МВД предложило лишать свободы за подделку электронной подписи :: Технологии и медиа :: РБК

«небывалый простор для мошенничества». как уязвимость закона разрушает сделки с электронной подписью

«Если пользователь увидит на портале подпись, которую сам не получал, то сможет обратиться в УЦ и отозвать подпись. Тогда она перестанет работать, и никто не сможет воспользоваться ей в корыстных целях», — подчеркивает Сергей Казаков, руководитель удостоверяющего центра (УЦ) АО «ПФ«СКБ Контур» — одного из крупнейших игроков рынка (в 2021 году выручка составила 14 млрд рублей, чистая прибыль — 797 млн рублей).

С июля 2021 года ожидается новое ужесточение правил выдачи подписей: право выдавать квалифицированные электронные подписи (КЭП) будет только у УЦ ФНС России. За коммерческими компаниями останется их изготовление. Новый уполномоченный орган сможет самостоятельно выбрать доверенные лица из числа коммерческих организаций, которым он разрешит принимать заявления о получении КЭП, а также создавать и выдавать ее.

«Кардинальная реформация системы аккредитации УЦ и выдачи КЭП бизнес-сообществу приведет к тому, что из более 400 существующих в настоящее время коммерческих аккредитованных УЦ останутся единицы, которые сами будут изготавливать только КЭП для физических лиц», — отмечает Алексей Сенченков, представитель АО «Аналитический Центр» (Единый портал электронной подписи).

С 1 января 2022 года будет определен порядок выдачи и использования электронных машиночитаемых доверенностей. Если сотрудник захочет удаленно получить КЭП от лица своего руководства, ему нужно будет предоставить такую доверенность. Она, кстати, тоже должна быть подписана КЭП, основанной на подписях, выданных подведомственными ФНС России центрами.

Как отмечает Сергей Казаков, в январе — октябре 2020 года количество выданных электронных подписей в России увеличилось на 14%, а в Петербурге — на 25% по сравнению с аналогичным периодом прошлого года.

Всплеск интереса к ЭП ознаменовался ростом судебных разбирательств. Переход на удаленную работу, дистанционное проведение сделок с недвижимостью, оформление кредитов и займов, сдача отчетности — ЭП стала помощником номер один для большинства предпринимателей. Однако несовершенство системы и уязвимость закона внесли смуту в и без того сложные рыночные отношения.

Точную статистическую информацию о количестве выданных ЭП «Фонтанке» никто рассказать не смог. Даже в профильном ведомстве — Минцифры России (осуществляет нормативное регулирование в сфере выдачи ЭП), подчеркнули только, что всего в России насчитывается 15 млн подписей, которые регулярно перевыпускаются. Опираясь на то, что стоимость одной ЭП составляет около 3,5 тыс. рублей, общий объем рынка можно оценить более чем в 50 млрд рублей.

По данным СПАРК, квалифицированные ЭП изготавливают 408 аккредитованных Минцифрой УЦ. Из всего списка в Петербурге зарегистрировано только 20 компаний. Самые крупные: ПАО «Ростелеком» (выручка за 2021 — 319,7 млрд, чистый убыток — 3,4 млрд), подведомственное КИО петербургское унитарное предприятие «СПБ ИАЦ» (3,2 млрд; чистая прибыль — 24,8 млн), ООО «Корус консалтинг СНГ» (входит в группу компаний Сбербанка, выручка — около 2 млрд; прибыль — 334,7 млн). Всего в городе аккредитовано 55 компаний.

Попробуй докажи

Один из свежих кейсов судебных споров, связанных с использованием ЭП, — конфликт московского ООО «Билл Прайват» и петербургского ООО «Юпитер Холл».

25 января 2021 года ООО МКК «Билл Прайват» по договору займа предоставило ООО «Юпитер Холл» 4 млн рублей (под 14%) сроком до 25 мая 2021 года на исполнение госконтракта. Договор был подписан собственноручно бухгалтером компании и с использованием ЭП (оформленной на гендиректора компании) и отправлен почтой, вместе с договором поручительства (как оказалось позднее, недействительным). Гендиректор «Юпитер Холла» Александр Лебедев в это время был в командировке, а вернувшись, обнаружил списание средств с расчетных счетов компании. 2 февраля он позвонил руководителям «Билл Прайвата» и сказал, что о сделке ничего не знает — платеж был осуществлен без его ведома.

Читайте также:  Портал госуслуг — электронная подпись (ЭЦП) — Удостоверяющий центр СКБ Контур

6 февраля «Билл Прайват» запросил информацию о подтверждении целевого займа. По договору на предоставление всех сведений у «Юпитер Холла» был один день. В случае неисполнения обязательств заемщик должен был выплатить штраф в размере 20% от суммы займа и уплатить пени — 0,2% от неуплаченной суммы за каждый день просрочки. 8 февраля кредитор направил требование о досрочном исполнении обязательств, а «Юпитер Холл» (уже 1 марта) — претензию о признании договора недействительным, поскольку он был заключен неуполномоченным лицом.

В итоге «Билл Прайват» подал иск в Арбитражный суд Санкт-Петербурга и Ленинградской области (дело идет уже более 950 дней), а «Юпитер Холл» — заявление в полицию и встречный иск. Было возбуждено уголовное дело, расследовано и передано в Калининский районный суд. В свою очередь, Арбитражный суд в первой инстанции частично удовлетворил иск «Билл Прайвата» и взыскал с «Юпитер Холла» 4 млн рублей долга, 320 тыс. за пользование займом, 3 млн штрафа и неустойки и 60,7 тыс. расходов по уплате госпошлины.

Решение арбитража вынесено 20 марта 2020 года, а 21 августа Калининский райсуд в первой инстанции вынес обвинительный приговор в адрес бухгалтера «Юпитер Холла» Татьяны Смирновой. Ее признали виновной в хищении чужого имущества.

По показаниям выступившего свидетелем гендиректора Александра Лебедева, полученные от «Билл Прайвата» 4 млн она перевела на счет ООО «Прогресс» и на карту своего супруга. На стадии судебного разбирательства Смирнова признала свою вину. Сейчас она отбывает наказание по другому делу (от 28 июня 2021 года). Точки в истории пока нет. И решение арбитража, и приговор суда обжалованы. Представители фирм продолжают настаивать на своем. «Юпитер Холл» считает, что «Билл Прайват» хотел получить «большие деньги» и действовал недобросовестно, другая сторона придерживается позиции, что гендиректор компании-заемщика знал о сделке и работал сообща с бухгалтером.

Опытным путем

«ЭП — это самая обыкновенная флешка, содержимое которой элементарно копируется. Любой человек, в руках у которого флешка оказывается, может спокойно скопировать ее и совершить любые действия. По сути это небывалый простор для мошенничества. Не говоря уже о том, что очень многие конторы, которые выдают ЭП, не удосуживаются проверять документы, — отмечает Глеб Подъяблонский, юрист компании URVISTA. — Государством никакие меры не предпринимаются — граждан призывают быть бдительными. Более-менее рабочая идея — это ID-карта с личным паролем».

Впрочем, негативных примеров и правда достаточно. Основные источники проблем — недобросовестные центры, выдающие ЭП, забывчивые предприниматели, смышленые мошенники и уязвимость закона.

Анатолий Лебедев, заместитель завкафедрой информационной безопасности МГТУ им. Баумана, отмечает, что если тот, кто заверяет открытый ключ, работает честно и не выдает такой же сертификат другому лицу, то система работает «идеально». За исключением случаев, когда человек сам теряет ключ для формирования ЭП. Он приводит в пример историю, которая произошла с гражданином США.

«Свой ключ для ЭП, а ей зачастую подписываются транзакции в криптовалюте, он хранил в облаке, а доступ к нему осуществлял по паролю, который предъявлял через мобильный телефон. Дальше по истории доступ к его закрытому ключу получили хакеры — они якобы подменили сим-карту или дублировали ее, и, когда на телефон в очередной раз пришел одноразовый пароль, перехватили данные и вывели с его счета биткоины на сумму 24 млн долларов, — рассказывает Анатолий Лебедев. — Технология тут совершенно ни при чем. Если человек хранит свой секрет непонятно где, то его может узнать любой проходимец».

Читайте также:  Настройка ЛК ФНС для Крипто-Про CSP

Еще один пример приводит Светлана Гузь — дело о дарении квартиры жителем Москвы некоему гражданину, проживающему в Республике Башкортостан, город Уфа.

«Собственник обнаружил в квитанциях на оплату коммунальных услуг чужую фамилию и обратился в управление Росреестра с запросом о предоставлении сведений из ЕГРН. Получив выписку, гражданин узнал о совершенной электронной сделке, — говорит юрист. — К сожалению, нам неизвестно, какое развитие получил этот случай в уголовной плоскости, а вот гражданский иск собственника был удовлетворен Бабушкинским районным судом города Москвы, сделка признана недействительной».

Дмитрий Кваша, спикер торгово-промышленной палаты Москвы, руководитель юридического бюро «Дмитрий Кваша и партнеры», рассказывает, что у него был пример другого дела: клиент предоставил доступ к своему банк-клиенту с помощью удаленного доступа к компьютеру. Мошенники зашли на его ПК (с разрешения владельца) и перевели денежные средства (около 2,4 млн рублей) сначала в электронные деньги, а потом в криптовалюту. При этом пострадавший не знал, что его «помощники» — злоумышленники. Он хотел зарабатывать на инвестициях в Интернете, но ему сказали, что самостоятельно он не разберется. В итоге мошенники подали заявку на кредит от его лица, почти сразу получили деньги и вывели их, рассказывает Дмитрий Кваша.

«Банки не признают это страховым случаем, поскольку он сам предоставил доступ и присутствовал при процессе. Суды также будут на стороне банка. Если только ему удастся в уголовном процессе разыскать мошенника — появится шанс вернуть деньги. В ином случае это будет признано его риском», — подчеркивает юрист.

По словам экспертов, главная проблема заключается в том, что выявить незаконное применение ЭП третьим лицом практически невозможно. Кроме того, важную роль играют и сами удостоверяющие центры.

«Если вы уговорите служащего УЦ выдать сертификат на другое имя — вы сможете подписываться от лица другого человека, — рассказывает Анатолий Лебедев. — Сейчас третья сторона должна иметь большой мешок денег в депозите — если их сотрудник выдаст левый сертификат, они за это отвечают своим мешком».

Про другой способ мошенничества рассказывает Сергей Крылов, гендиректор юридической компании «Дельта консалтинг». По его словам, если человек пользуется общедоступным компьютером и не знает о его настройках, то впоследствии его данными может воспользоваться кто-то другой. Он отмечает, что зачастую браузеры сохраняют данные по умолчанию и посмотреть их может кто угодно. Такая же история и с поддельными сайтами.

«Считается, что ЭП скомпрометирована, даже если кто-то рядом узнал ваш пароль. С января, когда все будет идентифицироваться с госуслугами через личное мобильное приложение, уже будет 100% понимание, что подписывается владелец подписи, — считает Ольга Благовещенская, основатель собственной группы компаний «МФЦУ». — Сейчас в банках почти 85% сделок проходит с помощью ЭП».

Впрочем, получить такую подпись и правда несложно. Как рассказывает Сергей Казаков, достаточно оставить заявку на сайте, выбрать тариф, подготовить документы (чаще всего это паспорт и заявление на выпуск сертификата ЭП) и передать их в УЦ или прикрепить в личном кабинете, затем подождать несколько дней (пока документы проверяются), получить ЭП и удостоверить свою личность — приехать в офис УЦ или заказать себе выезд представителя.

Александра Сидоркина, «Фонтанка.ру»

Мошенник или пострадавший

В первой половине 2021 года число обращений, касающихся займов, оформленных на третье лицо с помощью электронной подписи (ЭП), достигло 15,4% от общего объема, уточнили в СРО «МиР». За аналогичный период прошлого года их было зарегистрировано всего 4,7%.

— Всплеск такого рода преступлений начался в конце прошлого года. Как правило, в большинстве случаев мошенничество вскрывается на стадии взыскания, в связи с чем микрофинансовая компания вынуждена приостановить процесс получения долга и начать разбираться, кем является пожаловавшийся клиент — мошенником или пострадавшим, — пояснила «Известиям» директор СРО «МиР» Елена Стратьева.

Читайте также:  Отключение проверки цифровой подписи драйверов Windows 7

Все истории жертв мошенников похожи одна на другую. Как показал проведенный «Известиями» анализ судебных дел о признании недействительными договоров займа с МФК, граждане, как правило, узнают об оформленных на их имя кредитах уже после того, как с них начинают требовать долг.

Впоследствии выясняется, что при заключении договора с микрофинансовой компанией были предъявлены документы на одного человека, а номер телефона, с которого подтверждалась электронная подпись, был оформлен на другое лицо (либо использовалась утерянная или украденная сим-карта).

Справка «Известий»

В борьбе с этой проблемой сегодня заинтересованы и сами МФК, подчеркнула Елена Стратьева. И если раньше пострадавший должен был обращаться в полицию для устранения проблемы, сейчас вопросы между заемщиком и микрофинансовой компанией в большинстве случаев решаются за несколько дней.

Осторожность прежде всего

По мнению представителей СРО «МиР», проблема незаконного оформления кредитов будет оставаться актуальной до тех пор, пока в России существует черный рынок персональных данных, где любой желающий может недорого купить не только скан паспорта, но и полный комплект документов на человека, включая водительские права, ПТС, СНИЛС и ИНН.

Чтобы не стать жертвой онлайн-мошенников, нужно ответственно относиться к хранению и распространению своих персональных данных, советует глава Национальной ассоциации профессиональных коллекторских агентств (НАПКА) Эльман Мехтиев.

— Не оставляйте копии документов или их данные в магазинах, не направляйте даже знакомым сканы документов по электронной почте, с помощью социальных сетей и мессенджеров, — пояснил он «Известиям». — Проверить информацию о том, оформлен ли на вас заем либо кредит, можно на портале госуслуг.

В случае если вы всё же пострадали от действий мошенников и на ваше имя оформили кредит, необходимо сразу обратиться в правоохранительные органы.

Привлечение полиции

На вопрос «Известий» о том, сколько преступлений, связанных с использованием электронной подписи физлицами, было выявлено в 2021 и 2021 годах, в пресс-центре МВД ответили, что не располагают такими сведениями.

Член рабочей группы по противодействию коррупции Общественной палаты России Артем Кирьянов заметил, что для разрешения ситуации необходимо именно изменить отношение к вопросу со стороны правоохранительных органов.

— Решение проблемы требует законодательного регулирования. Необходимо изменить подход правоохранительных органов к преступлениям, совершаемым при помощи цифровых технологий, — не относиться к ним как рядовым мошенничествам и выделить в отдельный блок, — сказал «Известиям» Артем Кирьянов.

По мнению эксперта, в качестве профилактики преступлений, связанных с электронной подписью, необходимо проводить разъяснительную кампанию для граждан, в частности в сфере соблюдения мер безопасности при ее использовании.

Директор по разработке программного обеспечения ИТ-компании КРОК Сергей Стрелков пояснил, что даже самые современные технические средства не способны на 100% обеспечить достоверность ЭП.

— Создавая программную среду для использования электронной подписи, мы индивидуально прорабатываем с заказчиками модели угроз. Чтобы корректно использовать подпись, важно выстроить весь процесс: работать только с доверенными удостоверяющими центрами, вовремя обновлять и отзывать сертификаты, правильно хранить ключевые носители ЭП.

Эксперты также считают, что в организациях должно проводиться обучение особенностям использования ЭП.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector