Wanneer digitaal bewijsmateriaal faalt in de financiële wereld: Waarom QES en QEA van belang zijn

Tweedelijns risk officers bij Europese banken en verzekeraars moeten ervoor zorgen dat juridische, operationele en compliance risico's worden beheerst. Een gebied dat over het hoofd wordt gezien is de bewijskracht van elektronisch ondertekende en opgeslagen documenten. Zonder gekwalificeerde elektronische handtekeningen (QES) en gekwalificeerde elektronische archivering (QEA) stellen financiële instellingen zichzelf bloot aan geschillen, wettelijke bevindingen en fraude.

Samenvatting

• Een QES heeft in de hele EU dezelfde rechtsgeldigheid als een handgeschreven handtekening, terwijl andere handtekeningen geldig kunnen zijn maar geen automatische gelijkwaardigheid hebben. Zie Verordening (EU) nr. 910/2014 (eIDAS)Artikel 25, goedgekeurd op 23 juli 2014.
• Verordening (EU) 2024/1183 (gepubliceerd 30 april 2024; van kracht 20 mei 2024) voegt toe gekwalificeerde elektronische archivering, QeA als een gekwalificeerde vertrouwensdienst en biedt een wettelijk vermoeden van integriteit en oorsprong voor bewaarde gegevens/documenten.
• Zonder QES en QEA loopt u het risico op onmiddellijke intrekking, manipulatie van ondertekende PDF's, ontbrekende validatiebewijzen, formaatafwijkingen en hiaten in de bewakingsketen, die allemaal geschillen, audits en regelgevende beoordelingen kunnen doen ontsporen.

Waar het risico bijt in financiële diensten

1. Lenen en onderpand:
   Leningovereenkomsten, hypotheekaanvullingen, vrijgave van zekerheden, garanties en opschortingsbrieven moeten vaak tientallen jaren later nog worden bewezen. Als handtekeningen of integriteit niet kunnen worden bewezen, kan de bank te maken krijgen met argumenten van niet-afdwingbaarheid of kostbare schikkingen.
2. Betalingen en mandaten:
   SEPA-mandaten voor automatische incasso en doorlopende opdrachten zijn vaak gebaseerd op ondertekende machtigingen. Als de geldigheid van het mandaat of het moment van toestemming wordt betwist en u geen betrouwbare bewaring hebt, vermenigvuldigen terugvorderingen en geschillen zich.
3. Kapitaalmarkten en treasury:
   Bevestigingen, toestemmingen en bekendmakingen voor derivaten, repo's, FX en obligatietransacties genereren hoogwaardig bewijsmateriaal. Het onvermogen om de integriteit en herkomst aan te tonen stelt de onderneming bloot bij geschillen of audits in het kader van MiFID II/EMIR.
4. Verzekeringen en bankverzekeringen:
   Polissen en aanhangsels met een hoge waarde hebben een lange looptijd. Het bewaren van de exacte versie en het validatiebewijs is essentieel om geschillen over voorwaarden of verzekerde bedragen te voorkomen.

Wat er misgaat als QES en QEA ontbreken

1. Intrekking kan morgen gebeuren:
   Als een klant bij de politie aangifte doet van een gestolen eID, trekt de uitgevende instantie het certificaat onmiddellijk in. Elk document dat kort daarvoor is ondertekend, kan later worden aangevochten, tenzij je de status van het certificaat kunt bewijzen op het moment van ondertekening. Zonder een QEA die de intrekkingsgegevens en tijdstempels bewaart, is dat bewijs kwetsbaar.
2. Ondertekende PDF's kunnen worden gemanipuleerd terwijl ze er nog steeds geldig uitzien:
   Ruhr University Bochum heeft "schaduwaanvallen" gedocumenteerd die inhoud verbergen of vervangen zonder de zichtbare handtekeningstatus in veel viewers ongeldig te maken. Zie NDSS 2021 papier en universitaire samenvatting. CERT-EU waarschuwde ook de EU-instellingen voor deze aanvallen (2020 memo).
3. Gevolgen in de echte wereld: gewijzigde facturen en omleiding van betalingen:
   Duitse kamers hebben gerapporteerd gemanipuleerde PDF's die IBAN's op facturen wijzigden, wat leidde tot verkeerde betalingen.
   Dit patroon is direct relevant voor APP-fraude en betalingsgeschillen die worden behandeld door financiële instellingen.
4. Ontbrekend validatiebewijs jaren later:
   CRL's (Certificate Revocation Lists) en OCSP (Online Certificate Status Protocol) responders bewaren de historische status zelden voor onbepaalde tijd. Als je de validatiegegevens en vertrouwde timestamps bij het ondertekenen/opvragen niet hebt gearchiveerd, kan het zijn dat je niet kunt bewijzen dat een certificaat geldig was bij de uitvoering, vooral na verloop of intrekking.
5. Formaat en interpretatiedrift:
   Alle digitale formaten raken verouderd, zelfs PDF/A. Als je de originele inhoud, metadata en bewijsmateriaal niet betrouwbaar kunt weergeven in toekomstige systemen, zegt een "geldige" handtekening weinig. Rechtbanken en auditors verwachten dat je bewijst wat er ondertekend is en door wie, niet alleen dat er "een" handtekeningobject bestaat.
6. Lacunes in de bewakingsketen tussen systemen:
   Migraties tussen DMS, kluizen of cloud providers kunnen bewijssporen verbreken als ze niet zijn verankerd in een onveranderlijk, op standaarden gebaseerd archief.

Een gekwalificeerd elektronisch archief pakt deze zes risico's frontaal aan:

1. Gegevens over intrekking en tijdstempels worden bewaard, zodat zelfs als een certificaat de volgende dag wordt ingetrokken, de geldigheid op het moment van ondertekening kan worden aangetoond.
2. Het detecteert en registreert elke manipulatie van de inhoud door bewijsrecords gescheiden van het originele document te houden, zodat gewijzigde PDF's worden ontmaskerd.
3. Het slaat validatiebewijs veilig op, zoals CRL's en OCSP-reacties, zodat toekomstige verificaties mogelijk blijven.
4. Het past migratie en formaatbeheer toe om de leesbaarheid op lange termijn te garanderen en format drift te voorkomen.
5. Het onderhoudt een onveranderlijke chain of custody met auditlogs door migraties en systeemwijzigingen heen.
6. Het geeft een integriteits- en herkomstrapport uit bij het ophalen, met wettelijke vermoedens die de bewijslast bij geschillen en audits verminderen.

Gevolgen voor banken, verzekeraars en makelaars

• Geschillen en rechtszaken:
  Zonder de veronderstellingen die QES en QEA bieden, draagt u een hogere bewijslast. Deskundige rapporten en forensisch onderzoek doen de kosten stijgen en schikkingen stijgen wanneer tegenpartijen dubbelzinnigheid uitbuiten.
• Regelgevende bevindingen en sancties:
  MiFID II vereist robuuste registratie en terugvindbaarheid (zie ESMA-richtlijnen voor het melden van transacties en het bijhouden van ordergegevens).
  DORA, Verordening (EU) 2022/2554, versterkt de verwachtingen op het gebied van integriteit, registratie en bewijs in het kader van ICT-risicobeheer. EBA-richtlijnen over onboarding van klanten op afstand benadrukken betrouwbare instrumenten en identiteitsbewijzen in AML/CFT-contexten.
• Operationele verliezen en fraude:
  De ECB meldt aanzienlijke volumes en waarden van betalingsfraude in de EU/EER, wat de inzet van zwakke bewijs- en procescontroles illustreert (2024 Rapport over betalingsfraude)
• Reputatierisico:
  Het onvermogen om onberispelijke gegevens te produceren ondermijnt het vertrouwen van toezichthouders, investeerders en klanten.

Wat QES en QEA veranderen

• QES (eIDAS Artikel 25):
  Automatische gelijkwaardigheid met een handgeschreven handtekening in alle lidstaten, waardoor het risico op geschillen en de bewijslast afnemen.
• QEA (Verordening (EU) 2024/1183):
  Erkende EU-brede gekwalificeerde vertrouwensdienst voor elektronische archivering. Biedt een wettelijk vermoeden van integriteit en oorsprong voor de volledige bewaartermijn en vereist een geautomatiseerd ondertekend/verzegeld rapport bij het ophalen.

Samen zorgen QES en QEA voor verdedigbaar bewijs over grenzen en tijd heen, in overeenstemming met de verwachtingen van toezichthouders ten aanzien van veerkracht en documentintegriteit.

Bronnen en verder lezen

• eIDAS-verordening, Verordening (EU) nr. 910/2014, artikel 25 (vastgesteld op 23 juli 2014):
  https://eur-lex.europa.eu/eli/reg/2014/910/oj/eng
• Verordening (EU) 2024/1183 tot wijziging van eIDAS en tot invoering van QEA (PB 30 april 2024; van kracht op 20 mei 2024):
  https://eur-lex.europa.eu/eli/reg/2024/1183/oj/eng
• DORA, Verordening (EU) 2022/2554 (14 december 2022):
  https://eur-lex.europa.eu/eli/reg/2022/2554/oj/eng
• ESMA-richtsnoeren voor het melden van transacties en het bijhouden van ordergegevens onder MiFID II: https://www.esma.europa.eu/document/guidelines-transaction-reporting-order-record-keeping-and-clock-synchronisation-under-mifid
• EBA-richtsnoeren voor onboarding op afstand van klanten (2022):
  https://www.eba.europa.eu/publications-and-media/press-releases/eba-publishes-guidelines-remote-customer-onboarding
• Ruhr-Universiteit Bochum, Schaduwaanvallen op PDF-handtekeningen (NDSS 2021):
  https://www.ndss-symposium.org/wp-content/uploads/ndss2021_1B-4_24117_paper.pdf
• en perssamenvatting:
  https://news.rub.de/english/press-releases/2020-07-22-it-security-content-signed-pdf-documents-can-be-changed-unnoticed
• CERT-EU-memo over aanvallen op PDF-ondertekening (2020):
  https://www.cert.europa.eu/static/MEMO/2020/TLP-WHITE-CERT-EU-TM-PDF-signing-attack-v1.0.pdf
• Gerapporteerde gevallen van gemanipuleerde PDF-facturen met gewijzigde IBAN's (Duitsland, 2025):
  https://www.hwk-suedthueringen.de/manipulation-von-pdf-rechnungen/
• ECB 2024 Verslag over betalingsfraude in de EU/EER: https://www.ecb.europa.eu/press/intro/publications/pdf/ecb.ebaecb202408.en.pdf