Ответственность за использование чужого электронного ключа. Как происходит передача ЭЦП другому лицу по закону? В: На какой срок выдается ЭП
Недавно в кругу коллег обсуждали достаточно интересную и, признаться, распространенную ситуацию, когда директор компании передает секретарю свой токен с электронной подписью, чтобы тот подписывал исходящие электронные документы в сервисе межкорпоративного документооборота. Подписание документов от лица директора его заместителем или секретарем – дело вполне житейское, особенно, в России. Наш российский руководитель редко сидит долго за компьютером.
Электронная подпись, кажется, органично вписывается в эту практику, если не брать в расчет, что закрытый ключ никому нельзя передавать, он всегда находится только у владельца сертификата ЭП и идентифицирует только его. Иначе как приравнять электронную подпись к собственноручной? Если проводить параллель с обычным автографом, то, получается, его владелец передает другому человеку собственную руку. Именно «собственноручность» является определяющим фактором доверия к ЭП!
Другой вопрос – безопасность. Формально, при передаче другому лицу тайна ключа нарушается, и невозможность подделки электронного документа и электронной подписи автоматически ставится под сомнение. Получается, что передавая свой токен другому человеку, владелец сертификата добровольно допускает компрометацию своего ключа ЭП. А это уже основание для отзыва сертификата.
Проблема ли это для тех организаций, в которых часто приходится визировать документы без участия директора? В том-то и дело, что… нет!
Во-первых, в законодательстве совершенно не регламентирован порядок передачи ЭП для использования третьими лицами. Для России это означает примерно следующее: «делай, что хочешь». Забавный факт: в некоторых компаниях даже выпускают внутренний приказ, передающий право подписи ЭП за директора третьему лицу. Это даже придает определенной уверенности.
Во-вторых, сама по себе сохранность закрытого ключа – тема очень скользкая, которая в итоге ставит вопросы больше к обеспечению безопасности на всем предприятии в целом, а не к конкретной технологии. Человеческий фактор, к сожалению, никак не исключить.
В-третьих, обращаемся к самому ФЗ 63 «Об электронной подписи », статья 10:
При использовании усиленных электронных подписей участники электронного взаимодействия обязаны:
1) обеспечивать конфиденциальность ключей электронных подписей, в частности не допускать использование принадлежащих им ключей электронных подписей без их согласия;
<…>
3) не использовать ключ электронной подписи при наличии оснований полагать, что конфиденциальность данного ключа нарушена;
Это практически дословно дублируются в регламентах Удостоверяющих центров. То есть, тут нет фактического запрета на передачу закрытого ключа кому-то другому. Вот эти самые «без согласия» и «основания полагать» и дают формальную возможность передавать право на подписание документов за руководителя. Правда и совершенно не понятно, что делать, если подпись будет обнаружена не там – как доказать в суде, что это не директор подписал? Фактически определить, кто воспользовался подписью в этом случае нельзя - и прицнип неотказуемости сработает на полную катушку.
Что тут можно посоветовать? Если руководитель не опасается никого и ничего, то можно оставить все, как есть. Если же проявлять хоть какую-то осторожность, то логичнее всего приобрести отдельный сертификат ЭП для заместителя или исполняющего обязанности руководителя. Если же хочется визировать документы исключительно самостоятельно, то токен с сертификатом можно всегда использовать для подписи через веб-клиент сервиса электронного документооборота. Уж ноутбук-то можно взять с собой хоть куда.
Ну и, конечно, ждем распространения решений КриптоПро на мобильных платформах, когда начнут появляться iOS- и Android-клиенты сервисов ЭДО. Есть чувство, что ждать осталось не долго. Тогда окончательно пропадет вопрос с удаленным подписанием электронных документов.
Электронно-цифровая подпись (ЭЦП) приравнивается к обычной подписи человека и, соответственно, имеет такую же юридическую силу. Но в силу того, что она, как правило, оформляется на внешнем носителе электронной информации, риск того, что ею может воспользоваться посторонний человек очень велик. Кто в этом случае будет нести ответственность и в какой мере?
Можно ли передавать личную ЭЦП другому человеку?
Все вопросы, связанные с ЭЦП регулируются Федеральным законом «Об электронной подписи» от 06.04.2011 № 63-ФЗ. Но в нем нет, ни прямого разрешения, ни запрета на передачу носителя с подписью другому лицу. Указано лишь то, что использование подписи без согласия ее владельца считается незаконным (ст. 10 закона № 63-ФЗ).
Таким образом, есть два мнения о возможности передачи ЭЦП другому лицу. Некоторые представители Минкомсвязи и ФНС говорят о том, что такую подпись можно передавать лицу, которому предаются полномочия владельца электронной подписи. Например, когда на время отпуска директора или главного бухгалтера их обязанности возлагаются на другое лицо, и которому предоставляется право подписи соответствующих документов.
С другой стороны, нарушается основное назначение ЭЦП – идентифицировать конкретное лицо, которое подписало электронный документ.
Если владелец ЭЦП все же решается передать ее другому лицу, то необходимо оформить все документы (приказ, акт приема-передачи), в противном случае вся ответственность ляжет на владельца ЭЦП.
Ответственность за использование чужой ЭЦП
На данный момент ни в одном из сводов законодательства нет статьи, которая бы предусматривала наказание именно за несанкционированное использование ЭЦП , но это не значит, что лицо, совершившее данное правонарушение останется безнаказанным. К нему будут применены соответствующие статьи УК РФ и КоАП.
Рассмотрим несколько примеров.
Пример 1
Бухгалтер самовольно воспользовался подписью руководителя и через программу Клиент – Банк списал со счета организации некоторую сумму в свою пользу. В данном случае против бухгалтера может быть возбуждено уголовное дело по факту хищения, степень наказания будет зависеть от украденной денежной суммы.
Пример 2
Директор предприятия подписал контракт по Госзакупкам электронной подписью своего предшественника (с его ведома) за отсутствием своей собственной. В этом случае, в зависимости от последствий, в отношении директора может быть возбуждено уголовное дело о мошенничестве, либо контракт может быть расторгнут, а организация занесена в реестр недобросовестных.
Пример 3
В связи с большим объемом платежных поручений , которые ежедневно оформляет бухгалтерия фирмы, для ускорения процесса их подписания и отправки директор передал бухгалтеру свою ЭЦП. Поскольку все платежи согласовываются с директором заранее, а позднее им же контролируется оплата, никаких отрицательных последствий, следовательно, и ответственности, это не повлекло, а лишь оптимизировало работу. Но конечно, в подобных ситуациях всегда есть риск, зависящий от степени добросовестности сотрудников.
Ответственность за использование чужой ЭЦП зависит от последствий, которые повлекло это действие. В первую очередь, ответственность ложится на ее владельца, если он не докажет иное.
Электронная подпись - это аналог собственноручной подписи. Поэтому передать ЭЦП другому лицу нельзя. Это противоречило бы закону № 63-ФЗ, который утверждает, что ЭЦП должна идентифицировать владельца. Передача ЭЦП запрещена, но процесс предоставления прав на применение ЭЦП доверенным лицом не регламентируется.
По 63-ФЗ участники электронного взаимодействия могут использовать ЭЦП любого типа на своё усмотрение. Участники электронного взаимодействия должны обеспечить конфиденциальность: владелец подписи отвечает за сохранность ключей подписи и следит, чтобы ЭЦП не применялась без его согласия. Если электронная подпись использована без ведома владельца, ответственность за последствия несет владелец. Однако по 63-ФЗ использование чужой ЭЦП уполномоченными лицами не запрещено.
Риски при передаче электронной подписи другим лицам
Сотрудники организации часто используют ЭЦП руководителя: бухгалтерам это упрощает ведение отчётности, юристам проще сдать документы в суд. Но предоставление прав на ЭЦП - риск, который может привести к проблемам.
Предугадать, как поведет себя сотрудник с чужой ЭЦП не всегда возможно. Он может проигнорировать поручение и использовать ЭЦП в корыстных целях. В этом случае владельцу ЭЦП будет сложно доказать в суде свою невиновность, особенно, если ЭЦП воспользовались с его персонального компьютера. Суд, ссылаясь на нарушение принципа конфиденциальности ЭЦП, не всегда поможет возместить ущерб или признать подписание документов незаконным. Поэтому не рекомендуется передавать ЭЦП по доверенности третьим лицам.
Ответственность за использование чужой ЭЦП
Передача ЭЦП не наказуема - наказуемы действия, которые совершает лицо, владеющее подписью. Например, если в результате применения чужой ЭЦП злоумышленник получил финансовую выгоду, его можно привлечь по статье 159 УК РФ (хищение чужого имущества или приобретение права на чужое имущество путем обмана или злоупотребления доверием). Но крайне не рекомендуется передавать право пользования ЭЦП по доверенности третьему лицу.
Поскольку законом этот вопрос не урегулирован, продолжаются споры о возможности передачи ЭЦП. Чтобы избежать рисков, передавать ЭЦП не стоит. Однако у разных видов ЭЦП разная степень защищенности и влияния.
Виды ЭЦП
- Простая. Логин-пароль. Используется на форумах, в социальных сетях. Иногда применяют двухэтапную идентификацию владельца через пароль по SMS или электронной почте. В простой ЭЦП не применяются технологии шифрования, она легко взламывается и не подходит для заверения официальных документов. Передача простой ЭЦП может привести к проблемам. С простой подписью злоумышленник может разместить запрещенные материалы на странице владельца и виноват будет владелец, если не сможет доказать, что его взломали.
- Неквалифицированная ЭЦП. Подпись выдают удостоверяющие центры без государственной аккредитации. В неквалифицированной ЭЦП используются криптографические методы шифрования. Используется для государственных закупок по ФЗ № 223, ФЗ № 44, в личном кабинете на сайте ФНС. Для применения нужно соглашение между партнерами.
- Квалифицированная ЭЦП, которую выдают только аккредитованные удостоверяющие центры. Надежная и защищенная подпись, которую используют чаще всего. Она заменяет собственноручную подпись. Владельцу квалифицированной ЭЦП выдают сертификат.
Вопрос касается электронной подписи. В учреждении скоропостижно скончался руководитель. Исполнять обязанности назначили заведующую отделения, без отрыва от основной работы до назначения нового руководителя (конкретные сроки не оговорены). Учреждение сдает отчеты в Пенсионный фонд, ФСС, Налоговые органы. Электронная подпись оформлена на умершего руководителя. Обязана ли организация переоформить эл. подпись на исполняющего обязанности (если да то в какие сроки), или есть возможность подождать когда назначат постоянного руководителя. спасибо
Ответ
Передача другому лицу ключа электронной подписи законом не
предусмотрена. Электронная подпись является аналогом
собственноручной подписи, ответственность за исполнение которой
лежит на её владельце. Владелец электронной подписи вправе лишь
согласовать её техническое использование с согласия и под
контролем владельца при условии соблюдения конфиденциальности
ключа такой подписи. Использование электронной подписи с
нарушением конфиденциальности соответствующего ключа не
освобождает владельца от ответственности за неблагоприятные
последствия, наступившие в результате такого использования.
Поэтому каждого сотрудника, который уполномочен подписывать
электронные документы, надо обеспечить электронной подписью.
Объясняется это так. В соответствии с пунктом 1 статьи
10 Закона № 63-ФЗ при использовании усиленных электронных
подписей участники электронного взаимодействия обязаны в том
числе обеспечивать конфиденциальность ключей электронных
подписей, в частности не допускать использование принадлежащих
им ключей электронных подписей без их согласия. Такая
формулировка позволяет сделать вывод о возможности
использования ключей электронных подписей другими лицами с
согласия участника электронного взаимодействия. Тем не менее
норма пункта 1 статьи 10 Закона № 63-ФЗ предполагает не
передачу права использования усиленной электронной подписи
другому лицу на основании какого-либо распорядительного
документа либо доверенности, но только указывает на техническую
возможность простановки электронной подписи другим лицом
(например техническим специалистом) с согласия и под контролем
владельца сертификата ключа проверки электронной подписи. В
случае несанкционированного использования ЭЦП ответственность
за неправомерные последствия такого использования может быть
возложена на владельца. В рассматриваемой ситуации согласие
владельца ЭЦП на техническую возможность простановки
электронной подписи другим лицом не может быть получено в связи
со смертью владельца ЭЦП. Поэтому сотрудника, уполномоченного
подписывать электронные документы, надо срочно обеспечить
электронной подписью.
Всё более широкое применение организациями систем удаленного управления банковскими счетами (в которых ЭЦП является элементом технологии) привело к росту числа случаев краж денег со счетов, и судебных споров по этому вопросу.
Ограбленные организации, пытаясь вернуть украденные со счета средства, идут, как правило, сразу двумя путями. Они подают заявление о краже денег со счета, и этим делом начинает заниматься милиция в рамках расследования уголовного дела. Одновременно банку предъявляется претензия о ненадлежащем исполнении договора, а после отказа банка в её удовлетворении спор переносится в суд. Эти дела рассматриваются арбитражными судами.
Одним из характерных примеров является недавно принятое решение Арбитражного суда Ульяновской области от 30 декабря 2010 года по делу №А72-5310/2010. Данный пример позволяет извлечь определенные уроки из ошибок, допущенных организацией-истцом.
Суть спора
ООО «ТехноСвязь» ещё в 2005 году открыло счет в банке «Поволжский». В марте 2008 года общество заключило договор с банком об оказании услуги «Электронный банк» и начало проводить свои безналичные расчеты с использованием электронных документов, отправляемых в банк по электронной почте. 29 апреля 2010 года общество переключилось на сервис «Интернет-Клиент», т.е. стало направлять свои платежные поручения через сайт.
4 мая 2010 года (т.е. через 7 дней после подключения сервиса «Интернет-Клиент», из которых три дня 1-3 мая были нерабочими) на основании платежного поручения № 364 от 04 мая 2010 года банк списал с расчетного счета истца более 450 тысяч руб., и перечислил средства на лицевой счет физического лица в банке ВТБ-24, с указанием в назначении платежа «Оплата по договору». Эти деньги со счета физического лица были сняты 4 и 5 мая 2010 года.
Организация предъявила банку претензию в связи с несанкционированным списанием денежных средств со счета (подчеркнув, что она с данным физическим лицом никаких договоров не заключала), и опечатала компьютер, с которого осуществлялся выход в систему «Интернет-Банк». Для разбора конфликтной ситуации была создана Согласительная комиссия, в которую вошли представители истца, ответчика, а также независимый эксперт – сотрудник Ульяновского филиала ФГУП «ЦентрИнформ».
В ходе заседаний Согласительной комиссии было, в частности, установлено:
- Право доступа к средствам создания ЭЦП, помимо генерального директора организации, на основании приказа № 34 от 30.12.2009 было предоставлено главному бухгалтеру и заместителю главного бухгалтера. Банк об этом уведомлен не был.
- Была проведена проверка корректности ЭЦП под оспариваемым платежным поручением, которая дала положительный результат. В результате комиссия признала электронную цифровую подпись корректной.
Пострадавшая организация, считая, что именно банк нарушил условия заключенных между сторонами договоров и не обеспечил должного внутреннего контроля поступившего платежного поручения, обратилась в суд с иском о возмещении убытков.
Позиция суда
При рассмотрении спора суд, прежде всего, опирался на положения договора на оказание услуг, заключенного между банком и обществом. Договор предусматривал, что каждая из сторон несет ответственность за содержание любого электронного документа, подписанного его ЭЦП.
Сторонами не оспаривалось, что закрытый ключ ЭЦП, при помощи которого подписывались электронные документы, находится под контролем истца. Согласно «Акту признания открытого ключа (сертификата) для обмена сообщениями» от 29 апреля 2010 года, который был подписан при переходе на обслуживание через интернет, единственным владельцем ключа (сертификата) ЭЦП являлся генеральный директор ООО «ТехноСвязь».
И вот здесь свою роль сыграл выявленный согласительной комиссией и подтвержденный документально факт того, что право доступа к ЭЦП, кроме генерального директора, приказом по организации были предоставлено другим сотрудникам. Суд особо подчеркнул, что в ст. 3 закона «Об электронной цифровой подписи» вообще не предусмотрен порядок передачи кому-либо ключа (сертификата) ЭЦП. Собственноручная подпись физического лица, как и ее аналог, не подлежит передаче иным физическим (юридическим) лицам .
Кроме того, суд указал и на положение ст.12 закона, согласно которой владелец сертификата ключа подписи обязан: не использовать для ЭЦП открытые и закрытые ключи электронной цифровой подписи, если ему известно, что эти ключи используются или использовались ранее; хранить в тайне закрытый ключ ЭЦП; немедленно требовать приостановления действия сертификата ключа подписи при наличии оснований полагать, что тайна закрытого ключа ЭЦП нарушена. В случае несоблюдении этих требований, возмещение причиненных вследствие этого убытков возлагается на владельца сертификата ключа подписи.
В решении суда подчеркивается, что действующим законодательством не предусмотрена возможность подписания документа физическим лицом не своей подписью, а подписью другого физического лица . Возможно лишь подписание документа одним лицом за другое лицо, но только своей подписью и только при условии наличия соответствующей доверенности.
Попытку ответчика обосновать правомерность передачи руководителем организации средств создания ЭЦП другим лицам тем, что они были им получены в качестве представителя юридического лица, и что он был вправе предоставить доступ к ним иным лицам, суд счел несостоятельной. Суд указал, что подпись физического лица, в том числе обладающего соответствующими полномочиями, является способом индивидуализации этого физического лица, и поэтому подпись, в том числе и ЭЦП, не может быть передана другому физическому лицу .
В итоге суд пришёл к выводу о том, что действия самого клиента могли привести к списанию денежных средств, либо к утечке сведений, касающихся закрытого ключа.
Здесь мне хотелось бы обратить внимание читателей на факт, который был упомянут в тексте постановления, но не нашел должной оценки ни самими участниками процесса, ни судом. В судебном решении указывалось, что при подключении к услуге «Электронный банк» организации, помимо программного обеспечения, была передана дискетка с электронной подписью. Это означает, что генерация закрытого ключа ЭЦП была осуществлена сотрудниками банка, а не самим владельцем ключа, - и, следовательно, сотрудники банка имели доступ к закрытому ключу, что создавало возможность для злоупотреблений.
В итоге суд счел, что организация не доказала наличия вины в действиях банка. Электронный платежный документ был заверен надлежащим образом, ЭЦП признана корректной, в связи с чем у банка не имелось оснований для невыполнения распоряжения о списании средств со счета истца.
Ещё один интересный момент в данном споре связан с оценкой судом доводов истца о том, что вход в систему и формирование спорного платежного поручения было совершено с компьютера с иным IP-адресом, чем IP-адреса компьютеров общества. Суд счёл эти доводы несостоятельными, поскольку ни договор банковского счета, ни договор обслуживания не содержали каких-либо ограничений на использование любого компьютера, вне зависимости от места и вида подключения и принадлежности компьютера иному юридическому или физическому лицу.
В результате исковые требования общества были оставлены судом без удовлетворения.
Мой комментарий: Данное судебное решение наглядно показывает, что при переходе на использование современных технологий необходимо, помимо всего прочего, изучить соответствующую законодательно-нормативную базу и оценить имеющиеся риски. В противном случае, организации сами создают себе дополнительные проблемы в случае возникновения каких-либо споров и конфликтов.