Дан анализ нормативно-правового регулирования порядка получения в удостоверяющих центрах средств создания усиленных квалифицированных электронных подписей (УКЭП). На примерах реальных судебных дел показано, какие неприятности могут возникнуть у граждан и организаций, если УКЭП будет получена и использована без ведома владельца с целью совершения мошенничества: можно лишиться недвижимости, денег и пенсионных накоплений.
За последние годы усиленная электронная подпись (УЭП) 1 стала в нашей стране мощнейшим инструментом, широко используемым в системе государственного управления и в деловой деятельности.
Недостатки в инфраструктуре открытых ключей (PKI) и нормативно-правовой базе для ее применения существовали всегда, но до тех пор, пока УЭП использовалась в операциях, не связанных напрямую с деньгами, которые можно было бы «прикарманить», эти недостатки проявлялись достаточно слабо.
В настоящее время усиленная электронная подпись позволяет ее владельцу значительную часть операций со своими финансами и собственностью проводить в удаленном режиме в электронном виде. Многие государственные услуги также можно напрямую получать в электронном виде с использованием усиленной квалифицированной электронной подписи (УКЭП). В результате этого в какой-то мере УЭП стала сейчас жертвой собственного успеха: сфера ее использования охватила очень «денежные» вопросы и, само собой, это привлекло внимание мошенников.
Неожиданно для общественности (но не для экспертов) стало ясно, что речь идет не просто о «дырах в заборе», а об отсутствии забора с той стороны, где люди обычно не ходят! Поэтому вам полезно будет узнать о нормативно-правовом регулировании порядка получения в удостоверяющих центрах средств создания УКЭП, а также о том, как законодатели планируют «латать этот забор».
Судебная практика также показывает, что не все спокойно в «королевстве» электронных подписей.
Процедура установления личности заявителя, обратившегося в удостоверяющий центр
Любое удаленное юридически значимое действие осуществимо только при условии возможности сторон убедиться (так же, как и в бумажном делопроизводстве) в том, что их совершают лица, которые имеют на это право. В электронной среде сделать это, как правило, достаточно сложно. Именно поэтому на удостоверяющие центры (УЦ) возложена обязанность установления личности и полномочий тех, кто будет использовать УЭП.
Одновременно на УЦ возложены и другие обязанности, связанные с обслуживанием PKI-инфраструктуры открытых ключей.
Закон об ЭП устанавливает, что любые взаимоотношения клиента и удостоверяющего центра начинаются с установления личности заявителя и с предоставления последним комплекта необходимых документов и сведений:
Фрагмент документа
Статья 18 «Выдача квалифицированного сертификата» Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи»
1. При выдаче квалифицированного сертификата аккредитованный удостоверяющий центр обязан:
1) установить личность заявителя – физического лица, обратившегося к нему за получением квалифицированного сертификата;
2) получить от лица, выступающего от имени заявителя – юридического лица, подтверждение правомочия обращаться за получением квалифицированного сертификата.
2. При обращении в аккредитованный удостоверяющий центр заявитель указывает на ограничения использования квалифицированного сертификата (если такие ограничения им устанавливаются) и представляет следующие документы либо их надлежащим образом заверенные копии и сведения:
1) основной документ, удостоверяющий личность;
2) номер страхового свидетельства государственного пенсионного страхования заявителя – физического лица;
3) идентификационный номер налогоплательщика заявителя – физического лица;
4) основной государственный регистрационный номер заявителя – юридического лица;
5) основной государственный регистрационный номер записи о государственной регистрации физического лица в качестве индивидуального предпринимателя заявителя – индивидуального предпринимателя;
6) номер свидетельства о постановке на учет в налоговом органе заявителя – иностранной организации (в том числе филиалов, представительств и иных обособленных подразделений иностранной организации) или идентификационный номер налогоплательщика заявителя – иностранной организации;
7) доверенность или иной документ, подтверждающий право заявителя действовать от имени других лиц.
Согласно закону процедура выдачи сертификата ключа проверки подписи и состав представляемых в УЦ документов различаются в зависимости от того, кто обращается за этой услугой – физическое лицо, юридическое лицо или индивидуальный предприниматель.
Если подает документы или получает ключевой носитель информации, а также сертификат ключа проверки подписи не сам владелец, а его уполномоченный представитель, то в УЦ необходимо предоставить доверенность на этого представителя, а также удостоверение личности (паспорт гражданина РФ) этого представителя. Проведенный анализ показал, что в регламентах удостоверяющих центров требования к доверенностям разные и многие принимают простые доверенности (без их заверения нотариусом).
Пример 1. Часто используемая в регламентах удостоверяющих центров «обтекаемая» формулировка в отношении необходимой доверенности
При обращении в Удостоверяющий центр Уполномоченного представителя Заявителя его полномочия должны быть подтверждены соответствующей доверенностью.
Фрагмент документа
Регламент Удостоверяющего центра ООО «Компания «Тензор», утв. приказом от 08.05.2019 № 315 2
5.2.4. Перечень документов, предоставляемых Заявителем в Удостоверяющий центр.
Заявитель, присоединяясь к настоящему Регламенту, предоставляет в Удостоверяющий центр следующие документы либо их надлежащим образом заверенные копии и сведения в зависимости от статуса:
5.2.4.1. Для юридических лиц:
...ж. доверенность или иной документ, подтверждающие полномочия владельца сертификата ключа подписи (в случае если владелец сертификата не имеет права действовать от лица юридического лица без доверенности);
з. доверенность на получение сертификата ключа подписи (в случае, если сертификат получает сотрудник организации, не имеющий права действовать без доверенности).
5.2.4.2. Для индивидуальных предпринимателей:
...е. доверенность на получение сертификата ключа подписи (в случае если сертификат получает не индивидуальный предприниматель).
5.2.4.3. Для физических лиц:
...д. доверенность, подтверждающая право заявителя действовать от имени других лиц.
Ряд удостоверяющих центров, не дожидаясь указаний «сверху», уже принимает только нотариально заверенные доверенности:
Фрагмент документа
Регламент Удостоверяющего центра ПАО «МегаФон», утв. приказом от 02.10.2017 № 5-CEO-П10-02/17 3
7.5.1.5. Предоставление заявительных документов для создания сертификата ключа проверки электронной подписи, а также получение сформированных Удостоверяющим центром ключа электронной подписи и сертификата ключа проверки электронной подписи может быть осуществлено:
7.5.1.5.1. Для юридического лица:
- физическим лицом, которое указывается в сертификате наряду с наименованием юридического лица;
- физическим лицом на основании доверенности на получение ключей электронной подписи и сертификата ключа проверки электронной подписи, оформленной по форме Приложения № 6 к настоящему Регламенту.
7.5.1.5.2. Для физического лица:
- непосредственно этим физическим лицом;
- физическим лицом на основании нотариальной доверенности.
7.5.1.6. Для индивидуального предпринимателя:
- индивидуальным предпринимателем;
- физическим лицом, которое указывается в сертификате наряду с наименованием индивидуального предпринимателя;
- физическим лицом на основании доверенности на получение ключей электронной подписи и сертификата ключа проверки электронной подписи, оформленной по форме Приложения № 6 к настоящему Регламенту.
Именно на этом этапе возникают сейчас наибольшие риски, поскольку простые письменные доверенности достаточно легко подделать, что позволяет...
