Najčešće postavljana pitanja na ovu temu su: „Mogu li potpisati ugovor bez fizičke prisutnosti? Vrijedi li takav ugovor? Je li elektronički potpis jednak vlastoručnom?“ Odgovor na sva tri pitanja je potvrdan, ali uz važne nijanse, o kojima će biti riječ u nastavku.

Elektronički ugovor nastaje digitalno, potpisuje se digitalno i razmjenjuje se digitalno, odnosno samo u takvom obliku ima pravnu snagu jer se jedino kroz povezane digitalne sustave validacije može provjeravati valjanost potpisa i pečata na njima. Unaprijed se naglašava kako se odredbe o elektroničkom potpisu, načinu ishođenja i pravnoj snazi odgovarajuće primjenjuju i na elektronički pečat.

Prema članku 3. Uredbe (EU) br. 910/2014 predviđene su dvije vrste elektroničkog potpisa:

1. napredni elektronički potpis (AES - advanced electronic signature)

2. kvalificirani elektronički potpis (QES - qualified electronic signature).

No, iako navedena Uredba ne definira konkretno termin (3.) jednostavnog elektroničkog potpisa (SES — simple electronic signature), već samo definira što je elektronički potpis kao takav u članku 3. točki 10., koristi se pretežito u internom dijelu poslovanja te poslovima visoke razine povjerenja i uobičajene komunikacije.

1. Napredni elektronički potpis (AES - advanced electronic signature)
Potpis koji je nedvojbeno povezan s potpisnikom jer je izrađen prema podacima koje korisnik  koristi pod svojom isključivom kontrolom pa je omogućeno njegovo identificiranje, čime se ispunjava visok stupanj povezanosti s potpisanim podacima, jer je svaka naknadna izmjena podataka vidljiva¹, zbog čega je pravna snaga takvog potpisa visoka i pravno dokaziva.² Također, sigurnost proizlazi iz činjenice da ga se bez posebne lozinke ne može zloupotrijebiti.

Europski institut za telekomunikacijske standarde izradio je međunarodne standarde za pojedine formate AdES-a, pa je PAdES napredni elektronički potpis za PDF, XAdES za XML, a CAdES za CMS potpise.

Posebno je važno da se takvim potpisom ne mogu potpisivati ugovori za koje zakon propisuje pisani oblik, kao što su ugovori o radu, autorski ugovori, ugovori o najmu i zakupu nekretnina, ugovori o koncesiji, ugovori o građenju, ugovori o licenciji i dr.

2. Kvalificirani elektronički potpis (QES - qualified electronic signature)
Sadržajno je riječ o AES, ali se izrađuje kriptografskim sredstvom za izradu elektroničkog potpisa i temelji se na kvalificiranom certifikatu za elektroničke potpise, odnosno podrazumijeva korištenje naprednije i sigurnije tehnologije za potpis (kvalificirano) pa jamči veću razinu sigurnosti za stranke.³ Zbog navedenog zahtjeva kvalificiranog certifikata za izradu potpisa, samo se takav potpis pravno izjednačava s vlastoručnim potpisom i predstavlja elektronički identitet pojedine osobe, a izdaje ga tzv. trusted service provider, tj. organizacija koja ispunjava tehničke uvjete za izdavanja takvih digitalnih certifikata.

Kvalificirani certifikati dostupni su putem službeno odobrenih pružatelja usluga, a koji se mogu provjeriti za svaku državu članicu Europske unije putem stranice: https://eidas.ec.europa.eu/efda/trust-services/browse/eidas/tls.

Za Republiku Hrvatsku službeno su odobreni pružatelji takvih usluga: Certilia (AKD d.o.o.), Financijska agencija te Zagrebačka banka d.d. Također, moguće je generirati certifikat putem eOsobne iskaznice. Prema tome, prilikom odabira pružatelja takvih usluga potrebno je provjeriti jesu li elektronički potpisi usklađeni s eIDAS Uredbom, odnosno nalazi li se pružatelj na listi ovlaštenih pružatelja usluga. Ujedno, ističe se da će primjenom eIDAS 2.0. Uredbe na ovaj popis dodati i Europska lisnica za digitalni identitet, koja će ujedno omogućiti generiranje kvalificiranih potpisa na način kako je ta usluga trenutno povezana sa sustavom e-Građani, a koje će se promjene detaljnije pojasniti u kasnijem dijelu ovog članka.

Korisnici imaju mogućnosti pohrane certifikata na različitim medijima, kao što je pametna kartica, USB token, elektronička osobna iskaznica ili cloud, a svaka od opcija ima određene prednosti – kartice i tokeni pružaju materijaliziranu sigurnost od neovlaštenog korištenja, dok cloud rješenja omogućuju veću mobilnost i pristup s više uređaja.

Kvalificiranim elektroničkim potpisom mogu se potpisivati ugovori za koje je propisan pisani oblik, kao što se koristi i na podnescima koji se dostavljaju javnopravnom tijelu elektronički (ali i drugim propisima), a koje stranke u fizičkom obliku vlastoručno potpisuju.⁴ Takvi se potpisi ujedno koriste za potpisivanje svih vrsta podnesaka koji se šalju putem sustava e-komunikacije, oss.uredjenezemlje i sl.

Sam postupak izrade elektroničkog potpisa u poslovanju svodi se na nekoliko osnovnih koraka. Prvenstveno se otvara dokument za potpisivanje, pretežito u PDF formatu, nakon čega se u odabranoj aplikaciji bira opcija za digitalni potpis pa slijedi prijava s digitalnim certifikatom i unos PIN-a, a nakon potvrde dokument se digitalno potpisuje i sprema. Tako potpisan dokument sadržava sve sigurnosne elemente, odnosno podatke o potpisniku, vrijeme potpisivanja, zbog čega je to kriptografski zaštićen potpis koji jamči autentičnost i integritet dokumenta.

3. Jednostavan elektronički potpis (SES - simple electronic signature)
Potpis koji u pravnom smislu sadržava najniži stupanj pravne sigurnosti i uporabe u poslovnim transakcijama, a njegova je uporaba najčešća pri potpisivanju e-mailova, poruka, u internom poslovanju i poslovnim odnosima visokog stupnja povjerenja jer s takvim potpisom nema sigurnog jamstva da osoba potpisnik nedvojbeno odgovara za sadržaj i posljedice sadržaja potpisanog takvim potpisom. To su potpisi nacrtani na ekranu, ili skenirani potpisi umetnuti u PDF bez enkripcije ili certifikata, odnosno bilo koja vrsta digitalnog potpisa kojim se izražava suglasnost na sadržaj dokumenta.

Razlikovanje elektroničkih potpisa
Običan elektronički potpis najjednostavniji je za razlikovanje jer je riječ o fizičkom ili nacrtanom potpisu. S druge strane, napredni i kvalificirani potpisi teže se raspoznaju, zbog čega su osobito korisni online validatori potpisa, a koji ujedno služe i za provjeru valjanosti samih potpisa.

Za potpise na razini Europske unije službeni validator potpisa je DSS Demonstration WebApp Europske komisije: https://ec.europa.eu/digital-building-blocks/DSS/webapp-demo/validation.

Za potpise na razini Republike Hrvatske službeni validator potpisa pruža nekoliko ovlaštenih subjekata, kao što je Financijska agencija: https://www.fina.hr/digitalizacija-poslovanja/validator, te sustav e-Građani: https://epotpis.rdd.hr/validacija.

Svaki od navedenih sustava koristi se tako da se učita dokument s elektroničkim potpisom nakon čega izabrani servis izvršava funkciju validacije pa kad je elektronički potpis valjan, servis će prikazati podatke o identitetu potpisnika, vremenu potpisivanja, formatu i obliku potpisa.

Za razliku od provjere autentičnosti vlastoručnih propisa koje se provodi grafološkim vještačenjem, što podrazumijeva vremenske i financijske izdatke, provjera elektroničkih potpisa je brza, sigurna i besplatna.

Ugovori koji se ne mogu sklapati ni s kvalificiranim elektroničkim potpisom
Riječ je poglavito o ugovorima za koje se zahtijeva dodatna ovjera potpisa kod javnog bilježnika ili solemnizacija isprave, iako navedeno nije isključivi kriterij. Popis ugovora koji se ne mogu sklopiti ni kvalificiranim elektroničkim potpisom naveden je u članku 9. st. 4. Zakona o elektroničkoj trgovini, i to su:

- imovinski, predbračni odnosno bračni ugovori i drugi ugovori koje uređuje Obiteljski zakon
- ugovori o opterećenju i otuđenju imovine za koje je potrebno odobrenje centra za socijalnu skrb
- ugovori o ustupu i raspodjeli imovine za života, ugovori o doživotnom uzdržavanju, ugovori o dosmrtnom uzdržavanju i sporazumi u vezi s nasljeđivanjem, ugovori o odricanju od nasljedstva, ugovori o prijenosu nasljednog dijela prije diobe, oporučni poslovi i drugi ugovori koje uređuje Zakon o nasljeđivanju       
- darovni ugovori       
- ugovori o prijenosu prava vlasništva na nekretninama ili drugi pravni poslovi kojima se uređuju stvarna prava na nekretninama, osim ugovora o najmu i zakupu nekretnina
- drugi ugovori za koje je posebnim zakonom propisano da se sastavljaju u obliku javnobilježničkog akta odnosno isprave
- ugovori i očitovanja volje jamaca, ako je jamac osoba koja djeluje izvan svoje trgovačke, poslovne ili profesionalne djelatnosti.

Također, same stranke mogu u sadržaju ugovora navesti da se sklapaju u strožem obliku pa se onda ni takvi ugovori ne bi mogli elektronički potpisati.

Važenje elektroničkog potpisa na ostalim aktima s određenim pravnim učinkom
Elektroničkim potpisom mogu se potpisati i drugi akti koji stvaraju određene pravne učinke, npr. otkaz ugovora o radu, zahtjev za zaštitu prava radnika i dr. No, u takvim slučajevima treba utvrditi je li unaprijed određen način dostave i je li takav način nužan uvjet za ostvarenje određenih pravnih učinaka.

Za primjer je otkaz ugovora o radu, koji mora bit u pisanom obliku i dostavljen osobi kojoj se otkazuje (članak 120. Zakona o radu), a od kojeg dana dostave počinju teći određeni pravni učinci kao što je prvi dan računanja otkaznog roka (članak 121. Zakona o radu), prvi dan računanja zabrane zaposlenja druge osobe na radnom mjestu za koje je dostavljen poslovno uvjetovani otkaz (članak 115. Zakona o radu), prvi dan računanja zabrane prestanka radnog odnosa koji je otkazan u postupku kolektivnog viška radnika (članak 128. Zakona o radu) i sl. U tom slučaju, ako se otkaz ugovora o radu dostavlja elektronički, odnosno potpisano elektroničkim potpisom, takva vrsta dostave mora se unaprijed predvidjeti samim ugovorom ili drugim pravilima koja se primjenjuju (npr. općim uvjetima, pravilnikom o radu i slično) te se preporuča ishođenje potvrde primitka takvog akta, zbog svih prednje navedenih pravnih učinaka koje dostava određenog pismena može proizvesti.

Prekogranična valjanost elektroničkog potpisa
Samo je QES moguće sigurno koristiti u prekograničnim pravnim poslovima jer se, prema eIDAS Uredbi, potpis s kvalificiranim certifikatom izdanim u jednoj državi EU-a priznaje kao kvalificirani elektronički potpis u svim ostalim državama EU-a te upotreba takvih potpisa može uvelike ubrzati i povećati sigurnost međunarodnih elektronički sklopljenih ugovora i drugih pravnih poslova, posebno jer je mogućnost krivotvorenja potpisa manja, nego kod vlastoručnog potpisivanja, a valjanost svakog QES-a je jednostavno provjerljiva.

No, preporučuje se oprez za QES koji je generiran putem sustava eOsobne jer taj sustav nije formalno notificiran glede prekograničnog priznavanja tako da bi se pojavljivao na listi pouzdanih pružatelja usluga na već navedenoj stranici Europske komisije. No, primjenom Uredbe eIDAS 2.0. o kojoj će kasnije biti riječ, prekogranično potpisivanje trebalo bi se ubrzati i ujednačiti uvođenjem Europske lisnice za digitalni identitet.

Bitno je i utvrditi koje pravo uređuje ugovor koji se primjenjuje u konkretnom slučaju. Naime, ako je primjenjivo hrvatsko pravo i ugovor je valjan u RH, mora se priznati i u drugoj članici EU-a, no kad je primjenjivo strano pravo, potrebno je provjeriti prema propisima te države članice je li dopušten elektronički oblik. Primjerice, neke države članice ne dopuštaju sklapanje ugovora o radu u elektroničkom obliku.

Dodatne tehničke informacije o sigurnosti autentifikacije elektroničkih potpisa
Sigurnost pri autentifikaciji navedenih potpisa omogućuju javni ključevi, digitalni certifikati i asimetrična kriptografija. Infrastruktura javnog ključa (PKI) predstavlja okvir za upravljanje digitalnim ključevima i certifikatima. Naime, kako bi se potvrdio identitet potpisnika i osigurao integritet potpisanog dokumenta, PKI se oslanja na digitalne certifikate koje izdaju ovlaštena tijela, a tako izdani certifikati sadrže niz informacija o vlasniku, uključujući njegov javni ključ.

Digitalni certifikati funkcioniraju po načelu asimetrične kriptografije, koja koristi povezane ključeve – javni ključ dijeli se javno i koristi za validaciju potpisa, a privatni ključ poznat je samo potpisniku i koristi se za stvaranje potpisa. Kroz takav proces enkripcije i dekripcije, PKI osigurava siguran prijenos podataka u elektroničkim transakcijama jer što jedan ključ enkriptira, samo drugi ključ iz tog para može dekriptirati.

Proces digitalnog potpisivanja započinje matematičkim sažetkom sadržaja tzv. hash kod (niz znakova fiksne duljine generiran iz ulaznih podataka bilo koje veličine), koji se računa iz poruke ili podataka koje treba potpisati. Dakle, potpisnik koristi privatni ključ za potpisivanje dokumenta u kojem je procesu digitalni potpis šifriran hash kodom putem svog privatnog ključa, koji jamči da je potpis mogao stvoriti isključivo njegov vlasnik. Zatim primatelj potpisa za provjeru koristi odgovarajući javni ključ, dobiven iz certifikata ili pouzdanog izvora. Primatelj dešifrira potpis pomoću javnog ključa kako bi dobio izvorni hash kod i zatim izračunava hash kod iz primljene poruke i uspoređuje ga s dešifriranim hashom pa ako se kodovi podudaraju, poruka nije izmijenjena i doista ju je potpisao vlasnik privatnog ključa. Ovakav pristup omogućuje sigurno potvrđivanje integriteta i autentičnosti digitalnih potpisa, uz jamstvo da potpisnik ne može osporiti autorstvo potpisa. No, svakako se taj proces usporedbe kodova, pribavljanja javnog ključa i dr. olakšava i  ubrzava putem ovlaštenih stranica za validaciju potpisa koje su već navedene u ovom tekstu.

Ispis elektroničkog potpisa
Zbog već opisanog načina autentifikacije elektroničkih potpisa, odnosno provjere istovjetnosti potpisa s potpisnikom, ispisani dokument s elektroničkim potpisom nema pravnu snagu kao što ima isti taj dokument potpisan u digitalnom obliku. Nije zabranjeno postojanje vizualizacije elektroničkog potpisa na ispisanom dokumentu, no samo isti takav dokument u digitalnom obliku proizvodi pravne učinke i njegova valjanost je provjerljiva.  

Pravne posljedice isteka važenja potpisanog certifikata
Potpisni certifikati izdaju se s odgovarajućim rokom važenja, u pravilu ne duljim od pet godina, no istekom certifikata elektronička isprava ne gubi svoje svojstvo, ako je taj certifikat bio valjan u trenutku elektroničkog potpisivanja.

Međutim, prestankom važenja potpisnog certifikata mijenja se način validacije kvalificiranog digitalnog potpisa koji se temelji na takvom isteklom ili iz drugih razloga nevažećem certifikatu, zbog čega automatska validacija takvog kvalificiranog elektroničkog potpisa više ne bi bila moguća, osim ako je na predmetnom dokumentu uz kvalificirani elektronički potpis otisnut i kvalificirani vremenski žig. No, ako je potpisni certifikat istekao, a kvalificirani vremenski žig nije otisnut, validacija takvog dokumenta moguća je isključivo kroz podnošenje odgovarajućeg zahtjeva ovlaštenom pružatelju usluga. Dakle, neovisno o tome je li na elektroničkoj ispravi uz elektronički potpis otisnut i kvalificirani vremenski žig, elektronička isprava potpisana kvalificiranim elektroničkim potpisom bit će valjana i nakon isteka potpisnog certifikata, samo će način validacije biti drukčiji.

Nova regulacija – eIDAS 2.0
U 2024. godini usvojena je Uredba (EU) 2024/1183 (eIDAS 2.0), koja dodatno proširuje okvir za elektroničku identifikaciju i usluge povjerenja u EU-u, a prema kojoj svaka država članica mora osigurati barem jedan EU Digital Identity Wallet u roku od 24 mjeseca od stupanja na snagu provedbenih akata. Neki od glavnih zahtjeva navedene Uredbe odnose se na uvođenje novog službenog formata za pouzdane potpise „TLv6“, a taj format ima ključnu ulogu u prekograničnoj validaciji elektroničkih potpisa i pečata.⁵ Uvođenjem novog formata potpisa olakšava se identificiranje svih kvalificiranih pružatelja usluga povjerenja unutar Europske unije i specifikacije kvalificirane usluge povjerenja koje nude. Takve informacije omogućuju aplikacijama i sustavima da automatski provjere kvalificirani status pružatelja i kvalificirani status bilo kojeg rezultata stvorenog u okviru njihovih usluga, kao što su kvalificirani certifikati za elektroničke potpise ili pečate, poboljšavajući način automatiziranog pristupa uslugama i njihovim podkomponentama.

U članku 5.a Uredbe utvrđuju se tehničke specifikacije za EU digitalni identitetski novčanik za osobne iskaznice, a koji se može koristiti za centralizirano pohranjivanje i upravljanje digitalnim dokumentima poput osobnih iskaznica te se određuju pravila koja omogućuju dokaznu dopuštenost elektroničkih knjiga kao što su blockchaini. Digitalni novčanik za osobne iskaznice omogućit će korisnicima centralno pohranjivanje i upravljanje digitalnim dokumentima poput osobnih iskaznica pa se podredno na taj način proširuje popis eIDAS kvalificiranih pružatelja usluga povjerenja, i upravljanje uređajima za izradu elektroničkog potpisa i pečata na daljinu.

S digitalnim identitetskim novčanicima EU građani moći će dokazati svoj identitet diljem EU-a, dijeliti digitalne dokumente ili jednostavno dokazati određeni osobni atribut, poput dobi, stručne kvalifikacije, medicinske povijesti i sl. bez otkrivanja svog punog identiteta ili drugih osobnih podataka, a građani bi u svakom trenutku trebali imati potpunu kontrolu nad podacima koje dijele i od koga.

Ursula von der Leyen, predsjednica Europske komisije, u svom je govoru o stanju Unije (16. rujna 2020.) izjavila: „Svaki put kada nas neka aplikacija ili web stranica zamoli da stvorimo novi digitalni identitet ili da se jednostavno prijavimo putem velike platforme, nemamo pojma što se u stvarnosti događa s našim podacima. Zato će Komisija predložiti siguran europski e-identitet. Onaj kojem vjerujemo i koji svaki građanin može koristiti bilo gdje u Europi za bilo što, od plaćanja poreza do najma bicikla. Tehnologiju u kojoj možemo sami kontrolirati koji se podaci koriste i kako.“

Države članice obvezale su se svojim građanima osigurati EU digitalne identitetske novčanike 24 mjeseca nakon donošenja preostalog provedbenog akta kojim se utvrđuju tehničke specifikacije za certificiranje tako da se očekuje da će građani EU-a koristiti EU digitalne identitetske novčanike do prve polovice 2027., a svi europski digitalni identitetski novčanici omogućit će korisnicima elektroničku identifikaciju i autentifikaciju online i offline preko granica za pristup širokom rasponu javnih i privatnih usluga.

Prema tome, eIDAS 2.0 zahtijeva da digitalni identiteti i usluge povjerenja budu prepoznati u svim državama članicama EU-a, što će građanima omogućiti nesmetanu i sigurnu interakciju bilo gdje u EU-u, odnosno pružit će visoko sigurne, prekogranične digitalne identitete koji zadovoljavaju zahtjeve privatnog i javnog sektora, omogućit će građanima siguran pristup digitalnim uslugama uz istovremeno održavanje kontrole nad njihovim osobnim podacima i stvoriti jednake uvjete za tvrtke i vlade koje nude i koriste digitalne usluge povjerenja diljem EU-a.

Lucija Kljenak, mag. iur.
Fotografija: Magnific

1 Čl. 26. Uredbe 910/2014.
2 Dostupno na: https://informator.hr/strucni-clanci/uporaba-elektronickog-potpisa-i-elektronickog-pecata-pri-sklapanju-pravnih-poslova#footnote-100257-7 (posjećeno 13. 4. 2026.).
3 Ibid.
4 Dostupno na: https://gov.hr/hr/koristenje-elektronickog-potpisa-najcesca-pitanja-i-odgovori/2475 (posjećeno 13. 4. 2026.).
5 Dostupno na: https://ec.europa.eu/digital-building-blocks/sites/spaces/DIGITAL/pages/887386519/TLv6+is+coming+Upgrade+now+to+avoid+signature+validation+failures (posjećeno 15. 4. 2026.).