Выпуск электронной подписи без личного присутствия заявителя нарушает закон. Можно ли передать эцп другому лицу Ответственность за использование чужой эцп
Недавно в кругу коллег обсуждали достаточно интересную и, признаться, распространенную ситуацию, когда директор компании передает секретарю свой токен с электронной подписью, чтобы тот подписывал исходящие электронные документы в сервисе межкорпоративного документооборота. Подписание документов от лица директора его заместителем или секретарем – дело вполне житейское, особенно, в России. Наш российский руководитель редко сидит долго за компьютером.
Электронная подпись, кажется, органично вписывается в эту практику, если не брать в расчет, что закрытый ключ никому нельзя передавать, он всегда находится только у владельца сертификата ЭП и идентифицирует только его. Иначе как приравнять электронную подпись к собственноручной? Если проводить параллель с обычным автографом, то, получается, его владелец передает другому человеку собственную руку. Именно «собственноручность» является определяющим фактором доверия к ЭП!
Другой вопрос – безопасность. Формально, при передаче другому лицу тайна ключа нарушается, и невозможность подделки электронного документа и электронной подписи автоматически ставится под сомнение. Получается, что передавая свой токен другому человеку, владелец сертификата добровольно допускает компрометацию своего ключа ЭП. А это уже основание для отзыва сертификата.
Проблема ли это для тех организаций, в которых часто приходится визировать документы без участия директора? В том-то и дело, что… нет!
Во-первых, в законодательстве совершенно не регламентирован порядок передачи ЭП для использования третьими лицами. Для России это означает примерно следующее: «делай, что хочешь». Забавный факт: в некоторых компаниях даже выпускают внутренний приказ, передающий право подписи ЭП за директора третьему лицу. Это даже придает определенной уверенности.
Во-вторых, сама по себе сохранность закрытого ключа – тема очень скользкая, которая в итоге ставит вопросы больше к обеспечению безопасности на всем предприятии в целом, а не к конкретной технологии. Человеческий фактор, к сожалению, никак не исключить.
В-третьих, обращаемся к самому ФЗ 63 «Об электронной подписи », статья 10:
При использовании усиленных электронных подписей участники электронного взаимодействия обязаны:
1) обеспечивать конфиденциальность ключей электронных подписей, в частности не допускать использование принадлежащих им ключей электронных подписей без их согласия;
<…>
3) не использовать ключ электронной подписи при наличии оснований полагать, что конфиденциальность данного ключа нарушена;
Это практически дословно дублируются в регламентах Удостоверяющих центров. То есть, тут нет фактического запрета на передачу закрытого ключа кому-то другому. Вот эти самые «без согласия» и «основания полагать» и дают формальную возможность передавать право на подписание документов за руководителя. Правда и совершенно не понятно, что делать, если подпись будет обнаружена не там – как доказать в суде, что это не директор подписал? Фактически определить, кто воспользовался подписью в этом случае нельзя - и прицнип неотказуемости сработает на полную катушку.
Что тут можно посоветовать? Если руководитель не опасается никого и ничего, то можно оставить все, как есть. Если же проявлять хоть какую-то осторожность, то логичнее всего приобрести отдельный сертификат ЭП для заместителя или исполняющего обязанности руководителя. Если же хочется визировать документы исключительно самостоятельно, то токен с сертификатом можно всегда использовать для подписи через веб-клиент сервиса электронного документооборота. Уж ноутбук-то можно взять с собой хоть куда.
Ну и, конечно, ждем распространения решений КриптоПро на мобильных платформах, когда начнут появляться iOS- и Android-клиенты сервисов ЭДО. Есть чувство, что ждать осталось не долго. Тогда окончательно пропадет вопрос с удаленным подписанием электронных документов.
Передача ЭЦП другому лицу - закон разрешает ее или нет? Однозначного ответа на этот вопрос не существует. Нормативной базой в данном случае является закон «Об электронной подписи» от 06.04.2011 № 63-ФЗ. Он четко описывает назначение и основные цели применения ЭЦП, но достаточно косвенно касается вопросов ее передачи.
Можно ли передавать ЭЦП другим лицам
Электронную подпись признают аналогом собственноручной подписи. Это означает, что сам факт передачи ЭЦП от одного лица другому невозможен.
Из п. 1 ст. 2 закона № 63-ФЗ следует, что электронная подпись должна идентифицировать ее владельца. При использовании ЭЦП любым человеком, не являющимся ее «хозяином», это условие невыполнимо. Следовательно, передача ЭЦП по закону запрещена, в то же время процесс предоставления прав на ее применение четко не регламентирован.
Возможно ли подписание отчета об исполнении бюджета (контракта) чужой электронной подписью
Закон рассматривает виды электронных подписей, права и обязанности их владельцев, а также ответственность за нарушение тех или иных правил. С одной стороны, согласно ст. 4 закона № 63-ФЗ, у участников электронного взаимодействия есть право применять электронную подпись любого вида по своему решению (в случае отсутствия требований об использовании конкретного вида ЭЦП).
С другой стороны, в ст. 10 того же закона приведены обязанности участников электронного взаимодействия, и одной из них является обеспечение конфиденциальности. Владелец ЭЦП должен следить за тем, чтобы принадлежащие ему ключи электронной подписи не использовались без его согласия. В том случае, если электронная подпись задействована без ведома ее обладателя, ответственность за последствия таких действий с него снята не будет.
Исходя из приведенных норм закона получается, что применение ключей уполномоченными лицами для подписания отчета об исполнении бюджета (контракта) чужой электронной подписью не запрещено.
Риски при передаче электронной подписи другим лицам
Электронная подпись руководителя зачастую используется его подчиненными, необходимо лишь его согласие. Это упрощает бухгалтеру сдачу отчетности, юрист получает возможность без труда сдать документы в суд и т. д.
Несмотря на это, предоставление прав на ЭЦП является очень опасным делом, ведь это может привести к весьма нежелательным последствиям. Предсказать действия подчиненного зачастую не представляется возможным — он может быть не заинтересован в выполнении поручений, а, напротив, использовать данные ему права в корыстных целях.
Если по отношению к владельцу ЭЦП были совершены неправомерные действия, у него возникнут большие проблемы с доказательством своей невиновности. Суд, руководствуясь нарушением принципа конфиденциальности ЭЦП, далеко не всегда сможет помочь возместить ущерб или же признать подписание документов незаконным.
Итоги
Передача самой электронной подписи по определению невозможна. Предоставление прав на применение ЭЦП другому лицу не запрещено, однако никак не регламентировано. При этом владельцу ЭЦП стоит оценить потенциальные риски, которым он подвергается. Мы рекомендуем задуматься об избрании иной стратегии делегирования полномочий.
Всё более широкое применение организациями систем удаленного управления банковскими счетами (в которых ЭЦП является элементом технологии) привело к росту числа случаев краж денег со счетов, и судебных споров по этому вопросу.
Ограбленные организации, пытаясь вернуть украденные со счета средства, идут, как правило, сразу двумя путями. Они подают заявление о краже денег со счета, и этим делом начинает заниматься милиция в рамках расследования уголовного дела. Одновременно банку предъявляется претензия о ненадлежащем исполнении договора, а после отказа банка в её удовлетворении спор переносится в суд. Эти дела рассматриваются арбитражными судами.
Одним из характерных примеров является недавно принятое решение Арбитражного суда Ульяновской области от 30 декабря 2010 года по делу №А72-5310/2010. Данный пример позволяет извлечь определенные уроки из ошибок, допущенных организацией-истцом.
Суть спора
ООО «ТехноСвязь» ещё в 2005 году открыло счет в банке «Поволжский». В марте 2008 года общество заключило договор с банком об оказании услуги «Электронный банк» и начало проводить свои безналичные расчеты с использованием электронных документов, отправляемых в банк по электронной почте. 29 апреля 2010 года общество переключилось на сервис «Интернет-Клиент», т.е. стало направлять свои платежные поручения через сайт.
4 мая 2010 года (т.е. через 7 дней после подключения сервиса «Интернет-Клиент», из которых три дня 1-3 мая были нерабочими) на основании платежного поручения № 364 от 04 мая 2010 года банк списал с расчетного счета истца более 450 тысяч руб., и перечислил средства на лицевой счет физического лица в банке ВТБ-24, с указанием в назначении платежа «Оплата по договору». Эти деньги со счета физического лица были сняты 4 и 5 мая 2010 года.
Организация предъявила банку претензию в связи с несанкционированным списанием денежных средств со счета (подчеркнув, что она с данным физическим лицом никаких договоров не заключала), и опечатала компьютер, с которого осуществлялся выход в систему «Интернет-Банк». Для разбора конфликтной ситуации была создана Согласительная комиссия, в которую вошли представители истца, ответчика, а также независимый эксперт – сотрудник Ульяновского филиала ФГУП «ЦентрИнформ».
В ходе заседаний Согласительной комиссии было, в частности, установлено:
- Право доступа к средствам создания ЭЦП, помимо генерального директора организации, на основании приказа № 34 от 30.12.2009 было предоставлено главному бухгалтеру и заместителю главного бухгалтера. Банк об этом уведомлен не был.
- Была проведена проверка корректности ЭЦП под оспариваемым платежным поручением, которая дала положительный результат. В результате комиссия признала электронную цифровую подпись корректной.
Пострадавшая организация, считая, что именно банк нарушил условия заключенных между сторонами договоров и не обеспечил должного внутреннего контроля поступившего платежного поручения, обратилась в суд с иском о возмещении убытков.
Позиция суда
При рассмотрении спора суд, прежде всего, опирался на положения договора на оказание услуг, заключенного между банком и обществом. Договор предусматривал, что каждая из сторон несет ответственность за содержание любого электронного документа, подписанного его ЭЦП.
Сторонами не оспаривалось, что закрытый ключ ЭЦП, при помощи которого подписывались электронные документы, находится под контролем истца. Согласно «Акту признания открытого ключа (сертификата) для обмена сообщениями» от 29 апреля 2010 года, который был подписан при переходе на обслуживание через интернет, единственным владельцем ключа (сертификата) ЭЦП являлся генеральный директор ООО «ТехноСвязь».
И вот здесь свою роль сыграл выявленный согласительной комиссией и подтвержденный документально факт того, что право доступа к ЭЦП, кроме генерального директора, приказом по организации были предоставлено другим сотрудникам. Суд особо подчеркнул, что в ст. 3 закона «Об электронной цифровой подписи» вообще не предусмотрен порядок передачи кому-либо ключа (сертификата) ЭЦП. Собственноручная подпись физического лица, как и ее аналог, не подлежит передаче иным физическим (юридическим) лицам .
Кроме того, суд указал и на положение ст.12 закона, согласно которой владелец сертификата ключа подписи обязан: не использовать для ЭЦП открытые и закрытые ключи электронной цифровой подписи, если ему известно, что эти ключи используются или использовались ранее; хранить в тайне закрытый ключ ЭЦП; немедленно требовать приостановления действия сертификата ключа подписи при наличии оснований полагать, что тайна закрытого ключа ЭЦП нарушена. В случае несоблюдении этих требований, возмещение причиненных вследствие этого убытков возлагается на владельца сертификата ключа подписи.
В решении суда подчеркивается, что действующим законодательством не предусмотрена возможность подписания документа физическим лицом не своей подписью, а подписью другого физического лица . Возможно лишь подписание документа одним лицом за другое лицо, но только своей подписью и только при условии наличия соответствующей доверенности.
Попытку ответчика обосновать правомерность передачи руководителем организации средств создания ЭЦП другим лицам тем, что они были им получены в качестве представителя юридического лица, и что он был вправе предоставить доступ к ним иным лицам, суд счел несостоятельной. Суд указал, что подпись физического лица, в том числе обладающего соответствующими полномочиями, является способом индивидуализации этого физического лица, и поэтому подпись, в том числе и ЭЦП, не может быть передана другому физическому лицу .
В итоге суд пришёл к выводу о том, что действия самого клиента могли привести к списанию денежных средств, либо к утечке сведений, касающихся закрытого ключа.
Здесь мне хотелось бы обратить внимание читателей на факт, который был упомянут в тексте постановления, но не нашел должной оценки ни самими участниками процесса, ни судом. В судебном решении указывалось, что при подключении к услуге «Электронный банк» организации, помимо программного обеспечения, была передана дискетка с электронной подписью. Это означает, что генерация закрытого ключа ЭЦП была осуществлена сотрудниками банка, а не самим владельцем ключа, - и, следовательно, сотрудники банка имели доступ к закрытому ключу, что создавало возможность для злоупотреблений.
В итоге суд счел, что организация не доказала наличия вины в действиях банка. Электронный платежный документ был заверен надлежащим образом, ЭЦП признана корректной, в связи с чем у банка не имелось оснований для невыполнения распоряжения о списании средств со счета истца.
Ещё один интересный момент в данном споре связан с оценкой судом доводов истца о том, что вход в систему и формирование спорного платежного поручения было совершено с компьютера с иным IP-адресом, чем IP-адреса компьютеров общества. Суд счёл эти доводы несостоятельными, поскольку ни договор банковского счета, ни договор обслуживания не содержали каких-либо ограничений на использование любого компьютера, вне зависимости от места и вида подключения и принадлежности компьютера иному юридическому или физическому лицу.
В результате исковые требования общества были оставлены судом без удовлетворения.
Мой комментарий: Данное судебное решение наглядно показывает, что при переходе на использование современных технологий необходимо, помимо всего прочего, изучить соответствующую законодательно-нормативную базу и оценить имеющиеся риски. В противном случае, организации сами создают себе дополнительные проблемы в случае возникновения каких-либо споров и конфликтов.
Банки.
Сотрудники банков прекрасно знают, что ЭЦП часто использует не то лицо, на которое она оформлена. Банк, как правило, не придаёт этому значению, ведь в договоре четко прописано, что ответственность за сохранение конфиденциальности ЭЦП несет клиент. Если с расчетного счета организации спишут деньги, используя Вашу ЭЦП, убытки с банка взыскать не получится. Суды считают, что банк обязан исполнять платежное поручение, подписанное корректной ЭЦП, выявляемые в суде факты передачи ЭЦП другим лицам всегда оцениваются как нарушение договора со стороны клиента банка.
Так, 96 000 руб. «ушли» со счета ООО. В ходе разбирательства было выяснено, что деньги списали на основании платежного поручения, подписанного ЭЦП уволенного директора (о назначении нового в банк не сообщали). Кроме того, выяснилось, что подписывал документ вообще главный бухгалтер. Суд отказал во взыскании денег с банка, отметив, что ООО не обеспечило режим секретности ключа, чем нарушило требования Закона об электронной подписи.
Контрагенты . Если документ, с которым не согласна организация, подписан действующей ЭЦП, то отвертеться от документа, скорее всего, не получится.
Так, ООО отказывалось оплачивать товар, настаивая на том, что его не получило. При этом в наличии была товарная накладная, подписанная ЭЦП работника компании. По мнению ООО, этой электронной подписью воспользовалось некое неуполномоченное лицо. В процессе разбирательства было установлено, что договор ООО с поставщиком предусматривал использование ЭЦП при составлении первички. Суд принял решение о взыскании с ООО задолженности по договору поставки, подписанную ЭЦП товарную накладную признали действительной.
Госзакупки
.
Очень серьёзные последствия использования чужой ЭЦП могут быть у организаций, участвующих в госзакупках. Есть случай, когда ООО на 2 года попало в реестр недобросовестных поставщиков. Генеральный директор подписал госконтракт, выигранный по итогам открытого аукциона, чужой электронной подписью (подпись была оформлена на предыдущего генерального директора, а собственную ЭЦП новому директору сделать не успели). Нестыковку с датой назначения заметил заказчик и направил жалобу в УФАС, сообщив, что контракт подписало неуполномоченное лицо. Антимонопольщики пришли к выводу о том, что ООО таким образом пыталось уклониться от заключения госконтракта и наказали организацию.
Инспекция Федеральной налоговой службы (ИФНС)
.
Подписание деклараций чужой ЭЦП также может создать проблемы для организации. В Новосибирске налоговики заблокировали расчётный счет компании, случайно узнав из допроса директора, что его ЭЦП при подписании декларации использовал другой сотрудник. Было принято решение, что такая декларация считается неподанной.
Справедливости ради, стоит сказать, что суд посчитал действия налоговой службы неправомерными, так как декларацию нельзя не принять по ТКС, если она соответствует формату. А раз она была принята, значит, блокировка незаконна. Правда, любой, кто сталкивался с блокировкой расчетного счета, знает, какой удар бизнесу это может нанести.
Резюмируя, можно сказать так: безопаснее, чтобы ЭЦП была у каждого сотрудника, которому необходимо ею пользоваться. Если этот вариант по каким-то причинам не годится, то можно сделать незаменимому сотруднику удаленный доступ к сервису электронного документооборота с тем, чтобы он мог подписать документ откуда угодно.
Работнику же лучше не соглашаться на передачу права пользования своей ЭЦП другим лицам - не придется отвечать за чужие ошибки или за что похуже. Это как оставить коллегам стопку чистых листов со своей подписью.
Передача ЭЦП другому лицу законом не предусмотрена, так как подпись носит идентифицирующий характер и служит средством для подтверждения намерений определенного лица. В статье рассмотрим возможность передачи права пользования ключом подписи от имени владельца.
Что прописано в нормах закона о передаче ЭЦП другому лицу?
П. 2 ст. 160 ГК РФ устанавливает правило, согласно которому использование электронно-цифровой подписи (далее — ЭЦП) возможно в силу указания закона или нормативного акта, соглашения сторон.
Основным актом в сфере ЭЦП является закон «Об электронной подписи» от 06.04.2011 № 63-ФЗ (далее — ФЗ № 63).
Согласно ст. 2 ФЗ № 63 ЭЦП предназначена для идентификации лица, подписывающего электронный документ. Иными словами, она является аналогом собственноручной подписи.
Закон не предусматривает возможности передачи подписи другому лицу, так как в этом случае исчезает основная ее направленность — идентификация подписывающего лица.
Существуют ли образцы доверенности на использование ЭЦП?
ЭЦП выдается на имя конкретного лица — директора или иного уполномоченного работника. На практике ведутся споры по поводу того, может ли быть передано право использования цифровой подписи от одного лица к другому. Споры возникают, поскольку законодательно данный вопрос не урегулирован.
Не знаете свои права?
Суть в том, что ЭЦП — это электронный аналог письменной подписи, а передать полномочия по использованию ее — всё равно, что передать руку доверителя доверенному лицу с целью ее использования для подписания документов.
Несмотря на то что законодательного запрета на использование таких доверенностей нет, их составление не предусмотрено ни одним нормативным актом, как не предусмотрена и возможность передачи полномочий по использованию ЭЦП от одного лица к другому.
Акт приема-передачи ЭЦП другому лицу
Законодательство не содержит требований относительно составления акта приема-передачи ключа ЭП третьему лицу от владельца. Соответственно, оформлять такой документ нет необходимости.
Если же вопреки отсутствию законодательного урегулирования порядка составления данного документа стороны хотят зафиксировать момент передачи ключа ЭЦП, то документ составляется в произвольной форме с обязательным указанием даты передачи ЭП, бумаг, которые передаются, и сторон сделки. При этом если вместе с документами предоставляется внешний электронный носитель (токен), в акте можно определить место его дальнейшего хранения.
Ответственность за использование чужой ЭЦП
Ответственность за пользование ЭЦП лежит на ее владельце (ст. 6 ФЗ № 63) вне зависимости от наличия приказов или доверенностей на передачу ключа. Более того, законодатель не вводит никакой ответственности за использование ЭЦП третьими лицами. То есть доказывать, что электронную почту использовали без его ведома придется владельцу.
Однако если последствия использования ЭЦП не ограничены подписанием документа, а сопряжены, например, с хищением денежных средств со счетов, то ответственность в данном случае может наступить по статьям УК РФ, если владелец подписи докажет, что она была использована не им, а третьим лицом.
Таким образом, передача ЭЦП другому лицу законом не допускается, так как электронная подпись — это аналог собственноручной подписи (ст. 160 ГК РФ). Она принадлежит только тому гражданину, на которого оформлена.
