Простая электронная подпись смс
Алиса Муратова, аналитик Synerdocs.
Использование простой электронной подписи (далее – ПЭП) на
сегодняшний день еще не является массовым. Однако и бизнес, и рядовые
пользователи уже по достоинству извлекли пользу из ее применения.
Количество
отраслей, использующих ПЭП, с каждым годом только увеличивается. Что интересно,
рынок в целом не позиционирует ее пару «логин/пароль» как подпись конкретного
физического или юридического лица.
В одной из наших прошлых статей «Простая электронная подпись –
широкие возможности» были рассмотрены основные моменты при работе с ПЭП,
приведены примеры, возможности и перспективы ее использования.
В данной статье
мы еще глубже погрузимся в предметную область: поговорим о тех отраслях, где
активно используется простая ЭП, а также постараемся представить, каким может
стать положение простой электронной подписи в будущем.
Что говорит закон о простой электронной подписи?
Применение ПЭП обеспечивает электронному документу юридическую
силу. Подробнее об этом написано в Федеральном законе
РФ №63-ФЗ «Об электронной подписи». В частности, в статье 5 представлено
определение простой ЭП:
«Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом». |
При этом в статье 6 разъясняется, в каком случае документ
считается подписанным ПЭП:
«Информация в электронной форме, подписанная простой электронной подписью или неквалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, в случаях, установленных федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или соглашением между участниками электронного взаимодействия ». |
Данные акты и соглашения устанавливают
случаи признания электронных документов, подписанных ПЭП, равнозначными
документам на бумажных носителях, подписанными собственноручной подписью и
должны соответствовать требованиям статьи 9 данного закона.
Таким образом, главной особенностью ПЭП является то
обстоятельство, что ее идентификация подразумевает собой визирование документа
конкретным лицом. Однако идентификация определяет лишь лицо, подписавшее
документ, но не устанавливает неизменность визы.
Где мы чаще всего сталкиваемся с простой электронной подписью?
В повседневной жизни мы используем простую подпись регулярно,
но порой даже не осознаем этого и недооцениваем ее значения. Рассмотрим
примеры.
Банковская
сфера
Банки уже давно освоили процедуру подтверждения операций
клиентом с помощью ПЭП и активно используют технологию простой ЭП в сервисах
интернет-обслуживания. Особенность в том, что ключом простой ЭП можно считать SMS-пароль или
одноразовые пароли с чека, распечатанные в банкомате или терминале банка. Доступ
к услуге можно получить после заключения договора на обслуживание.
Банки заботятся о безопасности
расчетов по банковским картам и предоставляют клиентам возможность подключать технологию
3D—secure,
позволяющую совершать интернет-платежи в защищенном режиме.
Процедура
предполагает введение пароля, известного только пользователю, который выдается
в офисах банка, далее устанавливается защищенное соединение, а оплата
производится только после успешно пройденной идентификации.
Это тоже некий
вариант реализации ПЭП, где ключом является пароль, созданный пользователем,
запрашиваемый при каждом подтверждении оплаты через сеть интернет.
Более того, сегодня банки оформляют
кредиты посредством телефонного звонка, что является совершенно законным. Вы
предоставляете необходимые данные, соглашаетесь с условиями и оставляете свой
личный номер.
Далее, согласно оферте, вам приходит SMS-код,
который вы используете в качестве электронной подписи для формирования
электронного документа.
В случае идентичности SMS-кода,
направленного банком, и SMS-кода, введенного в форме электронного документа для
подтверждения передачи клиентом соответствующего распоряжении/заявления через
интернет-банк, такая электронная подпись считается подлинной.
Брокерские организации
Брокеры также освоили ПЭП и
используют ее в работе со своими клиентами. В данной ситуации клиенты брокеров подразделяются
на две общеизвестные категории: физические и юридические лица. При этом обе
категории обслуживаются через личный кабинет.
Для физических лиц используются SMS-коды, которые приобретаются в офисах после заполнения
соответствующей анкеты с указанием личных данных и номера мобильного телефона.
Для юридических лиц применяются PIN-конверты, в которых
содержится более 20 паролей.
Для осуществления операций с ценными бумагами
необходима установка специализированного программного обеспечения, когда
открытый ключ хранится у брокера (направляется посредством электронной почты),
а закрытый – у клиента.
Программное обеспечение позволяет
обмениваться с брокером электронными документами, подписание которых происходит
с помощью ПЭП. Права и обязанности сторон при работе со специализированном ПО с
использованием простой ЭП зафиксированы в соответствующих правилах, которые
также являются приложением к регламенту обслуживания клиентов.
Госучреждения
В организациях государственной и муниципальной власти
подтверждение той или иной операции и получение услуг также происходит через
личный кабинет – с помощью ввода уникальных логина и пароля. Но перед их
получением гражданину необходимо посетить центр информатизации общества для
подтверждения личности.
Агентская сеть
Если с перечисленными отраслями все достаточно прозрачно, то
иная ситуация обстоит с агентскими сетями. Напомним, что агентская сеть — это
организационно оформленная совокупность агентов, работающих от имени и в
интересах компании.
Агентские сети предполагают наличие правильной сегментации
рынка и присутствие в каждом из сегментов агентов, продвигающих услуги на рынок.
Агента и организацию связывает огромное количество документов, такие как агентские
и субагентские договоры, календарные планы, дополнительные соглашения, отчеты,
которые активно передаются через интернет-порталы.
В этом случае ПЭП выглядит как личный кабинет/портал для
агента, где вводятся данные о продажах тех или иных продуктов и формируются
отчеты. Для подтверждения личности, к примеру, может быть заключен договор с
одним из филиалов организации.
Страхование
По официальному сообщению Банка России, к 1 января 2017 года
страховые компании, работающие на рынке ОСАГО, будут обязаны продавать
электронные полисы обязательного автострахования по всей стране.
Напомним, об
этой инициативе было известно еще в 2013 году, а сами продажи электронного
ОСАГО стартовали с 1 июля 2015 года.
На сегодняшний день такие полисы
предлагают 15 страховщиков из 81, имеющих лицензии на ОСАГО.
При чем же тут электронная подпись? Дело в том, что
использование усиленной квалифицированной электронной подписи при покупке ОСАГО
серьезно ударило бы по карману плательщика. Во-первых, это расходы на покупку и
установку СКЗИ. Во-вторых, затраты на ежегодный перевыпуск.
Для чего это
делать, если плательщик, к примеру, намеревается покупать ОСАГО раз в год?
Преимуществом онлайн-страхования является оперативность оформления и выпуска
полиса, поэтому данная проблема решилась посредством использования простой ЭП,
где подписание происходит посредством SMS-сообщения.
Сетевой
бизнес
В последнее время обороты набирает
так называемый сетевой бизнес. Если раньше вести его было достаточно тяжело, то
сейчас, с появлением новых интернет-технологий, эта задача значительно
упростилась. Подвиды сетевого бизнеса в интернете включают в себя:
- ●
интернет-магазины, - ●
торговые площадки (например, AliExpress, где
сайт выступает посредником между продавцом и покупателем), - ●
дистанционное обучение и консультации (продажи медицинских и юридических
консультаций), - ●
разработка и продвижение сайтов, - ●
информационный бизнес (продажа рекламы и доступа к информации), даже так
называемый МЛМ-бизнес, где товар распространяется через интернет, хотя
существуют компании, которые принципиально запрещают реализовывать товар через
интернет.
Во всех этих видах сетевого маркетинга, инструментов
взаимодействия между клиентом и продавцом является личный кабинет, где логин и
пароль выступают своего рода электронной подписью.
Простая электронная подпись: что это такое, как получить
Простая электронная подпись представляет собой связку цифровых данных, с помощью которых можно провести идентификацию личности. Сейчас они используются повсеместно на интернет-сайтах (при регистрации и авторизации), их же можно применять для подписи электронных документов, что помогает установить авторство, защитить файл от дальнейшего редактирования. А как создать простую электронную подпись и что для этого понадобится? Каким образом можно её в дальнейшем использовать?
Простая ЭЦП с юридической точки зрения
Согласно действующих нормативов, простая электронная подпись – это визирование в цифровом виде, с помощью которого можно установить личность пользователя на основе связок мета-данных.
То есть, вводимый для доступа на какой-то определенный сайт логин и пароль – это и есть данные простой электронной подписи, которые вводятся без какого-либо шифрования (но передаются на внешний сервер они уже по шифрованным каналам).
Или СМС-код, присланный на телефон – он тоже является электронным ключом, с помощью которой пользователь подтверждает свою личность (аккаунт, профиль).
Простую ЭЦП в форме файла можно создать с помощью специального ПО. Как пример – пакет офисных приложений Microsoft Office, в которые интегрирован механизм защиты создаваемых документов от редактирования и сохранения авторства.
https://www.youtube.com/watch?v=gKEd-e4T6ng\u0026pp=YAHIAQHwAQE%3D
Простая цифровая подпись при этом не имеет юридической силы. Подписывать ею документ можно, но это не наделяет его никакими полномочиями, привилегиями. Такой файл нельзя отправить, например, в ФНС для предоставления финансовой отчетности. Её же нельзя использовать для подтверждения личности на сайтах портала Госуслуг (при доступе в персональный расширенный документ).
Как создать простую цифровую подпись?
Создание простой электронной подписи предусмотрено на любой операционной системе для персональных компьютеров.
Для этого понадобится установить специальное ПО, внести данные сертификата личной подписи и сгенерировать файл-сертификат. За сохранение персональных данных в этом случае полностью отвечает пользователь.
Если файл каким-либо образом попадет третьим лицам, то они смогут воспользоваться им на свое усмотрение, в том числе для реализации мошеннических действий.
- В операционной системе Windows сгенерировать простой электронный сертификат можно, к примеру, в Microsoft Office. Для этого необходимо сперва создать любой документ. Далее – перейти в меню «Файл», затем выбрать «Защита документа». В появившемся выпадающем меню выбрать «Добавить цифровую подпись». Затем – выбрать один из созданных сертификатов (если ранее это уже было сделано) и сохранить файл.
- Если ЭЦП ранее не была добавлена на ПК, то программа выдаст запрос на получение ПО от партнеров для создания электронных подписей. Самые удобные среди таких – приложение «Карма». Оно полностью русифицировано, поэтому сложностей с его использованием не должно возникнуть. Программа автоматизирует процесс не только создания электронных подписей, но и устанавливает их в саму операционную систему.
- Также простую электронную подпись для физических лиц можно создать с помощью дистрибутива КриптоПро CSP (приложение платное, для его использования необходимо приобрести лицензию, программа подходит для работы и с усиленными цифровыми подписями). Дополнительно нужно инсталлировать плагин КриптоПро Office Signature (именно с его помощью происходит интеграция КриптоПро в пакет офисных приложений Microsoft Offce). Ключевое преимущество данного ПО – там можно создавать и усиленные ключи, но признаваться легитимными они все равно не будут (так как они не регистрируются в Минкомсвязи). Но для остальных функций их можно использовать как и обычные ЭЦП, выпускаемые на рутокенах.
- Получить заверенную простую ЭЦП можно и в удостоверяющих центрах, как это делают с усиленными сертификатами. Но и их не будут признавать легитимными в правовом поле. Единственное преимущество получения электронной подписи именно в удостоверяющем центре – это возможность записать сертификат на USB-токен с шифрованием. К примеру, это будет полезным для писателей, которые предпочитают писать книгу именно в текстовых программах. С помощью шифрованного сертификата можно заверить авторство создаваемого документа, защитить от его плагиата.
Как выглядит простая электронная подпись на документе?
Итак, как выглядит простая электронная подпись на документе?
Визуально – никак, так как это набор мета-данных, который добавляется в сам файл, а него в его содержимое. Можно, конечно же, добавить и обычную подпись к документу, но она не позволяет установить точного автора или период, когда файл был создан.
Узнать о наличии простой электронной подписи можно только в свойствах документа.
А ещё в Microsoft Office (если речь идет о документах, созданных в данной программе) при открытии подписанного документа появляется сообщение о том, что его отредактировать невозможно из-за наличия ЭЦП.
Как выглядит простая электронная подпись на распечатанном бумажном документе?
Её там не будет, и ЭЦП вообще не могут использоваться для заверения физических копий документов.
В некоторых программах в настройках можно задать параметры, когда при печати подписанных документов на них будет ставиться определенная графическая пометка (это может быть даже отсканированное изображение рукописной подписи). Но на юридическую силу распечатанного файла это никоим образом не влияет. Чаще всего данная функция используется только для установления автора документа из организационных нужд.
https://www.youtube.com/watch?v=huwGkWf8JBI\u0026pp=ygU70J_RgNC-0YHRgtCw0Y8g0Y3Qu9C10LrRgtGA0L7QvdC90LDRjyDQv9C-0LTQv9C40YHRjCDRgdC80YE%3D
А ранее планировалось включать электронные подписи и на распечатанные документы в виде незаметного числового набора (невидимым шрифтом который можно заметить только при оптическом увеличении). Но впоследствии от такой функции отказались, так как это в несколько раз бы удорожило стоимость бытовой печатной техники.
Сфера применения простых электронных подписей
Самые распространенные варианты использования простых электронных подписей следующие:
- Авторизация на интернет-сайтах. Связка логин/пароль позволяют установить, что доступ к защищенным данным запрашивает именно их автор, а не третье лицо или вовсе бот.
- Заверение электронных документов. Наличие ЭЦП позволяет установить кем был создан файл, когда он редактировался, а также когда он был скопирован.
- Получение доступа к файлам и базам данных, защищенных паролем.
Нередко выдачу простой электронной подписи производят в частных организациях, чтобы отслеживать процесс создания и редактирования текстовых документов. Таким образом можно контролировать производственный процесс, работу сотрудников. Но сам факт наличия подписи несет только информацию, но не юридическую силу.
Использовать простые ЭЦП нельзя для работы с государственными органами, для получения доступа к электронным торгам (имеются ввиду тендеры, рассматриваемые в установленном законом порядке).
Также простые ЭЦП сейчас активно используются в 1С для отслеживания статуса производственных процессов. С их помощью можно, например, установить точный график, когда определенный кассир в магазине находился на своем рабочем месте.
Для налоговой это никакой пользы не дает, а вот владелец магазина подобным образом сможет определить недобросовестного сотрудника. Достаточно лишь ввести правило, что для работы с кассовым оборудованием необходимо вводить логин/пароль.
Заключение договора при помощи СМС
Блог
Содержание:
Наши партнеры достаточно часто интересуются, как организовать подписание договоров с физическими и юридическими лицами с помощью СМС. В этой статье расскажем об этом вопросе.
В настоящее время в России возможности заключения договоров и подписания документов в электронной форме несколько недооценены: в то время, когда быстро развивающиеся технологии позволяют оперативно и надежно обмениваться информацией, наш бизнес упорно продолжает работать по старинке, заключая «бумажные» договоры, тем самым создавая огромный объем почтовой переписки. При этом, разумеется, запрос на облегчение, систематизацию и удешевление процедуры документооборота есть: немалое количество компаний заменяют бумажные документы электронными.
Главный вопрос, который интересует наших клиентов, — имеет ли юридическую силу документ, подписанный при помощи введения одноразового кода из СМС. И, как следствие, признают ли налоговые органы такой документ?
Считаем необходимым остановиться на следующих пунктах:
1.Форма договора
Статья 434 Гражданского кодекса Российской Федерации: «Договор может быть заключен в любой форме, предусмотренной для совершения сделок, если законом для договоров данного вида не установлена определенная форма.
Если стороны договорились заключить договор в определенной форме, он считается заключенным после придания ему условленной формы, хотя бы законом для договоров данного вида такая форма не требовалась».
Это значит, что стороны вполне могут заключать договоры в той форме, в которой это удобнее (и если это не нарушает иных положений российского законодательства).
2.Что такое электронная подпись
Заключение договоров в электронной форме неразрывно связано с понятием «электронная подпись». Пункт 2 статьи 5 Федерального закона «Об электронной подписи» от 06.04.
2011 N 63-ФЗ определяет электронную подпись следующим образом: «Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом».
Другими словами, одноразовые уникальные коды, отправляемые по СМС, являются элементом простой электронной подписи.
3.Идентификация лица, с которым заключается договор
- Юридическое лицо: согласно статье 9 ФЗ «Об электронной подписи», для обеспечения юридической силы документа необходимо определить лицо, использующее простую ЭП. Обычно это происходит при личном посещении подписантом организации, которая выдает ключи электронной подписи (подписант предъявляет документ, удостоверяющий личность и получает ключ электронной подписи.
Если ключ генерируется без очной встречи сторон с подтверждением личности подписанта, определить лицо, использующее электронную подпись, будет невозможно. Следовательно, электронные документы, подписанные такой подписью, не обладают юридической силой, а являются лишь «заявлениями о намерениях» и означают согласие стороны с условиями сделки, но не участие в ней.
Применение варианта без подтверждения личности подписанта оправдано, когда услуги предоставляются в рамках оферты.
В этом случае подписание электронного документа ни к чему не обязывает подписанта и заключение договора сторонами произойдет путем присоединения к условиям оферты при выполнении существенных условий, описанных в ее тексте (использование простой электронной подписи может быть лишь одним из таких условий).
Самым простым способом идентификации юридического лица является отправка минимального платежа (например, 1 рубль) с расчетного счета идентифицируемой компании. Этот способ достаточно надежен, так как при открытии расчетного счета представители банка идентифицируют представителя организации.
Кроме того, распоряжаться расчетным счетом может только глава организации и/или уполномоченные им люди
- Физическое лицо: для идентификации физических лиц обычно используется паспорт.
Соответственно, для идентификации можно запрашивать скан или фото его паспорта (иногда запрашивают фото самого человека, который держит в руках свой паспорт, чтобы исключить случаи, когда неизвестное лицо использует фото и данные чужого документа.
А можно просто отправить клиенту СМС, ведь при покупке сим-карты каждый абонент обязан предоставить свои персональные данные и предъявить свой паспорт для прохождения процедуры идентификации. Соответственно, любые действия, совершенные с использованием мобильного телефона, смартфона, планшета или любого другого устройства, имеющего сим-карту, будут считаться действиями именно того лица, на которого такая сим-карта зарегистрирована (мы предполагаем, что владелец сим-карты уже идентифицирован и его повторно идентифицировать не нужно).
Согласно пункту 1 статьи 438 Гражданского кодекса Российской Федерации: «Акцептом признается ответ лица, которому адресована оферта, о ее принятии. Акцепт должен быть полным и безоговорочным». Другими словами, подписать/акцептовать договор/оферту должно именно то лицо, которому этот договор или оферта были адресованы.
Пункт 1 статьи 160 Гражданского кодекса Российской Федерации гласит:
«1. Сделка в письменной форме должна быть совершена путем составления документа, выражающего ее содержание и подписанного лицом или лицами, совершающими сделку, либо должным образом уполномоченными ими лицами.
https://www.youtube.com/watch?v=huwGkWf8JBI\u0026pp=YAHIAQE%3D
Письменная форма сделки считается соблюденной также в случае совершения лицом сделки с помощью электронных либо иных технических средств, позволяющих воспроизвести на материальном носителе в неизменном виде содержание сделки, при этом требование о наличии подписи считается выполненным, если использован любой способ, позволяющий достоверно определить лицо, выразившее волю. Законом, иными правовыми актами и соглашением сторон может быть предусмотрен специальный способ достоверного определения лица, выразившего волю.»
4.Примерный порядок заключения договоров (оферты) между организацией (индивидуальными предпринимателем) и физическим лицом в электронном виде
- Подтверждение личности стороны договора
- Размещение данных об условиях заключаемого договора (оферты): представляется совершенно необходимым, чтобы условия заключаемого договора были доведены до уполномоченных представителей сторон.
Это может быть сделано путем отправки самого документа или ссылки на документ, например, по СМС, электронной почте или иным способом. Например, СМС-сообщение может выглядеть так: «Для заключения Договора/акцепта Оферты, условия которого находятся по ссылке https:/*****.ru сообщите оператору уникальный одноразовый код: *******.
Сообщив этот код оператору, Вы подтверждаете полное и безоговорочное согласие со всеми условиями Договора/Оферты.»
- Действие стороны договора/акцепт оферты. В нашем примере это передача уполномоченному лицу присланного уникального кода из СМС.
ВАЖНО: пункт 2 статьи 438 Гражданского кодекса Российской Федерации гласит, что «Молчание не является акцептом, если иное не вытекает из закона, соглашения сторон, обычая или из прежних деловых отношений сторон.»
5.Хранение данных
Не менее важным представляется также вопрос хранения всех необходимой информации о заключении договора, в частности:
- Способ идентификации и все данные, полученные при идентификации стороны договора
- Точное содержание принятой оферты/подписанного договора
- Номер телефона, на который был отправлен уникальный код
- Дата и время подписания договора/принятия оферты
- Точный текст отправленного СМС-сообщения
- Статус отправки/доставки отправленного СМС-сообщения и т.п.
6.СМС-авторизация
Наша компания предлагает Вам сервис СМС-рассылок, который позволяет:
- Осуществлять генерацию уникальных кодов
- Отправлять получателям сгенерированные уникальные коды по СМС
- Хранить детальную информацию о каждом отправленном СМС-сообщении
7.Вывод
В данной статье мы рассмотрели вопрос использования процедуры заключения договора (оферты) в электронном виде.
Главный вывод — нет никаких юридических препятствий для заключения договора/акцепта оферты через уникальный код, отправляемый СМС-сообщением на телефон абонента.
Этот легальный и быстрый способ заключения договоров бизнес оценил по достоинству за сокращение издержек на работу с клиентами.
8.
ВАЖНО: данная статья носит исключительно информационный характер. Точное содержание процедуры заключения договора рекомендуем согласовать с Вашим юристом.
Простая электронная подпись смс
Подборка наиболее важных документов по запросу Простая электронная подпись смс (нормативно–правовые акты, формы, статьи, консультации экспертов и многое другое).
Судебная практика
Зарегистрируйтесь и получите пробный доступ к системе КонсультантПлюс бесплатно на 2 дня
Апелляционное определение Московского областного суда от 16.01.2023 по делу N 33-339/2023Категория спора: Заем.Требования займодавца: 1) О взыскании основного долга по договору займа; 2) О взыскании процентов за пользование займом; 3) О взыскании неустойки по кредитному договору.Обстоятельства: Истец указал, что ответчик не исполнил надлежащим образом обязательства по возврату полученной суммы микрозайма и уплате процентов.
Решение: 1) Удовлетворено; 2) Удовлетворено; 3) Удовлетворено.
https://www.youtube.com/watch?v=DttUKBWRYo4\u0026pp=ygU70J_RgNC-0YHRgtCw0Y8g0Y3Qu9C10LrRgtGA0L7QvdC90LDRjyDQv9C-0LTQv9C40YHRjCDRgdC80YE%3D
Заключение договора займа с использованием заемщиком простой электронной подписи посредством направления смс-сообщения, содержащего код подтверждения, полученного от кредитора, соответствует положениям пункта 1 статьи 3 Федерального закона от 06 апреля 2011 года N 63-ФЗ «Об электронной подписи», части 14 статьи 7 Федерального закона от 21 декабря 2013 года N 353-ФЗ «О потребительском кредите (займе)», согласно которым документы, необходимые для заключения договора потребительского кредита (займа) в соответствии с настоящей статьей, включая индивидуальные условия договора потребительского кредита (займа) и заявление о предоставлении потребительского кредита (займа), могут быть подписаны сторонами с использованием аналога собственноручной подписи способом, подтверждающим ее принадлежность сторонам в соответствии с требованиями федеральных законов, и направлены с использованием информационно-телекоммуникационных сетей, в том числе сети «Интернет». Ответчик оспаривает факт заключения договора займа, ссылаясь на то, что номер телефона, на который был направлен код подтверждения, ему не принадлежит.
Зарегистрируйтесь и получите пробный доступ к системе КонсультантПлюс бесплатно на 2 дня
Апелляционное определение Московского областного суда от 16.01.2023 по делу N 33-339/2023Категория спора: Заем.Требования займодавца: 1) О взыскании основного долга по договору займа; 2) О взыскании процентов за пользование займом; 3) О взыскании неустойки по кредитному договору.Обстоятельства: Истец указал, что ответчик не исполнил надлежащим образом обязательства по возврату полученной суммы микрозайма и уплате процентов.
Решение: 1) Удовлетворено; 2) Удовлетворено; 3) Удовлетворено.
https://www.youtube.com/watch?v=DttUKBWRYo4\u0026pp=ygU70J_RgNC-0YHRgtCw0Y8g0Y3Qu9C10LrRgtGA0L7QvdC90LDRjyDQv9C-0LTQv9C40YHRjCDRgdC80YE%3D
Заключение договора займа с использованием заемщиком простой электронной подписи посредством направления смс-сообщения, содержащего код подтверждения, полученного от кредитора, соответствует положениям пункта 1 статьи 3 Федерального закона от 06 апреля 2011 года N 63-ФЗ «Об электронной подписи», части 14 статьи 7 Федерального закона от 21 декабря 2013 года N 353-ФЗ «О потребительском кредите (займе)», согласно которым документы, необходимые для заключения договора потребительского кредита (займа) в соответствии с настоящей статьей, включая индивидуальные условия договора потребительского кредита (займа) и заявление о предоставлении потребительского кредита (займа), могут быть подписаны сторонами с использованием аналога собственноручной подписи способом, подтверждающим ее принадлежность сторонам в соответствии с требованиями федеральных законов, и направлены с использованием информационно-телекоммуникационных сетей, в том числе сети «Интернет». Ответчик оспаривает факт заключения договора займа, ссылаясь на то, что номер телефона, на который был направлен код подтверждения, ему не принадлежит.
Статьи, комментарии, ответы на вопросы
Зарегистрируйтесь и получите пробный доступ к системе КонсультантПлюс бесплатно на 2 дня
«Научно-практический постатейный комментарий к Федеральному закону «О персональных данных»(2-е издание, переработанное и дополненное)(Савельев А.И.)
(«Статут», 2021)
4) электронный документ, подписанный простой электронной подписью в виде СМС. В соответствии с Федеральным законом от 6 апреля 2011 г. N 63-ФЗ «Об электронной подписи» (далее — Закон об электронной подписи) простая электронная подпись — это электронная подпись, которая создается посредством использования кодов, паролей или иных средств и подтверждает факт формирования электронной подписи определенным лицом. Такого рода согласие может быть выражено в виде ввода СМС-кода, отправленного на телефон субъекта персональных данных при регистрации на соответствующем ресурсе. Документ, с которым было выражено согласие в подобной форме, признается судами в качестве подписанного простой электронной подписью (Определение Приморского краевого суда от 7 апреля 2015 г. по делу N 33-2865: «Согласно Оферте СМС-код используется в качестве электронной подписи клиента для формирования им каждого электронного документа. В случае идентичности СМС-кода, направленного банком, и СМС-кода, введенного в форме электронного документа для подтверждения передачи клиентом соответствующего распоряжении/заявления через интернет-банк, такая электронная подпись считается подлинной и предоставленной клиентом»). Крайне важно подчеркнуть, что для обеспечения юридической силы простой электронной подписи необходимо также выполнение требований ст. 6 Закона об электронной подписи, предусматривающих обязательность наличия определенных условий в договоре с пользователем (правила определения лица, подписывающего электронный документ, на основании простой электронной подписи; его обязанность обеспечивать конфиденциальность ключа электронной подписи и порядок проверки подлинности электронной подписи) . В этой связи следует признать противоречащими как положениям законодательства, так и судебной практике разъяснения Роскомнадзора, в которых содержится указание на то, что действующее законодательство не предусматривает возможность получения согласия по СМС ;
SMS и PUSH-уведомления по требованиям 683-П и 684-П ЦБ РФ
Специалисты компании КриптоПро отвечают на вопрос: “Чем же заменить SMS и PUSH-уведомления при реализации кредитными и некредитными финансовыми организациями требований 683-П и 684-П ЦБ РФ”?
Рассмотрим в рамках статьи два схожих и наиболее обсуждаемых пункта, опубликованных в один день на прошлой неделе положений ЦБ РФ – 683-П и 684-П, оба от 17.04.2019.
Полностью эти положения называются так:
683-П: “Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента”.
684-П: “Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций”.
Оба положения устанавливают требования по защите информации для финансовых организаций, только 683-П распространяется на кредитные организации, а 684-П на некредитные. Далее по тексту будем пользоваться следующими сокращениями:
- ЭД – электронный документ
- ЭП – электронная подпись
- ПЭП – простая электронная подпись
- НЭП – неквалифицированная электронная подпись
- КЭП – квалифицированная электронная подпись
- НПА – нормативный правовой акт
- ФЗ – федеральный закон
Рассмотрим наиболее значимые пукнты: в 683-П – пункт 5.1, а в 684-П – пункт 10.
683-П: “5.1. Кредитные организации должны обеспечивать подписание электронных сообщений способом, позволяющим обеспечить целостность и подтвердить составление указанного электронного сообщения уполномоченным на это лицом.
https://www.youtube.com/watch?v=DttUKBWRYo4\u0026pp=YAHIAQE%3D
Признание электронных сообщений, подписанных электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью, должно осуществляться в соответствии со ст. 6, 63-ФЗ “Об электронной подписи”.
684-П: “10. Некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны обеспечивать подписание электронных сообщений способом, позволяющим обеспечить их целостность и подтвердить их составление уполномоченным на это лицом.
https://www.youtube.com/watch?v=DttUKBWRYo4\u0026pp=YAHIAQE%3D
Признание электронных сообщений, подписанных электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью, должно осуществляться в соответствии со статьей 6, 63-ФЗ «Об электронной подписи”.
Как видно, рассматриваемые пункты в обоих положениях почти дословно совпадают, поэтому далее будем рассматривать их как единый пункт. А под финансовыми организациями будем понимать как кредитные, так и некредитные.
В настоящее время наибольшее количество дискуссий вызывает первый абзац рассматриваемого пункта.
Экспертное сообщество по сути разделилось на два лагеря – одни эксперты говорят, что теперь финансовым организациям вместо использования уже привычных SMS и PUSH-уведомлений необходимо будет в обязательном порядке искать альтернативы, способные обеспечить целостность и авторство отправляемых электронных сообщений. Другие говорят, что можно будет остаться на SMS и PUSH, ограничившись небольшими доработками. Центральный банк пока же воздерживается от официальных комментариев по этому поводу.
Представители компании КриптоПро, со своей стороны, не дожидаясь комментариев ЦБ РФ, предположили в статье, что в соответствии с 683/684-П или по каким-то иным причинам, финансовым организациям придется искать альтернативу SMS и PUSH-уведомлениям.
Далее специалисты перешли к анализу второго абзаца, обратившись к указанной в нем ст.6, 63-ФЗ (рассмотрены только пункты, относящиеся к обсуждаемому вопросу).
“Статья 6. Условия признания электронных документов (далее – ЭД), подписанных ЭП, равнозначными документам на бумажном носителе, подписанным собственноручной подписью
- Информация в электронной форме, подписанная КЭП признается ЭД, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, и может применяться в любых правоотношениях в соответствии с законодательством РФ, кроме случая, если ФЗ или принимаемыми в соответствии с ними НПА установлено требование о необходимости составления документа исключительно на бумажном носителе.
- Информация в электронной форме, подписанная ПЭП или НЭП, признается ЭД, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, в случаях, установленных ФЗ, принимаемыми в соответствии с ними НПА или соглашением между участниками электронного взаимодействия. НПА и соглашения между участниками электронного взаимодействия, устанавливающие случаи признания ЭД, подписанных НЭП, равнозначными документам на бумажных носителях, подписанным собственноручной подписью, должны предусматривать порядок проверки электронной подписи. НПА и соглашения между участниками электронного взаимодействия, устанавливающие случаи признания ЭД, подписанных ПЭП, равнозначными документам на бумажных носителях, подписанным собственноручной подписью, должны соответствовать требованиям статьи 9 настоящего ФЗ”.
Представители КриптоПро рассмотрели пункты ст.9, 63-ФЗ, относящиеся к обсуждаемому вопросу:
“Статья 9. Использование ПЭП
ЭД считается подписанным ПЭП при выполнении в том числе одного из следующих условий:
1) ПЭП содержится в самом ЭД;
2) ключ ПЭП применяется в соответствии с правилами, установленными оператором ИС, с использованием которой осуществляются создание и (или) отправка ЭД, и в созданном и (или) отправленном ЭД содержится информация, указывающая на лицо, от имени которого был создан и (или) отправлен ЭД.
НПА и (или) соглашения между участниками электронного взаимодействия, устанавливающие случаи признания ЭД, подписанных ПЭП, равнозначными документам на бумажных носителях, подписанным собственноручной подписью, должны предусматривать, в частности:
1) правила определения лица, подписывающего ЭД, по его ПЭП;
2) обязанность лица, создающего и (или) использующего ключ ПЭП, соблюдать его конфиденциальность”.
И наконец, специалисты обратились к определениям ПЭП, НЭП, КЭП в 63-ФЗ:
ПЭП является ЭП, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования ЭП определенным лицом.
НЭП является ЭП, которая:
1) получена в результате криптографического преобразования информации с использованием ключа ЭП;
2) позволяет определить лицо, подписавшее ЭД;
3) позволяет обнаружить факт внесения изменений в ЭД после момента его подписания;
4) создается с использованием средств ЭП.
КЭП является ЭП, которая соответствует всем признакам НЭП и следующим дополнительным признакам:
1) ключ проверки ЭП указан в квалифицированном сертификате;
2) для создания и проверки ЭП используются средства ЭП, имеющие подтверждение соответствия требованиям, установленным в соответствии с настоящим ФЗ.
Смогут ли все-таки финансовые организации продолжить использование SMS и PUSH уведомлений (по сути являющихся реализацией ПЭП?
Из определения ПЭП и положений ст.9, 63-ФЗ следует, что это маловероятно.
Если факт составления указанного электронного сообщения уполномоченным на это лицом (авторство) еще можно как-то доказать, прописав в соответствующих соглашениях, то обеспечить целостность средствами ПЭП без применения криптографических средств, практически невозможно. Даже по определению ПЭП – обеспечение целостности не ее задача.
Остается либо использовать НЭП, либо КЭП. В данном случае, при выборе между НЭП и КЭП есть всем известные за и против. Но в любом случае представители компании КриптоПро рекомендуют использовать именно сертифицированные ФСБ средства ЭП (в случае с КЭП это обязательное условие), т.к.
их использование существенно снижает риски организации по оспариванию подписи клиентом, в том числе в суде.
При этом, в случае, если организацией будет использоваться НЭП, ей потребуется подписать со своими клиентами соответствующее соглашение, устанавливающее случаи признания ЭД, подписанных НЭП, равнозначными документам на бумажных носителях, подписанным собственноручной подписью. Данное соглашение (в соответствии со ст.6, 63-ФЗ) должно будет предусматривать порядок проверки электронной подписи, что не должно стать для организации проблемой.
Если же организация захочет замахнуться на КЭП для решения обсуждаемой задачи, то в этом случае ей потребуется либо аккредитовать свой УЦ, либо воспользоваться услугами стороннего коммерческого аккредитованного УЦ для получения квалифицированных сертификатов.
При этом и в случае с НЭП и в случае с КЭП – в качестве технических средств ЭП для решения поставленной задачи можно использовать, например, решение КриптоПро myDSS, которое представляет собой совместную разработку компаний КРИПТО-ПРО и SafeTech на базе программно-аппаратного комплекса облачной электронной подписи (ЭП) КриптоПро DSS и системы подтверждения электронных транзакций PayControl. На данный момент КриптоПро myDSS является единственным на рынке сертифицированным ФСБ решением, способным решить поставленную задачу.
Ну, и в заключение не очень приятный сюрприз. 683-П и 684-П официально опубликованы 21 мая и оба вступают в силу через 10 дней после опубликования, т.е.
1 июня 2019 года (за исключением некоторых пунктов, к которым п. 5.1 и п.10, соответственно, не относятся). Т.е.
принимать соответствующие решения и переходить к реализации требований финансовым организациям формально нужно уже сейчас.