- Почему первое лицо организации не должно кому-либо передавать свою эп
- Основные изменения до 2022 года
- Почему налоговый представитель не должен использовать эп первых лиц организаций
- Где получать эп
- Как получить эп на сотрудника
- Как сотрудник организации должен применять эп
- Какие эп необходимо оформлять сотрудникам
- Можно ли использовать эп уволенного сотрудника
- Последствия передачи своего ключа укэп другому лицу | такском
- Способ № 1
- Способ № 2
- Чем опасна передача эп другим лицам?
Почему первое лицо организации не должно кому-либо передавать свою эп
С 1 января 2022 года индивидуальные предприниматели (ИП), нотариусы и первые лица коммерческих организаций получают ЭП в ФНС России. Здесь представлен актуальный перечень налоговых инспекций, где выдаются электронные подписи.
Передача ЭП лицам, отличным от владельца, противоречит ст. 10 закона № 63-ФЗ. Несмотря на это, распространена практика, когда первые лица передают свои ЭП сотрудникам и даже налоговым представителям или бухгалтерам, работающим на аутсорсе.
Эти действия не наказуемы. Но наказываться могут последствия таких действий.
Основные изменения до 2022 года
Ранее был принят общий термин для обозначения электронной подписи ― ЭЦП. В 2022 году он не актуален.
Теперь используют аббревиатуру ЭП. Чтобы не запутать читателя, периодически будем применять привычный ему устаревший термин ― ЭЦП.
Доверенные (уполномоченные) лица организации ― сотрудники, имеющие право на заверку документов компании с помощью ЭП.
Ранее они получали подпись на юрлицо (в сертификате значились его реквизиты). В 2022 году это тоже возможно, но в 2023-ем правила кардинально меняются.
Напоминаем, что в 2021 году изменились правила аккредитации Удостоверяющих центров. Не все организации, которые ранее выдавали ЭЦП для сотрудников и их руководителей, смогли ее пройти.
Обратите внимание! Для заверения документов, на которых в бумажном виде ставят личную подпись и печать, нужна именно квалифицированная ЭП (КЭП). Действие неквалифицированной подписи сильно ограничено. Поэтому рекомендуем сразу получать КЭП и использовать ее для разных целей.
Почему налоговый представитель не должен использовать эп первых лиц организаций
Нередки случаи, когда организация или ИП пользуются услугами налоговых представителей или бухгалтеров-аутсорсеров, просто передавая им USB-токен с ЭП первого лица. Налоговые же представители с одного компьютера отправляют в госорганы отчётность нескольких организаций, заверяя её ЭП разных первых лиц.
В чём здесь риск? К примеру, при сдаче налоговой отчётности ФНС России отслеживает IP- и MAC-адреса компьютеров, с которых она направляется. Налоговики могут сделать вывод, что разные компании и ИП, по сути, не связанные между собой, подконтрольны какому-то одному лицу. Ведь все они сдают отчётность от своего имени с одного компьютера.
Вдобавок такое использование ЭП — это признак фиктивного дробления бизнеса (см. п. 8 письма ФНС от 10.03.2021 № БВ-4-7/3060@, письмо ФНС от 31.10.2022 № ЕД-4-9/22123@, п. 11 письма ФНС от 13.07.2022 № ЕД-4-2/13650@).
Где получать эп
В 2022 году руководители кредитных и некредитных финансовых организаций, операторов платежных систем, бюро кредитных историй получают электронную подпись в удостоверяющем центре (УЦ) Банка России.
Юрлица (руководители организаций), ИП и нотариусы — в УЦ ФНС или у ее доверенных лиц (на момент написания статьи их три: ПАО «Сбербанк России», Банк ВТБ, АО «Аналитический центр»).
Представители госсектора — в УЦ Федерального казначейства.
Электронную подпись уполномоченным лицам выдают коммерческие Удостоверяющие центры, прошедшие аккредитацию по новым правилам.
Как получить эп на сотрудника
Чтобы получить ЭЦП на сотрудника, физлицо должно лично посетить Удостоверяющий центр или подать заявку удаленно (например, это можно сделать через портал Госуслуги).
К заявлению требуется приложить пакет документов:
Перед тем как оформить ЭЦП на сотрудника организации, нужно решить для себя, куда будет записан ключ и сертификат ЭП: на защищенный флеш-носитель (он же токен) или смарт-карту.
Известная компания, специализирующаяся на выпуске защищенных носителей для записи и хранения электронной подписи, ― Рутокен.
Также для работы понадобятся: криптопровайдер (например, КриптоПро), СКЗИ, плагин (КриптоПро ЭЦП Browser plug-in). Срок действия ЭП — 1 год.
Как сотрудник организации должен применять эп
Напомним, что каждый руководитель или сотрудник отвечает за свои действия и использует только свою подпись.
Первые лица организаций подписывают электронные документы лично — полученной в ФНС электронной подписью.
Сотрудники организаций заверяют электронные документы сами — своей ЭП, оформленной в коммерческом удостоверяющем центре на основании доверенности от первого лица организации на получение такой ЭП.
Налоговый представитель или бухгалтер на аутсорсе заверяют отчётность исключительно собственными ЭП. Для этого заранее от первого лица организации-доверителя на налогового представителя/бухфирму оформляется доверенность по правилам госоргана, куда представляется отчётность.
Снизьте риски при получении в налоговой ЭП на первое лицо — воспользуйтесь услугой «Подготовка к получению ЭП в ФНС». 15 % скидка на ЭП для ваших сотрудников при заказе данной услуги.
Какие эп необходимо оформлять сотрудникам
В течение 2022 года сотрудники организаций оформляют ЭП в коммерческих удостоверяющих центрах. Для оформления такой ЭП сотруднику нужны паспорт, СНИЛС и ИНН, а также доверенность от первого лица организации-работодателя на получение подписи.
С 2023 года сотрудники будут получать ЭП физического лица в коммерческих удостоверяющих центрах.
Получите ЭП для сотрудников в удостоверяющем центре «Такском»
Для использования такой ЭП в личных целях никаких дополнительных документов не нужно. А для применения по служебной необходимости потребуется электронная машиночитаемая доверенность, заверенная ЭП первого лица организации-работодателя.
Можно ли использовать эп уволенного сотрудника
Электронная подпись оформляется не бесплатно, поэтому может возникнуть ситуация, когда используется одна ЭП несколькими сотрудниками. Насколько это законно и какие могут быть последствия?
Согласно Гражданскому Кодексу РФ, электронная подпись приравнивается к рукописной. А передать свою руку для заверки документов никто не может. Соответственно, и ЭП нельзя передавать между сотрудниками. Она выдается конкретному лицу и в сертификате указаны его реквизиты.
По сути, за использование ЭЦП уволенного сотрудника должно быть предусмотрено наказание. Тем не менее, прямого запрета на передачу ключа ЭП законом не предусмотрено.
Более того, даже Минкомсвязи не видит в этом проблемы. Но указывает, что передавать подпись можно только лицу, наделенными такими же полномочиями, как ее владелец, и только с его согласия.
Этого же мнения придерживаются сотрудники ФНС. А вот разработчики ПО не согласны.
Чтобы не возникало спорных вопросов, лучше делать ЭП на каждого сотрудника. В любом случае, ответственность за неправомерное использование электронной подписи лежит на ее владельце.
Последствия передачи своего ключа укэп другому лицу | такском
Рассмотрим, какие последствия могут грозить, если третьи лица получат доступ к ключу вашей усиленной квалифицированной электронной подписи (УКЭП), а также разберем конкретные примеры из судебной практики, когда владельцы УКЭП в результате несанкционированных действий третьих лиц были привлечены к ответственности.
Принадлежность подписи конкретному лицу
Квалифицированный сертификат и сертификат ключа проверки УКЭП обязательно содержат данные о владельце электронной подписи, в числе которых (п. 2 , п. 3 ст. 14, п. 2 ст. 17 Федерального закона от 06.04.2022 № 63-ФЗ «Об электронной подписи» (далее – Закон № 63-ФЗ)):
— ФИО, СНИЛС, ИНН – для физического лица, не являющегося индивидуальным предпринимателем;
— ФИО, СНИЛС, ИНН и ОГРН – для индивидуального предпринимателя;
— наименование, ИНН, место нахождения и ОГРН – для юридического лица. В качестве владельца сертификата ключа проверки электронной подписи также указывается физическое лицо, действующее от имени юридического лица на основании учредительных документов юридического лица или доверенности (с 2022 г. – только физическое лицо, действующее от имени юридического лица без доверенности).
Эти атрибуты делают квалифицированную электронную подпись именной и обеспечивает признание электронных документов, заверенных ею, равнозначным документам на бумажном носителе, подписанным собственноручной подписью (п. 1 ст. 6 Закона № 63-ФЗ). И так же, как не должно предлагать другому человеку за себя расписываться, не следует допускать использования ключа УКЭП другим лицом.
Ст. 10 Закона № 63-ФЗ (п. 1) говорит, что при использовании усиленных электронных подписей участники электронного взаимодействия обязаны обеспечивать конфиденциальность ключей электронных подписей, в частности – не допускать использование принадлежащих им ключей электронных подписей без их согласия. Это довольно расплывчатая формулировка, но с учетом вышесказанного ее смысл проясняется: если владелец ключа не в состоянии научиться с ним обращаться, он может воспользоваться технической помощью другого лица, но не доверить тому использовать ключ самостоятельно, будь то на свое усмотрение или по поручению владельца.
Нельзя передать право использования своей электронной подписи ни на основании распорядительного документа, ни на основании договора, ни на основании доверенности на распоряжение ключом – никаким образом. Если требуется уполномочить иное лицо подписывать документы от имени организации, ИП, гражданина, необходимо оформить электронную подпись на это лицо и снабдить его доверенностью на совершение соответствующих действий.
Необходимые действия в случае компрометации ключа
Что делать, если конфиденциальность ключа нарушена, то есть он попал в чужие руки? Алгоритм действий владельца и АУЦ четко обозначен в Законе № 63-ФЗ (п. 2, 3 ст. 10, пп. 3, 5 п. 1 ст. 13, пп. 2 п. 6, п. 6.1, п. 9 ст. 14, п. 6 ст. 17):
1. не использовать ключ электронной подписи при наличии оснований полагать, что конфиденциальность данного ключа нарушена;
2. немедленно (в течение 1 рабочего дня) обратиться с заявлением в аккредитованный удостоверяющий центр, выдавший квалифицированный сертификат, для прекращения действия этого сертификата. Заявление можно подать на бумажном носителе или в форме электронного документа;
3. уведомить других участников электронного взаимодействия о нарушении конфиденциальности ключа электронной подписи в течение не более чем одного рабочего дня со дня получения соответствующей информации;
4. удостоверяющий центр аннулирует сертификат ключа УКЭП и отражает в своем реестре дату и основания для аннулирования. До внесения в реестр сертификатов информации об аннулировании сертификата ключа проверки электронной подписи удостоверяющий центр обязан уведомить владельца сертификата ключа проверки электронной подписи об аннулировании его сертификата ключа проверки электронной подписи путем направления документа на бумажном носителе или электронного документа;
5. аннулированный сертификат ключа проверки электронной подписи использоваться не может. Его использование не влечет юридических последствий, за исключением тех, которые связаны с его аннулированием.
На практике крайне распространены случаи передачи ключа ЭП другим лицам. Пожалуй, два наиболее популярных связаны с тем, что директор вместе с передачей ряда полномочий главбуху или другому сотруднику, не задумываясь, допускает их к ключу своей УКЭП, а также с т.н. номинальными директорами – гражданами, числящимися руководителями организаций, однако фактически не участвующими в их деятельности. Последние до поры до времени абсолютно безмятежно относятся к тому, что оформленным на их имя ключом УКЭП распоряжается кто-то другой. Можно не рассчитывать на то, что такой персонаж добровольно выполнит требования Закона № 63-ФЗ, хотя бы потому, что вряд ли о них подозревает.
Но если сам владелец УКЭП добровольно и своевременно не обращается в УЦ, это не означает, что проблема рано или поздно не вскроется. Так, например, если налоговый орган в ходе мероприятий налогового контроля устанавливает, что руководитель утратил (или не имел) контроль над ключом ЭП, ему предлагают написать соответствующее заявление, которое затем передается налоговым органом в АУЦ с просьбой принять меры к аннулированию сертификата ключа проверки (Письма ФНС России от 28.07.2022 № ПА-4-6/13752@, от 28.07.2022 № 6-3-03/0043@, Письмо ФНС России от 20.08.2020 № ЕА-3-26/5960@, Письмо Минкомсвязи России от 12.07.2022 № ОП-П15-085-13646).
Последствия использования ключа другим лицом
Аннулирование УКЭП производится на определенную дату. Что, если при попустительстве владельца до этого момента его подписью пользовался кто-то другой? Удастся ли, например, потом откреститься от ответственности, сославшись на утрату контроля над ключом подписи?
Безусловно, нет! Не случайно закон предписывает как действовать, если владелец обнаружил неладное. Могут иметь место мошеннические действия или действия, которые повлекли негативные последствия для бизнеса со стороны лиц, в распоряжении которых оказался ключ ЭП.
Именно поэтому и нужно внимательно следить за сохранностью ключа и немедленно информировать о его компрометации. Не случайно еще в начале мы подчеркнули, что УКЭП приравнивается к собственноручной подписи и, как следствие, именно на владельца ключа ложится ответственность за подписанный документ вне зависимости от того, кем указанная подпись была использована фактически (см., например, Постановление АС Дальневосточного округа от 26.06.2020 № Ф03-781/2020 по делу № А51-20242/2022, Постановление АС Дальневосточного округа от 23.12.2022 № Ф03-6040/2022 по делу № А51-26035/2022 (Определением Верховного Суда РФ от 07.05.2020 № 303-ЭС20-4234 отказано в передаче дела № А51-26035/2022 в Судебную коллегию по экономическим спорам Верховного Суда РФ для пересмотра в порядке кассационного производства данного постановления)).
Приведем несколько примеров.
Пример 1
Организация представила уточненную налоговую декларацию по НДС, при проверке которой налоговый орган выявил неправомерное принятие к вычету налога на крупную сумму. Решение о привлечении к ответственности за налоговое правонарушение попытались оспорить, сославшись на то, что налоговая декларация была направлена в инспекцию бывшим главным бухгалтером, которая воспользовалась электронной цифровой подписью директора без его уполномочия.
Суд, куда обратилась организация с соответствующим заявлением, возразил, что поскольку электронная подпись является аналогом собственноручной подписи, ответственность за ее исполнение лежит на ее владельце. Использование электронной подписи с нарушением конфиденциальности соответствующего ключа не освобождает владельца от ответственности за неблагоприятные последствия, наступившие в результате такого использования. Директор не представил доказательств нарушения конфиденциальности ключа электронной подписи и уведомления об этом удостоверяющего центра.
Как следствие, уточненная декларация была признана подписанной уполномоченным лицом – руководителем организации – и штраф за искажение суммы налога суд счел наложенным правомерно (см. Постановление 9 ААС от 05.08.2022 № 09АП-31911/2022 по делу № А40-42134/19).
К подобным выводам суды приходили многократно, см., например, также Постановление АС Московского округа от 03.10.2022 № А40-179170/16, Постановление 9 ААС от 25.06.2022 № 09АП-7/2022, 09АП-13779/2022, 09АП-14757/2022 по делу № А40-179170/16 и др.
Пример 2
Клиент обратился в банк с жалобой на несанкционированное списание средств со счета. В ходе проверки выяснилось, что во время работы компьютера, на котором оборудовано автоматизированное рабочее место системы «Клиент-Банк», произошло его внезапное отключение, а на следующий рабочий день было установлено, что в этот момент с расчетного счета ООО была списана денежная сумма в размере 1 760 000 руб. в пользу другой организации в качестве оплаты за аренду автомобилей по платежному поручению, подписанному подлинной электронной подписью директора.
При этом АРМ «Клиент-Банк» ООО было установлено на персональном компьютере главного бухгалтера, доступ в его кабинет был свободным для персонала организации; приказа о предоставлении доступа и о назначении администратора и оператора АРМ «Клиент-Банк» не было, носитель USB с электронной подписью директора ООО был передан директором главному бухгалтеру и хранился в сейфе последнего.
Все обстоятельства свидетельствуют о том, что в ООО не выполнялись условия договора с банком о соблюдении требований по обеспечению безопасности в процессе эксплуатации АРМ «Клиент-Банк», в результате чего имелась возможность использования ключа УКЭП руководителя лицами, не имеющим таких полномочий, как со стороны работников организации, так и со стороны сети Интернет. Владелец подписи не обращался ни в удостоверяющий центр, ни в банк с информацией о том, что ключ скомпрометирован.
В таких условиях ООО не удалось доказать, что названное платежное поручение было несанкционированным. Банк выполнил распоряжение клиента без нарушений, и требовать возмещение потерь от банка оснований нет (см. Постановление ФАС Центрального округа от 03.09.2022 по делу № А35-10589/12 (Определением ВАС РФ от 18.11.2022 № ВАС-15780/13 отказано в передаче дела № А35-10589/2022 в Президиум ВАС РФ для пересмотра в порядке надзора данного постановления)).
Пример 3
Организация обанкротилась. Конкурсный управляющий попросил суд привлечь к субсидиарной ответственности по долгам банкрота директора организации, мотивируя это тем, что данные бухгалтерской отчетности организации за подписью директора были искажены, в результате чего существенно затруднено проведение процедур, применяемых в деле о банкротстве, в том числе формирование и реализация конкурсной массы. Это в силу п. 1 и 2 ст. 61.11 Федерального закона от 26.10.2002 № 127-ФЗ «О несостоятельности (банкротстве)» является основанием для привлечения контролирующего должника лица (в данном случае – директора) к субсидиарной ответственности по обязательствам должника.
В суде директор возразил, что он являлся номинальным руководителем, фактически обязанности по управлению организацией не исполнял, а его электронной подписью воспользовалось другое лицо (судьба ключа подписи ему неизвестна). При этом директор не представил доказательств нарушения конфиденциальности ключа электронной подписи и уведомления об этом соответствующего центра.
Суд отклонил эти аргументы и одобрил привлечение директора организации к субсидиарной ответственности по ее долгам, указав, что поскольку электронная подпись является аналогом собственноручной подписи, ответственность за ее исполнение лежит на ее владельце. Использование электронной подписи с нарушением конфиденциальности соответствующего ключа не освобождает владельца от ответственности за неблагоприятные последствия, наступившие в результате такого использования (см. Постановление АС Московского округа от 03.10.2022 № Ф05-14276/2022 по делу № А40-179170/16).
Решение по другому делу с похожими обстоятельствами и таким же результатом оформлено Постановлением АС Поволжского округа от 15.03.2021 № Ф06-42411/2022 по делу № А12-35538/2022.
Способ № 1
Уполномоченный представитель организации (например, сотрудник ОБ) приносит в ведомство документ, подтверждающий полномочия. Когда документ примут, подписывает отчетность своей электронной подписью.
В ФНС нужно принести бумажный оригинал доверенности от руководителя организации, а в ФСС — загрузить на портал ФСС скан доверенности и сертификат электронной подписи, которым будет подписываться отчетность.
В ПФР — подать «Уведомление о предоставлении полномочий представителю» (УПУП). УПУП можно предоставить в электронном виде, если руководитель подпишет его своей электронной подписью, либо занести в ПФР бумажный оригинал. Нужно ли дополнительно представлять бумажную доверенность, уточняйте у конкретного УПФР.
Подписывать отчетность представитель сможет своей электронной подписью юрлица (выдается на юрлицо ОБ с указанием личных данных представителя), подписью ИП (если ОБ является не юрлицом, а ИП) или электронной подписью физлица (выдается на представителя, содержит только его личные данные).
Способ № 2
Уполномоченный представитель организации (например, сотрудник ОБ) отправляет в ведомство машиночитаемую (электронную) доверенность, а потом сдает отчетность со своей электронной подписью.
Сейчас такой порядок работает с отчетностью в ФНС и ФСС. ПФР пока разрабатывают схему использования машиночитаемой доверенности.
Создать машиночитаемую доверенность для отчетности в ФНС можно на портале налоговой или в сервисе отчетности, например, Контур.Экстерне. Нужно заполнить электронную форму доверенности, отправить руководителю, чтобы он подписал ее своей электронной подписью юрлица или ИП. После этого доверенность отправится на проверку в ФНС.
Когда налоговая примет машиночитаемую доверенность, представитель сможет сдавать отчетность. Для этого он может использовать свою электронную подпись юрлица (выдается на юрлицо ОБ с указанием личных данных представителя), подписью ИП (если ОБ является не юрлицом, а ИП) или электронную подпись физлица (выдается представителю, содержит только его личные данные).
Эти два способа работают в течение 2022 года. Однако уже с 1 января 2023 года должен остаться только второй способ — отчетность через машиночитаемую доверенность. Новые правила введены 63-ФЗ «Об электронной подписи».
О порядке сдачи отчетности — всё. Теперь ответим на дополнительные вопросы.
- Трудоустройство представителя — ни в первом, ни во втором случае не является обязательным. То есть сотрудник ОБ может по доверенности (бумажной или машиночитаемой) сдавать отчетность.
- Электронная подпись представителя и должность в ней — подпись он получает либо на свою ОБ (указаны реквизиты ОБ, его должность в ней и личные данные представителя), либо только на себя (указаны его личные данные).
Сдачу отчетности через представителя первым «бумажным» способом популярные сервисы отчетности давно поддерживают. Контур.Экстерн и Тензор в их числе. Сдачу отчетности с помощью машиночитаемой доверенности поддерживают пока не все сервисы, а если и поддерживают, то только для налоговых отчетов.
В Контур.Экстерне оформление электронной доверенности ФНС доступно всем пользователям.
Чем опасна передача эп другим лицам?
1. Даже если электронный документ фактически заверяет с помощью ЭП кто-то кроме её владельца, то ответственность за такие действия, включая уголовную, несёт именно владелец ЭП.
Например, сотрудник фирмы с помощью ЭП руководителя представил в ФНС некорректную отчётность, что стало причиной неполной уплаты суммы налога или нарушения по налоговому вычету. Такие действия могут повлечь судебное разбирательство и ответственность по ст. 122 Налогового кодекса РФ.
2. Недобросовестный сотрудник с помощью ЭП первого лица компании может совершить мошеннические действия с деньгами или активами организации.
3. Компрометация ЭП потенциально влечёт её отзыв по инициативе налоговых органов (пп. 1 п. 6.1 ст. 14 закона № 63-ФЗ). Электронные документы, подписанные скомпрометированной ЭП, могут быть признанными недействительными.