Открывают фирмы для вывода денег и берут микрозаймы: для чего мошенники крадут электронные подписи и как защитить себя — Право на

Что такое эп

Усиленная подпись использует средства шифрования, которые сертифицированы ФСБ. Она позволяет определить лицо, которое подписало документ, и установить, что в документ вносились изменения после подписания. Бывает двух видов — усиленная неквалифицированная и усиленная квалифицированная электронная подпись. Больше всего полномочий — у квалифицированной.

Утверждается, что подделать усиленную подпись невозможно. Так это или не так — достоверно не известно, но информации о подделке таких подписей в открытых источниках мне найти не удалось.

Выдать ЭП может удостоверяющий центр, у которого есть аккредитация в Министерстве цифрового развития, связи и массовых коммуникаций РФ.

Что делать, если вы стали жертвой махинаций с эп:

Советы подготовлены на основе рекомендаций СКБ «Контур», юрфирмы «Клифф» и пользователя «Хабра» PaulZi, столкнувшегося с такой проблемой.

#электроннаяподпись

Что делает правительство

Выдачей электронных подписей физическим и юридическим лицам занимаются коммерческие удостоверяющие центры (УЦ). Сейчас в реестре Минкомсвязи 493 УЦ, из них 403 с актуальной аккредитацией.

Осенью 2021 года Госдума приступит к рассмотрению законопроекта, который должен ужесточить правила выдачи электронных подписей. Цель поправок — повышение качества работы УЦ и сокращение вероятности мошенничества с электронными подписями, написано в пояснительной записке.

Также законопроект вводит институт доверенных третьих сторон — это организации, которые будут проверять электронные подписи в документах. Аккредитацией таких организаций займётся Минкомсвязи.

Законопроект также ужесточает правила получения электронных подписей юрлицами. Квалифицированные электронные подписи (КЭП) юрлицам сможет выдавать только удостоверяющий центр ФНС, а кредитным организациям — удостоверяющий центр ЦБ.

Электронные подписи физлицам продолжат выдавать коммерческие удостоверяющие центры, но законопроект ужесточает требования и к ним: их обяжут иметь капитал не менее 1 млрд рублей или не менее 500 млн рублей, если у центра есть филиалы минимум в трёх четвертях регионов.

ФНС объясняет необходимость ужесточения правил многочисленными нарушениям: с начала 2021 года по второй квартал 2021 года налоговая служба зафиксировала больше 43 тысяч случаев неправомерного использования КЭП, рассказывал представитель ведомства «Ведомостям».

Самое распространённое нарушение — выдача КЭП по фиктивным документам для регистрации юрлиц и ИП.

Что такое эп, кэп и для чего они нужны

Электронная подпись (ЭП или ЭЦП) — это электронные данные в документе, которые заменяют собственноручную подпись. Больше всего возможностей у квалифицированной электронной подписи (КЭП). Предприниматели используют ее, чтобы отправлять отчетность в налоговую, участвовать в электронных торгах, получать госуслуги и вести электронный документооборот.

Получить электронную подпись

КЭП подтверждает, что документ подписан конкретным человеком и придает ему юридическую силу. Она также гарантирует, что в документ никто не вносил изменения после подписания.

КЭП выдают только удостоверяющие центры (УЦ), которые имеют аккредитацию Минкомсвязи. Например, ее можно получить в Удостоверяющем центре Контура или в Центре выдачи электронных подписей в Москве.  УЦ соблюдают правила безопасности — этого от них требует закон и госорганы, — удостоверяют личность будущего владельца ЭП, проверяют его документы через государственные базы. А в случае нарушений УЦ несут материальную ответственность.

В УЦ владелец электронной подписи получает файлы, из которых состоит электронная подпись: закрытый ключ, открытый ключ и сертификат. Файлы записываются на токен (устройство, похожее на флешку) или в память компьютера. С помощью закрытого ключа пользователь подписывает документы, а открытый ключ и сертификат позволяют убедиться, что подпись поставил конкретный человек.

Закрытый ключ ЭП доступен только владельцу, и он должен держать его в тайне — этого требует 63-ФЗ «Об электронной подписи» (п.1 ч.1 ст.10 63-ФЗ). Именно из-за того, что владельцы передают закрытый ключ другим людям, возникают злоупотребления электронной подписью.

У Артема было несколько продуктовых магазинов. Он не нарушал закон и вовремя закрывал кредиты. Однажды бизнесмену позвонили из банка, а потом звонок продублировали коллекторы. Они утверждали, что у компании миллионный долг. Артем не поверил и пошел проверять кредитные истории: свою и компании. Выяснилось, что долг существует.

Два месяца назад бывший бухгалтер Артема оформил на компанию микрозайм на 1,2 миллиона рублей, перевел деньги себе и уволился. Оформить займ бухгалтер смог с помощью электронной подписи директора — Артем сам отдал ЭП, чтобы избавиться от рутинного подписания бумаг.

Варианты мошенничества с электронной подписью

Как защитить себя

Даже в такой ситуации можно защитить себя и свое имущество.

Запрашивать все удостоверяющие центры, выдавалась ли на ваше имя ЭП, бесполезно. Сейчас, когда я пишу эту статью, в России, по данным Минкомсвязи, действует 493 удостоверяющих центра. Этот список не окончательный: некоторые центры прекращают свою деятельность, появляются новые. Отправлять в них запросы технически сложно, тем более во все 493.

Информацию о сертификатах ЭП вносят в единый реестр. Закон разрешает запрашивать информацию из этого реестра, в том числе в электронном виде. Но в запросе нужно будет указать серийный номер сертификата. Если его не знаете, запрос сделать не получится.

Я вижу следующие способы защиты.

Зарегистрировать учетную запись на портале госуслуг и подключить к ней смс-уведомления и уведомления на электронную почту о проводимых операциях.

Регулярно отслеживать раздел «Последние действия» на госуслугах. Если кто-то зарегистрирует там полученную без вашего участия ЭП, это отобразится в списке операций. Также будет видно, к каким ресурсам обращался мошенник с использованием ЕСИА.

Если он заходил на сайт Росреестра, в налоговую или в загс, нужно обратиться туда с заявлением о приостановлении действий с использованием ЭП. В крайнем случае можно будет обратиться в суд и потребовать наложить судебный запрет до того, как сделку зарегистрируют.

Судебный запрет — это дело небыстрое, но, по крайней мере, будут доказательства, что вы пытались противостоять мошенникам. Кстати, если у вас будет собственная электронная подпись, можно попробовать отменить сделку, пока ее не зарегистрировали.

Как получить эп

Я прошел процедуру и получил электронную подпись.

На сайте Минкомсвязи есть список аккредитованных удостоверяющих центров. Можно выбрать ближайший к дому. Регистрация на процедуру оформления не влияет — я получал ЭП в 400 километрах от города, где зарегистрирован.

Чтобы получить ЭП, при себе нужно иметь паспорт гражданина РФ и СНИЛС. Все оформляют за 15 минут: оператор вносит паспортные данные в систему, проверяет через общедоступные сервисы их подлинность и выдает ЭП. Внешне она выглядит как обычная флешка.

Стоит такая подпись 1400 рублей. Срок действия — год, потом нужно заплатить 600 рублей, чтобы ее продлить, или она перестанет работать.

Как происходит мошенничество с электронной подписью

Злоумышленники могут завладеть ЭП по-разному. Первый вариант — умышленно получить подпись другого лица. Мошенники могут украсть закрытый ключ, который хранится на токене. Или владелец может оставить подпись в общественном месте или потерять. Бывает и так, что компания забывает отозвать ЭП у уволенного сотрудника: он покупает товар от имени фирмы и скрывается, оставив долг. Нужно знать, как отозвать подпись и делать это сразу после увольнения, даже если работник пользовался полным доверием.

Есть и другой вариант. Владелец может сам отдать подпись постороннему лицу, чтобы снять с себя часть нагрузки. Так было с Артемом из нашего примера: он не знал, как обезопасить себя от мошенничества, поэтому передал ЭП бухгалтеру, а потом получил миллионный долг.

Какие есть риски, если оформить эп

Пока произошла только одна сомнительная сделка с использованием ЭП. Поскольку в результате нее собственник потерял права на недвижимость, Росреестр решил подстраховаться и предложил гражданам не регистрировать сделки без их личного участия. Для этого нужно подать специальное заявление.

Но даже такой отказ не дает гарантий, что электронную подпись не смогут использовать в противоправных целях. Даже если наложить запрет на регистрацию сделок с собственностью без личного участия, юридическую силу электронной подписи это не отменяет. Да, с помощью нее уже нельзя будет подарить или продать квартиру, но на любом другом документе она будет равнозначна обычной подписи. И здесь возникнут уже другие риски.

А еще недобросовестный муж может подать документы через госуслуги на развод и подписать их электронными подписями — своей и жены. Причем супруга, возможно, узнает об этом только через несколько лет, когда выяснится, что совместно нажитого имущества у них нет, брак расторгнут уже давно по обоюдному согласию и делить нечего.

Криптографическая защита — это замечательно. Сертификат ФСБ, возможно, дает гарантии от подделки такой подписи. Но установка единого пин-кода для всех ЭП делает бесполезной любую криптографическую защиту.

Компрометация ключа эп

В действующем ФЗ об электронной подписи определение компрометации отсутствует, но под ним  обычно понимают потерю доверия к закрытому ключу. Однако по ФЗ ответственность за компрометация ключа несет не только владелец, но и УЦ, выдавший ЭЦП (п.4 ч.2 ст. 13).

В практике выделено несколько ситуаций, когда в сохранности и действительности ключа можно усомниться. К ним относят:

• потерю ключа с его последующим нахождением. Есть шанс, что в этот период ключом могли воспользоваться третьи лица;
• увольнение сотрудника, получившего ранее на хранение ЭЦП;
• хранение ключа в общедоступных местах или в сейфе, на котором были обнаружены следы взлома;
• нарушение целостности ключа.

Если была обнаружена компрометация или есть подозрения, что к средствам ЭЦП получили доступ третьи лица, то необходимо:

• прекратить работу, требующую использования электронной подписи;
• обратиться в УЦ, оформивший ЭП, с заявлением о факте компрометации;
• отозвать потерявший доверия ключ ЭЦП. Сделать это может только владелец ЭП лично в офисе УЦ.

Скомпрометированную ЭП обычно отзывают в течение 30-40 минут после обращения, однако, в системе она хранится в течение нескольких месяцев. Далее, пользователю необходимо оформить новую электронную подпись, предоставив полный пакет документов и оплатив реквизит согласно выбранному тарифу.

Соблюдение основных положений по безопасности в работе с ЭЦП позволит избежать многих неприятных ситуаций, в т.ч. компрометирующих деятельность фирмы или юридического лица. Передача прав пользования ЭЦП законом не запрещена, но нежелательна: нарушение конфиденциальности закрытого ключа может привести к финансовым или иным потерям, а доказать в судебном порядке факт нарушения или хищения не всегда возможно.

Можно ли передавать личную эцп другому человеку?

Все вопросы, связанные с ЭЦП регулируются Федеральным законом «Об электронной подписи» от 06.04.2021 № 63-ФЗ. Но в нем нет, ни прямого разрешения, ни запрета на передачу носителя с подписью другому лицу. Указано лишь то, что использование подписи без согласия ее владельца считается незаконным (ст. 10 закона № 63-ФЗ).

Таким образом, есть два мнения о возможности передачи ЭЦП другому лицу. Некоторые представители Минкомсвязи и ФНС говорят о том, что такую подпись можно передавать лицу, которому предаются полномочия владельца электронной подписи. Например, когда на время отпуска директора или главного бухгалтера их обязанности возлагаются на другое лицо, и которому предоставляется право подписи соответствующих документов.

С другой стороны, нарушается основное назначение ЭЦП – идентифицировать конкретное лицо, которое подписало электронный документ.

Если владелец ЭЦП все же решается передать ее другому лицу, то необходимо оформить все документы (приказ, акт приема-передачи), в противном случае вся ответственность ляжет на владельца ЭЦП.

Ответственность за использование чужой эцп

На данный момент ни в одном из сводов законодательства нет статьи, которая бы предусматривала наказание именно за несанкционированное использование ЭЦП, но это не значит, что лицо, совершившее данное правонарушение останется безнаказанным. К нему будут применены соответствующие статьи УК РФ и КоАП.

Рассмотрим несколько примеров.

Ответственность за нарушение законодательства

Федеральный закон о ЭЦП был принят 10.01.2002 г., а вступил в силу на территории РФ 22.01.2009 г. Законопроект не только охватывает все сферы действия ЭЦП, но и содержит основные наказуемые случаи за нарушение правил использования цифровой подписи.

По ФЗ несут уголовную ответственность лица:

• неправомерно использующие ЭЦП другого лица, в т.ч. неправомерно получившие доступ к закрытому ключу сертификата;
• получившие неправомерный доступ к средствам ЭЦП;
• незаконно создающие и/или использующие средства ЭЦП.

Гражданско-правовая ответственность налагается:

• если были причинены убытки по причине несоответствия средств ЭЦП, заявленных компанией-производителем;
• при нарушении процесса проверки средств цифровой подписи.

Возмещение убытков возможно, если:

• убытки были причинены пользователю открытого ключа цифровой подписи из-за несанкционированного доступа третьих лиц к закрытому ключу;
• доказана вина владельца открытого ключа, получившего доступ от владельца закрытого ключа по договору использования ЭЦП.

Если было доказано неправомерное использование электронной подписи или получение доступа к закрытому ключу, то наравне с уголовной ответственностью может налагаться гражданско-правовая или административная ответственность. Объясняется это тем, что наказуем не факт использования ключа ЭЦП, а его последствия (хищение денег, информации, интеллектуальной собственности и т.д.).

Пример 1

Бухгалтер самовольно воспользовался подписью руководителя и через программу Клиент – Банк списал со счета организации некоторую сумму в свою пользу. В данном случае против бухгалтера может быть возбуждено уголовное дело по факту хищения, степень наказания будет зависеть от украденной денежной суммы.

Пример 2

Директор предприятия подписал контракт по Госзакупкам электронной подписью своего предшественника (с его ведома) за отсутствием своей собственной. В этом случае, в зависимости от последствий, в отношении директора может быть возбуждено уголовное дело о мошенничестве, либо контракт может быть расторгнут, а организация занесена в реестр недобросовестных.

Пример 3

В связи с большим объемом платежных поручений, которые ежедневно оформляет бухгалтерия фирмы, для ускорения процесса их подписания и отправки директор передал бухгалтеру свою ЭЦП. Поскольку все платежи согласовываются с директором заранее, а позднее им же контролируется оплата, никаких отрицательных последствий, следовательно, и ответственности, это не повлекло, а лишь оптимизировало работу. Но конечно, в подобных ситуациях всегда есть риск, зависящий от степени добросовестности сотрудников.

Ответственность за использование чужой ЭЦП зависит от последствий, которые повлекло это действие. В первую очередь, ответственность ложится на ее владельца, если он не докажет иное.

Продажа квартиры, подача декларации в фнс и другие риски использования сертификата эп

Использование чужой ЭЦП по значимости сравнимо с использованием чужого паспорта. Она подтверждает личность человека и дает право совершать юридически значимые действия. Если ЭП попадет в руки злоумышленников, они смогут выдать себя за другое лицо и заключить сделку. Например:

• оформить кредит на компанию;
• вывести деньги из фирмы, а потом ликвидировать ее;
• подать в налоговую поддельные декларации с баснословными суммами, чтобы получить возмещение НДС в размере нескольких миллионов;
• продать чужую квартиру или офис. Сейчас этот сценарий невозможен для физических лиц — в августе 219 года Росреестр ужесточил правила онлайн-сделок с физлицами, поэтому перед сделкой нужно получить согласие собственника на сделки с недвижимостью с использованием ЭП.

Советы для физлиц:

Дополнительный совет для юрлиц: не забывать отзывать сертификат электронной подписи при увольнении сотрудника, который мог подписывать документы от имени компании.

У собственника действительно украли квартиру с помощью эп?

Такой факт действительно имел место. В октябре 2021 года была совершена сделка дарения квартиры между жителем Москвы и жителем Уфы. Дарственная подписывалась электронными подписями без участия нотариуса. После этого сделку зарегистрировали в Росреестре. Сами участники сделки утверждают, что ЭП никогда не получали.

Собственник квартиры в Москве узнал о потере собственности только в мае 2021 года: в квитанциях на оплату коммунальных услуг в графе «собственник» появилась новая фамилия.

Пресса делала много предположений, как именно это могло произойти. Но на сегодняшний день это только версии. По этой сделке возбудили уголовное дело, сейчас ведется следствие. Сотрудники полиции комментариев не дают — это обычная практика по таким делам.

Владелец московской квартиры обратился в суд с иском о признании сделки недействительной. Дело № 02-3237/2021 рассматривает Бабушкинский районный суд Москвы, а судебное заседание назначено на 25 июля 2021 года.

О перспективах пока говорить сложно, но, учитывая, что новый владелец квартиры на нее не претендует, сделку дарения могут отменить.

Условия исполнения закона о эцп

Необходимость принятия федерального закона была обусловлена тем, что ЭЦП предоставляет новые права и обязанности субъектам правоотношений, а для удостоверения подлинности подписи сформирована целая система специализированных организаций. Все подзаконные акты, принятые вслед за ФЗ, лишь конкретизируют правовые механизмы и дополняют законодательную базу об ЭЦП.

ФЗ определяет условия использования ЭЦП, соблюдение которых не только признает средства ЭЦП надежными, но и позволяет обеспечить сохранность персональной информации и безопасную передачу данных даже по открытым каналам связи.

Закон прописывает также и ответственность владельца сертификата ключа. По ФЗ владелец ЭП обязан:

• хранить закрытый ключ ЭЦП втайне;
• не использовать ключи ЭЦП, если известно, что их конфиденциальность нарушена;
• требовать приостановления действия сертификата ЭЦП при подозрении на нарушение тайны закрытого ключа.

Если требования соблюдены не были, то вся ответственность и возмещение возможных убытков ложится на владельца сертификата ЭЦП.