Электронная подпись: как защититься от ее неправомерного использования
Списание средств путем получения неправомерного доступа к электронной подписи
Несмотря на высокую защищенность электронного документооборота, даже усиленная квалифицированная ЭЦП не дает возможности определить подписанта с абсолютной точностью.
В одном из дел банк исполнил платежное поручение, подписанное квалифицированной ЭЦП, и списал с расчетного счета денежные средства. Клиент обратился в суд с требованием о взыскании убытков. Он полагал, что банк списал средства необоснованно, при этом не провел мероприятия для защиты передачи и обработки электронных документов, в результате чего клиент лишился своих средств.
Основная сложность для истца в подобных спорах — доказать факт нарушения банком обязательств по договору, а именно непроведение процедуры проверки реквизитов секретного ключа ЭЦП.
Отказывая в удовлетворении требований, суды указали, что у банка не имелось причин для отказа в исполнении надлежаще оформленного электронного поручения и что банк не вправе контролировать направления использования денежных средств клиента.
Примечательно, что бремя доказывания суды перекладывают на клиента — потребителя, непрофессионального участника сферы оказания банковских услуг. Якобы именно клиент не проявляет «должную степень заботливости и осмотрительности при обеспечении исключения доступа посторонних лиц к ЭЦП». Также суды указали, что «риск несанкционированного доступа лежит на истце»1.
1 постановления АС Поволжского округа от 04.05.2016 по делу № А12-35249/2015,
4ААС от 27.06.2017 по делу № А19-1662/2017
На фоне однотипных отказных судебных актов по данной категории дел выделяется постановление АС Волго-Вятского округа от 24.10.2014 по делу № А79-3155/2013. В нем коллегия установила обоюдную вину сторон — банка как субъекта профессиональной деятельности и клиента, который не в полной мере принял все зависящие от него меры, связанные с обеспечением безопасности. При таких обстоятельствах суды частично возложили на банк обязанность возместить истцу причиненные убытки.
Электронные подписи разделяются на три вида: простая, усиленная неквалифицированная и усиленная квалифицированная (ст. 5 Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи», далее — Закон № 63-ФЗ).
Под простой ЭП понимается электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.
Усиленная неквалифицированная и усиленная квалифицированная электронные подписи создаются с помощью средства криптографической защиты информации — специальной программы, которая шифрует и расшифровывает передаваемую информацию для создания и проверки ЭЦП. Владелец квалифицированной подписи получает открытый и закрытый ключи проверки ЭЦП и квалифицированный сертификат проверки ЭЦП.
Использование фиктивной электронной подписи для оформления документов и сделок
Гражданин узнал о внесении в ЕГРЮЛ записи, согласно которой он является директором общества. Из переписки с ИФНС № 46 стало известно, что комплект документов подписан ЭЦП, выданной удостоверяющим центром. Истец через суд потребовал признать незаконным решение ИФНС о регистрации общества и внесении записи в ЕГРЮЛ, а также исключить эти данные из реестра.
Суд встал на сторону инспекции, несмотря на то что ранее суд общей юрисдикции признал усиленную ЭЦП, оформленную на физлицо, недействительной с момента выдачи. Суд отметил, что ранее проверялся и оценивался довод о неполучении физлицом электронной подписи. Следовательно, решение суда общей юрисдикции не может считаться новым или вновь открывшимся обстоятельством при рассмотрении требований заявителя.
Далее суд указал, что само по себе решение о признании квалифицированной ЭЦП недействительной не является признанием сделки недействительной по смыслу закона. Для внесения изменений в ЕГРЮЛ необходимо оспорить удостоверенные этой электронной подписью заявление и приложенные к нему документы. Но даже признание недействительными данных документов не является тождественным признанию недействительной сделки и не может быть применено к положениям, указанным в п. 2 ч. 3 ст. 311 АПК2.
2 определение АС г. Москвы от 29.01.2020 по делу № А40-290507/18-154-3030
В другом деле суд пришел к противоположному выводу. Суд указал, что для оспаривания решения налогового органа о государственной регистрации не обязательно признавать недействительным решение о создании юридического лица, содержащее недостоверные сведения. Факт подачи в налоговый орган заявления о госрегистрации и документов, не удостоверенных надлежащим образом, сам по себе свидетельствует о недействительности решения о регистрации, принятого на основании таких документов3.
3 постановление 9ААС от 05.07.2019 по делу № А40-96849/18
Таким образом, даже если усиленную ЭЦП признают недействительной, это не дает гарантий защиты прав в суде от последствий ее использования. Такие риски возникают при использовании как простой, так и усиленной ЭЦП.
Механизм защиты при неправомерном завладении ЭЦП
Суды перекладывают риск неправомерного завладения ЭЦП на ее владельца. В такой ситуации рекомендуется использовать следующий механизм правовой защиты.
1. Уведомить контрагентов/заинтересованных лиц/контролирующие органы о неправомерном завладении носителем сертификата ЭЦП.
2. Подать заявление о совершении преступления.
3. Оспорить сделку, совершенную с использованием подложной ЭЦП.
Суды указывают, что перед оспариванием таких сделок следует оспорить сам факт действительности электронной подписи с момента ее выдачи4.
4 определение АС г. Москвы от 29.01.2020 по делу № А40-290507/18-154-3030
При этом закон устанавливает презумпцию, согласно которой квалифицированная ЭЦП признается действительной до тех пор, пока решением суда не установлено иное5.
5 ст. 11 Закона № 63-ФЗ
Правовым основанием для иска будут ч. 1 ст. 11 Закона № 63‑ФЗ и ст. 168 ГК: выдача квалифицированного сертификата лицу с несовпадающими паспортными данными и ИНН. Это будет подтверждаться фактом несоответствия подписей истца и получателя носителя электронной подписи.
Рекомендации для снижения рисков использования электронной подписи
1. Если документ от имени компании подписан квалифицированной ЭЦП, суд проверяет владельца сертификата подписи. Обращение в суд от имени юрлица не считается подписанным, если в качестве владельца квалифицированного сертификата не указано физическое лицо (ч. 1 ст. 125 АПК, ч. 3 ст. 14 Закона № 63-ФЗ)6.
6 постановление 9ААС от 07.11.2019 по делу № А40-248390/2016
При использовании простой ЭЦП достаточно приложить копию доверенности.
2. Пропишите в договоре процедуру разбора конфликтных ситуаций в случае использования электронных документов, подписанных ЭЦП, основываясь на постановлениях Правительства от 08.06.2011 № 451 и от 08.09.2010 № 697.
Банки в договорах о дистанционном банковском обслуживании часто прописывают такую процедуру. Суды указывают, что в таком случае клиент обязан обратиться в банк с заявлением о создании согласительной комиссии и проведении проверки оспариваемого электронного документа. В противном случае досудебный порядок урегулирования спора не будет соблюден7.
7 постановление АС Поволжского округа от 04.05.2016 по делу № А12-35249/2015
3. Чтобы договор, подписанный простой или неквалифицированной ЭЦП, приравнивался к письменному документу, это должно быть указано в договоре или в законе (например, ст. 6.1 Закона РФ от 27.11.1992 № 4015–1 «Об организации страхового дела в Российской Федерации»). Использование квалифицированной ЭЦП не предусматривает такого требования, что делает ее более защищенной и распространенной в обороте. При этом, если подписанный квалифицированной ЭЦП документ приравнен к бумажному, он, как правило, равнозначен и заверенному печатью8.
8 постановление 13ААС от 14.06.2018 по делу № А26-13295/2017
В связи с этим неквалифицированная ЭЦП используется реже других видов ЭЦП: закон предписывает применять ее в очень редких случаях (п. 2, 3 ст. 11.2 НК), и по соглашению стороны чаще всего выбирают квалифицированную ЭЦП. Иными недостатками неквалифицированной ЭЦП выступают сложная процедура получения по сравнению с простой ЭЦП и отсутствие универсальности и защищенности, присущих квалифицированной ЭЦП.
9 постановления АС Северо-Западного округа от 23.08.2017 по делу № А56-75891/2015,
4ААС от 06.06.2013 по делу № А19-22448/2012
4. Суд не вправе отказать в приобщении распечаток документов, подлинниками которых являются электронные документы, подписанные квалифицированной ЭЦП. Распечатанные экземпляры таких документов на бумажном носителе представляют собой копии подлинников документов в электронной форме. Но такие документы должны содержать все обязательные реквизиты (например, штампы). Нотариальное заверение необходимо только для документов, полученных из сети Интернет9.
Наш адрес
Москва, ул. Б. Полянка, 26
Виды электронных подписей