یک آزمایش فکری ساده: فرض کنید یک PDF دارید که پایش یک تصویر امضا چسبانده شده است. این امضا را چه کسی گذاشته؟ کِی؟ آیا واقعاً صاحب امضا این کار را کرده یا کسی فایل تصویر امضا را کپی کرده است؟ هیچکدام از اینها از خودِ تصویر قابل اثبات نیست. این، ضعفِ بنیادیِ امضای بدون احراز هویت است.
مشکل کجاست؟ امضا بدون هویت یعنی «قابل انکار»
در دعوای حقوقی، طرفی که نمیخواهد به تعهدش عمل کند، سادهترین کاری که میکند این است: «این امضا مالِ من نیست» یا «من این را امضا نکردم». اگر هیچ مدرکی نباشد که هویتِ امضاکننده را در لحظهی امضا اثبات کند، این انکار بهسختی رد میشود. خودِ امضا، بدون هویت، تقریباً بیوزن است.
قانون چه میگوید؟ هویت، شرطِ امضای مطمئن است
ماده ۱۰ قانون تجارت الکترونیکی برای «امضای الکترونیکی مطمئن» چهار شرط میگذارد که یکی از آنها مستقیماً دربارهی هویت است:
ماده ۱۰ (بند ب) — [امضای مطمئن باید] هویت امضاءکنندهی «دادهپیام» را معلوم نماید.
و ماده ۱۳ میگوید ارزش اثباتیِ سند با «تناسب روشهای ایمنیِ بهکارگرفتهشده» سنجیده میشود. ترجمهی ساده: هرچه احراز هویت قویتر، امضا معتبرتر.
احراز هویت دقیقاً چه چیزی را اضافه میکند؟
وقتی پیش از امضا هویت احراز شود، یک زنجیرهی اثبات شکل میگیرد:
تطابق شماره موبایل و کد ملی (شاهکار) — یعنی این موبایل واقعاً به این کد ملی تعلق دارد.
کد یکبارمصرف روی همان موبایل — یعنی شخص به آن خط دسترسی داشته و قصد امضا داشته است.
ثبت زمان، آیپی و وضعیت امضاکننده در لحظهی امضا — یعنی یک رد و نشانِ قابلارائه.
این دقیقاً همان چیزی است که یک امضای ساده را به یک امضای الکترونیکیِ پیشرفته و دارای ارزش اثباتیِ بالا تبدیل میکند.
اما احراز هویت هم حدّ خودش را دارد
باید صادق بود: شاهکار تطابق موبایل و کد ملی را ثابت میکند، نه اینکه «شخصِ پشت گوشی» حتماً همان صاحب کد ملی است. برای همین احراز هویتِ قوی معمولاً ترکیبی از چند لایه است. این موضوع را در احراز هویت غیرحضوری (eKYC) چیست کامل توضیح دادهایم.
رویکرد الامضا
در الامضا، امضا و احراز هویت دو کار جدا نیستند؛ امضا فقط بعد از احراز هویتِ موفق و کد یکبارمصرف ممکن میشود. این یکپارچگی، همان چیزی است که سند نهایی را قابلدفاع میکند — نه صرفِ وجود یک تصویر امضا.
