Электронная подпись: как защититься от ее неправомерного использования

Списание средств путем получения неправомерного доступа к электронной подписи

Несмотря на высокую защищенность электронного документооборота, даже усиленная квалифицированная ЭЦП не дает возможности определить подписанта с абсолютной точностью.

В одном из дел банк исполнил платежное поручение, подписанное квалифицированной ЭЦП, и списал с расчетного счета денежные средства. Клиент обратился в суд с требованием о взыскании убытков. Он полагал, что банк списал средства необоснованно, при этом не провел мероприятия для защиты передачи и обработки электронных документов, в результате чего клиент лишился своих средств.

Основная сложность для истца в подобных спорах — доказать факт нарушения банком обязательств по договору, а именно непроведение процедуры проверки реквизитов секретного ключа ЭЦП.

Отказывая в удовлетворении требований, суды указали, что у банка не имелось причин для отказа в исполнении надлежаще оформленного электронного поручения и что банк не вправе контролировать направления использования денежных средств клиента.

Примечательно, что бремя доказывания суды перекладывают на клиента — потребителя, непрофессионального участника сферы оказания банковских услуг. Якобы именно клиент не проявляет «должную степень заботливости и осмотрительности при обеспечении исключения доступа посторонних лиц к ЭЦП». Также суды указали, что «риск несанкционированного доступа лежит на истце»¹.

На фоне однотипных отказных судебных актов по данной категории дел выделяется постановление АС Волго-Вятского округа от 24.10.2014 по делу № А79-3155/2013. В нем коллегия установила обоюдную вину сторон — банка как субъекта профессиональной деятельности и клиента, который не в полной мере принял все зависящие от него меры, связанные с обеспечением безопасности. При таких обстоятельствах суды частично возложили на банк обязанность возместить истцу причиненные убытки.

Использование фиктивной электронной подписи для оформления документов и сделок

Гражданин узнал о внесении в ЕГРЮЛ записи, согласно которой он является директором общества. Из переписки с ИФНС № 46 стало известно, что комплект документов подписан ЭЦП, выданной удостоверяющим центром. Истец через суд потребовал признать незаконным решение ИФНС о регистрации общества и внесении записи в ЕГРЮЛ, а также исключить эти данные из реестра.

Суд встал на сторону инспекции, несмотря на то что ранее суд общей юрисдикции признал усиленную ЭЦП, оформленную на физлицо, недействительной с момента выдачи. Суд отметил, что ранее проверялся и оценивался довод о неполучении физлицом электронной подписи. Следовательно, решение суда общей юрисдикции не может считаться новым или вновь открывшимся обстоятельством при рассмотрении требований заявителя.

Далее суд указал, что само по себе решение о признании квалифицированной ЭЦП недействительной не является признанием сделки недействительной по смыслу закона. Для внесения изменений в ЕГРЮЛ необходимо оспорить удостоверенные этой электронной подписью заявление и приложенные к нему документы. Но даже признание недействительными данных документов не является тождественным признанию недействительной сделки и не может быть применено к положениям, указанным в п. 2 ч. 3 ст. 311 АПК².

В другом деле суд пришел к противоположному выводу. Суд указал, что для оспаривания решения налогового органа о государственной регистрации не обязательно признавать недействительным решение о создании юридического лица, содержащее недостоверные сведения. Факт подачи в налоговый орган заявления о госрегистрации и документов, не удостоверенных надлежащим образом, сам по себе свидетельствует о недействительности решения о регистрации, принятого на основании таких документов³.

Таким образом, даже если усиленную ЭЦП признают недействительной, это не дает гарантий защиты прав в суде от последствий ее использования. Такие риски возникают при использовании как простой, так и усиленной ЭЦП.

Механизм защиты при неправомерном завладении ЭЦП

Суды перекладывают риск неправомерного завладения ЭЦП на ее владельца. В такой ситуации рекомендуется использовать следующий механизм правовой защиты.

1. Уведомить контрагентов/заинтересованных лиц/контролирующие органы о неправомерном завладении носителем сертификата ЭЦП.

2. Подать заявление о совершении преступления.

3. Оспорить сделку, совершенную с использованием подложной ЭЦП.

Суды указывают, что перед оспариванием таких сделок следует оспорить сам факт действительности электронной подписи с момента ее выдачи⁴.

При этом закон устанавливает презумпцию, согласно которой квалифицированная ЭЦП признается действительной до тех пор, пока решением суда не установлено иное⁵.

Правовым основанием для иска будут ч. 1 ст. 11 Закона № 63‑ФЗ и ст. 168 ГК: выдача квалифицированного сертификата лицу с несовпадающими паспортными данными и ИНН. Это будет подтверждаться фактом несоответствия подписей истца и получателя носителя электронной подписи.

Рекомендации для снижения рисков использования электронной подписи

1. Если документ от имени компании подписан квалифицированной ЭЦП, суд проверяет владельца сертификата подписи. Обращение в суд от имени юрлица не считается подписанным, если в качестве владельца квалифицированного сертификата не указано физическое лицо (ч. 1 ст. 125 АПК, ч. 3 ст. 14 Закона № 63-ФЗ)⁶.

При использовании простой ЭЦП достаточно приложить копию доверенности.

2. Пропишите в договоре процедуру разбора конфликтных ситуаций в случае использования электронных документов, подписанных ЭЦП, основываясь на постановлениях Правительства от 08.06.2011 № 451 и от 08.09.2010 № 697.

Банки в договорах о дистанционном банковском обслуживании часто прописывают такую процедуру. Суды указывают, что в таком случае клиент обязан обратиться в банк с заявлением о создании согласительной комиссии и проведении проверки оспариваемого электронного документа. В противном случае досудебный порядок урегулирования спора не будет соблюден⁷.

3. Чтобы договор, подписанный простой или неквалифицированной ЭЦП, приравнивался к письменному документу, это должно быть указано в договоре или в законе (например, ст. 6.1 Закона РФ от 27.11.1992 № 4015–1 «Об организации страхового дела в Российской Федерации»). Использование квалифицированной ЭЦП не предусматривает такого требования, что делает ее более защищенной и распространенной в обороте. При этом, если подписанный квалифицированной ЭЦП документ приравнен к бумажному, он, как правило, равнозначен и заверенному печатью⁸.

В связи с этим неквалифицированная ЭЦП используется реже других видов ЭЦП: закон предписывает применять ее в очень редких случаях (п. 2, 3 ст. 11.2 НК), и по соглашению стороны чаще всего выбирают квалифицированную ЭЦП. Иными недостатками неквалифицированной ЭЦП выступают сложная процедура получения по сравнению с простой ЭЦП и отсутствие универсальности и защищенности, присущих квалифицированной ЭЦП.

4. Суд не вправе отказать в приобщении распечаток документов, подлинниками которых являются электронные документы, подписанные квалифицированной ЭЦП. Распечатанные экземпляры таких документов на бумажном носителе представляют собой копии подлинников документов в электронной форме. Но такие документы должны содержать все обязательные реквизиты (например, штампы). Нотариальное заверение необходимо только для документов, полученных из сети Интернет⁹.