Выпуск электронной подписи без личного присутствия заявителя нарушает закон

Как выглядит ЭЦП на документе

Электронная подпись представляет собой уникальную последовательностиь символов. Она выступает в роли обязательного реквизита, проставляемого на официальных электронных документах. Для формирования подписи используются надежные криптографические методы и математические вычисления, а программное обеспечение имеет сертификацию ФСБ.

Существует 3 вида ЭЦП:

• простая;
• неквалифицированная;
• квалифицированная.

Простая электронная подпись (ПЭП) — это код или пароль, созданный системой, и отправленный на телефон или на электронный адрес пользователя. Обычно используется на сайтах для подтверждения действия. Неквалифицированная подпись (НЭП) отличается тем, что требует подтверждения личности клиента, и формируется при помощи криптографического преобразования.

Самая надежная — квалифицированная цифровая подпись (КЭП). Она подтверждается сертификатом проверки, имеет закрытый и открытый ключ, и наделяет документ полной юридической силой.

Сертификат ключа — это файл с расширением .crt, содержащий информацию о владельце, отпечаток сертификата и сроки действия подписи.

Электронная подпись на документе выглядит как:

• последовательность букв или цифр, которая соответствует ключу, указанному в сертификате;
• графическая картинка или штамп с указанием подписи владельца сертификата.

Самой надежной является невидимая ЭП, которая визуально не определяется. Она применяется при составлении документов MS Word, Excel, и генерируется автоматически. Установить ее наличие можно по отметке, которая появляется в графе «состояние».

Примером того, как выглядит усиленная квалифицированная электронная цифровая подпись, является выписка ЕГРЮЛ, заверенная ФНС. Подпись тут представляет собой печать с указанием номера сертификата, владельца, срока действия ЭП.

Что такое штамп времени

Согласно ГОСТу Р-7.0.97-2016 от 1.07.2018 г. в форме электронной подписи должна содержаться новая форма с атрибутом «отметка об электронной подписи». Она обязательна для любого ЭД при его визуализации, сканировании или на печати в том месте, где обычно подпись проставляется на бумаге от руки.

Отметку ставят на документе, подписанном электронной подписью, который представляет собой:

• распечатку электронного контракта;
• распечатку протокола рассмотрения заявок и их оценку для участия в торгах на ЭТП;
• ответы на запросы контролирующих органов.

Штамп электронной подписи обязательно включает такие реквизиты, как:

• номер сертификата ключа подписи;
• ФИО владельца ЭЦП;
• срок окончания действия сертификата;
• фразу о том, что документ подписан ЭП.

По требованиям стандарта отметка об электронной подписи должна быть читаемой, а ее элементы не должны пересекаться или накладываться друг на друга.

Клиенты системы КриптоПро TSP могут дополнительно получать штампы времени. В роли подписанных данных выступает значение хэш-функции и время проставления штампа. Реквизит связан с ЭД, на который он выдан, и обеспечивает его целостность.

Для выдачи штампом и реализации сервиса на базе КриптоПро необходимо создать отдельный сервер TSP и добавить КриптоПро TSP Client в ПО рабочего места.

Преимущество штампа времени:

• фиксация времени создания ЭД;
• фиксация времени формирования ЭЦП;
• фиксация времени проведения операции по обработке ЭД;
• долговременное хранение ЭД (даже после истечения срока действия сертификата ЭП пользователя).

Работа с протоколом TSP проста, и основывается на взаимодействии с сервером по типу «запрос-ответ». Пользователь создает запрос, посылая его серверу, и получает ответ, в котором содержится сформированный штамп времени. Если произошла ошибка, то вместо штампа в ответе будет указан код ошибки.

Как подписать документ ЭЦП

Не нужно обладать какими-то специальными знаниями, чтобы подписать документ посредством электронной подписи.

Любой пользователь ЭЦП имеет сгенерированные открытый и закрытый ключи. Они зарегистрированы и хранятся под надежной защитой Удостоверяющего центра. Все что вам остается — это установить на своём компьютере специализированное программное обеспечение, а именно:

• Программный комплекс Крипто-Про CSP
• Корневой сертификат Удостоверяющего центра
• Личный сертификат владельца ЭЦП

Установка КриптоПро CSP с поддержкой Rutoken

Внимание: eсли модуль поддержки «КриптоПро CSP» уже был установлен на компьютер ранее, его следует удалить.

В начале установки выберите версию программы из ряда предложенных. В частности, для установки решения «Rutoken для КриптоПро CSP» необходимо запустить соответствующую инсталляционную версию.

Нажмите «Далее», а затем кнопку «Установить».

Внимание! Отключите rutoken на время установки.

После установки Вам будет предложено перезагрузить операционную систему. Обязательно выполните перезагрузку, прежде чем продолжать работу.

Обязательно или нет соблюдение ГОСТа

Существует ГОСТ для электронной подписи. В едином реестре он числится под номером 7.0.97-2016. Стандарт содержит правила формирования документов как в бумажном, так и в электронном виде, и рассматривает такие вопросы, как:

• расположение на носителе необходимых реквизитов;
• требования к созданию и оформлению ЭД, включая использование ИТ.

Правила ГОСТа регулируются статьей 26 ФЗ 162 от 29.06.2015 г. В статье 6 ФЗ 162 предусмотрена обязательность применения документов по стандартизации для оборонной продукции, гос. заказов товаров и услуг, используемых для защиты данных, а также для обеспечения информации, касающейся атомной энергии и т.п.

Квалифицированные сертификаты ключа проверки электронной подписи (далее – квалифицированные сертификаты) выпускают удостоверяющие центры (далее – УЦ). Их деятельность можно отнести к направлению legal tech. Отчасти можно даже говорить, что они выполняют нотариальную функцию в цифровой форме. Выдача пользователю электронной подписи по сути является предоставлением инструмента для юридического самообслуживания, исключающего необходимость обращения к нотариусу.

В связи с этим, соблюдение требований Федерального закона от 6 апреля 2011 г. № 63-ФЗ “Об электронной подписи” (далее — Закон № 63-ФЗ) и других нормативных актов в части удостоверения личности заявителя на получение электронной подписи в процессе ее выдачи приобретает для УЦ особую важность. По существу, именно это его главная целевая функция.

Сегодня можно говорить о том, что IT-функции в деятельности УЦ преобладают над его юридической сущностью. В ряде случаев УЦ делают выбор в пользу предоставления заявителю “максимальных удобств”, нарушая тем самым действующее законодательство и критически снижая уровень информационной безопасности.

Смещение баланса в сторону удобства выражается в том, что клиенту предлагают “дистанционный выпуск квалифицированного сертификата без личного контакта заявителя и сотрудника регистрационного отдела УЦ”. Оформление электронной подписи производится на основании документов заявителя, представленных через интернет, в некоторых случаях подписанных действующим квалифицированным сертификатом другого лица (например, руководителя организации, главного бухгалтера, доверенного лица и т. д.).

На первый взгляд, такие действия выглядят логичными в свете развития современных технологий, призванными ускорить процесс оформления и выдачи электронной подписи, облегчить клиентский сервис и сократить затраты. Но фактически, пользуясь данным способом, УЦ оказывает “медвежью услугу” гражданам, создает риски получения “чужой” электронной подписи третьими лицами, зачастую в преступных интересах.

При “удаленном обслуживании” очевидны сомнения в надлежащем соблюдении процедуры удостоверения личности. Возникают вопросы: действительно ли заявителем является человек, на которого будет оформлен квалифицированный сертификат? Кто и для каких целей впоследствии сможет использовать выданную электронную подпись, если личность заявителя не подтверждена?

Потеря юридической значимости ЭП

Официальный документ имеет юридическую силу и юридическую значимость. Первый термин означает, что документ обладает правовыми последствиями. Значимость — это подтверждение деловой деятельности.

Федеральный закон об электронной подписи определяет, что в ЭДО документ заверяется при помощи специальных технологий и ЭП. Чтобы обладать юридической силой и служить доказательством действия, ЭД должен обладать следующими реквизитами:

• названием;
• номером;
• указанием ФИО автора подписи, названием фирмы и человека, имеющего право на подписание;
• дату составления;
• подпись.

Также закон прописывает три вида ЭП, характеристики каждой из них, юридическую силу, способ получения и сроки действия. Согласно законопроекту юридической силой обладают только документы, подписанные квалифицированной электронной подписью. НЭП наделяет ЭД юридической силой, если отдельно имеется соглашение между участниками ЭДО.

Юридическую силу теряет ЭЦП в следующих случаях:

• подпись поставлена лицом, не имеющим право действовать от собственного имени или от имени организации;
• в ЭД указаны не все обязательные реквизиты;
• не соблюден формат и способ передачи ЭД;
• сертификат утратит силу на момент подписания или проверки ЭД;
• ЭП использована с нарушением сведений, указанных в сертификате.

В договоренности между участниками ЭДО прописываются требования о признании равнозначности документов с ЭП и на бумажных носителях, и их нарушение также ведет к потере юридической значимости документа. Обычно к ним относят:

• обязательную отправку ЭД с надежного почтового ящика, доступ к которому имеется лишь у владельца подписи;
• открытый ключ должен прилагаться в письме;
• почтовый сервис должен иметь ограниченный доступ.

Эти же условия используются и для корпоративной ЭЦП. Работа с публичными почтовыми сервисами снижает юридическую силу простой подписи, и делает ее невозможным ее использования для заверения документации.

Проверка электронной подписи

Электронная подпись является аналогом собственноручной подписи. Ответственность за ее применение лежит на том лице, на которое она была оформлена. Закон № 63-ФЗ не предполагает передачу права использования электронной подписи от ее владельца иному лицу.

При использовании усиленных электронных подписей участники электронного взаимодействия обязаны обеспечивать конфиденциальность ключей электронных подписей и в частности не допускать использование принадлежащих им ключей без их согласия. В случае нарушения конфиденциальности ключа владелец обязан уведомить УЦ, выдавший сертификат ключа проверки электронной подписи, и иных участников электронного взаимодействия в течение не более чем одного рабочего дня со дня получения информации о таком нарушении (ст. 10 Закона № 63-ФЗ).

Использование электронной подписи другими лицами без ведома номинального владельца не освобождает его от ответственности за неблагоприятные последствия, наступившие в результате такого использования (пост. Пятого арбитражного апелляционного суда от 14 марта 2016 г. № 05АП-1119/16; пост. Пятнадцатого арбитражного апелляционного суда от 1 марта 2016 г. № 15АП-1132/16; пост. Ленинского районного суда г. Владивостока Приморского края от 8 декабря 2014 г. по делу № 5-1087/2014).

Что касается последствий для УЦ, то в случае получения информации о нарушениях им Закона № 63-ФЗ Минкомсвязь России может провести его внеплановую проверку (ч. 7.2 ст. 16 Закона № 63-ФЗ) и выдать предписания об устранении нарушений в установленный срок и приостановить действие его аккредитации (ч. 7 ст. 16 Закона № 63-ФЗ).

Рекомендуем вам внимательно подходить к выбору УЦ, в котором вы будете получать электронную подпись. Прежде чем направить туда сканы запрашиваемых документов убедитесь, что такому УЦ можно доверять. Лучшим признаком добросовестности УЦ будет приглашение от него лично прийти и собственноручно подписать заявление на выпуск квалифицированного сертификата.

Это может показаться менее удобным, чем сделать все дистанционно, но такое разовое дополнительное действие обеспечит вам спокойствие в будущем. УЦ, надежно работающий с документами, предъявляет указанные выше требования ко всем получателям электронной подписи, бережно хранит ваши данные. А значит, можно рассчитывать на то, что он не позволит повторно выпустить сертификат на ваше имя без вашего ведома.

Проверка ЭЦПвыполняется получателем защищённого электронного документа. Для проверки используется открытый ключ отправителя. Получатель может получить его из справочника или из самого защищённого документа (из данных ЭЦП).

В ходе проверки программный модуль устанавливает, в действительности ли подпись соответствует документу и открытому ключу. Проверка даст отрицательный результат, если в открытый ключ или документ внесены малейшие изменения.

Тем самым обеспечивается безопасность электронного документооборота.

1. Загрузить корневой сертификат УЦ, выдавшего ЭЦП. 2. Установить загруженный сертификат. Для этого во вкладке «Общие» следует нажать «Установить сертификат».

Нажмите последовательно «ОК», «Далее» и в конце «Готово» для завершения установки сертификата.

Использование ЭП в судебной практике

Применение электронной подписи иногда осложняет судебное разбирательство. Отчетность вместо руководителя может заверить главный бухгалтер, а юрист — заявление для суда заверяет вместо истца. Похожие нарушения встречаются при использовании ПО «клиент-банк», когда платежные поручения отправляются не самим владельцем ЭП.

При рассмотрении исков о неправомерном списании денежных средств с расчетного счета организации суд признает правильность действия банка, поскольку ЭП корректна, а передачу права подписи третьему лицу рассматривает как нарушение договорных отношений и правил обслуживания клиентов.

Аналогичная практика возникает и при участии в электронных государственных торгах. Если организация своевременно не подписала выигранный контракт, то она признается стороной, уклонившейся от заключения договора и вносится в реестр недобросовестных поставщиков. В судебной практике часты и случаи, когда организацию заносят в реестр из-за контракта, подписанного лицом, неимеющим права на заверение подобных документов.

В законодательстве РФ нет прямых запретов на передачу ЭП третьим лицам с согласия владельца, и при возникновении спорных ситуаций суд признает владельца подписи лицом, подписавшим документ. Вся ответственность за использование ЭЦП лежит на владельце сертификата, и в случае компрометации ключа он обязан обратиться в УЦ с заявлением о приостановке деятельности подписи. В спорных случаях такое обращение может служить доказательством причинения ущерба не владельцем подписи, а сторонним лицом.

Часто задаваемые вопросы об ЭЦП

Можно ли бесплатно оформить электронную подпись?

Нет, бесплатно электронная подпись выдается исключительно государственным организациям через подразделения Федерального Казначейства.

Сложно ли пользоваться ЭЦП?

Абсолютно не сложно. Даже несмотря на то, аппарат двухключевой криптографии сам по себе имеет колоссальную математическую сложность. Однако само повседневное использование подписи доступно практически любому человеку, даже если он не обладает компьютерной грамотностью.

Для подписания документа с ЭЦП достаточно лишь вставить флеш-носитель в соответствующий контроллер на корпусе ПК и кликнуть мышкой. Остальное компьютер сделает за вас. Проверить подлинность подписи еще проще — каждый документ, вызванный на экран компьютера, автоматически проверяется и содержит сведения о том, кто его подписал.

Есть ли вероятность взлома, подделки ЭЦП?

Взломать и подделать цифровую подпись практически не представляется возможным. Для этого необходимо колоссальное множество вычислений, на проведение которых понадобится слишком длительное время (по истечении этого срока информация, содержащаяся в документе, просто потеряет свою актуальность). А дополнительную сверх-защиту от подделки обеспечивает подписи сертификация открытого ключа ЭЦП.

Можно ли подделать текст документа, который подписан ЭЦП, так, чтобы никто не узнал?

К счастью, это совершенно исключено. Каждое несанкционированное изменение будет автоматически выявлено при первой же проверке ЭЦП.

Может ли физлицо получить электронную подпись?

Конечно. Для этого достаточно обратиться в Удостоверяющий центр и предъявить паспорт гражданина РФ, а также свидетельство о присвоении ИНН.

Для работы с ЭЦП нужна какая-то специальная программа?

Безусловно, для создания подписи следует применять специальное программное обеспечение, чаще всего используют продукт КриптоПро.

Сколько времени занимает процесс подписи документа с помощью ЭЦП?

Очень мало, от одной до нескольких минут.

Можно ли использовать ЭЦП, выпущенную для налоговой службы, для подписи на электронных торговых площадках?

Увы, нет. Цифровая подпись этого типа не подходит для применения в сфере электронных торгов. Нужно оформить отдельную ЭЦП для участников торгов.

Есть ли «универсальная» цифровая подпись, подходящая одновременно и для электронных площадок, и для сдачи отчётности?

К сожалению, подобной подписи не существует. Различные электронные торговые площадки и ведомства принимают ЭЦП разного вида.

Можно ли передать свою ЭЦП коллеге на время отпуска?

Это исключено. В соответствии с требованием законодательства ответственность за пользование электронной подписью несёт персонально её владелец.

Может ли пользователь отказаться от своей подписи впоследствии?

Нет, одно из ключевых свойств ЭЦП — это свойство неотрекаемости. Никто не может отказаться от ранее поставленной электронной подписи, поскольку её принадлежность однозначна и неоспорима.

Что делать, если ЭЦП по неосторожности была удалена с флешки?

В данном случае необходимо связаться с Удостоверяющим центром для восстановления и перевыпуска электронной подписи.

Есть ли какие-то рекомендации по хранению ключи электронной подписи?

Подробная рекомендация о том, как следует хранить ключи ЭЦП, указывается в документации к абонентскому комплекту пользователя. Если коротко, хранить ключи нужно так, чтобы быть полностью уверенным в том, что закрытый ключ не окажется в руках третьих лиц. Лучше всего, если закрытый ключ доступен только владельцу, или одному особо доверенному лицу.

Разрешено ли использовать ЭЦП в документообороте со структурными подразделениями или дилерами?

Безусловно, для этого нет юридических и технических препятствий. Для организации подобного документооборота необходимо получить в Удостоверяющем центре нужное количество клиентских комплектов и создать соответствующее число ключей ЭЦП.

Что делать, если уволился пользователь ЭЦП с правами администратора?

В таком случае нужно подать в УЦ заявление на отзыв нынешнего сертификата и оформить заявку на получение нового.

Могут ли руководитель, его зам и главбух иметь свои собственные ЭЦП и использовать их от имени компании?

Да, это разрешено.

Может ли одно физлицо иметь сразу несколько ЭЦП?

Да, это возможно. Один человек может иметь различные ЭЦП, и это право гарантируется законом.

Как убедиться, что лицо, подписавшее документ от лица компании, имеет на то полномочия?

В этом можно убедиться легко, посмотрев сертификат открытого ключа владельца ЭЦП. Дело в том, что при выдаче электронной подписи сотрудник предоставляет документы, в котором руководитель предприятия подтверждает его должность и полномочия (какие документы он имеет право подписывать). Эти данные указываются в сертификате открытого ключа, который доступен всем пользователям.