"Многие вещи нам непонятны не потому, что наши понятия слабы; но потому, что сии вещи не входят в круг наших понятий."
- Козьма Прутков
В сети уже длительное время циркулируют слухи о планируемых изменениях в области электронных подписей. Речь идёт как минимум о резком сокращении числа удостоверяющих центров и, даже, введении государственной монополии. У многих это вызывает недовольство, но, увы, планы правительства имеют под собой веские основания.
Описание угрозы мошенничества
Прежде всего напомню читателю процедуру получения электронной подписи (ЭП). Важнейшим этапом процедуры является выдача квалифицированного сертификата ключа проверки электронной подписи удостоверяющим центром (УЦ). Согласно статье 18 федерального закона от 06.04.2011 №63-ФЗ "Об электронной подписи" владелец сертификата обязан предоставить УЦ ряд документов, а УЦ - установить личность заявителя и проверить достоверность предоставленных документов, после чего направить в ЕСИА сведения о выданном сертификате и, по желанию заявителя, безвозмездно выполнить регистрацию заявителя в системе. Кроме того, заявитель собственноручно подписывает документ "Информация, содержащаяся в квалифицированном сертификате ключа проверки электронной подписи", один экземпляр которого остаётся в УЦ, а второй передаётся заявителю.
И вот здесь необходимо понимать следующее - выдача сертификата по сути ничем не отличается от, например, оформления банковского кредита и, потому, здесь также существует потенциальная возможность совершения мошенничества, в результате которого злоумышленник получит возможность совершать действия от имени другого лица, подписывая электронный документ, в силу статьи 6 закона 63-ФЗ признаваемый равнозначным документу на бумажном носителе, подписанным собственноручной подписью. Теоретически это может быть всем, чем угодно - от доверенности на продажу принадлежащего вам имущества до заявления об отказе от родительских прав. Насколько эта теоретическая угроза реальна - не знаю, мне такие случаи не известны, однако сотрудники некоторых удостоверяющих центров считают такую угрозу вполне реальной и такое мнение я от них слышал лично.
Да, согласно части 7 статьи 15 закона 63-ФЗ удостоверяющий центр несёт гражданско-правовую и административную ответственность за неисполнение обязанностей и порядка реализации функций, установленных законодательством - так же, как и финансовые организации. И раз такая ответственность не спасает людей от мошеннических кредитов - не вижу никаких причин считать, что она спасёт от выдачи мошеннических ЭП. При этом, замечу, человек вообще может не знать о существовании такого явления, как ЭП, но всё равно стать жертвой злоумышленников.
Да, согласно действующим требованиям закона УЦ направляет в ЕСИА сведения о лице, получившем квалифицированный сертификат, в объеме, необходимом для регистрации. Но способа узнать, направлены ли такие данные и какие сертификаты и каким УЦ выданы, не существует. УЦ обязан предоставлять сведения о выданных сертификатах - но предоставление таких сведений осуществляется на сайте УЦ и проверять каждый аккредитованный центр на предмет - не выдавал ли он сертификат на ваш ИНН/СНИЛС, мягко говоря, затруднительно.
Теоретически существует возможность, уже после того, как человек столкнется с последствиями мошеннически полученного сертификата, опровергнуть такой сертификат в судебном порядке - для этого как раз и существует указанный выше собственноручно подписываемый документ "Информация, содержащаяся в квалифицированном сертификате ключа проверки электронной подписи". Но нужно понимать, что суды принимают решение только по тем вопросам и только в тех формулировках, которые будут указаны в исковом заявлении, а я не очень верю, что любой гражданин сможет правильно их сформулировать.
Возможный способ устранения угрозы
Мне кажется, существует по крайней мере один достаточно надёжный и относительно легко реализуемый способ устранения угрозы мошеннических действий с электронной подписью.
Прежде всего необходимо понимать, что использование электронной подписи имеет мало смысла для человека, не имеющего доступ к сети Интернет и, соответственно, ЕСИА. Как я уже упоминал выше УЦ при выдаче сертификата может, по желанию заявителя, осуществить регистрацию в системе. Такой порядок, быть может, был вполне оправдан в 2014 году, когда в статью 18 закона была добавлена часть 5 - число граждан, зарегистрированных в ЕСИА было невелико и государству нужно было стимулировать граждан к регистрации или, по крайней мере, не создавать гражданам лишних препятствий при получении ЭП. Но сегодня, как мне кажется, настало время развернуть положения закона в обратную сторону и изменить порядок выдачи квалифицированного сертификата в соответствии со следующими принципами:
1. Необходимо, чтобы УЦ выдавал сертификат только тем лицам, которые уже зарегистрированы в ЕСИА. При этом имеет смысл дать возможность заявителю каким-либо образом выразить своё намерение (или согласие) на получение этого сертификата.
2. Необходимо, чтобы УЦ передавал в ЕСИА выданный сертификат и, соответственно, сведения о всех выданных и действующих сертификатах предоставлялись в личном кабинете ЕСИА.
В случае реализации этого предложения, на мой взгляд, устраняются причины, побуждающие законодателей сокращать число аккредитованных УЦ и, соответственно, затруднять получение ЭП гражданами.
