Подделка электронной подписи: какие риски и как ее защитить

[Собака]

Подделка электронной подписи — это компрометация ключевого носителя информации. Фальсификация ЭЦП практически невозможна, но есть много других вариантов мошенничества с цифровой КЭП.

Можно ли подделать ЭП​

Электронная подпись — защищенный носитель ключевой информации, на котором зашифрованы данные владельца. Документы, подписанные квалифицированными электронными подписями (КЭП), признаются полностью юридически значимыми и соответствуют бумажным регистрам, завизированным физлицом (ч. 1 ст. 6 63-ФЗ от 06.04.2011).

В этом и заключаются основные риски электронной подписи — умышленное использование ЭП без ведома владельца приводит к незаконному обогащению и другим правонарушениям.

По сути, ЭП соответствует по значимости паспорту. Использование цифровой подписи подтверждает не только личность физлица, но и его согласие на определенные действия. Если подписали документ, провели удаленную сделку с ЭЦП, эти операции признаются юридически значимыми. И фактически не важно, кто их выполнял — владелец или другой человек: доказать в суде умышленное использование ЭЦП третьим лицом очень сложно.
В 63-ФЗ определено, что подделать электронную подпись нельзя. ЭП создают с применением криптотехнологий, взломать или подделать ее не получится. Мошенничество с ЭЦП заключается в другом — краже ключевого носителя, подборе PIN-кода к закрытой части цифровой подписи.
Любая ЭП состоит из открытой и закрытой частей. Открытая часть — это сертификат ЭЦП: он доступен для просмотра всем получателям документа. А вот закрытую часть знает только владелец: она хранится на ключевом носителе (токене) или записывается на ПК. Закрытую часть ЭП защищают PIN-кодом, который и пытаются узнать мошенники.

Раньше, чтобы получить поддельные электронные подписи, мошенники фальсифицировали личные документы физлица и передавали их в удостоверяющий центр для получения ЭЦП на имя этого человека. Но с 01.07.2020 правила изменились: чтобы получить ЭП, владельцу сертификата необходимо посетить удостоверяющий центр и подтвердить свою личность.

Случаи мошенничества с ЭЦП​

Возможных случаев мошенничества с электронной подписью много: с ЭЦП другого лица подписывают документы, переводят деньги и даже заключают сделки с недвижимостью. Как пример:

• открытие фирмы-однодневки на физлицо;
• закрытие или передача бизнеса по ЭП руководителя;
• получение кредитов, микрозаймов;
• вывод денег из компании и ее ликвидация;
• подача искаженных деклараций по НДС для возмещения налога;
• мошенничество на торгах при участии в госзакупках, блокировка доступа участника к торговым процедурам;
• удаленное оформление договора купли-продажи, дарения.

В 2018 году случился прецедент: у москвича отобрали квартиру, оформив сделку с использованием ЭЦП. Владелец жилья узнал о том, что его недвижимость передали по договору дарения, в квитанции на оплату ЖКХ — там сменился собственник квартиры. Более того, у него не было ЭЦП — мошенники подделали его документы и оформили цифровую подпись вместо него. Сейчас получить ЭЦП без владельца нельзя. А с 2019 года и Росреестр не проводит сделки по недвижимости физлиц без согласия собственника на процедуру с ЭП.

Бывают и такие махинации: сотрудника увольняют и забывают отозвать его ЭП. Он берет займы или покупает товары от имени организации, после чего исчезает. С образовавшейся задолженностью расплачивается организация.

С 01.07.2021 многие удостоверяющие центры потеряли права на выдачу ЭП физлицам — они не прошли переаккредитацию по новым правилам. Проверьте аккредитацию вашего УЦ: если центр не переаккредитовали, то подпись, выданная до 01.07.2021, действительна только до 01.01.2022 (ч. 4 ст. 3 476-ФЗ). А с 01.01.2022 придется получать новую ЭП в аккредитованном удостоверяющем центре.

Что делать, если ЭЦП украли​

Если украли электронную подпись, действуйте по инструкции:
1. Отзовите сертификат в УЦ. То же самое необходимо сделать сразу же после увольнения сотрудника.
Процедура довольно проста: следует написать заявление на отзыв в тот центр, в котором оформляли сертификат ЭП. Если вы не оформляли электронную подпись, но узнали, что кто-то оформил ее за вас, проследите цифровой путь ЭП — найдите площадку, где использовали сертификат, и посмотрите, кто его выпустил. Обратитесь в этот удостоверяющий центр и отзовите ЭЦП.

Кроме того, запросите в УЦ копии документов, по которым оформляли ЭП, — они понадобятся для заявления в полицию.

2. Подайте заявление в полицию.
Укажите в нем, что мошенники использовали электронную подпись без моего ведома, предоставьте все копии подтверждающих документов. Если в полиции не возбуждают дело, обратитесь в прокуратуру или Минкомсвязь.
3. Обратитесь в суд для аннулирования сделки.
Если с помощью украденной ЭЦП совершили юридически значимые действия (подписали документы, договор, провели операцию с недвижимостью), подайте заявление в судебный орган для признания документов или сделки недействительными. По аналогии, обратитесь в ИФНС, если от имени организации подали недостоверную декларацию или иные сведения, зарегистрировали или ликвидировали компанию.
Для аннулирования декларации подайте заявление и корректировочный отчет. Для признания недействительными регистрационные действия узнайте по выписке из ЕГРЮЛ адрес фиктивной компании и отправьте в территориальную инспекцию заявление в произвольном виде.

Как обезопасить ЭП​

Ни в 63-ФЗ, ни в других нормативах нет прямого ответа, в чем опасность электронной подписи, но как и у любого документа (цифрового инструмента), у ЭП высока вероятность ее незаконного использования. Если вы никогда не оформляли ЭЦП и не знаете, делали ли это за вас, проверьте действующие ЭП на портале Госуслуги. Зайдите в личный кабинет, а затем в профиль — в раздел «Электронные подписи». Если оформленных ЭЦП нет, то и беспокоиться не о чем.

Из практики понятно, чем опасна электронная подпись для физических лиц, — тем, что ее используют без ведома владельца для подписания бумаг, проведения сделок и регистрации юрлиц для незаконного обогащения. Если вы зарегистрированы на общественных площадках (Госуслугах, официальном сайте ФНС), периодически контролируйте раздел с действующими ЭЦП. К примеру, на Госуслугах доступна проверка последних действий, там отображается информация о подаче заявлений, регистрации компании или ИП. А на сайте ФНС, в личном кабинете налогоплательщика, проверяйте, не отправил ли кто-то отчет или обращение в ИФНС за вычетом вместо вас.

Вот как обезопасить электронную подпись физлицу:

1. Настройте в госресурсах уведомления на вход в систему через ЭП. Уведомления приходят в СМС-сообщениях и по электронной почте.
2. Не передавайте ЭП другим людям (в том числе сотрудникам), ограничьте доступ к закрытой части ключа третьим лицам.
3. Дополнительно защитите ПК с электронной подписью паролем, антивирусом. Обязательно установите пароль на токен или другой носитель ключевой информации с ЭЦП. Блокируйте компьютер или ноутбук, если уходите с рабочего места.
4. Не передавайте копии и сканы личных документов неизвестным и непроверенным контрагентам, не оставляйте информацию на подозрительных сайтах.
5. Отзовите ЭЦП уволенного сотрудника, если делали для него сертификат от организации.

Какая ответственность за подделку и незаконное использование ЭП​

Отдельной уголовной статьи за то, что подделали электронную подпись, нет. Но в Уголовном кодексе РФ есть другая статья — 327 «Подделка, изготовление или оборот поддельных документов». По этой ст. 327 наказывают ограничением свободы на срок до двух лет за подделку подписи в официальных документах — предоставляющих права или освобождающих от обязанностей (ч. 1 ст. 327 УК РФ). По логике 63-ФЗ, ЭЦП является аналогом рукописной, но в цифровом формате.
Следовательно, уголовное наказание за мошенничество с бумажными регистрами распространяется и на электронные документы.

Для просмотра ссылки необходимо нажать Вход или Регистрация