Акт приема-передачи устройств защиты ЭЦП «iBank 2 Key»

ЭЦП или электронно-цифровая подпись позволят оптимизировать порядок документооборота внутри компании и за ее пределами, а также затрачивать на оформление документов гораздо меньше времени и сил. На сегодняшний день электронный документооборот и способ защиты информации цифровой подписью нашел довольно широкое применение в системах обмена документами с контрагентами, а также подаче сведений и отчетов в контролирующие органы. При передаче электронной подписи ее владельцу удостоверяющий центр составляет акт приема-передачи ЭЦП. Некоторые компании также практикуют составление такого документа для передачи подписи третьему лицу. Насколько это законно, рассмотрим далее в статье.

Что собой представляет ЭЦП и для чего она нужна

ЭЦП или электронная подпись это аналог личной подписи физического лица, которая может использоваться для подписи электронных документов. ЭЦП является доказательством того, что документ подписан конкретным лицом. Различают следующие виды ЭЦП:

Виды ЭЦППодробное описание
Простаяпары логин – пароль, код подтверждения и скретч-карта. Задачей подписи является подтверждение подписанта. Например, при оплате через интернет банк должен получить подтверждение, что перевод средств осуществляет конкретное лицо. Простую подпись формирует та программа, в которой физлицо работает. Такая подпись не имеет юридической силы и работает просто от имени физлица. Такая подпись совершенно не подойдет для того, чтобы подписать документ, например, договор.
Усиленная неквалифицированнаяНеквалифицированная подпись (НЭП) является более сложной и защищенной подписью. Она является подтверждением того, что документ подписан конкретным лицом и дает гарантию того, что в последствии изменения в документ никто не вносил.
Такой вид подписи создает система, в которой происходит подписание документов. К примеру, если физлицо направляет в налоговый орган декларацию о доходах, то ФНС совершенно бесплатно создаст такою подпись на своем сайте.
Усиленная квалифицированнаяУсиленная квалифицированная подпись (КЭП) представляет собой подпись, которая требуется в госорганы для подачи отчетности. КЭП является самой защищенной подписью, которая зашифрована специальными сертификатами. Именно поэтому государственные органы могут принять ее на документах юрлиц.

Важно! Все вилы подписей отличаются друг от друга надежностью и возможностью их применения

https://youtu.be/QvctwZSPX08

Ответственность за использование чужой ЭЦП

Передача ЭЦП не наказуема — наказуемы действия, которые совершает лицо, владеющее подписью. Например, если в результате применения чужой ЭЦП злоумышленник получил финансовую выгоду, его можно привлечь по статье 159 УК РФ (хищение чужого имущества или приобретение права на чужое имущество путем обмана или злоупотребления доверием). Но крайне не рекомендуется передавать право пользования ЭЦП по доверенности третьему лицу.

Поскольку законом этот вопрос не урегулирован, продолжаются споры о возможности передачи ЭЦП. Чтобы избежать рисков, передавать ЭЦП не стоит. Однако у разных видов ЭЦП разная степень защищенности и влияния.

Как получить ЭЦП

Для получения ЭЦП нужно будет обратиться в удостоверяющий центр (УЦ), аккредитованный Минкомсвязи (в настоящее время таких УЦ в России – 456). Такие центры используют специальные средства шифрования, которые являются гарантией того, что взлом подписи невозможен.

Удостоверяющий центр выдает сертификат подписи, а также ключ. Именно сертификат является подтверждением того, что ключ принадлежит конкретному лицу. Он содержит данные владельца, ключ подписи, а также сфера применения подписи, то есть те площадки, которые данную подпись принимают. Установить электронный сертификат необходимо на компьютер.

Ключ представляет собой код, который записан на электронный носитель. При этом в качестве носителя может использоваться флешка, карта памяти или банковская карта, содержащая чип. Для того, чтобы у владельца подписи появилась возможность подписывать документы, на компьютере необходимо установить криптопровайдер, который представляет собой посредническую программу между электронной подписью и ОС (

Структура акта установки средства криптографической защиты

Акт выдается подрядчиками – внешней стороной, привлеченной для установки и настройки работы программного обеспечения по использованию электронной цифровой подписи. В качестве установщиков можно пригласить представителей устанавливающего центра, предоставившего соответствующую программу.

Как любой официальный документ, данный акт содержит стандартные элементы и данные, которые вносятся туда в каждом конкретном случае.

  1. Стандартные реквизиты («шапка») акта:
      название документа – пишется посередине вверху листа: «Акт об установке средства электронной подписи»;
  2. номер акта;
  3. место составления акта (город);
  4. дата, месяц и год установки.
  5. Информация, необходимая для внесения в акт:
      наименование устанавливающего центра;
  6. ФИО специалиста, производящего установку;
  7. название программного обеспечения (одна из программ электронной подписи);
  8. серийный номер автоматизированного рабочего места (АРМ);
  9. место установки (адрес рабочего места, офиса);
  10. фамилия ответственного лица – представителя пользователя;
  11. номер экземпляра средства ЭЦП;
  12. номер карточки учета лицензии Устанавливающего центра;
  13. дата ее выдачи.
  14. В акт включается также стандартный текст об условиях использования ЭЦП, об удостоверении его рабочего состояния, об обязательствах пользователя автоматизированного рабочего места.
  15. Документ скрепляется подписями уполномоченных лиц – программиста, совершившего установку, и системного администратора – представителя предприятия. Он выводится на бумажный носитель, о чем делается отметка в тексте.

Передача цифровой подписи иному лицу внутри компании

Теперь перейдем ко второму варианту. Сразу стоит отметить, что полностью законным назвать его нельзя, так как ЭЦП определяет полномочия конкретного лица, а не третьих лиц, которым она была передана самостоятельно. Вся ответственность даже в случае передачи подписи остается на официальном ее владельце.

Даже если руководитель компании издает приказы и распоряжения и подписывает акты приема-передачи ЭЦП, юридической силы такие документы не имеют. Нести ответственность за подписанные с использованием ЭЦП документы будет то лицо, на которое ЭЦП и была первоначально оформлена.

Также следует помнить, что такая передача ЭЦП может расцениваться как халатное отношение или превышение должностных полномочий. Если будет выявлен факт использования электронной подписи уволенного сотрудника, то это может расцениваться как уголовное преступление. Особенно, если подписание документов было связано с хищением денежных средств.

Что включать в приказ по ЭЦП

Суть распорядительного акта — наделить конкретных сотрудников полномочиями на подписание документов ЭЦП. Документ так и называется: «Распоряжение о назначении ответственного лица за размещение информации в ЕИС государственных закупок и о наделении его правом подписи» . В этом же указе назначают ответственных за работу с АРМ и за информационную безопасность.

ВАЖНО!

Отзыв ЭП производится через официальный сайт Федерального казначейства. Сертификат отзывают по окончании срока его действия, при увольнении ответственного работника, из-за неисправности ключа. Делать приказ об отзыве ЭЦП нет необходимости. Сформируйте заявление онлайн, подпишите и направьте специалистам ФК. Как только обращение пройдет проверку, сертификат отзовут.

В 63-ФЗ разъясняется, на каком основании можно подписать ЭЦП начальника — такого основания нет: каждый ответственный сотрудник подписывает документы собственной ЭПОХИ. Для этого и издают распоряжение о наделении полномочий. Приказ составляют в свободной форме. Некоторые ТОФК и удостоверяющие центры предоставляют клиентам бланки, которые необходимо заполнить для получения ключа ЭП в их отделе. Обязательно отразите следующую информацию:

  1. Полное наименование заявителя. Пропишите краткое название, если оно есть в уставных бумагах.
  2. Реквизиты распоряжения: номер, дата и место выпуска.
  3. Название акта и правовую основу. В преамбуле всегда ссылайтесь на нормативы, в соответствии с которыми потребовалось наделить сотрудников правами на подписание. К примеру, ЭЦП для ЕИС делают по нормам федеральных законов № 44 и № 63.
  4. Перечень работников, которым передают полномочия. Укажите их фамилии, имена и отчества полностью. Пропишите их текущие должности и новые полномочия. Кроме того, отразите, что подписывает электронной подписью контрактный управляющий и другие ответственные сотрудники — перечень закупочных документов в ЕИС и на торговых площадках.
  5. Для распорядительного акта на передачу прав подписания при замещении основного работника внесите сведения как минимум о двух сотрудниках, которые заменят его при отсутствии.

Документы, необходимые для получения ЭЦП

Для получения ЭЦП предъявить потребуется следующие документы:

  • заявление на получение ЭЦП;
  • нотариально заверенная копия свидетельства о регистрации;
  • оригинал или нотариально заверенная копия выписки из ЕГРЮЛ (срок выписки не более 1 месяца);
  • заверенная копия ИНН;
  • копия приказа о назначении руководителя;
  • по юридическому лицу предоставляются копии уставных документов;
  • предпринимателям нужно будет предоставить свидетельство из ЕГРИП, копию ИНН, свидетельство о госрегистрации.

Важно! На то, чтобы изготовить цифровую подпись, УЦ затрачивает до 3 дней.

Акт приема-передачи ЭЦП

Для того, чтобы факт приема-передачи электронной подписи был зафиксирован, потребуется составление первичного бухгалтерского документа, подтверждающего данный вид операции. В качестве такого документа обычно применяется акт приема-передачи ЭЦП. Однако следует помнить, что сам порядок передачи электронной подписи ее владельцу никак не регламентируется. Непосредственно с того момента, как была оформлена передача, ответственность за использование подписи и программного обеспечения переходит к ее владельцу.

Возможно ли подписание отчета об исполнении бюджета (контракта) чужой электронной подписью

Закон рассматривает виды электронных подписей, права и обязанности их владельцев, а также ответственность за нарушение тех или иных правил. С одной стороны, согласно ст. 4 закона № 63-ФЗ, у участников электронного взаимодействия есть право применять электронную подпись любого вида по своему решению (в случае отсутствия требований об использовании конкретного вида ЭЦП).

С другой стороны, в ст. 10 того же закона приведены обязанности участников электронного взаимодействия, и одной из них является обеспечение конфиденциальности. Владелец ЭЦП должен следить за тем, чтобы принадлежащие ему ключи электронной подписи не использовались без его согласия.

Исходя из приведенных норм закона получается, что применение ключей уполномоченными лицами для подписания отчета об исполнении бюджета (контракта) чужой электронной подписью не запрещено.

Материалы, которые передаются заказчику ЭЦП

При передаче ЭЦП удостоверяющим центром заказчику передается следующий пакет документов:

  • акт приема-передачи ЭЦП;
  • флешку с ПО, сертификатом подписи и самой подписью;
  • подписанный договор об обслуживании;
  • памятку о порядке использования ЭЦП.

При подписании акта приема-передачи следует обратить внимание на то, какие реквизиты в нем содержатся. Документ должен содержать следующее:

  • наименование удостоверяющего центра;
  • наименование компании-получателя ЭЦП;
  • перечень документов и матценностей, подлежащих передаче по акту;
  • факт передачи и указание точной даты;
  • подписи и расшифровки подписей сторон.

Конфиденциальность и защита ЭЦП

В электронных системах для работы с ЭЦП могут применяться 2 ключа. Один из них секретный и посредством его можно подписывать электронные документы. А второй – открытый, который не дает возможность удостоверять документы, однако позволяет определить подлинность и принадлежность цифровой подписи. Первый ключ хранится в секретном месте, а второй может передаваться заинтересованным лицам, например, фискальным органам, Пенсионному фонду, иным фондам и заинтересованным партнерам.

Для обеспечения сохранности секретного ключа используются такие технические средства, как:

  • смарт-карты;
  • дискеты (уже утрачивает свою актуальность);
  • флешки.

Также возможно использование секретного ключа в памяти компьютера. Из наиболее надежных вариантов принято считать использование смарт-карты, так как она потребует не только использование ее, но введение специального кода.

Возможные риски передачи ЭП

Поскольку нормативного запрета нет, люди часто рассуждают таким образом: ну да, использовать чужую ЭП неправильно, но мы же для дела, никому от этого хуже не будет, а пользователи нашей электронной документации ничего не узнают. Однако это не всегда так. Прежде всего, когда вы доверяете свою ЭП другим людям, контроль за конфиденциальностью ключей неизбежно снижается. Ваш «заместитель» может просто проявить невнимательность и допустить, чтобы ЭП воспользовался посторонний, либо неосторожно словить вирус, который скачает информацию. В результате ЭП попадет к жуликам и организация потеряет деньги или информацию. Но есть и другие опасности.

Рассмотрим судебную практику из различных сфер применения ЭП.

Банки

Как правило, сотрудники банков в курсе, что ЭП не всегда использует то лицо, на которое она оформлена. Что не означает, будто банк признает это законным. Просто риски, связанные с нарушением конфиденциальности ЭП, несет клиент. Это следует из Закон ап. 1 ст. 854 , п. 1 ст. 845 , п. 3 ст. 847 ГК РФ и всегда четко прописывается в договоре. Поэтому если со счета организации с помощью вашей ЭП незаконно спишут деньги, убытки с банка взыскать не получитс яПостановления АС ЗСО от 20.02.2015 № А27-5335/2013 ; ФАС МО от 05.08.2014 № А40-82734/2013 . Суды считают, что банк обязан исполнять платежное поручение, подписанное корректной ЭПп. 1 ст. 845 ГК РФ . Возмещение понесенного ущерба можно требовать только со злоумышленников, каким-либо образом получивших доступ к ЭП сотрудника. Но для этого их надо сначала установить.

Важно отметить, что выявляемые в суде факты передачи ЭП другим лицам всегда оцениваются как нарушение договора со стороны клиента банка.

Так, во время внезапного отключения компьютера, на котором стояла программа «Клиент-Банк», с расчетного счета ООО было списано более 1,7 млн руб. Спор с банком о взыскании убытков общество проиграло. Судьи указали, что платежное поручение было подписано действующей ЭП директора, а ООО нарушило условия договора с банком об обеспечении конфиденциальности. В частности, носитель с главным ключом и ЭП директора ООО был передан главному бухгалтеру, у которого он хранился в сейф еПостановление ФАС ЦО от 03.09.2013 № А35-10589/12 .

В другом случае 96 тыс. руб. «ушли» со счета ООО на основании платежного поручения, подписанного ЭП уже уволенного директора (о назначении нового в банк не сообщали). А пользовался этой ЭП, как установило следствие, вообще бухгалтер. Суд отметил, что ООО не обеспечило режим секретности ключа ЭП и передало его в пользование третьему лицу, чем нарушило требования Закона об ЭП. Во взыскании денег с банка было отказан оПостановление ФАС ЗСО от 05.12.2011 № А21-8586/2010 .

Контрагенты

Если документ, с которым не согласна организация, подписан действующей ЭП ее сотрудника, то отвертеться от документа вряд ли удастся. Так, суд принял решение о взыскании с ООО задолженности по договору поставки, хотя организация утверждала, что не получала спорного товара. При этом в наличии была товарная накладная, подписанная ЭП работника компании. По мнению организации, этой ЭП воспользовалось некое неуполномоченное лицо. В процессе разбирательства было установлено, что договор ООО с поставщиком предусматривал использование ЭП при составлении первички, в том числе и формы № ТОРГ-12. ЭП ответственного лица признали действительно йПостановление ФАС ВВО от 11.08.2010 № А43-5226/2010 .

Если спора нет, но контрагент узнал, что ЭП руководителя применил другой сотрудник, к примеру, при подписании контракта, это не так страшно. По правилам ГК РФ организация может направить письмо другой стороне о том, что она одобряет сделку, совершенную неуполномоченным лицом, и таким образом снять проблем уп. 1 ст. 183 ГК РФ .

Госзакупки

Довольно неприятные последствия использования чужой ЭП могут быть у организаций, участвующих в госзакупках. В судебной практике есть случай, когда ООО в результате на 2 года оказалось в реестре недобросовестных поставщиков. А дело было так: генеральный директор подписал госконтракт по результатам открытого аукциона электронной подписью своего предшественника (собственную ЭП на момент подписания ему не успели оформить). Когда сведения о дате назначения нового директора появились на сайте электронной торговой площадки, нестыковку заметил заказчик. Он направил жалобу в УФАС, указав, что контракт подписан неуполномоченным лицом. В результате антимонопольщики пришли к выводу о том, что ООО уклонялось от заключения госконтракта, и наказали организаци юПостановление ФАС ЦО от 05.03.2012 № А23-2637/2011 .

ИФНС

Как показывает практика, подписание деклараций неуполномоченным лицом иногда может создать проблемы для организации. К примеру, в Новосибирске налоговики заблокировали счет компании, случайно узнав из допроса директора, что его ЭП при подписании ранее поданной декларации использовал другой сотрудник. Инспекторы решили, что такую декларацию следует считать неподанной, однако за организацию заступился суд. Дело в том, что декларацию нельзя не принять по ТКС, если она соответствует формат уп. 4 ст. 80 НК РФ . А раз она была принята, значит, блокировка незаконн аПостановление ФАС ЗСО от 21.06.2011 № А45-20993/2010 .

Справедливости ради отметим, что инспекторы и сами не придают значения информации о том, кто пользовался ЭП руководителя, если это в их интересах. Так, они приняли декларации, подписанные ЭП бывшего директора (хотя данные о прекращении его полномочий уже были внесены в ЕГРЮЛ), и исчислили на их основании недоимку, пени и штрафы. В процессе по делу о банкротстве этой организации конкурсный кредитор пытался исключить требования ИФНС из реестра, доказывая, что такие декларации недействительны, но суд ему отказа лПостановление ФАС УО от 04.08.2014 № Ф09-6411/12 . Не смог оспорить действия налоговиков и сам бывший директор, заявивший в суде о применении его ЭП другими лицами. Суд решил, что ИФНС обязана была принять декларации, подписанные действующей ЭПАпелляционное определение Судебной коллегии по гражданским судам Челябинского облсуда от 07.04.2014 № 11-3065/2014 .

Как видим, суды не рассматривали вопрос о правомерности использования ЭП директора другим сотрудником, а просто исходили из оснований отказа в приеме декларации. Как будет решаться вопрос, если налоговики также случайно (к примеру, из приказа о передаче полномочий) узнают о том, что ЭП главбуха при подписании электронных счетов-фактур применял другой сотрудник, сказать сложно. По крайней мере, возможность отказа в возмещении НДС вашим контрагентам исключать нельз япп. 2 , 6 ст. 169 НК РФ .

Рейтинг
( 1 оценка, среднее 5 из 5 )
Понравилась статья? Поделиться с друзьями:
Для любых предложений по сайту: [email protected]