Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 7. marts 2003.
Indehavere af digital signatur løber ikke en større risiko, end PFA-topchefen AndrÈ Lublin gjorde. Forfalskninger og svindel bliver afgjort efter samme retsregler, hvad enten signaturen er gammeldags eller digital.
DIGITAL SIGNATUR
Når danskerne om et par uger modtager et tilbud fra ToldSkat om en gratis digital signatur, er der næppe grund til at tøve af frygt for tyveri eller misbrug af signaturen.
Det mener både kontorchef i Justitisministeriet Henrik Øe, som er medlem af udvalget om retsvirkninger af digital signatur, og chefkonsulent i Videnskabsministeriet Palle H. Sørensen, som har stået for udbuddet af digital signatur efter OCES-standarden.
Situationen er ellers den, at udvalget om retsvirkninger af digital signatur ikke er færdig med dets arbejde, og at det derfor endnu ikke er fuldt belyst, om der er behov for særlig lovgivning om digital signatur.
Loven om elektroniske signaturer fra 2000 gælder nemlig ikke for digital signatur med OCES-certifikat eller digital signatur light, som den også kaldes. Loven gælder kun for digitale signaturer med kvalificerede certifikater, som overholder EU-direktivet om samme.
- Men det betyder altså ikke, at vi står i et retstomrum, understreger Henrik Øe, Justitsministeriet.
Følt sikkerhed
Under alle omstændigheder bliver signaturen i stor stil taget i brug af danskerne allerede i år. Hvis de ellers tør, for ifølge Nordeas it-sikkerhedschef Jacob Øst Hansen afhænger udbredelsen i høj grad af følelsen af sikkerhed.
- Føler folk sig ikke trygge, bliver det kun de sædvanlige 20-30 procent, der går til biddet, mener Jacob Øst Hansen.
Han er fortaler for en fast selvrisiko på digital signatur på 1.200 kroner. Så ved brugerne, at de ikke risikerer mere ved at bruge digital signatur end ved at bruge dankort i butikker eller på nettet.
Imidlertid er det både Forbrugerrådets og Videnskabsministeriets juristers vurdering, at det i praksis vil være 1.200-kroners reglen, der gælder, når folk bruger deres digitale signatur til betalingsformål.
Bruges signaturen derimod til identifikation, almindelig underskrift eller andre formål, er det aftaleloven eller dansk rets almindelige regler, der gælder.
Det er noget rod, synes Forbrugerrådet, som har opfordret til, at problemstillingen granskes.
Henrik Øe siger, at udvalget om retsvirkninger også vil se på problemstillingen om selvrisiko.
- Men delbetænkningen er ikke lige på trapperne, selv om vi arbejder på højtryk, fordi OCES-signaturen er her nu, siger Henrik Øe.
Ringe risiko
Han mener dog ikke, at danskerne - indtil ansvarssituationen endeligt bliver afklaret - behøver frygte, at de pådrager sig et stort erstatningsansvar, hvis deres signatur bliver stjålet og misbrugt.
- Situationen kan være forskellig alt efter omstændighederne, og om der er tale om tyveri, misbrug, forfalskning, brug af en ugyldig signatur eller brug af signaturen uden for dens formålsbegrænsning, siger Henrik Øe.
Handler det om misbrug og forfalskning, så er situationen ikke anderledes, end hvis nogen har misbrugt ens almindelige underskrift. Henrik Øe fremhæver PFA-sagen som et eksempel på, at man netop ikke kommer til at hæfte for misbrug, hvis bevisførelsen i retten sandsynliggør, at man ikke havde kendskab til misbruget.
- Når vi alligevel vender alle sten i udvalget for retsvirkninger, er det, fordi digital signatur er ny teknologi. Vi skal være sikre på, at aftaleloven er tilstrækkelig teknologineutral. Jeg kan ikke på nuværende tidspunkt udelukke, at der er behov for speciallovgivning, siger han.
Trads og Thorsen igen
Chefkonsulent Palle H. Sørensen, Videnskabsministeriet, mener, at kun tiden kan vise, om dansk rets almindelige regler kan bruges til at afklare de ansvarsspørgsmål, som ikke er reguleret i OCES-certifikatpolitikkerne.
- Principielt vil en sag om misbrug være helt analog med Thorsen- og Trads-sagen, men det vil være uvant for domstolene at behandle en digital signatur-sag, fordi man skal vurdere systembeviser. Så det er ikke til at vide, hvad der sker, før der kommer en sag, så vi kan se, hvad retspraksis bliver. Vi mangler ganske enkelt erfaringer, siger Palle H. Sørensen.
Videnskabsminister Helge Sander var for nogle uger siden i samråd i Videnskabsudvalget om blandt andet ansvarsspørgsmålet. SF's it-ordfører Anne Grete Holmsgaard sagde efter samrådet, at hun - trods alt - følte sig mere tryg efter samrådet end før.
Anne Grete Holmsgaard ønsker dog skrappere ansvarsregler for udbydere (i første omgang TDC, som vandt udbuddet) af digital signatur-certifikater end for dankort-udstedere.
Modtager har ansvar
Det er Jacob Øst Hansen fra Nordea ikke enig med hende i. Objektivt ansvar bør Nøglecentret kun have i tilfælde af fejludstedte certifikater.
- Det er for vidtrækkende at give Nøglecentret objektivt ansvar. Nøglecentret kan jo ikke gribe ind i en transaktion. Derimod må modtageren af signaturen bære en del af risikoen. Det er reelt kun signaturmodtageren, der kan foretage den relevante risikovurdering, siger Jacob Øst Hansen.
Heri er Palle H. Sørensen fra Videnskabsministeriet enig.
- Modtageren har et ansvar for at vurdere konteksten og tjekke, om signaturen eventuelt er brugt uden for formålsbegrænsningen. Private vil ikke kunne pådrage sig ansvar ved at bruge signaturen til noget, som udbyderen har bestemt, at den ikke kan bruges til, siger Palle Sørensen.
I en eventuel retssag vil dommeren typisk også som led i bevisbedømmelsen se på konteksten, og derfor er der ifølge Palle Sørensen ingen grund til overdreven bekymring, hverken for at have en digital signatur eller for at bruge den.
- Der indgås jo allerede talrige handler hver dag via e-mail, og de vil alt andet lige blive sikrere, når de forsynes med digital signatur, siger Henrik Øe fra Justitsministeriet.
Boks:
Udrulning
TDC og Videnskabsministeriets mål er 350.000 brugere af digital signatur efter et år, 700.000 brugere efter to år, en million efter tre år og 1,3 millioner brugere efter de fire år, som kontrakten løber. TDC får som vinder af det netop overståede udbud 40 millioner kroner til at rulle en standardiseret digital signatur ud til alle danskere.
Digital Signatur Light med OCES-certifikater
For at fremme udbredelsen af digitale signaturer og etablere en standard skabte Videnskabsministeriet OCES-standarden (Offentlige Certifikater til Elektronisk Service). OCES-certifikatet er softwarebaseret og kan produceres og anvendes billigere end hardwarebaserede. OCES-certifikatet kan principielt anvendes til digital signatur i al kommunikation mellem myndigheder, virksomheder og borgere. Digital signatur med OCES-certifikat kaldes også digital signatur light.
Udvalg om retsvirkninger
Justitsministeriets udvalg om retsvirkningerne af digital signatur blev nedsat den 3. november 1998 og har foreløbig afgivet en delbetænkning. Mindst to delbetænkninger mere er i vente, før opgaven er løst. Emnet for den næste delbetænkning er, om der er behov for særlige ansvarsregler, der regulerer civilretlige konsekvenser af misbrug eller brug af ugyldige signaturer. Den sidste delbetænkning skal afklare, om aftaleloven er tilstrækkelig til regulering af e-handel.
Billedtekst:
Hvis der kommer en sag om en forfalsket digital signatur, vil den principielt skulle behandles analogt med sager om forfalskede underskrifter som for eksempel PFA-sagen, hvor AndrÈ Lublin ikke kom til at hæfte for misbruget af sin underskrift.
Foto: Scanpix
