Як deepfake-технологія загрожує повсякденним процесам прийняття рішень і чому кваліфікований електронний підпис (КЕП) є найкращим захистом від підробки ідентичності.
На початку 2024. року працівник фінансового відділу міжнародної компанії в Гонконгу брав участь у відеодзвінку зі своєю командою та фінансовим директором. Дзвінок виглядав абсолютно звичайно — знайомі обличчя, знайомі голоси, знайомий контекст. Фінансовий директор дав розпорядження перевести 25 мільйонів доларів. Працівник виконав.
Жоден з учасників дзвінка не був справжнім. Кожне обличчя та голос було згенеровано за допомогою deepfake.
Як це стало можливим? Тому що весь процес підтвердження базувався на одному: працівник вірив своїм очам і вухам.
Ми приймаємо рішення на основі почуттів — і тепер це проблема
Замисліться на мить, як рішення про підтвердження насправді приймаються у вашій організації.
Керівник каже на нараді: «Так, рухаємося далі.» Хтось надсилає листа: «Підтверджую.» Під час дзвінка домовляються: «Надішли рахунок, я підпишу.» Знайоме обличчя на екрані киває.
Усі ці підтвердження базуються на сенсорній інформації — ми впізнали голос, побачили знайоме обличчя, прочитали звичний стиль листування. Це працювало тисячоліттями. Проблема в тому, що тепер усе це можна згенерувати.
Підрозділ ФБР з протидії кіберзлочинності заявив прямо: генеративний ШІ робить шахрайські схеми переконливішими та масштабнішими. Europol додав, що deepfake-технологія стає стандартним інструментом організованої злочинності. Не завтра — вже зараз.
Це повсякденна проблема
Історія з Гонконгом, безумовно, драматична, але загроза не в сумах. Загроза — в логічній схемі, яка скрізь однакова:
Хтось представляється потрібною людиною → хтось інший їй вірить → рішення приймається.
Та сама схема працює, коли HR-менеджер отримує «від директора» дзвінок з проханням змінити умови договору працівника. Та сама схема працює, коли бухгалтер отримує «від керівника» лист із підтвердженням позачергового платежу. Та сама схема працює, коли директор школи «підтверджує» тендерний документ, якого насправді не бачив.
Поверхня атаки — це не технічна інфраструктура. Поверхня атаки — це повсякденні моменти прийняття рішень, коли ми довіряємо тому, що бачимо та чуємо.
Питання не в тому, чи спробують таку атаку проти вашої організації. Питання в тому: коли спробують, як ви потім доведете, що насправді сталося?
Гарна новина: рішення існує, і воно не нове
Проблема здається новою, але рішення існує вже роками. Криптографічний підпис не залежить від того, як хтось виглядає чи звучить. Він базується на унікальній комбінації пари ключів і сертифіката, яку неможливо відтворити без особистого пристрою підписанта та автентифікації.
Deepfake може імітувати обличчя. Він не може імітувати криптографічний ключ.
Найвищий рівень за регламентом eIDAS Європейського Союзу називається кваліфікованим електронним підписом (КЕП, або QES) і використовується щодня. Ключова відмінність від усіх інших рівнів підпису: ЄС визнає КЕП рівнозначним власноручному підпису.
Як кваліфікований електронний підпис працює на практиці
Звичайний електронний підпис — введення імені, встановлення прапорця, завантаження зображення «підпису» — використовує більшість. Це зручно. Але у разі спору виникає питання: як довести, що саме ця людина це зробила?
Кваліфікований електронний підпис вирішує це, створюючи контрольований ланцюг:
Особа ідентифікована через кваліфікований сертифікат — не тому, що на екрані вона виглядала як вона, а тому, що пройшла надійну ідентифікацію.
Зміст документа зафіксовано на момент підписання. Якщо хтось після підписання змінить хоча б один символ, це можна виявити.
Момент часу зафіксовано криптографічною міткою часу.
Ланцюг довіри простежується: підпис видано кваліфікованим постачальником довірчих послуг, який включений до публічного списку довіри Європейської Комісії. Кожен може перевірити, чи ланцюг дійсний.
Увесь цей ланцюг можна верифікувати незалежно — без необхідності довіряти комусь на підставі обличчя, голосу чи стилю листування.
Балтія: вже чверть століття досвіду
Кваліфікований електронний підпис — не новий винахід. Країни Балтії використовують його з часів, коли поняття deepfake ще навіть не існувало.
Естонія у 2000 році ухвалила закон про цифровий підпис — один із перших у світі. У 2002 році були випущені перші ID-картки з чіпом, що дозволяв як автентифікацію, так і кваліфіковане підписання. Того ж року в Естонії було поставлено перший цифровий підпис: мери Таллінна та Тарту підписали угоду про співпрацю. З того моменту почалося те, до чого решта Європи лише зараз наближається.
Латвія у 2003 році запровадила закон про електронні документи та створила інфраструктуру eParaksts — державну систему електронного підпису під управлінням LVRTC. У 2012 році в Латвії зʼявилася eID-картка з можливістю цифрового підписання, а з 2021 року вона є обовʼязковою для всіх громадян старше 15 років.
Литва ухвалила закон про електронний підпис у тому ж році, що й Естонія — у 2000-му. Перші посвідчення особи були видані у 2003 році, а з 2009 року вони містять чіп для цифрового підпису. Сьогодні в Литві понад 1,6 мільйона користувачів Smart-ID — у країні з населенням 2,8 мільйона.
В усіх трьох країнах до середини 2000-х років цифрове підписання стало частиною повсякденного життя — реєстрація компаній, банківські операції, податкова звітність.
Потім зʼявилися мобільні рішення. Естонія у 2007 році запустила мобільний ID, який працював навіть без смартфона — достатньо було SIM-картки та PIN-коду. У 2017 році SK ID Solutions запустив Smart-ID одразу в усіх трьох балтійських країнах. За два місяці було понад 100 000 користувачів. Сьогодні Smart-ID налічує понад 3 мільйони активних користувачів і сертифікований для створення кваліфікованих підписів.
Цифри говорять самі за себе: лише в Естонії за 20 років було надано понад 800 мільйонів цифрових підписів. І це країна з населенням 1,3 мільйона.
Чому це важливо в контексті deepfake? Тому що в Балтії криптографічне підтвердження ідентичності — це не щось експериментальне. Це норма. І саме ця норма стає актуальною тепер для всієї Європи.
Європа наздоганяє: EUDI-гаманець зробить КЕП доступним для всіх
2024. року набув чинності eIDAS 2.0 — оновлений європейський регламент цифрової ідентичності, який вимагає, щоб кожна країна-член ЄС запропонувала своїм громадянам Європейський гаманець цифрової ідентичності (EUDI Wallet). Дедлайн: кінець 2026 року.
Це означає, що кваліфікований електронний підпис, який у Балтії використовується понад два десятиліття, невдовзі стане доступним 450 мільйонам європейців прямо зі смартфона. Гаманець дозволить зберігати цифрову ідентичність, надавати документи та ставити кваліфіковані електронні підписи — без окремого зчитувача карток, SIM-картки чи договору з постачальником послуг.
Для Балтії це не революція, а логічне продовження. Для решти Європи — зміна парадигми, і в епоху deepfake — надзвичайно своєчасна.
Що це означає для вас — і що ні
Чесна відповідь: кваліфікований електронний підпис не вирішує всього.
Deepfake можна використати, щоб переконати реальну людину підписати хибний документ. «Підпиши швидко, це фінальна версія.» «Ми обговорювали це під час дзвінка, ти погодився.» КЕП доводить, що хтось підписав — але не захищає від того, що цю людину ввели в оману.
Тому КЕП — це надійна основа, яку доповнюють розумні звички:
Для документів високого ризику — другий канал. Якщо хтось просить терміново підписати щось важливе, перевірте через інший канал (дзвінок, повідомлення), чи запит справжній.
Для нетипових запитів — пауза. «Керівник просив негайно підтвердити» — класична маніпулятивна схема. Чим терміновіше прохання, тим більше воно заслуговує на перевірку.
Для підписаних документів — контроль. Виробіть звичку перевіряти статус підпису та ланцюг довіри важливих документів. Не як виняток, а як рутину.
Швидкість залишається важливою — але швидкість без доказовості — це ризик
Цифрова трансформація роками була історією про швидкість: швидше підписання, швидше підтвердження, менше паперу. Це правильно, і це залишається важливим.
Але світ, у якому відео та голос можна підробити, вимагає окрім швидкості ще й доказовість. Якщо ви не можете показати, хто що підтвердив, то від швидкості немає користі — є лише швидко створена проблема, яку потім складно розвʼязати.
Кваліфікований електронний підпис — один із небагатьох інструментів, який надає рішенням вашої організації математичну та юридичну вагу, яку жоден deepfake не здатен похитнути. Не тому, що це регуляторна вимога, а тому, що це працює.
Agrello підтримує кваліфіковані електронні підписи та допомагає створити робочі процеси, де важливе рішення підтверджено, верифіковано та захищено від оскарження. Спробуйте безкоштовно і подивіться, як це працює для вас на практиці.
Ready to get started?
Join Agrello and manage your contracts the smart way.