1. Главная / Статьи 
ул. Черняховского, д. 16 125319 Москва +7 499 152-68-65
Логотип
| статьи | печать | 389

Электронная цифровая подпись: риски использования, или как воспрепятствовать ее неправильному использованию

Использование электронной цифровой подписи позволяет снизить транзакционные издержки по заключению сделок. Теперь контрагентам не нужно присутствовать в одном месте, чтобы подписать договор. Однако это порождает и множество рисков, связанных с тем, что нельзя быть уверенным, что подписант является именно тем лицом, чью подпись использует. Чтобы избежать таких рисков, к удостоверяющим центрам предъявляются серьезные требования при получении ими аккредитации. Однако риск вмешательства мошенников при создании и использовании электронной цифровой подписи все равно остается, особенно когда для ее предоставления не требуется личного присутствия получателя. О том, какие опасности связаны с электронной цифровой подписью и как их избежать, читайте в материале.

По замыслу российского законодателя, электронная цифровая подпись (ЭЦП) должна представлять собой эквивалент «обычной» подписи, проставляемой от руки. Как и обычная подпись, квалифицированная электронная цифровая подпись обладает полной юридической силой.

Необходимость ее внедрения была обусловлена, во-первых, должным уровнем развития информационно-коммуникационных технологий, позволяющим переводить документооборот в цифровой формат, а во-вторых — потребностью в создании аналога традиционной подписи от руки, который бы позволял заверять документы без личного присутствия гражданина, в дистанционном формате.

Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи» (далее — Закон об электронной подписи, Федеральный закон № 63-ФЗ) был принят почти десять лет назад. За прошедшее время электронная подпись получила самое широкое распространение, однако до сих пор особенно актуальным остается вопрос о защите электронной подписи и воспрепятствовании ее незаконному или неправильному использованию. Ведь сам факт существования электронной подписи предполагает, что человек может подписывать документы заочно, без личного присутствия, и уже одна эта возможность представляет существенный интерес для мошенников или иных лиц, заинтересованных в принятии конкретным человеком определенного решения.

Помимо квалифицированной электронной цифровой подписи существуют еще два вида электронной подписи. Неквалифицированная электронная подпись — она также может обеспечить юридическую значимость документа, но только в случае заключения дополнительного соглашения о ее использовании между сторонами, подписывающими договор. Такая подпись может подтвердить как авторство документа, так и акт внесения изменений в электронный документ после его подписания.

Простая электронная подпись, так же как и неквалифицированная электронная подпись, не придает подписанному документу юридическую значимость до тех пор, пока стороны не заключат дополнительное соглашение о правилах ее применения и признания.

Правом использования электронной цифровой подписи обладают как физические лица, которые с ее помощью могут взаимодействовать с государственными учреждениями и системами через интернет, так и юридические лица, для которых электронная подпись представляет собой особо ценный инструмент в рамках организации процедуры юридически значимого электронного документооборота и сдачи электронной отчетности в органы власти.

В связи с этим особенную актуальность приобрели вопросы обеспечения безопасности и защиты ЭЦП.

Здесь стоит отметить, что получение квалифицированной электронной подписи удаленным путем невозможно, так как квалифицированная электронная подпись выдается в аккредитованном центре по заявлению гражданина и при предъявлении им паспорта. Однако это обстоятельство не исключает определенных рисков, о которых мы расскажем ниже.

Основные риски использования электронной цифровой подписи

Электронная цифровая подпись позволяет заключать сделки без личного присутствия человека, и это порождает некоторые дополнительные риски для участников оборота.

Сам факт того, что квалифицированная ЭЦП получается в аккредитованном центре только по заявлению и при предъявлении паспорта получателя, является определенной страховкой от возможного мошенничества. Но злоумышленники могут вступить в сговор с работниками аккредитованного центра, и при наличии паспортных данных гражданина, которые сейчас нетрудно получить в любой коммерческой организации, мошенник может обзавестись электронной цифровой подписью и действовать от имени этого человека. Тем более что отсутствует единый реестр электронных цифровых подписей и уследить за тем, кто и как получает ЭЦП, достаточно проблематично. Таким образом, главный риск ЭЦП связан с ее несанкционированным использованием третьими лицами, последствия которого могут быть весьма плачевными.

Аккредитованные центры не являются государственными учреждениями, это не миграционная или налоговая служба, и контроль за их деятельностью менее строгий. К тому же, будучи коммерческими организациями, аккредитованные центры нацелены на получение прибыли, что может привести к более мягкой проверке документов граждан при получении электронной цифровой подписи. А ведь именно возможность получения ЭЦП подставным лицом является самым опасным и распространенным риском всей процедуры, при этом такой риск в глобальном масштабе присутствует везде, где используется технология инфраструктуры открытых ключей (public key infrastructure). В целях обес­печения безопасности с 1 июля 2020 г. были приняты поправки в Федеральный закон № 63-ФЗ, которые ужесточили требования к удостоверяющим центрам (УЦ). Согласно поправкам, аккредитованными удостоверяющими центрами будут являться удостоверяющие центры, получившие аккредитацию, а также УЦ ФНС России, УЦ Федерального казначейства, УЦ ЦБ РФ. Минимальный размер собственного капитала должен составлять 1 млрд руб., увеличился размер финансового обеспечения ответственности за убытки, причиненные третьим лицам. Кроме того, добавлены требования к деловой репутации руководителей и владельцев УЦ, обладающих не менее 10% капитала.

Можно выделить два наиболее распространенных способа незаконных манипуляций с электронной цифровой подписью.

Во-первых, это выпуск квалифицированного сертификата без личного контакта заявителя и сотрудника аккредитованного центра. Подобная процедура в идеале вообще должна быть строго запрещена, поскольку, пока такая возможность сохраняется, будет существовать и очень большая вероятность того, что дистанционно ЭЦП за ее законного владельца получат злоумышленники. В Законе об электронной подписи подчеркивается обязательность предъявления паспорта при получении ЭЦП, однако там ничего не говорится о способе его предъявления, и эта лазейка может быть использована мошенниками, которые представят, к примеру, отсканированную копию документа и получат по нему квалифицированную электронную цифровую подпись.

Во-вторых, это манипуляционные действия в аккредитованном центре, связанные с недостаточно внимательной проверкой документов или сговором мошенников с сотрудниками. В этом случае ЭЦП вроде бы по закону выдается в аккредитованном центре, но вот кому она выдается — вопрос.

Поэтому один из самых важных шагов при получении электронной цифровой подписи — грамотный и ответственный выбор аккредитованного центра, в котором будет выдаваться ЭЦП. Ведь все эти центры отличаются друг от друга, и в одном подход к безопасности ЭЦП может кардинально отличаться от подхода в другом таком же центре.

Первостепенное требование к центру — наличие аккредитации органа исполнительной власти — Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации. Аккредитация позволяет рассматривать организацию как относительно надежную, соответствующую всем предъявляемым государственным требованиям. Однако это формальный критерий, поэтому следует обратить внимание на отзывы, хотя бы попытаться проверить, не уличали ли данную организацию в каких-либо чрезвычайных происшествиях, связанных с получением и использованием электронной цифровой подписи третьими лицами.

Кроме того, следует с большим подозрением относиться к тем удостоверяющим центрам, которые допускают возможность дистанционного предоставления электронной цифровой подписи, поскольку уже само по себе это обстоятельство свидетельствует о недостаточно ответственном подходе к данному вопросу со стороны удостоверяющего центра.

Следующий риск таится в плоскости специфики обращения с носителем закрытого ключа. Хранить закрытый ключ в тайне — обязанность владельца электронной цифровой подписи, что подчеркивается в ст. 10 Закона об электронной подписи.

Но далеко не все граждане, имеющие электронную цифровую подпись, соблюдают данное правило, и в результате возникают ситуации, когда ЭЦП оказывается в распоряжении недобросовестных лиц. Именно с предоставлением доступа к закрытому ключу электронной цифровой подписи третьим лицам и связана основная часть преступлений, совершаемых с использованием ЭЦП. Единственным способом избежать данного риска является повышение правовой грамотности населения, разъяснение гражданам всех возможных негативных последствий передачи своей электронной цифровой подписи третьим лицам.

Следующую группу рисков представляет воздействие внешних факторов, не связанное с обманным получением электронной цифровой подписи. Это хакерские атаки, в результате которых в руках злоумышленников оказываются базы данных и содержимое компьютеров как физических лиц, так и аккредитованных центров.

Получение доступа к ноутбуку или компьютеру владельца электронной цифровой подписи таит в себе угрозу похищения данных и цифровой подписи. В качестве профилактики данного риска необходимо соблюдать правила безопасного поведения в сети Интернет, включая отказ от перехода и блокирование подозрительных ссылок, внимательное отношение к используемым программам и USB-носителям, установку на компьютер современного и надежного антивируса.

Негативные последствия незаконного использования ЭЦП и способы защиты

В прошлом году многих потрясла история с мошенническим отъемом квартиры с помощью электронной цифровой подписи.

Мошенники переоформили квартиру на третье лицо без разрешения и ведома собственника жилой недвижимости. Гражданин узнал о том, что квартира ему не принадлежит, когда увидел другую фамилию в квитанции на оплату жилищно-коммунальных услуг. Обратившись в Росреестр, он получил информацию, что была проведена электронная сделка по передаче имущества, при этом нарушения законодательства отсутствовали.

В результате выяснилось, что была проведена сделка дарения на имя жителя г. Уфы посредством использования электронной цифровой подписи, которой и был заверен договор дарения. Как оказалось, хозяин квартиры не получал электронную подпись и носитель с ключами и сертификатом. Сделал это злоумышленник по поддельной доверенности, а затем, располагая паспортными данными владельца жилого помещения, оформил соответствующую сделку.

Правоохранительным органам удалось установить: организация, выдавшая электронную цифровую подпись, также была обманута мошенниками, представившими поддельную доверенность. Поскольку по Закону об электронной подписи, в редакции, действующей до 01.07.2020, выдача ЭЦП могла осуществляться по доверенности, нарушений в выдаче электронной подписи в организации не увидели. При этом в законе ничего не говорилось о необходимости нотариального заверения доверенности. Мошенники используют довольно простой способ получения электронной подписи на чужое имя, которым они и воспользовались в данном случае — представили поддельную доверенность, которая не была нотариально удостоверена.

Теперь в соответствии с поправками от 1 июля 2020 г. получение ЭЦП нельзя доверить никому — ее можно получить только лично (ч. 1 ст. 18 Федерального закона № 63-ФЗ).

Предусматривается несколько способов получения ЭЦП:

  • лично в удостоверяющем центре (нужен документ, удостоверяющий личность);

  • с помощью действующего сертификата дистанционно (только при помощи квалифицированной электронной подписи — КЭП);

  • используя биометрические данные (из загранпаспорта или Единой биометрической системы). Данные из системы при этом передаются в зашифрованном виде с использованием средств криптографической защиты. Если физическое лицо, обратившееся за получением ЭЦП, отказывается от средств шифрования, то УЦ обязан отказать ему в выдаче подписи.

Кроме этого, с 01.07.2020 при обращении в удостоверяющий центр необходимо представлять документ, подтверждающий право руководителя действовать от имени юридического лица без доверенности (заверенную копию решения/протокола (выписки из протокола) о назначении на должность).

Что касается нотариального заверения, то оно часто рассматривается в качестве основного инструмента при обеспечении безопасности сделок. Действительно, подделать нотариально заверенную доверенность гораздо сложнее, чем простую письменную доверенность, хотя мы должны понимать, что существует возможность подделки фактически любого документа, и нотариальные документы — не исключение. В то же время наличие нотариального удостоверения доверенности — дополнительный способ обезопасить любые действия, осуществляемые по доверенности.

Противники обязательного нотариального удостоверения доверенностей отмечают, что запрет на выпуск сертификатов и ключей электронной цифровой подписи для юридических лиц без нотариально заверенной доверенности приведет к значительному усложнению повседневной деятельности коммерческих организаций и индивидуальных предпринимателей.

В то же время существуют определенные механизмы, позволяющие свести к минимуму риски использования поддельных доверенностей, в том числе при использовании электронной цифровой подписи.

В частности, чтобы обезопасить себя от такой ситуации, в которой объект недвижимости будет продан подставным лицом по доверенности, нужно подать в Росреестр специальное заявление о запрете проведения любых сделок с недвижимостью гражданина без его личного участия (ст. 36 Федерального закона от 13.07.2015 № 218-ФЗ «О государственной регистрации недвижимости»). Как только в Росреестр попадает такое заявление, в ЕГРН вносится специальная запись, в которой подчеркивается, что даже лицо, имеющее нотариальную доверенность от собственника, не имеет права проводить никакие операции с недвижимостью без личного присутствия собственника. Такое заявление подается в личном кабинете Росреестра, а также в любом многофункциональном центре, при этом данная услуга предоставляется бесплатно, а соответствующая запись в ЕГРН появляется уже в течение пяти дней после принятия заявления.

Для того чтобы использовать при оформлении сделок с недвижимостью ЭЦП, по общему правилу, установленному Федеральным законом от 13.07.2015 № 218-ФЗ «О государственной регистрации недвижимости», для перехода права собственности на недвижимость по документам, подписанным квалифицированной электронной подписью, необходимо, чтобы собственник предварительно предоставил в ЕГРН заявление о возможности регистрации перехода прав на основании документов, подписанных усиленной квалифицированной электронной подписью, иначе в регистрации откажут (ст. 36.2).

Аналогичное заявление, только в территориальное подразделение налогового органа, занимающегося регистрацией юридических лиц, можно подать для предотвращения возможной регистрации юридического лица, должности генерального директора или учредителя по электронной цифровой подписи. В этом случае гражданин может обезопасить себя от рисков, связанных с открытием или закрытием бизнеса, его продажей или покупкой, назначением на должность генерального директора и иных рисков.

***

Таким образом, необходимо отметить, что электронная цифровая подпись является неотъемлемым атрибутом современного общества, значительно облегчающим документооборот и для юридических, и для физических лиц. Вместе с тем электронная цифровая подпись таит определенные риски. По нашему мнению, государству следует усиливать работу в направлении повышения безопасности и защищенности электронной цифровой подписи, например, с помощью использования биометрических данных, ужесточения требований при ее предоставлении.

Вместе с тем нельзя отрицать и важность повышения ответственности самих граждан, обладающих электронной цифровой подписью. Внимательность, ответственность и недоверие к сомнительным сделкам и предложениям являются первоочередной гарантией профилактики любых негативных последствий, связанных с использованием электронной цифровой подписи.


Принять к сведению

По смыслу п. 2 ст. 6 Федерального закона № 63-ФЗ информация в электронной форме, подписанная простой электронной подписью или неквалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, в случаях, установленных федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или соглашением между участниками электронного взаимодействия. Нормативные правовые акты и соглашения между участниками электронного взаи­модействия, устанавливающие случаи признания электронных документов, подписанных неквалифицированной электронной подписью, равнозначными документам на бумажных носителях, подписанным собственноручной подписью, должны предусматривать порядок проверки электронной подписи. Нормативные правовые акты и соглашения между участниками электронного взаимодействия, устанавливающие случаи признания электронных документов, подписанных простой электронной подписью, равнозначными документам на бумажных носителях, подписанным собственноручной подписью, должны соответствовать требованиям ст. 9 Федерального закона № 63-ФЗ (постановление Арбитражного суда Центрального округа от 21 октября 2020 г. № Ф10-3463/20 по делу № А54-77/2019).