Dem Empfänger elektronischer Rechnungen mit qualifizierter elektronischer Signatur ist es vom Gesetzgeber gestattet, die nach den GDPdU vorgeschriebene Prüfung von Signaturen auf einen Dritten zu übertragen.

Wie beim Signieren erfolgt auch beim Verifizieren keine Prüfung des Formates und Inhaltes der empfangenen Nutzdaten.

Die Übertragung der zu verifizierenden Dateien an das Portal kann auf zwei Arten erfolgen:

Die Verifikation verläuft in mehreren Schritten:

1. Der Dateiempfänger sendet sowohl die Empfangsdatei mit den Nutzdaten als auch die dazu korrespondierende Signaturdatei an das Signaturportal.
2. Auf dem Signaturportal wird der Hashwert der Originaldatei erneut berechnet und anschliessend mit dem Hashwert der Signaturdatei verglichen.
3. Stimmen beide Hashwerte überein, wird die digitale Signatur zu einem TrustCenter gesendet. Mittels einer sog. OCSP-Abfrage wird geprüft, ob die Signatur den gesetzlichen Anforderungen entspricht und das verwendete Zertifikat gültig ist.
4. Vom TrustCenter wird ein Prüfbericht an das Signaturportal zurückgesendet.
5. Aus der Hashwertprüfung und dem Prüfbericht des Trustcenters erstellt das Signaturportal das Verifikationsprotokoll.
6. Das Verifikationsprotokoll wird an den Rechnungsempfänger übermittelt.
7. Dateiempfang, Prüf- und Verifikationsvorgänge werden auf dem Signaturportal protokolliert.