Она позволяет точно установить лицо, которое просматривало или меняло содержание документов. То есть это способ идентифицировать пользователя. Однако иногда возникает необходимость передать ЭЦП другому лицу. Правомерно ли это? Рассмотрим в данной статье.

Основная информация

Применение электронной подписи регулируется ФЗ №63 «Об ЭПЦ» от 6 апреля 2011 года. Она представляет собой электронные символы, закрепленные за документом или информационным ресурсом. Необходима она для идентификации пользователя. Требуется для эффективной защиты от несанкционированного внесения изменений в документы.

Различают три формы электронной подписи. Различаются они между собой по следующим признакам:

• Порядок получения.
• Степень защиты.
• Функция идентификации пользователя.
• Наличие защиты от внесения в документы несанкционированных изменений.

Разновидности электронных подписей прописаны в статье 5 ФЗ №63:

• Простая. Представляет собой сочетание пароля и логина. Это наиболее распространенный метод идентификации, который также признается ЭЦП. Используется он на форумах, в соцсетях. На некоторых ресурсах присутствует двухэтапная идентификация. Она предполагает получение одноразового пароля по смс. Базовые характеристики этой ЭЦП: отсутствует технология шифрования, плохая защищенность. Этот метод не используется при заверении официальной документации. Однако способ удобен при выполнении повседневных действий, которые не предполагают высокую степень защиты.
• Неквалифицированная. Такая ЭЦП предоставляется специальными центрами. Они могут не иметь государственной аккредитации. Преимущества метода – использование методов шифрования. Подпись актуальна для государственных закупок. Она используется в личном кабинете на ресурсе ФНС. Для использования нужно оформить соглашение между сторонами.
• Квалифицированная. Получить ее можно только в удостоверяющих центрах, у которых есть аккредитация. Основные характеристики: повышенная надежность, защищенность. По сути, это замена обычной подписи. Владельцу такой ЭЦП предоставляется сертификат.

Подбор вида подписи зависит от конкретной задачи. Как правило, под электронной подписью понимается именно квалифицированный вид.

В каком случае можно передавать ЭЦП другому лицу

Ни в одном нормативном акте не сказано, что ЭЦП можно передавать сторонним лицам. Связан этот негласный запрет с тем, что электронная подпись служит идентификации лица. По сути, передачу ЭЦП можно сравнить с тем, что владельцу «живой» подписи отрезают руку и этой рукой ставят роспись.

Однако на практике все совсем по-другому. Особенности передачи зависят от вида подписи. Простая ЭЦП свободно передается другим лицам. То есть руководитель может предоставить своему сотруднику пароль и логин. Никто это не отслеживает, так как простой вид не приравнен к «живой» подписи. Через логин и пароль не происходит идентификации пользователя. Также не исполняется шифровка данных. Однако нужно учитывать все возможные риски. К примеру, если сотрудник опубликует через логин своего руководителя запретные материалы, ответственность понесет именно последний. Освободиться от ответственности можно только в том случае, если человек сможет доказать, что его пароль был взять незаконно. Сделать это крайне сложно.

ВАЖНО! Передача обычной ЭЦП не предполагает наложения ответственности. Наказание следует только в том случае, если при помощи переданного пароля выполнены незаконные действия.

Можно ли передать квалифицированную подпись?

Необходимость в передаче подписи возникает довольно часто. Иногда руководитель делегирует обязанность по изменению документов своему подчиненному. В статье 2 ФЗ №63 указано, что электронная подпись служит идентификации ее владельца. Если ЭЦП передается постороннему лицу, смысл ее просто утрачивается, так как лицо, использующее подпись, невозможно идентифицировать.

В статье 10 ФЗ №63 прописано, что владелец обязан обеспечить конфиденциальность ЭЦП. При передаче происходит утрата конфиденциальности. Это утечка сведений. Если доступ к подписи получило другое лицо, ее владелец должен направить соответствующее уведомление в удостоверяющий центр. Одновременно с уведомлением нужно прекратить использование ЭЦП. Из всего этого можно сделать вывод о том, что передача является незаконной даже в том случае, если руководитель оформил доверенность.

Ответственность за применение чужой подписи

Ни в УК, ни в КоАП не содержатся нормы относительно ответственности за применение сторонней ЭЦП. Но это вовсе не свидетельствует о том, что такие действия полностью безнаказанны.

Рассмотрим ответственность на примере. Лицо взяло подпись своего руководителя, вошло в электронную систему и получило от своих действий финансовую выгоду. Например, сотрудник заключил соглашение, благодаря которому он извлек прибыль. В рассматриваемой ситуации руководитель может обвинить лицо в мошенничестве. Ответственность за подобные действия накладывается на основании статьи 159 УК РФ. Эта статья предполагает наказание за хищение чужой собственности или получение прав на чужое имущество посредством обмана или злоупотребления доверием. Незаконное использование подписи попадает под действие этого нормативного акта. Однако подобные дела имеют свои сложности. В частности, руководителю нужно доказать, что сотрудник получил ЭЦП незаконно.

Рассмотрим другой пример. Руководитель передал право на использование подписи на основании доверенности своему сотруднику. Подчиненный, используя ЭЦП, исполнил незаконные действия. В этом случае руководителю необходимо подтвердить, что подпись использовал не он. Сделать это практически невозможно, так как незаконное действие обычно выполняется без свидетелей и через ПК. Если руководитель не предоставил достоверных доказательств своей правоты, наказываться будет именно он.

На практике руководитель может передать своему сотруднику подпись любого вида. Каких-либо сложностей эта процедура не вызывает. Однако подобное мероприятие все равно является незаконным. Передавать ЭЦП не рекомендуется. Связаны эти ограничения с тем, что, если сотрудник выполнит какие-либо неправильные действия, отвечать за это будет руководитель. Даже если есть документ, подтверждающий передачу подписи, при добровольном предоставлении к ответственности подчиненного привлечь не получится.

Что делать, если руководитель часто делегирует функции по работе с документами своим подчиненным? Имеет смысл оформить отдельную электронную подпись для сотрудника. Сделать это достаточно просто. В этом случае сотрудник будет самостоятельно нести ответственность за свои действия. То есть руководитель избегает рисков.

К СВЕДЕНИЮ! В законе не дано однозначного запрета на передачу подписи. По сути, решением этого вопроса занимается сам владелец ЭЦП. Единственное косвенное ограничение – это само определение и назначение подписи. Она нужна для идентификации определенного человека.

Передача ЭЦП другому лицу возможна, однако это правило распространяется не на все виды электронных цифровых подписей. Разберем все нюансы данного вопроса, чтобы раз и навсегда поставить точку в возникающих по этому поводу спорах.

Общая информация об ЭЦП

Законодательное регулирование использования ЭЦП осуществляется на основании ФЗ «Об электронной подписи» от 06.04.2011 № 63-ФЗ.

ЭЦП — это электронные данные (набор символов), прикрепленные к электронному документу или иной информации, хранящимся в электронной форме. ЭЦП служит для того, чтобы идентифицировать лицо, использующего электронный документ или электронный ресурс (например, в сети интернет), и в некоторых случаях позволяет защитить сведения от несанкционированного изменения.

Существует 3 вида ЭЦП, которые отличаются друг от друга:

1. Порядком получения.
2. Защищенностью.
3. Возможностью или отсутствием возможности идентификации пользователя.
4. Возможностью или отсутствием возможности защиты информации от изменения третьими лицами.

Ст. 5 ФЗ № 63 выделяет следующие виды ЭЦП:

1. Простая. Это связка пароля и логина. Широко распространена на различных форумах, в социальных сетях. Иногда возможна двухэтапная идентификация пользователя путем направления ему пароля по СМС или электронной почте. Главные отличия данного вида подписи – отсутствие применения технологий шифрования, слабая защищенность, невозможность заверения официальных документов.
2. Неквалифицированная. Ее могут выдавать удостоверяющие центры без государственной аккредитации. Плюсом такой ЭЦП является применение криптографических методов шифрования. Используется, в частности, для гос. закупок по ФЗ № 223, ФЗ № 44, в личном кабинете на сайте ФНС. Для применения требуется заключение соглашения между партнерами.
3. Квалифицированная. Выдается только аккредитованными удостоверяющими центрами. Самая надежная и защищенная. Используется повсеместно и заменяет «живую» подпись. Заказчику квалифицированной подписи выдается сертификат.

При использовании каких видов электронных подписей допускается передача ЭЦП другому лицу?

Ни одно положение закона не допускает передачу ЭЦП другим лицам. Это связано с тем, что электронная подпись призвана идентифицировать ее владельца, и играет роль «живой подписи», передача которой в принципе невозможна (многие юристы, иллюстрируя невозможность передачи ЭЦП, описывают жуткий процесс отрезания руки подписанта и ее передачу третьим лицам для использования в своих целях).

На практике возможность передачи ЭЦП зависит от ее вида. Простую ЭЦП можно передать без всяких последствий. Это связка логина и пароля, которые не приравниваются к «живой» подписи, информация не шифруется, а пользователь ЭЦП не идентифицируется. Однако возможны неблагоприятные последствия.

Например, если простая ЭЦП, используемая для идентификации человека в соц. сети, передана другому лицу, и тот размещает запрещенные материалы, ответственность понесет владелец ЭЦП. Исключение составляют редкие случаи, когда владелец учетной записи может доказать, что его данные были незаконно использованы (пароль подобрали, аккаунт взломали, и т.д.), либо он сам передал доступ к данным. Напомним, сама передача ЭЦП не наказуема — наказуемы действия, которые совершаются лицом, которому подпись передается.

Иные виды ЭЦП идентифицируют их пользователей, а информация шифруется. Рассмотрим правомерность их передачи далее.

Допускает ли закон передачу квалифицированной ЭЦП другому лицу, например, по акту приема-передачи?

Многих интересует вопрос возможности передачи третьим лицам квалифицированной ЭЦП (например, директором организации ее работнику). Согласно ст. 2 ФЗ № 63 цель использования электронной подписи состоит в том, чтобы обеспечить возможность достоверно определить ее владельца. При ее передаче третьим лицам, смысл ЭЦП теряется, поскольку доверенное лицо невозможно идентифицировать.

Согласно ст. 10 ФЗ № 63 владелец ЭЦП должен обеспечить ее конфиденциальность. Если подпись передается третьему лицу для использования, предполагается, что конфиденциальность нарушена (происходит утечка информации). В таком случае ст. 10 ФЗ № 63 возлагает на владельца ЭЦП обязанность уведомить удостоверяющий центр об этом, и не использовать ЭЦП. Таким образом, можно сделать вывод о том, что передача ЭЦП третьим лицам невозможна, даже на основании доверенности.

Ответственность за использование чужой ЭЦП

Ни в одном нормативном акте, в том числе УК РФ, КоАП РФ, не содержатся статьи, которые бы налагали ответственность за использование чужой ЭЦП. Однако это не означает, что можно пользоваться чужой электронной подписью безнаказанно.

В качестве примера приведем ситуацию, когда в результате несанкционированного использования ЭЦП третье лицо приобрело какую-либо финансовую выгоду. Например, с использованием ЭЦП директора организации, третьим лицом заключен гражданско-правовой договор, который повлек получение им финансовой выгоды. В этом случае третьему лицу может быть вменено мошенничество, ответственность за которое предусмотрена ст. 159 УК РФ (хищение чужого имущества или приобретение права на чужое имущество путем обмана или злоупотребления доверием).

Вторая возможная ситуация следующая. Директор организации передает по доверенности право на использование ЭЦП третьему лицу. Это лицо совершает незаконные действия с использованием ЭЦП, а обвинение предъявляется ее владельцу. В этом случае собственник подписи сможет избежать ответственности только в случае, если докажет, что документы действительно были подписаны другим лицом. Сделать это достаточно сложно, тем более, если незаконные действия были совершены с компьютера владельца ЭЦП.

Можно смоделировать множество похожих ситуаций. В связи с наличием риска не рекомендуется передавать ЭЦП по доверенности, на основании акта приема-передачи, любым другим способом. Следует осознавать, что всегда можно оформить ЭЦП на любое лицо, передав ему полномочия на совершение тех или иных действий, избежать рисков.

Таким образом, передача ЭЦП другому лицу неправомерна (если это не простая электронная цифровая подпись). Следует опасаться возможных последствий, которые можно бы было избежать, оформив ЭЦП на доверенное лицо.

Хорошо это или плохо, но отечественная практика ведения бизнеса построена на принципах, далеких от европейских стандартов. Типичный руководитель предприятия подбирает персонал исходя из доверительных отношений. Занимаясь в основном организационной деятельностью, он не имеет ни времени, ни желания на деловодство. В результате, многие бумажные документы подписываются от его имени (мягко говоря), а по правде сказать – подделываются с его согласия секретарем или личным помощником. Передача ЭЦП другому лицу без оформления какой-либо документации – тоже не редкость.

Незадокументированная передача ЭЦП

Главным фактором доверия к ЭЦП является собственноручность. Поэтому практика использования чужой оцифрованной подписи компрометирует саму ее сущность. Ведь квалифицированная ЭП обладает такой же силой, как личная подпись руководителя и печать предприятия, вместе взятые.

Законодательно установлено, что разглашение тайны личного закрытого ключа означает его компрометацию и является основанием для обязательного отзыва сертификата, поскольку факт перехода ключа ставит под сомнение достоверность всех подписанных с его помощью электронных документов. При таких обстоятельствах ключ подлежит ликвидации, о чем должен быть составлен акт об уничтожении ЭЦП.

Нормативное регулирование

Профильный закон «Об ЭП» никак не регламентирует порядок передачи ЭЦП владельцем другому лицу. Более того, законность такой передачи находится под сомнением и является спорной.

Отдельные компании практикуют такую передачу. Оформить ее переход от одного собственника к другому призван приказ о передаче ЭЦП. Но дело том, то сама подпись как реквизит документа предполагает среди прочего ФИО человека, который является уполномоченным представителем юридического лица.

Приказ руководителя, как и акт приема-передачи ключа ЭЦП, конечно, являются важными документами, но все же имеют внутренний характер. Таким образом, получатель электронного документа, будь то контролирующий орган государственной власти или контрагент – субъект хозяйственной деятельности, никак не могут (и не должны) устанавливать, что подписывал документ не тот, кто обозначен в нем подписантом.

Юридические последствия

1. При рассмотрении в арбитражном суде вопроса о действительности очевидно невыгодного договора, который по ошибке или умышленно был подписан от имени руководителя заместителем или секретарем, нельзя ссылаться на то, что со стороны потерпевшего предприятия договор подписало неуполномоченное лицо.
2. В случае наложения налоговыми или другими контролирующими структурами штрафных санкций за недостоверность сданной отчетности, отвечать придется уполномоченному лицу, доверившему ключ и печать постороннему человеку.
3. Акт передачи ЭЦП может служить доказательством невиновности хозяина разве что в уголовном деле, заведенном по факту экономического преступления, поскольку со стороны владельца сертификата ключа его разглашение будет квалифицироваться как небрежность, а со стороны незаконно использовавшего в противоправных целях – как подделка.

Передача ЭЦП другому лицу законодательно не урегулирована. Руководители, решившие предоставить доступ к своим ЭЦП другим сотрудникам, должны быть готовы к спору с контролирующими органами. Если за должностное лицо, на которого оформлен электронный вариант подписи, документ с ошибками или заведомо ложными сведениями подписал другой человек, ответственность возлагается на владельца подписи. Единственным шансом избежать наказания за результаты подписания незаконной документации – доказать факт несанкционированного доступа к ЭЦП третьих лиц. В этом случае обладатель электронной подписи обязан сообщить о нарушении в удостоверяющий центр.

Передача ЭЦП другому лицу – возможно ли это?

Правила пользования электронными ключами оговариваются законом от 06.04.2011 г. № 63-ФЗ. Правовые нормы определяют ЭЦП, как набор символов, прикрепленных к документу в электронном формате и подлежащих хранению в электронной форме. Такой вариант подписи необходим для идентификации владельца подписи в сфере электронного документооборота и защиты от несанкционированного доступа к определенной информации. Закон выделяет несколько типов ЭЦП:

1. Простая, которая представляет собой сочетание логина с паролем.
2. Усиленная неквалифицированная – ее выдача возможна неаккредитованными центрами, она работает по принципу криптографического шифрования.
3. Усиленная квалифицированная – наиболее защищенный формат, приравнивается к собственноручной подписи.

Акт приема-передачи ЭЦП используется при получении заказчиком электронных ключей с логинами и паролями от центра, выдающего ЭЦП. После подписания акта, владелец электронной подписи обязан обеспечивать конфиденциальность ключей от ЭЦП, он ответственен за ограничение доступа к ним без своего согласия (ст. 10 Закона № 63-ФЗ). Передача усиленной подписи третьим лицам невозможна на законных основаниях, допустимо создать технические условия для простановки ЭЦП другим работником. Обязательное условие – согласие владельца и осуществление им контроля правомерности действий уполномоченного лица.

Акт приема-передачи ЭЦП

Легализация использования сотрудниками чужой ЭЦП на некоторых предприятиях осуществляется при помощи внутренних приказов, доверенностей и актов. Для контролирующих органов внутренние документы не могут быть основанием для законной передачи электронных подписей и ключей от них другим лицам. Ответственность за реализацию операции по предоставлению возможности пользоваться своей ЭЦП другим работникам нет. Наказание по незаконным сделкам, заверенным ЭЦП, будут применено к владельцу подписи.

Юридической силой наделяется акт, по которому передаются шифры, ключи и логины электронной подписи от компании, выпустившей ЭЦП, к заказчику услуги. При внутренней передаче прав пользования ключом и сертификатом ЭЦП можно составить акт приема-передачи в произвольной форме, но он не будет при возникновении конфликтной ситуации считаться полноценным юридическим документом.

Заметим, что сейчас достаточно часты судебные разбирательства на тему передачи ЭЦП другому лицу, чаще всего между банками и их клиентами, оспаривающими правомерность списания средств с расчетного счета. Подавляющее большинство судебных решений принимаются в пользу банков. Чаще всего споры идут при списании средств с расчетного счета посредством интернет-банкинга, когда клиент (чаще всего, директор компании) оспаривает подписание платежного поручения и списания той или иной суммы со счета.

В процессе разбирательств выясняется, что зачастую ЭЦП передана другому лицу, в частности, бухгалтеру. Технические экспертизы подтверждают подлинность ЭЦП, и независимо от сумм списания, и как бы директор не утверждал о неправомерности такого списания, суды принимают сторону банков, к примеру, постановление Арбитражного суда Западно-Сибирского округа от 20.02.2015 №Ф04-16024/2015.

Не менее интересно дело, которое рассматривалось в Москве, где суд установил передачу ЭЦП сотруднику финансового отдела. ООО в лице директора обратилось в суд с иском к банку о ненадлежащей проверке ЭЦП и списании сумм по платежному поручению, по которому директор не давал распоряжения о списании денежных средств. Суд установил использование ЭЦП человеком, которому подпись не принадлежала. Банк предоставил доказательства о том, что электронная подпись действительна, проверка по техрегламенту банка проведена, банк действовал осмотрительно и в меру своей компетенции, списав со счета клиента по платежке, подписанной ЭЦП гендиректора. То, что директор не давал такого распоряжения на списание средств, банк отследить не мог. Решением арбитражного суда г. Москвы от 23.01.2014 по делу № А40-82734/13 банк был признан невиновным в ненадлежащем списании средств со счета клиента. Дело дошло до Верховного суда, и определением ВС РФ от 24.11.2014 № 305-ЭС14-3926, судьи пришли к выводу, что первая инстанция правомерно отказала в иске.

Поэтому следует быть очень осторожным, так как передача ЭЦП другому лицу может быть чревата вполне ощутимыми финансовыми последствиями.

Недавно в кругу коллег обсуждали достаточно интересную и, признаться, распространенную ситуацию, когда директор компании передает секретарю свой токен с электронной подписью, чтобы тот подписывал исходящие электронные документы в сервисе межкорпоративного документооборота. Подписание документов от лица директора его заместителем или секретарем – дело вполне житейское, особенно, в России. Наш российский руководитель редко сидит долго за компьютером.

Электронная подпись, кажется, органично вписывается в эту практику, если не брать в расчет, что закрытый ключ никому нельзя передавать, он всегда находится только у владельца сертификата ЭП и идентифицирует только его. Иначе как приравнять электронную подпись к собственноручной? Если проводить параллель с обычным автографом, то, получается, его владелец передает другому человеку собственную руку. Именно «собственноручность» является определяющим фактором доверия к ЭП!

Другой вопрос – безопасность. Формально, при передаче другому лицу тайна ключа нарушается, и невозможность подделки электронного документа и электронной подписи автоматически ставится под сомнение. Получается, что передавая свой токен другому человеку, владелец сертификата добровольно допускает компрометацию своего ключа ЭП. А это уже основание для отзыва сертификата.

Проблема ли это для тех организаций, в которых часто приходится визировать документы без участия директора? В том-то и дело, что… нет!

Во-первых, в законодательстве совершенно не регламентирован порядок передачи ЭП для использования третьими лицами. Для России это означает примерно следующее: «делай, что хочешь». Забавный факт: в некоторых компаниях даже выпускают внутренний приказ, передающий право подписи ЭП за директора третьему лицу. Это даже придает определенной уверенности.

Во-вторых, сама по себе сохранность закрытого ключа – тема очень скользкая, которая в итоге ставит вопросы больше к обеспечению безопасности на всем предприятии в целом, а не к конкретной технологии. Человеческий фактор, к сожалению, никак не исключить.

В-третьих, обращаемся к самому ФЗ 63 «Об электронной подписи », статья 10:

При использовании усиленных электронных подписей участники электронного взаимодействия обязаны:
1) обеспечивать конфиденциальность ключей электронных подписей, в частности не допускать использование принадлежащих им ключей электронных подписей без их согласия;
<…>
3) не использовать ключ электронной подписи при наличии оснований полагать, что конфиденциальность данного ключа нарушена;

Это практически дословно дублируются в регламентах Удостоверяющих центров. То есть, тут нет фактического запрета на передачу закрытого ключа кому-то другому. Вот эти самые «без согласия» и «основания полагать» и дают формальную возможность передавать право на подписание документов за руководителя. Правда и совершенно не понятно, что делать, если подпись будет обнаружена не там – как доказать в суде, что это не директор подписал? Фактически определить, кто воспользовался подписью в этом случае нельзя - и прицнип неотказуемости сработает на полную катушку.

Что тут можно посоветовать? Если руководитель не опасается никого и ничего, то можно оставить все, как есть. Если же проявлять хоть какую-то осторожность, то логичнее всего приобрести отдельный сертификат ЭП для заместителя или исполняющего обязанности руководителя. Если же хочется визировать документы исключительно самостоятельно, то токен с сертификатом можно всегда использовать для подписи через веб-клиент сервиса электронного документооборота. Уж ноутбук-то можно взять с собой хоть куда.

Ну и, конечно, ждем распространения решений КриптоПро на мобильных платформах, когда начнут появляться iOS- и Android-клиенты сервисов ЭДО. Есть чувство, что ждать осталось не долго. Тогда окончательно пропадет вопрос с удаленным подписанием электронных документов.