Мошенничество с электронной подписью

Электронная подпись, кроме удобства и возможности удаленно работать, таит в себе и риски для владельца стать жертвой мошенников. Чаще всего от этого страдают представители бизнеса. Электронная подпись является аналогом собственноручной подписи человека. Но, в отличие от подделки подписи на бумаге, доказать, что подписью пользовался кто-то другой значительно сложнее.

Как ЭП попадает к злоумышленникам

Вариантов на самом деле не так уж много. Их все можно свести к двум основным:

• добровольный — когда владелец сам передал ЭП другому лицу;
• незаконный — когда некие лица сами получили ЭП за кого-то.

В случае с добровольным способом дело может быть так — руководитель передает подчиненным ключ электронной подписи, поскольку не хочет сам подписывать документы. А подчиненные, злоупотребив доверием, совершают незаконные действия. К примеру, выводят деньги из компании.

С незаконным способом все несколько сложнее. Вариантов тут может быть несколько:

• получение электронной подписи в добросовестном удостоверяющем центре с использованием подложных документов;
• использование недобросовестного удостоверяющего центра;
• утечка данных из удостоверяющего центра.

Проблема в нашей стране в том, что удостоверяющих центров около пяти сотен, это больше, чем во всем остальном мире. А госорганы обязаны принимать документы, подписанные электронной подписью.

Власти уже предприняли ряд мер по выдаче некоторых видов электронных подписей только органами государственной власти. Так, с 1 января 2022 года руководители коммерческих организаций смогут получить ЭП только в ФНС. А сотрудники юрлица или ИП смогут получать электронную подпись в коммерческих удостоверяющих центрах.

Что чаще всего делают злоумышленники

Самые частые проблемы, которые доставляют посредством ЭП мошенники — это, по сути, захват контроля над компанией с дальнейшим выводом денег со счетов.

Делается это следующим образом. На некое лицо изготавливают электронную подпись, подают в ФНС заявление по форме Р14001 по смене генерального директора компании в электронном виде, а после регистрации изменений в ЕГРЮЛ — получают доступ к банку и выводят денежные средства.

Налоговая стала отказывать вообще всем при подобных попытках смены директора с использованием ЭП. Однако есть и другой способ.

Директора в этом случае не меняют, просто некое лицо оформляет электронную подпись на руководителя без его ведома.

Есть случаи, когда за компанию сдавались электронно корректировки по декларациям, что приводило к проблемам с налоговой. Чаще всего это происходит с декларациями по НДС.

Или, как уже отмечалось выше, злоумышленниками могут стать сами сотрудники компании, которым была передана ЭП от директора, а те злоупотребили его доверием.

Что говорит закон

В законе «Об электронной подписи» от 06.04.2011 № 63-ФЗ, в статье 14, указано, что электронная подпись может выдаваться юридическому лицу. Руководитель организации, действующей от ее лица без доверенности, в этом случае является владельцем сертификата ключа проверки электронной подписи, наряду с самим юридическим лицом.

Точно также от имени юрлица можно действовать и по доверенности, и на этого представителя также можно оформить электронную подпись от юрлица. К примеру, по уставу есть единоличный исполнительный орган — генеральный директор. И есть исполнительный директор, он действует по доверенности от генерального. И на него получена электронная подпись, чтобы он мог от лица компании заключать сделки.

Однако в законе толком не урегулирована передача полномочий по электронной подписи другому лицу.

Так, тем же законом (статья 10) неявно предусмотрена возможность передачи ключа подписи другому лицу:

При использовании усиленных квалифицированных электронных подписей участники

электронного взаимодействия обязаны:

1) ... не допускать использование принадлежащих им ключей

электронных подписей без их согласия;

В законе не уточняется, каким образом должно быть выражено это согласие.

На практике это выливается в две ситуации — передача полномочий по доверенности, либо посредством организационно-распорядительного документа.

Кстати говоря, в предыдущем законе об ЭЦП такие действия были прямо запрещены. Правда, от передачи электронной подписи другим лицам это особо не спасало.

При получении электронной подписи удостоверяющий центр обязан установить личность владельца, а если ЭП получают на юрлицо — установить правомочие уполномоченного лица получать ЭП (ст. 18 Закона). Крупные УЦ дорожат репутацией, аккредитацией и тщательно подходят к проверке данных. Поэтому обращаться нужно в те центры, которые уже имеют имя, продолжительный опыт работы и несут реальную ответственность за свою работу.

Что делает государство для защиты ЭП

Как уже было сказано выше, ФНС с 2022 года забирает себе право выдавать электронную подпись руководителям коммерческих организаций. Так налоговая служба сформирует свою базу, что и кому она выдавала, и заодно пресечет поток незаконно выданных электронных подписей для номинальных руководителей.

До 2022 года времени еще много, однако защититься можно уже сейчас.

В настоящее время ФНС уже дает возможность физическому лицу выпустить электронную подпись через личный кабинет. Так как зарегистрироваться в личном кабинете можно только после личного визита в инспекцию, то тут, по мнению ФНС, вероятность утечки данных минимальная. Если, конечно, физлицо само не отдаст доступ постороннему лицу.

Также есть возможность получить электронную подпись через сайт Госуслуг. Обратиться за ЭП можно через МФЦ с паспортом и СНИЛС, услуга бесплатная. Данная подпись дает возможность доступа к полному перечню услуг портала Госуслуг.

Кроме того, государство регулярно проверяет существующие удостоверяющие центры и закрывает те, за которыми были замечены нарушения. Контроль за УЦ постоянно растет, требования к ним повышаются, в частности к размеру их уставного капитала.

Алгоритм безопасного получения ЭП

Порядок получения электронной подписи следующий:

• Определиться, для чего нужна ЭП. Это может быть подпись для портала Госуслуг, для сдачи отчетности, для регистрации ООО, для госзакупок или участия в электронных аукционах.
• Определиться с удостоверяющим центром. Стоит посмотреть аккредитованные УЦ на сайте Минкомсвязи. Почитать отзывы, посмотреть, насколько он известен. Чем менее он известен, тем больше вероятность, что там возможна утечка и какие-либо мошеннические действия. Обратиться в УЦ, оплатить услуги, предоставить необходимые сканы документов, дождаться выпуска ЭП.
• Получить электронную подпись в УЦ или на дому, предоставив необходимые оригиналы документов.

Чек-лист безопасного использования электронной подписи

Для того, чтобы обезопасить себя от мошеннических действий с ЭП, необходимо соблюдать следующие правила:

• Не передавать ключ электронной подписи никому. Доказать, что подписал документ не владелец, а кто-то другой — очень трудно. Если же она передается, необходимо либо доверенностью, либо приказом определять полномочия, которые есть у доверенного лица. И принимать меры корпоративной безопасности, вплоть до систем наблюдения за действиями сотрудников.
• При увольнении сотрудника, на которого была оформлена ЭП — сертификат нужно немедленно отзывать. Кадровой службе необходимо вести реестр сотрудников, на которых оформлена электронная подпись и перечень их полномочий.
• Есть вариант с двойной электронной подписью, когда одна без другой недействительна. Например, двумя подписями можно заверять платежные поручения в банке, обычно для этого ЭП есть у генерального директора и главного бухгалтера.
• Само собой, необходима система защиты доступа к компьютеру, на котором установлено ПО для использования электронной подписи. Неплохо помогают облачные решения, когда в офисах находятся только «тонкие клиенты» (компьютеры без носителей, терминалы для доступа в «облако»).
• Компьютер не оставлять разблокированным, устанавливать пароли и логины как для входа в систему, так и для доступа к бухгалтерским программам, клиент-банкам и т.д.
• Защита компьютера с ЭП должна быть и от виртуального взлома. Сотрудник, работающий с ЭП, должен быть проинструктирован касательно спама, подозрительных писем по электронной почте, непонятных сайтов, фишинговых ссылок и т.п. Обязательно использование антивируса, проверка сторонних носителей на наличие вредоносных программ.
• Никому не передавать сканы или копии паспорта, СНИЛС, не оставлять их на сайтах, не пересылать. Эти данные нужны злоумышленникам, чтобы оформить электронную подпись и использовать ее в недоброжелательных целях. Мало того, вы можете неожиданно стать обладателями крупного кредита или накопленные вами в НПФ средства перетекут в другой фонд. О подобного рода мошенничествах рассказывают и в интернете, и по ТВ, но люди продолжают делиться своими персональными данными.

Для сотрудников компании рекомендуется составить памятку о том, какие действия нельзя совершать ни при каких обстоятельствах, разработать регламенты по работе с персональными данными, назначить ответственных за их передачу лиц.

Что делать, если на ваше имя выпустили электронную подпись

К сожалению, о том, что выпустили электронную подпись без чьего-либо ведома, люди узнают уже после совершения незаконных действий. Компания потеряла деньги, сдана уточняющая декларация, квартира продана, или на кого-то получен кредит. Либо, люди внезапно узнают, что они учредители в нескольких фирмах. И заодно директоры.

Однако, есть способ превентивно отслеживать такую информацию.

• На сайте Госуслуг, в личном кабинете, есть возможность узнать, каким удостоверяющим центром и какие электронные подписи были выпущены на ваше имя.
• Если вы видите, что есть подписи, которые вы сами не получали, и вообще в первый раз видите — обратитесь в техподдержку портала и в сам УЦ.
• УЦ по вашему заявлению обязан отозвать сертификат электронной подписи.
• Если УЦ по каким-либо причинам этого не делает — обращайтесь в полицию.
• Стоит обратиться и в Минкомсвязи с жалобой на УЦ, если он не оказывает вам содействия.

Если на вас зарегистрировали компанию — в регистрирующую налоговую по вашему месту жительства стоит подать заявление по форме Р38001 с требованием признать сведения о вас, как об учредителе и директоре недостоверными.

Судебная практика по мошенничеству с ЭП

Дело №А56-35890/2015. Работники ЗАО «Балтийский берег» с января 2011 года по декабрь 2012 года использовали ЭЦП гендиректора для вывода денег из компании, без его ведома.

В итоге, гендиректор оказался должен компании более 254 миллионов рублей. Суды всех инстанций задолженность подтвердили.

Суды подтвердили недобросовестность гендиректора, исходя из следующих его действий (бездействия):

• он фактически устранился от контроля действий его подчиненных, осуществлявших хищение денежных средств;
• не осуществлял правильность и основания проведения расчетов с использованием его ЭЦП;
• не интересовался результатами проведения аудиторских проверок;
• большую часть договоров общества он не заключал;
• текущую финансово-хозяйственную деятельность он не контролировал.

Дело №А56-15334/2017. ООО «Стройинвест», в результате несанкционированного входа в систему «Банк-клиент», потеряло 7,7 млн рублей. Они были списаны со счета. Впоследствии, 890 тысяч были возвращены, а директор остался должен обществу 6,8 млн рублей.

Суд эту задолженность подтвердил, отметив:

«Действуя разумно и добросовестно, получив в период рабочего времени 39 сообщений о входе в систему для осуществления платежных операций, гендиректор, осуществляя функции единоличного исполнительного органа общества, должен был проявить соответствующую заинтересованность и до окончания рабочего времени связаться с сотрудником, у которого, как он утверждает, имелся доступ к носителю ключа ЭП».

Приведем еще два дела, когда ущерб был нанесен из-за использования ЭП уволенных руководителей.

Иск ООО «Валитекс» к «Нэклис-Банк» на сумму свыше 75 млн. руб. (дело № А40-75611/06-47-564) — в иске отказано, платежные поручения были подписаны ЭП бывшего генерального директора. Деньги списывались 8 месяцев.

Иск ООО «АМКО-Капитал» к ОАО «Металлургический коммерческий банк» на сумму свыше 77 млн. руб. — в иске отказано, на платежных поручениях была проставлена подпись бывшего главного бухгалтера (дело №А40-14394/06-47-120).

Это к вопросу о том, почему нужно сразу же отзывать сертификат ЭП уволенного сотрудника, особенно с такими полномочиями.

Сервисы «Калуга Астрал» для бизнеса

Экосистема клиентского сервиса под любые потребности от электронной подписи до проверки контрагентов

Гибкие тарифы и низкие цены

Оставьте заявку и мы свяжемся с вами

Имя^*

E-mail^*

Телефон^*

Отправить

Принимаю оферту и даю согласие по перс.данным