Безопасность электронной подписи: 63-ФЗ, Госуслуги и фото с паспортом

Электронная подпись как средство махинаций

Использовать чужую электронную цифровую подпись — всё равно что использовать чужой паспорт. Злоумышленники с её помощью могут выдавать себя за другого человека и заключить сделку. Мошеннические схемы с электронной подписью позволяют оформить кредит на организацию, вывести деньги из компании, а затем ликвидировать её. Также мошенники могут продать чужую недвижимость или подать в налоговый орган поддельную декларацию с особо крупными суммами, чтобы получить возмещение НДС в больших размерах.

Подделать ЭЦП крайне сложно, поэтому злоумышленники выбирают более простые способы. Например, подделка личных документов владельца подписи или хищение сканов паспорта, а также взлом Личного кабинета владельца ЭЦП на портале Госуслуг. Подделка документов для получения ЭЦП осуществляется с помощью компьютерных средств и программ (техническая имитация).

Из-за пандемии (а особенно в период самоизоляции) многие компании перешли на дистанционное обслуживание, поэтому общение и сделки с клиентами проходили в режиме онлайн. Также покупка квартиры стала возможна через специальные онлайн-сервисы. При регистрации ипотечных сделок в банке или заключении договоров долевого участия стал возможен электронный вариант регистрации прав на недвижимость.

Для этих процедур нужна электронная подпись, и риски заключаются в том, что злоумышленники могут оформить её путём подделки документов или с помощью взлома получить доступ к личному кабинету владельца ЭЦП на сайте Госуслуг.

Поскольку сотрудники удостоверяющих центров, оформляющие ЭП, не обладают дополнительными возможностями по проверке подлинности документов, удостоверяющих личность, невозможно стопроцентно гарантировать выдачу ЭП реальному заявителю.

Ранее СМИ писали о нескольких случаях отъёма квартиры, при которых для получения чужой жилплощади мошенники использовали электронную цифровую подпись. Наиболее распространенным способом получения мошенниками ЭЦП на чужое имя стала подделка документов.

Так, в мае 2019 года интернет-портал bfm.ru сообщил, что москвич лишился квартиры вследствие мошеннической схемы с использованием электронной подписи. Обнаружив, что в платёжном документе для оплаты коммунальных услуг указана чужая фамилия, законный владелец квартиры обратился в МФЦ, а затем в Росреестр. Там он получил официальное подтверждение: в октябре 2018 года от его имени действительно была оформлена дарственная на свою квартиру в пользу некоего жителя Уфы. При этом документ был оформлен удалённо, с использованием электронной подписи, которую злоумышленники получили, использовав подделку. По словам потерпевшего, квартиру он никому не дарил, тем более с помощью электронной подписи, которой у него никогда не было. Тем не менее он оказался перед фактом: квартира теперь принадлежала другому человеку.

В июне этого же года стал известен другой случай кражи квартиры с помощью ЭЦП. Об этом рассказала газета «Коммерсантъ-Daily». Для подделки необходимых для сделки документов мошенники использовали старый, недействительный паспорт владельца квартиры.

Обе истории получили большой резонанс, поэтому властями было принято решение внести соответствующие изменения в законодательство.

Со вступлением в силу Федерального закона от 2 августа 2019 года № 286-ФЗ для совершения сделки с недвижимостью через интернет собственнику нужно заранее подать в Росреестр заявление в бумажном виде, в котором он сообщает о своём согласии на проведение сделок с использованием ЭЦП. В противном случае такая сделка будет невозможна.

Требования к удостоверяющим центрам и уголовная ответственность

Все вопросы, касающиеся области применения электронной подписи и принципов её использования, а также требований к удостоверяющим центрам, прописаны в Федеральном законе № 63-ФЗ.

Рассмотрим положения закона, в которых обозначены требования к удостоверяющим центрам, касающиеся безопасности ЭЦП.

Согласно ст. 13, в обязанности удостоверяющего центра входит:

• Информирование заявителя об условиях и о порядке использования электронных подписей, о рисках, связанных с её использованием, а также о мерах, необходимых для обеспечения безопасности электронной цифровой подписи и их проверки.

• Актуализация информации, содержащейся в реестре сертификатов, обеспечение её защиту от неправомерного доступа, уничтожения, модификации, блокирования и других неправомерных действий.

• Безвозмездное предоставление доступа к реестру сертификатов и к информации, содержащейся в реестре сертификатов, любому лицу по его обращению в соответствии с установленным порядком.

• Обеспечение конфиденциальности созданных удостоверяющим центром ключей электронной цифровой подписи.

Кроме того, удостоверяющие центры должны отказывать заявителю в создании сертификата ключа проверки электронной подписи (ПЭП). Это правомерно в случае, если выяснится, что заявитель не является владельцем ключа электронной подписи, соответствующего ключу ПЭП, указанного заявителем для получения сертификата. Если результаты проверки на уникальность указанного в заявлении ключа ПЭП окажутся отрицательными, УЦ также обязан отказать заявителю в создании сертификата ключа ПЭП.

Удостоверяющий центр несёт ответственность за вред, причинённый третьим лицам в результате:

• неисполнения или ненадлежащего исполнения обязательств, вытекающих из договора оказания услуг;

• неисполнения или ненадлежащего исполнения обязанностей, предусмотренных Федеральным законом № 63-ФЗ.

Ряд статей закона об электронной подписи содержит информацию об аккредитации удостоверяющих центров и порядке выдачи сертификатов аккредитованными УЦ:

• Статья 15 — в ней отдельно прописано определение аккредитованных УЦ, а также их обязанности.

• Статья 16 — описывает порядок аккредитации удостоверяющего центра и требования к удостоверяющему центру, претендующему на аккредитацию.

• Статья 18 — описывает порядок идентификации заявителей, которую обязан проводить удостоверяющий центр при выдаче сертификатов.

1 июля 2020 года в закон об электронных подписях были внесены изменения. Перечень требований к аккредитации удостоверяющих центров был расширен, а правила выдачи квалифицированных сертификатов — дополнены.

Обязанность идентифицировать заявителя ранее была только обозначена в 63-ФЗ, однако закон не уточнял, каким именно образом проводить идентификацию. Федеральным законом № 476-ФЗ, который внёс поправки в закон об электронной подписи, были определены следующие способы:

1. Через Единую систему идентификации и аутентификации (ЕСИА) при личном визите в УЦ.

2. С использованием усиленной квалифицированной электронной подписи (КЭП).

3. При помощи загранпаспорта нового образца (на данный момент не реализовано).

4. Через Единую биометрическую систему (ЕБС) (на данный момент не реализовано).

Идентификацию можно проводить как при личном присутствии будущего владельца сертификата, так и дистанционно (способы 2 и 4).

Требования к обязанностям доверенных лиц УЦ тоже были скорректированы. Ранее сотрудники, выполняющие полномочия доверенных лиц УЦ, могли принимать пакет документов как от самого заявителя, так и от его представителя по доверенности на представление документов и получение ЭЦП. Теперь доверенное лицо УЦ может принимать заявление только от заявителя. Выдавать бумажный или электронный сертификат разрешено тоже только заявителю.

Ранее за неисполнение обязанностей и порядка реализации функций УЦ уполномоченные сотрудники аккредитованных удостоверяющих центров несли только административную ответственность. Теперь за нарушение обязанностей, предусмотренных законодательством Российской Федерации в области электронной подписи, Федеральным законом № 476-ФЗ предусмотрена также уголовная ответственность.

Минкомсвязи ещё в 2018 году предлагало дополнить УК РФ новой статьёй, которая бы определяла наказание за нарушение порядка выдачи квалифицированного сертификата ключа проверки электронной подписи. В частности, предлагалось дополнить ст 200.6 УК РФ. Рассматривались следующие виды наказания:

• штраф в размере до 300 тысяч рублей или в размере заработной платы или иного дохода осужденного за период до шести месяцев;

• обязательные работы на срок до 480 часов;

• исправительные работы на срок до двух лет;

• лишение права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.

Позднее предложения Минкомсвязи о дополнении УК РФ стали частью законопроекта об изменении ФЗ-63.

Госуслуги на страже: сервис для проверки наличия ЭЦП

До октября 2020 года оперативно информировать пользователей о выпущенных электронных подписях было сложно, поскольку не было сервиса, который позволял бы получать информацию об оформленных на своей имя КЭП.

Эта ситуация вызывала большие сложности в плане противодействия мошенническим схемам, поскольку лица, на которых злоумышленники оформляли КЭП, не могли своевременно узнать об этом. Таким образом, у мошенников, использовавших в качестве документов подделку, было достаточно времени для совершения махинаций с налоговыми декларациями и недвижимостью, а также выводом денежных средств из фирм.

Положение дел изменилось 5 октября 2020 года, когда на сайте Госуслуг был запущен сервис для проверки квалифицированных подписей пользователя. 

Гарантия сохранности личных данных клиентов обеспечивается бессрочной лицензией на деятельность по технической защите конфиденциальной информации, выданной федеральной службой по техническому и экспортному контролю. Эта и другие лицензии опубликованы на официальном сайте «Калуга Астрал». Также мы являемся оператором персональных данных и соблюдаем требования 152-ФЗ «О персональных данных». Все документы хранятся на защищённом информационном ресурсе, что полностью исключает утечку данных.

Cервис предназначен для рассылки уведомлений гражданам. Уведомления приходят в следующих случаях:

1. При выпуске сертификата. Теперь, согласно закону об электронных подписях, удостоверяющие центры обязаны передавать сведения о выпущенных сертификатах ЭЦП порталу Госуслуг. В случае выпуска электронной цифровой подписи пользователь получит от портала сообщение с текстом «Организация <название удостоверяющего центра> выпустила электронную подпись с вашими персональными данными».

Такое уведомление отправляется пользователю, если на его имя был выпущен электронный сертификат физического лица или ИП, а также в случае, если сведения о нём в качестве сотрудника были внесены в электронный сертификат компании.

2. При использовании ЭЦП для входа на портал Госуслуг. В этом случае пользователь получит сообщение текстом «Ваша электронная подпись использована для входа на портал Госуслуг». Также сообщение будет содержать дату входа.

3. При отсутствии сведений об ЭЦП на Госуслугах. Такое уведомление поступает в случае, если была использована электронная цифровая подпись, регистрация которой на портале Госуслуг ещё не завершена. Текст сообщения: «Зафиксирован факт использования КЭП при отсутствующем сертификате в ЕСИА». Если прошло несколько дней после выпуска сертификата, но уведомления с таким текстом продолжают поступать, необходимо обратиться в техническую поддержку удостоверяющего центра, который выпустил эту ЭП.

Как происходит получение электронной подписи в УЦ «Калуга Астрал»

Общий порядок получения электронной подписи, соответствующий требованиям 63-ФЗ, изложен на сайте Минсвязи в разделе часто задаваемых вопросов.

Для получения КЭП необходимо присутствовать в УЦ лично. Из документов понадобятся паспорт и СНИЛС. Если заявитель — ИП или юрлицо, дополнительно потребуется свидетельство ИНН либо свидетельство о постановке на учёт в качестве ИП или юрлица.

У «Калуга Астрал» и точек выдачи её удостоверяющего центра процедура создания и выдачи сертификатов ЭП утверждена Регламентом удостоверяющего центра. Согласно этому документу, для создания и выпуска сертификата необходимо заявление, которое подаётся заявителем в УЦ «Калуга Астрал» на соответствующем бланке.

Заявление может быть оформлено:

• в виде собственноручно подписанного бумажного бланка, по указанной удостоверяющем центром форме;

• в виде электронного документа, который подписан при помощи сертификата квалифицированной ЭП, изготовленного УЦ «Калуга Астрал» или доверенными УЦ.

Перечень документов, необходимых для создания и выпуска сертификата ЭП в УЦ «Калуга Астрал», соответствует требованиям Федерального закона № 63-ФЗ. Согласно п. 6.2 Регламента и ч.7 ст.13 Федерального закона № 63-ФЗ, перечень документов, необходимый для выпуска ЭП является открытым. Поэтому УЦ имеет право запрашивать дополнительные документы.

Для проверки достоверности документов и информации, представленной заявителем для включения в бумажный или электронный сертификат, УЦ запрашивает и получает из государственных информационных ресурсов сведения, предусмотренные ч. 2.2 ст. 18 Федерального закона № 63-ФЗ.

При проверке Удостоверяющий центр должен убедиться, что:

• документы действительно принадлежат заявителю;

• сведения, указанные в заявлении на выдачу сертификата, соответствуют представленным документам, а также информации, полученной из государственных реестров и других открытых источников информации;

• отсутствуют явные признаки подделки документов.

При выдаче сертификата доверенное лицо УЦ обязано идентифицировать владельца сертификата по паспорту в условиях его личного присутствия.

При приёме заявки на выпуск квалифицированного сертификата ключа проверки ключа электронной (КСКПЭП) подписи точки выдачи УЦ «Калуга Астрал» обязаны:

1. Идентифицировать личность заявителя при его личном присутствии.

2. Проверить и сохранить оригинал заявления на изготовление КСКПЭП, подписанное заявителем собственноручно.

3. Проверить основной документ, удостоверяющий личность заявителя в соответствии с требованиями законодательства РФ.

4. Проверить и сохранить документ, подтверждающий полномочия заявителя, если ЭП оформляется не на руководителя организации, указанного в выписке из ЕГРЮЛ.

5. Получить от владельца ЭП оригинал бланка сертификата, подписанного собственноручно.

6. Прикрепить в Информационный ресурс УЦ:

• скан-копию заявления на изготовление КСКПЭП, подписанное заявителем собственноручно;

• скан-копию паспорта заявителя;

• скан-копию бланка сертификата, подписанного владельцем ЭП;

• фотографию заявителя с развёрнутым паспортом на 2 и 3 страницах. Качество фотографии должно предоставить возможность сличения лица заявителя и фотографии в паспорте.

Изначально необходимость фотографии заявителя с паспортом возникла в связи с частыми случаями мошенничества. Злоумышленники от имени фирмы по доверенности получали электронный сертификат КЭП и подавали налоговые декларации о несуществующих сделках, чтобы получить возмещение НДС.

Кроме того, требование такой фотографии было нацелено на то, чтобы исключить неправомочные действия сотрудника УЦ и сговор исполнителя с мошенником, а также на борьбу с позицией фиктивных директоров, которые отказывались от факта получения КЭП, хотя в действительности подпись получали.

Мы просим каждого клиента делать снимок с паспортом. Да, кому-то это неудобно, кто-то не хочет оставлять снимок в чужих руках. Но для добросовестного владельца КЭПа это не должно быть проблемой или неудобством. Каждый из нас при регистрации в каршеринге оставлял снимки своих документов и своего лица. При посещении офиса отдавал паспорт на сканирование делал снимок своего лица в бюро пропусков или на проходной. Другое дело, что недобросовестному владельцу или мошеннику не хочется оставлять фото и видеоследы своего присутствия. На вычищение таких «пользователей» и направлен наш регламент.

Фото с паспортом необходимо для максимальной безопасности при выдаче ЭП. Это исключает выдачу ЭП неуполномоченным на то лицам или по подложным документам. Также это требование обеспечивает прозрачность и доказуемость причастности заявителя к факту подачи заявления на изготовление сертификата и получения услуг УЦ, если впоследствии этот факт потребует подтверждения.

Такой способ дополнительной идентификации является общепринятым при идентификации личности в системах банковского обслуживания.

Что делать, если на вас выпустили ЭЦП без вашего ведома

Чаще всего мошенники регистрируют ИП или ООО на имя граждан, на которых была оформлена незаконная подпись. Что делать, если вы попали в подобную ситуацию?

В первую очередь необходимо без промедлений подать заявление в регистрирующий орган по месту нахождения юридического лица. В нём нужно сообщить наименование юрлица, ИНН, ОГРН и другие реквизиты, а также информацию о том, что вы не являетесь учредителем данной организации, не подписывали документы о его регистрации собственноручной или электронной подписью, а также не получали электронный сертификат ключа ЭП. Укажите всю возможную информацию, которая бы свидетельствовала о вашей непричастности к регистрации и деятельности этого юрлица.

Кроме того, следует лично обратиться в регистрирующий орган по месту учёта юридического лица и подать заявление по форме Р34001. Это нужно, чтобы в ЕГРЮЛ была внесена информация о том, что сведения о вас как о руководителе (учредителе) организации недостоверны.

Обратитесь в УЦ, выпустивший сертификат ключа ЭП, с заявлением об отзыве электронной подписи. Запросите копии документов, по которым была оформлена электронная подпись.

Обратитесь в полицию с заявлением о том, что против вас были совершены противоправные действия. К заявлению приложите копии документов, которые вы получили в удостоверяющем центре.

Если нам поступает обращение о неправомерном выпуске ЭП или о нарушениях Регламента УЦи 63-ФЗ «Об электронной подписи» при выпуске ЭП, то мы инициируем внутреннюю проверку точки выдачи, которая занимался выпуском такой ЭП. По итогу проверки принимается решение о продолжении или прекращении договорных взаимоотношений.

Чек-лист: правила безопасности для ЭЦП

- Выбирайте только надёжный удостоверяющий центр

Для получения ЭЦП следует обращаться только в организацию, аккредитованную Минкомсвязи. Надёжный удостоверяющий центр не позволяет себе отклоняться от требований 63-ФЗ и не упрощает порядок получения КЭПа.

С поправками в закон об электронной подписи требования к УЦ ужесточились. Срок аккредитации УЦ снижен до трёх лет, а минимальная доля собственных средств удостоверяющего центра должна быть не менее 1 млрд рублей. Если УЦ имеет филиалы не менее чем в 64 субъектах Российской Федерации — не менее 500 млн рублей.

Из других изменений:

• размер страховых средств УЦ должен быть не менее 100 млн рублей;

• работники УЦ и его доверенные лица могут привлекаться к уголовной ответственности, если они не выполняют обязанностей удостоверяющего центра или нарушают порядок его функций;

• если аккредитация УЦ досрочно прекращается, получить новую он сможет только через 3 года.

Такие условия могут быть по силам только крупным организациям, которые на рынке уже не первый год. АО «Калуга Астрал» входит в тройку лидеров среди удостоверяющих центров РФ. База компании включает в себя более 1,3 млн действующих сертификатов.

- Не оставляйте копии и реквизиты паспорта на внешних ресурсах и не передавайте их ненадёжным людям

Не оставляйте данные вашего паспорта (даже уже недействительного) или его копию на подозрительных ресурсах — это позволит злоумышленникам подделать документы, чтобы с помощью подделки получить ЭЦП от вашего имени.

В случае утери или пропажи паспорта напишите заявление в полицию. И лучше с этим не медлить — дата подачи заявления будет указывать на то, что подпись на документах с заявлением на получение ЭЦП поставили не вы.

- Не передавайте свою электронную цифровую подпись другим людям

Передача ЭП другому лицу — плохая идея. В случае каких-либо проблем будет очень трудно доказать в суде, что подпись ставил не владелец. Если вы хотите передать полномочия доверенному сотруднику, лучше оформите на него отдельную подпись.

- Защите токен или компьютер, на котором он хранится, надёжным паролем

Если для хранения сертификата ЭЦП используется физический носитель (токен), необходимо сменить пароль, установленный по умолчанию, на свой. Заводские пароли можно запросто найти в интернете, поэтому если физический носитель будет утерян и злоумышленник получит токен с таким паролем, то он сможет воспользоваться ЭЦП. Компьютер с простым паролем легко взломать, поэтому лучше придумать более сложный вариант.

- Блокируйте компьютер, на котором храните ЭЦП

Обычное требование внутри компаний, которое важно соблюдать. Отговорки в духе «здесь все свои» в данном случае неуместны. К незаблокированному ПК, от которого отошёл пользователь, может получить доступ любой сотрудник офиса, а злоумышленнику даже взламывать ничего не придется. При этом ответственность за пропажу данных будет лежать в первую очередь на вас.

Ведите учёт электронных подписей сотрудников и своевременно отзывайте сертификаты у тех, кто был уволен

Наличие сертификата у уволенного сотрудника равноценно наличию ЭП у злоумышленника, поскольку нет гарантии, что такой сотрудник не спишет денежные средства со счетов организации или не передаст ЭЦП кому-либо для этих целей.

Установите на компьютер, на котором хранится ЭЦП, надёжное антивирусное ПО

Анивирус защитит от взлома. Будьте внимательны к содержимому писем от знакомых и не переходите ссылкам в электронных письмах от неизвестных. Если по электронной почте пришёл подозрительный файл, не открывайте его — это может быть программа-шпион, которая передаст злоумышленнику все данные с вашего ПК, в том числе электронный сертификат ЭЦП. Взлом компьютера путём фишинга — наиболее распространенный способ среди злоумышленников.

Не передавайте документы с вашими персональными данными по электронной почте, в чатах и через другие открытые источники передачи информации.

Согласно Федеральному закону № 152-ФЗ, передача персональных данных разрешена только по каналам, которые защищены средствами шифрования, сертифицированными ФСБ РФ. Обычная электронная почта, мессенджеры и социальные сети не имеют такой защиты. При использовании таких каналов связи нет гарантии от взлома, поскольку их защиту можно взломать.