Что поможет обнаружить нелегитимные платежи если украден криптографический ключ
Что и как преступники пытаются сделать с вашей ЭЦП
Цифровая экономика не только обеспечивает участников новыми возможностями, но и создает новые риски. Нестареющее правило «предупрежден — значит вооружен» здесь как никогда актуально.
Электронная подпись — это инструмент, снабженный максимальной «броней» от компрометации. Конечно, при условии ее корректного использования владельцем и недопущения злоумышленника к критическим точкам. Но даже это не мешает преступникам находить лазейки и использовать пресловутый человеческий фактор, позволяющий противоправно обогащаться за счет других.
Преступных схем огромное количество, иногда удивление вызывает фантазия мошенников, а иногда наивность владельцев ЭП.
Варианты мошенничества с электронной подписью
1.1. Кража носителя — простая, как 5 копеек, схема, когда преступник похищает usb-токен, что позволяет ему свободно использовать чужую электронную подпись.
— установка пользовательского пароля — напомним, что носители выпускаются со стандартными заводскими паролями, которые находятся в свободном доступе в интернете и, соответственно, их важно заменить на числовую комбинацию, известную только владельцу. После 3 попыток злоумышленника подобрать пароль, usb-токен заблокируется.
1.2. Добровольная передача своей ЭП другому лицу — исходя из безграничного доверия, а скорее всего из-за непонимания возможных последствий, уполномоченные лица вместо делегирования прав совершать определенные действия передают подчиненным свою электронную подпись. Случаи, когда главные бухгалтера приводили компании к грани банкротства, выводя капитал с помощью ЭП директоров, до сих пор происходят с завидной регулярностью. Мошенническая схема может быть развернута и одномоментно, и отложено. Одномоментно — злоумышленник может использовать электронную подпись непосредственно во время нахождения у него чужого usb-токена. Отложено — в случае если закрытый ключ ЭП является извлекаемым, преступник может скопировать его и использовать в дальнейшем, уже после возврата носителя владельцу.
— никогда, никому и ни при каких обстоятельствах не передавать свою электронную подпись — наверное, самое простое правило, которым, к сожалению, часто пренебрегают. Обычно отговоркой служит желание сэкономить денежные средства в размере стоимости ЭП и время, необходимое на оформление доверенности. Но нельзя забывать насколько это малые величины в сравнении с рисками.
1.3. Наличие на токене недекларированных возможностей («закладок») — получение несертифицированных ключевых носителей из ненадежных источников чревато наличием в программном обеспечении не заявленных в документации включений. Через эти «кротовые норы» преступники могут похитить закрытый ключ электронной подписи.
— приобретение сертифицированных ФСТЭК носителей — удостовериться в отсутствии «закладок» можно с помощью просвечивания usb-токена рентгеном, что осуществляется в лабораториях Федеральной службы технического и экспортного контроля. Если в результате исследования не было выявлено «закладок», то ключевой носитель признается безопасным и на него выпускают сертификат ФСТЭК.
2) Технологичные преступления — для реализации подобных противоправных схем от мошенников в первую очередь требуются навыки в области IT-технологий и информационной безопасности.
2.1. Внедрение злоумышленника в «машину» владельца электронной подписи — мошенник, получивший доступ к компьютеру или ноутбуку жертвы может похитить ключ, скопировав его, в случае если он извлекаемый, или использовать ЭП без ведома владельца. Например, шпионская программа (Remote Access Tool или сокращенно RAT — на слэнге некоторых IT-специалистов «крыса») может перехватывать параметры вызовов функций, данные, которыми обмениваются приложения и прочее. Соответственно, это позволит преступнику узнать пароль токена и получить доступ к электронной подписи, хранящейся на нем.
— выполнение правил информационной гигиены — не переходить по подозрительным ссылкам (обратите внимание, что в письме может быть написан адрес надежного сайта, но при наведении курсором может высветиться совершенно другой адрес гиперссылки), не скачивать программы и файлы из ненадежных источников, не пользоваться потенциально зараженными флешками, установить на компьютер или ноутбук антивирусную программу и прочее. Кроме этого, следует упомянуть о важности корректной работы службы администрирования и информационной безопасности в компаниях.
2.2. Компрометация канала связи «токен-машина» — если злоумышленник проникает в канал передачи данных от usb-токена к компьютеру или ноутбуку, то это грозит, в зависимости от типа ключевого носителя, и компрометацией пароля, и компрометацией ключа.
— выполнение правил информационной гигиены + ФКН — способ предотвратить реализацию подобной схемы, аналогичен предыдущему. В качестве дополнительного средства обезопасить электронную подпись от компрометации можно упомянуть функциональный ключевой носитель (ФКН). ФКН отличается тем, что разделяет вычисления во время генерации ЭП между пользовательским приложением и токеном таким образом, что данные, которые передаются по каналу связи, не позволят преступнику сделать никаких выводов ни о ключе, ни о пароле.
3) Социальные преступления — мошеннические схемы, основанные на личных качествах людей, их способности имитировать других, вводить в заблуждение, подделывать документы. Подобные нарушения в большинстве своем сложно предупредить, но всем действующим и потенциальным владельцам ЭП нужно знать, что рынок нашел способ борьбы и с подобными преступлениями.
3.1. Получение электронной подписи другим человеком — преступник может завладеть документами нужного лица (найти, украсть) и, используя максимально похожего на него соучастника, получить ЭП.
— ответственное отношение к документам — необходимо хранить документы в надежных местах, а в случае их кражи незамедлительно сообщать в правоохранительные органы. Наличие заявления о потере или о краже будет дополнительным аргументов в случае судебного разбирательства по неправомерному выпуску ЭП и совершению значимых действий с ней. Доказательством того, что пострадавшее лицо не заполняло заявки на получение электронной подписи, будет графологическая экспертиза подписи.
3.2. Получение электронной подписи по поддельным документам и доверенности — регламент рынка электронной подписи подразумевает обязательную личную явку при первичном получении ЭП, а при повторном выпуске забрать ее можно, предоставив копии необходимых документов и доверенность. Этим и могут воспользоваться мошенники, подделав бумаги.
3.3. Недобросовестность сотрудников удостоверяющих центров — как и в любой системе, будь то правоохранительная, судебная или любая другая, ее рядовые пользователи зависят от тех, кто наделен полномочиями. Вот он наиболее негативный человеческий фактор — беззащитность перед находящимся «внутри» преступником. При подобных проникновениях любая система выходит из равновесия, и одна из самых надежных и легко приводимых в норму — это система выпуска электронной подписи.
Нейтрализация схем 3.2. и 3.3.:
— ответственное выполнение сотрудниками УЦ своих обязанностей — в этих случаях предотвращение возможно только внутри удостоверяющих центров при помощи слаженной работы менеджеров, выпускающих ЭП, служб информационной безопасности, подбора персонала и коллег потенциального злоумышленника, что и происходит на современном рынке ЭП. Но это по-прежнему не исключает человеческого фактора на 100%.
Но почему же эта система одна из самых надежных и легко приводимых в норму?
Во-первых,потому что удостоверяющие центры ввиду своей материальной ответственности крайне внимательно относятся к проверке документов заявителей, таким образом, минимизируя риски.
Предложение по улучшению системы выдачи ЭП от портала iEcp.ru: на текущий момент проверка предоставляемых заявителями документов проводится силами сотрудников УЦ. СМЭВ и ЕСИА могут оптимизировать эту работу. Напомним, что СМЭВ — это система межведомственного взаимодействия, в которой циркулируют документы россиян между государственными структурами (МВД, ФНС и т.д.); ЕСИА — это единая система идентификации и аутентификации, которая является частью СМЭВ, с ее помощью можно подтверждать свою личность в различных структурах (банки, удостоверяющие центры и т.д.). Таким образом, предоставление удостоверяющим центрам расширенного доступа к ЕСИА позволит еще быстрее и точнее подтверждать личность заявителей и проверять документы.
Схемы-«единороги»
1) ЭП могут скопировать с подписанного электронного документа.
2) Теория заговора удостоверяющих центров, которые используют электронные подписи своих клиентов.
Выше уже была приведена аргументация, почему это не так.
3) Закрытый ключ ЭП могут подобрать с помощью открытого, что позволит мошенникам использовать подпись.
Дина ключа составляет 256 бит и, на самом деле, закрытый ключ можно рассекретить методом подбора, используя открытый ключ, но мощности современной вычислительной техники, включая суперкомпьютеры, не позволят этого сделать раньше, чем закончится срок действия ЭП.
Редакция «Клерка» получила информацию от источников в ФНС о том, что в 2022 году налоговики начнут массово снимать расходы компаний.
Чтобы подготовить вас к непростому 2022 году, «Клерк» оперативно разработал уникальный курс по защите при налоговых проверках. Записаться и получить подарок тут.
Что делать, если украли электронную подпись?
Мы подготовили инструкцию о том, что делать, если вы потеряли электронную подпись или она оказалась в руках посторонних. Узнайте, как обнаружить пропажу и куда обратиться, чтобы остановить злоумышленников.
Потеря или кража электронной подписи (ЭП) — редкая, но неприятная для владельца подписи ситуация. Чтобы минимизировать ущерб, нужно быстро заметить пропажу и отозвать сертификат. Как выявить пропажу, что делать дальше и каких последствий опасаться — рассказываем в статье.
Как понять, что электронная подпись пропала
Потеря и кража ЭП (или ЭЦП) очевидна, если из вашего офиса вынесли сейф, в котором лежал токен с подписью, носитель пропал из ящика тумбочки или вы думаете, что потеряли электронную подпись. Сложнее заметить пропажу подписи, если ее закрытый ключ скопировали с компьютера или подпись тайком оформил тот, кто завладел вашим паспортом.
С 1 июля 2020 года электронная подпись стала еще более недоступным инструментов для мошенничества. Теперь нельзя получить электронную подпись за другого человека — владелец подписи должен лично встретиться с сотрудниками удостоверяющего центра и подтвердить свою личность.
О компрометации или краже электронной подписи можно узнать несколькими способами:
Главное — если подозреваете, что электронная подпись скомпрометирована, электронный ключ утерян или им кто-то завладел без вашего ведома, отзовите сертификат подписи в удостоверяющем центре и примите меры, описанные ниже.
Что делать, если украли электронную подпись: инструкция
Шаг 1. Отзовите сертификат в удостоверяющем центре
Напишите в УЦ заявление на отзыв сертификата ЭП, как только поймете, что ваша подпись попала в руки посторонних. Чем раньше вы аннулируете сертификат, тем меньше незаконных операций от вашего имени они проведут.
Шаг 2. Подайте в налоговую заявление о недостоверности данных
Это шаг для тех, от чьего имени незаконно подали налоговую декларацию, зарегистрировали компанию или совершили другое действие в налоговой.
Если за вас сдали отчетность, как можно скорее посетите ближайшую налоговую инспекцию и подайте заявление в произвольной форме о недостоверности сведений.
Если на вас зарегистрировали компанию, то нужно посетить налоговую инспекцию, в которой на учете стоит фиктивная организация. Узнать, в какую именно, можно в выписке из ЕГРЮЛ. Подайте заявление в произвольной форме о том, что не регистрировали юрлицо. Что нужно указать в заявлении, разъяснила налоговая.
Шаг 3. Подайте заявление в полицию
Если действия посторонних с вашей электронной подписью причинили ущерб, то подайте заявление в полицию по месту своего жительства или по месту нахождения налоговой инспекции, в которой зарегистрировали фиктивное юрлицо. К заявлению приложите копии документов из УЦ. Если в полиции откажутся возбуждать дело, то можно обратиться в прокуратуру и Минкомсвязь.
Возможно от вашего имени успеют провести незаконную сделку или подписать значимые документы. Тогда вы можете обратиться в суд и аннулировать договор или признать документы недействительными. Так, в октябре 2019 года суд признал недействительным договор купли-продажи квартиры, которую мошенники украли у москвича с помощью электронной подписи. Разбирательство заняло около полугода.
Как отозвать электронную подпись
Если вы потеряли ЭЦП или ее у вас украли, как можно скорее отзовите сертификат. Тогда посторонние люди не смогут им воспользоваться. Для этого напишите заявление на отзыв сертификата и передайте его в удостоверяющий центр, выпустивший сертификат.
Бланк для заявления вам выдадут в офисе УЦ, на нем нужно будет поставить свою рукописную подпись и печать компании. Также бланк можно заранее получить по электронной почте. Для этого позвоните в техподдержку УЦ. Еще один способ получить бланк — скачать с сайта УЦ. Для клиентов удостоверяющего центра СКБ Контур форма для заявления опубликована в разделе «Документы».
Сертификат будет отозван в течение 12 часов с момента, как УЦ примет ваше заявление. Проверить это можно на сайте удостоверяющего центра — там будет опубликован список отозванных сертификатов. Списки обновляются каждые 12 часов.
Большинство УЦ без проблем отзывают подпись по заявлению владельца. Но если УЦ откажется прекращать действие сертификата, необходимо обратиться в Минкомсвязь или суд. Когда в суде будет доказано, что законный владелец потерял ключ электронной подписи или просто им не владеет, УЦ будет обязан аннулировать сертификат.
Что будет, если не отозвать электронную подпись
Злоумышленники редко охотятся за электронными подписями физлиц, поскольку риск быть пойманным очень высок, а суммы махинаций сравнительно небольшие. Однако с такой подписью они могут открыть фиктивные фирмы или ИП, оформить кредит и подписать любые документы вместо владельца.
Раньше мошенники также могли украсть квартиру с помощью ЭП, однако теперь это невозможно. С 12 августа 2019 года электронная продажа квартир, которыми владеют физлица, запрещена по умолчанию. Чтобы провести сделку онлайн, собственник должен сначала передать свое согласие в Росреестр — лично или по почте. Нет согласия на электронные сделки — нет возможности украсть недвижимость с помощью подписи.
Для юридических лиц последствия кражи электронной подписи более серьезные. Чаще всего мошенникам интересны ЭП руководителя, бухгалтера или сотрудника с генеральной доверенностью — с ними можно провести махинации на большие суммы:
Чтобы минимизировать эти риски или полностью избежать их, нужно отзывать сертификат ЭП, как только стало известно о краже или утере электронного ключа.
Помните, что действия мошенников с ЭП можно аннулировать. Суды часто встают на сторону потерпевших и признают недействительным договор, подписанный украденной электронной подписью. Также благодаря тому, что мошенник «засветился» в УЦ при получении незаконной ЭП, полиция с высокой вероятностью найдет его и поможет возместить ущерб.
Как защитить электронную подпись от мошенников: правила безопасности
Электронная подпись — надежный инструмент для работы. Но при неосторожном обращении она открывает возможности для злоумышленников. Какие правила нужно соблюдать при работе с электронной подписью, чтобы уберечься от мошенничества.
Что такое ЭП, КЭП и для чего они нужны
Электронная подпись (ЭП или ЭЦП) — это электронные данные в документе, которые заменяют собственноручную подпись. Больше всего возможностей у квалифицированной электронной подписи (КЭП). Предприниматели используют ее, чтобы отправлять отчетность в налоговую, участвовать в электронных торгах, получать госуслуги и вести электронный документооборот.
КЭП подтверждает, что документ подписан конкретным человеком и придает ему юридическую силу. Она также гарантирует, что в документ никто не вносил изменения после подписания.
КЭП выдают только удостоверяющие центры (УЦ), которые имеют аккредитацию Минкомсвязи. Например, ее можно получить в Удостоверяющем центре Контура или в Центре выдачи электронных подписей в Москве. УЦ соблюдают правила безопасности — этого от них требует закон и госорганы, — удостоверяют личность будущего владельца ЭП, проверяют его документы через государственные базы. А в случае нарушений УЦ несут материальную ответственность.
В УЦ владелец электронной подписи получает файлы, из которых состоит электронная подпись: закрытый ключ, открытый ключ и сертификат. Файлы записываются на токен (устройство, похожее на флешку) или в память компьютера. С помощью закрытого ключа пользователь подписывает документы, а открытый ключ и сертификат позволяют убедиться, что подпись поставил конкретный человек.
Закрытый ключ ЭП доступен только владельцу, и он должен держать его в тайне — этого требует 63-ФЗ «Об электронной подписи» (п.1 ч.1 ст.10 63-ФЗ). Именно из-за того, что владельцы передают закрытый ключ другим людям, возникают злоупотребления электронной подписью.
У Артема было несколько продуктовых магазинов. Он не нарушал закон и вовремя закрывал кредиты. Однажды бизнесмену позвонили из банка, а потом звонок продублировали коллекторы. Они утверждали, что у компании миллионный долг. Артем не поверил и пошел проверять кредитные истории: свою и компании. Выяснилось, что долг существует.
Два месяца назад бывший бухгалтер Артема оформил на компанию микрозайм на 1,2 миллиона рублей, перевел деньги себе и уволился. Оформить займ бухгалтер смог с помощью электронной подписи директора — Артем сам отдал ЭП, чтобы избавиться от рутинного подписания бумаг.
Как происходит мошенничество с электронной подписью
Злоумышленники могут завладеть ЭП по-разному. Первый вариант — умышленно получить подпись другого лица. Мошенники могут украсть закрытый ключ, который хранится на токене. Или владелец может оставить подпись в общественном месте или потерять. Бывает и так, что компания забывает отозвать ЭП у уволенного сотрудника: он покупает товар от имени фирмы и скрывается, оставив долг. Нужно знать, как отозвать подпись и делать это сразу после увольнения, даже если работник пользовался полным доверием.
Есть и другой вариант. Владелец может сам отдать подпись постороннему лицу, чтобы снять с себя часть нагрузки. Так было с Артемом из нашего примера: он не знал, как обезопасить себя от мошенничества, поэтому передал ЭП бухгалтеру, а потом получил миллионный долг.
Продажа квартиры, подача декларации в ФНС и другие риски использования сертификата ЭП
Использование чужой ЭЦП по значимости сравнимо с использованием чужого паспорта. Она подтверждает личность человека и дает право совершать юридически значимые действия. Если ЭП попадет в руки злоумышленников, они смогут выдать себя за другое лицо и заключить сделку. Например:
Как обеспечить безопасность электронной подписи
Подделать саму ЭП нельзя. В ее основе лежат криптографические технологии, которые не поддаются взлому. Переживать о том, как защитить свою подпись от подделки, не нужно, потому что мошенники действуют примитивнее — они подделывают документы, чтобы незаконно получить ЭП, или крадут подпись.
Рекомендуем соблюдать правила безопасности, которые помогут избежать мошенничества с цифровой подписью:
Нельзя передавать ЭП другим людям. Бухгалтер, заместитель и другие сотрудники не должны иметь доступа к закрытому ключу подписи, потому что могут подписать документ самовольно. Тогда доказать, что подпись поставил не владелец, а постороннее лицо, будет почти невозможно.
Если увольняется сотрудник, у которого есть ЭП, сертификат подписи надо сразу отозвать. Иначе уволенный работник может списать деньги со счета компании или вообще ликвидировать организацию, если раньше у него были такие полномочия. Отлично, если кадровая служба ведет учет сертификатов сотрудников — так проще следить, кому и когда выдана ЭП.
Токен с подписью и компьютер, где она используется, должны быть защищены паролем. Иначе злоумышленник сможет воспользоваться чужой ЭП, если украдет токен или получит доступ к компьютеру.
Если ЭП хранится на компьютере, он должен быть защищен от вирусов. Подозрительный файл, который пришел на почту, лучше не открывать: он может оказаться шпионской программой, которая скопирует все файлы, в том числе электронную подпись.
Если нужно отойти от компьютера, его лучше блокировать. Это гарантирует, что никто не воспользуется подписью в отсутствие владельца.
Электронная подпись не гарантирует защиту компании от мошенников и воров. Но она создает для них серьезное препятствие — завладеть чужой ЭП намного сложнее, чем подделать подпись и печать на бумаге. Кроме того, с электронной подписью шансы остановить преступников и вычислить их намного выше:
Если у вас пропала подпись, то ее можно и нужно сразу же отозвать — тогда злоумышленники не смогут ей воспользоваться.
Проверить, что никто не выпустил на ваше имя электронную подпись, можно на портале Госуслуг — в личном кабинете в разделе «Настройки и безопасность» найдите вкладку «Электронная подпись». Госуслуги покажут, какие подписи были выпущены на вас, когда и каким удостоверяющим центром. Если увидите электронную подпись, которую не получали, обратитесь в техподдержку портала и в УЦ, который указан в этой подписи. УЦ по вашему заявлению отзовет сертификат подписи, и тогда ей больше никто не сможет воспользоваться.
Если мошенник все-таки смог без вашего ведома получить электронную подпись на ваше имя, то найти его будет проще, чем того, кто подделывает рукописные подписи. Ведь из сертификата электронной подписи можно узнать, кто, когда и в каком УЦ его получил. Также все удостоверяющие центры хранят копии документов, по которым выдавалась подпись, а некоторые — при выдаче сертификата делают фото будущего владельца ЭП с паспортом. Благодаря таким зацепкам, правоохранителям будет проще поймать мошенников.
Мошенничество с электронной подписью
Электронная подпись, кроме удобства и возможности удаленно работать, таит в себе и риски для владельца стать жертвой мошенников. Чаще всего от этого страдают представители бизнеса. Электронная подпись является аналогом собственноручной подписи человека. Но, в отличие от подделки подписи на бумаге, доказать, что подписью пользовался кто-то другой значительно сложнее.
Как ЭП попадает к злоумышленникам
Вариантов на самом деле не так уж много. Их все можно свести к двум основным:
В случае с добровольным способом дело может быть так — руководитель передает подчиненным ключ электронной подписи, поскольку не хочет сам подписывать документы. А подчиненные, злоупотребив доверием, совершают незаконные действия. К примеру, выводят деньги из компании.
С незаконным способом все несколько сложнее. Вариантов тут может быть несколько:
Проблема в нашей стране в том, что удостоверяющих центров около пяти сотен, это больше, чем во всем остальном мире. А госорганы обязаны принимать документы, подписанные электронной подписью.
Власти уже предприняли ряд мер по выдаче некоторых видов электронных подписей только органами государственной власти. Так, с 1 января 2022 года руководители коммерческих организаций смогут получить ЭП только в ФНС. А сотрудники юрлица или ИП смогут получать электронную подпись в коммерческих удостоверяющих центрах.
Что чаще всего делают злоумышленники
Самые частые проблемы, которые доставляют посредством ЭП мошенники — это, по сути, захват контроля над компанией с дальнейшим выводом денег со счетов.
Делается это следующим образом. На некое лицо изготавливают электронную подпись, подают в ФНС заявление по форме Р14001 по смене генерального директора компании в электронном виде, а после регистрации изменений в ЕГРЮЛ — получают доступ к банку и выводят денежные средства.
Налоговая стала отказывать вообще всем при подобных попытках смены директора с использованием ЭП. Однако есть и другой способ.
Директора в этом случае не меняют, просто некое лицо оформляет электронную подпись на руководителя без его ведома.
Есть случаи, когда за компанию сдавались электронно корректировки по декларациям, что приводило к проблемам с налоговой. Чаще всего это происходит с декларациями по НДС.
Или, как уже отмечалось выше, злоумышленниками могут стать сами сотрудники компании, которым была передана ЭП от директора, а те злоупотребили его доверием.
Что говорит закон
В законе «Об электронной подписи» от 06.04.2011 № 63-ФЗ, в статье 14, указано, что электронная подпись может выдаваться юридическому лицу. Руководитель организации, действующей от ее лица без доверенности, в этом случае является владельцем сертификата ключа проверки электронной подписи, наряду с самим юридическим лицом.
Точно также от имени юрлица можно действовать и по доверенности, и на этого представителя также можно оформить электронную подпись от юрлица. К примеру, по уставу есть единоличный исполнительный орган — генеральный директор. И есть исполнительный директор, он действует по доверенности от генерального. И на него получена электронная подпись, чтобы он мог от лица компании заключать сделки.
Однако в законе толком не урегулирована передача полномочий по электронной подписи другому лицу.
Так, тем же законом (статья 10) неявно предусмотрена возможность передачи ключа подписи другому лицу:
При использовании усиленных квалифицированных электронных подписей участники
электронного взаимодействия обязаны:
электронных подписей без их согласия ;
На практике это выливается в две ситуации — передача полномочий по доверенности, либо посредством организационно-распорядительного документа.
Кстати говоря, в предыдущем законе об ЭЦП такие действия были прямо запрещены. Правда, от передачи электронной подписи другим лицам это особо не спасало.
При получении электронной подписи удостоверяющий центр обязан установить личность владельца, а если ЭП получают на юрлицо — установить правомочие уполномоченного лица получать ЭП (ст. 18 Закона). Крупные УЦ дорожат репутацией, аккредитацией и тщательно подходят к проверке данных. Поэтому обращаться нужно в те центры, которые уже имеют имя, продолжительный опыт работы и несут реальную ответственность за свою работу.
Что делает государство для защиты ЭП
Как уже было сказано выше, ФНС с 2022 года забирает себе право выдавать электронную подпись руководителям коммерческих организаций. Так налоговая служба сформирует свою базу, что и кому она выдавала, и заодно пресечет поток незаконно выданных электронных подписей для номинальных руководителей.
До 2022 года времени еще много, однако защититься можно уже сейчас.
В настоящее время ФНС уже дает возможность физическому лицу выпустить электронную подпись через личный кабинет. Так как зарегистрироваться в личном кабинете можно только после личного визита в инспекцию, то тут, по мнению ФНС, вероятность утечки данных минимальная. Если, конечно, физлицо само не отдаст доступ постороннему лицу.
Также есть возможность получить электронную подпись через сайт Госуслуг. Обратиться за ЭП можно через МФЦ с паспортом и СНИЛС, услуга бесплатная. Данная подпись дает возможность доступа к полному перечню услуг портала Госуслуг.
Кроме того, государство регулярно проверяет существующие удостоверяющие центры и закрывает те, за которыми были замечены нарушения. Контроль за УЦ постоянно растет, требования к ним повышаются, в частности к размеру их уставного капитала.
Алгоритм безопасного получения ЭП
Порядок получения электронной подписи следующий:
Чек-лист безопасного использования электронной подписи
Для того, чтобы обезопасить себя от мошеннических действий с ЭП, необходимо соблюдать следующие правила:
Для сотрудников компании рекомендуется составить памятку о том, какие действия нельзя совершать ни при каких обстоятельствах, разработать регламенты по работе с персональными данными, назначить ответственных за их передачу лиц.
Что делать, если на ваше имя выпустили электронную подпись
К сожалению, о том, что выпустили электронную подпись без чьего-либо ведома, люди узнают уже после совершения незаконных действий. Компания потеряла деньги, сдана уточняющая декларация, квартира продана, или на кого-то получен кредит. Либо, люди внезапно узнают, что они учредители в нескольких фирмах. И заодно директоры.
Однако, есть способ превентивно отслеживать такую информацию.
Если на вас зарегистрировали компанию — в регистрирующую налоговую по вашему месту жительства стоит подать заявление по форме Р38001 с требованием признать сведения о вас, как об учредителе и директоре недостоверными.
Судебная практика по мошенничеству с ЭП
В итоге, гендиректор оказался должен компании более 254 миллионов рублей. Суды всех инстанций задолженность подтвердили.
Суды подтвердили недобросовестность гендиректора, исходя из следующих его действий (бездействия):
Суд эту задолженность подтвердил, отметив:
«Действуя разумно и добросовестно, получив в период рабочего времени 39 сообщений о входе в систему для осуществления платежных операций, гендиректор, осуществляя функции единоличного исполнительного органа общества, должен был проявить соответствующую заинтересованность и до окончания рабочего времени связаться с сотрудником, у которого, как он утверждает, имелся доступ к носителю ключа ЭП».
Приведем еще два дела, когда ущерб был нанесен из-за использования ЭП уволенных руководителей.
Иск ООО «Валитекс» к «Нэклис-Банк» на сумму свыше 75 млн. руб. (дело № А40-75611/06-47-564) — в иске отказано, платежные поручения были подписаны ЭП бывшего генерального директора. Деньги списывались 8 месяцев.
Иск ООО «АМКО-Капитал» к ОАО «Металлургический коммерческий банк» на сумму свыше 77 млн. руб. — в иске отказано, на платежных поручениях была проставлена подпись бывшего главного бухгалтера (дело №А40-14394/06-47-120).
Это к вопросу о том, почему нужно сразу же отзывать сертификат ЭП уволенного сотрудника, особенно с такими полномочиями.