1 января 2022 года вступают в силу новые правила оформления и использования электронных подписей (ЭП). Бизнесу предстоит перестроить алгоритмы подписания документов. А сотрудникам компаний и пользователям задуматься о безопасности и сохранности своих ЭП, чтобы минимизировать риски.
Эксперты Docrobot рассказали, что учитывать при работе по новым правилам, чтобы не поставить под угрозу конфиденциальность и безопасность.
Как было раньше
По старым правилам сертификаты квалифицированных электронных подписей (КЭП) выдавали на имя организации. Сотрудники не могли подписывать документы компании своей личной подписью.
Если работник, отвечающий за подписание документов, уходил в отпуск или другую компанию, КЭП на имя организации можно было передать коллеге или руководителю. Бизнес-процессы не останавливались, и работник знал, что его личным данным ничего не угрожает.
Как будет
Выдавать подписи на имя организации перестанут, получить КЭП смогут только физлица. Чтобы работник смог подписать документ от лица компании, потребуется машиночитаемая доверенность.
Логика изменится: сотрудник будет использовать один и тот же сертификат для личных целей и для задач компаний. Это влечет риски: нужно будет следить, чтобы ответственный за подписание документов не навредил бизнесу. Например, не взял кредит от лица компании или не подписал ненужный договор.
Как снизить риски
— Следите, чтобы сотрудники не забывали токены на рабочих местах
Сертификат квалифицированной электронной подписи хранится на токене — устройстве, напоминающем флешку. Расскажите работникам, что важно хранить его в безопасном месте и не допускать попадания токена третьим лицам. Это важно не только для компании, но и для сотрудника.
— Разграничивайте права сотрудников с помощью машиночитаемой доверенности
Не допускайте ситуаций, при которых один работник может выполнять от лица организации любые действия. Например, если работаете с маркированной продукцией, пусть оператор передает сведения о товарах в Честный ЗНАК и отвечает за УПД, а бухгалтер — подписывает документы с контрагентами.
— Следите, чтобы никто не выпустил сертификат на ваше имя
Мониторить выпуск сертификатов можно на Госуслугах. Перейдите в личный кабинет, в разделе «Настройки и безопасность» выберите «Электронная подпись». Вы увидите, какие сертификаты выпущены на ваше имя. Если обнаружите неизвестную подпись, обращайтесь в полицию и прокуратуру. Попросите сотрудников тоже отслеживать сертификаты.
Что делать, если подпись всё же попала в руки мошенников
По значимости сертификат электронной подписи важнее паспорта. Подписание документов дистанционное, поэтому никто не сможет проверить, действовали вы сами или подпись попала в руки злоумышленников. Если сертификатом воспользуются третьи лица, госорганы и контрагенты расценят это как ваши действия.
— Если мошенники сдали за вас отчетность
Отправьте в налоговую заявление в произвольной форме о недостоверности сведений. Можно сделать это лично, по почте или через интернет.
— Если на вас зарегистрировали юрлицо или ИП
Немедленно сообщите об этом в налоговую. В случае с юрлицом, можно представить в регистрирующий орган заявление по форме № Р34002 или № Р34001. В случае с ИП нужно подавать жалобу в порядке, установленным № 129-ФЗ. Это можно сделать любым удобным способом: по почте, интернету или лично.
— Если вы или сотрудник потеряли токен
Сообщите об этом своему оператору как можно быстрее, чтобы успеть отозвать сертификат до того, как он попадет в руки мошенников. Приостановите подписание документов до перевыпуска сертификата.
— Если от вашего имени заключена незаконная сделка в электронной форме
Обратитесь с заявлением в полицию или в прокуратуру. Если удостоверяющий центр выдал вам документы при получении электронной подписи, возьмите их с собой. Дополнительно можно обратиться в суд, чтобы аннулировать сделку или признать документы недействительными.