У организаций воруют деньги с помощью поддельной электронной подписи. Мы узнали историю компании, которая столкнулась с таким мошенничеством и выяснили, как защититься.

Что делать, если у компании воруют деньги с помощью поддельной электронной подписи

Инспекторы сообщили компании, что за ней числится переплата, которой быть не должно. Оказалось, кто-то сдал за организацию уточненку и снизил сумму к уплате. Декларацию заверили электронной подписью директора.

• Важная статья:

Налоговики рассказали, что у организации две электронные подписи, хотя она оформляла только одну. Инспекторы назвали удостоверяющий центр, который выпустил вторую подпись. Руководитель обратился туда и выяснил, что сертификат выдали по фальшивым документам. Директор его аннулировал.

С дублем электронной подписи мошенники могли перевести себе переплату компании, если им удалось бы открыть счет от ее имени. Мы спросили в удостоверяющих центрах, как защититься от такого мошенничества. В центрах знают о злоупотреблениях, но не могут их исключить.

«Центр выдает сертификат по доверенности и копиям документов. Их легко подделать. Но сотрудник центра не вправе отказаться оформлять подпись представителю компании, если он принес все нужные документы», - рассказал Михаил Добровольский, замруководителя УЦ СКБ Контур по технологическим вопросам.

У компаний есть выход - проверять, не выпустил ли кто-то от их имени электронную подпись. В этом помогут налоговики. Инспекторы рассказали нам, что по запросу директора дадут сведения обо всех электронных подписях компании. Если появились лишние, их надо срочно аннулировать.

К заявлению инспекторы просят приложить документы, которые подтверждают обращение в полицию. Например, копию уведомления о возбуждении уголовного дела. Тогда налоговики заблокируют прием документов с посторонними подписями.

М.Г. Мошкович, юрист

Кто ответит за электронную подпись?

Изучаем последствия передачи своей ЭП другим сотрудникам

Рассмотренные в статье судебные решения можно найти: раздел «Судебная практика» системы КонсультантПлюс

Использование электронной подписи (ЭП) получило широкое распространение в хозяйственной практике. Однако ЭП воспринимается скорее как удобный инструмент документооборота, нежели как личная подпись конкретного лица. Ее получение стоит недешево, поэтому, вместо того чтобы оформить электронную подпись нескольким сотрудникам, ЭП одного лица нередко передают в пользование другому. И даже иногда оформляют этот факт приказом (к примеру, когда руководитель или главбух уходит в отпуск либо по иным причинам отсутствует в офисе).

Рассмотрим, насколько это законно и каковы могут быть последствия таких действий.

Что говорит закон

Согласно ГК РФ электронная подпись - это аналог собственноручной подпис ип. 2 ст. 160 ГК РФ . А руку свою вы передать никому не можете, равно как и право пользования ею. Таким образом, передача электронной подписи другому лицу - это нонсенс. Законно использовать ЭП может только тот, на кого она оформлена.

Именной характер ЭП исключает и оформление доверенности на ее использование. Можно уполномочить другого человека сделать что-то в ваших интересах, для чего ему понадобится подписываться за вас. Но представитель, конечно же, будет ставить свою подпись на документах, а не вашу.

Казалось бы, все очевидно, но у нас есть еще и Закон об электронной подписи. Его формулировки довольно противоречивы и многих ввели в заблуждение.

Так, Закон обязывает владельцев ключа ЭП сохранять его конфиденциальность и не использовать ключ в случае ее нарушени яподп. 2 п. 2 ст. 9 , пп. 1, 3 ст. 10 Закона от 06.04.2011 № 63-ФЗ (далее - Закон № 63-ФЗ) . Что такое конфиденциальность? Это сохранение секретности информации от других лиц, исключение ее утечки. Значит, никто, кроме вас, не должен иметь доступа к ключу.

Закон также говорит, что ЭП должна позволять определить конкретное лицо, подписывающее докумен тп. 1 ст. 2 Закона № 63-ФЗ . Если ЭП пользуется ее владелец, то это условие выполняется. А если иное лицо? Пользователь электронного документа все равно видит только данные владельца, понять, кто его «замещает», нет возможности. Следовательно, пользователь получит неверную информацию, проще говоря, будет обманут.

Однако прямого запрета на передачу ключа электронной подписи в Законе нет.

Больше того, в качестве разъяснения правила о конфиденциальности Закон об электронной подписи требует не допускать использование ключа усиленной ЭП без согласия его владельц ап. 1 ст. 10 Закона № 63-ФЗ . Что и порождает ошибочное мнение о законности передачи ЭП, если ее владелец не возражает против этого.

Что происходит на практике

Так, даже Минкомсвязи, уполномоченный орган в сфере использования ЭПп. 1 Положения, утв. Постановлением Правительства от 02.06.2008 № 418 , не видит проблемы в передаче электронной подписи, оформленной на одно лицо, другому лицу. Пресс-служба ведомства сообщила нам следующее.

ИЗ АВТОРИТЕТНЫХ ИСТОЧНИКОВ

Пресс-служба Минкомсвязи

“ Участники электронного взаимодействия обязаны не допускать использование принадлежащих им ключей электронной подписи без их согласи яст. 10 Закона № 63-ФЗ . То есть в принципе использование ключа ЭП, принадлежащего одному лицу, другим лицом допускается, прямого запрета на это в законе нет.

При этом передавать сертификат ключа проверки электронной подписи другому сотруднику организации можно исключительно в случае наделения его полномочиями действовать от имени компании в том же объеме, что и сотрудник - владелец квалифицированного сертификата. Предоставление полномочий оформляется приказом руководителя организации, также необходимо получить согласие владельца сертификата ключа проверки на использование этого сертификата другим лицо м” .

Аналогичное мнение высказал и специалист Федеральной налоговой службы.

ИЗ АВТОРИТЕТНЫХ ИСТОЧНИКОВ

Советник государственной гражданской службы РФ 2 класса

“ При использовании усиленных электронных подписей участники электронного взаимодействия обязаны обеспечивать конфиденциальность ключей ЭП, в частности не допускать использование принадлежащих им ключей ЭП без их согласи яп. 1 ст. 10 Закона № 63-ФЗ . Таким образом, при наличии волеизъявления участник электронного взаимодействия может допустить использование ключа ЭП третьим лицо м” .

А вот разработчик программного обеспечения, к которому мы обратились за консультацией, сомневается в законности передачи ключа ЭП.

ИЗ АВТОРИТЕТНЫХ ИСТОЧНИКОВ

Ведущий разработчик программных продуктов компании «Бухсофт.ру»

“ Использование любого вида электронной подписи должно так или иначе говорить о том, что подпись сделана конкретным лицо мст. 5 Закона № 63-ФЗ . Для этого в Законе и прописана обязанность обеспечить конфиденциальность ключей. Поэтому смысл издания приказа о передаче ключа считаю спорны м” .

Возможные риски передачи ЭП

Поскольку нормативного запрета нет, люди часто рассуждают таким образом: ну да, использовать чужую ЭП неправильно, но мы же для дела, никому от этого хуже не будет, а пользователи нашей электронной документации ничего не узнают. Однако это не всегда так. Прежде всего, когда вы доверяете свою ЭП другим людям, контроль за конфиденциальностью ключей неизбежно снижается. Ваш «заместитель» может просто проявить невнимательность и допустить, чтобы ЭП воспользовался посторонний, либо неосторожно словить вирус, который скачает информацию. В результате ЭП попадет к жуликам и организация потеряет деньги или информацию. Но есть и другие опасности.

Рассмотрим судебную практику из различных сфер применения ЭП.

Банки

Как правило, сотрудники банков в курсе, что ЭП не всегда использует то лицо, на которое она оформлена. Что не означает, будто банк признает это законным. Просто риски, связанные с нарушением конфиденциальности ЭП, несет клиент. Это следует из Закон ап. 1 ст. 854 , п. 1 ст. 845 , п. 3 ст. 847 ГК РФ и всегда четко прописывается в договоре. Поэтому если со счета организации с помощью вашей ЭП незаконно спишут деньги, убытки с банка взыскать не получитс яПостановления АС ЗСО от 20.02.2015 № А27-5335/2013 ; ФАС МО от 05.08.2014 № А40-82734/2013 . Суды считают, что банк обязан исполнять платежное поручение, подписанное корректной ЭПп. 1 ст. 845 ГК РФ . Возмещение понесенного ущерба можно требовать только со злоумышленников, каким-либо образом получивших доступ к ЭП сотрудника. Но для этого их надо сначала установить.

Важно отметить, что выявляемые в суде факты передачи ЭП другим лицам всегда оцениваются как нарушение договора со стороны клиента банка.

Так, во время внезапного отключения компьютера, на котором стояла программа «Клиент-Банк», с расчетного счета ООО было списано более 1,7 млн руб. Спор с банком о взыскании убытков общество проиграло. Судьи указали, что платежное поручение было подписано действующей ЭП директора, а ООО нарушило условия договора с банком об обеспечении конфиденциальности. В частности, носитель с главным ключом и ЭП директора ООО был передан главному бухгалтеру, у которого он хранился в сейф еПостановление ФАС ЦО от 03.09.2013 № А35-10589/12 .

В другом случае 96 тыс. руб. «ушли» со счета ООО на основании платежного поручения, подписанного ЭП уже уволенного директора (о назначении нового в банк не сообщали). А пользовался этой ЭП, как установило следствие, вообще бухгалтер. Суд отметил, что ООО не обеспечило режим секретности ключа ЭП и передало его в пользование третьему лицу, чем нарушило требования Закона об ЭП. Во взыскании денег с банка было отказан оПостановление ФАС ЗСО от 05.12.2011 № А21-8586/2010 .

Контрагенты

Если документ, с которым не согласна организация, подписан действующей ЭП ее сотрудника, то отвертеться от документа вряд ли удастся. Так, суд принял решение о взыскании с ООО задолженности по договору поставки, хотя организация утверждала, что не получала спорного товара. При этом в наличии была товарная накладная, подписанная ЭП работника компании. По мнению организации, этой ЭП воспользовалось некое неуполномоченное лицо. В процессе разбирательства было установлено, что договор ООО с поставщиком предусматривал использование ЭП при составлении первички, в том числе и формы № ТОРГ-12. ЭП ответственного лица признали действительно йПостановление ФАС ВВО от 11.08.2010 № А43-5226/2010 .

Если спора нет, но контрагент узнал, что ЭП руководителя применил другой сотрудник, к примеру, при подписании контракта, это не так страшно. По правилам ГК РФ организация может направить письмо другой стороне о том, что она одобряет сделку, совершенную неуполномоченным лицом, и таким образом снять проблем уп. 1 ст. 183 ГК РФ .

Госзакупки

Довольно неприятные последствия использования чужой ЭП могут быть у организаций, участвующих в госзакупках. В судебной практике есть случай, когда ООО в результате на 2 года оказалось в реестре недобросовестных поставщиков. А дело было так: генеральный директор подписал госконтракт по результатам открытого аукциона электронной подписью своего предшественника (собственную ЭП на момент подписания ему не успели оформить). Когда сведения о дате назначения нового директора появились на сайте электронной торговой площадки, нестыковку заметил заказчик. Он направил жалобу в УФАС, указав, что контракт подписан неуполномоченным лицом. В результате антимонопольщики пришли к выводу о том, что ООО уклонялось от заключения госконтракта, и наказали организаци юПостановление ФАС ЦО от 05.03.2012 № А23-2637/2011 .

ИФНС

Как показывает практика, подписание деклараций неуполномоченным лицом иногда может создать проблемы для организации. К примеру, в Новосибирске налоговики заблокировали счет компании, случайно узнав из допроса директора, что его ЭП при подписании ранее поданной декларации использовал другой сотрудник. Инспекторы решили, что такую декларацию следует считать неподанной, однако за организацию заступился суд. Дело в том, что декларацию нельзя не принять по ТКС, если она соответствует формат уп. 4 ст. 80 НК РФ . А раз она была принята, значит, блокировка незаконн аПостановление ФАС ЗСО от 21.06.2011 № А45-20993/2010 .

Справедливости ради отметим, что инспекторы и сами не придают значения информации о том, кто пользовался ЭП руководителя, если это в их интересах. Так, они приняли декларации, подписанные ЭП бывшего директора (хотя данные о прекращении его полномочий уже были внесены в ЕГРЮЛ), и исчислили на их основании недоимку, пени и штрафы. В процессе по делу о банкротстве этой организации конкурсный кредитор пытался исключить требования ИФНС из реестра, доказывая, что такие декларации недействительны, но суд ему отказа лПостановление ФАС УО от 04.08.2014 № Ф09-6411/12 . Не смог оспорить действия налоговиков и сам бывший директор, заявивший в суде о применении его ЭП другими лицами. Суд решил, что ИФНС обязана была принять декларации, подписанные действующей ЭПАпелляционное определение Судебной коллегии по гражданским судам Челябинского облсуда от 07.04.2014 № 11-3065/2014 .

Как видим, суды не рассматривали вопрос о правомерности использования ЭП директора другим сотрудником, а просто исходили из оснований отказа в приеме декларации. Как будет решаться вопрос, если налоговики также случайно (к примеру, из приказа о передаче полномочий) узнают о том, что ЭП главбуха при подписании электронных счетов-фактур применял другой сотрудник, сказать сложно. По крайней мере, возможность отказа в возмещении НДС вашим контрагентам исключать нельз япп. 2 , 6 ст. 169 НК РФ .

Нужен ли приказ о передаче ЭП

РАССКАЗЫВАЕМ РАБОТНИКУ

Ответственным за использование ЭП, оформленной на имя работника, всегда остается он сам, даже при наличии приказа о передаче права пользования ЭП другому лицу.

Во-первых, организация в принципе не вправе решать, кто будет пользоваться ЭП. Владельцем ЭП является физическое лицо. Просто когда ЭП оформлена для сотрудника компании, то пользователь электронного документа видит его ф. и. о., должность и название организаци ип. 3 ст. 14 Закона № 63-ФЗ . Таким образом, ЭП всегда персонифицирована и принимать решение о том, кому ее доверить, может только сам сотрудник - владелец ЭП.

Неперсонифицированную ЭП может получить только госорган для использования при оказании госуслуг. При этом сертификат ключа проверки ЭП оформляется на имя госоргана, а пользователи ЭП определяются его распорядительным акто мп. 3 ст. 14 Закона № 63-ФЗ .

Во-вторых, ответственность за использование ЭП лежит на ее владельце, независимо от оформления приказов, доверенностей или каких-либо других документов. Электронные документы, подписанные вашей ЭП, признаются равными бумажным документам, подписанным вами лично своей руко йп. 2 ст. 6 Закона № 63-ФЗ . И в случае, к примеру, несанкционированного списания денег со счета именно вам придется пережить неприятные моменты: вызов к следователю, представление объяснений и т. д.

ИЗ АВТОРИТЕТНЫХ ИСТОЧНИКОВ

“ Непосредственно за передачу ключа ЭП другому лицу ответственности нет. Могут быть последствия нарушения конфиденциальности - в зависимости от того, какой документ, кем и для чего подписан. При этом электронный документ, подписанный ключом ЭП, по умолчанию признается подписанным лицом, за которым «числится» этот ключ. Поэтому в случае недоразумений или конфликтов доказывать факт несанкционированного использования ключа придется именно этому лицу” .

Конечно, приказ подтверждает, что передачу ЭП одного сотрудника другому санкционировало руководство. Так что, с одной стороны, он нужен сотрудникам для подстраховки:

• владельцу ЭП - чтобы в случае чего претензий к нему не возникло у самой компании;
• временному пользователю ЭП - чтобы компания не обвинила его в том, что он использует чужую ЭП самовольно.

С другой стороны, расписываясь в таком приказе, владелец ЭП допускает нарушение конфиденциальности ключа. А по Закону это обязывает вас немедленно обратиться в удостоверяющий центр для прекращения действия сертификат ап. 6 ст. 17 Закона № 63-ФЗ . Так что лучше просто не доверять вашу ЭП никому.

Использование ЭП работниками предпринимателя

Свою электронную подпись нередко передают работникам в пользование и индивидуальные предприниматели. Это связано не только с отсутствием прямого запрета на передачу ЭП, но и с другими причинами. Вот некоторые из них.

Не урегулировано получение ЭП работниками предпринимателя

Отдельных правил по оформлению ЭП для работников предпринимателя в Законе нет. В результате создается впечатление, что физическое лицо может получить ЭП только какпп. 2, 3 ст. 14 Закона № 63-ФЗ :

• <или> обычный гражданин;
• <или> работник организации.

Тем не менее предприниматель вправе оформить ЭП своему работнику. Это нам подтвердили и специалисты.

ИЗ АВТОРИТЕТНЫХ ИСТОЧНИКОВ

“ Если индивидуальный предприниматель хочет оформить ЭП для своего работника, то ему нужно представить в удостоверяющий центр документы, подтверждающие право этого физического лица действовать от имени предпринимателя (доверенность, договор). Из документов должны следовать также ограничения использования такого сертификата (то есть объем полномочий, в рамках которого будет действовать физическое лицо - владелец сертификата). Указанная информация будет внесена в сертификат ключа проверки ЭПп. 2 ст. 14 Закона № 63-ФЗ ” .

Пресс-служба Минкомсвязи

ИЗ АВТОРИТЕТНЫХ ИСТОЧНИКОВ

“ В квалифицированный сертификат можно включать дополнительную информацию о владельце сертификат ап. 17 Приказа ФСБ от 27.12.2011 № 795 . Не запрещается включать и сведения о должности работника индивидуального предпринимателя. Важно, чтобы система электронного документооборота, с которой предполагается использовать сертификат с дополнительными реквизитами, смогла правильно этот сертификат воспринять и не посчитать ошибочным из-за «лишней» информации, а также показать соответствующее поле для сертификата физического лица. Эти подробности может подсказать разработчик конкретной системы. Включение информации в тот или иной сертификат обсуждается с удостоверяющим центром, который будет этот сертификат формироват ь” .

Ведущий разработчик программных продуктов компании «Бухсофт.ру»

Электронный счет-фактура, подписанный ЭП представителя предпринимателя, может повлечь отказ в вычете НДС

С 1 июля 2014 г. в НК были внесены поправки: представителям ИП разрешили подписывать счета-фактуры по доверенност ип. 6 ст. 169 , п. 3 ст. 29 НК РФ . Однако специальные нормы в отношении электронных счетов-фактур остались прежними: тут требуется усиленная квалифицированная подпись самого ИП.

Скорее всего, это просто очередная недоработка законодателя. Тем более что подзаконный акт допускает подписание электронных счетов-фактур по доверенности от ИПподп. «а» п. 2.1 Порядка, утв. Приказом Минфина от 25.04.2011 № 50н , а судебная практика и ранее была в этом вопросе на стороне предпринимател яп. 24 Постановления Пленума ВАС от 30.05.2014 № 33 . Но мало кому хочется судиться.

Резюмируя, можно сказать так: для организации и ИП безопасней, чтобы ЭП была у каждого сотрудника, которому необходимо ею пользоваться. Если этот вариант по каким-то причинам не годится, то можно сделать незаменимому сотруднику удаленный доступ к сервису электронного документооборота с тем, чтобы он мог подписать документ откуда угодно.

Для работника же (директора или бухгалтера) лучше не соглашаться на передачу права пользования своей ЭП другим лицам - не придется отвечать за чужие ошибки или за что похуже. Это все равно что оставить коллегам стопку чистых листов со своей подписью. Главное, помните - передавать ЭП без вашего согласия организация не имеет права.

Все больше новых технологий и терминов приходят в нашу жизнь. И далеко не все успевают эти технологии освоить и даже понять, для чего они. Сегодня мы поговорим об электронной подписи - новой технологии и явлении, с каждым днем получающим все более широкое распространение.

По своей сути, электронная подпись - это аналог обычной подписи человека, призванный идентифицировать его или закрепить его авторство в виртуальной среде. Чаще всего электронные подписи применяются в электронной почте, а также в банковской сфере и бухгалтерском электронном документообороте, являясь дополнительной защитой при проведении транзакций и пересылке важных документов.

Создание электронной подписи получается в результате криптографического преобразования информации с использованием закрытого ключа. Еще одна важная составная часть технологии - сертификат электронной подписи , выдаваемый уполномоченной организацией и позволяющий подтвердить подлинность подписи, исключив ее подделку.

В отличие от рукописного текста, электронный документ очень легко подделать, причем, незаметно для получателя. Вы просто удаляете отдельные слова или целые абзацы и вставляете новые - догадаться, что документ в процессе, например, пересылки был изменен, практически невозможно. Электронная подпись же дает гарантию, что подписанный документ изменить нельзя. То есть, помимо прочего, это еще и защита информации от изменения и подделки. В то же время, человек, подписавший документ электронной подписью, не сможет отказать от авторства документа, ведь электронная подпись - сугубо конфиденциальная информация, которая должна быть доступна только одному человеку.

Чаще всего ключ электронной подписи хранится на специальной флешке (как на снимке в начале статьи), которую нельзя ни скопировать, ни использовать каким-либо другим образом. Такие флешки есть у директоров и главных бухгалтеров компаний, подписывающих личными электронными подписыми банковские документы и бухгалтерскую отчетность, которая сегодня чаще всего передается в налоговые инспекции в электронном виде с помощью специальных систем.

Процесс подписания документа электронной подписью выглядит следующим образом: с помощью специального программного кода программы, используемой для подписи документа, создается специальная функция, так называемая хэш-функция, которая идентифицирует содержимое документа. Затем автор документа шифрует содержание хэш-функции своим персональным закрытым ключом - подписывает документ электронной подписью. Зашифрованная хэш-функция помещается в то же сообщение, что и сам документ. Полученное сообщение можно сохранить на любом носителе, пересылаться по электронной почте или, например, с помощью системы Клиент-банк. Хэш-функция имеет небольшой размер, поэтому практически не влияет на вес сообщения.

При получении, подписанного электронной подписью документа, пользователь имеет возможность убедиться в ее подлинности. Алгоритм подтверждения электронной подписи состоит в следующем: с помощью собственной программы, работающей с электронными подписями, получатель сообщения создает собственный вариант хэш-функции подписанного документа. Затем происходит расшифровка хеш-функции, которая содержится в сообщении и сравнение двух хэш-функций - отправленной и полученной. Их совпадение гарантирует подлинность содержимого документа и одновременно его авторство.

Можно ли подделать электронную подпись?

Теоретически, возможно все. Однако, трудозатраты на подделку электронной подписи, наложенную даже не сертифицированными средствами, то есть простыми программами, не прошедшими сертификацию, слишком велики. У хакеров существует масса более простых способов взлома системы, чем подделка электронной цифровой подписи. Так что электронная подпись считается достаточно надежным средством защиты информации.

Последние советы раздела «Наука & Техника»:

Зачем нужна рация
Что значит статическое электричество в нашей жизни
Что такое коптер
Как жить вечно

Что такое электронная цифровая подпись (ЭЦП)?

Электронная цифровая подпись - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа ключа подписи, а также установить отсутствие искажения информации в электронном документе.

Насколько сложно научиться пользоваться электронной цифровой подписью (ЭЦП)?

Несмотря на чрезвычайную сложность математического аппарата двухключевой криптографии и программных средств, его реализующих, пользование ЭЦП для его владельца на удивление просто и доступно любому человеку, вне зависимости от уровня владения персональным компьютером, образования и рода занятий.

Для того, чтобы подписать подготовленный электронный документ, владельцу ЭЦП достаточно вставить в дисковод компьютера дискету, содержащую принадлежащий ему секретный ключ, и щелкнуть мышкой по кнопке на экране компьютера. Все остальное компьютер сделает сам.

Проверить истинность подписи любого человека под любым электронным документом еще проще. Вызванный на экран компьютера подписанный электронный документ проверяется автоматически и поэтому сразу содержит информацию о том, кто его подписал, и истинна ли подпись.

Вместе с тем мы предоставляем и более сложные средства проверки электронной подписи, предназначенные для экспертов на случай, если по каким-либо причинам понадобится по другой схеме проверить и еще раз убедиться в подлинности документа.

Равнозначна ли электронная цифровая подпись подписи на бумаге?

Электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий:

сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;

подтверждена подлинность электронной цифровой подписи в электронном документе;

электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.

Клиент может быть одновременно владельцем любого количества сертификатов ключей подписей. При этом электронный документ с электронной цифровой подписью имеет юридическое значение при осуществлении отношений, указанных в сертификате ключа подписи.

Можно ли подделать ЭЦП?

При правильном хранении секретного ключа его владельцем - нет. Выполняйте рекомендации по хранению и использованию ключа, содержащиеся в документации к абонентскому рабочему месту - и вы будете гарантированы от подделки вашей ЭЦП. На сегодняшний день на Земле не существует вычислительных мощностей, способных в сколько-нибудь приемлемые сроки взломать криптографию ЭЦП, и в ближайшие десятилетия это будет также невозможно.

Можно ли незаметно подделать текст электронного документа, подписанного ЭЦП?

Это невозможно. Любое изменение, несанкционированно внесенное в текст документа, будет обнаружено, проверка ЭЦП покажет, что она искажена.

Документы на бумажных носителях с подписью и печатью можно хранить, а можно ли хранить электронный документ, подписанный ЭЦП?

Конечно, и неизмеримо более удобно. Для электронных документов не нужны шкафы, папки и дыроколы. Вам не придется тратить драгоценные часы своего рабочего времени на перелистывание скоросшивателей в поисках потерявшегося документа и дышать бумажной пылью архивов. Архив, который в бумажном виде занял бы несколько стеллажей, в электронном виде умещается на маленьком диске, который при желании можно спрятать в несгораемый сейф, поместить в депозитарий банка, скопировать для надежности, зашифровать и придумать с ним еще множество операций, позволяющих уберечь вашу информацию от случайностей и злого умысла. Просканировать такой архив и найти в нем любой нужный документ - дело нескольких секунд.

И при этом, конечно же, вместе с документом в архиве сохранится и ЭЦП, которая даже спустя десятки лет сможет подтвердить вам и кому угодно его подлинность.

Впрочем, ничто не мешает вам распечатать любой документ, заверенный ЭЦП, и пользоваться им как обычным бумажным документом.

Если возникли споры, и дело дошло до арбитражного суда, будут ли документы, подписанные ЭЦП, иметь юридическую силу?

Да, безусловно имеют юридическую силу.

Что делать, если секретный ключ ЭЦП оказался рассекреченным при каких-то обстоятельствах?

Ну что ж, это возможно, но только в том случае, если вы допустили отклонение от наших рекомендаций по хранению секретного ключа.

Основная ваша задача в момент компрометации - как можно быстрее оповестить администратора Удостоверяющего центра о произошедшем, чтобы он вывел скомпрометированный ключ из действия в системе. С этого момента подпись теряет юридическую силу и Вы можете быть спокойны. После этого можно будет решать вопрос о выдаче вам новых ключей ЭЦП взамен скомпрометированных. Более подробный ответ на этот вопрос можно найти в инструкции, передаваемой клиенту вместе с ключами ЭЦП.

Может ли человек, подписавший документ, отказаться от своей подписи?

Если вы внимательно прочитали ответ на вопрос "Как работает электронная цифровая подпись", то уже должны знать, что ЭЦП обладает свойством неотказуемости. Это означает, что никто не может отказаться от своей электронной подписи, потому что ее принадлежность легко, однозначно и неоспоримо доказывается.

Как нужно хранить ключи ЭЦП?

Подробные рекомендации, как хранить ключи ЭЦП, изложены в договоре между Оператором и клиентом и документации к абонентскому комплекту. Кратко можно сказать следующее: храните их таким образом, чтобы быть уверенным, что ваш секретный ключ ни при каких обстоятельствах не может оказаться в руках человека, которому вы не доверяете. Лучше всего, если ваш секретный ключ будет доступен только вам лично, либо только одному особо доверенному лицу.

На сколько времени выдается ЭЦП?

Ваши ключи ЭЦП будут действительны в течение 12 месяцев, считая с момента введения вашей ЭЦП в действие.

Заблаговременно до истечения этого срока вы сможете получить новые ключи ЭЦП таким образом, чтобы не произошло перерыва в действии вашей ЭЦП при смене ключей. Эти ключи будут действовать в течение следующих 12 месяцев, и так далее.

Нужно ли секретить открытый ключ?

Открытый ключ потому и называется открытым, что его не только не нужно секретить, но наоборот, его свободное распространение как раз и является основой для работы системы ЭЦП. Любой человек, который хочет убедиться в подлинности вашей ЭЦП, должен будет воспользоваться для этой цели вашим открытым ключом.

Может ли один человек иметь несколько ЭЦП?

Да, один человек может иметь несколько ЭЦП. Это право закреплено п.2 ст.4 Федерального закона. 1-ФЗ "Об электронной цифровой подписи".

Очевидно, что эти ЭЦП должны различаться между собой. Удостоверяющий центр не выдает двух идентичных по назначению ЭЦП одному и тому же лицу.

Как можно убедиться, что человек, подписавший документ от имени предприятия, имеет на то полномочия?

Легко можно убедиться, посмотрев сертификат открытого ключа владельца ЭЦП.

Для получения ключей ЭЦП на сотрудника предприятия руководитель (подписывая договор и заверяя заявление сотрудника) подтверждает должность и полномочия своего сотрудника (какие документы он имеет право подписывать).

На основании подписанных руководителем документов (которые хранятся в Удостоверяющем центре) в сертификате открытого ключа ЭЦП указывается должность и полномочия владельца ЭЦП. А сертификат открытого ключа ЭЦП доступен всем клиентам.

Могут ли руководитель и его заместители, а также главный бухгалтер, иметь свои индивидуальные ЭЦП и при этом подписывать документы, в пределах своих полномочий, от имени предприятия своей ЭЦП?

Может ли предприятие работать с одной ЭЦП?

Что делать если сотрудник на которого была оформлена ЭЦП уволился с предприятия и может ли он при желании продолжать подписывать документы от имени предприятия?

Руководитель предприятия или сам владелец ЭЦП должны немедленно заявить администратору об отзыве сертификата. Администратор системы немедленно приостанавливает действие сертификата, а после получения письменного подтверждения (можно в электронном виде, если подпись ЭЦП) отзывает сертификат. Таким образом, с момента получения администратором информации, подпись сотрудника будет считаться недействительной, и никто с ним работать не будет (так клиенты перед расшифровкой подписи обязательно просматривают список отозванных сертификатов).

Обычно печать предприятия хранится в бухгалтерии, или у секретаря, или в другой службе, и они же ставят печать на подпись руководителя. А можно ли ЭЦП доверять так же, как и печать?

Личное дело руководителя кому доверять, ответственность все равно остается за ним и поэтому желательно, чтобы он предусмотрел все меры предосторожности.

Чем гарантируется надежность криптографической защиты и то, что ЭЦП нельзя подделать?

Надежность криптографической защиты, в том числе ЭЦП, обеспечивается применением только средств криптографической защиты информации (СКЗИ), имеющих сертификаты ФАПСИ и обеспечивающих требования ГОСТ Р34.10-94, ГОСТ Р34-11-94 и ГОСТ 28147-83.

Для чего используется электронная цифровая подпись?

Для обеспечения конфиденциальности передаваемой информации, подтверждения авторства целостности электронных документов и неотрекаемости от передачи электронных документов используется криптографическая защита информации -электронная цифровая подпись.

Электронная цифровая подпись - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.

Электронная цифровая подпись (ЭЦП) используется в качестве аналога собственноручной подписи для придания электронному документу юридической силы, равной юридической силе документа на бумажном носителе, подписанного собственноручной подписью и скрепленного печатью.

Каковы функции удостоверяющего центра?

Для обеспечения работы системы управления ключами и сертификатами функции удостоверяющего центра выполняет специализированный оператор связи. Основными функциями специализированный оператор связи являются:

Регистрация пользователей;

Изготовление сертификатов ключей подписей;

Создание ключей электронных цифровых подписей по обращению участников информационной системы с гарантией сохранения в тайне закрытого ключа электронной цифровой подписи;

Приостановление и возобновление действия сертификатов ключей подписей, а также аннулирование их;

Ведение реестра сертификатов ключей подписей, обеспечение его актуальности и возможности свободного доступа к нему участников информационных систем;

Проверка уникальности открытых ключей электронных цифровых подписей в реестре сертификатов ключей подписей и архиве удостоверяющего центра;

Выдача сертификатов ключей подписей в форме документов на бумажных носителях и (или) в форме электронных документов с информацией об их действии;

Осуществление по обращениям пользователей сертификатов ключей подписей подтверждения подлинности электронной цифровой подписи в электронном документе в отношении выданных им сертификатов ключей подписей.

Каковы обязательства удостоверяющего центра?

Специализированный оператор связи выполняющий функции удостоверяющего центра при изготовлении сертификата ключа подписи принимает на себя следующие обязательства по отношению к владельцу сертификата ключа подписи:

Вносить сертификат ключа подписи в реестр сертификатов ключей подписей;

Обеспечивать выдачу сертификата ключа подписи обратившимся к нему участникам информационных систем;

Приостанавливать действие сертификата ключа подписи по обращению его владельца;

Уведомлять владельца сертификата ключа подписи о фактах, которые стали известны удостоверяющему центру и которые существенным образом могут сказаться на возможности дальнейшего использования сертификата ключа подписи;

Иные установленные нормативными правовыми актами или соглашением сторон обязательства.

Каковы обязательства владельца ЭЦП?

Владелец сертификата ключа подписи обязан:

Не использовать для электронной цифровой подписи открытые и закрытые ключи электронной цифровой подписи, если ему известно, что эти ключи используются или использовались ранее;

Хранить в тайне закрытый ключ электронной цифровой подписи;

Немедленно требовать приостановления действия сертификата ключа подписи при наличии оснований полагать, что тайна закрытого ключа электронной цифровой подписи нарушена.

При несоблюдении требований, изложенных в настоящей статье, возмещение причиненных вследствие этого убытков возлагается на владельца сертификата ключа подписи.

Любопытной и, можно сказать, детективной историей поделился с нашими читателями директор коммерческой фирмы.

Компания сдала декларацию по НДС за 1 квартал 2016, где налог к уплате был 300 тыс. рублей. Налог уплатила. Однако на следующий день некто сдает от имени компании уточненную декларацию, где налог к уплате уже только 5 тыс. рублей. Уточненный расчет отправлен через другого спецоператора и подписан ЭЦП руководителя, которая, как выяснилось, оформлена по его паспорту с вклеенной туда фотографией другого человека. Подпись на доверенности на получение ЭЦП тоже поддельная.

Кто эти люди и зачем им это было нужно? Таким вопросом задался руководитель компании. Обращение в полицию направлено, заявление об отказе от «левой» ЭЦП написано. Но вопрос о цели этих манипуляций, предпринятых посторонними людьми, не дает покоя директору.

Сейчас спустя год, видимо под закрытие года, из налоговой приходит заявление о том, что у нас не соответствуют данные по декларации, так как у нас есть уточненка по декларации за 1й квартал 2016г! Ну мы значит, начинаем выяснять что? кто? зачем? после какого корпоратива??... выясняется интересный и даже я бы сказал удивительный факт, оказывается, что у моей организации две ЭЦП (Об этом нам сообщила налоговая) у двух разных операторов. Ну про одного то мы в курсе работаем с ним несколько лет все ок, но вот кто второй??? Второго нам назвала налоговая.
Звоним. Там милая девушка, находит нашу ООО по ИНН, и сообщает, что мы работаем, что есть ЭЦП и что у неё даже есть документы от ген. дира на заявление об открытии этой самой ЭЦП. Ну я значит, так украткой, прошу мне их предоставить, на что она без проблем отправляет мне сканы документов... Что я вижу? Поддельный паспорт с вклеенной фоткой другого человека, доверенность на получение этой ЭЦП с поддельными подписями и ни на одном документе нет печати. Вобщем 100% подделка к бабке не ходи. Ну оператор этот с равнодушием вздыхая, приглашает меня к себе в офис, чтобы я написал заявление об отказе от этой подписи, от чего я отказался и написал заявление в полицию. Но речь не о том, что мне делать - все действия я уже выполнил и с налоговой и с полицией и тд., у меня к Вам другой вопрос:

Значит я, сдаю декларацию по НДС за 1й квартал 2016г 24.04.2016г. налог к уплате у меня около 300 000р. , кто-то, оформляет, практически за один два дня, по абсолютно левым документам ЭЦП от моего имени, в конторе с которой я ни когда не имел ни каких дел и внимание 25.04.2016г. сдает от моей ООО уточненку почти на 110 000 млн. р. , налог к уплате у меня получается около 5 т.р.
Соответственно я то не вижу этого, плачу налоги по своей нормальной декларации и вот спустя год всплывает эта тема. Вопрос в чем здесь умысел?? Ради чего это кому то понадобилось сделать??
- Alexander1982

Участники обсуждения предположили, что возможно злоумышленники хотели получить переплату на подставной расчетный счет, но что-то им помешало. Коллеги, следуя традициям детективного жанра, высказывают свои предположения по поводу мистера Икс, который владел информацией и имел мотив для совершения таких действий.

Присоединиться к обсуждению можно в теме форума « »