Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Электронная подпись: безопасное использование и предотвращение рисков». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Необходимость в передаче подписи возникает довольно часто. Иногда руководитель делегирует обязанность по изменению документов своему подчиненному. В статье 2 ФЗ №63 указано, что электронная подпись служит идентификации ее владельца. Если ЭП передается постороннему лицу, смысл ее просто утрачивается, так как лицо, использующее подпись, невозможно идентифицировать.
Можно ли передать квалифицированную подпись?
В статье 10 ФЗ №63 прописано, что владелец обязан обеспечить конфиденциальность ЭП. При передаче происходит утрата конфиденциальности. Это утечка сведений. Если доступ к подписи получило другое лицо, ее владелец должен направить соответствующее уведомление в удостоверяющий центр. Одновременно с уведомлением нужно прекратить использование ЭП. Из всего этого можно сделать вывод о том, что передача является незаконной даже в том случае, если руководитель оформил доверенность.
Ответственность за присвоение чужой электронной подписи
К сожалению, на практике нередки ситуации, когда недобросовестные сотрудники подделывают документы в выгодную для себя сторону, используя ЭЦП директора. Арбитражный суд по такому делу имеет свои нюансы. Законный владелец не имеет права обвинять ответчика в использовании ЭЦП без его ведома, поскольку сама эта ситуация будет расценена судом как небрежность и недосмотр истца. Законодательством запрещено передавать ключ другому лицу, и виноватым на практике оказывается его владелец. Если бумаги, оформленные с помощью чужой ЭЦП, использовались в противоправных целях, вина тоже будет лежать на руководителе. Сам факт передачи не подразумевает никакого административного или уголовного наказания — его могут повлечь только противоправные действия, которые за этим последовали.
Однако если использование ключа было сопряжено с уголовно наказуемыми действиями — финансовыми махинациями, хищениями и т. п. — ситуация меняется. В этом случае иск становится оправданным, если владельцу удастся подтвердить свое неведение относительно несанкционированного применения ЭЦП. Дальнейшее разбирательство ведется в соответствии с нормами Уголовного кодекса.
Плюсы электронной подписи
Электронная подпись задумана как специальный блок цифровой информации для идентификации человека без его непосредственного присутствия. ЭП бывает для физических и юридических лиц, имеет разные степени защиты и сферы применения. Ею можно подписывать различные электронные документы.
Приобрести простую электронную подпись можно, подав заявку на портале Госуслуг. ЭП уменьшит бумажную волокиту. Например, позволит удаленно подать заявление о смене паспорта.
Можно оформить усиленную квалифицированную электронную подпись (КЭП) и получить весь спектр возможностей на сайтах Госуслуг, Росреестра, ИФНС. Выдать ее может только аккредитованный удостоверяющий центр. И мошенники стремятся заполучить именно ее.
Безопасно ли использовать электронную подпись?
Для генерации ЭП используют средства криптографической защиты с хеш-функциями. Заявитель получает на руки закрытый ключ, который должен оберегать от посторонних, как и пароль доступа к нему.
Взломать электронную подпись и ключ к ней невозможно: механизм усиленной криптозащиты многоуровневый и слишком сложный. Единственная угроза, которая подстерегает вас, – физическая потеря секретного ключа или пароля к нему. Справедливости ради вспомним, что от этого не застрахованы и владельцы банковских карт, тем не менее мало кто по этой причине отказывается от услуг финансовых учреждений.
Мы настоятельно рекомендуем обеспечить надежное место для хранения ключа, и это должен быть отнюдь не жесткий диск компьютера или обычный флэш-накопитель.
Для этой цели оптимально подходят специализированные программно-аппаратные хранилища, например e-Token и Rutoken. От обычных «флэшек» такие USB-брелоки или смарт-карты отличаются тем, что доступ к ним возможен только по пин-коду.
После трехкратного неверного введения брелок или карта блокируются. Все операции проводятся в памяти накопителя, что полностью исключает перехват.
Token защищает ЭП от вирусов, случайного удаления и перезаписи. Именно его вы сможете использовать в качестве персонального средства аутентификации, например, в системе электронного документооборота или для авторизации на любом компьютере.
Чтобы вашу электронную подпись не подделали, соблюдайте правила ее хранения
Даже если вы потеряете носитель с ключом, ничего страшного не случится. По правилам, вы обязаны сообщить об этом в удостоверяющий центр и отозвать сертификат, как и при утере банковской карты. За это время воспользоваться ключом, не зная пин-кода к нему, никому не удастся.
Минкомсвязи разработало поправки о наказании за подделку электронной подписи
Контекст
Подаваемые в электронном виде документы должны быть заверены подписью – ВС
МОСКВА, 5 сен — РАПСИ.
Министерство цифрового развития, связи и массовых коммуникаций РФ разработало поправки в Уголовный кодекс (УК) РФ и Кодекс РФ об административных правонарушениях (КоАП РФ) об установлении ответственности за подделку электронной подписи. Текст документа размещен на федеральном портале проектов нормативных правовых актов.
Законопроект, как отмечает министерство, разработан из-за участившихся случаев создания и использования усиленной квалифицированной электронной подписи без ведома владельца.
Кроме того, внести изменения предлагается в закон «Об электронной подписи», установив, в частности, единые требования к использованию усиленной квалифицированной электронной подписи.
Так, УК РФ министерство предлагает дополнить статьей 200.6 «Умышленное нарушение обязанностей, предусмотренных законодательством Российской Федерации в области электронной подписи».
Согласно новой норме, за умышленное нарушение должностным лицом аккредитованного удостоверяющего центра порядка выдачи квалифицированного сертификата ключа проверки электронной подписи будет грозить наказание в виде штрафа в размере до 300 тысяч рублей, обязательных работ на срок до 480 часов, исправительных работ на срок до 2 лет или лишения права занимать определенные должности на срок до 3 лет.
Кроме того, уголовное наказание предлагается установить за умышленную выдачу таким должностным лицом квалифицированного сертификата, содержащего заведомо недостоверную информацию о его владельце. Максимальное наказание за данное преступление будет установлено в виде лишения свободы на срок до 5 лет.
Такое же наказание предлагается установить и за умышленное нарушение должностным лицом порядка хранения ключа электронной подписи, а также порядка создания электронной подписи при помощи указанного ключа по поручению владельца квалифицированного сертификата.
Помимо этого, согласно поправкам КоАП РФ, для аккредитованных удостоверяющих центров будет установлен штраф в размере от 400 до 500 тысяч рублей за нарушение порядка хранения и создания ключа электронной подписи.
А за отказ должностным лицом принимать электронные документы, подписанные квалифицированной электронной подписью, соответствующей предъявляемым к ней требованиям, штраф может составить от 30 тысяч до 50 тысяч рублей.
Что происходит на практике
Так, даже Минкомсвязи, уполномоченный орган в сфере использования ЭП , не видит проблемы в передаче электронной подписи, оформленной на одно лицо, другому лицу. Пресс-служба ведомства сообщила нам следующее.
Из авторитетных источников
Пресс-служба Минкомсвязи
«Участники электронного взаимодействия обязаны не допускать использования принадлежащих им ключей электронной подписи без их согласия . То есть в принципе использование ключа ЭП, принадлежащего одному лицу, другим лицом допускается, прямого запрета на это в законе нет.
При этом передавать сертификат ключа проверки электронной подписи другому сотруднику организации можно исключительно в случае наделения его полномочиями действовать от имени компании в том же объеме, что и сотрудник — владелец квалифицированного сертификата. Предоставление полномочий оформляется приказом руководителя организации, также необходимо получить согласие владельца сертификата ключа проверки на использование этого сертификата другим лицом».
Довольно неприятные последствия использования чужой ЭП могут быть у организаций, участвующих в госзакупках. В судебной практике есть случай, когда ООО в результате на 2 года оказалось в реестре недобросовестных поставщиков. А дело было так: генеральный директор подписал госконтракт по результатам открытого аукциона электронной подписью своего предшественника (собственную ЭП на момент подписания ему не успели оформить). Когда сведения о дате назначения нового директора появились на сайте электронной торговой площадки, нестыковку заметил заказчик. Он направил жалобу в УФАС, указав, что контракт подписан неуполномоченным лицом. В результате антимонопольщики пришли к выводу о том, что ООО уклонялось от заключения госконтракта, и наказали организацию .
Постановление ФАС ЦО от 05.03.2012 N А23-2637/2011.
Можно ли передать квалифицированную подпись?
Необходимость в передаче подписи возникает довольно часто. Иногда руководитель делегирует обязанность по изменению документов своему подчиненному. В статье 2 ФЗ №63 указано, что электронная подпись служит идентификации ее владельца. Если ЭЦП передается постороннему лицу, смысл ее просто утрачивается, так как лицо, использующее подпись, невозможно идентифицировать.
В статье 10 ФЗ №63 прописано, что владелец обязан обеспечить конфиденциальность ЭЦП. При передаче происходит утрата конфиденциальности. Это утечка сведений. Если доступ к подписи получило другое лицо, ее владелец должен направить соответствующее уведомление в удостоверяющий центр. Одновременно с уведомлением нужно прекратить использование ЭЦП. Из всего этого можно сделать вывод о том, что передача является незаконной даже в том случае, если руководитель оформил доверенность.
Сначала заявление, потом подпись
Для того, чтобы передать права на помещение дистанционно, с помощью цифровой подписи, владелец должен подать в регистрационный орган письменное заявление, где даст согласие на проведение подобных сделок. После этого в Едином государственном реестре недвижимости появится отметка, которая позволит удаленное подписание договоров. Процедура занимает до пяти рабочих дней.
Если два участника сделки подадут все необходимые документы, заверенные электронными подписями, но владелец помещения не напишет заявление, то бумаги вернут обратно. После подачи заявления его можно отозвать в любой момент, и дистанционное заключение сделок снова станет невозможным.
Ранее использовать электронную подпись для операций с недвижимостью можно было по умолчанию. От участников удаленной передачи прав на помещение не требовалось в письменном виде отправлять заявление: оно было необходимо лишь в том случае, если владелец жилья хотел запретить подписание договоров своей электронной подписью.
Можно ли передавать ЭЦП другому лицу?
Электронная подпись — это аналог собственноручной подписи. Поэтому передать ЭЦП другому лицу нельзя. Это противоречило бы закону № 63-ФЗ, который утверждает, что ЭЦП должна идентифицировать владельца. Передача ЭЦП запрещена, но процесс предоставления прав на применение ЭЦП доверенным лицом не регламентируется.
По 63-ФЗ участники электронного взаимодействия могут использовать ЭЦП любого типа на своё усмотрение. Участники электронного взаимодействия должны обеспечить конфиденциальность: владелец подписи отвечает за сохранность ключей подписи и следит, чтобы ЭЦП не применялась без его согласия. Если электронная подпись использована без ведома владельца, ответственность за последствия несет владелец. Однако по 63-ФЗ использование чужой ЭЦП уполномоченными лицами не запрещено.
Если сотрудник получает ЭЦП от другого лица: последствия
Работники предприятий часто пользуются цифровой подписью директора. Бухгалтерия визирует с ее помощью электронные отчеты, юристы — документы для передачи в суд. Чем больше людей имеют доступ к ключам, тем выше риск столкнуться с проблемами.
Если сотрудник заверил не те документы или использовал сертификат в личных целях, владельцу подписи будет сложно доказать свою непричастность к этим действиям.
Цифровая подпись тождественна собственноручной оригинальной подписи, используемый в пространстве электронного документооборота. Передачи ЭЦП третьим лицам запрещена, и противоречит основному ФЗ-63. Основное положение этого законопроекта — электронная цифровая подпись идентифицирует своего владельца.
Однако при необходимости можно составить акт передачи электронной подписи, который должен соответствовать положениям федерального закона. По ФЗ-63 все участники ЭДО имеют право использовать электронную подпись любого типа, но обязаны обеспечить конфиденциальность. За сохранность подписи и область применения реквизита отвечает ее владелец. В случае возникновения спорных ситуаций такой документ будет иметь юридическую силу. Доверенность, составленная в устной форме между сотрудниками компании, при решении вопросов в судебном порядке иметь юридическую силу не будет.
Ответственность за применение чужой подписи
Ни в УК, ни в КоАП не содержатся нормы относительно ответственности за применение сторонней ЭЦП. Но это вовсе не свидетельствует о том, что такие действия полностью безнаказанны.
Рассмотрим ответственность на примере. Лицо взяло подпись своего руководителя, вошло в электронную систему и получило от своих действий финансовую выгоду. Например, сотрудник заключил соглашение, благодаря которому он извлек прибыль. В рассматриваемой ситуации руководитель может обвинить лицо в мошенничестве. Ответственность за подобные действия накладывается на основании статьи 159 УК РФ. Эта статья предполагает наказание за хищение чужой собственности или получение прав на чужое имущество посредством обмана или злоупотребления доверием. Незаконное использование подписи попадает под действие этого нормативного акта. Однако подобные дела имеют свои сложности. В частности, руководителю нужно доказать, что сотрудник получил ЭЦП незаконно.
Рассмотрим другой пример. Руководитель передал право на использование подписи на основании доверенности своему сотруднику. Подчиненный, используя ЭЦП, исполнил незаконные действия. В этом случае руководителю необходимо подтвердить, что подпись использовал не он. Сделать это практически невозможно, так как незаконное действие обычно выполняется без свидетелей и через ПК. Если руководитель не предоставил достоверных доказательств своей правоты, наказываться будет именно он.
Рекомендации руководителю
На практике руководитель может передать своему сотруднику подпись любого вида. Каких-либо сложностей эта процедура не вызывает. Однако подобное мероприятие все равно является незаконным. Передавать ЭЦП не рекомендуется. Связаны эти ограничения с тем, что, если сотрудник выполнит какие-либо неправильные действия, отвечать за это будет руководитель. Даже если есть документ, подтверждающий передачу подписи, при добровольном предоставлении к ответственности подчиненного привлечь не получится.
Что делать, если руководитель часто делегирует функции по работе с документами своим подчиненным? Имеет смысл оформить отдельную электронную подпись для сотрудника. Сделать это достаточно просто. В этом случае сотрудник будет самостоятельно нести ответственность за свои действия. То есть руководитель избегает рисков.
К СВЕДЕНИЮ! В законе не дано однозначного запрета на передачу подписи. По сути, решением этого вопроса занимается сам владелец ЭЦП. Единственное косвенное ограничение – это само определение и назначение подписи. Она нужна для идентификации определенного человека.
Можно ли передать ЭЦП другому лицу
Процедура перевыпуска ЭП выполняется не позднее 1 месяца, чтобы к окончанию срока действия предыдущего ключа выпустить новый.
В: Ответственное за ЭП лицо уволилось, может ли его подписью пользоваться другой человек?
О: Использовать данную электронную подпись не допускается, Вы можете понести административную и уголовную ответственность. Необходимо отозвать сертификат ключа проверки электронной подписи уволившегося сотрудника и провести перевыпуск сертификата ЭП на действующего сотрудника.
В: Ключ ЭП был утерян/украден
О: В данной ситуации Вы должны немедленно отозвать сертификат. Позвонить в офис удостоверяющего центра и написать заявление на отзыв (аннулирование) сертификата подписи.
В: Почему неограниченная лицензия КриптоПро не работает?
О: Потому что неограниченная лицензия КриптоПро рассчитана на одну версию КриптоПро, при выходе новой версии КриптоПро данная лицензия перестает действовать и необходимо приобретать новую лицензию. Исходя из этого, лучше приобретать лицензию сроком на 1 год, так как даже при выходе новой версии КриптоПро в течение срока действия данная лицензия будет актуальна.
В: Можно ли получить ЭП на физическое лицо?
О: Да, можно. Для этого необходимо пройти процедуру оформления электронной подписи, аналогичную юридическим лицам и индивидуальным предпринимателям, предоставить пакет документов (паспорт, свидетельство ИНН, СНИЛИС, заявление) и оплатить счет на изготовление ЭП.
В: Не работает ЭП в Microsoft Word 2010
О: Если у Вас Microsoft Word 2010 года, то необходимо приобрести лицензию на право использования КриптоПро Office Signature.
В: Можно ли записать ЭП на дискету или другие носители?
О: Нет. Так как ЭП записывается на специальный сертифицированный защищенный носитель ключа.
В: Можно ли начать участвовать в электронном аукционе с одной ЭП, а продолжить с другой ЭП?
О: Можно. Для этого необходимо добавить нового пользователя на электронной торговой площадке или новый сертификат ключа проверки электронной подписи (если владелец подписи не изменился).
В: Не работает ЭП на компьютере, на котором установлен «Банк — клиент»
О: У программы КриптоПро CSP и «Банк-клиент» схожи методы шифрования. Поэтому может возникнуть конфликт программ. Рекомендуется устанавливать ЭП на компьютер, на котором не установлен Банк — клиент.
В: У меня есть ЭП, могу ли я с ней участвовать в электронном аукционе от имени другой организации?
О: Нет. ЭП выдается на определенную организацию, для участия в аукционах данная организация должна получить аккредитацию на электронной торговой площадке, соответственно с ЭП другой организации не будет возможности зайти в личный кабинет на электронной торговой площадке, подать ценовое предложение, подписать контракт. Также ЭП равнозначна собственноручной подписи, то есть фактически будет следовать, что от имени организации — участника размещения заказа подписывается и ставит печать другая организация.
В: Можно ли установить одну ЭП на несколько компьютеров?
О: Да, можно. Для этого на всех компьютерах должно быть установлено программное обеспечение для ЭП, включая программу КриптоПро, при этом лицензия на использование данной программы приобретается на каждое рабочее место.
В: Сколько стоит ЭП?
О: В зависимости от назначения электронной подписи изготовления сертификата составляет от 2000 рублей.
В: Где применяются ЭП?
Электронные подписи могут использоваться для:
- участия в электронных торгах на федеральных и коммерческих электронных торговых площадках;
- Заказчиков в соответствии с ФЗ от 18.07.2011г. № 223-ФЗ«О закупках товаров, работ, услуг отдельными видами юридических лиц»;
- электронного документооборота с государственными органами: с ФНС, ФСТ, ФТС, ФСС, Росстат, Росимущество, Росреестр, Росалкогольрегулирование, Росфинмониторинг, Роспатент, Росприродназор, Банк России;
- обмена информацией между юридическими и/или физическими лицами в электронном виде, а также для документооборота внутри корпоративной системы;
- доступа к АИС «Электронный работодатель»;
- операторов связи с целью выгрузки доменных имен в Единый реестр;
- работы в Едином федеральном реестре сведений о фактах деятельности юридических лиц;
- передачи информации органам местного самоуправления, организациям, работающим в сфере ЖКХ;
- подписания регламентной отчетности, сдаваемой страховыми компаниями в НССО;
- работы в ЕГАИС;
- передачи сведений в систему маркировки изделий из натурального меха;
- иных сфер применения.
В: Можно ли использовать ЭП, выпущенную для налоговой отчетности, для электронных торгов?
О: Нет. ЭП, изготовленная для налоговой отчетности, не применяется электронными торговыми площадками. При изготовлении ЭП вы сами выбираете, где вы будете использовать ЭП, если необходима подпись для участия в торгах и отправки документов в ФНС, то соответственно подписи выпускаются отдельно по каждому направлению.
В: Может ли один человек иметь несколько ЭП?
Передача ЭЦП другому лицу не предусмотрена законодательством.
При использовании усиленных электронных подписей участники электронного взаимодействия обязаны в том числе обеспечивать конфиденциальность ключей электронных подписей, в частности не допускать использование принадлежащих им ключей электронных подписей без их согласия (п. 1 ст. 10 Закона № 63-ФЗ). При этом, данная норма предполагает не передачу права использования усиленной электронной подписи другому лицу на основании какого-либо распорядительного документа либо доверенности (ст. 185 ГК РФ), а только указывает на техническую возможность простановки электронной подписи другим лицом (например, техническим специалистом) с согласия и под контролем владельца сертификата ключа проверки электронной подписи. Электронная подпись является аналогом собственноручной подписи, ответственность за исполнение которой лежит на её владельце. Непосредственно же передачу права использования ЭЦП от её владельца иному лицу Закон № 63-ФЗ не предполагает.
Обоснование данной позиции приведено ниже в материалах «Системы Юрист» .
ФЕДЕРАЛЬНЫЙ ЗАКОН ОТ 06.04.2011 № 63-ФЗ
«Статья 10. Обязанности участников электронного взаимодействия при использовании усиленных электронных подписей
При использовании усиленных электронных подписей участники электронного взаимодействия обязаны:
1) обеспечивать конфиденциальность ключей электронных подписей, в частности не допускать использование принадлежащих им ключей электронных подписей без их согласия*;
2) уведомлять удостоверяющий центр, выдавший сертификат ключа проверки электронной подписи, и иных участников электронного взаимодействия о нарушении конфиденциальности ключа электронной подписи в течение не более чем одного рабочего дня со дня получения информации о таком нарушении;
3) не использовать ключ электронной подписи при наличии оснований полагать, что конфиденциальность данного ключа нарушена;
4) использовать для создания и проверки квалифицированных электронных подписей, создания ключей квалифицированных электронных подписей и ключей их проверки средства электронной подписи, имеющие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом».
Выпуск ЭЦП не бесплатен, поэтому ситуация, когда несколько сотрудников используют один экземпляр ЭЦП — явление распространенное. Более того, во многих организациях это даже оформляют документально в виде приказа.
Насколько это законно и каковы последствия таких действий? Для этого сначала определимся, кто вы в компании: