validarea PAdES cu lanturi de incredere din LOTL).

Ce tip de semnatura alegi pentru nevoia ta

Alegerea depinde de risc, valoarea tranzactiei, relatia cu semnatarul si cerintele regulatorii. Pentru documente cu risc scazut (ex. acceptare termeni interni, procese operationale interne), o SES poate fi suficienta. Pentru documente cu valoare juridica medie (ex. contracte comerciale standard, NDA-uri), o AES cu legare criptografica a identitatii si integritatii este rezonabila. Pentru documente cu impact major (ex. contracte de credit, tranzactii peste 10.000 EUR, acte notariale acolo unde este permis, interactiuni cu autoritatile), QES este de regula alegerea corecta in UE.

Ghid rapid de alegere:

• Documente interne, risc scazut: SES, daca nu exista cerinte legale speciale.
• Contracte comerciale uzuale: AES sau QES, in functie de politica de risc si jurisdictie.
• Tranzactii peste 10.000 EUR: QES pentru forta probatorie maxima si recunoastere transfrontaliera.
• Relatii cu administratia publica: QES, deoarece multe fluxuri oficiale o solicita explicit.
• Procese cross-border in UE: QES pentru a evita controverse privind recunoasterea.

In 2025, tendinta in UE este standardizarea pe QES pentru fluxuri externe si AES pentru o parte din fluxurile interne, pentru echilibrul cost-siguranta. Din perspectiva conformitatii, ETSI clarifica cerintele tehnice, iar eIDAS stabilizeaza recunoasterea juridica. Evaluarea impactului si a costului trebuie facuta nu doar pe document, ci la nivel de proces (cate semnaturi lunar, cate parti implicate, timp de semnare si verificare, litigii potentiale).

Cum obtii un certificat calificat pas cu pas

Un certificat calificat se obtine de la un furnizor calificat (QTSP) listat in LOTL. In Romania exista cel putin trei furnizori cunoscuti care emit certificate calificate pentru persoane fizice si juridice. In 2025, cel mai raspandit model este semnatura la distanta (remote), in care cheia privata este generata si pastrata intr-un HSM certificat, iar tu autorizezi operatiunea de semnare printr-o aplicatie sau un OTP. Procesul dureaza tipic 10–30 de minute pentru persoane fizice, incluzand verificarea identitatii (eKYC/video-ident).

Ce ai nevoie in mod uzual:

• Document de identitate valabil (CI sau pasaport), fotografiat fata-verso.
• Un selfie/video scurt pentru potrivirea biometrica (unde este permis).
• Adresa de e-mail si numar de telefon mobil pentru OTP si notificari.
• Datele companiei (pentru certificate de reprezentant): CUI, rol, imputernicire.
• Aplicatia furnizorului sau acces web pentru activare si administrare PIN/OTP.

Dupa validare, primesti datele de acces si poti semna imediat. Durata de emitere variaza in functie de fluxul KYC si de ora (varfurile pot adauga 5–10 minute). Multe QTSP-uri ofera si marcaj temporal calificat (QTimestamp), necesar pentru validare pe termen lung. Verifica intotdeauna ca furnizorul apare in lista nationala de incredere si in LOTL agregeata de Comisia Europeana, pentru a garanta recunoasterea UE.

Semnarea unui PDF cu PAdES si verificarea corecta

Cel mai comun caz este semnarea unui PDF folosind profilul PAdES (ETSI EN 319 142). Procesul standard: incarci PDF-ul intr-o aplicatie compatibila, alegi certificatul calificat, autorizezi semnarea (PIN/OTP) si aplici marcaj temporal. In mod normal, operatiunea dureaza sub 10 secunde, iar fisierul rezultat include semnatura si timestamp-ul. Pentru validare pe termen lung (LTV), este recomandat sa incluzi certificatele intermediare si CRL/OCSP in fisier, astfel incat verificarea sa fie posibila chiar daca serviciile online nu sunt disponibile.

Pentru verificare, Adobe Acrobat/Reader si alte validatoare care consuma LOTL semnaleaza statusul semnaturii si al lantului de incredere. In 2025, multe aplicatii se actualizeaza automat cu listele QTSP, dar este bine sa verifici periodic. Daca semnezi multi-parti, foloseste profiluri multi-sign si semneaza in ordinea convenita. Pentru documente XML (facturi, contracte structurate), XAdES poate fi preferat, iar pentru fisier generic binar, CAdES este o alternativa robusta. Important: nu modifica documentul dupa semnare; orice schimbare invalideaza semnatura, fapt ce este detectat imediat la validare.

Semnatura la distanta pe telefon si portofelele de identitate

Semnatura la distanta permite sa autorizezi din telefon operatiunea de semnare, in timp ce cheia privata ramane intr-un HSM al furnizorului. In 2025, acest model este dominant in UE, deoarece ofera usurinta si securitate sporita (cheia nu paraseste mediul controlat). Notificarile push, biometria locala si OTP-urile unice imbunatatesc experienta. eIDAS 2 si initiativele Portofelului European de Identitate Digitala deschid calea pentru integrarea identitatii si a semnaturii in acelasi flux, cu obiectivul de a simplifica semnarea cross-border.

Ce poti face in practica cu telefonul:

• Activezi si blochezi rapid profilul de semnare, pentru control si reactie la risc.
• Autorizezi semnarea prin PIN local si un OTP, in 5–15 secunde.
• Primesti jurnalul de audit si hash-ul documentului pentru verificare ulterioara.
• Semnezi loturi de documente cu o singura aprobare, unde este permis.
• Adaugi marcaj temporal calificat automat, fara pasi suplimentari.

Portofelele de identitate digitala aflate in pregatire in UE vizeaza ca, pe termen scurt si mediu, mai multe servicii publice si private sa accepte identitati si atribute calificate. In 2025, Comisia Europeana coordoneaza proiecte pilot pentru interoperabilitate, iar statele membre, inclusiv Romania prin ADR, pregatesc cadrul tehnic. Pentru utilizator, rezultatul va fi o semnare mai rapida, cu mai putini pasi si o recunoastere mai clara in spatiul european.

Securitate si bune practici: ce recomanda ENISA si ETSI

Securitatea unei semnaturi electronice tine de intregul lant: identitate, generare si pastrare cheie, algoritmi, marcaj temporal, validare si audit. In 2025, recomandarile uzuale includ RSA 2048 sau ECDSA P-256 ca prag minim, HSM cu certificari recunoscute (ex. Common Criteria EAL4+ sau FIPS 140-2/3), si politici clare de revocare/renoire a certificatelor (de regula 1–3 ani pentru certificatele calificate de persoana). ENISA subliniaza importanta gestionarii incidentelor si a testelor periodice, iar standardele ETSI definesc profilele tehnice pentru compatibilitate.

Checklist de securitate pentru utilizatori:

• Activeaza autentificarea in doi factori (PIN + OTP/biometrie) la fiecare semnare.
• Protejeaza contul la furnizor: parole unice, manager de parole, revizuire acces lunar.
• Verifica statusul semnaturii si al timestamp-ului inainte de a transmite documentul.
• Pastreaza logurile si dovada semnarii (hash, jurnal, raspuns OCSP) pentru minim 5 ani.
• Programeaza reinnoirea certificatului cu cel putin 30 de zile inainte de expirare.

Pentru organizatii, adauga control de acces pe roluri, separare a atributiilor si monitorizare continua. Revizuieste trimestrial lista QTSP-urilor aprobate intern si asigura-te ca aplicatiile consuma automat LOTL. In fluxuri critice, foloseste timestamp calificat si arhivare LTA, astfel incat semnatura sa ramana validabila tehnic pe termen lung, chiar daca algoritmii sau politicile evolueaza. Aceste masuri reduc substantial riscul operational si juridic.

Statistici si tendinte 2025: adoptare, timpi si costuri

Adoptarea semnaturii electronice continua sa accelereze in 2025 in spatiul UE. Exista peste 27 de piete nationale armonizate de eIDAS si peste 200 de furnizori calificati listati in LOTL, ceea ce ofera optiuni multiple pentru companii si cetateni. In practica, organizatiile care trec de la fluxuri pe hartie la semnare digitala raporteaza, in mod tipic, reducerea timpului de semnare de la cateva zile la sub 1 ora pentru contractele standard si la 5–15 minute pentru aprobari interne, in functie de numarul de parti si de KYC. Rata de finalizare a semnarii in prima zi depaseste adesea 80% in fluxurile B2C care folosesc OTP pe mobil.

La nivel de cost, in 2025, abonamentele pentru semnatura calificata la distanta pornesc frecvent de la circa 5–10 EUR/luna per utilizator individual, iar la volum pot cobori sub 3 EUR/luna per utilizator activ. Un marcaj temporal calificat are de regula un cost per eveniment, de la fractiuni de cent pana la cativa centi la volum. Economiile operationale provin din eliminarea curieratului, a timpilor morti si a erorilor; multe companii raporteaza scaderi de 50–80% ale costurilor pe contract semnat si imbunatatiri de 20–40% ale conversiilor in procesele digitale. Comisia Europeana si ENISA promoveaza aceste beneficii in ghiduri si programe, in paralel cu cresterea standardelor de securitate si usurinta in utilizare.

Erori frecvente si cum le eviti in procesul de semnare

Chiar si cu instrumente bune, apar greseli uzuale. Una este folosirea unei imagini a semnaturii olografe in locul unei semnaturi electronice reale; alta, semnarea cu un certificat expirat sau revocat. Se mai intampla validarea incompleta din cauza lipsurilor in lantul de incredere sau a faptului ca aplicatia nu este actualizata cu LOTL curent. De asemenea, ignorarea marcajului temporal poate afecta validarea pe termen lung, iar lipsa jurnalelor face dificil raspunsul la dispute.

Evita aceste probleme astfel:

• Foloseste intotdeauna un QTSP listat in LOTL si verifica statusul certificatului.
• Activeaza timestamp calificat si, daca este posibil, LTV/LTA pentru arhivare.
• Actualizeaza periodic aplicatiile de semnare si validare pentru a include ultimele liste.
• Stabileste un proces de resemnare daca documentul este modificat dupa semnare.
• Centralizeaza logurile si hash-urile documentelor semnate pentru audit rapid.

In 2025, multe QTSP-uri ofera validatoare web care consuma direct LOTL si simplifica depistarea problemelor. Pentru organizatii, o politica interna clara care mapeaza ce tip de semnatura se foloseste pe fiecare categorie de document reduce erorile si accelereaza adoptarea. Pentru persoanele fizice, un curs scurt de 30–60 de minute si un ghid vizual sunt de obicei suficiente pentru a atinge un nivel de confort ridicat.