Юридическая значимость электронного документа — Контур.Диадок — СКБ Контур

Основные факты

1. Юридическую силу электронному документу обеспечивают:
   • обязательные реквизиты в документе,
   • электронная подпись лица, действующего от своего имени или обладающего правом действовать от лица организации.
   • соблюдение формата и способа передачи документа (для документов, формализованных государством или ФОИВ)
2. КЭП — единственный вид подписи, который придает любому документу юридическую силу без необходимости подписывать  дополнительные соглашения между сторонами ЭДО. При соблюдении условий, перечисленных в 63-ФЗ, юридическую силу электронному документу могут придавать НЭП и простая подпись.  
3. Участники электронного документооборота могут использовать любой вид подписи по договоренности между собой. Исключение составляют только случаи, когда государство или ФОИВ обязывает или, наоборот, запрещает использовать определенный вид подписи.

А как у нас?

В России есть несколько стандартов, описывающих национальные алгоритмы ЭП, признаваемые нашим законодательством. Два из них (ГОСТ Р 34.10-94 и ГОСТ Р 34.10-2001) в настоящее время не действуют (от 2001 года имеет ограниченное действие в legacy-режиме), рабочим является

. Все УКЭП должны использовать алгоритм ГОСТ Р 34.10-2021 или ГОСТ Р 34.10-2001, чтобы считаться юридически признаваемыми. В целом, наши алгоритмы считаются вполне неплохими, построенными как раз на основе эллиптических кривых (не считая совсем устаревшего от 94 года).

в рамках

— за это плюс в карму.

В какой-то момент наши законодатели стали прибивать УКЭП гвоздями в разные сегменты гражданских отношений в России. Начали, естественно, с одной из самых обираемых групп субъектов — юридических лиц. В целом, идея здравая: перевести документооборот в электронный вид, убрать очереди из разных контролирующих контор, опять же, подорвать бизнес целлюлозных заводов и сохранить природу за счёт снижения объёма бумаги.

Но, так как законы принимаются в том числе без должной проработки и экспертизы (а иногда и вовсе в интересах определённого круга лиц, по ощущениям), так что всё в какой-то момент пошло не так. Государство обязало предпринимателей получать и продлевать ЭП каждый год (срок действия обычного ключа 12-15 месяцев), при этом самоустранилось от самого процесса выдачи такого важного атрибута, как ключ ЭП, отдав это на откуп коммерческим организациям — уполномоченным удостоверяющим центрам, на текущий момент их 445 с действующей аккредитацией не считая филиалов и представительств.

При этом, кроме того, что выдача ключа УКЭП сама по себе не бесплатна, было выбрано очень странное программно-аппаратное решение. Было принято решение заменить нормальные защищённые криптографические носители для закрытого ключа на более дешёвые, позволяющие производить копирование ключа (на самом деле не такие уж и дешёвые).

Так как такие носители не умеют сами работать с ключом, а по сути являются флешками с паролем, подтянулись софтверные коммерсанты, торгующие программными прослойками для операционных систем, которые проводят манипуляции с закрытым ключом ЭП, копируя его в оперативную память компьютера (SIC!), и при этом стабильно стоят денег.

Пикантности добавило тотальное невежество добровольно-прину́жденных пользователей ЭП и чудовищность программных решений для работы с ней. Например, чтобы настроить рабочий компьютер среднестатистического пользователя ЭП для работы с бухгалтерскими порталами всех мастей и электронными торговыми площадками, надо выполнить порядка 20 операций: скачиваний/устанавки кучи разномастного ПО сомнительного качества, сертификатов УЦ, произведения специфических настроек, чтобы всё это взаимодействовало и хоть как-то работало.

Не стоит даже упоминать, что этот ворох говнокода более-менее уверенно работает только в среде Windows (и не всегда последних версий), крайне ограниченно и с жуткими костылями работает в некоторых «гослинуксах» и абсолютно не работает на MacOS. Например, сайт налоговой всего менее года назад отучился работать только с Internet Explorer!

CC-BY-SA, Vadim Rybalko, Примерный список действий, которые выполняет скрипт-автоустановщик ПО для использования УКЭП. У УЦ СКБ Контур хоть есть такой сервис, некоторые УЦ просто дают инструкцию в DOC-файле.

Среднестатистический usecase с УКЭП в компании: кто-то (курьер или эникейщик) получает по доверенности от руководителя организации в УЦ ключ, передаёт его условной тёте Мане бухгалтеру, которая «подписывает» им документы от имени руководителя. Надо понимать, что суть УКЭП — аналог собственноручной подписи, а не подписи дяди условного Васи.

То есть, применение в данном виде уже претерпело существенные мутации. Надо не забывать, хоть ключ выдан и организации для работы с электронной отчётностью, он содержит в качестве квалифицирующих значений и данные физического лица — руководителя, на чьё имя данный ключ создан.

Это допускает вектор атаки против данного физического лица, единственным сдерживающим фактором которого является неразвитость электронных услуг с ЭП для физических лиц. И даже физический контроль над токеном с ключом является фикцией, так как любое лицо (тот же бухгалтер) может относительно незаметно для владельца просто скопировать ключ себе «в реестр», потому что «так удобнее». И это не говоря о пин-кодах по-умолчанию вида 12345678. Мрак и декаданс.

Отдельно стоит написать про электронную подпись для торговых площадок. Чтобы совершать сделки с бюджетными и околобюджетными структурами: что-то продавать или оказывать услуги, необходимо пройти через механизм тендера. Тендер осуществляются на электронных торговых площадках (ЭТП): специальных сайтах, где размещаются заказы, что-то типа аукциона.

Площадок достаточно много, как правило их держателями являются крупные окологосударственные организации. Чтобы быть аккредитованным участником ЭТП, нужно иметь электронную подпись, но только УКЭП, какой бы она ни была официальной и признаваемой государством не подойдёт.

Нет, разговор не о доверии к УКЭП, просто владельцы торговых площадок на этом зарабатывают. Технически электронная подпись для площадок та же УКЭП, но в состав сертификата дополнительно входят дополнительные идентификаторы, OID, которые дают право использовать данный ключ УКЭП на конкретной площадке.

Сделано это с той целью, чтобы получить за выпуск такой электронной подписи ощутимо больше денег, чем за выпуск обычной УКЭП. Доходит до нелепого сценария: чтобы продать что-то РЖД, нужно пройти через тендер, для которого надо получить ключ электронной подписи у конкретного УЦ, не любого.

РЖД может закупать не только вагоны и чугунные мосты, но и достаточно недорогой товар или заказывать услуги в малых объёмах. Технически, можно осуществить недорогую сделку и без тендера, но представители РЖД боятся так делать, могут по шапке настучать.

Поэтому они предлагают потенциальному поставщику зарегистрироваться на своей же карманной торговой площадке и откликнуться на специально подготовленный под поставщика заказ. Естественно, что такая схема в принципе попахивает нарушением принципов тендера, но для работников корпорации главное соблюсти бюрократический регламент.

Естественно, торговая площадка РЖД работает только для тех, кто имеет ключ электронной подписи, только в отличие от более крупных ЭТП, сотрудничает всего с четырьмя аккредитованными УЦ, из которых нет ни одного с разветвлённой сетью офисов по России, а один является просто оператором (владельцем) самой площадки.

Но если представителям РЖД очень надо получить уникальную услугу и поставщику проще им отказать в этом цирке с их ЭТП, то иногда они могут плюнуть на свой тендерный регламент и заказать сделку напрямую (основано на реальной истории). Получается, что вроде и нормальная УКЭП с одной стороны, но не подходит для ряда действий, для которых надо получать по сути такую же УКЭП у другого УЦ с иным набором дополнительных атрибутов.

Ряд уполномоченных УЦ вообще подозревают в халатном отношении к верификации персональных данных субъекта при выдаче ему УКЭП. Это должно было случиться, учитывая количество УЦ, которые развернули свою деятельность по всей территории страны. Хочется надеяться, что данные случаи всего лишь описывают факт невнимательности, а не умышленных действий.

И да, если кто-то успешно попробует получить УКЭП по подставным документам на моё имя, я даже не узнаю об этом! Причём я владею своей персональной УКЭП, то есть появится ключ-двойник. Отсутствует возможность узнать по сводному реестру, что на некое лицо выпущена УКЭП, у каждого УЦ свой реестр и процедуры доступа к нему.

Фактически нет доступного механизма отзыва УКЭП по заявлению без рассылки писем с нотариальным заявлением по адресам всех существующих УЦ. Более того, такие случаи не редкость, например PaulZi оказался в ситуации, когда на него оформили несколько подставных организаций путём получения УКЭП по подложным документам.

В своё время реальный пример раскрытия данных был на сервисе Госуслуги, куда можно было попасть по УКЭП, выданной руководителю организации, в его персональный личный кабинет на портале. Страшных действий натворить там было сложно, но всё равно для кого-то это будет неприятно.

А, например, тот же Росреестр, после ряда скандалов с переоформлением прав собственности на недвижимость с помощью УКЭП, был вынужден продавить законопроект (ещё не принятый, кстати), запрещающий совершать сделки с недвижимостью с использованием УКЭП, если заранее не разрешить такие операции для данного физического лица. То есть, сначала делаем откровенное архитектурное решето, а потом не меняем его, а просто ставим заплатки.

При разработке следующего проекта с применением УКЭП, ЕГАИС, разработчики пошли чуть более в сторону светлой стороны: допустили для работы в системе только те УКЭП, которые находятся в неизвлекаемом виде на честных криптографических токенах.

Это проблеск здравого смысла, жаль, только на рынке классических УКЭП продолжает царить криптографический нигилизм. Да, это возможно было всегда, но финансовые интересы производителей программных прослоек тоже надо обслуживать. Да и ежегодный выпуск ключа каждому юрлицу удостоверяющим центром тоже неплохое финансовое подспорье.

К слову, неизвлекаемые аппаратные ключи давно и успешно использует ряд банков в своих решениях дистанционного банковского обслуживания для организаций. Отдельным бенефитом таких решений является относительная абстрагированность криптографических вычислений с конкретным крипто-алгоритмом от поддержки данного алгоритма операционной системой.

Можно сказать, что ОС уже не обязана уметь работать с конкретным алгоритмом, а просто выдаёт задания: создай подпись для этого, или зашифруй это, а микропрограмма на аппаратном ключе уже выполняет указанные действия. И сразу не нужно никакое платное сумеречное ПО и всё отлично работает в любых браузерах, и даже на Маке.

Ну и нельзя не упомянуть весьма странный проект по запихиванию алгоритмов ГОСТ в мобильную телефонию, а именно в SIM-карты. Здравому анализу данная хотелка некоего круга лиц из числа russian silovik и подконтрольных «лицензированных» вендоров крипто-оборудования не поддаётся.

Выпуск электронной подписи при оказании сервисных услуг в качестве дополнительной услуги, без надлежащего информирования заявителя («укэп в придачу»)

Современный рынок диктует условия – сервис должен быть простым, понятным и проактивным. Организации, которые оказывают предпринимателям различные услуги, будь то регистрация ККТ или помощь в оформлении расчетного счета, в борьбе за клиента стараются сделать обслуживание максимально комфортным.

При этом в погоне за простотой и удобством часто опускаются важные детали. Например, могут не обратить внимание клиента на то, что при регистрации в качестве индивидуального предпринимателя необходимо подписать от его имени электронные документы. То есть сертификат электронной подписи выпускается, но клиент даже не знает об этом.

В таких случаях заявление на выпуск УКЭП, как и согласие на обработку персональных данных присутствуют в общей массе документов, которые подписываются при заключении договора на получение услуг. Либо такого рода дополнительная услуга прописана в договоре, но при этом не привлекает внимание, так как документ объемный, формулировки – нечеткие, а представитель обслуживающей организации не дает никаких дополнительных устных пояснений.

Дальше события могут развиваться в зависимости от добросовестности организации. УКЭП могут выдать вам на носителе с пакетом документов об оказании услуги, а могут хранить ее в «облачном» хранилище организации. УКЭП могут аннулировать сразу после оказания услуги, а могут продолжить использовать ее для совершения юридически значимых действий от вашего имени.

Как избежать получения “УКЭП в придачу”:

• прочитайте внимательно договор и другие документы в рамках сделки;
• обратите внимание, есть ли там слова “электронная подпись”;
• обратите внимание на условия выдачи УКЭП, как она хранится и аннулируется, кто обеспечивает ее сохранность;
• спросите у представителя обслуживающей организации: можно ли отказаться от выпуска УКЭП и для чего это вообще требуется. 

Далее действуйте по ситуации, оценив риски возможной компрометации электронной подписи в рамках предложенных условий.

Проверить, не выпущена ли на ваше имя УКЭП, можно в личном кабинете на Едином портале государственных и муниципальных услуг (Госуслуги). В разделе «Настройки и безопасность» необходимо выбрать «Электронная подпись». Здесь содержатся данные о выдавшем на ваше имя квалифицированную электронную подпись удостоверяющем центре, ее серийном номере и сроке действия.

Если вам стало известно о выдаче УКЭП на ваше имя без вашего ведома или о факте компрометации, то НЕМЕДЛЕННО аннулируйте ее, обратившись в удостоверяющий центр, в котором данная УКЭП выпущена. 

Если есть подозрение о мошенничестве с вашей электронной подписью, то обращайтесь в полицию. Если в полиции откажутся возбуждать дело, то можно обратиться в прокуратуру и Минцифры.

Где используется квалифицированная электронная подпись?

КЭП нужна, чтобы сдавать отчетность в контролирующие органы, участвовать в качестве поставщика и заказчика в электронных торгах, работать с государственными информационными системами, обмениваться формализованными документами с ФНС, вести электронный документооборот внутри компании или с ее внешними контрагентами.

Где купить эцп

Сегодня сделать покупку ЭЦП
можно быстро и легко. Для этого нужно отправить онлайн заявку в один из аккредитованных удостоверяющих центров и предоставить необходимые документы. В России действует более трех сотен таких организаций, полный список представлен на сайте Министерства цифрового развития, связи и массовых коммуникаций РФ.

Доверенная третья сторона

К началу страницы

Доверенная третья сторона (ДТС) – юридическое лицо, осуществляющее деятельность по проверке электронной подписи в электронных документах в конкретный момент времени в отношении лица, подписавшего электронный документ, для обеспечения доверия при обмене данными и электронными документами.

Функции и обязанности ДТС, а также требования к средствам ДТС, определены Федеральным законом от 27.12.2021 №476-ФЗ.

Юридические лица, претендующие на выполнение функций ДТС обязаны пройти процедуру аккредитации в соответствии с Федеральным законом от 27.12.2021 №476-ФЗ в порядке, установленном Минцифры России.

К основным функциям ДТС также относится деятельность по признанию электронных подписей, созданных в соответствии с нормами права иностранного государства и международными стандартами, которые соответствуют признакам усиленной электронной подписи.

Есть ли свет в конце тоннеля?

На самом деле есть. Безусловно, применение ЭП должно развиваться — это благо. По моему мнению, институт уполномоченных УЦ должен уйти. Это лишнее звено, к тому же и слабо контролируемое. Единственным ответственным за выдачу УКЭП должен стать орган власти, как и в большинстве стран.

Самым рациональным выглядит сценарий некоторых стран: выдача УКЭП в составе электронной удостоверяющей личность карты, что сразу ограничит ряд векторов атак, так как УКЭП будет одна на человека и в виде, исключающем сознательную передачу ключа иному лицу на постоянной основе.

Та же передача ключа условному бухгалтеру — невежество, надо передавать полномочия, а бухгалтеру делать свой ключ на его имя (а с УКЭП на ID-карте достаточно просто передать полномочия, ключ к этому моменту у бухгалтеру уже будет свой). Но пока, возможно, никто этим не заморачивается.

. Посмотреть в сторону

, как наиболее прогрессивного и элегантного.

Здесь отдельная боль по поводу нормального пластикового удостоверения личности взамен морально устаревшему российскому внутреннему паспорту. При неспособности взять и сделать как все (а всё придумано до нас), мы выдумываем свой особый путь с берёзовым соком и кокошниками, проектируем каких-то монстров в интересах коммерческого банка (SIC!) — это камень в огород УЭК.

История приключения Сбербанка с УЭК тянет ещё на один обзор, так как в ней много боли. Сегодня снова заговорили об ID-картах, но теперь уже Ростелеком тянет одеяло на свою сторону и предлагает очередного франкенштейна, вместо того, чтобы взять спецификацию ICAO, обмазать её любимым ГОСТом (смарт-карты и не такое переживали) и пустить в опытную эксплуатацию.

Вот тогда заживём (если доживём)!

Немного о себе: системный и сетевой администратор, крипто-энтузиаст, коллекционирую банковские карты (порядка двух тысяч штук) и удостоверения личности различных стран, топлю за здравый смысл.

Как у них?

В ряде цивилизованных стран ключ ЭП выдаётся гражданам вместе с пластиковым идентификатором личности. Так как ID выдаётся государственным органом власти, ключ ЭП в составе ID также выдаётся государством и равняется сроку действия самого удостоверения.

В большинстве случаев тем, кто желает пользоваться электронной подписью, достаточно докупить копеечный считыватель смарт-карт и поставить на компьютер комплекс ПО для взаимодействия с ключом и работы с ЭП. Такие удостоверения используют индустриально стандартизированные параметры, так как за их выпуском «приглядывает» международный орган по стандартизации

. ИКАО (ICAO) на самом деле не для того создана, чтобы заниматься стандартизацией удостоверений личности, так как это вообще-то Международная организация гражданской авиации, стандартизирующая всякое в авиации. Но так повелось, что миграционный контроль граждан — немалая часть обязанностей авиаперевозчиков и наземных авиаслужб, поэтому ИКАО взялись и за стандартизацию проездных документов, среди которых паспорта всех видов и идентификационные карты, выпустив серию стандартов 9303 в

. А так как большинство государств стало внедрять ЭП как дополнительное приложение на смарт-карте персонального удостоверения личности, это обеспечило хоть какую-то совместимость электронной составляющей таких ID от страны к стране, в том числе по части алгоритмов ЭП.

Основные атрибуты идентификационной карты соответствующей стандарту ICAO. Образец документа крупного производителя пластиковых карт Oberthur

С другой стороны, основные операционные системы содержат в себе встроенные программные реализации всемирно признанных криптоалгоритмов, что делает возможным обмен подписанными документами и проверку ЭП среди контрагентов из разных стран.

Квалифицированная электронная подпись

Квалифицированная электронная подпись (или КЭП) — это вид подписи, который основывается на инфраструктуре закрытых и открытых ключей,  создается с помощью криптографических алгоритмов и максимально стандартизирован государством:

• программное обеспечение для работы с КЭП должно быть сертифицировано ФСБ России,
• структуру сертификата также определяет ФСБ,
• выдавать КЭП может только удостоверяющий центр, имеющий аккредитацию Минкомсвязи России.

КЭП подтверждает личность владельца и не позволит незаметно внести изменения в подписанный файл. Любой документ, если он был подписан квалифицированной электронной подписью,  в силу 63-ФЗ признается равнозначным документу на бумажном носителе, который был подписан собственноручной подписью.

Для некоторых видов электронных документов государство установило требование подписывать их только квалифицированной электронной подписью. Речь идет о формализованных документах: счетах-фактурах, УПД и их корректировках.

Чтобы формализованные электронные документы имели юридическую силу, необходимо:

• создать их в соответствии с форматам, утвержденным органом исполнительной власти,
• передать в соответствии с утвержденным порядком,
• подписывать квалифицированной электронной подписью.

Неквалифицированная электронная подпись

НЭП также создается с помощью криптографических алгоритмов, базируется на технологии открытого и закрытого ключа, но в порядке ее выпуска больше свободы:

• для средств электронной подписи не нужна сертификация ФСБ,
• нет строгих требований к структуре сертификата,
• чтобы выпускать НЭП, не нужна аккредитация Минкомсвязи.

В то же время 63-ФЗ устанавливает дополнительное условие для того, чтобы документ, подписанный НЭП, имел юридическую силу. Для этого необходимо соблюсти одно из двух условий:

• В первом случае эта возможность должны быть прописана в отдельном нормативно-правовом акте, который утверждает государство или федеральный орган исполнительной власти (далее — ФОИВ).
• Во втором случае участники ЭДО самостоятельно заключают соглашение, в котором договариваются, что НЭП обеспечивает юридическую силу тем документам, которыми они обмениваются (ч. 2 ст. 6 № 63-ФЗ).

В этом соглашении нужно прописать требования к реквизитам, форме и формату документов, виду подписи. Если такое соглашение есть, электронные документы, подписанные  сторонами НЭП, будут иметь юридическую силу.

Например, головная организация ведет электронный документооборот со своими «дочками». Между ними есть соглашение о том, что юридическую силу документам придает  НЭП. Однако если подписать НЭП договор с внешним контрагентом, он не будет иметь юридической силы без дополнительного соглашения с ним. Так же, как ФНС не примет счет-фактуру, подписанную НЭП.

Обобщённый принцип работы эп

Если на пальцах попробовать объяснить, что такое электронная подпись и как она, чёрт возьми, работает, то получится примерно такое тезисное описание.

Есть группа асимметричных криптоалгоритмов «с открытым ключом». У владельца формируется взаимосвязанная пара из двух ключей: закрытый и открытый ключ. Закрытый, или приватный ключ строго хранится у владельца и является тайной. 

Открытый, или публичный ключ неотъемлемый от приватного и может свободно передаваться кому угодно. С помощью открытого ключа можно зашифровать некую информацию так, что расшифровать её сможет только владелец закрытого ключа и никто ещё (даже тот, кто зашифровал данные).

С помощью закрытого ключа можно сформировать подпись исходной информации, при передаче такого файла совместно с подписью, получатель, заранее имеющий публичный ключ владельца, может вычислить, что файл не был видоизменён в процессе и подписан именно тем лицом, которое владеет закрытым ключом.

CC-BY-SA, Иллюстрация процессов подписывания и проверки подписи при применении асимметричного шифрования, Wikipedia.

Очевидно, что точка доверия — владелец ли передал ранее свой публичный ключ или кто ещё? Для того, чтобы каждому не устанавливать с каждым заранее пиринговых доверительных отношений, придумана PKI (Public Key Infrastructure, Инфраструктура публичных ключей).

Чтобы публичный ключ отправителя, владельца ключа ЭП, был доверенным по умолчанию получателем без установки отношений, его может подписать общий доверенный обеими сторонами участник. Он называется «удостоверяющим центром», УЦ. Технически, УЦ добавляет к публичному ключу владельца набор дополнительных свойств (как правило: срок действия, текстовое описание владельца, набор служебных идентификаторов), после чего этот бутерброд уже подписывает своим закрытым ключом.

Публичный ключ УЦ может быть также удостоверен публичным ключом иного УЦ (иногда и нескольких, это называется кросс-подпись). Таким образом, получатель может не иметь открытого ключа непосредственно УЦ отправителя, а может иметь открытый ключ вышестоящего УЦ, который в свою очередь подписал открытый ключ УЦ отправителя. Цепочка проверки удлинится, но всё равно построить цепочку доверия будет возможно.

Дополнительно при формировании ЭП для документа в этот бутерброд добавляется важный ингредиент — штамп времени, timestamp. Это метка реального времени из доверенного источника, подписанная также ЭП сервера точного времени. Она уникальна и создаётся для конкретного документа.

Одни ли мы такие д’артаньяны?

При подготовке статьи с удивлением обнаружил ещё нескольких представителей клуба искателей своего пути. По странному стечению обстоятельств, они тут, под боком: белорусы выдумали свой алгоритм

(крайне схожий с ГОСТ), а украинцы —

. Особенности алгоритмов расписаны в прекрасном

. Обе страны даже не удосужились описать свои стандарты в IETF RFC, в отличие от

. Там скорее всего свои мыши с кактусами в практическом применении, о которых нам не ведомо, но нам и своего хватает.

Перспективы

Есть мнение о закате «классической» криптографии по мере развития квантовых вычислений. В определённый момент станет возможным обойти базовый принцип защиты закрытого ключа — невозможность его восстановления из открытого за вменяемый промежуток времени. Эта проблематика относится к области криптографии —

. В целом, подходы к PKI это особо не меняет, этот вопрос больше относится к выбору конкретных криптографических алгоритмов.

Ещё одной механикой подтверждения личности является биометрическая аутентификация. Как любая биометрия, такие данные не могут выступать вектором генерации закрытого ключа, так как априори биометрические параметры доступны для считывания без контроля владельца, так как всегда на виду у всех (отпечатки пальцев, рисунок радужной оболочки глаза, голосовой профиль).

Технологии считывания биометрических данных у их владельца постоянно находятся под прессом технических способов воспроизведения этих данных без участия владельца на основе ранее сделанной записи. Это вполне действующая технология, которая имеет определённые ограничения. То есть, это не замена электронной подписи и модели PKI, а отдельный механизм со своей нишей использования.

Отдельно стоит кратко рассказать про «облачную электронную подпись». Как и все термины, имеющие в своём составе слово «облачный», данная технология не является чем-то волшебным: это всего навсего хранение ключевой пары владельца (включая закрытый ключ) на некоем сервере в сети Интернет.

Криптографические операции аналогично производятся на удалённом компьютере, по сути, владелец ЭП не контролирует свой закрытый ключ никак. В России появились сервисы облачной подписи, один из первых стала предоставлять ФНС для личного кабинета физических лиц, а сейчас такие сервисы предоставляются некоторыми поставщиками «облачной бухгалтерии».

По факту это появилось исключительно из-за проблем совместимости нашей УКЭП с компьютерами и иными электронными устройствами конечных пользователей. Какие бы ни давали заверения поставщики таких услуг, реальная защищённость таких решений от неправомерных действий поставщика, его сотрудников или третьих лиц остаётся только на совести такого поставщика.

Большинство технически подкованных людей отмечают эту технологию как профанацию криптографии, в том числе направленную на то, чтобы под любым благовидным предлогом отнять закрытый ключ подписи у владельца этого ключа и положить в доступное для нужных служб хранилище.

Преимущества использования электронно-цифровой подписи

Использование электронно-цифровой подписи позволяет:

• значительно сократить время, затрачиваемое на оформление сделки и обмен документацией;

• усовершенствовать и удешевить процедуру подготовки, доставки, учета и хранения документов;

• гарантировать достоверность документации;

• минимизировать риск финансовых потерь за счет повышения конфиденциальности информационного обмена;

• построить корпоративную систему обмена документами.

Простая электронно-цифровая подпись

Обращение заявителей – юридических лиц за получением государственных и муниципальных услуг осуществляется путем подписания обращения уполномоченным лицом с использованием простой электронной подписи.

Использование простой электронной подписи для получения государственной или муниципальной услуги допускается, если федеральными законами или иными нормативными актами не установлен запрет на обращение за получением государственной или муниципальной услуги в электронной форме, а также не установлено использование в этих целях иного вида электронной подписи

Противодействие мошенничеству в области применения электронной подписи

К началу страницы

Подпись – один из важных реквизитов документа. Без нее он не имеет никакой юридической значимости. 

Усиленная квалифицированная электронная подпись (УКЭП) признается равнозначной «живой» подписи (ч.2 ст.6 Федерального закона от 06.04.2021 № 63-ФЗ). Но есть риски мошеннического использования УКЭП, выданной на ваше имя, например:  

• На ваше имя могут оформить микрокредиты; 
• Ваш автомобиль могут продать без вашего ведома;
• Вас могут сделать номинальным руководителем фирмы-однодневки;
• Вашу компанию могут переоформить на другое лицо, вывести деньги фирмы на другой счет, незаконно возместить НДС и др. 

Как избежать перечисленных рисков? В этом разделе описаны различные жизненные ситуации, которые могут привести к мошенничеству с УКЭП. ФНС обращает внимание, что это не список потенциальных преступлений, а перечень ситуаций, когда стоит быть особенно внимательным.

Только бумага

Несмотря на бурный рост ЭДО, есть сферы, где допустим только бумажный документооборот и требуется проставление только собственноручных подписей. Преимущественно это зона трудового законодательства, которое пока не столь прогрессивно, хотя эксперимент по внедрению электронного документооборота проводится.

В ТК РФ есть многочисленные нормы, обязывающие работодателя или работника оформлять некоторые связанные с трудом документы в письменном виде и/или знакомить с ними работников под роспись (см. ст. 19.1, 22, 57, 60.2, 62, 64, 65, 67, 68, 71, 72, 72.1, 72.

2, 73, 74, 76, 79, 80, 81, 82, 83, 84, 84.1, 92, 94, 96, 99, 113, 117, 123, 124, 126, 127, 128, 131, 136, 142, 174, 180, 185.1, 188, 193, 196, 200, 222, 229, 232, 243, 244, 245, 247, 248, 259, 261, 262, 263, 280, 288, 290, 292, 296, 303, 306, 309, 319, 327.6, 332, 336.1, 336.2, 341.2, 342, 344, 348.2, 348.4, 348.6, 348.12, 349.1, 350, 351.5, 375, 377, 379 и 414 ТК РФ).

При отсутствии прямого запрета на ЭДО его можно применять в трудовых отношениях, хотя Минтруд России и Роструд почему-то придерживаются мнения, что в этих случаях будет уместно использование только УКЭП как со стороны работодателя, так и работника (см.

Письмо Минтруда России от 06.03.2020 № 14-2/ООГ-1773, Доклад с руководством по соблюдению обязательных требований, дающих разъяснение, какое поведение является правомерным, а также разъяснение новых требований нормативных правовых актов за 1 квартал 2021 г., утв. Рострудом).

Юридическая сила пэп

Простая подпись приравнивается к собственноручной, если это регламентирует отдельный нормативно-правовой акт или между участниками ЭДО заключено соглашение, где прописаны:

Во многих информационных системах пользователь должен сначала подтвердить свою личность во время визита к оператору систему, чтобы его ПЭП в будущем имела юридическую силу. Например, для получения подтвержденной учетной записи на портале Госуслуг, нужно лично прийти в один из центров регистрации с документом, удостоверяющим личность.

Получить электронную подпись