Риски использования электронной подписи
07.02.2020
Электронная цифровая подпись — это аналог вашей подписи, которая подтверждает, что данный документ подписан именно вами.
Согласно Федеральному закону «Об электронной подписи» в России, используется три вида электронной подписи:
- простая подпись,
- неквалифицированная электронная подпись,
- квалифицированная электронная подпись.
Простая подпись — это логины и пароли к вашей электронной почте, доступам к различным сайтам, например, к Госуслугам, Сбербанк-онлайн. Ее использует каждый человек в своей повседневной жизни.
Неквалифицированная электронная подпись — это закрытый ключ электронной подписи представляющий набор символов на цифровом носителе информации, который создают различные программы криптошифрования. НЭП идентифицирует личность владельца, а также позволяет проверить, вносили ли в файл изменения после его отправки.
Такую подпись можно использовать в предпринимательской деятельности при документообороте с контрагентами, для заверения внутренних документов компании. При наличии соглашения об использовании неквалифицированой электронной подписи, документы, заверенные НЭП имеют равную юридическую силу с бумажным носителем.
Такую подпись может оформить любое должностное лицо компании.
Квалифицированная электронная подпись — это такой же закрытый ключ электронной подписи, но он обладает самым высоким уровнем защиты, формируется с помощью криптографических средств, сертифицированных ФСБ РФ. Получить его можно только в аккредитованном при Министерстве связи РФ удостоверяющем центре.
Список таких центров можно посмотреть тут: https://digital.gov.ru/ru/activity/govservices/2/
КЭП имеет расширенный функционал, она принимается государственными и судебными органами.
С ее помощью можно: сдавать налоговую и другую отчетность через интернет; взаимодействовать с государственными системами (например, Росреестр); отправлять заявки и участвовать в электронных тендерах, в госзакупках или в торгах, также она необходима предпринимателям, которые работают с программой учета алкоголя (ЕГАИС).
Широкая сфера использования электронных подписей, несомненно, является плюсами. ЭЦП позволяет исключить бумажную и бюрократическую волокиту, ускорить получение необходимого результата. Но, с другой стороны, это упрощение обратилось и минусом.
Удостоверяющие центры в один голос скажут вам, что подделать ЭЦП не возможно и… они будут правы, умолчат лишь в том, что:
- ее можно сделать по сканам документов либо поддельным документам. У известного удостоверяющего центра Калуга-Астрал была приостановлена аккредитация Минсвязи РФ, по причине выпуска ЭЦП по поддельным документам, с прошлого года при оформлении ЭЦП УЦ Калуга-Астрал стал требовать фото владельца ЭЦП с развернутым паспортом в руках, что вызвало бурю негодования среди директоров и бухгалтеров в соцсетях.Тем не менее, использование ЭЦП в мошеннических схемах при рейдерских захватах в последнее время участились. С октября 2019 года ИФНС №46 по г. Москве выносит решения об отказе по документам, связанных со сменой директора и поданных по ЭЦП, оформленного на нового директора компании;
- цифровой носитель, на котором находится ключ может использоваться иным лицом. Стандартная ситуация, когда директор передает ключ своему бухгалтеру, заместителю, личному помощнику или иному лицу. Таким образом, достоверно установить личность отправившего документ невозможно, но ответственность будет только на индивидуальном предпринимателе или директоре компании.
На текущий момент, больше всего доверие вызывает ЭЦП нотариуса. Нотариус не может его использовать, если не получит письменное заявление директора компании или индивидуального предпринимателя с просьбой отправить документы в государственные органы посредством электронной подписи.
В конце декабря 2019 года в Федеральный закон «Об электронной подписи» были внесены поправки.Поправки внесут изменения в порядок аккредитации Удостоверяющих центров:
- будет введена двухэтапная аккредитация, будет увеличен уставный капитал удостоверяющих центров до 1 млрд. рублей, увеличился размер финансового обеспечения ответственности за убытки третьим лицам.
Изменится порядок выдачи КЭП: ее будут выдавать ФНС РФ, ЦБ РФ, Федеральное казначейство, удостоверяющие же центры смогут выдавать ЭЦП только физическим лицам.
Изменения вступают в силу с 1 июля 2020 года.
Чем опасна электронная подпись для физических лиц: можно ли подделать ЭЦП, как защитить электронную подпись
Подобный инструмент активно используют для дистанционных сделок, торгов, подтверждения юридически значимых действий, а также личности человека.
Подделать (расшифровать) саму ЭЦП (закрытый сертификат ключа ЭП) даже с имеющими сегодня вычислительными мощностями не представляется возможным. Вместе с этим это вовсе не означает, что мошенники не смогут воспользоваться чужой ЭЦП для своих незаконных целей.
Среди ключевых позиций, чем опасна электронная подпись в мире электронных технологий и дистанционных сделок, следует выделить такие:
- Возможность осуществлять юридически значимые действия дистанционно. Главная опасность – другая сторона видит только электронный документ, а не физических лиц, которые осуществляют операцию.
- Сертификат ключа (закрытого, открытого) и владелец не являются одним целым. ЭЦП можно потерять, передать другому лицу, случайно скомпрометировать, чем создать предпосылки для мошенничества.
- Несовершенство законодательства. Так уж сложилось, что органы безопасности начинают реагировать только в случае преступления. Добавьте к этому дистанционный характер преступления (можно даже подписывать документы за пределами страны). Поэтому, если владелец скомпрометированного ЭЦП несвоевременно его заблокирует, и за это время будет совершено преступление, шансы восстановить справедливость минимальны.
Какие риски при использовании ЭЦП
Учитывая, что подделка сертификата ключа ЭЦП невозможна, проблемы с использованием этого инструмента подтверждения личности наступают в момент получения мошенниками доступа к сертификату ключа ЭП, паролю доступа.
Среди основных рисков, когда возможно использование ваших данных посторонними лицами в неблагоприятных целях, целесообразно обозначить такие моменты:
Передача паспортных данных посторонним лицам
Например, вы оставляете свои данные в кредитной организации, даете доверенность на оформление сделок от вашего имени, оставляете документы без присмотра.
Имея копии паспорта и ИНН мошенники могут оформить ЭЦП на ваше имя, а дальше взять деньги в кредит, оформить микрозайм, подать фиктивные декларации о налогах для возмещения НДС, дистанционную заключить фиктивную сделку, использовать ЭЦП при продаже недвижимости.
Делегирование ЭЦП и пароля к нему третьим лицам
Многие руководители, чтобы облегчить свой труд, передают свое ЭЦП секретарям, бухгалтерам, заместителям, другим доверенным лицам.
И не всегда они могут оказаться добросовестными, а подписанные электронной подписью документы имеют такую же юридическую силу, как и бумажные аналоги.
Хранение закрытого ключа ЭЦП и пароля к нему на незащищенных носителях
Если на флешку, где хранится ЭЦП, попадет вирус, владелец ключа узнает о его компрометации только после совершения преступления. Поэтому для таких целей следует использовать Токены.
Месть обиженных сотрудников
Такие варианты возможны, когда ЭЦП оформляется на конкретного сотрудника, имеющего право действовать от имени компании.
Если сразу после увольнения подобный ключ не заблокировать, уволенный работник сможет использовать его в своих корыстных целях. И отвечать за это изначально будет компания.
Как снизить риск мошенничества с ЭЦП
Чтобы снизить риск неправомерных действий с вашим ЭЦП, необходимо придерживаться несколько простых правил:
- использовать для закрытого сертификата ключа ЭЦП исключительно защищенные носители (токен);
- не делегировать подписание документов третьим лицам, даже в случае выдачи доверенности, либо внесения этой функции в должностную инструкцию подчиненного;
- при потере ЭЦП, либо случайном раскрытии информации (копировании закрытого сертификата, получение доступа к паролю ЭЦП) необходимо сразу выполнить процедуру аннуляции и перевыпуска;
- если ЭЦП выдавался сотрудникам для выполнения действий от имени компании, сразу после их увольнения такой ключ подлежит аннуляции;
- об компрометации ЭЦП необходимо сразу сообщать в удостоверяющий центр, ФНС, ПФР, другие организации, где он ранее использовался с тем, чтобы подобный ключ включили в список неблагонадежных;
- в случае доступа к вашим документам (паспорту, ИНН) проверяйте через портал Госуслуг (раздел «Настройки и безопасность» личного кабинета) наличие выпущенных на ваше имя ЭЦП;
- установите пароль на вход в рабочий компьютер, где обеспечивается подписание документов с помощью ЭЦП (установлен криптопровайдер);
- постоянно проверяйте рабочий компьютер на предмет наличия вирусных программ, актуализируйте версии антивирусной защиты.
Помните, никакой уровень криптозащиты не спасет вас от неприятностей, если вы самостоятельно передадите ЭЦП и пароли доступа к нему мошенникам.
Избежать негативных последствий в случае атаки мошенников вполне возможно законными методами. Просто старайтесь придерживаться таких правил:
Запретите проводить дистанционную регистрацию юридического лица. Для этого придется лично обратиться в регистрационный орган и заполнить форму 38001.
Не сохраняйте на компьютере логин и пароль от входа в личные кабинеты, связанные с работой ЭЦП.
Периодически меняйте пароли от личных кабинетов в онлайн-сервисах. Не используйте в разных личных кабинетах одинаковый пароль.
Если на ваш телефон начали приходить подозрительные СМС, не поленитесь проверить открытые реестры исполнительного производства на предмет присутствия там вашей фамилии.
Учитывайте, добиться наказания за использование чужой ЭЦП достаточно сложно. На практике, чтобы доказать, что вы не осуществляли заключение фиктивных сделок, не брали кредитов, займов, не оформляли других документов, следует:
- Предоставить для сравнения ваш личный телефон и потребовать в удостоверяющего центра номер телефона, на который направлялся код ЭЦП.
- Взять справку в банке (банках) об открытых на ваше имя счетах и сравнить их со счетами, на которые переводились сворованные деньги.
- Продемонстрировать актуальные паспортные данные и потребовать в удостоверяющего центра копии документов, что давались на оформление ЭЦП.
Где безопасно открыть цифровую подпись
Минимизировать риск компрометации ЭЦП можно с помощью использования лицензированного специализированного программного обеспечения. В частности, если вы устанавливаете на свой компьютер плагины для браузеров, лучше использовать:
- КриптоПро ЭЦП Browser plugin. Используется для работы в браузерах Firefox, а также Internet Explorer (от 8 версии и выше).
Цифровая или «бумажная» подпись: что надежнее?
Казалось бы, пандемия коронавируса и связанные с ней ограничительные меры должны были повернуть «взгляд» бизнеса от традиционного подписания документов «на бумаге» к электронному. Но нет – согласно исследованию «БухСофт» 46% российских компаний не используют возможности электронного документооборота.
Причинами отказа от цифровых решений респонденты назвали сравнительную надежность бумажных носителей (44% опрошенных), высокие издержки на оплату сервисов электронного документооборота (31%) и трудности освоения соответствующего программного обеспечения (15%).
Показатели, на мой взгляд, тем более удивительны, что огромное количество компаний в повседневной практике используют подписание электронных документов путем обмена подписанными скан-копиями.
Такой вариант допустим с точки зрения Федерального закона «Об электронной подписи» (далее – Закон об ЭП), если предварительно было заключено соглашение, предусматривающее подписание документов по электронной почте. В данном случае Закон об ЭП (ч. 2 ст. 5) трактует это как простую электронную подпись – т.е.
подпись, которая посредством использования кодов, паролей или иных средств удостоверяет факт формирования электронной подписи определенным лицом.
Минкомсвязь РФ подтверждает данную позицию: «Если участники электронного взаимодействия достигли соглашения о том, что получение электронного сообщения с определенного адреса электронной почты будет считаться подписанием документа простой электронной подписью, и при этом выполнено одно из вышеобозначенных условий, то такое электронное сообщение может считаться подписанным простой электронной подписью».
Однако у простой подписи есть существенный недостаток – сложно определить, какой документ подписан.
Например, если вы написали электронное письмо, почтовые серверы отвечают только за идентификацию адреса отправителя, но не за содержание письма.
Если переписка ведется в мессенджерах, вы можете удалить или отредактировать сообщение, ранее направленное другой стороне. Таким образом, простая электронная подпись доказывает наличие каких-то правоотношений, но без определенности.
Решить проблему позволяет подписание документов усиленной электронной подписью. Закон различает усиленную неквалифицированную (УНЭП) и усиленную квалифицированную (УКЭП) электронные подписи.
Возможность дистанционного подписания документов предусмотрена ГК РФ. Согласно ст.
160 Кодекса письменная форма электронной сделки считается соблюденной, если можно установить, воля какого лица направлена на подписание документа.
При этом участники сделки могут использовать различные аналоги собственноручной подписи – случаи, когда это допустимо, могут быть определены в том числе соглашением сторон.
На возможность отправления юридически значимого сообщения посредством электронной почты, факсимильной и другой связи указывал также Верховный Суд РФ в Постановлении Пленума от 23 июня 2015 г. № 25 «О применении судами некоторых положений раздела I части первой Гражданского кодекса Российской Федерации».
С УКЭП многие, как показывает практика, хорошо знакомы – это о ней респонденты в приведенном исследовании высказывались, упоминая «высокие издержки» и «трудности освоения». А вот УНЭП стоит рассмотреть подробнее.
Усиленная неквалифицированная электронная подпись предусматривает возможность не только определить лицо, подписавшее электронный документ, но и то, какой именно документ подписан.
Наиболее привычный пример подписания документа УНЭП – электронная подпись платежного поручения в современных системах «клиент-банк». Развитие финтех-индустрии в России идет невероятно быстрыми темпами, и банки давно осознали необходимость отказа от неудобных «физических» ключей электронной подписи.
УНЭП позволяет избавиться от всего, что обычно вызывает у пользователей сложности и трудности в настройке: USB-ключи, специальные программы, драйверы и лицензии. Даже сертификат ключа проверки УНЭП может не создаваться: главное – обеспечить идентификацию лица, подписавшего документ, и подтвердить неизменность самого документа.
В последнее время набирают популярность сервисы бесконтактного электронного документооборота. Это обусловлено тем, что они не только экономят ресурсы пользователей, но и снижают риски, свойственные «бумажным» документам: подделку подписей (в том числе на плоттере), подмену листов в договорах, подписание левой рукой вместо правой и т.д.
В качестве примера практического использования сервиса для подписания документов УНЭП приведу Legium.io – платформу бесконтактного электронного документооборота с удаленной идентификацией, позволяющую решить как «бумажные», так и электронные проблемы, связанные с подписанием документов.
Например, данный сервис не предусматривает пользовательских настроек, поэтому подписывать документы можно со смартфона. Также не требуется личная идентификация, поэтому зарегистрироваться на платформе можно из любой точки мира или будучи на самоизоляции (плата за регистрацию не взимается).
В настоящее время на площадке зарегистрированы более 6 тыс. контрагентов, которые за 6 месяцев существования сервиса подписали свыше 400 тыс.
документов, в большинстве из них контрагентами выступают физлица: фрилансеры, курьеры, покупатели, клиенты.
Таким образом, практика использования сервиса демонстрирует потребность рынка в простом и удобном механизме для подписания документов с физлицами.
Для регистрации физлицам необходимо сделать видео-селфи с паспортом – это обеспечивает большую надежность. Нейронные сети проверяют соответствие фото на паспорте лицу человека на видео. Также проводятся автоматическое распознавание и проверка паспортных данных по государственным системам.
Для идентификации индивидуальных предпринимателей и юрлиц используется расчетный счет. При открытии счета банк подтверждает личность руководителя компании, поэтому оплата верификационного платежа является выражением воли юрлица.
Для регистрации достаточно сделать перевод со счета в размере 1 руб.
При регистрации каждый пользователь подписывает коллективное соглашение об использовании электронного документооборота путем совершения верификационного платежа или селфи-регистрации. Это письменная форма соглашения, соответствующая п. 1 ст. 160 ГК РФ, поэтому проблем с доказыванием в суде или каком-либо госоргане у сторон не возникнет.
Практика показала, что наибольшее опасение у пользователей вызывает перспектива проверки электронных документов в налоговых органах. Создавая платформу Legium.io, мы учли это и нивелировали такой риск, поскольку подписание электронных документов полностью соответствует требованиям Закона об ЭП – в частности, положениям об УНЭП.
Согласно Письму ФНС России от 20 февраля 2018 г. № ЕД-4-15/3372 стороны могут использовать все виды электронных подписей в электронном документообороте.
При проведении налоговых проверок документы распечатываются, заверяются и представляются в бумажном виде.
Соответственно, сам по себе факт использования электронного документооборота не будет вызывать претензий со стороны контролирующих органов.
Таким образом, ни законодательство, ни судебная практика не позволяют говорить о наличии высоких рисков при использовании электронного документооборота. Скорее, наоборот – подобный обмен документами между участниками отношений безопаснее, так как происходит идентификация пользователей, что исключает вероятность подделки документов или подписания их неуполномоченным лицом.
Как защититься от мошенничества с электронной подписью?
Квалифицированная электронная подпись — ваш личный «инструмент» и защита документа от несанкционированных действий. Для ее формирования используется технология на современных криптографических алгоритмах, сертифицированная ФСБ РФ.
Является гарантом юридической силы и соответствует всем требованиям о защите конфиденциальной информации.
Но даже с такими серьезными методами защиты, вы не застрахованы от несанкционированных преступных действий в силу своей невнимательности и недостаточной безопасности хранения ЭП.
В последнее время участились случаи незаконных действий с электронной подписью. Если вы обнаружили пропажу или кражу ключа электронной подписи, немедленно обратитесь в удостоверяющий центр. Нужно будет незамедлительно отозвать сертификат, чтобы минимизировать риски с мошенническими схемами, чтобы в дальнейшем преступники не воспользовались электронной подписью.
Ниже представлены виды мошеннических схем с использованием ЭЦП:
Физические преступления – для мошенника необходим контакт с самим носителем:
- Кража носителя – преступник крадет usb-ключ, на котором записана электронная подпись, и использует чужую ЭП в своих схемах.
- Передача ЭЦП другому лицу. Руководители компаний передают свою ЭП, например главному бухгалтеру или своим подчиненным, не понимая всех рисков и последствий.
Технологичные преступления — осуществляются мошенниками с применением навыков в области IT-технологий и информационной безопасности:
- Мошенник получает доступ к компьютеру или ноутбуку владельца ЭП. Таким образом, он может узнать пароль ключевого носителя и получить доступ к электронной подписи.
Социальные преступления — к ним относятся преступные схемы, основанные на личных качествах людей. Например, выдавать себя за этого человека – если он внешне похож, и заниматься подделкой документов.
- Получение ЭЦП другим человеком. Мошенник, завладев личными документами нужного лица и использовав внешне похожего человека на него, может получить электронную подпись вместо настоящего владельца.
- Получение ЭП по поддельным документам и доверенности. Когда получаешь впервые электронную подпись, то нужно личное присутствие. Тогда как при повторном выпуске ЭП, нужно предоставить копии необходимых документов и доверенность. Такой ситуацией могут воспользоваться мошенники.
Как обезопасить себя от мошеннической атаки с ЭЦП:
- Не передавайте свою электронную подпись посторонним. Храните ее в защищенном месте;
- Установить надежный пин-код на носителе ЭП, и никому его не сообщайте;
- Перейдите на Облачную электронную подпись или ОЭП. Данная ЭЦП хранится на защищенном сервере в облаке УЦ, без использования «флешки», а следовательно, не может быть украдена;
- Следите за сохранностью своих личных документов – паспорт, его копии, сканы учредительных документов компании не передавайте другим людям и сомнительным организациям;
- Обратитесь в налоговую и подайте заявление о запрете регистрировать юр. лица без личного присутствия;
- Периодически меняйте логин/пароль, которым пользуетесь.
Несколько способов защиты вашей учетной записи в информационных системах от мошеннических схем:
- Проверяйте учетную запись, например, на портале Госуслуги и отслеживайте раздел «Последние действия» — в нем можно увидеть все последние операции. Но если вдруг в списке отразятся подозрительные действия, что кто-то другой использует вашу ЭП — незамедлительно смените логин/пароль и подключите систему оповещений в сервисе.
- Регулярно проверяйте профиль в разделе «Личный кабинет налогоплательщика» на сайте nalog.ru. Если мошенники получили доступ и незаконно зарегистрировали ООО или ИП на вас, используя квалифицированную электронную подпись, сразу же напишите заявление в полицию и в регистрирующий орган, указав реквизиты компании. После напишите заявление на отзыв электронной подписи. Также установите дополнительные меры защиты – настройте уведомления на электронную почту.
При использовании электронной подписи соблюдайте правила безопасности — ключ ЭП должен храниться в тайне, и ни при каких условиях не должен быть передан другому лицу. Если такое произойдет, то это грозит вам не только финансовыми рисками, но и серьёзными последствиями. Поэтому будьте внимательны и бережно храните свои персональные данные.
Через электронную подпись крадут квартиры и бизнес: способы защититься — новости Право.ру
Согласно статистике МВД, мошенничества с использованием электронной цифровой подписи (ЭЦП) стали новым трендом в последние два года.
Потенциальными пострадавшими от подобных действий являются современные деловые люди, чаще всего – бизнесмены, утверждает бывший следователь СКР по особо важным делам, а теперь партнер Федеральный рейтинг. группа Уголовное право 29место По выручке Профайл компании
Алексей Новиков.
Одна из наиболее распространенных схем, когда злоумышленники по подложным документам оформляют электронные подписи на имя других людей. Те даже не подозревают об этом.
Электронная подпись – это цифровой аналог собственноручной подписи, которой можно подписывать электронные документы. Это определенная гарантия того, что документ отправлен от конкретного лица и он не менялся с того момента, как был подписан.
Потерять квартиру или стать собственником «однодневки»
Получить такую подпись можно в одном из 500 удостоверяющих центров. В некоторых организациях процедуру проведут через интернет без личного присутствия. Как выяснило издание 47News, оформить ЭЦП на другого человека очень просто.
Если известны СНИЛС и данные паспорта, то достаточно нескольких тысяч рублей и фотошопа. Журналист Юлия Гильмшина приобрела подпись за генерального директора издания. Третья фирма, куда она обратилась, пошла навстречу сотруднику, чей шеф «не хочет заниматься бюрократией».
В итоге журналисту выдали ЭЦП на человека, который сам никуда не обращался и по легенде ничего не знал.
- – Подделать ее гораздо сложнее, чем собственноручную.
- – Становится дешевле процедура подготовки, доставки и хранения документов, а также значительно сокращается время их движения.
- – Сокращается объем бумажного документооборота.
Подобные ситуации оказались возможны из-за пробела в законодательстве, объясняет Никита Роженцов из Федеральный рейтинг. группа ГЧП/Инфраструктурные проекты группа Уголовное право Профайл компании
: «Удостоверяющий центр обязан установить личность получателя сертификата, но способ такой процедуры не регламентирован».
Эта правовая неопределенность не позволяет однозначно определить, кто именно обращался в аккредитованную компанию за подписью – реальный владелец паспорта или злоумышленник с украденной ксерокопией. Так, неизвестные мошенники оформили подпись за Романа Салтовского, а затем «подарили» его московскую квартиру жителю Уфы.
После этого электронную сделку зарегистрировали в Росреестре.
О смене собственника пострадавший узнал лишь после того, как получил очередную квитанцию с неизвестной фамилией. Теперь Салтовский возвращает квартиру в судебном порядке, он требует признать спорный договор дарения недействительной сделкой (дело № 02-3237/2019).
Параллельно полиция ищет злоумышленников, которые провернули такое мошенничество. С помощью таких схем на гражданина могут зарегистрировать и целые компании. На Павла Зимакова и его супругу оформили три фирмы в разных российских регионах, а также взяли кредиты в микрофинансовых организациях.
В этом деле сейчас тоже разбираются сотрудники правоохранительных органов.
- В сфере недвижимости: собственник лишается имущества в результате сделки, которую в действительности не совершал. Речь идет о договоре дарения или купли-продажи.
- В сфере госрегистрации юридических лиц: владелец бизнеса, вопреки своей воле, перестает быть руководителем организации или наоборот, когда физлицо становится номинальным главой фирмы-однодневки.
- В сфере кредитования: мошенники получают микрозаймы от имени других лиц.
- В сфере госзакупок: конкуренты похищают электронный ключ, чтобы ограничить допуск конкретной организации к закупочным процедурам.
Ненадежные центры выдачи подписей и опасные вирусы
По статистике СРО «Микрофинансирование и развитие», в первой половине 2019 года каждая седьмая жалоба (15,4%) на работу микрофинансовых организаций касалась выдачи займов на третье лицо с помощью электронных подписей. За аналогичный период прошлого года цифра составляла всего 4,7%.
Число подобных преступлений растет в том числе и по вине сотрудников удостоверяющих центров, которые выдают подписи.
Директор правового департамента Минкомсвязи Роман Кузнецов рассказывал «Известиям», что их ведомство регулярно проверяет такие компании и штрафует либо лишает аккредитации за выявленные нарушения.
Более того, есть удостоверяющие центры, которые специально созданы для мошеннических схем, уверяет Алексей Лукацкий, консультант по безопасности Cisco Systems: «Вы вообще не в курсе, что кто-то оформляет за вас что-то. Мошенник и номер свой укажет, чтобы ему приходили уведомления, а не вам».
Минкомсвязь требует сократить число таких центров до 10–15 организаций и ввести для их работников уголовное наказание за ряд нарушений. Сейчас предусмотрена лишь административная ответственность для удостоверяющих центров.
Если специализированная компания нарушила порядок выдачи электронной подписи, то ее могут оштрафовать на 10 000–30 000 руб. (ст. 13.33 КоАП).
Другой популярный способ, который используют мошенники, – воспользоваться уже выпущенными электронными подписями, принадлежащими добросовестным пользователям. Самая простая схема, когда сотрудник предприятия использует ЭЦП фирмы, чтобы похитить деньги организации.
В практике адвоката Алексея Сердюка из Федеральный рейтинг. группа Разрешение споров в судах общей юрисдикции группа Семейное и наследственное право
был кейс, где подобное преступление совершила главный бухгалтер компании, проработавшая там более 10 лет.
Сотрудница, никогда не имевшая нареканий, через «банк-клиент» перевела средства фирмы на подконтрольные ей счета других обществ. Расследование этого дела заняло 2,5 года, говорит юрист.
Хотя злоумышленница получила четыре года лишения свободы, но похищенные деньги вернуть так и не удалось.
Есть и более хитрые схемы, когда создают программы-вирусы, которые заражают компьютеры пользователей. Это происходит, когда те при посещении сайтов нажимают на всплывающие «окна» либо открывают письма от подозрительных отправителей.
Вредоносное приложение может загрузиться и на компьютер главного бухгалтера фирмы, предупреждает старший юрист Федеральный рейтинг. группа Уголовное право
Дмитрий Алексашин. Когда финансист будет отправлять очередную платежку в банк, вирус автоматически изменит реквизиты получателя платежа на счета мошенников.
И подписанный электронной подписью документ подтвердит отправку денег фирмам-однодневкам, которые контролируются злоумышленниками, объясняет эксперт.
Профилактика от законодателя
Есть две основные причины, из-за которых происходят подобные преступления, считает Сердюк. Во-первых, недостаточная идентификация работниками удостоверяющих центров своих клиентов и безответственное отношение самих держателей ЭЦП к «ключам». С первой проблемой уже ведет борьбу законодатель.
В конце июля Госдума приняла закон, по которому собственнику жилья надо будет обратиться в Росреестр и лично одобрить переход права на квартиру в электронной форме (либо нотариальное заявление по почте). Тогда регистрирующий орган внесёт в реестр специальную отметку.
Если её не будет и при этом кто-то попытается передать права на недвижимость электронным путём, то Росреестр откажется одобрять сделку.
Законодательство Как новый закон защитит от кражи квартир с ЭЦП
Но руководитель практики «Недвижимость. Земля. Строительство» Федеральный рейтинг.
группа Страховое право группа Антимонопольное право (включая споры) группа Арбитражное судопроизводство (средние и малые коммерческие споры — mid market) группа Интеллектуальная собственность (Регистрация) группа Комплаенс группа Международный арбитраж группа Разрешение споров в судах общей юрисдикции группа Ритейл, FMCG, общественное питание группа Трудовое и миграционное право (включая споры) группа Интеллектуальная собственность (Защита прав и судебные споры) группа Санкционное право группа Семейное и наследственное право группа Банкротство (споры mid market) группа Интеллектуальная собственность (Консалтинг) группа Корпоративное право/Слияния и поглощения (mid market) группа Недвижимость, земля, строительство группа ТМТ (телекоммуникации, медиа и технологии) группа Уголовное право Профайл компании
Сергей Попов полагает, что эти поправки не смогут серьезно помешать похитителям квартир: «Чтобы получить электронную подпись, надо пройти проверку личности получателя, то есть без подлога на этом этапе мошенникам также не обойтись. Что создает закон? Лишь один новый этап для подлога и мошенничества». Если у преступников хватает изобретательности получить электронную подпись собственника, то они могут подать в Росреестр и уведомление о возможности регистрации с помощью ЭЦП, предупреждает Попов.
https://www.youtube.com/watch?v=amU3YvVzA54\u0026pp=ygVL0KDQuNGB0LrQuCDQuNGB0L_QvtC70YzQt9C-0LLQsNC90LjRjyDRjdC70LXQutGC0YDQvtC90L3QvtC5INC_0L7QtNC_0LjRgdC4
Еще одна законодательная инициатива устанавливает требования к порядку аккредитации и деятельности удостоверяющих центров (УЦ). Для них хотят установить минимальный размер уставного капитала не менее 1 млрд руб.
, а если филиалы есть не менее чем в трех четвертях субъектов России, то 500 млн руб. Кроме того, такие компании должны иметь высокий порог страховой ответственности своей деятельности. Срок аккредитации центра сократится до трех лет.
При этом юридическим лицам электронные подписи будет выдавать УЦ Федеральной налоговой службы, а кредитным организациям – УЦ Центробанка.
Личная защита
Обезопасить от таких преступлений могут не только новые поправки, но и внимательность самих граждан. Во-первых, нужно бережно хранить документы с персональными данными и не передавать их посторонним.
Во-вторых, обратиться в налоговую с заявлением о запрете регистрировать юридические лица на свое имя без личного присутствия. Внимательно нужно относиться и ко всем электронным платежам: ограничить их суммы и подключить СМС-информирование обо всех операциях по счету.
Кроме того, получать ЭЦП лучше в крупных удостоверяющих центрах, которые имеют положительную репутацию. Управляющий партнер АБ «Павел Хлюстов и партнеры» Павел Хлюстов советует постоянно проверять сведения из реестров, в которых зарегистрированы права на имущество.
По его словам, стоит обращать внимание на «странную» корреспонденцию, в которой есть недостоверные сведения о переходе прав на имущество к неизвестным лицам.
- – Не устанавливать банковские приложения на гаджеты, которые используются для посещения информационных и развлекательных сайтов.
- – Своевременно повышать защиту антивирусных программ и браузеров.
- – Не общаться с неизвестными адресатами по электронной почте компании (не открывать письма, файлы, ссылки, пришедшие от неизвестных людей).
- – Не использовать программы интернет-банкинга на компьютерах, установленных в публичных местах.
- – При потере документов незамедлительно сообщить о пропаже в полицию.
- – Изменить «заводской» пароль к электронной подписи на свой собственный.
Если без вашего ведома все же провели какую-то операцию с помощью электронной подписи, то на практике это можно доказать с помощью интернет-трафика. Он покажет, что в конкретный день и час пользователь не выходил в сеть со своего устройства, которое обычно использует для проведения таких операций, говорит Новиков.
А главное – чтобы уменьшить число подобных махинаций, надо совершенствовать законодательство, констатирует управляющий партнер Федеральный рейтинг. группа Семейное и наследственное право группа Трудовое и миграционное право (включая споры) группа Уголовное право
Дмитрий Солдаткин.
Он считает необходимым установить требование об обязательном личном присутствии заявителя или его представителя при оформлении ЭЦП.
Пока же ирония заключается в том, что использование электронной подписи настолько же упрощает жизнь, насколько усложняет процесс доказывания того факта, что отчуждение имущества совершил не ее владелец, резюмирует Виктор Ушакевич из Региональный рейтинг.
.
Как защитить электронную подпись от мошенников | Правила безопасности работы с ЭЦП
Электронная подпись — надежный инструмент для работы. Но при неосторожном обращении она открывает возможности для злоумышленников. Какие правила нужно соблюдать при работе с электронной подписью, чтобы уберечься от мошенничества.
Что такое ЭП, КЭП и для чего они нужны
Электронная подпись (ЭП или ЭЦП) — это электронные данные в документе, которые заменяют собственноручную подпись. Больше всего возможностей у квалифицированной электронной подписи (КЭП). Предприниматели используют ее, чтобы отправлять отчетность в налоговую, участвовать в электронных торгах, получать госуслуги и вести электронный документооборот.
Получите электронную подпись под свою задачу. В Контуре есть подписи для отчетности, торгов, ведения бизнеса и личных дел. Работаем с руководителями и сотрудниками. Быстро настраиваем компьютер, решаем технические сложности и консультируем в торгах.
Заказать
КЭП подтверждает, что документ подписан конкретным человеком и придает ему юридическую силу. Она также гарантирует, что в документ никто не вносил изменения после подписания.
КЭП выдают только удостоверяющие центры (УЦ), которые имеют аккредитацию Минкомсвязи. Например, ее можно получить в Удостоверяющем центре Контура или в Центре выдачи электронных подписей в Москве.
УЦ соблюдают правила безопасности — этого от них требует закон и госорганы, — удостоверяют личность будущего владельца ЭП, проверяют его документы через государственные базы.
А в случае нарушений УЦ несут материальную ответственность.
В УЦ владелец электронной подписи получает файлы, из которых состоит электронная подпись: закрытый ключ, открытый ключ и сертификат. Файлы записываются на токен (устройство, похожее на флешку) или в память компьютера. С помощью закрытого ключа пользователь подписывает документы, а открытый ключ и сертификат позволяют убедиться, что подпись поставил конкретный человек.
Закрытый ключ ЭП доступен только владельцу, и он должен держать его в тайне — этого требует 63-ФЗ «Об электронной подписи» (п.1 ч.1 ст.10 63-ФЗ). Именно из-за того, что владельцы передают закрытый ключ другим людям, возникают злоупотребления электронной подписью.
У Артема было несколько продуктовых магазинов. Он не нарушал закон и вовремя закрывал кредиты. Однажды бизнесмену позвонили из банка, а потом звонок продублировали коллекторы. Они утверждали, что у компании миллионный долг. Артем не поверил и пошел проверять кредитные истории: свою и компании. Выяснилось, что долг существует.
Два месяца назад бывший бухгалтер Артема оформил на компанию микрозайм на 1,2 миллиона рублей, перевел деньги себе и уволился. Оформить займ бухгалтер смог с помощью электронной подписи директора — Артем сам отдал ЭП, чтобы избавиться от рутинного подписания бумаг.
Как происходит мошенничество с электронной подписью
Злоумышленники могут завладеть ЭП по-разному. Первый вариант — умышленно получить подпись другого лица. Мошенники могут украсть закрытый ключ, который хранится на токене. Или владелец может оставить подпись в общественном месте или потерять.
Бывает и так, что компания забывает отозвать ЭП у уволенного сотрудника: он покупает товар от имени фирмы и скрывается, оставив долг. Нужно знать, как отозвать подпись и делать это сразу после увольнения, даже если работник пользовался полным доверием.
Есть и другой вариант. Владелец может сам отдать подпись постороннему лицу, чтобы снять с себя часть нагрузки. Так было с Артемом из нашего примера: он не знал, как обезопасить себя от мошенничества, поэтому передал ЭП бухгалтеру, а потом получил миллионный долг.
Продажа квартиры, подача декларации в ФНС и другие риски использования сертификата ЭП
Использование чужой ЭЦП по значимости сравнимо с использованием чужого паспорта. Она подтверждает личность человека и дает право совершать юридически значимые действия. Если ЭП попадет в руки злоумышленников, они смогут выдать себя за другое лицо и заключить сделку. Например:
- оформить кредит на компанию;
- вывести деньги из фирмы, а потом ликвидировать ее;
- подать в налоговую поддельные декларации с баснословными суммами, чтобы получить возмещение НДС в размере нескольких миллионов;
- продать чужую квартиру или офис. Сейчас этот сценарий невозможен для физических лиц — в августе 2019 года Росреестр ужесточил правила онлайн-сделок с физлицами, поэтому перед сделкой нужно получить согласие собственника на сделки с недвижимостью с использованием ЭП.
Как обеспечить безопасность электронной подписи
Подделать саму ЭП нельзя. В ее основе лежат криптографические технологии, которые не поддаются взлому. Переживать о том, как защитить свою подпись от подделки, не нужно, потому что мошенники действуют примитивнее — они подделывают документы, чтобы незаконно получить ЭП, или крадут подпись.
Рекомендуем соблюдать правила безопасности, которые помогут избежать мошенничества с цифровой подписью:
-
Нельзя передавать ЭП другим людям. Бухгалтер, заместитель и другие сотрудники не должны иметь доступа к закрытому ключу подписи, потому что могут подписать документ самовольно. Тогда доказать, что подпись поставил не владелец, а постороннее лицо, будет почти невозможно.
-
Если увольняется сотрудник, у которого есть ЭП, сертификат подписи надо сразу отозвать. Иначе уволенный работник может списать деньги со счета компании или вообще ликвидировать организацию, если раньше у него были такие полномочия. Отлично, если кадровая служба ведет учет сертификатов сотрудников — так проще следить, кому и когда выдана ЭП.
-
Токен с подписью и компьютер, где она используется, должны быть защищены паролем. Иначе злоумышленник сможет воспользоваться чужой ЭП, если украдет токен или получит доступ к компьютеру.
-
Если ЭП хранится на компьютере, он должен быть защищен от вирусов. Подозрительный файл, который пришел на почту, лучше не открывать: он может оказаться шпионской программой, которая скопирует все файлы, в том числе электронную подпись.
-
Если нужно отойти от компьютера, его лучше блокировать. Это гарантирует, что никто не воспользуется подписью в отсутствие владельца.
-
Нельзя передавать сканы и реквизиты паспорта ненадежным фирмам или оставлять их на подозрительных сайтах. Если сканы попадут в руки мошенников, они могут получить по ним электронную подпись от чужого имени.
Скорее всего, сотрудники удостоверяющего центра увидят подделку и сертификат не выдадут, но лучше не рисковать.
Если паспорт пропадет, об этом нужно сразу сообщить в полицию — заявление станет аргументом, если потребуется доказать, что ЭП на документ поставили мошенники.
Электронная подпись не гарантирует защиту компании от мошенников и воров. Но она создает для них серьезное препятствие — завладеть чужой ЭП намного сложнее, чем подделать подпись и печать на бумаге. Кроме того, с электронной подписью шансы остановить преступников и вычислить их намного выше:
-
Если у вас пропала подпись, то ее можно и нужно сразу же отозвать — тогда злоумышленники не смогут ей воспользоваться.
-
Проверить, что никто не выпустил на ваше имя электронную подпись, можно на портале Госуслуг — в личном кабинете в разделе «Настройки и безопасность» найдите вкладку «Электронная подпись».
Госуслуги покажут, какие подписи были выпущены на вас, когда и каким удостоверяющим центром. Если увидите электронную подпись, которую не получали, обратитесь в техподдержку портала и в УЦ, который указан в этой подписи.
УЦ по вашему заявлению отзовет сертификат подписи, и тогда ей больше никто не сможет воспользоваться.
-
Если мошенник все-таки смог без вашего ведома получить электронную подпись на ваше имя, то найти его будет проще, чем того, кто подделывает рукописные подписи.
Ведь из сертификата электронной подписи можно узнать, кто, когда и в каком УЦ его получил.
Также все удостоверяющие центры хранят копии документов, по которым выдавалась подпись, а некоторые — при выдаче сертификата делают фото будущего владельца ЭП с паспортом. Благодаря таким зацепкам, правоохранителям будет проще поймать мошенников.
Получите подпись в УЦ Контура — это надежно и безопасно. Мы работаем на рынке больше 17 лет и выдаем сертификаты подписей, соблюдая все меры безопасности, имеем аккредитацию Минкомсвязи и необходимые лицензии ФСБ России.
Получите электронную подпись под свою задачу. В Контуре есть подписи для отчетности, торгов, ведения бизнеса и личных дел. Работаем с руководителями и сотрудниками. Быстро настраиваем компьютер, решаем технические сложности и консультируем в торгах.
Заказать