Эксперт ЭОС: о нюансах использования ЭЦП и правоприменительной практике на PKI Forum 2024

01.10.2024 |

Елизавета Клейн.

Эксперт ЭОС: о нюансах использования ЭЦП и правоприменительной практике

17-19 сентября 2024 года прошел PKI-Форум XXII – ежегодная международная конференция, посвященная проблематике инфраструктуры открытых ключей. Традиционно особое внимание на ней уделяется вопросам применения электронных цифровых подписей. Наталья Александровна Храмцовская, к.и.н., ведущий эксперт-аналитик ЭОС по управлению документацией, эксперт ИСО, выступила на одной из тематических сессий мероприятия с обзором правоприменительной практики в области усиленных квалифицированных электронных подписей.

Передача ЭЦП другому лицу

В своем выступлении Наталья Храмцовская, в первую очередь, поделилась несколькими реальными примерами того, какие судебные последствия может нести за собой передача руководителем ключа электронной подписи другому лицу.

Проблема состоит в том, что на основе существующего законодательства невозможно выстроить четкую позицию по поводу даже самой возможности передачи ключа подписи. Так, в 63-ФЗ от 06.04.2011 «Об электронной подписи» в ст. 10 указано: «При использовании усиленных электронных подписей участники взаимодействия обязаны (…) не допускать использования принадлежащих им ключей электронных подписей без их согласия». Фактически, это не запрещает передавать ключ другим людям.

Тем не менее, подобные действия в определенных обстоятельствах могут привести к неприятным последствиям. Например, на протяжении практически двух лет, с января 2011 по декабрь 2012 года, сотрудники одного из петербургских промышленных предприятий перечисляли денежные средства с расчетного счета компании на расчетные счета юридических лиц, не являющихся ее контрагентами, используя ЭП директора. В июне 2016 года суд обязал уже бывшего директора выплатить компании более 254 млн рублей убытка, нанесенного юридическому лицу по причине недобросовестного и неразумного осуществления руководства.

Как пояснила Наталья Храмцовская, недобросовестность в его действиях заключалась в отстранении от контроля над действиями бухгалтерии, вследствии которых произошло хищение денежных средств, в отсутствии проверки правильности и основания производимых расчетов и платежей с использованием его ЭЦП, а также в том, что он не интересовался результатами аудиторских проверок, делегировал подчиненным заключение большей части договоров, а также не контролировал текущую финансово-хозяйственную деятельность.

Наталья Храмцовская, ведущий эксперт-аналитик ЭОС по управлению документацией, на PKI-Форуме 2023 года.
Фото: Андрей Блинов, spbIT.ru

В другом примере подозрительное списание средств на сумму в 7,7 млн произошло со счета строительной компании 30 декабря 2015 года – накануне Нового года, когда мысли уже не о работе, а о предстоящем праздновании. Однако день был рабочим, и генеральный директор, получив 39 сообщений о входе в систему для осуществления платежных операций, должен был обратить на это соответствующее внимание и связаться с сотрудником, имеющим доступ к ключу ЭП. Однако до конца рабочего дня этого сделано не было, и в итоге вернуть удалось только 890 тыс. рублей, а 6,8 млн рублей ущерба обязали возмещать генерального директора компании.

Проблему решить могла бы передача полномочий руководителя заместителю руководителя с использованием подписи сотрудника организации. Однако сегодня такие подписи, выданные до 1 сентября 2024 года, теряют силу. Взамен них появилась подпись физического лица, которое может подписывать документацию организации на основании машиночитаемой доверенности – МЧД.

Несанкционированный выпуск средств создания УКЭП и сертификатов

Далее Наталья Храмцовская остановилась на текущей ситуации в области незаконного выпуска ЭЦП на лицо, не планировавшее такой выпуск. Сегодня, благодаря введению МЧД, риски, что на руководителя будет несанкционированно выпущена УКЭП или фальшивый сертификат сотрудника, существенно снижены, но еще продолжаются начавшиеся ранее судебные споры о законности заключении договора с удостоверяющими центрами о законности выданной подписи. В то же время для физических лиц вероятность выпуска фальшивой подписи или сертификата все еще сохраняется.

«С моей точки зрения, решение о том, чтобы подпись юридического лица выдавалась только в одном удостоверяющем центре под контролем ФНС, принесло положительные плоды. Махинаций стало гораздо меньше. Но надо учитывать, что правоприменительная практика возникает не сразу, а судебные дела длятся иногда по 2-3 года», – поделилась Наталья Храмцовская.

Она рассказала о том, как выдавались фальшивые подписи до принятия нового закона: комплект поддельных документов предоставлялся в удостоверяющие центры, полученные средства создания электронной подписи использовались для подписания электронных документов по разным направлениям, но в первую очередь – в электронных закупках на интернет-площадках. Как правило, организация узнавала о случившемся только на этапе предъявления претензий, когда поставка уже произошла, а деньги за нее не переведены. При анализе ситуации попытки оспорить такие договоры осуществлялись, но оказалось, что это более сложный путь, чем признать подписи недействительными с момента выдачи, и на основании этого оспаривать любые подписанные ими договора.

Еще одна схема мошенничества была двухступенчатой: сначала заключался «левый» договор с организацией, после чего на основании этого договора оформлялся договор факторинга с третьей стороной, которая выплачивает поставщику деньги по договору, а потом взыскивает их с должника. Таким образом, например, банком были выкуплены долги трех организаций на общую сумму в 367 млн рублей, после чего компании подали иск о признании выданных ЭЦП недействительными, однако суд в иске отказал.

Как бороться с незаконно выпущенными подписями и сертификатами

Правоприменительная практика показала, какие операции чаще всего оспаривались при суде с удостоверяющим центром: заявления о внесении изменений в ЕГРЮЛ, по которым право подписи получают третьи лица; фальшивое фото или подпись в копии паспорта с подлинными паспортными данными, оттиск печати организации с ОГРН, не совпадающим с ОГРН организации, фальшивый сертификат сотрудника (последнее с 1 сентября 2024 года осуществить невозможно).

Для борьбы с неправомерным внесением информации в реестр два месяца назад вступил в силу закон, по которому внесение изменений в ЕГРЮЛ возможно только через нотариуса, в чьи обязанности входит подавать удостоверенную информацию по электронным каналам связи.

Организации боролись с произволом мошенников и самостоятельно: например, в качестве доказательства, что договор на изготовление ключа ЭЦП не заключался, одна из организаций использовала выписку, представленную налоговой службой из книги покупок о том, что за этот период никаких денежных средств этому удостоверяющему центру перечислено не было.

Чтобы доказать, что сотрудник не мог получить сертификат от организации, была предоставлена справка 2-НДФЛ, что в этот период такого сотрудника в организации не было трудоустроено ни по какому виду трудового договора.

В случае, когда электронная подпись была оформлена на физическое лицо, в суд была предоставлена информация, что клиент не получил уведомление о выпущенной подписи на Госуслугах, а также указанный в договоре номер телефона ему не принадлежит, что означало, что у него нет реквизитов для электронного документооборота.

Решение ФНС взять под свой контроль выдачу УКЭП юридических лиц снижает риски мошеннических действий при подписании юридически значимых документов. В то же время риск для физических лиц сильно возрастает из-за расширения сферы применения УКЭП. Например, мошенники могут выпустить ЭП на гражданина, и она будет использована вместе с действующей в МЧД в незаконных целях, чем может нанести ущерб как организации, так и самим гражданам, – подвела итог Наталья Храмцовская.