Правовое регулирование
К началу страницы
Отношения в области применения электронной подписи регулируются Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи» (Федеральный закон № 63 - ФЗ), а также Федеральным законом от 27.12.2019 № 476-ФЗ в котором положения частей 2.3 - 2.6 статьи 3 действуют до 31.08.2023 года, включительно.
Федеральным законом № 63 - ФЗ определяются понятие электронной подписи и ее виды: простая, усиленные неквалифицированная и квалифицированная электронные подписи.
Особенности применения и конкретные виды электронных подписей при взаимодействии налогоплательщиков с налоговыми органами установлены Налоговым кодексом Российской Федерации (Налоговый кодекс).
При электронном взаимодействии хозяйствующих субъектов с налоговыми органами применяется квалифицированная электронная подпись. Получить квалифицированную электронную подпись можно в аккредитованном удостоверяющем центре (АУЦ), в удостоверяющем центре ФНС России (УЦ ФНС), удостоверяющем центре Банка России, в удостоверяющем центре Федерального казначейства. С перечнем аккредитованных удостоверяющих центров можно ознакомится на портале Минцифры России.
При электронном взаимодействии физических лиц с налоговыми органами может применяться неквалифицированная электронная подпись, которую получают в Личном кабинете налогоплательщика – физического лица.
Вид электронной подписи, применяемой в рамках электронного взаимодействия хозяйствующих субъектов или физических лиц между собой могут определяться соглашениями между участниками электронного взаимодействия, таким образом может применяться как простая электронная подпись, так и усиленная неквалифицированная. При использовании усиленной квалифицированной электронной подписи, заключение соглашений не требуется.
Обращаем внимание, что в Федеральный закон № 63 - ФЗ внесены значимые изменения (Федеральный закон от 27.12.2019 № 476-ФЗ, Федеральный закон от 14.07.2022 № 339-ФЗ, Федеральный закон от 19.12.2022 № 536-ФЗ), часть которых вступила в силу с 01.01.2022 и действует до 31.12.2022 года, включительно. Ознакомиться с ними более подробно возможно в разделе Основные изменения в области применения электронной подписи.
Основные изменения в области применения электронной подписи
К началу страницы
Федеральным законом от 27.12.2019 № 476 – ФЗ вносятся значимые изменения в области регулирования применения электронной подписи.
В целях обеспечения подготовки всех информационных систем для выполнения нового порядка, положения закона вступают в силу поэтапно:
Предусмотрена возможность проведения удаленной идентификации личности заявителя удостоверяющего центра с применением биометрических данных;
Ужесточается порядок аккредитации удостоверяющих центров и требования к ним;
Операторы информационных систем не вправе требовать наличие дополнительной информации в электронной подписи (наличие в электронной подписи специализированных OID, например, для торговых площадок);
Изменены методы проверки достоверности сведений о заявителе при выдаче на его имя электронной подписи;
Вступил в силу новый порядок идентификации владельца электронной подписи: исключена возможность получения электронной подписи по доверенности другим лицом, отличным от владельца сертификата.
Вступили в силу положения о доверенной третьей стороне. Доверенная третья сторона - юридическое лицо, осуществляющее деятельность по проверке электронной подписи в электронных документах в конкретный момент времени;
Появилась возможность дистанционного («облачного») хранения закрытого ключа;
Установлено требование о направлении в ЕСИА сведений о выданных удостоверяющими центрами электронных подписях;
Предусмотрена возможность создания подтвержденной учетной записи ЕСИА при проведении процедуры идентификации личности в удостоверяющих центрах.
- Вступило в силу положение Федерального закона от 27.12.2019 № 476-ФЗ, в соответствии с которым, удостоверяющие центры, не прошедшие аккредитацию в соответствии с новыми требованиями, не вправе выдавать квалифицированные электронные подписи;
- Квалифицированные электронные сертификаты, выданные удостоверяющими центрами, не прошедшими аккредитацию в соответствии с новыми требованиями, действуют до истечения срока, на который они выданы, но не более срока действия аккредитации выдавших их удостоверяющих центров либо не более чем до 1 января 2022 года (согласно пунктам 3 и 4 статьи 3 Федерального закона от 27.12.2019 № 476-ФЗ).
- Услуга по получению квалифицированного сертификата в удостоверяющем центре ФНС России оказывается налоговыми органами при личном присутствии заявителя, выдача квалифицированного сертификата в Удостоверяющем центре ФНС России происходит по принципу экстерриториальности, в связи с чем, обратиться за его получением можно в любой налоговый орган, оказывающий услугу по выдаче квалифицированной электронной подписи, их перечень и график работы, а также подробная информация о порядке получения квалифицированного сертификата размещена на официальном сайте ФНС России;
- Нотариусы, индивидуальные предприниматели, юридические лица, а также лица, уполномоченные на действия от имени юридического лица без доверенности, с 1 января 2022 года получают квалифицированные сертификаты только в удостоверяющем центре ФНС России. Такие сертификаты применяются при любом электронном взаимодействии, в том числе с любыми информационными системами без ограничений в силу положений Федерального закона от 06.04.2011 № 63-ФЗ;
- Лица, уполномоченные на действия без доверенности от имени кредитных организаций, операторов платежных систем и иных лиц, подведомственных Центральному банку Российской Федерации, получают квалифицированный сертификат в удостоверяющем центре Банка России;
- Лица, замещающие государственные должности в любом органе власти Российской Федерации, и работники организаций (учреждениях), подведомственных таким органам, получают квалифицированный сертификат в удостоверяющем центре Федерального казначейства;
- Аккредитованные удостоверяющие центры, перечисленные в реестре Минцифры России, вправе выдавать квалифицированные сертификаты представителям по доверенности юридических лиц и индивидуальных предпринимателей, но сроком их действия не более чем до 1 сентября 2023 года (в редакции Федерального закона от 19.12.2022 № 536-ФЗ);
- До 1 сентября 2023 года (в редакции Федерального закона от 19.12.2022 № 536-ФЗ) разрешено добровольное применение машиночитаемых доверенностей (МЧД) в связке с электронной подписью физического лица, квалифицированный сертификат которой получен в аккредитованном удостоверяющем центре, указанном в реестре Минцифры России. Машиночитаемая доверенность (МЧД) используется для подтверждения полномочий подписанта электронного документа действовать от имени хозяйствующего субъекта, который выдал ему машиночитаемую доверенность (МЧД).
- Федеральным законом от 14.07.2022 № 339-ФЗ определен порядок выдачи машиночитаемых доверенностей (МЧД) в рамках передоверия – то есть подписания не лицом, действующим от имени юридического лица (индивидуального предпринимателя) без доверенности, а иным уполномоченным на это лицом в соответствии с Гражданским кодексом Российской Федерации;
- Федеральным законом от 14.07.2022 № 339-ФЗ определен порядок нотариального удостоверения нотариусами машиночитаемых доверенностей (МЧД) в электронной форме;
- Появилась возможность выдачи удостоверяющим центром ФНС России обезличенных квалифицированных сертификатов для индивидуальных предпринимателей в целях их использования при автоматическом подписании электронных документов без участия человека в информационных системах, операторами которых являются индивидуальные предприниматели.
- Федеральным законом от 04.08.2023 № 457-ФЗ разрешена выдача с 1 сентября 2023 года УЦ ФНС России квалифицированных сертификатов, который содержит указание на филиал или представительство иностранных юридических лиц, и владельцем которого является руководитель филиала или представительства, уполномоченного действовать на основании доверенности, выданной иностранным юридическим лицом;
- Аккредитованные удостоверяющие центры, указанные в реестре Минцифры России, с 1 сентября 2023 года вправе выдавать квалифицированные сертификаты только для физических лиц;
- При использовании квалифицированной электронной подписи при участии в правоотношениях представителей индивидуальных предпринимателей, юридических лиц, лиц, замещающих государственные должности Российской Федерации, государственные должности субъектов Российской Федерации, должностных лиц государственных органов, органов местного самоуправления, их подведомственных организаций, обязаны применяться машиночитаемые доверенности (МЧД). Машиночитаемая доверенность (МЧД) используется для подтверждения полномочий подписанта электронного документа действовать от имени хозяйствующего субъекта, который выдал ему машиночитаемую доверенность (МЧД).
- Федеральным законом от 04.08.2023 № 457-ФЗ продлен до 31 августа 2024 года переходный период применения машиночитаемой доверенности и квалифицированной электронной подписи, владельцем сертификата которой является представитель юридического лица или индивидуального предпринимателя по доверенности;
- Запрещено применение квалифицированных сертификатов, владельцами которых являются представители по доверенности юридических лиц и индивидуальных предпринимателей, выданных коммерческими аккредитованными удостоверяющими центрами.
Доверенная третья сторона
К началу страницы
Доверенная третья сторона (ДТС) – юридическое лицо, осуществляющее деятельность по проверке электронной подписи в электронных документах в конкретный момент времени в отношении лица, подписавшего электронный документ, для обеспечения доверия при обмене данными и электронными документами.
Функции и обязанности ДТС, а также требования к средствам ДТС, определены пунктом 17 статьи 2 Федеральным закона от 06.04.2011 № 63-ФЗ.
Юридические лица, претендующие на выполнение функций ДТС обязаны пройти процедуру аккредитации в соответствии со статьей 18.2 Федерального закона от 06.04.2011 № 63-ФЗ.
К основным функциям ДТС также относится деятельность по признанию электронных подписей, созданных в соответствии с нормами права иностранного государства и международными стандартами, которые соответствуют признакам усиленной электронной подписи.
Машиночитаемая доверенность
К началу страницы
Машиночитаемая доверенность (МЧД) – доверенность, созданная в электронной форме и подписанная квалифицированной электронной подписью доверителя (директор ЮЛ/ИП), имеющего право на выполнение действий от такого ЮЛ/ИП без доверенности (уполномоченный представитель ЮЛ/ИП).
Доверенность выдается для действия представителя по доверенности перед третьими лицами от имени и в интересах ЮЛ/ИП.
Для подтверждения полномочий сотрудника ЮЛ/ИП на выполнение действий от имени ЮЛ/ИП, необходимо представлять МЧД на его имя, подписанную электронной подписью уполномоченного представителя ЮЛ/ИП.
Положениями Федерального закона от 19.12.2022 № 536-ФЗ до 31 августа 2023 года юридическим лицам и индивидуальным предпринимателям введена отсрочка на обязательное применение МЧД, при условии, что электронный документ подписывается их представителями по доверенности, квалифицированный сертификат представителя получен в аккредитованном удостоверяющем центре, присутствующем в реестре Минцифры России, с указанием в нем в качестве владельца также физического лица, являющегося таким представителем.
Таким образом, до 31 августа 2023 года законодательством Российской Федерации установлен добровольный порядок применения машиночитаемой доверенности для юридических лиц и индивидуальных предпринимателей.
Форма МЧД должна соответствовать требованиям, утвержденным приказом Минцифры России от 18.08.2021 № 857 «Об утверждении единых требований к формам доверенностей, необходимых для использования квалифицированной электронной подписи».
Единый формат машиночитаемой доверенности разработан Минцифры России совместно с ФНС России при участии Федеральной нотариальной палаты, Федерального казначейства, Банка России и размещен на едином портале государственных и муниципальных услуг в информационно-телекоммуникационной сети «Интернет».
Также собственные формы МЧД могут быть определены и размещены на официальных сайтах операторами государственных и муниципальных информационных систем, для использования которых представляются документы, а также Центральным банком Российской Федерации на официальном сайте Центрального банка Российской Федерации в информационно-телекоммуникационной сети "Интернет".
Обмен МЧД через цифровую платформу распределенного реестра блокчейн
К началу страницы
ФНС России в сентябре 2023 года создала единственное в стране хранилище для машиночитаемых доверенностей (МЧД), подготовленных по базовому (002) и единому (003) формату. Хранилище построено на базе технологии распределенного реестра (блокчейн).
Машиночитаемая доверенность (МЧД) – это электронная доверенность на подписание документов или совершение действий, которая сформирована в виде понятного компьютеру документа. Такая доверенность позволяет автоматизировать проверку полномочий представителя.
Технология для единого хранения МЧД была запущена ФНС России в качестве эксперимента в сентябре 2021 года. Она позволяет создать среду цифрового доверия, где оперативный доступ к актуальным версиям документов для всех участников обеспечивается за счет технологии распределенного реестра. Такая модель является наиболее стабильной. Ее применение позволит унифицировать всю систему оборота машиночитаемых доверенностей и проверку полномочий для бизнеса и государства во всех секторах экономики.
Распределенный реестр – универсальная система оборота машиночитаемых доверенностей и проверки полномочий в стране для бизнеса и государства.
Цель единого хранилища – создать для хозяйствующих субъектов такие условия, чтобы использование электронных доверенностей было максимально удобно и не возникло проблем у пользователей при их электронном взаимодействии между собой или с органами власти.
Участники реестра – операторы узлов распределённого реестра блокчейн, хозяйствующие субъекты, органы государственной и муниципальной власти.
Цифровая платформа ФНС России (ЦПРР) на базе распределенного реестра блокчейн позволяет:
- создать единую цифровую среду доверия для всех категорий участников электронного документооборота;
- поддержать реформу электронной подписи, обеспечив бесшовный переход на новую технологию подтверждения полномочий подписанта;
- выстроить реестровую модель с распределенным хранением без единой точки отказа;
- обеспечить безусловную доступность и актуальность информации о полномочиях;
- организовать универсальную систему оборота машиночитаемых доверенностей и проверки полномочий в стране для бизнеса и государства;
- выстроить информационный обмен с Федеральной нотариальной палатой по предоставлению в единую цифровую среду доверия сведений из реестра нотариальных действий и реестра распоряжений об отмене доверенностей;
- оперативно уведомлять всех участников блокчейн-сети об изменениях с электронной доверенностью и не прикладывать саму доверенность к каждому документу.
Для удобства хозяйствующих субъектов создан бесплатный портал самообслуживания и размещен в сети «Интернет» по адресу
https://m4d.nalog.gov.ru/.
Для встраивания данной технологии в системы ЭДО организаций необходимо обращаться к любому участнику реестра, являющимся оператором узла распределенного реестра блокчейн, такая интеграция позволит организациям обмениваться машиночитаемыми доверенностями и проверять полномочия в автоматическом режиме (без участия человека).
Операторы узлов распределённого реестра блокчейн:
- Государственные структуры:
- Федеральное Казначейство
- Федеральная нотариальная палата
- Федеральная служба по контролю за алкогольным и табачным рынками
- Федеральная таможенная служба
- Центральный банк Российской Федерации
- Правительство Москвы
- Верховный Cуд Российской Федерации
- Государственная информационная система промышленности, оператор ГИСП - ГАУ «Российский фонд технологического развития»
- Федеральная служба государственной статистики
- Федеральная служба государственной регистрации, кадастра и картографии
- АО «Почта России»
- ОАО «РЖД»
- ГИС «ДМДК», оператором является АО «Гознак»
- ГИС «Капиталовложения», оператором является ФНС России
- Национальная система маркировки «Честный знак», ГИС «Маркировка товаров» и ИС «Мониторинг движения лекарственных препаратов»
- Центральная избирательная комиссия Российской Федерации
- Главный радиочастотный центр (ФГУП «ГРЧЦ»)
- Операторы электронного документооборота:
- АО «ПФ «СКБ Контур»
- ООО «Такском»
- АО «Калуга Астрал»
- ООО «Компания «Тензор»
- ООО «СберКорус»
- ООО «Оператор-ЦРПТ»
- АО «Точка»
- ООО «НТС Софт»
- ООО «АЙТИКОМ»
- ООО «Электронный экспресс»
- АО «НТЦ СТЭК»
- АО «Инфотекс Интернет Траст»
- ООО «Эдивеб»
- ООО «Э-КОМ»
- ООО «Эвотор»
- ООО «Форапром»
- ООО «ЭТП ГПБ»
- ООО «Финтендер-Крипто»
- «Петер-Сервис»
- ООО «Ати-доки»
- АО «НИИАС»
- ООО «Сберключ»
- ООО «Айк Диджитал Медиа»
- АО «ТЭК Торг»
- АО «Единая электронная торговая площадка»
- Кредитные организации:
- БАНК ВТБ (ПАО)
- АО «Альфа-Банк»
- Т-Банк (Тинькофф)
- ПАО Сбербанк
- ПАО «Совкомбанк»
- Иные крупные организации:
- ПАО «МТС»
- Фирма «1С»
- АО «Гринатом»
- АО «НТЦ СТЭК»
- Газинформсервис
- Аккредитованный удостоверяющий центр АО «АСТ»
Напомним:
1В августе 2022 года на
портале «Госуслуги» размещен разработанный ФНС России совместно с Нотариальной палатой формат базовой машиночитаемой доверенности, который учитывает последние поправки, внесенные в закон об электронной подписи от 06.04.2011 № 63-ФЗ (передоверие, выдачу доверенности в адрес ЮЛ и ИП).
2С декабря 2022 года участникам эксперимента стал доступен обмен МЧД, оформленными в порядке передоверия, в том числе и нотариально удостоверенных МЧД. Это значительно облегчает работу индивидуальным предпринимателям, филиалов организаций и различных представительств. Алгоритмы технологии блокчейн-сетей постоянно проверяют цепочки передоверия и своевременно уведомляют участников о прекращении действия МЧД или цепочек МЧД, если любая из них была аннулирована.
3После принятия
Федерального закона от 19.12.2022 № 536-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации», распоряжением ФНС России от 29.12.2022 № 411@ продлевается срок эксперимента по апробации технологии обмена машиночитаемыми доверенностями (МЧД) на цифровой платформе распределенного реестра блокчейн до 31 августа 2023 года.
4В апреле 2023 года на
портале «Госуслуги» размещен разработанный Минцифры России совместно с ФНС России при участии Федеральной нотариальной палаты, Федерального казначейства, Банка России универсальный формат машиночитаемой доверенности.
5В августе 2023 года ФНС России подвела итоги эксперимента и
запустила единственное в стране хранилище для машиночитаемых доверенностей (МЧД), подготовленных по единому формату. Хранилище построено на базе технологии распределенного реестра (блокчейн).
6В сентябре 2023 года для удобства работы с машиночитаемыми доверенностями
ФНС России запустила новый
специализированный портал. Хозяйствующие субъекты смогут создавать МЧД в едином формате для обмена как с государственными органами, так и между хозяйствующими субъектами. Также на портале можно проверить доверенность, созданную в сторонних сервисах, и загрузить ее в распределенный реестр ФНС России на хранение. Все доверенности, созданные по единому формату и загруженные через портал, будут храниться в едином блокчейн-хранилище ФНС России, что ускорит проверку таких документов при взаимодействии с государственными органами и с контрагентами.
Справочник полномочий, используемый при создании МЧД
К началу страницы
Машиночитаемая доверенность (МЧД) – это электронная доверенность на подписание каких-либо документов или совершение действий, которая сформирована в виде структурированного (понятного компьютеру) документа.
Такая доверенность позволяет автоматизировать проверку переданных полномочий, если в МЧД полномочия указаны из специального справочника (иначе машина не сможет понять и сравнить их).
Справочник полномочий — это перечень полномочий сотрудника, когда каждый вид полномочий имеет свой идентификационный номер, который следует указывать в машиночитаемой доверенности в соответствующем разделе. Кроме того, каждый вид полномочия содержит его уникальный код и наименование.
Так как МЧД – это структурированный документ в XML-формате, то сделать его собственноручно, без специального сервиса, сложно. Чтобы облегчить эту задачу, компании, которые предоставляют услуги по работе с электронными подписями и документами (в первую очередь, разработчики бухгалтерских программ и операторы электронного документооборота), предусмотрели специальные сервисы. Обычно подобные сервисы интегрированы в программы, где ведется учет деятельности Вашей компании.
Если Вы не смогли найти удобный сервис у коммерческой компании, то всегда сможете создать МЧД бесплатно в сервисе ФНС России. Обязательно подпишите полученный файл с МЧД электронной подписью генерального директора или лица, кто может работать без доверенности. Только теперь файлы с МЧД и электронной подписью можно направить на регистрацию в распределенный реестр ФНС России или передать своему поверенному (представителю).
Единая форма машиночитаемой доверенности
К началу страницы
Коллективным решением Минцифры России, ФНС России, Федерального казначейства, Банка России и Федеральной нотариальной палаты в апреле 2023 года создан единый формат машиночитаемой доверенности (версия формата 003, схема xml-валидации EMCHD_1).
В августе 2023 года Федеральная налоговая служба создала единственное в стране хранилище для таких машиночитаемых доверенностей (МЧД), т.е. подготовленных по единому формату. Хранилище построено на базе технологии распределенного реестра (блокчейн).
Новая форма объединяет электронные доверенности для обмена между организациями и с государственными органами (B2B и B2G) в единую машиночитаемую форму, согласованную с Федеральной нотариальной палатой. Ранее для сдачи электронной отчетности в контролирующие органы и для электронного документооборота между организациями и индивидуальными предпринимателями необходимо было использовать разные формы электронных доверенностей, часто не имеющие машиночитаемый вид.
Теперь все участники электронного взаимодействия должны ориентироваться на её единую форму. Нововведение касается также и нотариальных доверенностей.
Об успешном встраивании технологии распределенного реестра ФНС России для использования единой формы машиночитаемой доверенности (МЧД) в своих продуктах и информационных системах подтвердили ряд крупнейших разработчиков программного обеспечения, операторов государственных информационных систем и электронного документооборота:
- Фирма «1С», продукты «1С:Предприятие 8» и «1С:Клиент ЭДО».
- Национальная система маркировки «Честный знак», государственные информационные системы «Маркировка товаров» и «Мониторинг движения лекарственных препаратов».
- Оператор ЭДО Калуга Астрал, продукты «Астрал Доверенность», «Астрал Отчет 5.0», «Астрал Платформа».
- Оператор ЭДО Контур, продукт «Контур.Доверенность».
- Оператор ЭДО НТСсофт, продукт «МЧД.МИГ24».
- Оператор ЭДО Инфотекс Интернет Траст, продукт «TrustDoc».
- Оператор ЭДО Тензор, продукт «СБИС Машиночитаемая доверенность (МЧД)».
- Оператор ЭДО Такском, продукты «Такском – Управление Доверенностями», «Такском – Управление Сертификатами».
- Оператор ЭДО ITCOM, продукт «Айтиком.Доверенности».
- Оператор ЭДО СберКорус, продукт «МЧД», модуль «Доверенность» сервиса «СФЕРА Курьер».
- Оператор ЭДО ФораПром, продукт LeraData.
- Оператор ЭДО Эвотор ОФД, продукт Платформа МЧД.
- Оператор ЭДО Эдивеб, продукт Ediweb ID.
- Оператор ЭДО Э-КОМ, продукт Docrobot.МЧД.
Перечень будет обновляться.
Термины
К началу страницы
Электронная подпись – это аналог собственноручной подписи для подписания электронных документов.
Сертификат ключа проверки электронной подписи (сертификат электронной подписи, квалифицированный сертификат электронной подписи) – это электронный и бумажный документ, который подтверждает связь электронной подписи с ее владельцем (человеком или организацией). Сертификат содержит сведения о его владельце, открытый ключ, информацию о сроке действия сертификата, информацию о выдавшем электронную подпись удостоверяющем центре, серийный номер сертификата и иные сведения.
Открытый ключ (ключ проверки электронной подписи) – это уникальный набор символов (байт), сформированный средством электронной подписи и однозначно привязанный к закрытому (секретному) ключу. Открытый ключ необходим для того, чтобы любой желающий мог проверить электронную подпись на электронном документе. Он передается получателю электронного документа в составе файла электронной подписи и может быть известен всем.
Закрытый (секретный) ключ электронной подписи – это уникальный набор символов (байт), сформированный средством электронной подписи. Используется для формирования самой электронной подписи на электронном документе и хранится в зашифрованном виде на ключевом носителе. Доступ к закрытому ключу защищен паролем (PIN-кодом) и его нужно хранить в секрете.
Ключевая пара – это набор из открытого и закрытого ключей электронной подписи, однозначно привязанных к друг другу.
Ключевой носитель – это устройство для хранения закрытого ключа. Ключевой носитель внешне напоминает “флешку” для компьютера, но отличается по своим свойствам: память у него защищена паролем (PIN-кодом). Может иметь встроенное средство электронной подписи. В этом случае он является программно-аппаратным ключевым носителем и позволяет безопасно формировать электронную подпись на электронном документе. Хранить закрытый ключ также можно на компьютере пользователя.
Средство электронной подписи – это программно-аппаратное или только программное средство, предназначенное для создания ключевой пары, формирования и проверки электронной подписи на электронном документе. Его еще называют “криптопровайдером” или СКЗИ (средством криптографической защиты информации). Устанавливается на компьютерное устройство (мобильный телефон, смартфон, компьютер, планшет) или на ключевой носитель.
Противодействие мошенничеству в области применения электронной подписи
К началу страницы
Вы получили квалифицированный сертификат электронной подписи?
Будьте внимательны и осторожны!
Электронная подпись - это аналог собственноручной подписи, ключ к вашему имуществу, деньгам и репутации!
Получение квалифицированного сертификата электронной подписи по значимости даже важнее получения паспорта! Когда вы используете паспорт для совершения юридически значимых действий, вас идентифицируют, сравнивая ваше лицо с фотографией в паспорте. Электронная подпись (авторство электронного документа) обычно проверяется дистанционно, то есть предполагается, что никто кроме вас не может поставить вашу электронную подпись на электронный документ. Усиленная квалифицированная электронная подпись (УКЭП) признается равнозначной «живой» подписи (ч. 2 ст. 6 Федерального закона от 06.04.2011 № 63-ФЗ).
Поэтому если кто-то использует вашу электронную подпись вместо вас, юридически это расценят как ваши действия. В этом разделе описаны различные жизненные ситуации, которые могут привести к мошенничеству с УКЭП. ФНС России обращает внимание, что это не список потенциальных преступлений, а перечень ситуаций, когда стоит быть особенно внимательным.
Что произойдет, если ваша электронная подпись попадет в руки злоумышленников?
- На ваше имя могут оформить микрокредиты;
- Ваш автомобиль могут продать без вашего ведома;
- Вас могут сделать номинальным руководителем фирмы-однодневки;
- Если вы владелец организации, ее могут переоформить на другое лицо, вывести деньги компании на другой счет, незаконно возместить НДС;
- Вместо вас могут подписать любые документы;
- Вас могут привлечь к ответственности за нарушение законодательства Российской Федерации в области электронной подписи.
Выпуск электронной подписи при оказании сервисных услуг в качестве дополнительной услуги, без надлежащего информирования заявителя («УКЭП в придачу»)
Современный рынок диктует условия – сервис должен быть простым, понятным и проактивным. Организации, которые оказывают предпринимателям различные услуги, будь то регистрация ККТ или помощь в оформлении расчетного счета, в борьбе за клиента стараются сделать обслуживание максимально комфортным. При этом в погоне за простотой и удобством часто опускаются важные детали. Например, могут не обратить внимание клиента на то, что при регистрации в качестве индивидуального предпринимателя необходимо подписать от его имени электронные документы. То есть сертификат электронной подписи выпускается, но клиент даже не знает об этом.
В таких случаях заявление на выпуск УКЭП, как и согласие на обработку персональных данных присутствуют в общей массе документов, которые подписываются при заключении договора на получение услуг. Либо такого рода дополнительная услуга прописана в договоре, но при этом не привлекает внимание, так как документ объемный, формулировки – нечеткие, а представитель обслуживающей организации не дает никаких дополнительных устных пояснений.
Дальше события могут развиваться в зависимости от добросовестности организации. УКЭП могут выдать вам на носителе с пакетом документов об оказании услуги, а могут хранить ее в «облачном» хранилище организации. УКЭП могут аннулировать сразу после оказания услуги, а могут продолжить использовать ее для совершения юридически значимых действий от вашего имени.
Как избежать получения "УКЭП в придачу":
- прочитайте внимательно договор и другие документы в рамках сделки;
- обратите внимание, есть ли там слова "электронная подпись";
- обратите внимание на условия выдачи УКЭП, как она хранится и аннулируется, кто обеспечивает ее сохранность;
- спросите у представителя обслуживающей организации: можно ли отказаться от выпуска УКЭП и для чего это вообще требуется.
Далее действуйте по ситуации, оценив риски возможной компрометации электронной подписи в рамках предложенных условий.
Проверить, не выпущена ли на ваше имя УКЭП, можно в личном кабинете на Едином портале государственных и муниципальных услуг (Госуслуги). В разделе «Настройки и безопасность» необходимо выбрать «Электронная подпись». Здесь содержатся данные о выдавшем на ваше имя квалифицированную электронную подпись удостоверяющем центре, ее серийном номере и сроке действия.
Если вам стало известно о выдаче УКЭП на ваше имя без вашего ведома или о факте компрометации, то НЕМЕДЛЕННО аннулируйте ее, обратившись в удостоверяющий центр, в котором данная УКЭП выпущена.
Если есть подозрение о мошенничестве с вашей электронной подписью, то обращайтесь в полицию. Если в полиции откажутся возбуждать дело, то можно обратиться в прокуратуру и Минцифры.
Меры предосторожности
Не передавайте ключевой носитель третьим лицам, даже тем, кому вы доверяете!
Если вы руководитель организации и ваш сотрудник должен подписывать документы с помощью электронной подписи, обеспечьте его собственным ключевым носителем с закрытым ключом электронной подписи и сертификатом на его имя, а также выдайте доверенность на подписание документов.
Обеспечьте надежное хранение носителя с электронной подписью (ключевой носитель), которое исключает доступ к нему посторонних лиц (например, храните его в сейфе). Не оставляйте ключевой носитель подключенным к компьютеру без присмотра.
При потере или краже ключевого носителя незамедлительно обратитесь с заявлением на отзыв сертификата в удостоверяющий центр, который его выдал.
Замените «заводской» пароль (PIN-код) ключевого носителя на свой собственный при получении электронной подписи, как вы это делаете с банковской картой. Обеспечьте надежное хранение пароля, исключите доступ к паролю любых лиц.
Внимательно читайте документы при оформлении различных сервисов в организациях, оказывающих услуги для бизнеса и банках. Если вы видите в тексте соглашения словосочетание “электронная подпись”, уделите этому разделу особое внимание. Возможно, на вас оформят сертификат электронной подписи, закрытый ключ от которой будет храниться в недоступном для вас месте. Если к этому ключу будет доступ у третьих лиц, не исключено, что за вас и без вашего ведома могут подписать какие-либо документы в электронной форме.
Не соглашайтесь на предложения выдать электронную подпись без личной явки при первичном ее получении. Во-первых, это незаконно. Во-вторых, закрытый ключ могут скопировать, и так же, как в предыдущем сценарии, использовать его без вашего ведома для формирования электронной подписи на электронном документе.
Регулярно проверяйте информацию о выпуске на ваше имя сертификатов электронных подписей на Едином портале государственных и муниципальных услуг (Госуслуги). Информация о выпущенных на ваше имя электронных подписях и удостоверяющих центрах, которые их выпустили, размещены на сайте «Госуслуги» в вашем личном кабинете в разделе "Настройки и безопасность" => "Электронная подпись".
Что делать, если произошло мошенничество с использованием электронной подписи, выданной на ваше имя?
Незамедлительно обратитесь в удостоверяющий центр, который выдал этот сертификат электронной подписи на ваше имя, и напишите заявление на его аннулирование! Это не позволит злоумышленникам в дальнейшем совершать мошеннические действия с использованием этого сертификата.
Если злоумышленники за вас сдали отчетность, как можно скорее подайте в налоговую инспекцию заявление в произвольной форме о недостоверности сведений. Это можно сделать как при непосредственном посещении налоговой инспекции, так и по почте или через интернет.
Если на ваше имя зарегистрировано юридическое лицо или ИП, следует незамедлительно внести в реестр ЕГРЮЛ или реестр ЕГРИП информацию о недостоверности данных о вас, как о руководителе. Для этого в налоговую инспекцию следует направить заявление о недостоверности сведений о юридическом лице или ИП по форме № Р34001 (рекомендуем направить такое заявление непосредственно в инспекцию по месту регистрации юридического лица или ИП). Это можно сделать как при непосредственном посещении инспекции, так и по почте или через интернет.
Если вы потеряли пароль доступа к закрытому ключу (PIN-код) или сам ключевой носитель, или он сломан, то необходимо приостановить бизнес-процессы электронного документооборота до перевыпуска электронной подписи.
Если действия посторонних лиц с вашей электронной подписью причинили ущерб, от вашего имени совершена незаконная сделка в электронной форме, подписаны значимые документы в электронной форме, то необходимо обратиться с заявлением в полицию или прокуратуру и зафиксировать факт такого события. Возьмите с собой копии документов, выданных удостоверяющим центром при получении электронной подписи (при наличии). Также вы можете обратиться в суд и аннулировать договор или признать документы недействительными.
Применение электронной подписи
К началу страницы
Электронную подпись выдают удостоверяющие центры. Это специализированные организации, аккредитованные Министерством цифрового развития, связи и массовых коммуникаций¬. Для получения сертификата электронной подписи необходимо обратиться в такую организацию, заполнить заявление и предоставить необходимые документы. Для подписания электронных документов необходимо использовать специализированную программу - средство электронной подписи.
Для получения сертификата электронной подписи необходимо пройти идентификацию. Затем создается ключевая пара, записывается закрытый ключ на ключевой носитель, и удостоверяющий центр выдает вам сертификат ключа проверки электронной подписи, который подтверждает, что вы являетесь владельцем выданной электронной подписи.
Если вы используете программно-аппаратный ключевой носитель, вы можете самостоятельно создать ключевую пару для предоставления в удостоверяющий центр и получить в удостоверяющем центре ваш сертификат ключа проверки электронной подписи.
Удостоверяющий центр обязан провести идентификацию вашей личности – в вашем присутствии либо дистанционно. Дистанционно - при наличии у вас действующей квалифицированной электронной подписи, биометрического паспорта гражданина, подтвержденной учетной записи на Едином портале государственных и муниципальных услуг (Госуслуги) или учетной записи в Единой биометрической системе России (ЕБС).
При подписании электронного документа формируется уникальный набор символов (hash), однозначно привязанный к содержанию электронного документа и созданный средством электронной подписи путем обработки этого электронного документа с помощью различных криптографических алгоритмов. Такой уникальный набор символов неразрывно связан с электронным документом: в случае изменения электронного документа, даже незначительного, например, добавления в текст пробела, электронный документ уже не будет соответствовать этому уникальному набору символов.
Средство электронной подписи шифрует уникальный набор символов (hash), используя ваш закрытый ключ. Зашифрованный уникальный набор символов и есть электронная подпись на электронном документе. Она может быть, как встроенной в электронный документ, так и отсоединенной от него и преобразованной в отдельный файл.
При направлении адресату подписанного электронного документа (документ + подпись) необходимо направлять еще сертификат ключа проверки электронной подписи, полученный вами в удостоверяющем центре, чтобы обеспечить адресату возможность проверки авторства и неизменности документа.
При проверке подписанного электронного документа используется средство электронной подписи, которое:
- расшифровывает уникальный набор символов (hash), содержащийся в электронной подписи проверяемого электронного документа;
- формирует уникальный набор символов путем обработки проверяемого электронного документа с помощью различных криптографических алгоритмов;
- сравнивает указанные выше уникальные наборы символов (hash). Их соответствие друг другу является подтверждением того, что в проверяемый электронный документ не вносились изменения после его подписания электронной подписью;
- проверяет соответствие электронной подписи в проверяемом электронном документе и направленному вместе с ним сертификату ключа проверки электронной подписи, подтверждая авторство электронного документа;
- проверяет действительность сертификата ключа проверки электронной подписи, обращаясь к корневому сертификату (главному сертификату проверки) вашего удостоверяющего центра (не был ли отозван, не истек ли срок его действия, является ли ваш удостоверяющий центр аккредитованным Министерством цифрового развития, связи и массовых коммуникаций).
Если хотя бы одна из проверок завершится с ошибкой, средство электронной подписи сообщит, что электронная подпись на электронном документе недействительна и авторство электронного документа не подтверждено.
Применение электронной подписи регулируется федеральным законом "Об электронной подписи" от 06.04.2011 N 63-ФЗ.
Необходимые документы для получения квалифицированного сертификата электронной подписи
Физическому лицу (Гражданину РФ):
- Российский паспорт (оригинал или заверенная копия);
- Заявление на выдачу сертификата (только оригинал);
- Страховое свидетельство Пенсионного Фонда (СНИЛС) (оригинал или заверенная копия);
- Свидетельство ИНН.
Юридическому лицу (в качестве владельца указана организация и генеральный директор организации):
- Российский паспорт генерального директора (оригинал или заверенная копия);
- Заявление на выдачу сертификата генерального директора (только оригинал);
- Страховое свидетельство Пенсионного Фонда (СНИЛС) генерального директора (оригинал или заверенная копия);
- Свидетельство ИНН генерального директора.
Юридическому лицу (в качестве владельца указана организация и уполномоченное лицо):
- Российский паспорт уполномоченного лица (оригинал или заверенная копия);
- Заявление на выдачу сертификата уполномоченного лица (только оригинал);
- Страховое свидетельство Пенсионного Фонда (СНИЛС) уполномоченного лица (оригинал или заверенная копия);
- Свидетельство ИНН уполномоченного лица;
- Доверенность на право подписи (оригинал или заверенная копия);
- Доверенность на получение сертификата (оригинал или заверенная копия).
Методологические рекомендации по использованию носителей ключевой информации (защищенных ключевых носителей)
К началу страницы
Неотъемлемой частью юридически значимого электронного документооборота является электронная подпись. Безопасность электронной подписи зависит от:
Рекомендуется использовать защищенные носители ключевой информации (далее - ключевые носители), которые, в свою очередь, делятся на пассивные (с защитой данных только по PIN-коду) и активные (со встроенными на аппаратном уровне функциями средства криптографической защиты информации, далее - СКЗИ).
Соблюдение настоящих методологических рекомендаций по использованию ключевых носителей поможет защитить участников электронного документооборота от рисков:
- получение несанкционированного доступа третьих лиц к закрытому ключу для создания его копии;
- подписания электронных документов третьими лицами от имени владельца электронной подписи;
- хищение ключевого носителя или его уничтожение.
Экспортируемые и неэкспортируемые закрытые ключи
Свойство экспортируемости или неэкспортируемости закрытого ключа присваивается на этапе формирования закрытого ключа и записи его на ключевой носитель. Указанное свойство может быть реализовано в средствах электронной подписи и управляться его настройками, которые следует установить до формирования закрытого ключа.
Для экспортируемых закрытых ключей доступно их копирование, что несет риски нарушения конфиденциальности закрытого ключа.
Для копирования закрытого ключа нарушителю потребуется получить физический доступ к ключевому носителю и узнать пароль (PIN-код).
Возможность копирования закрытого ключа создаёт риск возникновения неучтенных копий, усложняет контроль за его хранением, использованием и уничтожением. Также указанное усложняет определение возможного нарушителя, особенно когда нарушитель начнет использовать копию не сразу.
Неэкспортируемые закрытые ключи обладают большей защищенностью, так как записанный на ключевой носитель закрытый ключ не подлежит копированию при помощи стандартных СКЗИ. Получение доступа к такому ключу требует применения специальных средств и техники.
Извлекаемые и неизвлекаемые закрытые ключи
Свойство неизвлекаемости закрытого ключа достигается способом его создания и хранения, и напрямую зависит от вида ключевого носителя. Для обеспечения свойства неизвлекаемости закрытого ключа используются только активные ключевые носители, содержащие в себе аппаратно реализованные функции СКЗИ, при использовании которых создается и используется неизвлекаемый закрытый ключ.
Для некоторых ключевых носителей существует возможность записи закрытого ключа на активные ключевые носители сторонними СКЗИ (установленными локально на компьютерное устройство или непосредственно в информационной системе удостоверяющего центра) и, в таком случае, такой носитель применяется как пассивный ключевой носитель, который может обеспечить только свойство неэкспортируемости закрытого ключа.
К извлекаемым закрытым ключам относятся все виды закрытых ключей, за исключением неизвлекаемых, включая экспортируемые и неэкспортируемые.
Пассивный ключевой носитель
Виды реализации: носитель с USB интерфейсом, носитель с бесконтактным интерфейсом (NFC интерфейс), смарт-карта.
Для доступа к защищенному содержимому данного ключевого носителя необходимо ввести пароль (PIN-код). Закрытый ключ хранится в ключевом контейнере на ключевом носителе. Пароль (PIN-код), которым защищён от доступа закрытый ключ на таком носителе, при получении следует изменить, обеспечить его надежное хранение и исключить доступ к паролю любых лиц.
При подписании электронного документа с использованием пассивного носителя и средства электронной подписи вычисляется уникальный набор символов - хэш документа, однозначно связанных с содержанием электронного документа. Далее закрытый ключ копируется в память компьютерного устройства, где с его помощью средство электронной подписи выполняет криптографические операции формирования электронной подписи – подписание электронного документа. По завершении процедуры подписания закрытый ключ удаляется из памяти компьютерного устройства. Процедура подписания электронного документа происходит незаметно для пользователя в течение нескольких секунд.
На ключевом носителе установлено ограничение попыток неправильного ввода пароля (PIN-кода) и при превышении такого лимита ключевой носитель блокируется. Несмотря на это пассивный ключевой носитель обладает средним уровнем защищенности от атак злоумышленников – в момент подписания документа образуется короткий промежуток времени, когда закрытый ключ находится в памяти компьютерного устройства, где существует возможность его перехвата злоумышленником с высоким уровнем технических знаний и/или с использованием специальных технических средств. Для исключения такого вида атак существует активный ключевой носитель.
Активный ключевой носитель (криптографический ключевой носитель)
Виды реализации: носитель с USB интерфейсом, носитель с бесконтактным интерфейсом (NFC интерфейс), смарт-карта.
Активный ключевой носитель содержит в себе функции СКЗИ. Закрытый ключ на таком ключевом носителе хранится в защищенном ключевом контейнере и в специальном внутреннем формате.
У такого носителя существует ряд технических преимуществ перед пассивным ключевым носителем:
- создание закрытого ключа происходит на самом носителе с использованием аппаратных криптографических функций ключевого носителя;
- при подписании электронного документа закрытый ключ не копируется в память или реестр компьютерного устройства – подписание электронного документа происходит на самом ключевом носителе;
- закрытый ключ ни в какой момент времени не покидает ключевой носитель.
Вычисление значения хэш документа может происходить на компьютерном устройстве, а итоговое формирование электронной подписи только на самом активном ключевом носителе.
Компрометация закрытого ключа на таком носителе возможна только в случае его хищения вместе с паролем (PIN-кодом).
Активный ключевой носитель (криптографический ключевой носитель) обладает высоким уровнем защищенности от атак злоумышленников. Риск атаки «подмена хэша» злоумышленником присутствует, но такие случаи крайне редки.
Технические меры предосторожности
При выборе вида ключевого носителя для хранения закрытого ключа электронной подписи следует учитывать, что электронная подпись считается равнозначной собственноручной подписи в случаях, установленных Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи». Рекомендуется использовать ключевые носители с наивысшей степенью защиты закрытого ключа.
Рекомендуется сменить пароль доступа к ключевому носителю (PIN-код), установленный его изготовителем, на уникальный – известный только владельцу электронной подписи. Рекомендуемая длина пароля – не менее 6 символов с использованием специальных символов, прописных и строчных латинских букв. Рекомендуется периодическая смена пароля.
Не рекомендуется при выборе пароля основываться на типовых шаблонах и идущих подряд на клавиатуре или алфавите символов (qwerty, abcde, 12345 и другие) на каком-либо идентификаторе, паспортных данных, кличек питомцев и подобных ассоциаций.
Не рекомендуется активировать функцию «запомнить пароль» в средствах электронной подписи и настройках программного обеспечения, которое необходимо для использования ключевого носителя.
Организационные меры предосторожности
Не рекомендуется в рамках организации процедур безопасной работы с ключевым носителем:
- передавать ключевой носитель третьим лицам;
- записывать пароль доступа к ключевому носителю (PIN-код) на бумаге или непосредственно на ключевом носителе, запоминать пароли в реестровой памяти систем электронных устройств и хранить парольную информацию в общедоступных местах;
- оставлять ключевой носитель без присмотра в доступных или общественных местах;
- оставлять без присмотра ключевой носитель в компьютерном устройстве, на котором осуществляется подписание электронных документов (usb-порты в системном блоке компьютера, ноутбука, планшета или других электронных устройствах).
Рекомендуется в рамках организации процедур безопасной работы с ключевым носителем:
- при необходимости, обеспечивать сотрудников организации, не имеющих права действовать без доверенности, их персональными закрытыми ключами и сертификатами электронной подписи, с наделением их правом подписи распорядительными документами организации путем оформления доверенности;
- хранить ключевой носитель в недоступном для третьих лиц месте;
при потере или краже ключевого носителя незамедлительно обратиться в удостоверяющий центр, выпустивший сертификат электронной подписи, и прекратить действие такого сертификата электронной подписи, и, не дожидаясь завершения процедуры аннулирования, уведомить контрагентов о том, что утраченный сертификат с соответствующим серийным номером, считается уже недействительным.
Электронная подпись: просто о сложном
К началу страницы
Раздел пополняется.