Elektronický podpis od A do Z v roce 2026

Elektronické podepisování je na vzestupu. Pro někoho ale může jít pro komplikované téma, proto jsme si na rozhovor pozvali Lukáše Vaněčka, CEO společnosti Elektronický podpis, která už sedm let usnadňuje získání zaručeného či kvalifikovaného elektronického podpisu, abyste jej nemuseli zařizovat sami, ale věnovali se tak tomu, co vás primárně živí.

Jaké druhy elektronických podpisů jsou k dispozici a které se hodí pro jakou situaci? V čem se liší z pohledu bezpečnosti a úrovně ochrany?

Lidé si pletou obyčejný obrázek podpisu se skutečným digitálním nástrojem. Pokud se na celou problematiku podíváme z pohledu bezpečnosti, musím začít u toho nejjednoduššího, tedy u takzvaného prostého elektronického podpisu. Představte si pod ním třeba váš naskenovaný vlastnoruční podpis vložený do dokumentu. Nebo jen textovou vizitku v e-mailu.

Z pohledu ochrany jde o nejslabší článek, protože takový podpis může kdokoli snadno zkopírovat a vložit do jiného dokumentu, aniž by byla jakkoli zaručena vaše identita nebo integrita samotného souboru. V soukromé sféře sice může takový podpis stačit, pokud si s druhou stranou důvěřujete, ale pro vážnější jednání nebo kontakt s úřady je prakticky nepoužitelný. Tady musí nastoupit jiné řešení. Hned rozvedu.

O úroveň výš, než je obrázek ručního podpisu, máme tzv. zaručený elektronický podpis, založený na kvalifikovaném certifikátu. Ten už nefunguje jako obrázek, ale jako neviditelná digitální data připojená k dokumentu. Ta umožňují ověřit, že dokument skutečně podepsala konkrétní osoba a že se v ní po podpisu už nic nezměnilo. Právě tento typ podpisu je pro vás klíčový, když potřebujete on-line komunikovat se státní správou, finančním úřadem nebo s pojišťovnami.

Na samotném vrcholu bezpečnosti pak stojí tzv. kvalifikovaný elektronický podpis, který je na nejvyšším stupni důvěryhodnosti, a to v celé Evropské unii. Jeho unikátnost spočívá v tom, že musí být vytvořen pomocí speciálního bezpečného prostředku, jako je USB token nebo čipová karta, případně specializovaná aplikace, která disponuje tzv. HSM modulem.

Tím se zajišťuje, že váš soukromý klíč nikdy neopustí dané zařízení, takže ho hackeři nemohou z počítače ukrást nebo jakkoli odposlechnout.

Kvalifikovaný elektronický podpis mají ze zákona povinnost používat úřední osoby, ale vhodný je i pro vás, pokud chcete mít jistotu, že vaše digitální smlouvy budou mít doma i v zahraničí stejnou váhu jako ty podepsané vlastnoručně na papíře.

Jakou právní sílu má elektronický podpis v České republice?

V České republice je právní síla elektronického podpisu pevně ukotvena v zákoně o službách vytvářejících důvěru pro elektronické transakce, který vychází z celoevropského nařízení eIDAS. Klíčovou zásadou je, že elektronickému podpisu nesmí být upírány právní účinky a nesmí být odmítán jako důkaz v soudním řízení jen proto, že má elektronickou podobu.

Z hlediska právní váhy a situací, ve kterých se používají, rozlišujeme tři hlavní úrovně:

• Kvalifikovaný elektronický podpis: Plnohodnotná náhrada vlastnoručního podpis
• Uznávaný elektronický podpis: Standard pro komunikaci se státem (tento pojem je specificky český)
• Prostý a zaručený elektronický podpis

Kdy je právní síla klíčová? Obecně platí, že čím vyšší finanční částka nebo vyšší právní riziko (např. kupní smlouva na nemovitost, smlouvy o úvěru), tím vyšší úroveň podpisu byste měli zvolit. Jinými slovy: u běžné faktury si vystačíte se zaručeným podpisem, ale u klíčových dokumentů, které mají obstát v mezinárodním měřítku nebo v náročných soudních sporech, je jedinou stoprocentní jistotou podpis kvalifikovaný.

Co konkrétně dělá kvalifikovaný elektronický podpis bezpečnějším než ostatní typy? Jaké mechanismy za tím stojí?

Při pohledu pod kapotu digitální bezpečnosti zjistíte, že to, co dělá kvalifikovaný elektronický podpis skutečným „trezorem“ mezi podpisy, je hlavně kombinace špičkového hardwaru a přísné legislativy. Zatímco u nižších úrovní podpisů vám stačí mít certifikát uložený v paměti počítače, tak u kvalifikovaného podpisu vstupuje do hry takzvaný kvalifikovaný prostředek (QSCD).

Tím nejčastěji bývá speciální certifikovaný USB token nebo čipová karta. Využít ale  můžete i specializovanou aplikaci, která disponuje tzv. HSM modulem.

Hlavním bezpečnostním mechanismem hardwarového řešení je fakt, že váš soukromý klíč – tedy to nejcennější, co k podepisování máte – je vygenerován a bezpečně uzamčen přímo uvnitř tohoto zařízení (čip, USB token). Tento klíč nikdy, ani na vteřinu, neopouští hardware tokenu, takže ho útočník nemůže z vašeho počítače tajně zkopírovat, jako by to mohl udělat s běžným souborem.

Kdybyste o takový token přišli, nikdo ho bez znalosti vašeho PIN kódu nemůže zneužít. Tato kombinace vytváří velmi silnou dvouúrovňovou ochranu: musíte fyzicky vlastnit daný předmět a zároveň znát přístupové heslo.

Dalším pilířem bezpečnosti je role akreditované certifikační autority, například PostSignum od České pošty. Ta u kvalifikovaného podpisu garantuje, že certifikát byl vydán konkrétní žijící osobě, jejíž totožnost byla důkladně ověřena při osobním setkání. Tento podpis navíc využívá pokročilé šifrovací algoritmy, které zajišťují absolutní integritu dokumentu.

To znamená, že jakákoli, i sebemenší změna v dokumentu provedená po jeho podepsání, je ihned zřejmá. Jinými slovy: po opatření dokumentu kvalifikovaným podpisem do něj už nikdo nic tajně nedoplní, nebo z něj nesmaže.

o se týká dříve zmíněné aplikace, ta má v sobě tzv. HSM modul. A certifikát se generuje do tohoto modulu. Úroveň bezpečnosti zůstává stejně vysoká.

Jak probíhá ověřování identity při získávání certifikátu pro kvalifikovaný elektronický podpis? Jaké kontroly musí člověk/firma absolvovat?

Celý proces je navržen tak, aby byla vyloučena jakákoli záměna osob a byla zajištěna maximální právní jistota.

Co vás tedy při získávání certifikátu čeká? Osobní setkání je nezbytností.

Základním pravidlem pro získání kvalifikovaného certifikátu je fyzické ověření identity. Nelze jej tedy poprvé zřídit čistě on-line. Máte v zásadě dvě cesty:

• Návštěva pobočky: Typicky se jedná o kontaktní místa CzechPOINT na vybraných pobočkách České pošty, kde funguje certifikační autorita PostSignum.
• Příjezd specialisty: Pro firmy a vytížené jednotlivce je tu komfortnější služba, kdy specialista přijede přímo do vaší kanceláře. Zde proběhne ověření i veškeré technické nastavení na místě.

Když si chcete návštěvu pošty ušetřit, co si podle mě každý rád odpustí, můžete oslovit přímo nás a vše připravíme u vás ve firmě.

Dalším krokem je kontrola dokladů totožnosti.

• Při ověřování musí žadatel předložit platné osobní doklady. Standardně se vyžaduje občanský průkaz nebo cestovní pas.

U cizinců musíme vidět průkaz o povolení k pobytu nebo cestovní pas. Pracovník autority kontroluje nejen platnost dokladů, ale i shodu fotografie s realitou a integritu ochranných prvků dokladu.

Ověřit se musí i údaje o firmě (u firemních certifikátů). Pokud žádáte o certifikát jako zástupce firmy (zaměstnanec), proces je o něco přísnější. Vedle osobních dokladů nám musíte předložit ještě i oprávnění jednat za firmu:

• např. výpisem z Obchodního rejstříku
• nebo úředně ověřenou plnou mocí od statutárního orgánu.

Náš pracovník si pak sám ověří existenci subjektu v příslušných registrech. Když bude vše v pořádku, následuje generování klíčů na bezpečném prostředku. Soukromý klíč se generuje přímo v čipu tohoto zařízení a nikdo (ani pracovník autority) k němu nemá přístup.

Na závěr, resp. v průběhu celého procesu, podepisujete papírovou smlouvu o poskytování certifikačních služeb a žádost o certifikát, případně další související dokumenty. Tím stvrzujete, že údaje v certifikátu jsou správné.

Jak je technicky zajištěno, že se elektronický podpis nedá zkopírovat a zneužit někým jiným?

Technicky je nemožné podpis zkopírovat. To právě díky tomu, že váš soukromý klíč je bezpečně vygenerován a uzamčen přímo v čipu USB tokenu nebo čipové karty. Tento klíč  nikdy neopustí vaše zařízení, takže ho nelze digitálně „ukrást“.

K aktivaci klíče musíte navíc znát svůj osobní PIN (DSPIN), což znamená, že i při fyzické krádeži tokenu je pro útočníka váš podpis bez znalosti kódu bezcenný.

Jak vypadá token pro elektronický podpis? Má víc podob? A který je nejbezpečnější?

Bezpečnostní token si můžete představit jako speciální klíč, který nejčastěji vypadá jako běžný USB flash disk (viz zde). Existuje ale ve více podobách. Může také jít o čipovou kartu (podobnou platební), malý přívěsek s displejem nebo bezkontaktní Bluetooth a NFC zařízení. Alternativně lze zvolit aplikaci Signer, která disponuje HSM modulem, do něhož je možné generovat kvalifikovaný certifikát. Tím odpadne nutnost USB tokenu a lze tak podepisovat odkudkoli právě prostřednictvím aplikace Signer – z PC, telefonu, či tabletu.

Na co se zaměřit při výběru tokenu?

Při výběru tokenu si v první řadě pohlídejte, aby šlo o certifikovaný QSCD prostředek, který je nezbytný pro vytvoření kvalifikovaného podpisu dle nařízení eIDAS.

Klíčová je i technická kompatibilita s vaším počítačem, tedy zda zvolíte klasické USB-A nebo moderní USB-C a zda zařízení podporuje váš operační systém Windows či macOS.

Nakonec zvažte objem dokumentů; pro běžné potřeby do 50 podpisů denně vám skvěle poslouží standardní USB token, zatímco pro hromadné pečetění jsou určeny výkonnější tzv. HSM moduly.

Co se stane, když ztratím USB token nebo mi ho někdo ukradne? Jak rychle lze certifikát zablokovat a jaké jsou následné bezpečnostní postupy?

Pokud zjistíte, že váš fyzický USB token chybí, nemusíte propadat panice, protože vaše data jsou chráněna hned několika vrstvami zabezpečení.

Prvním klíčovým krokem je okamžitě kontaktovat poskytovatele služby nebo certifikační autoritu, která certifikát na vaši žádost zablokuje, a tím se zamezí možnosti vygenerovat jakýkoliv nový podpis. I když se token dostane do cizích rukou, útočník by musel znát váš PIN (DSPIN), aby jej mohl zneužít. To vám dává čas na reakci.

Samotné zablokování (revokace) certifikátu probíhá v řádu minut od nahlášení. Všechny dokumenty, které jste podepsali dříve, zůstávají i nadále v platnosti. Podpis se zneplatní pro budoucnost, nikoliv do minulosti.

Může být elektronický podpis napaden malwarem nebo phishingem? Pokud ano, jak se proti tomu bránit?

I když hackeři neustále vymýšlejí nové triky, u elektronického podpisu, a zejména toho kvalifikovaného, mají cestu k vašim datům velmi ztíženou. Malware (škodlivý software) sice může napadnout váš počítač, ale díky tomu, že je váš soukromý klíč bezpečně uzamčen v hardwarovém čipu USB tokenu, nemůže ho žádný virus jednoduše „přečíst“ nebo zkopírovat na dálku.