Электронная подпись по доверенности? Передача права пользования электронной подписью Эцп на доверенное лицо.
Банки.
Сотрудники банков прекрасно знают, что ЭЦП часто использует не то лицо, на которое она оформлена. Банк, как правило, не придаёт этому значению, ведь в договоре четко прописано, что ответственность за сохранение конфиденциальности ЭЦП несет клиент. Если с расчетного счета организации спишут деньги, используя Вашу ЭЦП, убытки с банка взыскать не получится. Суды считают, что банк обязан исполнять платежное поручение, подписанное корректной ЭЦП, выявляемые в суде факты передачи ЭЦП другим лицам всегда оцениваются как нарушение договора со стороны клиента банка.
Так, 96 000 руб. «ушли» со счета ООО. В ходе разбирательства было выяснено, что деньги списали на основании платежного поручения, подписанного ЭЦП уволенного директора (о назначении нового в банк не сообщали). Кроме того, выяснилось, что подписывал документ вообще главный бухгалтер. Суд отказал во взыскании денег с банка, отметив, что ООО не обеспечило режим секретности ключа, чем нарушило требования Закона об электронной подписи.
Контрагенты . Если документ, с которым не согласна организация, подписан действующей ЭЦП, то отвертеться от документа, скорее всего, не получится.
Так, ООО отказывалось оплачивать товар, настаивая на том, что его не получило. При этом в наличии была товарная накладная, подписанная ЭЦП работника компании. По мнению ООО, этой электронной подписью воспользовалось некое неуполномоченное лицо. В процессе разбирательства было установлено, что договор ООО с поставщиком предусматривал использование ЭЦП при составлении первички. Суд принял решение о взыскании с ООО задолженности по договору поставки, подписанную ЭЦП товарную накладную признали действительной.
Госзакупки
.
Очень серьёзные последствия использования чужой ЭЦП могут быть у организаций, участвующих в госзакупках. Есть случай, когда ООО на 2 года попало в реестр недобросовестных поставщиков. Генеральный директор подписал госконтракт, выигранный по итогам открытого аукциона, чужой электронной подписью (подпись была оформлена на предыдущего генерального директора, а собственную ЭЦП новому директору сделать не успели). Нестыковку с датой назначения заметил заказчик и направил жалобу в УФАС, сообщив, что контракт подписало неуполномоченное лицо. Антимонопольщики пришли к выводу о том, что ООО таким образом пыталось уклониться от заключения госконтракта и наказали организацию.
Инспекция Федеральной налоговой службы (ИФНС)
.
Подписание деклараций чужой ЭЦП также может создать проблемы для организации. В Новосибирске налоговики заблокировали расчётный счет компании, случайно узнав из допроса директора, что его ЭЦП при подписании декларации использовал другой сотрудник. Было принято решение, что такая декларация считается неподанной.
Справедливости ради, стоит сказать, что суд посчитал действия налоговой службы неправомерными, так как декларацию нельзя не принять по ТКС, если она соответствует формату. А раз она была принята, значит, блокировка незаконна. Правда, любой, кто сталкивался с блокировкой расчетного счета, знает, какой удар бизнесу это может нанести.
Резюмируя, можно сказать так: безопаснее, чтобы ЭЦП была у каждого сотрудника, которому необходимо ею пользоваться. Если этот вариант по каким-то причинам не годится, то можно сделать незаменимому сотруднику удаленный доступ к сервису электронного документооборота с тем, чтобы он мог подписать документ откуда угодно.
Работнику же лучше не соглашаться на передачу права пользования своей ЭЦП другим лицам - не придется отвечать за чужие ошибки или за что похуже. Это как оставить коллегам стопку чистых листов со своей подписью.
Электронная цифровая подпись содержит конфиденциальную информацию, и позволяет заверить документ, подтверждает авторство и неизменность содержания. Сегодня ЭЦП используются в электронном документообороте, на торговых площадках, в работе с государственными структурами и органами и т.д. Деятельность и силу цифровой подписи регулирует федеральный законопроект, в отдельной статье которого прописана и ответственность за использование чужой ЭЦП или компрометацию сертификата.
Необходимость принятия федерального закона была обусловлена тем, что ЭЦП предоставляет новые права и обязанности субъектам правоотношений, а для удостоверения подлинности подписи сформирована целая система специализированных организаций. Все подзаконные акты, принятые вслед за ФЗ, лишь конкретизируют правовые механизмы и дополняют законодательную базу об ЭЦП.
ФЗ определяет условия использования ЭЦП, соблюдение которых не только признает средства ЭЦП надежными, но и позволяет обеспечить сохранность персональной информации и безопасную передачу данных даже по открытым каналам связи.
Закон прописывает также и ответственность владельца сертификата ключа. По ФЗ владелец ЭП обязан:
- хранить закрытый ключ ЭЦП втайне;
- не использовать ключи ЭЦП, если известно, что их конфиденциальность нарушена;
- требовать приостановления действия сертификата ЭЦП при подозрении на нарушение тайны закрытого ключа.
Если требования соблюдены не были, то вся ответственность и возмещение возможных убытков ложится на владельца сертификата ЭЦП.
Ответственность за нарушение законодательства
Федеральный закон о ЭЦП был принят 10.01.2002 г., а вступил в силу на территории РФ 22.01.2009 г. Законопроект не только охватывает все сферы действия ЭЦП, но и содержит основные наказуемые случаи за нарушение правил использования цифровой подписи.
По ФЗ несут уголовную ответственность лица:
- неправомерно использующие ЭЦП другого лица, в т.ч. неправомерно получившие доступ к закрытому ключу сертификата;
- получившие неправомерный доступ к средствам ЭЦП;
- незаконно создающие и/или использующие средства ЭЦП.
Гражданско-правовая ответственность налагается:
- если были причинены убытки по причине несоответствия средств ЭЦП, заявленных компанией-производителем;
- при нарушении процесса проверки средств цифровой подписи.
Возмещение убытков возможно, если:
- убытки были причинены пользователю открытого ключа цифровой подписи из-за несанкционированного доступа третьих лиц к закрытому ключу;
- доказана вина владельца открытого ключа, получившего доступ от владельца закрытого ключа по договору использования ЭЦП.
Если было доказано неправомерное использование электронной подписи или получение доступа к закрытому ключу, то наравне с уголовной ответственностью может налагаться гражданско-правовая или административная ответственность. Объясняется это тем, что наказуем не факт использования ключа ЭЦП, а его последствия (хищение денег, информации, интеллектуальной собственности и т.д.).
Процесс передачи ЭЦП
Цифровая подпись тождественна собственноручной оригинальной подписи, используемый в пространстве электронного документооборота. Передачи ЭЦП третьим лицам запрещена, и противоречит основному ФЗ-63. Основное положение этого законопроекта - электронная цифровая подпись идентифицирует своего владельца.
Однако при необходимости можно составить акт передачи электронной подписи, который должен соответствовать положениям федерального закона. По ФЗ-63 все участники ЭДО имеют право использовать электронную подпись любого типа, но обязаны обеспечить конфиденциальность. За сохранность подписи и область применения реквизита отвечает ее владелец. В случае возникновения спорных ситуаций такой документ будет иметь юридическую силу. Доверенность, составленная в устной форме между сотрудниками компании, при решении вопросов в судебном порядке иметь юридическую силу не будет.
Акт приема-передачи подписи
Пример акта приема-передачи ЭЦП:
Документ может быть составлен в произвольной форме, поскольку прямых требований законодательства к этому документу нет. Обязательно в нем указывают такие сведения, как:
- дату составления;
- ФИО владельца ЭЦП и лица, принимающего подпись на хранение;
- наименование реквизитов, переданных на хранение и использование;
- количество экземпляров;
- подписи сторон.
Дополнительно можно включить цели передачи подписи и сроки действия договоренности, ответственность за использование цифровой подписи, условия ее хранения и возмещение ущерба при утере или компрометация ключа. Иногда дополнительно указывают стоимость сертификата. Если ЭП передается более, чем одному лицу, то в акте передачи указывается сразу несколько человек.
Компрометация ключа ЭП
В действующем ФЗ об электронной подписи определение компрометации отсутствует, но под ним обычно понимают потерю доверия к закрытому ключу. Однако по ФЗ ответственность за компрометация ключа несет не только владелец, но и УЦ, выдавший ЭЦП (п.4 ч.2 ст. 13).
В практике выделено несколько ситуаций, когда в сохранности и действительности ключа можно усомниться. К ним относят:
- потерю ключа с его последующим нахождением. Есть шанс, что в этот период ключом могли воспользоваться третьи лица;
- увольнение сотрудника, получившего ранее на хранение ЭЦП;
- хранение ключа в общедоступных местах или в сейфе, на котором были обнаружены следы взлома;
- нарушение целостности ключа.
Если была обнаружена компрометация или есть подозрения, что к средствам ЭЦП получили доступ третьи лица, то необходимо:
- прекратить работу, требующую использования электронной подписи;
- обратиться в УЦ, оформивший ЭП, с заявлением о факте компрометации;
- отозвать потерявший доверия ключ ЭЦП. Сделать это может только владелец ЭП лично в офисе УЦ.
Скомпрометированную ЭП обычно отзывают в течение 30-40 минут после обращения, однако, в системе она хранится в течение нескольких месяцев. Далее, пользователю необходимо оформить новую электронную подпись, предоставив полный пакет документов и оплатив реквизит согласно выбранному тарифу.
Соблюдение основных положений по безопасности в работе с ЭЦП позволит избежать многих неприятных ситуаций, в т.ч. компрометирующих деятельность фирмы или юридического лица. Передача прав пользования ЭЦП законом не запрещена, но нежелательна: нарушение конфиденциальности закрытого ключа может привести к финансовым или иным потерям, а доказать в судебном порядке факт нарушения или хищения не всегда возможно.
Электронно-цифровая подпись (ЭЦП) приравнивается к обычной подписи человека и, соответственно, имеет такую же юридическую силу. Но в силу того, что она, как правило, оформляется на внешнем носителе электронной информации, риск того, что ею может воспользоваться посторонний человек очень велик. Кто в этом случае будет нести ответственность и в какой мере?
Можно ли передавать личную ЭЦП другому человеку?
Все вопросы, связанные с ЭЦП регулируются Федеральным законом «Об электронной подписи» от 06.04.2011 № 63-ФЗ. Но в нем нет, ни прямого разрешения, ни запрета на передачу носителя с подписью другому лицу. Указано лишь то, что использование подписи без согласия ее владельца считается незаконным (ст. 10 закона № 63-ФЗ).
Таким образом, есть два мнения о возможности передачи ЭЦП другому лицу. Некоторые представители Минкомсвязи и ФНС говорят о том, что такую подпись можно передавать лицу, которому предаются полномочия владельца электронной подписи. Например, когда на время отпуска директора или главного бухгалтера их обязанности возлагаются на другое лицо, и которому предоставляется право подписи соответствующих документов.
С другой стороны, нарушается основное назначение ЭЦП – идентифицировать конкретное лицо, которое подписало электронный документ.
Если владелец ЭЦП все же решается передать ее другому лицу, то необходимо оформить все документы (приказ, акт приема-передачи), в противном случае вся ответственность ляжет на владельца ЭЦП.
Ответственность за использование чужой ЭЦП
На данный момент ни в одном из сводов законодательства нет статьи, которая бы предусматривала наказание именно за несанкционированное использование ЭЦП , но это не значит, что лицо, совершившее данное правонарушение останется безнаказанным. К нему будут применены соответствующие статьи УК РФ и КоАП.
Рассмотрим несколько примеров.
Пример 1
Бухгалтер самовольно воспользовался подписью руководителя и через программу Клиент – Банк списал со счета организации некоторую сумму в свою пользу. В данном случае против бухгалтера может быть возбуждено уголовное дело по факту хищения, степень наказания будет зависеть от украденной денежной суммы.
Пример 2
Директор предприятия подписал контракт по Госзакупкам электронной подписью своего предшественника (с его ведома) за отсутствием своей собственной. В этом случае, в зависимости от последствий, в отношении директора может быть возбуждено уголовное дело о мошенничестве, либо контракт может быть расторгнут, а организация занесена в реестр недобросовестных.
Пример 3
В связи с большим объемом платежных поручений , которые ежедневно оформляет бухгалтерия фирмы, для ускорения процесса их подписания и отправки директор передал бухгалтеру свою ЭЦП. Поскольку все платежи согласовываются с директором заранее, а позднее им же контролируется оплата, никаких отрицательных последствий, следовательно, и ответственности, это не повлекло, а лишь оптимизировало работу. Но конечно, в подобных ситуациях всегда есть риск, зависящий от степени добросовестности сотрудников.
Ответственность за использование чужой ЭЦП зависит от последствий, которые повлекло это действие. В первую очередь, ответственность ложится на ее владельца, если он не докажет иное.
Передача ЭЦП другому лицу законом не предусмотрена, так как подпись носит идентифицирующий характер и служит средством для подтверждения намерений определенного лица. В статье рассмотрим возможность передачи права пользования ключом подписи от имени владельца.
Что прописано в нормах закона о передаче ЭЦП другому лицу?
П. 2 ст. 160 ГК РФ устанавливает правило, согласно которому использование электронно-цифровой подписи (далее — ЭЦП) возможно в силу указания закона или нормативного акта, соглашения сторон.
Основным актом в сфере ЭЦП является закон «Об электронной подписи» от 06.04.2011 № 63-ФЗ (далее — ФЗ № 63).
Согласно ст. 2 ФЗ № 63 ЭЦП предназначена для идентификации лица, подписывающего электронный документ. Иными словами, она является аналогом собственноручной подписи.
Закон не предусматривает возможности передачи подписи другому лицу, так как в этом случае исчезает основная ее направленность — идентификация подписывающего лица.
Существуют ли образцы доверенности на использование ЭЦП?
ЭЦП выдается на имя конкретного лица — директора или иного уполномоченного работника. На практике ведутся споры по поводу того, может ли быть передано право использования цифровой подписи от одного лица к другому. Споры возникают, поскольку законодательно данный вопрос не урегулирован.
Не знаете свои права?
Суть в том, что ЭЦП — это электронный аналог письменной подписи, а передать полномочия по использованию ее — всё равно, что передать руку доверителя доверенному лицу с целью ее использования для подписания документов.
Несмотря на то что законодательного запрета на использование таких доверенностей нет, их составление не предусмотрено ни одним нормативным актом, как не предусмотрена и возможность передачи полномочий по использованию ЭЦП от одного лица к другому.
Акт приема-передачи ЭЦП другому лицу
Законодательство не содержит требований относительно составления акта приема-передачи ключа ЭП третьему лицу от владельца. Соответственно, оформлять такой документ нет необходимости.
Если же вопреки отсутствию законодательного урегулирования порядка составления данного документа стороны хотят зафиксировать момент передачи ключа ЭЦП, то документ составляется в произвольной форме с обязательным указанием даты передачи ЭП, бумаг, которые передаются, и сторон сделки. При этом если вместе с документами предоставляется внешний электронный носитель (токен), в акте можно определить место его дальнейшего хранения.
Ответственность за использование чужой ЭЦП
Ответственность за пользование ЭЦП лежит на ее владельце (ст. 6 ФЗ № 63) вне зависимости от наличия приказов или доверенностей на передачу ключа. Более того, законодатель не вводит никакой ответственности за использование ЭЦП третьими лицами. То есть доказывать, что электронную почту использовали без его ведома придется владельцу.
Однако если последствия использования ЭЦП не ограничены подписанием документа, а сопряжены, например, с хищением денежных средств со счетов, то ответственность в данном случае может наступить по статьям УК РФ, если владелец подписи докажет, что она была использована не им, а третьим лицом.
Таким образом, передача ЭЦП другому лицу законом не допускается, так как электронная подпись — это аналог собственноручной подписи (ст. 160 ГК РФ). Она принадлежит только тому гражданину, на которого оформлена.
Недавно в кругу коллег обсуждали достаточно интересную и, признаться, распространенную ситуацию, когда директор компании передает секретарю свой токен с электронной подписью, чтобы тот подписывал исходящие электронные документы в сервисе межкорпоративного документооборота. Подписание документов от лица директора его заместителем или секретарем – дело вполне житейское, особенно, в России. Наш российский руководитель редко сидит долго за компьютером.
Электронная подпись, кажется, органично вписывается в эту практику, если не брать в расчет, что закрытый ключ никому нельзя передавать, он всегда находится только у владельца сертификата ЭП и идентифицирует только его. Иначе как приравнять электронную подпись к собственноручной? Если проводить параллель с обычным автографом, то, получается, его владелец передает другому человеку собственную руку. Именно «собственноручность» является определяющим фактором доверия к ЭП!
Другой вопрос – безопасность. Формально, при передаче другому лицу тайна ключа нарушается, и невозможность подделки электронного документа и электронной подписи автоматически ставится под сомнение. Получается, что передавая свой токен другому человеку, владелец сертификата добровольно допускает компрометацию своего ключа ЭП. А это уже основание для отзыва сертификата.
Проблема ли это для тех организаций, в которых часто приходится визировать документы без участия директора? В том-то и дело, что… нет!
Во-первых, в законодательстве совершенно не регламентирован порядок передачи ЭП для использования третьими лицами. Для России это означает примерно следующее: «делай, что хочешь». Забавный факт: в некоторых компаниях даже выпускают внутренний приказ, передающий право подписи ЭП за директора третьему лицу. Это даже придает определенной уверенности.
Во-вторых, сама по себе сохранность закрытого ключа – тема очень скользкая, которая в итоге ставит вопросы больше к обеспечению безопасности на всем предприятии в целом, а не к конкретной технологии. Человеческий фактор, к сожалению, никак не исключить.
В-третьих, обращаемся к самому ФЗ 63 «Об электронной подписи », статья 10:
При использовании усиленных электронных подписей участники электронного взаимодействия обязаны:
1) обеспечивать конфиденциальность ключей электронных подписей, в частности не допускать использование принадлежащих им ключей электронных подписей без их согласия;
<…>
3) не использовать ключ электронной подписи при наличии оснований полагать, что конфиденциальность данного ключа нарушена;
Это практически дословно дублируются в регламентах Удостоверяющих центров. То есть, тут нет фактического запрета на передачу закрытого ключа кому-то другому. Вот эти самые «без согласия» и «основания полагать» и дают формальную возможность передавать право на подписание документов за руководителя. Правда и совершенно не понятно, что делать, если подпись будет обнаружена не там – как доказать в суде, что это не директор подписал? Фактически определить, кто воспользовался подписью в этом случае нельзя - и прицнип неотказуемости сработает на полную катушку.
Что тут можно посоветовать? Если руководитель не опасается никого и ничего, то можно оставить все, как есть. Если же проявлять хоть какую-то осторожность, то логичнее всего приобрести отдельный сертификат ЭП для заместителя или исполняющего обязанности руководителя. Если же хочется визировать документы исключительно самостоятельно, то токен с сертификатом можно всегда использовать для подписи через веб-клиент сервиса электронного документооборота. Уж ноутбук-то можно взять с собой хоть куда.
Ну и, конечно, ждем распространения решений КриптоПро на мобильных платформах, когда начнут появляться iOS- и Android-клиенты сервисов ЭДО. Есть чувство, что ждать осталось не долго. Тогда окончательно пропадет вопрос с удаленным подписанием электронных документов.