Чем опасна электронная подпись для физических лиц
Только ленивый не написал о том, что квартиру у собственника якобы можно увести, если подать в Росреестр договор купли-продажи или дарения, который подписан с помощью электронной цифровой подписи. Сама подпись при этом получается либо путем сговора с сотрудниками удостоверяющего центра, либо по липовой доверенности там же.
Росреестр активно рекламирует услугу запрета действий с недвижимостью без личного участия. Если есть такая отметка, Росреестр не будет регистрировать сделки по доверенности. Но распространяется ли этот запрет на документы, подписанные ЭП и поданные электронно?
СМИ часто пишут о мошенничестве с ЭП. По их мнению, подача такого заявления в Росреестр — это способ обезопасить себя от мошенников. Но я тут теряю логику: сначала пишем об ЭП, а затем рекомендуем запретить сделки по доверенности. Это же не одно и то же!
Иными словами, если я подал в Росреестр заявление о запрете действий без личного присутствия, можно ли совершать другие сделки с помощью ЭП? Если следовать формальной логике, другие сделки совершать можно, потому что закон приравнивает ЭП к собственноручной подписи. Но тогда существует ли способ себя обезопасить? Не везде есть аналогичное заявление «ограничить действия с ЭП».
Могу я хотя бы проверить, выдавалась ли когда-нибудь на мое имя ЭП, по аналогии с кредитной историей?
Алексей, электронная подпись для многих граждан остается некой загадочной вещью. Все знают, что ее можно оформить. Но что ей подписывать и как защитить имущество от ее несанкционированного использования — понятно не всем.
Я оформил ЭП на свое имя и попробовал ее в действии. Основная задача эксперимента — выяснить, может ли узнать простой гражданин, что на его имя оформили такую подпись и начали ее использовать в мошеннических целях.
Расскажу, что выяснил и как обезопасить себя, если используете электронную подпись.
У собственника действительно украли квартиру с помощью ЭП?
Такой факт действительно имел место. В октябре 2018 года была совершена сделка дарения квартиры между жителем Москвы и жителем Уфы. Дарственная подписывалась электронными подписями без участия нотариуса. После этого сделку зарегистрировали в Росреестре. Сами участники сделки утверждают, что ЭП никогда не получали.
Собственник квартиры в Москве узнал о потере собственности только в мае 2019 года: в квитанциях на оплату коммунальных услуг в графе «собственник» появилась новая фамилия.
Пресса делала много предположений, как именно это могло произойти. Но на сегодняшний день это только версии. По этой сделке возбудили уголовное дело, сейчас ведется следствие. Сотрудники полиции комментариев не дают — это обычная практика по таким делам.
Владелец московской квартиры обратился в суд с иском о признании сделки недействительной. Дело № 02-3237/2019 рассматривает Бабушкинский районный суд Москвы, а судебное заседание назначено на 25 июля 2019 года.
О перспективах пока говорить сложно, но, учитывая, что новый владелец квартиры на нее не претендует, сделку дарения могут отменить.
Что такое ЭП
Электронная подпись — аналог собственноручной подписи. Она нужна, чтобы удостоверять электронные документы. Существует два вида ЭП — простая и усиленная.
Простая подпись — это подпись с кодами и паролями. Она подтверждает сам факт того, что человек решился сформировать себе электронную подпись. Эту комбинацию из логина и пароля можно использовать на госуслугах или при документообороте с физическими лицами.
Усиленная подпись использует средства шифрования, которые сертифицированы ФСБ. Она позволяет определить лицо, которое подписало документ, и установить, что в документ вносились изменения после подписания. Бывает двух видов — усиленная неквалифицированная и усиленная квалифицированная электронная подпись. Больше всего полномочий — у квалифицированной.
Утверждается, что подделать усиленную подпись невозможно. Так это или не так — достоверно не известно, но информации о подделке таких подписей в открытых источниках мне найти не удалось.
Квалифицированной электронной подписью можно не просто подписывать документы. С ней можно пользоваться системами, в которых требуется идентификация через ЕСИА — единую систему идентификации и авторизации. Под одним и тем же паролем и логином пользователь может входить на портал госуслуг, сайт Росреестра, налоговой службы и другие сайты, подключенные к системе ЕСИА. Все, что человек делает с ЭП на этих сайтах, приравнивается к действиям, заверенным собственноручной подписью. Можно дарить недвижимость, подавать налоговые декларации, заявление, чтобы восстановить паспорт, заказывать справки и выписки, регистрироваться в качестве юридического лица или ИП.
Выдать ЭП может удостоверяющий центр, у которого есть аккредитация в Министерстве цифрового развития, связи и массовых коммуникаций РФ.
Как защитить себя
Даже в такой ситуации можно защитить себя и свое имущество.
Запрашивать все удостоверяющие центры, выдавалась ли на ваше имя ЭП, бесполезно. Сейчас, когда я пишу эту статью, в России, по данным Минкомсвязи, действует 493 удостоверяющих центра. Этот список не окончательный: некоторые центры прекращают свою деятельность, появляются новые. Отправлять в них запросы технически сложно, тем более во все 493.
Информацию о сертификатах ЭП вносят в единый реестр. Закон разрешает запрашивать информацию из этого реестра, в том числе в электронном виде. Но в запросе нужно будет указать серийный номер сертификата. Если его не знаете, запрос сделать не получится.
Выпущенную ЭП можно отозвать — закон это разрешает. Но делать это должен тот удостоверяющий центр, что выдал электронную подпись. Туда нужно будет подать заявление — на бумажном носителе или в формате электронного документа. Если подпись оформили мошенники и вы не знаете, в каком удостоверяющем центре они это сделали, то подать заявление будет затруднительно.
Я вижу следующие способы защиты.
Зарегистрировать учетную запись на портале госуслуг и подключить к ней смс-уведомления и уведомления на электронную почту о проводимых операциях.
Регулярно отслеживать раздел «Последние действия» на госуслугах. Если кто-то зарегистрирует там полученную без вашего участия ЭП, это отобразится в списке операций. Также будет видно, к каким ресурсам обращался мошенник с использованием ЕСИА. Если он заходил на сайт Росреестра, в налоговую или в загс, нужно обратиться туда с заявлением о приостановлении действий с использованием ЭП. В крайнем случае можно будет обратиться в суд и потребовать наложить судебный запрет до того, как сделку зарегистрируют. Судебный запрет — это дело небыстрое, но, по крайней мере, будут доказательства, что вы пытались противостоять мошенникам. Кстати, если у вас будет собственная электронная подпись, можно попробовать отменить сделку, пока ее не зарегистрировали.
Обеспечить надежные условия хранения, если решили оформить электронную подпись. Любой, в чьи руки она попадет, может совершать юридически значимые действия: оформлять договоры дарения, купли-продажи , мены, долговые расписки, договоры займов, регистрацию и расторжение брака и многое другое. Не стоит доверять даже близким людям. А еще задумайтесь, нужен ли вам носитель с электронной подписью. Оплачивать штрафы и пошлины со скидкой через госуслуги можно с обычным логином и паролем. С учетом того, что на всех ЭП установлен единый для всей страны пин-код , утеря или кража самого носителя может привести к катастрофическим последствиям.
Если у вас есть вопрос о личных финансах, правах и законах, здоровье или образовании, пишите. На самые интересные вопросы ответят эксперты журнала.
С развитием новых технологий совершенствуются и способы совершения преступлений. Теперь преступники, не выходя из дома, могут лишить гражданина его жилья или оформить на него фирму-однодневку. Это оказалось возможным благодаря использованию электронной подписи и несовершенству законодательства, которое регулирует отношения в этой сфере. Сейчас власти пытаются спасти ситуацию с помощью новых поправок. А эксперты рассказывают, как обезопасить себя от «технологичного» мошенничества.
Согласно статистике МВД, мошенничества с использованием электронной цифровой подписи (ЭЦП) стали новым трендом в последние два года. Потенциальными пострадавшими от подобных действий являются современные деловые люди, чаще всего – бизнесмены, утверждает бывший следователь СКР по особо важным делам, а теперь партнер Адвокатское бюро ZKS Адвокатское бюро ZKS Федеральный рейтинг. группа Уголовное право 16 место По выручке на юриста (менее 30 юристов) 41 место По выручке Профайл компании × Алексей Новиков. Одна из наиболее распространенных схем, когда злоумышленники по подложным документам оформляют электронные подписи на имя других людей. Те даже не подозревают об этом.
Электронная подпись – это цифровой аналог собственноручной подписи, которой можно подписывать электронные документы. Это определенная гарантия того, что документ отправлен от конкретного лица и он не менялся с того момента, как был подписан.
Ненадежные центры выдачи подписей и опасные вирусы
По статистике СРО «Микрофинансирование и развитие», в первой половине 2019 года каждая седьмая жалоба (15,4%) на работу микрофинансовых организаций касалась выдачи займов на третье лицо с помощью электронных подписей. За аналогичный период прошлого года цифра составляла всего 4,7%. Число подобных преступлений растет в том числе и по вине сотрудников удостоверяющих центров, которые выдают подписи. Директор правового департамента Минкомсвязи Роман Кузнецов рассказывал «Известиям», что их ведомство регулярно проверяет такие компании и штрафует либо лишает аккредитации за выявленные нарушения.
Более того, есть удостоверяющие центры, которые специально созданы для мошеннических схем, уверяет Алексей Лукацкий, консультант по безопасности Cisco Systems: «Вы вообще не в курсе, что кто-то оформляет за вас что-то. Мошенник и номер свой укажет, чтобы ему приходили уведомления, а не вам». Минкомсвязь требует сократить число таких центров до 10–15 организаций и ввести для их работников уголовное наказание за ряд нарушений. Сейчас предусмотрена лишь административная ответственность для удостоверяющих центров. Если специализированная компания нарушила порядок выдачи электронной подписи, то ее могут оштрафовать на 10 000–30 000 руб. (ст. 13.33 КоАП).
Другой популярный способ, который используют мошенники, – воспользоваться уже выпущенными электронными подписями, принадлежащими добросовестным пользователям. Самая простая схема, когда сотрудник предприятия использует ЭЦП фирмы, чтобы похитить деньги организации. В практике адвоката Алексея Сердюка из Князев и партнеры Князев и партнеры Федеральный рейтинг. группа Уголовное право Профайл компании × был кейс, где подобное преступление совершила главный бухгалтер компании, проработавшая там более 10 лет. Сотрудница, никогда не имевшая нареканий, через «банк-клиент» перевела средства фирмы на подконтрольные ей счета других обществ. Расследование этого дела заняло 2,5 года, говорит юрист. Хотя злоумышленница получила четыре года лишения свободы, но похищенные деньги вернуть так и не удалось.
Есть и более хитрые схемы, когда создают программы-вирусы, которые заражают компьютеры пользователей. Это происходит, когда те при посещении сайтов нажимают на всплывающие «окна» либо открывают письма от подозрительных отправителей. Вредоносное приложение может загрузиться и на компьютер главного бухгалтера фирмы, предупреждает старший юрист Забейда и партнеры Забейда и партнеры Федеральный рейтинг. группа Уголовное право × Дмитрий Алексашин. Когда финансист будет отправлять очередную платежку в банк, вирус автоматически изменит реквизиты получателя платежа на счета мошенников. И подписанный электронной подписью документ подтвердит отправку денег фирмам-однодневкам, которые контролируются злоумышленниками, объясняет эксперт.
Личная защита
– Не устанавливать банковские приложения на гаджеты, которые используются для посещения информационных и развлекательных сайтов.
– Своевременно повышать защиту антивирусных программ и браузеров.
– Не общаться с неизвестными адресатами по электронной почте компании (не открывать письма, файлы, ссылки, пришедшие от неизвестных людей).
– Не использовать программы интернет-банкинга на компьютерах, установленных в публичных местах.
– При потере документов незамедлительно сообщить о пропаже в полицию.
– Изменить «заводской» пароль к электронной подписи на свой собственный.
Если без вашего ведома все же провели какую-то операцию с помощью электронной подписи, то на практике это можно доказать с помощью интернет-трафика. Он покажет, что в конкретный день и час пользователь не выходил в сеть со своего устройства, которое обычно использует для проведения таких операций, говорит Новиков. А главное – чтобы уменьшить число подобных махинаций, надо совершенствовать законодательство, констатирует управляющий партнер МКА «Солдаткин, Зеленая и Партнёры» (SZP Law) МКА «Солдаткин, Зеленая и Партнёры» (SZP Law) Федеральный рейтинг. группа Семейное и наследственное право группа Трудовое и миграционное право (включая споры) группа Уголовное право × Дмитрий Солдаткин. Он считает необходимым установить требование об обязательном личном присутствии заявителя или его представителя при оформлении ЭЦП. Пока же ирония заключается в том, что использование электронной подписи настолько же упрощает жизнь, насколько усложняет процесс доказывания того факта, что отчуждение имущества совершил не ее владелец, резюмирует Виктор Ушакевич из Адвокатское бюро «Торн» Адвокатское бюро «Торн» Региональный рейтинг. × .
Изначальная простота онлайн-сделок с электронной регистрацией и чрезмерная беспечность сторон сделки способны обернуться в лучшем случае потерей денег, времени и потраченными нервами, в худшем — риском столкнуться с мошенниками и потерять свою недвижимость.
Наталия Булахова, юрист-эксперт Гильдии риелторов Московской области
Плюс цифровизация всей страны
По данным пресс-службы Федеральной кадастровой палаты Росреестра, в 2020 году спрос на усиленные квалифицированные электронные подписи вырос почти в два раза по сравнению с предыдущим годом. Востребованность электронной подписи закономерна: ей способствовали ограничения во время самоизоляции из-за пандемии, а также переход на электронный документооборот.
Электронная подпись (ЭП) — это цифровой аналог обычной подписи, который действует в течение срока, на который выдается (например на год).
Согласно Федеральному закону РФ от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи», это информация в электронно-цифровой форме, которая используется для идентификации физического или юридического лица.
Усиленная квалифицированная электронная подпись позволяет дистанционно получать госуслуги Росреестра и других ведомств, подавать отчетность в налоговую, Пенсионный фонд, Фонд социального страхования, участвовать в электронных торгах и подписывать документы в электронном виде. Для получения сертификата электронной подписи понадобятся паспорт, ИНН и СНИЛС: в удостоверяющем центре кадастровой палаты надо сделать запрос на сайте и оплатить услугу.
Электронные услуги имеют много преимуществ: экономят время, ускоряют рассмотрение запросов, сокращают количество посещений и делают взаимодействие с госорганами более удобным, а процедуру предоставления конкретной электронной услуги — более четкой и понятной.
Так ли все безоблачно?
К сожалению, популярны непрофессиональные рекомендации — например, такой лжеуспокаивающий совет, что собственнику недвижимости надо подать в Росреестр заявление о невозможности регистрации сделки без личного участия, и этого будет достаточно, чтобы обезопасить себя от мошенничества с электронным подписанием договора и проведением регистрации в Росреестре в электронном виде.
Наложенный собственником через Росреестр запрет на регистрацию без личного участия предполагает лишь ее невозможность на основании доверенности (действительно выданной собственником или поддельной).
При этом договор, подписанный в электронном виде с привлечением ЭП, приравнивается к договору, подписанному физлицом вживую, то есть лично.
Поэтому сейчас собственникам недвижимости стоит бояться не мошеннической схемы с недвижимостью по бумажной доверенности в Росреестре.
Гораздо опаснее, если посторонние лица незаконно завладеют флеш-носителем с ключом к ЭП для подписания каких-либо документов или подделают нотариальную доверенность на изготовление и получение в удостоверяющем центре ключа ЭП и сертификата ключа подписи собственника, чтобы провести сделку от его имени.
На сегодня судебная практика по вопросам оспаривания и признания недействительными электронных сделок, когда стороны подписывают договоры электронной подписью, еще не сложилась. С момента их массового заключения прошло немного времени. Обзоры Верховного Суда пока не обобщают практику по электронным сделкам. Так что участникам рынка недвижимости приходится «набивать шишки» и учиться на своих ошибках.
Большинство профессионалов, в том числе юристы, с большой осторожностью относятся к электронным способам подписания документов и проведению электронной регистрации в Росреестре.
Законодательная защита от мошенничества
Законодатель пытается обезопасить собственника от электронных способов мошенничества, вводя новые нормы права, но их реализация затруднительна.
Согласно изменениям, госрегистрация перехода (прекращения) права собственности на объект недвижимости на основании заявления и прилагаемых к нему документов в форме электронных документов, подписанных ЭП, проводится при условии, что в ЕГРН содержится запись о возможности регистрации на основании документов, подписанных ЭП. Если подобной записи нет, заявление, подписанное ЭП собственника, возвращается без рассмотрения.
В каких случаях отметка в ЕГРН о том, что собственник согласен на сделки в электронном виде, необязательна?
- Если документы представлены нотариусом на основании нотариально удостоверенной сделки или органами государственной (муниципальной) власти.
- Если подача документов для регистрации перехода прав на недвижимость с привлечением кредитных средств планируется через банк.
- Если документы подписаны усиленной квалифицированной электронной подписью (УКЭП), выданной удостоверяющим центром Федеральной кадастровой палаты.
Так что если договор по распоряжению недвижимостью не содержит истинной воли собственника, но подписан его электронной подписью (для этого всего лишь нужен флеш-носитель с ЭП и ключ к нему), то сдать его в Росреестр на электронную регистрацию через ипотечный банк не составит никакого труда. Ведь в этом случае отметка в ЕГРН собственника на сделку в электронном виде необязательна и законом не предусмотрена.
2. В том же Федеральном законе № 218 с 1 ноября 2019 года введена в действие часть 5 статьи 36.2. Согласно ей, в день поступления заявления о госрегистрации перехода (прекращения) права собственности на недвижимость и прилагаемых к нему документов в форме электронных документов Росреестр обязан уведомить об этом собственника (Федеральный закон от 2 августа 2019 года № 286-ФЗ «О внесении изменений в ФЗ «О государственной регистрации недвижимости»).
Эта норма действует независимо от наличия отметки в ЕГРН о возможности регистрации на основании документов, подписанных ЭП. Таким образом, регистратор должен предупредить собственника о том, что поступило заявление о регистрации. Предполагается, что так владелец своевременно узнает о попытках незаконного переоформления принадлежащей ему недвижимости.
Уведомление будут направлять только по имеющимся в базе ЕГРН контактным данным (адресу электронной почты) собственника этой недвижимости, которые ранее были указаны им для обратной связи при регистрации в ЕГРН.
Предположим, данные собственника устарели или ранее он не предоставлял их в ЕГРН? Как ему получить информацию из Росреестра и оперативно отреагировать?
К тому же форма и порядок такого уведомления Росреестром также еще не разработаны. Поэтому после принятия фактически декларативной нормы права особенно остро стоит вопрос об актуализации данных собственников в ЕГРН и оперативного уведомления их о мошеннических действиях.
Если недвижимость оформлена в долевой собственности на нескольких собственников, то обновить свои данные должен каждый из них.
3. Постановление Правительства РФ № 1905 о расширении сферы услуг, которые оказывают многофункциональные центры предоставления государственных и муниципальных услуг (МФЦ), подписано 24 ноября 2020 года. Перечень услуг теперь включает пункт о том, что граждане вправе получить в МФЦ и ключи к электронной цифровой подписи.
Теперь особое внимание следует уделять защите личных кабинетов граждан на сайте госуслуг от взломов, персонификации личности при доступе к услугам через личный кабинет, в том числе и для заказа ЭП.
Как уберечь свою недвижимость?
Собственникам недвижимости важно усвоить несколько правил, которые помогут защититься от электронных способов мошеннических действий с их недвижимостью.
Техника безопасности использования ЭП
1. Надо серьезно и вдумчиво выбирать аккредитованный удостоверяющий центр, который выдает ЭП. Список таких центров проверяйте на официальном сайте Минкомсвязи РФ. Там же опубликованы списки центров, деятельность которых приостановлена или прекращена.
2. Передавать флеш-носитель с ключом к своей ЭП третьим лицам категорически запрещено — это очень опасно.
3. Следует придумать достаточно безопасное место для хранения флеш-носителя с ключом к своей ЭП, которое исключает доступ других.
4. Не будет лишним заполнить и подать через МФЦ или официальный сайт Росреестра заявление о внесении в ЕГРН дополнительных сведений, дополнив свои контактные данные: электронную почту и номер телефона. Это позволит регистратору связаться с вами, если в Росреестр без вашего ведома будет подан пакет документов в электронном виде для перехода прав на вашу недвижимость.
5. Если вы собираетесь подавать документы по сделке в Росреестр через посредника (ипотечный банк, офис застройщика, агентство недвижимости), то у посредника должно быть специальное соглашение с Росреестром о предоставлении услуги электронной регистрации и подачи документов. Если электронные документы подаются через нотариуса или ипотечный банк, регистрация состоится в электронном виде, даже если вы предварительно не сделали в ЕГРН отметку о том, что подача в Росреестр документов по переходу прав на вашу недвижимость допустима в электронном виде.
6. Когда посредник (тот же ипотечный банк) берет на себя хлопоты по получению вашей электронной подписи, проявите внимательность в ее получении. Подписав своей ЭП договор купли-продажи, в дальнейшем вы вправе использовать ее многократно. Для своей безопасности не допускайте, чтобы вашу ЭП использовали третьи лица — допустим, менеджеры банка или представители застройщика.
7. Если вы подписываете договор по отчуждению с привлечением ЭП, то обязательно подписывайте с покупателем распечатанный бумажный экземпляр того же итогового варианта договора. Это позволит в дальнейшем исключить мошенническое изменение его условий, ранее согласованных другой стороной, — например, цену недвижимости.
8. Стороны сделки, которые соглашаются на электронные способы регистрации, должны быть готовы самостоятельно получать информацию из Росреестра о причинах приостановки или отказа в государственной регистрации перехода прав собственности на объект (если это произойдет). К тому же придется искать не все загрузившиеся в базу документы или свой пакет документов, сданный на регистрацию. Ни ипотечный банк, ни застройщик, с помощью которых вы приобрели квартиру, в этом участвовать не будут.
Электронная цифровая подпись (ЭЦП) — реквизит электронного документа, позволяющий определить авторство и его неизменность в последующем. С юридической точки зрения, она эквивалентна собственноручной, поэтому может быть использована для подписи документов в рамках ЭДО с физическими и юридическими лицами, взаимодействия с государственными органами при отправке отчетов, деклараций. Использование электронной подписи позволяет вести документооборот в удаленном формате через интернет, что экономит время на отправку документов обычной почтой, деньги на их распечатку, приобретение маркированных конвертов, гарантирует получение документа получателем.
Риски при использовании ЭЦП
Возможность поставить за реального человека его официальную подпись на документе привела к появлению нового вида мошенничества. Речь о хищении ЭЦП, которое позволит злоумышленнику оформить документы за реального человека, выполнив следующие действия:
продажа коммерческой или жилой недвижимости;
подача в налоговую службу поддельной декларации для возмещения НДС;
вывод и ликвидация фирмы;
оформление кредита на организацию с выводом средств.
В будущем подобные сделки могут быть опротестованы реальным владельцем, но поиск преступников, судебные разбирательства могут занимать месяцы и годы, поэтому важно предотвратить потерю ЭЦП и ее попадание в руки мошенников.
Как снизить риск мошенничества с ЭЦП
На практике подделать цифровую подпись невозможно из-за использования мощных криптографических технологий при ее генерации. Причиной подобных мошенничеств становится неаккуратность и невнимательность самих пользователей, что ведет к утечке конфиденциальной информации. В дальнейшем при наличии чужого токена и пароля можно подписывать любые юридически значимые документы. Для предотвращения проблем пользователю достаточно соблюдать несколько простых правил:
Нельзя передавать подпись третьим лицам, даже если это ваш заместитель, главный бухгалтер, иной сотрудник предприятия. Причина в проблематичности доказательства, что ЭЦП поставил посторонний человек, а не сам владелец. Исключением станет передача подписи по доверенности или внутреннему приказу предприятия, где четко указана возможность оформления этим лицом только определенных документов. Одновременно здесь значительно безопаснее выпустить дополнительную ЭЦП, которая стоит недорого.
При увольнении сотрудника, на которого была оформлена цифровая подпись, необходимо сразу отозвать сертификат. В противном случае он может выполнить несанкционированные действия, которые потенциально парализуют на длительное время работу предприятия. Для этого в отделе кадров всегда должен быть реестр работников, на которых оформлена ЭЦП.
Компьютер, где используется подпись, и сама ЭЦП должны быть защищены паролем (на последнем обязательно надо сменить стандартный пароль на пользовательский, что повысит безопасность и предотвратит возможность использования при потере USB-флешки).
На рабочем месте, где используют цифровую подпись, должна быть всегда свежая версия антивируса. На ПК всегда должна соблюдаться простейшая цифровая гигиена. Речь про запрет на открытие непонятных файлов, которые могут содержать шпионские программы для копирования данных, включая сертификаты цифровых подписей, кражу их пароля. Также при отходе от рабочего компьютера он должен быть заблокирован.
Нельзя отправлять реквизиты вашего паспорта, его сканированную версию ненадежным компаниям, оставлять их на непонятных сайтах. Если же вы потеряли его, то важно обратиться в полицию с заявлением об утере.
Хранить пароль от токена и сам физический носитель необходимо в разных местах, чтобы при краже или утере мошенники получили только один элемент пазла для несанкционированного использования ЭЦП.
Несмотря на то что электронная подпись не имеет альтернатив в плане безопасности, периодически становится известно о случаях мошенничества с её применением. Чаще они связаны с тем, что владелец недооценивает опасность компрометации ключа и не соблюдает необходимые меры безопасности. Но также мошенники могут создать ситуации, при которых пострадавшим становится человек, никогда не оформлявший электронную подпись. Рассказываем о том, как сделать использование ЭП максимально безопасным.
Квалифицированная электронная подпись не только полноценно заменяет подпись от руки и обладает такой же юридической силой, но имеет преимущества перед обычной подписью, главные из которых:
- Надёжность. Электронный документ, подписанный ЭП, можно передавать по защищённым каналам связи. Для установки подлинности документа, подписанного ЭП, не нужен физический носитель — подпись присоединена к электронному документу, её всегда можно проверить, независимо от того, каким образом и сколько раз передавался документ. В то время как для проверки подписи на бумаге необходим оригинал документа.
- Невозможность подделки. Усиленная электронная подпись создаётся с применением криптографических методов защиты информации, поэтому подделать её невозможно. Подпись от руки нередко подделывают, установить факт подделки в ходе экспертизы удаётся не всегда.
- Гарантия неизменности документа после подписания. Любые изменения, внесённые в документ после его подписания электронной подписью, сделают подпись недействительной. Документ, подписанный от руки, никак не защищён от дальнейших изменений.
- Более широкая сфера применения. В некоторых ситуациях подписание от руки попросту невозможно, что делает использование ЭП обязательным. Участие в электронных торгах, сдача определенных видов отчётности в госорганы, работа в государственных информационных системах — для этого понадобится именно электронная подпись.
Более широкий спектр возможностей ЭП по сравнению с обычной подписью и её преимущества в плане безопасности очевидны, осталось разобраться, как оградить себя от существующих рисков при использовании электронной подписи.
Незаконное оформление электронной подписи: в чём корень проблемы
К сожалению, мошенники идут в ногу со временем и находят возможности использовать продукты развития цифровой экономики в своих преступных целях. В некоторых случаях пострадать могут не клиенты удостоверяющих центров, а граждане, никогда не получавшие электронную подпись.
Весной 2019 года в российской прессе широко освещался случай отъёма квартиры мошенническим путём с использованием электронной подписи. Преступники переоформили квартиру на третье лицо без ведома собственника. О том, что жильё больше ему не принадлежит, хозяин московской квартиры узнал случайно, когда обнаружил имя нового владельца в квитанции на оплату коммунальных услуг.
В Росреестре пострадавшему сообщили, что электронная сделка по передаче имущества была проведена без нарушения законодательства. Оказалось, что он «подарил» свою квартиру жителю Уфы еще в октябре 2018 года. В итоге выяснилось, что преступление крылось в незаконном оформлении электронной подписи, которой заверялся договор дарения: хозяин квартиры не оформлял ЭП и не получал носитель с ключами электронной подписи и сертификат, за него это сделал другой человек по поддельной доверенности. Где злоумышленники получили паспортные данные владельца для фальсификации доверенности — неизвестно.
Выпустившая электронную подпись организация, так же, как и владелец квартиры, стала жертвой мошенников, получив от них поддельную доверенность. Законодательство позволяет удостоверяющим центрам выдавать ЭП по доверенности: согласно Федеральному закону от 06.04.2011 №63-ФЗ «Об электронной подписи», заявитель представляет доверенность или иной документ, подтверждающий право заявителя действовать от имени других лиц, в оригинале или его надлежащим образом заверенной копии. Иных требований закон не содержит. Фактически удостоверяющие центры имеют право выпускать электронную подпись по доверенности, не удостоверенной нотариально.
Что было бы, если бы закон запрещал выпуск сертификатов ЭП без нотариального заверения доверенности? Нотариальную доверенность подделать сложнее, но тоже возможно. К тому же запрет на выпуск сертификатов и ключей ЭП для юридических лиц без нотариально заверенной доверенности существенно осложнил бы документооборот и скорость работы организаций.
Тем не менее попытки ввести обязательное нотариальное удостоверение доверенностей на выпуск сертификатов электронной подписи уже предпринимаются на законодательном уровне.
В феврале 2018 года в Госдуму был внесён проект Федерального закона № 387130-7, который предусматривал, что при обращении в аккредитованный удостоверяющий центр потребуется представить не обычную доверенность, как сейчас, а нотариально удостоверенную. Однако после принятия в первом чтении законопроект находится без движения с июля 2018 года.
Защитить своё имущество от мошенничества с электронной сделкой с использованием ЭП, полученной по поддельной доверенности, всё же возможно. Для этого был принят Федеральный закон от 02.08.2019 № 286-ФЗ «О внесении изменений в Федеральный закон „О государственной регистрации недвижимости“». Закон создан для того, чтобы защитить граждан от мошенничества в сфере недвижимости. Теперь не получится подать в Росреестр электронное заявление о продаже недвижимости без специальной отметки в ЕГРН о возможности подачи документов в электронной форме.
Отметку проставят на основании заявления, поданного лично или отправленного по почте. При отсутствии такой отметки в регистрации сделки по передаче недвижимости будет отказано. Исключение сделано для нотариальных сделок, для документов, подписанных электронной подписью, сертификат которой выдан Федеральной кадастровой палатой Росреестра, а также для сделок, которые поданы на регистрацию через банки, — их зарегистрируют без отметки. Кроме того, законом предусмотрена обязанность Росреестра уведомлять владельца недвижимости о поступлении от его имени каких-либо электронных документов для продажи или ином отчуждении недвижимости.
Профилактика от законодателя
Есть две основные причины, из-за которых происходят подобные преступления, считает Сердюк. Во-первых, недостаточная идентификация работниками удостоверяющих центров своих клиентов и безответственное отношение самих держателей ЭЦП к «ключам». С первой проблемой уже ведет борьбу законодатель. В конце июля Госдума приняла закон, по которому собственнику жилья надо будет обратиться в Росреестр и лично одобрить переход права на квартиру в электронной форме (либо нотариальное заявление по почте). Тогда регистрирующий орган внесёт в реестр специальную отметку. Если её не будет и при этом кто-то попытается передать права на недвижимость электронным путём, то Росреестр откажется одобрять сделку.
Еще одна законодательная инициатива устанавливает требования к порядку аккредитации и деятельности удостоверяющих центров (УЦ). Для них хотят установить минимальный размер уставного капитала не менее 1 млрд руб., а если филиалы есть не менее чем в трех четвертях субъектов России, то 500 млн руб. Кроме того, такие компании должны иметь высокий порог страховой ответственности своей деятельности. Срок аккредитации центра сократится до трех лет. При этом юридическим лицам электронные подписи будет выдавать УЦ Федеральной налоговой службы, а кредитным организациям – УЦ Центробанка.
Как получить ЭП
Я прошел процедуру и получил электронную подпись.
Посещать удостоверяющий центр придется лично. По доверенности ЭП не выдается. Но никто не мешает мошенникам получать подпись по паспорту с переклеенной фотографией: такую схему давно используют, чтобы получить кредит по украденному паспорту.
Чтобы получить ЭП, при себе нужно иметь паспорт гражданина РФ и СНИЛС. Все оформляют за 15 минут: оператор вносит паспортные данные в систему, проверяет через общедоступные сервисы их подлинность и выдает ЭП. Внешне она выглядит как обычная флешка.
Стоит такая подпись 1400 рублей. Срок действия — год, потом нужно заплатить 600 рублей, чтобы ее продлить, или она перестанет работать.
Правила безопасности для владельцев электронной подписи
Несмотря на весомые преимущества в плане безопасности, применение технологии электронной подписи по-прежнему сопряжено с опасениями и заблуждениями. Часть из них — не более чем мифы, некоторые риски реальны, но их можно избежать или минимизировать.
Основная доля рисков для владельца ЭП связана с недостаточно ответственным отношением к обращению с носителем закрытого ключа. Большая часть преступлений с использованием электронной подписи связана с компрометацией её закрытого ключа, хранить который в тайне —обязанность владельца ЭП. В Федеральном законе от 06.04.2011 №63-ФЗ «Об электронной подписи» говорится о том, что участники взаимодействия с применением ЭП не должны допускать использования своей электронной подписи другими лицами. Главное правило владельца — никогда и ни при каких условиях не передавать другим людям свой носитель электронной подписи, не терять его и не оставлять в доступности посторонних лиц.
Еще один риск связан с хакерскими атаками — получением доступа к компьютеру или ноутбуку владельца подписи для похищения ключа. Предотвратить внедрение злоумышленника в компьютер и компрометацию данных в этом случае можно, соблюдая всем известные правила безопасного поведения в интернете — не переходить по подозрительным ссылкам, не загружать файлы из неизвестных источников, не использовать потенциально зараженные USB-носители и установить на рабочий компьютер надёжную программу-антивирус.
Безопасность использования электронной подписи во многом зависит и от организации, которая её выпустила. Выбор удостоверяющего центра — очень ответственная задача. Фактически удостоверяющий центр подтверждает личность обратившегося и выдаёт ему средство для электронного подписания документов, с юридической точки зрения абсолютно равнозначное его подписи от руки.
Для выдачи сертификатов усиленной квалифицированной электронной подписи удостоверяющий центр должен быть аккредитован Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации. Наличие аккредитации означает, что организация достаточно надёжна для выдачи сертификатов ЭП и соответствует всем государственным требованиям. Список аккредитованных удостоверяющих центров есть на официальном сайте Минкомсвязи.
Как оценить надёжность удостоверяющего центра
Несмотря на то, что мошеннические схемы нацелены на все возможные уязвимые места в законодательстве, которые не ограничиваются сферой электронной подписи, выбор удостоверяющего центра остается одним из важнейших слагаемых безопасного использования ЭП. Поэтому вернёмся к удостоверяющим центрам и рассмотрим подробнее критерии их надёжности.
Законодательство, в рамках которого работают аккредитованные удостоверяющие центры, применяет к ним жёсткие требования, соответствие которым необходимо подтверждать раз в пять лет. Правила аккредитации удостоверяющего центра определяются статьей 16 Федерального закона №63 «Об электронной подписи». Среди главных условий для получения удостоверяющим центром аккредитации Минкомсвязи:
- организация должна обладать чистыми активами стоимостью не менее 7 млн рублей;
- у организации должно быть финансовое обеспечение ответственности за убытки, причинённые третьим лицам вследствие их доверия к информации, указанной в сертификате ключа проверки электронной подписи, выданном УЦ, или информации, содержащейся в реестре сертификатов, который ведет этот УЦ. Сумма — не менее 30 млн рублей и 500 тысяч рублей за каждое место осуществления лицензируемого вида деятельности;
- средства электронной подписи удостоверяющего центра должны быть сертифицированы ФСБ Российской Федерации;
- удостоверяющий центр должен иметь порядок реализаций функций и исполнения обязанностей в виде регламента, правил и прочих нормативных документов, установленный в соответствии с требованиями, утверждёнными федеральным органом исполнительной власти.
Кроме этого, есть не прописанные в законодательстве критерии, по которым можно определить надёжность удостоверяющего центра:
- Срок работы организации, количество её региональных представительств. Если компания крупная, давно на рынке и имеет множество клиентов, включая крупные организации, вероятность непредвиденных ситуаций снижается.
- Наличие лицензии ФСТЭК. Сертификат доказывает соответствие законодательству в плане технической защиты конфиденциальных данных.
- Статус доверенного центра ФНС, ПФР и Росстата. Если организация, помимо выдачи электронной подписи, предоставляет услуги электронной отчётности в контролирующие органы, это свидетельствует о высоком уровне доверия государства к этому удостоверяющему центру.
Фактором, снижающим доверие к удостоверяющему центру, является возможность проведения удалённого установления личности клиентов. Удалённое установление личности может подразумевать передачу отсканированных документов, необходимых для удостоверения личности клиента, через интернет и выпуск сертификата только на основании переданных документов. В таком случае вероятность предъявления поддельных документов значительно возрастает, потому что подделать фотографию или скан документа значительно проще, чем бумажный экземпляр. Кроме того, в такой ситуации невозможна непосредственная проверка соответствия личности заявителя личности владельца предъявляемых документов.
Удостоверяющий центр, проводящий удалённое установление личности, серьёзно нарушает закон, такая процедура не предусмотрена действующим законодательством.
В настоящий момент (до принятия поправок к 63-ФЗ) единственным легальным механизмом удалённой верификации личности при выдаче квалифицированного сертификата ЭП является механизм, связанный с использованием биометрического загранпаспорта. Этот вид дистанционного установления личности используется в рамках эксперимента, проводимого в соответствии с постановлением Правительства РФ от 29.10.2016 №1104.
Какие есть риски, если оформить ЭП
Пока произошла только одна сомнительная сделка с использованием ЭП. Поскольку в результате нее собственник потерял права на недвижимость, Росреестр решил подстраховаться и предложил гражданам не регистрировать сделки без их личного участия. Для этого нужно подать специальное заявление.
Но даже такой отказ не дает гарантий, что электронную подпись не смогут использовать в противоправных целях. Даже если наложить запрет на регистрацию сделок с собственностью без личного участия, юридическую силу электронной подписи это не отменяет. Да, с помощью нее уже нельзя будет подарить или продать квартиру, но на любом другом документе она будет равнозначна обычной подписи. И здесь возникнут уже другие риски.
Например, мошенники могут оформить юрлицо без посещения налоговых органов. Инструкция, как это сделать, есть на сайте госуслуг. А потом мошенники могут от имени учредителя подписать приказ о назначении директора и бухгалтера и открыть счет в банке. Отвечать за любые незаконные действия мошенников, скорее всего, придется человеку, который не имеет к этому никакого отношения.
А еще недобросовестный муж может подать документы через госуслуги на развод и подписать их электронными подписями — своей и жены. Причем супруга, возможно, узнает об этом только через несколько лет, когда выяснится, что совместно нажитого имущества у них нет, брак расторгнут уже давно по обоюдному согласию и делить нечего.
Криптографическая защита — это замечательно. Сертификат ФСБ, возможно, дает гарантии от подделки такой подписи. Но установка единого пин-кода для всех ЭП делает бесполезной любую криптографическую защиту.
Потерять квартиру или стать собственником «однодневки»
Получить такую подпись можно в одном из 500 удостоверяющих центров. В некоторых организациях процедуру проведут через интернет без личного присутствия. Как выяснило издание 47News, оформить ЭЦП на другого человека очень просто. Если известны СНИЛС и данные паспорта, то достаточно нескольких тысяч рублей и фотошопа. Журналист Юлия Гильмшина приобрела подпись за генерального директора издания. Третья фирма, куда она обратилась, пошла навстречу сотруднику, чей шеф «не хочет заниматься бюрократией». В итоге журналисту выдали ЭЦП на человека, который сам никуда не обращался и по легенде ничего не знал.
– Подделать ее гораздо сложнее, чем собственноручную.
– Становится дешевле процедура подготовки, доставки и хранения документов, а также значительно сокращается время их движения.
– Сокращается объем бумажного документооборота.
Подобные ситуации оказались возможны из-за пробела в законодательстве, объясняет Никита Роженцов из Alliance Legal Consulting Group Alliance Legal Consulting Group Федеральный рейтинг. группа Санкционное право группа Уголовное право группа ГЧП/Инфраструктурные проекты Профайл компании × : «Удостоверяющий центр обязан установить личность получателя сертификата, но способ такой процедуры не регламентирован». Эта правовая неопределенность не позволяет однозначно определить, кто именно обращался в аккредитованную компанию за подписью – реальный владелец паспорта или злоумышленник с украденной ксерокопией. Так, неизвестные мошенники оформили подпись за Романа Салтовского, а затем «подарили» его московскую квартиру жителю Уфы. После этого электронную сделку зарегистрировали в Росреестре.
О смене собственника пострадавший узнал лишь после того, как получил очередную квитанцию с неизвестной фамилией. Теперь Салтовский возвращает квартиру в судебном порядке, он требует признать спорный договор дарения недействительной сделкой (дело № 02-3237/2019). Параллельно полиция ищет злоумышленников, которые провернули такое мошенничество. С помощью таких схем на гражданина могут зарегистрировать и целые компании. На Павла Зимакова и его супругу оформили три фирмы в разных российских регионах, а также взяли кредиты в микрофинансовых организациях. В этом деле сейчас тоже разбираются сотрудники правоохранительных органов.
- В сфере недвижимости: собственник лишается имущества в результате сделки, которую в действительности не совершал. Речь идет о договоре дарения или купли-продажи.
- В сфере госрегистрации юридических лиц: владелец бизнеса, вопреки своей воле, перестает быть руководителем организации или наоборот, когда физлицо становится номинальным главой фирмы-однодневки.
- В сфере кредитования: мошенники получают микрозаймы от имени других лиц.
- В сфере госзакупок: конкуренты похищают электронный ключ, чтобы ограничить допуск конкретной организации к закупочным процедурам.
Законодательные меры для защищённого использования ЭП
В настоящее время проходят подготовку ко второму чтению в Госдуме принятые в первом чтении поправки в Федеральный закон от 06.04.2011 №63-ФЗ «Об электронной подписи». Историю подготовки законопроекта с поправками и основные этапы его изменений вы найдете в статье Елены Никоновой.
Как пользоваться ЭП
Сразу пользоваться электронной подписью не получится — нужно настроить компьютер. Можно обратиться к специалистам центра, который выдал ЭП, они все сделают сами. А можно самостоятельно скачать все необходимые программы с сайта удостоверяющего центра.
У меня на ноутбуке была установлена операционная система Линукс. Самостоятельно настроить ее для работы с ЭП я не смог, а к специалистам ехать было далеко. Пришлось установить привычный для многих Виндоус 10. После этого все необходимые приложения без проблем установились в автоматическом режиме.
Если скачивать все приложения с сайта, они устанавливаются в автоматическом режиме. Потом нужно перезагрузить компьютер — и можно работать с ЭП
Сразу войти с электронной подписью на госуслуги не получится. Нужно сначала войти на сайт с логином и паролем и внести изменения в разделе «Настройки учетной записи» — разрешить вход по ЭП
После этого в списке последних действий появится информация о том, что вход по электронной подписи разрешен. Также укажут время, когда вы разрешили вход по ЭП, IP-адрес компьютера и тип браузера
С этого момента логин и пароль для авторизации в системе ЕСИА становятся не нужны. Достаточно вставить носитель с ЭП и при авторизации указать, что входите с электронной подписью. Система потребует только ввести пин-код к ЭП.
Пин-кода нет ни в одном документе, который мне выдали при получении подписи. Я его узнал, когда позвонил по телефону сервисной службы. Пин стандартный для всех: 12345678. Сотрудник сервисной службы не рекомендовал его менять: новый пин-код владелец забудет, а сайт госуслуг все равно будет требовать стандартный пин. Это означает, что, если физический носитель ЭП украдут или вы случайно его потеряете, воспользоваться этой подписью может кто угодно.
Дисклеймер
Мошенники появились задолго до того, как возникли банки и электронные подписи. Ни одному государству мошенники не нравятся. Они выводят деньги из реальной экономики, не платят налоги сами и уменьшают налоговую базу обычных граждан. Поэтому государство усложняет мошенникам жизнь — придумывает гербовые бланки, печати, государственную регистрацию сделок и электронные подписи.
Мошенники ищут способы перехитрить государство и собственников. Государство эти способы выявляет и делает так, чтобы никто не мог ими воспользоваться. Эта борьба длится веками, и появление электронных услуг не поставит в ней точку.
Электронные подписи и электронные услуги в целом не защищают от мошенников. Но сильно осложняют им жизнь. А в некоторых случаях — осложняют жизнь и простым гражданам, если они не знают, что это за услуги и какие правила безопасности нужно соблюдать. Но если вы знаете все тонкости работы системы — мошенникам можно противостоять.
Читайте также: