التوقيع الإلكتروني في مصر منظَّم بموجب القانون رقم 15 لسنة 2004 — قانون التوقيع الإلكتروني الذي جعل مصر من أوائل دول الشرق الأوسط التي منحت التوقيعات الإلكترونية الأثر القانوني الكامل. بعد عقدين، لا يزال النص الأصلي ساري المفعول؛ ما تغيّر هو الطبقة التشغيلية تحته. لائحة ITIDA التنفيذية رقم 109 لسنة 2005 وضعت اللوائح التنفيذية ونظام ترخيص مزوّدي خدمات التصديق الإلكتروني (CSPs)، والمادة 31 من دستور 2014 رسّخت المعاملات الإلكترونية على المستوى الدستوري، وقانون حماية البيانات الشخصية رقم 151 لسنة 2020 أضاف طبقة الخصوصية، ودَفعة التحوّل الرقمي ضمن رؤية مصر 2030 سرّعت التبني عبر البنوك والحكومة وعقود B2B. هذه هي الصورة التي يحتاجها فعلياً مشغّلو الأعمال الذين يوقّعون في مصر.
قانون التوقيع الإلكتروني لعام 2004 — التشريع المؤسِّس للتوقيع الإلكتروني في مصر. المادة 14 تنصّ على أن للتوقيع الإلكتروني الذي يستوفي الشروط الفنية المحدَّدة في اللائحة التنفيذية ذات الحجّية والأثر القانوني للتوقيع التقليدي. كان من أوائل قوانين منطقة الشرق الأوسط وشمال أفريقيا التي منحت التوقيعات الإلكترونية الاعتراف التشريعي الكامل
جمهورية مصر العربية، الجريدة الرسمية
اللوائح التنفيذية لهيئة تنمية صناعة تكنولوجيا المعلومات بموجب قانون 15/2004. تضع إطار ترخيص مزوّدي خدمات التصديق الإلكتروني (CSPs)، والمواصفات الفنية للتوقيع الإلكتروني المتوافق، وهيكل الشهادة الجذر تحت إشراف ITIDA، وصلاحيات الإشراف التي تمارسها الهيئة على المزوّدين المرخّصين
ITIDA، وزارة الاتصالات وتكنولوجيا المعلومات
مصر هي الاقتصاد الأكبر الناطق بالعربية والدولة الأكثر سكاناً في منطقة الشرق الأوسط وشمال أفريقيا. حجم عقود B2B — التوظيف، الإيجار، الموردون، اتفاقيات السرية، التهيئة المصرفية — الذي يتدفّق عبر القاهرة والإسكندرية والعاصمة الإدارية الجديدة يجعل مصر السوق العضوية الأكبر للتوقيع الإلكتروني في العالم العربي
البنك الدولي / الجهاز المركزي للتعبئة العامة والإحصاء
الأساس القانوني: قانون 15 لسنة 2004
صدر قانون التوقيع الإلكتروني المصري في أبريل 2004 ولا يزال التشريع المعتمد. ثلاث مواد تقوم بالعمل الأساسي:
المادة 14 هي بند عدم التمييز التشغيلي: للتوقيع الإلكتروني الذي يستوفي الشروط الفنية المحدَّدة في اللائحة التنفيذية ذات الأثر القانوني والحجّية القانونية للتوقيع التقليدي. هذه هي المادة التي يدور حولها كل نزاع تجاري مصري على التوقيع الإلكتروني.
المادة 15 تحدّد الشروط التي يجب أن يستوفيها التوقيع الإلكتروني للتأهّل لمعادلة الحجّية بموجب المادة 14:
- الارتباط الفريد بالموقّع — يجب أن يكون التوقيع مرتبطاً حصرياً بالشخص الموقّع
- التحكم المنفرد لحظة التوقيع — يجب أن يكون الموقّع وحده هو من يسيطر على الوسائل المستخدمة لإنشاء التوقيع
- اكتشاف التعديل بعد التوقيع — يجب أن يكون أي تغيير على المستند بعد التوقيع قابلاً للاكتشاف
هذه الشروط الثلاثة متطابقة مفهومياً مع المادة 26 من eIDAS والمادة 14 من المرسوم الملكي السعودي م/18. أي منصّة توقيع إلكتروني حديثة (ختم PAdES-B-T، طابع زمني RFC 3161 من طرف ثالث، سجلّ تدقيق مقاوم للعبث) تستوفي هذه الشروط.
المادة 18 تحدّد السلطة الإشرافية: ITIDA هي المنظِّم المخوَّل بترخيص مزوّدي خدمات التصديق الإلكتروني وتدقيق عملياتهم وسحب التراخيص. شهادة ITIDA الجذر تقع على رأس الهرم المصري للبنية التحتية للمفاتيح العامة.
لائحة ITIDA 109 لسنة 2005: الآلية التشغيلية
في حين أن قانون 15/2004 هو التشريع الأم، فإن لائحة ITIDA رقم 109 لسنة 2005 هي التنظيم الذي يخبرك فعلياً كيف يبدو التوقيع الإلكتروني المتوافق على أرض الواقع. خمسة أمور مهمّة تشغيلياً:
1. نظام ترخيص CSPs. ترخّص ITIDA مزوّدي خدمات التصديق الإلكتروني الذين يمكنهم إصدار شهادات مؤهَّلة للموقّعين. يعمل CSPs المرخّصون كهيئات تصديق فرعية تحت الجذر الوطني لـ ITIDA. اعتباراً من 2026 يشمل CSPs المرخّصون النشطون: Egypt Trust، MISR Digital Innovation (MDI)، Misr Information Services & Trading (MIST)، و Egypt for Information Dissemination (EGID). عملية الترخيص فنية وتشغيلية — متطلبات رأس مال، عمليات مدقَّقة، سياسات شهادات محدَّدة، وخطط استجابة للحوادث.
2. المواصفات الفنية للشهادات. تشترط اللائحة 109 شهادات X.509 v3، وسياسات شهادات محدَّدة للأشخاص الطبيعيين والاعتباريين، وأحجام مفاتيح (RSA 2048 كحدّ أدنى تاريخياً، مع تحرّك السوق نحو الأعلى)، وبنية الإلغاء (CRL + OCSP)، ومتطلبات الطابع الزمني. النظام الفني متشابه هيكلياً مع ETSI EN 319 411-1/2 رغم أن مصر لم تتبنَّ تلك المعايير الأوروبية رسمياً.
3. هرم PKI تحت جذر ITIDA. بخلاف نموذج قائمة الثقة لـ eIDAS حيث تعمل عدّة جذور CA متساوية الثقة باستقلال، تمتلك مصر هيكلاً أكثر مركزية: ITIDA تشغّل الجذر الوطني، وCSPs المرخّصون يُصدرون شهادات الكيانات النهائية التي تتسلسل إلى ذلك الجذر. هذا أقرب تشغيلياً إلى نموذج NCDC السعودي منه إلى نموذج eIDAS الأوروبي.
4. متطلبات السجلات العامة. يجب على CSPs المرخّصين نشر حالة الإلغاء (CRLs) وسياسات الشهادات في سجلات يمكن الوصول إليها علناً. هذا ما يجعل التحقّق اللاحق ممكناً — أي طرف يحمل مستنداً موقّعاً يمكنه جلب CRL للـ CSP المُصدر، والتأكّد من عدم إلغاء شهادة التوقيع وقت التوقيع، والتحقّق من سلسلة التدقيق.
5. إطار الاعتراف عبر الحدود. تتضمّن اللائحة 109 آلية لـ ITIDA للاعتراف بالشهادات الأجنبية إذا كان إطار الولاية القضائية المُصدرة يوفّر أثراً قانونياً معادلاً. هذا هو المسار الذي تستخدمه الشركات متعدّدة الجنسيات عندما تُصدر منصّتها العالمية شهادات خارج مصر.
ما تعنيه "المؤهَّلة" في مصر
الإطار المصري لا يستخدم مصطلحات eIDAS Simple / Advanced / Qualified، لكن السوق يقرأ الفئات بشكل مشابه. عملياً تظهر ثلاث فئات تشغيلية:
التوقيع الإلكتروني الأساسي (يكافئ SES). اسم مكتوب، زر مُنقَر عليه، توقيع بريد إلكتروني مُحقَّق بـ OTP — أي شيء يستوعب النيّة. مقبول كدليل بموجب المبادئ العامة لقانون الإثبات المصري، لكن دون افتراض المعادلة للتوقيع التقليدي بموجب المادة 14. مناسب للمستندات الداخلية منخفضة المخاطر، والاتفاقيات بالنقر، والمراسلات التجارية الاعتيادية.
التوقيع الإلكتروني المتقدم (يكافئ AES). توقيع يستوفي شروط الموثوقية الثلاثة في المادة 15 من قانون 15/2004 — الارتباط الفريد، التحكم المنفرد، الربط المقاوم للعبث. عملياً هذا يعني PDF مختوم بـ PAdES-B-T مع هوية موقّع مُحقَّقة بـ OTP، وطابع زمني RFC 3161، وسجلّ تدقيق مرتبط بالهاش. هذا ما يجب أن تستخدمه 95% من عمليات التوقيع B2B في مصر. تنطبق معادلة المادة 14 للحجّية؛ قبلت المحاكم في مصر بشكل ثابت توقيعات تكافئ AES المُنفَّذة بشكل صحيح في النزاعات التجارية منذ بدء سريان القانون.
التوقيع الإلكتروني المؤهَّل (يكافئ QES). توقيع مُطبَّق باستخدام شهادة صادرة عن CSP مُرخَّص من ITIDA، مع حفظ مفتاح التوقيع في جهاز إنشاء توقيع مؤهَّل (عادة رمز عتاد، بطاقة ذكية، أو HSM عن بُعد). مطلوب لـ: التوثيقات العدلية، تسجيل العقارات حيث يجب توثيق الصكّ، وبعض الإيداعات الشركاتية، والتفاعلات الحكومية المحدَّدة. مطلوب من أطر مشتريات بعض الشركات المملوكة للدولة والبنوك للمعاملات عالية القيمة.
لعقود B2B اليومية — اتفاقيات التوظيف، عقود الموردين، اتفاقيات السرية، عقود الإيجار التجاري، أوراق التهيئة المصرفية — فئة AES كافية ودفاعها قانونياً سليم. لا تُفرط في الهندسة بـ QES حيث لا يشترطه القانون والمحاكم.
المرتكز الدستوري: المادة 31 (2014)
دستور مصر 2014، في المادة 31، يلتزم بأن تؤمّن الدولة "تقنية المعلومات والاتصالات وتحمي البيانات الشخصية" وأن تعترف بالمعاملات والتوقيعات الإلكترونية كجزء من البنية التحتية للاقتصاد الرقمي للدولة. هذا غير معتاد على المستوى الدستوري — معظم الولايات القضائية تتعامل مع التوقيعات الإلكترونية على المستوى التشريعي فقط. الترسيخ الدستوري يمنح التوقيعات الإلكترونية المصرية وزناً خطابياً إضافياً في المحاكم ويُسقط هجمات ضيّقة معيّنة استُخدمت ضدّ التوقيعات الإلكترونية في ولايات قضائية عربية أخرى.
طبقة حماية البيانات: قانون 151 لسنة 2020
قانون حماية البيانات الشخصية المصري (القانون 151 لسنة 2020) يعمل بالتوازي مع قانون 15/2004 ويُطبَّق كلّما تعاملت سير عمل توقيع إلكتروني مع بيانات شخصية — وهو ما يحدث دائماً تقريباً. الالتزامات الرئيسية لمنصّات التوقيع:
- السند المشروع لمعالجة بيانات الموقّع الشخصية (عادةً الموافقة أو تنفيذ العقد)
- تقليل البيانات — جمع ما يتطلّبه إجراء التوقيع فقط
- قيود نقل البيانات عبر الحدود — نقل بيانات الموقّع الشخصية خارج مصر يتطلّب إمّا الكفاية أو الموافقة أو ضمانات تعاقدية
- الإخطار بالاختراق لمركز حماية البيانات الشخصية خلال 72 ساعة
- حقوق صاحب البيانات — الوصول، التصحيح، المحو (مع استثناءات احتفاظ موثّقة لسلامة سجل التدقيق)
بالنسبة لمشغّلي B2B، التداعي العملي هو أن وضع إقامة البيانات لمنصّة التوقيع، وسياسة احتفاظ سجلّ التدقيق، وعملية الاستجابة للاختراق، كلّها مهمّة للامتثال للقانون 151. الاستضافة الإقليمية في الخليج ومصر هي المسار البسيط؛ المنصّات المستضافة في الولايات المتحدة تضعك في عبء امتثال نقل عبر الحدود.
القطاع المصرفي والخدمات المالية: طبقة CBE
البنك المركزي المصري (CBE) يضيف قواعد إضافية فوق قانون 15/2004 للتوقيع في القطاع المصرفي. إطار CBE للأعمال المصرفية الرقمية 2020 وتنظيمات المدفوعات الفورية 2022 كلاهما يُشير إلى التوقيعات الإلكترونية والتحقّق من الهوية الرقمية، ويُلزم البنوك باستخدام شهادات من CSPs المرخّصين من ITIDA لمعاملات عالية القيمة معيّنة، وبالتكامل مع البنية التحتية الوطنية للهوية الرقمية (CIT — مجموعة أدوات الهوية المركزية) لـ KYC والتهيئة. لمشغّل B2B يوقّع مع طرف مقابل خاضع لإشراف CBE، يعني هذا عادة أن البنك سيشترط توقيع فئة QES لوثائق فتح الحساب وتوقيع فئة AES للوثائق المعاملاتية المستمرّة.
الفاتورة الإلكترونية: ما يُكافئ ZATCA في مصر
نشرت مصر نظام فوترة إلكترونية إلزامي على مراحل بين 2020 و2023، تُديره مصلحة الضرائب المصرية (ETA). يجب الآن إصدار كل فاتورة B2B عبر بوّابة ETA مع توقيع تشفيري من شهادة مرخّصة من ITIDA. توقيع الفاتورة الإلكترونية كائن منفصل عن توقيع العقد الأساسي — يمكن توقيع العقد عبر AES؛ الفاتورة المُنشأة بموجب ذلك العقد يجب توقيعها بنظام ETA. تعامل معهما كطبقتين في معماريّتك للتوقيع.
تحويل وقنوات الهوية الرقمية
تحويل (برنامج الهوية الرقمية الوطنية، مُدار بشكل مشترك بين MCIT و ITIDA) هو قناة الهوية الناشئة للتوقيع الإلكتروني المصري — مماثل لنفاذ في السعودية، NAS في قطر، أو هوية الإمارات في الإمارات. التوقيع المرتكز على تحويل ليس بعد بحجم تلك المعادلات الخليجية لكنّه المسار للعامين أو الثلاثة القادمة. للمنصّات التي تبني في مصر الآن، القرار المعماري هو قبول أن تكامل تحويل سيصبح متطلّباً للمشتريات للمشترين الحكوميين وفي القطاعات المنظَّمة في المدى المتوسط.
سير العمل العملي: ما يبدو عليه التوقيع AES المتوافق في مصر
لشركة قاهريّة توقّع عقد مورّد مع مورّد من الإسكندرية، سير عمل AES المُدافع عنه قانونياً هو:
- التعريف بالموقّعين عبر بريد إلكتروني مُحقَّق + OTP (SMS أو بريد) وقت التوقيع — يستوفي "الارتباط الفريد بالموقّع" بالمادة 15
- ربط كل توقيع بهاش المستند المحدّد — يستوفي "التحكم المنفرد لحظة التوقيع"
- تطبيق ختم تشفيري PAdES-B-T على الـ PDF النهائي — يستوفي "اكتشاف التعديل بعد التوقيع"
- إرفاق طابع زمني RFC 3161 من سلطة طابع زمني موثوقة — يدعم الادّعاءات الزمنية لسلسلة التدقيق
- إلحاق سجلّ تدقيق مرتبط بالهاش لكل حدث توقيع — يمنح أي مُتنازع لاحق الوسائل للتحقّق من السلسلة باستقلال
- إصدار شهادة إكمال بالعربية والإنجليزية تستشهد بالمادة 14 من قانون 15/2004 — الوثيقة التي سيبحث عنها فريق الطرف المقابل القانوني أولاً
هذا هو سير العمل الذي ينتجه سهل ساين افتراضياً للموقّعين المصريين. شهادة الإكمال ثنائية اللغة (عربي + إنجليزي)، تستشهد صراحة بقانون 15/2004، وسجلّ التدقيق قابل للتحقّق باستقلال.
قائمة التحقّق لمشغّلي B2B الموقّعين في مصر
- تأكّد من استيفاء شروط الموثوقية للمادة 15 من قانون 15/2004
الارتباط الفريد بالموقّع، التحكم المنفرد لحظة التوقيع، الربط المقاوم للعبث (PAdES-B-T أو ما يعادله)، اكتشاف التعديل بعد التوقيع. نفس الشروط المفهومية للمادة 26 من eIDAS.
- تحقّق من وضع حماية البيانات للقانون 151/2020
السند المشروع موثَّق، تقليل البيانات مُطبَّق، عملية الإخطار بالاختراق موجودة، قيود نقل البيانات عبر الحدود مستوفاة. الاستضافة الإقليمية في مصر أو الخليج هي وضع الامتثال الأبسط.
- خطّط لفوترة ETA إذا كانت الفواتير في النطاق
توقيع الفاتورة الإلكترونية كائن منفصل عن توقيع العقد الأساسي. العقود: AES عبر قانون 15/2004. الفواتير: بوّابة ETA مع شهادة مرخّصة من ITIDA.
- تأكّد من متطلبات التوقيع للطرف المصرفي المقابل CBE
قد تشترط البنوك توقيع فئة QES مع شهادة مرخّصة من ITIDA لفتح الحساب وبعض المعاملات عالية القيمة. AES كافٍ للوثائق التجارية الروتينية التي يستلمها البنك لكنّه لا يُنشئها.
- خطّط لتكامل تحويل في المدى المتوسط
تحويل هو مسار الهوية للقطاع الحكومي والقطاعات المنظَّمة في مصر. صمّم تدفّقاتك اليوم بحيث يمكن إضافة مصافحة تحويل في خطوة التحقّق من الهوية دون إعادة بناء مسار التوقيع.
الأسئلة الشائعة
هل التوقيع الإلكتروني قانوني في مصر؟
+
ما هي ITIDA وما دورها في التوقيع الإلكتروني؟
+
من هم CSPs المرخّصون في مصر؟
+
هل أحتاج توقيعاً إلكترونياً مؤهَّلاً (QES) لعقود B2B في مصر؟
+
هل يمكنني توقيع مستندات بالعربية في مصر؟
+
كيف يؤثّر قانون 151/2020 (PDPL) على التوقيع الإلكتروني في مصر؟
+
من قانون 15/2004 هي القاعدة التشريعية للتوقيع الإلكتروني المصري. للتوقيع الإلكتروني الذي يستوفي شروط الموثوقية للمادة 15 — الارتباط الفريد بالموقّع، التحكم المنفرد لحظة التوقيع، الربط المقاوم للعبث — نفس الأثر القانوني والحجّية للتوقيع التقليدي. لوثائق B2B التجارية في مصر، توقيع متقدم مُحقَّق بـ OTP مع ختم PAdES-B-T وسجلّ تدقيق مرتبط بالهاش يستوفي التشريع. QES عبر CSP مرخّص من ITIDA مطلوب فقط للتوثيقات العدلية، وتسجيل العقارات، وبعض المعاملات المنظَّمة. ابنِ وفقاً لشروط المادة 15 الثلاثة وأنت داخل القانون.
قانون التوقيع الإلكتروني المصري، القانون رقم 15 لسنة 2004
اقرأ أيضاً
- التوقيع الإلكتروني في المملكة العربية السعودية — أكبر سوق في الخليج وطرف مقابل محتمل للعمليات المصرية التي تتوسّع في الخليج؛ نموذج PKI مركزي مشابه هيكلياً.
- التوقيع الإلكتروني في قطر — قرار CRA القطري 3/2025 هو الإطار المتوائم مع eIDAS الأحدث في المنطقة؛ مقارنة مفيدة للشركات المصرية مع أطراف مقابلة قطرية.
- قانون المعاملات الإلكترونية الإماراتي (المرسوم 46/2021) — تدفّقات التوقيع المرتكزة على هوية الإمارات التي ستواجهها الشركات المصرية ذات العمليات في دبي أو أبوظبي.
- الامتثال لـ PDPL و PDPPL في التوقيع الإلكتروني — منظومة حماية البيانات الإقليمية؛ قانون 151/2020 المصري يندرج في عائلة PDPL في الشرق الأوسط الموسّعة المُغطّاة هنا.
- لماذا تهمّ الاستضافة الإقليمية للوثائق الحسّاسة — بُعد إقامة البيانات الذي يعمل بالتوازي مع امتثال PDPL المصري.
المصادر
- القانون رقم 15 لسنة 2004 — قانون التوقيع الإلكتروني — هيئة تنمية صناعة تكنولوجيا المعلومات
- لائحة ITIDA 109 لسنة 2005 — اللوائح التنفيذية — ITIDA
- دستور جمهورية مصر العربية، 2014 — المادة 31 — Constitute Project
- القانون رقم 151 لسنة 2020 — قانون حماية البيانات الشخصية — مركز حماية البيانات الشخصية
- هيئة تنمية صناعة تكنولوجيا المعلومات (ITIDA) — المنظِّم المصري لصناعة تكنولوجيا المعلومات
- وزارة الاتصالات وتكنولوجيا المعلومات (MCIT) — جمهورية مصر العربية
- البنك المركزي المصري (CBE) — المشرف المصرفي ومنظِّم المدفوعات الرقمية
- مصلحة الضرائب المصرية — بوّابة الفوترة الإلكترونية — البنية التحتية لـ ETA للفوترة الإلكترونية
- مركز حماية البيانات الشخصية (PDPC) — السلطة الإشرافية بموجب قانون 151/2020
- قانون الأونسيترال النموذجي للتوقيعات الإلكترونية (2001) — النموذج الدولي الذي يتوافق معه إطار مصر جوهرياً