16

«Небывалый простор для мошенничества». Как уязвимость закона разрушает сделки с электронной подписью

С октября проверить все оформленные электронные цифровые подписи можно на сайте Госуслуг. Это одна из многих мер, которые чиновникам приходится принимать для обуздания волны махинаций с ЭП.

Фото: коллаж/«Фонтанка.ру»/pixabay.com

Властям приходится закручивать гайки на рынке электронных цифровых подписей (ЭП): число судебных споров, связанных с их несанкционированным использованием, растет, масла в огонь подлила еще и пандемия, на фоне которой количество выданных ЭП в Петербурге выросло на 25%. В ближайшее время сотни частных фирм, изготавливающих электронные подписи и заработавших на них около 50 миллиардов рублей, потеряют такое право.

С 1 июля получить ЭП можно только лично владельцу подписи, а не его доверенному лицу, даже если у него есть нотариальная доверенность. Изменились и правила обновления цифровых подписей.

«Если пользователь увидит на портале подпись, которую сам не получал, то сможет обратиться в УЦ и отозвать подпись. Тогда она перестанет работать, и никто не сможет воспользоваться ей в корыстных целях», — подчеркивает Сергей Казаков, руководитель удостоверяющего центра (УЦ) АО «ПФ«СКБ Контур» — одного из крупнейших игроков рынка (в 2019 году выручка составила 14 млрд рублей, чистая прибыль — 797 млн рублей).

С июля 2021 года ожидается новое ужесточение правил выдачи подписей: право выдавать квалифицированные электронные подписи (КЭП) будет только у УЦ ФНС России. За коммерческими компаниями останется их изготовление. Новый уполномоченный орган сможет самостоятельно выбрать доверенные лица из числа коммерческих организаций, которым он разрешит принимать заявления о получении КЭП, а также создавать и выдавать ее.

«Кардинальная реформация системы аккредитации УЦ и выдачи КЭП бизнес-сообществу приведет к тому, что из более 400 существующих в настоящее время коммерческих аккредитованных УЦ останутся единицы, которые сами будут изготавливать только КЭП для физических лиц», — отмечает Алексей Сенченков, представитель АО «Аналитический Центр» (Единый портал электронной подписи).

С 1 января 2022 года будет определен порядок выдачи и использования электронных машиночитаемых доверенностей. Если сотрудник захочет удаленно получить КЭП от лица своего руководства, ему нужно будет предоставить такую доверенность. Она, кстати, тоже должна быть подписана КЭП, основанной на подписях, выданных подведомственными ФНС России центрами.

Как отмечает Сергей Казаков, в январе — октябре 2020 года количество выданных электронных подписей в России увеличилось на 14%, а в Петербурге — на 25% по сравнению с аналогичным периодом прошлого года.

Всплеск интереса к ЭП ознаменовался ростом судебных разбирательств. Переход на удаленную работу, дистанционное проведение сделок с недвижимостью, оформление кредитов и займов, сдача отчетности — ЭП стала помощником номер один для большинства предпринимателей. Однако несовершенство системы и уязвимость закона внесли смуту в и без того сложные рыночные отношения.

Точную статистическую информацию о количестве выданных ЭП «Фонтанке» никто рассказать не смог. Даже в профильном ведомстве — Минцифры России (осуществляет нормативное регулирование в сфере выдачи ЭП), подчеркнули только, что всего в России насчитывается 15 млн подписей, которые регулярно перевыпускаются. Опираясь на то, что стоимость одной ЭП составляет около 3,5 тыс. рублей, общий объем рынка можно оценить более чем в 50 млрд рублей.

По данным СПАРК, квалифицированные ЭП изготавливают 408 аккредитованных Минцифрой УЦ. Из всего списка в Петербурге зарегистрировано только 20 компаний. Самые крупные: ПАО «Ростелеком» (выручка за 2019 — 319,7 млрд, чистый убыток — 3,4 млрд), подведомственное КИО петербургское унитарное предприятие «СПБ ИАЦ» (3,2 млрд; чистая прибыль — 24,8 млн), ООО «Корус консалтинг СНГ» (входит в группу компаний Сбербанка, выручка — около 2 млрд; прибыль — 334,7 млн). Всего в городе аккредитовано 55 компаний.

Попробуй докажи

Один из свежих кейсов судебных споров, связанных с использованием ЭП, — конфликт московского ООО «Билл Прайват» и петербургского ООО «Юпитер Холл».

25 января 2018 года ООО МКК «Билл Прайват» по договору займа предоставило ООО «Юпитер Холл» 4 млн рублей (под 14%) сроком до 25 мая 2018 года на исполнение госконтракта. Договор был подписан собственноручно бухгалтером компании и с использованием ЭП (оформленной на гендиректора компании) и отправлен почтой, вместе с договором поручительства (как оказалось позднее, недействительным). Гендиректор «Юпитер Холла» Александр Лебедев в это время был в командировке, а вернувшись, обнаружил списание средств с расчетных счетов компании. 2 февраля он позвонил руководителям «Билл Прайвата» и сказал, что о сделке ничего не знает — платеж был осуществлен без его ведома.

6 февраля «Билл Прайват» запросил информацию о подтверждении целевого займа. По договору на предоставление всех сведений у «Юпитер Холла» был один день. В случае неисполнения обязательств заемщик должен был выплатить штраф в размере 20% от суммы займа и уплатить пени — 0,2% от неуплаченной суммы за каждый день просрочки. 8 февраля кредитор направил требование о досрочном исполнении обязательств, а «Юпитер Холл» (уже 1 марта) — претензию о признании договора недействительным, поскольку он был заключен неуполномоченным лицом.

В итоге «Билл Прайват» подал иск в Арбитражный суд Санкт-Петербурга и Ленинградской области (дело идет уже более 950 дней), а «Юпитер Холл» — заявление в полицию и встречный иск. Было возбуждено уголовное дело, расследовано и передано в Калининский районный суд. В свою очередь, Арбитражный суд в первой инстанции частично удовлетворил иск «Билл Прайвата» и взыскал с «Юпитер Холла» 4 млн рублей долга, 320 тыс. за пользование займом, 3 млн штрафа и неустойки и 60,7 тыс. расходов по уплате госпошлины.

Решение арбитража вынесено 20 марта 2020 года, а 21 августа Калининский райсуд в первой инстанции вынес обвинительный приговор в адрес бухгалтера «Юпитер Холла» Татьяны Смирновой. Ее признали виновной в хищении чужого имущества.

По показаниям выступившего свидетелем гендиректора Александра Лебедева, полученные от «Билл Прайвата» 4 млн она перевела на счет ООО «Прогресс» и на карту своего супруга. На стадии судебного разбирательства Смирнова признала свою вину. Сейчас она отбывает наказание по другому делу (от 28 июня 2018 года). Точки в истории пока нет. И решение арбитража, и приговор суда обжалованы. Представители фирм продолжают настаивать на своем. «Юпитер Холл» считает, что «Билл Прайват» хотел получить «большие деньги» и действовал недобросовестно, другая сторона придерживается позиции, что гендиректор компании-заемщика знал о сделке и работал сообща с бухгалтером.

Опытным путем

«ЭП — это самая обыкновенная флешка, содержимое которой элементарно копируется. Любой человек, в руках у которого флешка оказывается, может спокойно скопировать ее и совершить любые действия. По сути это небывалый простор для мошенничества. Не говоря уже о том, что очень многие конторы, которые выдают ЭП, не удосуживаются проверять документы, — отмечает Глеб Подъяблонский, юрист компании URVISTA. — Государством никакие меры не предпринимаются — граждан призывают быть бдительными. Более-менее рабочая идея — это ID-карта с личным паролем».

Впрочем, негативных примеров и правда достаточно. Основные источники проблем — недобросовестные центры, выдающие ЭП, забывчивые предприниматели, смышленые мошенники и уязвимость закона.

Анатолий Лебедев, заместитель завкафедрой информационной безопасности МГТУ им. Баумана, отмечает, что если тот, кто заверяет открытый ключ, работает честно и не выдает такой же сертификат другому лицу, то система работает «идеально». За исключением случаев, когда человек сам теряет ключ для формирования ЭП. Он приводит в пример историю, которая произошла с гражданином США.

«Свой ключ для ЭП, а ей зачастую подписываются транзакции в криптовалюте, он хранил в облаке, а доступ к нему осуществлял по паролю, который предъявлял через мобильный телефон. Дальше по истории доступ к его закрытому ключу получили хакеры — они якобы подменили сим-карту или дублировали ее, и, когда на телефон в очередной раз пришел одноразовый пароль, перехватили данные и вывели с его счета биткоины на сумму 24 млн долларов, — рассказывает Анатолий Лебедев. — Технология тут совершенно ни при чем. Если человек хранит свой секрет непонятно где, то его может узнать любой проходимец».

Еще один пример приводит Светлана Гузь — дело о дарении квартиры жителем Москвы некоему гражданину, проживающему в Республике Башкортостан, город Уфа.

«Собственник обнаружил в квитанциях на оплату коммунальных услуг чужую фамилию и обратился в управление Росреестра с запросом о предоставлении сведений из ЕГРН. Получив выписку, гражданин узнал о совершенной электронной сделке, — говорит юрист. — К сожалению, нам неизвестно, какое развитие получил этот случай в уголовной плоскости, а вот гражданский иск собственника был удовлетворен Бабушкинским районным судом города Москвы, сделка признана недействительной».

Дмитрий Кваша, спикер торгово-промышленной палаты Москвы, руководитель юридического бюро «Дмитрий Кваша и партнеры», рассказывает, что у него был пример другого дела: клиент предоставил доступ к своему банк-клиенту с помощью удаленного доступа к компьютеру. Мошенники зашли на его ПК (с разрешения владельца) и перевели денежные средства (около 2,4 млн рублей) сначала в электронные деньги, а потом в криптовалюту. При этом пострадавший не знал, что его «помощники» — злоумышленники. Он хотел зарабатывать на инвестициях в Интернете, но ему сказали, что самостоятельно он не разберется. В итоге мошенники подали заявку на кредит от его лица, почти сразу получили деньги и вывели их, рассказывает Дмитрий Кваша.

«Банки не признают это страховым случаем, поскольку он сам предоставил доступ и присутствовал при процессе. Суды также будут на стороне банка. Если только ему удастся в уголовном процессе разыскать мошенника — появится шанс вернуть деньги. В ином случае это будет признано его риском», — подчеркивает юрист.

По словам экспертов, главная проблема заключается в том, что выявить незаконное применение ЭП третьим лицом практически невозможно. Кроме того, важную роль играют и сами удостоверяющие центры.

«Если вы уговорите служащего УЦ выдать сертификат на другое имя — вы сможете подписываться от лица другого человека, — рассказывает Анатолий Лебедев. — Сейчас третья сторона должна иметь большой мешок денег в депозите — если их сотрудник выдаст левый сертификат, они за это отвечают своим мешком».

Про другой способ мошенничества рассказывает Сергей Крылов, гендиректор юридической компании «Дельта консалтинг». По его словам, если человек пользуется общедоступным компьютером и не знает о его настройках, то впоследствии его данными может воспользоваться кто-то другой. Он отмечает, что зачастую браузеры сохраняют данные по умолчанию и посмотреть их может кто угодно. Такая же история и с поддельными сайтами.

«Считается, что ЭП скомпрометирована, даже если кто-то рядом узнал ваш пароль. С января, когда все будет идентифицироваться с госуслугами через личное мобильное приложение, уже будет 100% понимание, что подписывается владелец подписи, — считает Ольга Благовещенская, основатель собственной группы компаний «МФЦУ». — Сейчас в банках почти 85% сделок проходит с помощью ЭП».

Впрочем, получить такую подпись и правда несложно. Как рассказывает Сергей Казаков, достаточно оставить заявку на сайте, выбрать тариф, подготовить документы (чаще всего это паспорт и заявление на выпуск сертификата ЭП) и передать их в УЦ или прикрепить в личном кабинете, затем подождать несколько дней (пока документы проверяются), получить ЭП и удостоверить свою личность — приехать в офис УЦ или заказать себе выезд представителя.

Александра Сидоркина, «Фонтанка.ру»

Фото: коллаж/«Фонтанка.ру»/pixabay.com

Всего существует 3 вида ЭП: простая ЭП (используется, например, на портале «Госуслуги», Почте России, в финансовых организациях — банках), неквалифицированная ЭП (для сдачи налоговых деклараций физлицами, внутрикорпоративного электронного документооборота), квалифицированная ЭП (электронные торги, сдача отчетности, электронный документооборот с контрагентами, оформление трудовых отношений).

Все вопросы, связанные с использованием ЭП, регулируются 63-ФЗ «Об электронной подписи», юридическое значение ЭП определено в ст. 160 ГК РФ. 286-ФЗ «О внесении изменений в Федеральный закон «О государственной регистрации недвижимости» устанавливает, что дистанционное оформление сделок с недвижимостью с помощью усиленной квалифицированной ЭП возможно только при наличии в ЕГРН соответствующей записи.

Как подсказывают участники рынка, стоимость минимального комплекта электронной подписи составляет около 3,5 тыс. рублей: сама электронная подпись (от 800 руб.), носитель ЭП, токен (от 1 тыс. руб.) и средство криптографической защиты информации (от 1,6 тыс. руб.). Цены определяют сами удостоверяющие центры. При этом у них обязательно должна быть аккредитация Минцифры России.

© Фонтанка.Ру

ПОДЕЛИТЬСЯ

ПРИСОЕДИНИТЬСЯ

Рассылка "Фонтанки": главное за день в вашей почте. По будним дням получайте дайджест самых интересных материалов и читайте в удобное время.

Увидели опечатку? Выделите фрагмент и нажмите Ctrl+Enter

Комментарии (16)

TurboExpert
> ЭП — это самая обыкновенная флешка ...

Начнем с того, что сегодня файлы с ЦП устарели и уже существуют сотни разных USB токенов, а это уже специальное USB устройство где есть свой процессор и ключи записаны в защищенную область памяти (в специальный чип) и мало того что их оттуда не получить (в протоколе токена нет операции чтения ключа), так еще и может быть необходимо ввести еще и одноразовый пароль пришедший для разблокировки этого устройства.

Сегодня популярность набирают различные USB FIDO токены с прошитым заранее ключем обращающиеся к самому удостоверяющему центру, а тот требует подтверждения у пользоватлея в мобильном.

Технический полным полно удобных механизмов, но понимаете люди сами использутют сатрый формат ЭЦП и сохраняют файлы куда-то непойми куда и т.д.

263852311
Любопытно, а что будет, если произойдет очень мощная вспышка на Солнце, или на Россией произойдет высотный ядерный взрыв. Тогда не станет не только компьютеров, но и электричества. Как тогда доказать стаж или право собственности, если они были электронными. Безмозглость однако.

Почему бы сотрудникам ФСБ не премировать инспекторов ФНС, которые ежемесячно бьются за победу в соцсоревновании "подделай ЭЦП сдай уточненный "нулевой" НДС". На этой схеме государство в лице федерального бюджета уже потеряло не один триллион рублей. В конце концов все это рано или поздно всплывет грандиозным скандалом и напомнит громкие дела позднего СССР....

Наши партнёры

Lentainform

Загрузка...