О передаче электронной цифровой подписи (ЭЦП) третьему лицу

Что чаще всего делают злоумышленники

Самые частые проблемы, которые доставляют посредством ЭП мошенники — это, по сути, захват контроля над компанией с дальнейшим выводом денег со счетов.

Делается это следующим образом. На некое лицо изготавливают электронную подпись, подают в ФНС заявление по форме Р14001 по смене генерального директора компании в электронном виде, а после регистрации изменений в ЕГРЮЛ — получают доступ к банку и выводят денежные средства.

Налоговая стала отказывать вообще всем при подобных попытках смены директора с использованием ЭП. Однако есть и другой способ.

Директора в этом случае не меняют, просто некое лицо оформляет электронную подпись на руководителя без его ведома.

Есть случаи, когда за компанию сдавались электронно корректировки по декларациям, что приводило к проблемам с налоговой. Чаще всего это происходит с декларациями по НДС.

Или, как уже отмечалось выше, злоумышленниками могут стать сами сотрудники компании, которым была передана ЭП от директора, а те злоупотребили его доверием.

Что уже изменилось с 1 июля 2020 года

Пробежим по действующим изменениям — вдруг вы что-то пропустили или только начинаете работу.

Подпись можно получить дистанционно. Для этого у вас есть два способа:

• Воспользоваться действующим сертификатом (подпункт «б» пункта 10 статьи 1 Федерального закона от 27.12.2022 N 476-Ф);
• Применить ноу-хау биометрии с помощью загранпаспорта РФ нового образца или сведений из ЕБС (единая биометрическая система от ЦБ и Ростелекома). Этот способ пока доступен не всем и не во всех УЦ.

И по-прежнему можно прийти в УЦ лично.

Руководителю организации разрешили получить за своих сотрудников ЭП. Они понадобятся для удаленной работы при подписании приказов, внутренних документов, накладных и актов.

Пока электронная подпись работника содержит данные об организации. Если он меняет место работы и там тоже используют ЭЦП для документов, то придется получать новую подпись. Но в будущем ситуация изменится.

Нововведения сделают подпись универсальной. Раньше вы выбирали для каких целей нужна ЭЦП: сдача отчетности, ЕГАИС, торги и т.п. Теперь сертификат КЭП обязаны принимать без ограничений все электронные площадки и информационные системы, в т.ч. те, которые ранее принимали только сертификаты со специфическими расширениями.

Физические лица будут уведомлены через Госуслуги, если на их имя кто-то выпустит ЭП. Вот это огромный плюс и новый уровень защиты.

Основные изменения в области применения электронной подписи

К началу страницы

Федеральным законом от 27.12.2022 № 476 – ФЗ вносятся значимые изменения в области регулирования применения электронной подписи.

В целях обеспечения подготовки всех информационных систем для выполнения нового порядка, положения закона вступают в силу поэтапно:

Что делать, если произошло мошенничество с использованием электронной подписи, выданной на ваше имя?

Незамедлительно обратитесь в удостоверяющий центр, который выдал этот сертификат электронной подписи на ваше имя, и напишите заявление на его аннулирование! Это не позволит злоумышленникам в дальнейшем совершать мошеннические действия с использованием этого сертификата.

Если злоумышленники за вас сдали отчетность, как можно скорее подайте в налоговую инспекцию заявление в произвольной форме о недостоверности сведений. Это можно сделать как при непосредственном посещении налоговой инспекции, так и по почте или через интернет.

Если на ваше имя зарегистрировано юридическое лицо или ИП, следует незамедлительно внести в реестр ЕГРЮЛ или реестр ЕГРИП информацию о недостоверности данных о вас, как о руководителе. Для этого в налоговую инспекцию следует направить заявление о недостоверности сведений о юридическом лице или ИП по форме № Р34001 (рекомендуем направить такое заявление непосредственно в инспекцию по месту регистрации юридического лица или ИП). Это можно сделать как при непосредственном посещении инспекции, так и по почте или через интернет.

Если вы потеряли пароль доступа к закрытому ключу (PIN-код) или сам ключевой носитель , или он сломан, то необходимо приостановить бизнес-процессы электронного документооборота до перевыпуска электронной подписи.

Если действия посторонних лиц с вашей электронной подписью причинили ущерб, от вашего имени совершена незаконная сделка в электронной форме, подписаны значимые документы в электронной форме, то необходимо обратиться с заявлением в полицию или прокуратуру и зафиксировать факт такого события.

Выпуск электронной подписи при оказании сервисных услуг в качестве дополнительной услуги, без надлежащего информирования заявителя («укэп в придачу»)

Современный рынок диктует условия – сервис должен быть простым, понятным и проактивным. Организации, которые оказывают предпринимателям различные услуги, будь то регистрация ККТ или помощь в оформлении расчетного счета, в борьбе за клиента стараются сделать обслуживание максимально комфортным.

При этом в погоне за простотой и удобством часто опускаются важные детали. Например, могут не обратить внимание клиента на то, что при регистрации в качестве индивидуального предпринимателя необходимо подписать от его имени электронные документы. То есть сертификат электронной подписи выпускается, но клиент даже не знает об этом.

В таких случаях заявление на выпуск УКЭП, как и согласие на обработку персональных данных присутствуют в общей массе документов, которые подписываются при заключении договора на получение услуг. Либо такого рода дополнительная услуга прописана в договоре, но при этом не привлекает внимание, так как документ объемный, формулировки – нечеткие, а представитель обслуживающей организации не дает никаких дополнительных устных пояснений.

Дальше события могут развиваться в зависимости от добросовестности организации. УКЭП могут выдать вам на носителе с пакетом документов об оказании услуги, а могут хранить ее в «облачном» хранилище организации. УКЭП могут аннулировать сразу после оказания услуги, а могут продолжить использовать ее для совершения юридически значимых действий от вашего имени.

Как избежать получения «УКЭП в придачу»:

• прочитайте внимательно договор и другие документы в рамках сделки;
• обратите внимание, есть ли там слова «электронная подпись»;
• обратите внимание на условия выдачи УКЭП, как она хранится и аннулируется, кто обеспечивает ее сохранность;
• спросите у представителя обслуживающей организации: можно ли отказаться от выпуска УКЭП и для чего это вообще требуется. 

Далее действуйте по ситуации, оценив риски возможной компрометации электронной подписи в рамках предложенных условий.

Проверить, не выпущена ли на ваше имя УКЭП, можно в личном кабинете на Едином портале государственных и муниципальных услуг (Госуслуги). В разделе «Настройки и безопасность» необходимо выбрать «Электронная подпись». Здесь содержатся данные о выдавшем на ваше имя квалифицированную электронную подпись удостоверяющем центре, ее серийном номере и сроке действия.

Если вам стало известно о выдаче УКЭП на ваше имя без вашего ведома или о факте компрометации, то НЕМЕДЛЕННО аннулируйте ее, обратившись в удостоверяющий центр, в котором данная УКЭП выпущена. 

Если есть подозрение о мошенничестве с вашей электронной подписью, то обращайтесь в полицию. Если в полиции откажутся возбуждать дело, то можно обратиться в прокуратуру и Минцифры.

Доверенная третья сторона

К началу страницы

Доверенная третья сторона (ДТС) — юридическое лицо, осуществляющее деятельность по проверке электронной подписи в электронных документах в конкретный момент времени в отношении лица, подписавшего электронный документ, для обеспечения доверия при обмене данными и электронными документами.

Функции и обязанности ДТС, а также требования к средствам ДТС, определены Федеральным законом от 27.12.2022 №476-ФЗ.

Юридические лица, претендующие на выполнение функций ДТС обязаны пройти процедуру аккредитации в соответствии с Федеральным законом от 27.12.2022 № 476-ФЗ в порядке, установленном Минцифры России.

К основным функциям ДТС также относится деятельность по признанию электронных подписей, созданных в соответствии с нормами права иностранного государства и международными стандартами, которые соответствуют признакам усиленной электронной подписи.

Доверенности

Для доказательства наличия прав на подпись документов от имени компании и совершение иных действий от лица организации вводится новый документ — машиночитаемая доверенность (МЧД).

Машиночитаемая доверенность — это доверенность в электронном виде, дающая право сотруднику выполнять действия от лица организации и подписанная электронной подписью руководителя компании.

Для того, чтобы ЭП сотрудника на документе была действительна, необходимо прилагать к нему МЧД. Предполагается создание общего реестра таких доверенностей в ФНС, из которого можно будет получать информацию об актуальности и сроке действия МЧД.

Изменения 2021 года

С 2021 года нас ожидает новое понятие — доверенная сторона (пункт 17 ст. 2 63-ФЗ).

В цепочку обмена данными вклинивается новый институт доверенных третьих сторон (ДТС). Он в режиме реального времени располагает сведениями о всех выданных и действующих ЭП. Благодаря этому, ДТС проверяет действительность подписи в электронных документах в конкретный момент времени, а также документально подтверждает результаты такой проверки.

Новый закон не только усиливает контроль за ЭП, но и открывает новые возможности их использования. Аккредитованные УЦ могут хранить в «облаке» вашу КЭП, а это дает вам следующие преимущества:

1. Мобильность пользователя. Теперь руководитель даже в командировке может удаленно подписать срочные документы.
2. Повышенный уровень безопасности. Хранить ключ на флэшке безопасно только в сейфе. Облачное хранилище не требует физического накопителя, который можно потерять, сломать, или который смогут украсть мошенники.
3. Не требуется покупать лицензии на специальные программы для работы с крипто-ключами, да и сам рутокен становится не нужным.

УЦ, утратившие аккредитацию 1 июля 2021 года, не смогут выдавать подписи. При этом ЭЦП по закон продолжают действовать до истечения срока действия, но не более срока действия аккредитации УЦ, либо не позднее чем до 1 января 2022 года.

Если УЦ передаст свои функции другому лицу, он должен сообщить об этом владельцу сертификатов не позднее, чем за месяц, если же функции УЦ никому передавать не станет, то сертификаты будут аннулированы и об этом их владельцев центр тоже должен будет известить.

Несмотря на разъяснения, которые дает Министерство цифрового развития, ситуация с сертификатами клиентов УЦ, которые потеряют аккредитацию, остается неопределенной. Надеемся, что либо будут внесены поправки в законодательство, либо будут даны более понятные пояснения.

Индивидуальному предпринимателю

По новым правилам с 1 января 2022 года индивидуальный предприниматель, как и руководитель, может обратиться за ЭП в удостоверяющий центр ФНС или к доверенному лицу УЦ ФНС.

Для получения подписи потребуются те же документы, что и руководителю:

• паспорт;
• СНИЛС;
• токен (USB-носитель, сертифицированный ФСБ или ФСТЭК РФ) и сертификат соответствия на него.

Как будут действовать лица по доверенности

Чтобы подписать документ представителю юрлица, действующему по доверенности, нужно иметь свою КЭП, выданную физлицу, и электронную доверенность.

Электронная доверенность подписывается директором, пользующимся КЭП организации.

Что это значит — теперь директору не надо передавать бухгалтеру свою флэшку, хотя и раньше так делать не следовало, т.к. это нарушение правил использования КЭП.

Бухгалтер получает в УЦ КЭП на себя лично, оформляет электронную доверенность от директора на основании бумажной доверенности и может подписывать документы сам.

У предпринимателя такая же схема работы.

Давайте подведем итоги и отсортируем изменения в хронологическом порядке. Для удобства мы сделали табличку:

Как бы не хотелось удержаться за старые привычки, но пора признать — все становится цифровым — электронные документы, отчетность, проведение сделок, даже заключение трудовых договоров. Перестраивать работу бизнеса нужно не завтра, а уже сейчас, иначе ваша организация рискует оказаться динозавром в мире высоких технологий.

Безопасная электронная подпись для различных задач это Астрал-ЭТ. Быстрое получение и гибкие тарифы делают ее идеальной для бизнеса любого масштаба. А если возникнут проблемы с настройкой — вам удаленно поможет наша техподдержка.

Как отправить эцп по электронной почте?

Как эп попадает к злоумышленникам

Вариантов на самом деле не так уж много. Их все можно свести к двум основным:

• добровольный — когда владелец сам передал ЭП другому лицу;
• незаконный — когда некие лица сами получили ЭП за кого-то.

В случае с добровольным способом дело может быть так — руководитель передает подчиненным ключ электронной подписи, поскольку не хочет сам подписывать документы. А подчиненные, злоупотребив доверием, совершают незаконные действия. К примеру, выводят деньги из компании.

С незаконным способом все несколько сложнее. Вариантов тут может быть несколько:

• получение электронной подписи в добросовестном удостоверяющем центре с использованием подложных документов;
• использование недобросовестного удостоверяющего центра;
• утечка данных из удостоверяющего центра.

Проблема в нашей стране в том, что удостоверяющих центров около пяти сотен, это больше, чем во всем остальном мире. А госорганы обязаны принимать документы, подписанные электронной подписью.

Власти уже предприняли ряд мер по выдаче некоторых видов электронных подписей только органами государственной власти. Так, с 1 января 2022 года руководители коммерческих организаций смогут получить ЭП только в ФНС. А сотрудники юрлица или ИП смогут получать электронную подпись в коммерческих удостоверяющих центрах.

Кто владеет электронной подписью

Ключ электронной подписи выдается юридическому лицу. При этом представителем организации обозначается конкретное физическое лицо, имеющее соответствующие документы или доверенность. Это значит, что владельцем ЭП является представитель компании, а не она сама.

Методологические рекомендации по использованию носителей ключевой информации (защищенных ключевых носителей)

К началу страницы

Можно ли передать подпись другому лицу

Закон №63-ФЗ «Об электронной подписи» однозначного пояснения, разрешено ли законом передавать электронную подпись другому лицу, не дают. Изучив параграфы можно сказать, что как частный случай передача прав на ЭП не рассматривается. При этом в статье 10 отмечается, что ключ подписи не может быть использован без согласия ее владельца.

Нужно ли перевыпускать эп, если срок ее действия еще не закончен?

Условия использования ранее полученной подписи зависит от того, кем и когда она была выдана:

• Если электронная подпись была получена в 2021 году в удостоверяющем центре, который прошел переаккредитацию, то использование данной подписи возможно до конца 2022 года или дольше (если срок действия выходит за границу 31 декабря 2022 года).
• Если центром, выдавшим подпись, не была пройдена переаккредитация, то использование данной ЭП запрещено.
• Если вы в 2021 году вы уже получили ЭП ФНС, то в 2022 году можете пользоваться ею до конца срока действия.

О передаче электронной цифровой подписи (эцп) третьему лицу

Ответственность за использование чужой эп

Учитывая, что законодательство запрещает передавать ключ ЭП кому бы то ни было, обвинять ответчика в использовании электронной подписи, не ставя его об этом в известность, владелец подписи не имеет права. Ситуация использования подписи другим человеком будет расценена судом как небрежность истца, и на практике он окажется виноватым. Также на руководителе будет лежать вина, если бумаги, подписанные его ЭП, использовались в противоправных целях.

Факт передачи подписи не подразумевает административного или уголовного наказания, наказываются противоправные действия, которые за этим последовали. Другая ситуация наблюдается, если ключ был использован для совершения уголовно наказуемых действий. Если применение подписи было несанкционированным и ее владелец сможет это доказать, иск становится оправданным и дальнейшее разбирательство ведется в соответствии с нормами Уголовного кодекса.

Приказ о передаче подписи

Нормы, описывающих акт приема-передачи электронной подписи, в законодательстве отсутствуют. Это значит, что образца приказа о передаче электронной подписи не существует, как и прямой необходимости в его создании. Собственник организации может составить акт передачи подписи в произвольной форме.

Документ должен содержать:

• ФИО и должности сторон договора;
• полномочия, которые передает руководитель;
• реквизиты сертификата ключа проверки;
• дата совершения сделки.

Если сертификат хранится на внешнем носителе (токене), в документе стоит указать его местонахождение.

Применение электронной подписи

К началу страницы

Противодействие мошенничеству в области применения электронной подписи

К началу страницы

Получение квалифицированного сертификата электронной подписи по значимости даже важнее получения паспорта! Когда вы используете паспорт для совершения юридически значимых действий, вас идентифицируют, сравнивая ваше лицо с фотографией в паспорте. Электронная подпись (авторство электронного документа) обычно проверяется дистанционно, то есть предполагается, что никто кроме вас не может поставить вашу электронную подпись на электронный документ.

Поэтому если кто-то использует вашу электронную подпись вместо вас, юридически это расценят как ваши действия. В этом разделе описаны различные жизненные ситуации, которые могут привести к мошенничеству с УКЭП. ФНС России обращает внимание, что это не список потенциальных преступлений, а перечень ситуаций, когда стоит быть особенно внимательным.

Руководителю юрлица

Новые правила уже действуют: с 1 января 2022 года электронные подписи для руководителей выпускаются в удостоверяющем центре ФНС и у доверенных лиц УЦ ФНС.

Доверенное лицо (ДЛ УЦ) — удостоверяющий центр, прошедший переаккредитацию и соответствующий дополнительным требованиям контролирующих органов.

На настоящее время таких доверенных лиц УЦ ФНС всего три:

1. ПАО «Сбербанк России»;
2. АО «Аналитический центр»;
3. Банк ВТБ (ПАО).

Такому удостоверяющему центру разрешается выдавать ЭП юридическим лицам и индивидуальным предпринимателям.

Порядок действий при получении ЭП в налоговой:

1. Подача заявления на получение. Это можно сделать двумя способами:

• лично в отделении ФНС заполнить заявление в бумажном виде;
• на официальном сайте налоговой службы в Личном кабинете налогоплательщика (физического лица) в разделе «Жизненные ситуации» или через онлайн-запись в налоговую.

2. Выбор и приобретение носителя, на который будет записан сертификат.

Сотруднику компании

Для получения новой подписи сотруднику организации по-прежнему можно обратиться в аккредитованный удостоверяющий центр — эти правила не изменились.

Главное — удостоверяющим центром должна быть пройдена переаккредитация.

Требования для прохождения переаккредитации установлены законом 63-ФЗ об электронной подписи. Ознакомиться с новыми требованиями и найти ближайший АУЦ можно здесь.

Чем будут отличаться новые и старые подписи для сотрудников?

Ранее в файлах ЭП для сотрудников указывались ФИО работника и наименование компании, от лица которой он действует. Такую подпись можно еще получить до конца 2022 года.

Новый образец электронной подписи сотрудника будет содержать только ФИО. Значит принять такую ЭП можно будет в разных организациях.

В ГК «Калуга Астрал» вы можете получить электронную подпись в день обращения! Выбирайте выгодное и удобное решение — Астрал-ЭТ (комплексные решения, включающие лицензию Крипто ПРО, рутокен и интеграцию с сервисами) или 1С — ЭТП (электронная подпись от 900 рублей).

Срок действия подписи сотрудника старого образца с указанием ФИО и наименованием организации — до 31 декабря 2022 года. Даже если ЭП будет получена в декабре 2022 года срок не изменится, так что лучше подумать о переходе на новые правила заранее.

Переход на электронные подписи нового типа будет проводиться постепенно — с 1 марта 2022 года до 1 января 2023 года. Во время переходного этапа получение ЭП нового типа происходит по желанию сотрудника, предложению портала или системы, с которой работает компания. С 1 января 2023 года применения такой подписи станет обязательным.

Чтобы получить подпись, сотруднику нужно предоставить паспорт и СНИЛС. Необходим будет личный визит в удостоверяющий центр для подтверждения личности. Подпись для сотрудника не будет иметь защиты от копирования, будет отсутствовать запрет на включение расширений.

Судебная практика по мошенничеству с эп

Дело №А56-35890/2022. Работники ЗАО «Балтийский берег» с января 2022 года по декабрь 2022 года использовали ЭЦП гендиректора для вывода денег из компании, без его ведома.

В итоге, гендиректор оказался должен компании более 254 миллионов рублей. Суды всех инстанций задолженность подтвердили.

Суды подтвердили недобросовестность гендиректора, исходя из следующих его действий (бездействия):

• он фактически устранился от контроля действий его подчиненных, осуществлявших хищение денежных средств;
• не осуществлял правильность и основания проведения расчетов с использованием его ЭЦП;
• не интересовался результатами проведения аудиторских проверок;
• большую часть договоров общества он не заключал;
• текущую финансово-хозяйственную деятельность он не контролировал.

Дело №А56-15334/2022. ООО «Стройинвест», в результате несанкционированного входа в систему «Банк-клиент», потеряло 7,7 млн рублей. Они были списаны со счета. Впоследствии, 890 тысяч были возвращены, а директор остался должен обществу 6,8 млн рублей.

Суд эту задолженность подтвердил, отметив:

«Действуя разумно и добросовестно, получив в период рабочего времени 39 сообщений о входе в систему для осуществления платежных операций, гендиректор, осуществляя функции единоличного исполнительного органа общества, должен был проявить соответствующую заинтересованность и до окончания рабочего времени связаться с сотрудником, у которого, как он утверждает, имелся доступ к носителю ключа ЭП».

Приведем еще два дела, когда ущерб был нанесен из-за использования ЭП уволенных руководителей.

Иск ООО «Валитекс» к «Нэклис-Банк» на сумму свыше 75 млн. руб. (дело № А40-75611/06-47-564) — в иске отказано, платежные поручения были подписаны ЭП бывшего генерального директора. Деньги списывались 8 месяцев.

Иск ООО «АМКО-Капитал» к ОАО «Металлургический коммерческий банк» на сумму свыше 77 млн. руб. — в иске отказано, на платежных поручениях была проставлена подпись бывшего главного бухгалтера (дело №А40-14394/06-47-120).

Это к вопросу о том, почему нужно сразу же отзывать сертификат ЭП уволенного сотрудника, особенно с такими полномочиями.

Физическому лицу

Для физических лиц правила получения электронной подписи не поменялись — ЭП необходимо получить в аккредитованном удостоверяющем центре.

Заявку на получение ЭП физическому лицу можно отправить электронно в АУЦ. После проверки придется посетить офис удостоверяющего центра для идентификации личности и получения сертификата подписи.

Если есть действующая электронная подпись, то получение новой можно провести дистанционно (при условии, что данные у физлица не менялись).

Требуемые документы: паспорт.

Для чего физическому лицу нужна электронная подпись?

• Быстрое подтверждение учетной записи на портале госуслуг (запись в поликлинику и другие контролирующие органы, подача заявлений на пособия и выплаты и т. д.).
• Оформление ипотеки или кредита.
• Регистрация сделки с недвижимостью в Росреестре.
• Подача налоговой декларации и оформление налогового вычета на сайте ФНС.
• Оформление трудового договора в электронном виде и другое.

Получите электронную подпись для физического лица в за один день. Нужен только паспорт!

Заказать подпись

Чек-лист безопасного использования электронной подписи

Для того, чтобы обезопасить себя от мошеннических действий с ЭП, необходимо соблюдать следующие правила:

Электронная подпись в 2022 году: нововведения

Для начала нужно определиться, кому и где необходимо получить подпись.

Электронная подпись для предоставления сведений в систему егаис

Компании, деятельность которых связана с реализацией алкогольной продукции, используют электронные подписи для системы ЕГАИС. В данной системе учитывается весь алкоголь, который производится и реализуется в РФ. Порядок предоставления сведений указан в законе 182-ФЗ о внесении изменений в федеральный закон о госрегулировании производства и продажи алкогольной продукции. Для работы в системе необходима квалифицированная электронная подпись.

Как делалось раньше: использовали несколько ЭП на руководителя, по факту подписями пользовались разные сотрудники. Сейчас это невозможно, т. к. в ФНС выдают на руководителя подпись в единственном экземпляре.

Что же делать? В письме от 19.08.2021 № ЕА-3-26/5773@ ФНС назвала, какие ЭП для ЕГАИС можно использовать в 2022 году:

• КЭП руководителя предприятия или индивидуального предпринимателя;
• КЭП физического лица, которое имеет полномочия действовать от лица компании на основании обычной и машиночитаемой доверенности. Что касается выпуска КЭП на представителя ИП, то, несмотря на то, что закон 63-ФЗ позволяет получение такого сертификата, в Приказе ФСБ № 795 от 27.12.2022 форма такого сертификата отсутствует, поэтому пока представитель ИП получить такую КЭП не может.

Юридическая сторона вопроса

Акт приема-передачи ЭП относится к внутренним соглашениям, принятым внутри организации, и не выходят за ее пределы. Следовательно внешние структуры по умолчанию считают, что документы подписываются владельцем подписи, если ключ содержит его персональные данные, не зависимо от того, кто фактически владеет подписью.