חוק חתימה אלקטרונית בישראל - המדריך המעודכן ל-2026

חוק חתימה אלקטרונית, התשס"א-2001 מסדיר את התוקף המשפטי של חתימות דיגיטליות בישראל. החוק מגדיר שלושה סוגי חתימה - פשוטה, מאובטחת, ומאושרת - ולכל אחת משקל ראייתי שונה בבית משפט. את החוק חוקקה הכנסת ה-15, והוא נכנס לתוקף ב-4 באוקטובר 2001. מאז עבר שלושה תיקונים, האחרון שבהם משנת 2018, ששינה באופן מהותי את הדרך בה ניתן לחתום על מסמכים בישראל.

המדריך הזה מסביר את מה שאתם חייבים לדעת לפני שאתם חותמים, שולחים לחתימה, או מסתמכים על חתימה דיגיטלית כראיה - גם אם אתם בעלי עסק, גם אם אתם פרילנסרים, וגם אם אתם פשוט שולחים חוזה לשותף עסקי.

שלוש דרגות החתימה - וההבדל בפועל

החוק מבחין בין שלוש קטגוריות:

חתימה אלקטרונית פשוטה (או בשפת החוק - "חתימה אלקטרונית אחרת") היא כל מידע אלקטרוני שמוצמד למסמך לצורך חתימה. סריקה של חתימה ידנית, חתימה שצוירה במסך מגע, אפילו הקלדת השם בסוף מייל - הכל נכלל. הקטגוריה הזו נוספה לחוק רק בתיקון 3 משנת 2018, אחרי שהמחוקק הבין שהדרישות הקודמות יצרו חסם מיותר לעסקאות יומיומיות.

חתימה אלקטרונית מאובטחת היא חתימה שעומדת בארבעה תנאים מצטברים שמפורטים בסעיף 1 לחוק: היא ייחודית לבעל אמצעי החתימה, מאפשרת זיהוי לכאורה שלו, מופקת באמצעי הנתון לשליטתו הבלעדית, ומאפשרת לזהות שינויים שבוצעו במסמך אחרי החתימה. רוב פתרונות החתימה הדיגיטלית המקצועיים בישראל (כולל Chik) משתמשים בתקן PAdES שעונה על הדרישות האלה - הצפנה אסימטרית עם hash של תוכן המסמך וחותמת זמן.

חתימה אלקטרונית מאושרת היא הדרגה הגבוהה ביותר. מדובר בחתימה מאובטחת שגורם מאשר רשמי הנפיק עליה תעודה אלקטרונית. בישראל פועלים מספר גורמים מאשרים מורשים בלבד, הרשומים במרשם של רשם הגורמים המאשרים במשרד המשפטים. ההנפקה דורשת זיהוי פנים-אל-פנים והוצאת אמצעי פיזי - בדרך כלל כרטיס חכם או טוקן USB. הליך לא זול ולא מהיר.

מה שווה כל סוג בבית משפט

ההבדל הראייתי בין שלוש הדרגות הוא הסיבה האמיתית שהחוק קיים. הוא מוגדר בסעיף 3 לחוק:

חתימה פשוטה היא קבילה כראיה, אבל המשקל שלה תלוי לגמרי בנסיבות. אם תיכנס לבית משפט עם PDF שמישהו "חתם" עליו בעכבר, יהיה עליך להוכיח שזה באמת הוא חתם.

חתימה מאובטחת מקנה שתי חזקות חזקות: שהמסמך לא שונה אחרי החתימה, ושהוא נחתם באמצעות אמצעי החתימה הספציפי המזוהה בתעודה (אם צורפה אחת). שימו לב - אחרי תיקון 3 משנת 2018, חתימה מאובטחת לא מהווה יותר ראיה לכאורה לזהות החותם עצמו. המחוקק החליט שזה היה ניסוח מטעה - הטכנולוגיה מבטיחה שהמכשיר חתם, לא שהאדם הספציפי החזיק בו ברגע החתימה.

חתימה מאושרת מוסיפה את שלוש החזקות האלה ועוד אחת קריטית: שהמסמך נחתם על ידי בעל אמצעי החתימה עצמו. זו הסיבה שעורכי דין, רואי חשבון ומגישי דוחות לרשות ניירות ערך משלמים על תעודות מאושרות - בריב משפטי, נטל ההוכחה הופך.

תיקון 3 והכלל החדש של "גורם מעצב"

יש סעיף בחוק שכל מי ששולח מסמכים לחתימה צריך להכיר - סעיף 3א, שנכנס בתיקון 3 ב-2018. הוא קובע שאם צד אחד לחוזה הוא זה שעיצב את אופן החתימה (למשל חברה שמשתמשת בתוכנת חתימה דיגיטלית מול לקוחות), נטל ההוכחה שהצד השני באמת חתם נופל עליו, לא על הצד השני.

זה הגיוני אם חושבים על זה. אם אני שולח לכם חוזה דרך מערכת שאני בחרתי ועיצבתי, ואחר כך אתם טוענים "לא חתמתי" - לא הוגן לדרוש מכם להוכיח את זה. אני זה שהיה צריך לוודא שהמערכת אוספת מספיק ראיות.

בפועל, מה שזה אומר: אם אתם מנהלים עסק שמשתמש בחתימה דיגיטלית מול לקוחות, חשוב לבחור פתרון שמתעד משהו מעבר לחתימה עצמה. כתובת IP, חותמת זמן, אישור מייל שהקישור נשלח אליו, OTP, או אישור זהות. הסעיף הזה הוא הסיבה שבמערכות מקצועיות אתם רואים audit trail מפורט.

מה אסור לחתום עליו דיגיטלית בכלל

החוק מגדיר רשימה של מסמכים שדורשים חתימה פיזית - בלי שום פשרה. הרשימה נמצאת בחלק ב' של התוספת הראשונה לחוק, והיא כוללת בין השאר:

צוואות וזיכרון דברים על צוואה בעל פה. בגלל הרגישות של נושא הירושה ובגלל שהמצווה לא בין החיים כדי להעיד, החוק דורש חתימה פיזית מסורתית. עורך דין שיציע לכם לחתום על צוואה דיגיטלית עושה משהו לא חוקי.

ייפוי כוח לעורך דין לפי סעיף 91 לחוק לשכת עורכי הדין - הכוונה לייפוי הכוח הסטנדרטי שעורך דין מבקש מלקוח לצורך ייצוג. שימו לב שזה שונה מייפוי כוח מתמשך, שאותו דווקא כן חותמים דיגיטלית, אבל באופן ייחודי מאוד שנפרט מיד.

חתימות בפני נוטריון או בידי נוטריון - לא ניתן לקיים את דרישת החתימה הנוטריונית באמצעות חתימה אלקטרונית. הנוטריון חייב לזהות אתכם פיזית (או בהיוועדות חזותית מוסדרת, אם אתם בחו"ל, לפי החלטת ועדת אתיקה ארצית של לשכת עורכי הדין משנת 2025).

כתבי הקדש, הסכמים לנשיאת עוברים, והסכמת הורה לאימוץ משלימים את הרשימה.

הכלל הוא פשוט: ככל שהמסמך משפיע יותר על מעמד אישי או על ירושה, ככה החוק יותר זהיר. עסקאות מסחריות רגילות - חוזי שירות, הסכמי שכירות, חוזי עבודה, חשבוניות, אישורי קבלה - את כל אלו אפשר לחתום דיגיטלית בלי בעיה.

ייפוי כוח מתמשך - חריג שכדאי להכיר

ייפוי כוח מתמשך, שמסדיר מצב של מי יקבל החלטות בשמכם אם תאבדו כשירות, מהווה חריג מעניין. כן אפשר לחתום עליו דיגיטלית, אבל לא לבד מהבית - רק עורך דין מוסמך שעבר הכשרה ייעודית של האפוטרופוס הכללי יכול להחתים, ורק במערכת המקוונת של האפוטרופוס הכללי שהוקמה לפי תקנות הכשרות המשפטית מ-2017.

עורך הדין נדרש לשמור הן את העותק האלקטרוני והן את עותק הנייר במשרדו במשך שבע שנים לפחות אחרי שהמסמך פוקע או מבוטל. זה חריג שמראה שהחוק לא נגד טכנולוגיה - הוא בעד טכנולוגיה במקום שיש סיבה טובה להשתמש בה, ובמסגרת שמבטיחה את הזכויות של מי שחותם.

מה זה אומר לעסקים בפועל

מבחינה משפטית, לרוב העסקים בישראל, חתימה אלקטרונית מאובטחת היא נקודת המתוק. היא מקנה את כל ההגנות הראייתיות שצריך לצרכים יומיומיים - חוזי שירות, NDA, הסכמי שכירות, חוזי קבלן עצמאי, מכתבי הצעת עבודה. בלי הצורך והעלות של תעודה מאושרת.

מתי כן צריך תעודה מאושרת? כשאתם מגישים מסמכים שדורשים זאת לפי חוק - דוחות מע"מ מקוונים מאז 2012, דיווחים לרשות ניירות ערך, חתימות במערכות בית משפט אלקטרוניות, וייפוי כוח מתמשך (שזה חריג שדורש את הכלים של עורך הדין, לא שלכם).

מתי חתימה פשוטה מספיקה? במקרים שבהם הצד השני לא צפוי להתכחש, או כשמה ששווה מבחינה כלכלית לא מצדיק את העלות של מערכת מאובטחת. הסכמת קבלת מייל, אישור פגישה, חוזה משאבי אנוש פנימי - דברים שבסבירות גבוהה לעולם לא יגיעו לכותלי בית משפט.

הטעות הנפוצה ביותר

אחת הטעויות שעולות במחלקות משפטיות זה ערבוב מושגים. "חתימה דיגיטלית" בעולם הדיבור היומיומי מתייחס לכל דבר - מסריקה של חתימה ועד לתעודה מאושרת של גורם מוסמך. אבל מבחינה משפטית מדובר במשהו אחר לגמרי בכל מקרה. כשאתם בוחרים פתרון, שאלו את עצמכם: באיזה סוג חתימה זה תומך? איזה ראיות זה אוסף? איזה סטנדרט הצפנה? איזה תקן עמידה (PAdES? CAdES? משהו פרופריטרי?).

הפסיקה הישראלית כבר התייחסה למקרים שבהם פתרון "חתימה דיגיטלית" התגלה כחסר ערך משפטי. ב-2014 נדון מקרה של חתימה על פד אלקטרוני שלא הציג למשתמש את תוכן המסמך שעליו חותם - בית המשפט קבע שזו חתימה ריקה מתוכן ושאין בה כדי ללמד על הסכמה. השיעור: התשתית הטכנולוגית חשובה לא פחות מהחתימה עצמה.

איך להתחיל

לפני שתחתמו על חוזה בעצמכם או תשלחו אחד לחתימה, יש שלוש שאלות שכדאי לעצור ולשאול:

ראשית - האם המסמך נכלל ברשימת ה"אסור" של החוק? אם זה צוואה, ייפוי כוח לעו"ד, או משהו שדורש נוטריון - חתימה פיזית, ללא שאלות.

שנית - איזה סוג חתימה אני צריך? אם הצד השני יציב ואמין, אם המסמך לא דרמטי, חתימה פשוטה תספיק. אם יש סיכוי שהמסמך יגיע לבית משפט - חתימה מאובטחת. אם זה דוח לרשות מסוימת או מסמך לפי חיקוק - בדקו אם החיקוק דורש תעודה מאושרת.

שלישית - האם הפתרון שאני משתמש בו מתעד את החתימה כראוי? לפחות חותמת זמן, hash של המסמך, וזיהוי כלשהו של החותם (מייל מאומת, IP, OTP). בלי זה, מבחינה משפטית אתם חוזרים לעולם של חתימה פשוטה, גם אם הפתרון משווק כ"חתימה דיגיטלית".

החוק נכתב ב-2001, בעידן שונה בתכלית, ועדכון 3 ניסה לסגור פערים שהמציאות יצרה. הוא לא מושלם, ופסקי דין חדשים ממשיכים לעצב את הפרשנות. אבל הוא בהחלט נותן בסיס יציב לעסקים שרוצים לעבור לעולם דיגיטלי בלי לוותר על ההגנה המשפטית שחתימה פיזית היתה נותנת.