Elektroniska underskrifter

Vad betyder ”avancerad underskrift”? Vad kräver lagen? Vad kan tekniken bevisa och varför väljer man leverantör en gång men ändå måste verifiera varje fil?

Bakgrund

Elektroniska underskrifter är standard i försäkrings- och pensionsflöden — flyttuppdrag, fullmakter, avtal. De skapas av en handfull signeringstjänster (Scrive, Visma Sign, Assently, Verified, Brandsign, Egreement/Visma Addo m.fl.), och dokumenten byter händer mellan parter som var och en måste kunna avgöra: är det här en giltig, avancerad underskrift — och kan jag lita på den?

Den vanligaste missuppfattningen är att svaret är en egenskap hos tjänsten (”vi gör avancerade underskrifter”). Det är det inte. Det är dels en rättslig nivå som definieras av tekniska krav, dels en egenskap hos den enskilda filen som måste verifieras. Det här underlaget skiljer på de sakerna så att en diskussion om signeringstjänster kan bli konkret.

Kärnbudskap

”Avancerad” är inte ett märke en myndighet delar ut till en tjänst. Det är ett tekniskt krav som en viss underskrift antingen uppfyller eller inte — och som du kontrollerar på filen, inte i en broschyr.

Lagstiftningen: eIDAS och de tre nivåerna

EU:s eIDAS-förordning (910/2014, uppdaterad 2024 genom ”eIDAS 2.0”/EU:s identitetsplånbok — men nivådefinitionerna är oförändrade) delar in elektroniska underskrifter i tre nivåer med stigande krav.

NivåKrav i korthetGodkänns / registreras
Enkel
SES · art. 3.10
Vilken elektronisk markering som helst som visar avsikt — t.ex. e-postbekräftelse, en inklistrad namnteckning, en kryssruta. ingen reglering
Avancerad
AdES · art. 26
Fyra krav (a–d): unikt kopplad till undertecknaren, kan identifiera denne, skapad under dennes ensamma kontroll, och kopplad till datan så att ändring upptäcks. ej registrerat · självbedömt
Kvalificerad
QES · art. 3.12
En AdES skapad med en kvalificerad anordning och ett kvalificerat personcertifikat från en godkänd leverantör. registrerat på Trusted List

Den avgörande skillnaden: bara kvalificerad status är reglerad och registrerad. En kvalificerad leverantör (QTSP) revideras av ett ackrediterat organ, godkänns av tillsynsmyndigheten och publiceras på en Trusted List. För avancerad finns ingen sådan officiell prövning — nivån definieras av de fyra tekniska kraven, inte av en licens. Därför finns det inget register över ”AdES-leverantörer”.

Tekniken: två modeller för hur det signeras

I Sverige autentiseras undertecknaren nästan alltid med BankID (eller Freja). Viktigt: BankID är en avancerad, inte kvalificerad, metod — och en BankID-underskrift är i grunden en XML-signatur, inte en PDF-signatur. Vad som händer sedan avgör vad filen kan bevisa, och det finns två modeller.

Modell A — organisationssigill (det normala)

Tjänsten autentiserar personen med BankID och förseglar sedan dokumentet med sitt eget organisationscertifikat (en PAdES-/CAdES-signatur, eller Scrives nyckellösa GuardTime KSI). Personens identitet står i tjänstens revisionsspår — inte i sigillets certifikat. Så här fungerar Scrive, Visma Sign, Assently, Verified och Brandsign.

Modell B — personcertifikat (sällsynt: QES)

Signaturen bär undertecknarens eget certifikat, med namn och personnummer inbäddade. Då identifierar filen personen direkt. Det förekommer i praktiken bara vid kvalificerade underskrifter (QES) via en QTSP — inte i vanliga BankID-flöden.

Följd för identitet

I modell A finns personens identitet inte i filens certifikat — den intygas av tjänsten. Bara i modell B faller identitet och sigill ihop. Ett vanligt fällfall är dessutom en renderad kopia (utskrift/nedladdning utan sigill): den visar ”BankID av N.N.” som text, men innehåller ingen kryptografisk signatur alls och bevisar därför ingenting.

Leverantörsval: vad du kan luta dig mot

Eftersom ingen myndighet intygar ”avancerad” och inget AdES-register finns, måste du själv granska leverantörens påstående. Det gör du en gång, vid onboarding. Leta efter oberoende bevis du kan kontrollera, från mest till minst formellt:

  • Trusted List / QTSP-status. Det enda myndighetsintyget som finns. I Sverige för PTS (Post- och telestyrelsen) den nationella listan; hela EU finns i EU:s Trusted List Browser. Står de där är åtminstone deras kvalificerade tjänster reviderade — starkt även om just din underskrift ”bara” är avancerad.
  • Frivilliga revisioner. Be om dem: ETSI EN 319 401/411, ISO 27001, SOC 2, WebTrust/AATL. Seriösa leverantörer kan visa rapporten.
  • Den underliggande e-legitimationen. Autentiserar de med BankID finns en tillsynad, ansvarig operatör bakom identitetsledet.
  • Certifikatkedjan. Kedjar sigillet till en känd CA (AATL, publik rot eller en QTSP) är den utgivaren ansvarig och kontrollerbar.
Att kräva när du vill ha myndighetsgaranti

Vill du ha en garanti som en myndighet gått i god för finns bara en väg: kräv kvalificerat (QES/QESeal) och kontrollera leverantören mot Trusted List. För allt annat gäller granskning + verifiering.

Teknik för att verifiera filer

Leverantörsvalet gäller processen. Den enskilda filen är en egen sak — den kan ha ändrats, plattats till (vilket strippar sigillet), laddats ner som renderad kopia eller fått ett utgånget certifikat. Därför verifierar du varje fil, helst automatiskt vid mottagande. Verifieringen prövar tre saker i tur:

  1. Identitet. Läs signeringscertifikatet — vem gjorde signaturen? (I modell A: tjänsten. I modell B: personen.)
  2. Äkthet + tillit. Verifierar signaturen matematiskt mot certet och kedjar certet till en betrodd källa (Trusted List / känd CA / er policy)? Utan en betrodd källa är namnet bara ett påstående utan bevis.
  3. Integritet & rätt data. Täcker signaturen hela filen, stämmer hashen, är inget ändrat efteråt — och är innehållet det du väntar dig?

Var tilliten kommer ifrån — från starkast till svagast

KällaGer digExempel
EU Trusted Listkvalificerat rättslig presumtionQTSP-sigill / QES
Kommersiell CAkommersiellt betrott standard-PKIEntrust, GlobalSign (AATL), DigiCert
Egen policy / whitelistpolicy-betrott sluten federation”dessa tjänster litar vi på”
Ingetotrustatsjälvsignerat, renderad kopia

Kärnan här: ”är detta betrott?” är delvis en policyfråga, inte ren kryptografi. Två parter kan bedöma samma fil olika beroende på om de accepterar en kommersiell CA eller kräver kvalificerat — båda försvarbart. Notera också vad verifieringen inte bevisar: i modell A styrker den att tjänstens sigill är intakt, men ”var det rätt person med BankID?” vilar fortfarande på ditt leverantörsförtroende.

Juridiken: rättslig verkan

eIDAS reglerar underskrifternas rättsliga verkan (art. 25):

  • En elektronisk underskrift får inte nekas rättslig verkan enbart för att den är elektronisk eller inte är kvalificerad (art. 25.1). SES och AdES är alltså giltiga och tillåts som bevis — men deras bevisvärde prövas i det enskilda fallet.
  • Kvalificerad underskrift (QES) likställs med en handskriven namnteckning (art. 25.2) och ska erkännas i alla EU-länder (art. 25.3).

Praktiskt i Sverige: det finns sällan ett rättsligt krav på just QES. En avancerad underskrift via BankID är juridiskt tillräcklig för nästan alla inhemska ändamål, och bevisvärdet är i praktiken högt tack vare BankID:s tillitsnivå. QES blir aktuellt främst vid gränsöverskridande behov eller specifika formkrav. Det förklarar varför kvalificerade underskrifter är ovanliga på den svenska marknaden.

Bevisvärde i praktiken

Styrkan i en AdES vid en tvist står och faller med vad du kan visa: ett verifierbart sigill, en betrodd källa och ett bevarat revisionsspår (helst i ett långtidsformat, PAdES-LT/LTA). Ett dokument du inte kan verifiera är svagt oavsett hur äkta texten ser ut.

Sammanfattning: två lager av tillit

Hela underlaget kokar ner till att skilja på två beslut som fattas vid olika tillfällen:

Lager 1 · en gång

Lita på processen

eID-autentiseringen och ensam kontroll som gör sigillet till en riktig persons AdES. Bedöms via leverantörsval.

Vid onboarding — dokumenteras, motiveras.
Lager 2 · varje fil

Verifiera filen

Integritet + äkta sigill + en betrodd källa. Kryptografiskt bevisbart, bör automatiseras vid mottagande.

Alltid — aldrig ”det kom från leverantör X, alltså ok”.

De två lagren faller ihop bara i modell B (personcert/QES). För allt annat: du väljer leverantören på processen och verifierar varje enskild fil — båda, inte antingen/eller.

Att ta med till diskussionen

  • Fråga inte ”är er tjänst avancerad?” utan ”vilken modell — org-sigill eller personcert — och vilken CA/utgivare?”
  • Begär revisionsintyg (ETSI/ISO) och kontrollera Trusted List om QES/QESeal utlovas.
  • Kräv att levererade filer är kryptografiskt signerade original, inte renderade kopior.
  • Inför automatisk verifiering vid mottagande som loggar resultat + var tilliten kommer ifrån per fil.
  • Kräv QES bara när gränsöverskridande verkan eller formkrav faktiskt kräver det.
Underlag för interna diskussioner om val och verifiering av signeringstjänster. Sammanfattar eIDAS på en översiktlig nivå och är inte juridisk rådgivning — stäm av formkrav i det enskilda fallet. Nivådefinitioner: eIDAS art. 3, 25–26. Tillsyn/Trusted List i Sverige: PTS.