Kérdések és válaszok a folyamatba épített DÁP eAláírásról

A technikai specifikáció tavaly decemberi közzétételével megnyílt az út a pénzügyi szolgáltatók előtt a DÁP eAláírás integrált bevezetésére. Az IT projekt megtervezése előtt azonban érdemes megismerkedni az integráció szabályozási hátterével – már csak azért is, mert még mindig sok a nyitott kérdés a bevezetés körül. Ezeket gyűjtöttük össze és tettük fel Dr. Kósa Ferencnek, a Magyar Elektronikus Aláírás Szövetség elnökének, aki válaszaival az alapfogalmak áttekintésében is segített nekünk.

– Kezdjük azzal, hogy ügyintézési szempontból hova sorolható a DÁP eAláírás, és milyen joghatása van?

Az elektronikus ügyintézés alapvető uniós szabályait tartalmazó eIDAS rendelet alapján háromféle elektronikus aláírás létezik, ami egyben a megbízhatóság szintjét is tükrözi:

1.egyszerű elektronikus aláírás (Simple electronic Signature (SeS)),
2.fokozott biztonságú elektronikus aláírás (Advanced electronic Signature (AeS)),
3.minősített elektronikus aláírás (Qualified electronic Signature (QeS)).

A DÁP eAláírás az állam által az állampolgárok számára ingyenesen biztosított minősített elektronikus aláírás. Az ezzel hitelesített jognyilatkozat írásbeli, teljes bizonyító erejű magánokirat, ami ügyvédi ellenjegyzéssel látható el, közokirat létrehozására alkalmas, és bármilyen hatósági, vagy bírósági eljárásban felhasználható, hiteles okiratot hoz létre (kizárólag magánszemélyként, magáncélra). Azaz a legmagasabb jogi és technológiai biztonságot nyújtja.

– A DÁP tv. „folyamatba épített” eAláírásról beszél. Ez mit jelent pontosan?

A folyamatba épített DÁP eAláírás azt jelenti, hogy az ügyfél: 1) a szolgáltató felületén megtekinti az aláírandó dokumentumot, 2) onnan indítja az aláírási folyamatot, 3) a hitelesítést a DÁP-ban regisztrált mobileszközén végzi el, majd 4) az aláírás eredménye automatikusan visszakerül a szolgáltató rendszerébe.

– Milyen szervezeteknek kötelező a DÁP eAláírás integrálása az ügyfélfolyamataikba?

A DÁP tv. 80. §-a alapján a DÁP eAláírást (és a DÁP eAzonosítás funkcióját) minden ott felsorolt szolgáltatónak – így a pénzügyi szolgáltatóknak és biztosítási szektornak is, azonos funkciót betöltő szolgáltatása mellett vagy helyett – folyamatba integráltan biztosítania kell a felhasználói számára. Ha ezt a szektort nézzük, az alábbi szervezetekről van szó:

• a hitelintézetekről és a pénzügyi vállalkozásokról szóló törvény szerinti hitelintézet és pénzügyi vállalkozás,
• az egyes fizetési szolgáltatókról szóló törvény szerinti pénzforgalmi intézmény, elektronikuspénz-kibocsátó intézmény és a Posta Elszámoló Központot működtető intézmény,
• a biztosítási tevékenységről szóló törvény szerinti biztosító és viszontbiztosító,
• a befektetési vállalkozásokról és az árutőzsdei szolgáltatókról, valamint az általuk végezhető tevékenységek szabályairól szóló törvény szerinti befektetési vállalkozás és árutőzsdei szolgáltató,
• az Önkéntes Kölcsönös Biztosító Pénztárakról szóló törvény, a magánnyugdíjról és a magánnyugdíjpénztárakról szóló törvény, valamint a foglalkoztatói nyugdíjról és intézményeiről szóló törvény hatálya alá tartozó tevékenységet végző,
• a biztosítási tevékenységről szóló törvény szerinti biztosító egyesületi szolgáltatást nyújtó szolgáltató.

– Azoknak is kötelező a DÁP eAláírás bevezetése, akiknek már van zárt, auditált rendszerben zajló ügyfél-átvilágítási folyamata?

A fenti válaszban az “azonos funkciót betöltő szolgáltatása mellett vagy helyett” kitételen nagy hangsúly van, mert az MNB által felügyelt szolgáltatók előtt tett jognyilatkozatokra speciális (kivétel)szabály van a DÁP tv. 109. (3) bekezdésében. Ha az ilyen szolgáltató zárt auditált rendszerében az azonosításra vonatkozó jogszabályban foglaltak szerint azonosított ügyfél által egyszerű elektronikus aláírással tesz jognyilatkozatot (amire a szolgáltató időbélyeget helyez), akkor az is teljes bizonyító erejű magánokirat lesz.

Fontos hozzátenni, hogy valójában ez “bicegő” vélelmet hoz létre, mert ha jogvita esetén a szolgáltató nem ajánl fel bizonyítást, akkor a bíróságnak az ügyfél nyilatkozatát kell elfogadnia.

Ugyanakkor azon szolgáltatók esetében, akik üzemeltetnek ilyen zárt auditált rendszert, a jövőben biztosítani kell, hogy az ügyfél által a szolgáltató felé tett bármilyen nyilatkozat DÁP eAláírással is hitelesíthető legyen.

– Miért rendelkezik így a szabályozó?

Azért, mert ez mind az ügyfélnek, mind a szolgáltatónak nagyobb biztonságot jelent. Hacsak az ügyfél maga nem adta ki az eszközét másnak, akkor teljességgel bizonyos lehet benne, hogy más nem tud helyette aláírni, a szolgáltató pedig abban, hogy az ügyfél nem tudja a saját aláírását megtámadni.

– Milyen jellegű jognyilatkozat aláírására kell használni DÁP eAláírást?

A jogszabály jelenleg semmilyen korlátot nem támaszt, hogy milyen jellegű jognyilatkozat aláírására kell és milyenre nem kell a folyamatba épített DÁP eAláírást biztosítania a szolgáltatónak az ügyfelei részére.

Ebből pedig az következik, hogy a folyamatba épített DÁP eAláírás lehetőségét elméletileg minden és bármilyen jognyilatkozat aláírására biztosítani kell a DÁP regisztrált magánszemélyek részére.

– Milyen kérdéseket vet fel, hogy erről nem rendelkezik a jogszabály? 

Komoly problémát jelent, hogy jelenleg DÁP eAláírással kizárólag PDF dokumentum írható alá.

1. A mobilbank alkalmazásokban leadott átutalási megbízásokat az ügyfelek jelenleg tipikusan a DÁP tv. 109. § (3) bekezdés szerinti, fent részletezett egyszerű elektronikus aláírással írják alá. Ezek nem PDF formátumú dokumentumok, hanem adatcsomagok (xml, vagy json). Ilyen adatcsomagok DÁP eAláírására jelenleg nincs lehetőség.
2. Az általános szabályok szerint elektronikus dokumentum – és írásbeli – lehet egy hangfelvétel vagy videófelvétel is. (Ami azonban szerződéskötésre nem alkalmas az MNB által felügyelt szolgáltatók esetében, de egyéb jognyilatkozat megtételére igen). Jelenleg ilyenek sem írhatóak alá DÁP eAláírással, így ezek esetében is kérdéses a DÁP tv. 80. § azon rendelkezése, hogy “azonos funkciót betöltő szolgáltatása mellett vagy helyett […] köteles biztosítani”.

Ugyanakkor ott, ahol PDF dokumentumba foglalt szöveges jognyilatkozat – pl. szerződés, szerződés-módosítás, vagy szerződés megszüntetésének – aláírása szükséges, ez a funkció nagyszerűen használható.

– Kik használhatják a DÁP eAláírást az arra kifejezetten kötelezett szolgáltatókon kívül?

A DÁP eAláírási – és az eAzonosítási – funkciót a fenti, DÁP tv. 80. § szerinti szolgáltatókon kívül bárki beépítheti a saját szolgáltatásaiba, erre a törvény lehetőséget biztosít. Ugyanakkor ez nem feltétlenül jelent ingyenes használati lehetőséget a szolgáltató számára. A felhasználási lehetőségek tárháza végtelen, ugyanakkor nyilván az ár ismeretében piaci döntést igényel. A döntést nehezíti, hogy az ehhez szükséges díjrendelet a mai napig nem készült el.

– Miért volt szükség a folyamatba épített DÁP eAláírás bevezetésére?

A DÁP alkalmazásban biztosított eAláírás feltételezi, hogy az aláírandó dokumentum a mobileszközünkön van. Ez annyiban nehezíti az aláírás folyamatát, hogy az aláírandó dokumentumot a mobileszközre előbb el kell juttatni valamilyen úton-módon. Ez azonban sokszor nem egyszerű: e-mailt kell küldeni, vagy egyéb üzenetküldő applikáció segítségével kell továbbítani a dokumentumot. Ez viszont nem biztonságos, hiszen harmadik fél (az üzenetküldést biztosító szolgáltató) közreműködése szükséges.

Erre nyújt megoldást a folyamatba épített DÁP eAláírás: ennek keretében a szolgáltató közvetlenül tud úgy aláírást indítani az ügyfél felé, hogy a dokumentumot nem kell az ügyfél mobileszközére eljuttatni.

– Hogyan működik a folyamatba épített DÁP eAláírás?

Ahhoz, hogy az ügyfél folyamatba épített eAláírást tudjon használni, először DÁP eAzonosítással azonosítania kell magát, majd a szolgáltatáson keresztül az azonosított ügyfél részére már küldhető aláírandó dokumentum. Erről az ügyfél egy push értesítést és egy tárhelyes üzenetet kap. Az üzenetre tapintva az ügyfél a dokumentumot meg tudja jeleníteni a mobileszközén, végig tudja olvasni, majd ezt követően az eAláírás jelszava megadásával alá tudja írni.

A dokumentumot az aláírást indító szolgáltató azonnal visszakapja aláírva, és kiadhatja az ügyfélnek, illetve irattárazhatja.

Nagyon fontos megemlíteni, hogy ezen szolgáltatás esetében a dokumentum nem hagyja el a (pénzügyi) szolgáltató rendszerét, az állami szolgáltatóhoz csupán a dokumentum “lenyomata”, azaz a hash-kódja jut el.

– Hány dokumentumot lehet egyszerre aláírni?

Egyszerre akár öt darab dokumentum is aláírható egy folyamatban.

– Üzleti ügyfelek is használhatják a DÁP eAláírást?

Nem. Ez a szolgáltatás kizárólag természetes személyek számára, magáncélra vehető igénybe, azaz a szolgáltató által kizárólag ilyen, lakossági ügyfelek számára ajánlhatja ki ezt a szolgáltatást. Üzleti ügyfelek esetében kizárólag piaci elektronikus aláírás használható.

– Ha az ügyfélnek nincs DÁP regisztrációja, vele hogyan írathat alá a szolgáltató?

Azon ügyfelek esetében, akiknek nincs DÁP regisztrációjuk, továbbra is használható a DÁP tv. 109. § (3) bekezdése szerinti aláírási lehetőség, vagy egyéb piaci elektronikus aláírás befogadása.

– Mi a határidő a DÁP eAláírás bevezetésére?

A határidő kérdése azért érdekes, mert a DÁP tv. rendelkezése alapján a 80. § szerinti szolgáltatók 2025. június 01. napjától kötelesek mind a DÁP eAzonosítási funkciót, mind a DÁP eAláírási funkciót integrálni, azonban ez utóbbi lehetősége csak nemrég nyílott meg. Az eddigi tapasztalat alapján azonban a hatóság – azaz a Digitális Szolgáltatások Felügyelete szerepkörében eljáró Digitális Magyarország Ügynökség – ezt nem veszi szigorúan, figyelemmel van az integráció tényleges lehetőségeire.

Ugyanakkor minden kötelezett szolgáltatónak célszerű és javasolt mielőbb megkezdeni az integrációt.