التوقيع الإلكتروني المؤهَّل بالمغرب — دليل القانون 43-20.

التوقيع الإلكتروني آلية تشفيرية تربط وثيقةً بهوية صاحبها، تضمن أن (أ) الوثيقة لم تتغيّر منذ التوقيع، (ب) صاحب المفتاح هو من وقّع فعلًا، (ج) لا يستطيع نكران ذلك بصدقية. ثلاث خصائص مجتمعة: السلامة، الأصالة، عدم الإنكار.

يُقرّ القانون 43-20 ثلاثة مستويات للتوقيع الإلكتروني: بسيط، متقدم، ومؤهَّل. المستوى المؤهَّل هو الأعلى: يستند إلى شهادة يُصدرها مزوّد خدمات ثقة (PSCo) معتمد من DGSSI، ويجب إنشاء المفتاح الخاص واستخدامه داخل جهاز مادي مؤهَّل (QSCD).

تحت النظام المغربي، يحمل التوقيع المؤهَّل الأثر القانوني نفسه الذي يحمله التوقيع المخطوط: يُشكّل قبولًا والتزامًا من صاحبه، ومقبول كحجة أمام القضاء دون الحاجة إلى إثبات موثوقيته في كل حالة على حدة.

صدر القانون 43-20 المتعلق بخدمات الثقة في المعاملات الإلكترونية بموجب الظهير الشريف رقم 1-20-100 بتاريخ 31 دجنبر 2020 ونُشر بالجريدة الرسمية عدد 6970 بتاريخ 18 مارس 2021. ينسخ القانون 53-05 المتعلق بالتبادل الإلكتروني للمعطيات القانونية، الذي كانت بموجبه ANRT سلطة الاعتماد.

صدر المرسوم رقم 2-22-687 في 21 ربيع الثاني 1444 (16 نونبر 2022) لتطبيق القانون 43-20، ونُشر بالجريدة الرسمية عدد 7162 بتاريخ 19 يناير 2023. يُحدد القواعد المطبقة على كل خدمة ثقة، ونظام اعتماد وتصريح المزوّدين، والبيانات التي يجب أن تتضمنها الشهادات المؤهَّلة.

تحت هذا النظام الجديد، تُعيَّن DGSSI (المديرية العامة لأمن نظم المعلومات) كسلطة وطنية لخدمات الثقة. هي التي تُحدد مرجعيات المتطلبات، تعتمد المزوّدين، تنشر قائمة PSCo المعتمدين (المادة 53 من القانون)، ويمكنها تدقيق امتثالهم (المادة 55).

يغطي المستوى البسيط أي توقيع إلكتروني مرتبط بموقّع قابل للتحديد، مُنشأ بمعطيات يحتفظ الموقّع بها تحت سيطرته، ومرتبط بالوثيقة بحيث يكون أي تعديل لاحق قابلًا للكشف. مقبول كدليل، لكن دون قيمة إثباتية خاصة.

يُضيف المستوى المتقدم متطلبات تقنية: يجب أن يُنشأ التوقيع بوسائل يستطيع الموقّع الاحتفاظ بها تحت سيطرته الحصرية، وأن يستند إلى شهادة تشفيرية، وأن يرتبط بالمعطيات الموقَّعة بحيث يكون أي تغيير قابلًا للكشف. يعادل مستوى "التوقيع الإلكتروني المتقدم" في النظام الأوروبي eIDAS الذي استلهم منه القانون 43-20.

يتطلب المستوى المؤهَّل إضافةً استخدامَ جهاز مؤهَّل (QSCD) وشهادة مؤهَّلة يُصدرها PSCo معتمد من DGSSI. هو المستوى الوحيد الذي يستفيد من أثر قانوني مفترض يُعادل التوقيع المخطوط. للفاتورة الإلكترونية بمفهوم المادة 145-IX من CGI، هذا هو المستوى المطلوب: لا تقبل المنصة الوطنية أي مستوى آخر.

تلعب DGSSI دور السلطة الوطنية. تنشر مرجعيات المتطلبات المطبقة على PSCo (المرجعية العامة Ref_PSCo_AG، مرجعية تسليم الشهادات المؤهَّلة Ref_Deliv_Cert_Qual، مرجعية QSCD، مرجعية التحقق Ref_Valid_Qual، مرجعية الإرسال المضمون Ref_Env_reco_Qual). تعالج طلبات الاعتماد وتنشر قائمة PSCo المعتمدين.

PSCo (Prestataire de Services de Confiance — مزوّد خدمات الثقة) هو كيان — عادةً خاص ومتخصص — يحصل على اعتماد DGSSI لتقديم خدمات ثقة مؤهَّلة. إلى تاريخ هذا الدليل، أُعلِن عن Africtrust كأول PSCo معتمد من قِبَل DGSSI. القائمة الرسمية، المُحدَّثة مع كل اعتماد جديد، تُنشَر على موقع DGSSI.

QSCD (Qualified Signature Creation Device) هو الجهاز المادي الذي يحتوي المفتاح الخاص. خاصيته الجوهرية: المفتاح الخاص لا يخرج منه أبدًا في وضع غير مشفر. عدة أشكال: HSM مستضاف لدى PSCo، بطاقة ذكية مع قارئ، مفتاح USB للتوقيع، أو الحاوية الآمنة للهاتف (Secure Enclave على iOS، TEE على Android) عندما يُقدّم PSCo خدمة توقيع نقّال مؤهَّل عن بُعد.

تحقق أولاً من أن المزوّد معتمد فعلًا من DGSSI لخدمة الثقة التي تحتاجها. الاعتماد ليس شاملاً: يمكن أن يكون PSCo معتمدًا لإصدار شهادات التوقيع المؤهَّل دون أن يكون معتمدًا للختم الإلكتروني أو الختم الزمني أو الإرسال المضمون. تُحدد قائمة DGSSI نطاق اعتماد كل PSCo.

قارن طرق التسليم: تشترط بعض PSCo التحقق من الهوية حضوريًا (التنقل إلى مركز التسجيل)، بينما تقبل أخرى التحقق عن بُعد بالفيديو مع وكيل. التوقيع النقّال المؤهَّل — حيث يُنشأ المفتاح في الحاوية الآمنة لهاتفك بتسجيل بيومتري — يقلل احتكاك المستخدم لكنه يبقى رهين عرض PSCo.

تحقق من الكلفة السنوية (الشهادة الفردية حوالي 1.200 درهم سنويًا)، مدة الصلاحية (عادةً 1 إلى 3 سنوات)، شروط التجديد، والدعم التقني المتاح. لمكتب خبرة محاسبية يُدير ملفات عملاء متعددة، تحقق من إمكانية الشهادات المؤسسية (الختم الإلكتروني للمكتب) إلى جانب الشهادات الفردية للموقّعين.

QSCD هو الضمانة التقنية بأن صاحبه فقط يمكنه إنتاج توقيع بالمفتاح المخزَّن فيه. المبدأ المؤسس: المفتاح الخاص يُنشأ داخل الجهاز ولا يخرج منه أبدًا، وكل عملية توقيع تتطلب مصادقة (PIN، بيومتريا). بدون ذلك، أي نسخة من المفتاح يمكن أن تنتج توقيعات لا تُميَّز عن الأصلي.

تتعايش عدة أشكال. HSM (Hardware Security Module) جهاز مخصص ومُعتمد، عادةً مستضاف لدى PSCo ومُتاح عن بُعد للتوقيع على مستوى الخادم — مناسب للأنظمة التي تُصدر الكثير من الفواتير. البطاقة الذكية مع قارئ USB ومفتاح USB للتوقيع هما الصيغتان الفرديتان الكلاسيكيتان. الحاوية الآمنة للهاتف، التي قدّمتها PSCo التي تُقدّم التوقيع النقّال المؤهَّل، تستضيف المفتاح في المكوّن الآمن لهاتفك.

تُحدد مرجعية Ref_QSCD المنشورة من DGSSI المتطلبات التقنية التي يجب أن يستوفيها الجهاز ليُعتبر مؤهَّلاً. عمليًا لن تختار QSCD بنفسك: PSCo الذي تختاره يُزودك بالجهاز المتوافق مع عرضه.

بالنسبة للفوترة الإلكترونية بصيغة UBL 2.1، يُطبَّق التوقيع المؤهَّل على وثيقة XML نفسها عبر ملف توقيع يُسمى XAdES (XML Advanced Electronic Signatures)، مُقنَّن من قِبَل ETSI. الآلية: تُقَنَّن وثيقة UBL، يُحسَب hash لها، يُوقَّع هذا الـ hash بالمفتاح الخاص لصاحبه، ويُدمَج النتيجة (التوقيع + الشهادة + بيانات التحقق) في عقدة XML مخصصة داخل أو حول وثيقة UBL.

تتعايش عدة ملفات XAdES: XAdES-B (أساسي، توقيع فقط)، XAdES-T (مع ختم زمني)، XAdES-LT (طويل الأمد، يُدمج أدلة التحقق)، XAdES-LTA (أرشفة طويلة الأمد، مع ختم زمني للأرشيف). الملف الدقيق المطلوب للفوترة الإلكترونية لدى DGI سيُحدَّد بالمرجعية التقنية التي ستنشرها DGI أو xHub. كفرضية معقولة، ملف من مستوى XAdES-LT أو XAdES-LTA متوافق مع متطلب الأرشفة لمدة 10 سنوات.

عمليًا، يُنسّق برنامج الفوترة لديك أو مشغّل إزالة المادية عملية التوقيع: يُحضّر وثيقة UBL، يطلب من PSCo عملية التوقيع (بإرسال الـ hash للتوقيع وتلقّي التوقيع)، يُغلّف النتيجة في XAdES، ويُرسل إلى منصة DGI. لن تكتب كود XAdES بنفسك.