Рассмотрим, какие последствия могут грозить, если третьи лица получат доступ к ключу вашей усиленной квалифицированной электронной подписи (УКЭП), а также разберем конкретные примеры из судебной практики, когда владельцы УКЭП в результате несанкционированных действий третьих лиц были привлечены к ответственности.

Принадлежность подписи конкретному лицу

Квалифицированный сертификат и сертификат ключа проверки УКЭП обязательно содержат данные о владельце электронной подписи, в числе которых (п. 2 , п. 3 ст. 14, п. 2 ст. 17 Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи» (далее – Закон № 63-ФЗ)):

— ФИО, СНИЛС, ИНН – для физического лица, не являющегося индивидуальным предпринимателем;

— ФИО, СНИЛС, ИНН и ОГРН – для индивидуального предпринимателя;

— наименование, ИНН, место нахождения и ОГРН – для юридического лица. В качестве владельца сертификата ключа проверки электронной подписи также указывается физическое лицо, действующее от имени юридического лица на основании учредительных документов юридического лица или доверенности (с 2022 г. – только физическое лицо, действующее от имени юридического лица без доверенности).

Эти атрибуты делают квалифицированную электронную подпись именной и обеспечивает признание электронных документов, заверенных ею, равнозначным документам на бумажном носителе, подписанным собственноручной подписью (п. 1 ст. 6 Закона № 63-ФЗ). И так же, как не должно предлагать другому человеку за себя расписываться, не следует допускать использования ключа УКЭП другим лицом.

Ст. 10 Закона № 63-ФЗ (п. 1) говорит, что при использовании усиленных электронных подписей участники электронного взаимодействия обязаны обеспечивать конфиденциальность ключей электронных подписей, в частности – не допускать использование принадлежащих им ключей электронных подписей без их согласия. Это довольно расплывчатая формулировка, но с учетом вышесказанного ее смысл проясняется: если владелец ключа не в состоянии научиться с ним обращаться, он может воспользоваться технической помощью другого лица, но не доверить тому использовать ключ самостоятельно, будь то на свое усмотрение или по поручению владельца.

Нельзя передать право использования своей электронной подписи ни на основании распорядительного документа, ни на основании договора, ни на основании доверенности на распоряжение ключом – никаким образом. Если требуется уполномочить иное лицо подписывать документы от имени организации, ИП, гражданина, необходимо оформить электронную подпись на это лицо и снабдить его доверенностью на совершение соответствующих действий.

Необходимые действия в случае компрометации ключа

Что делать, если конфиденциальность ключа нарушена, то есть он попал в чужие руки? Алгоритм действий владельца и АУЦ четко обозначен в Законе № 63-ФЗ (п. 2, 3 ст. 10, пп. 3, 5 п. 1 ст. 13, пп. 2 п. 6, п. 6.1, п. 9 ст. 14, п. 6 ст. 17):

1. не использовать ключ электронной подписи при наличии оснований полагать, что конфиденциальность данного ключа нарушена;
2. немедленно (в течение 1 рабочего дня) обратиться с заявлением в аккредитованный удостоверяющий центр, выдавший квалифицированный сертификат, для прекращения действия этого сертификата. Заявление можно подать на бумажном носителе или в форме электронного документа;
3. уведомить других участников электронного взаимодействия о нарушении конфиденциальности ключа электронной подписи в течение не более чем одного рабочего дня со дня получения соответствующей информации;
4. удостоверяющий центр аннулирует сертификат ключа УКЭП и отражает в своем реестре дату и основания для аннулирования. До внесения в реестр сертификатов информации об аннулировании сертификата ключа проверки электронной подписи удостоверяющий центр обязан уведомить владельца сертификата ключа проверки электронной подписи об аннулировании его сертификата ключа проверки электронной подписи путем направления документа на бумажном носителе или электронного документа;
5. аннулированный сертификат ключа проверки электронной подписи использоваться не может. Его использование не влечет юридических последствий, за исключением тех, которые связаны с его аннулированием.

На практике крайне распространены случаи передачи ключа ЭП другим лицам. Пожалуй, два наиболее популярных связаны с тем, что директор вместе с передачей ряда полномочий главбуху или другому сотруднику, не задумываясь, допускает их к ключу своей УКЭП, а также с т.н. номинальными директорами – гражданами, числящимися руководителями организаций, однако фактически не участвующими в их деятельности. Последние до поры до времени абсолютно безмятежно относятся к тому, что оформленным на их имя ключом УКЭП распоряжается кто-то другой. Можно не рассчитывать на то, что такой персонаж добровольно выполнит требования Закона № 63-ФЗ, хотя бы потому, что вряд ли о них подозревает.

Но если сам владелец УКЭП добровольно и своевременно не обращается в УЦ, это не означает, что проблема рано или поздно не вскроется. Так, например, если налоговый орган в ходе мероприятий налогового контроля устанавливает, что руководитель утратил (или не имел) контроль над ключом ЭП, ему предлагают написать соответствующее заявление, которое затем передается налоговым органом в АУЦ с просьбой принять меры к аннулированию сертификата ключа проверки (Письма ФНС России от 28.07.2016 № ПА-4-6/13752@, от 28.07.2016 № 6-3-03/0043@, Письмо ФНС России от 20.08.2020 № ЕА-3-26/5960@, Письмо Минкомсвязи России от 12.07.2016 № ОП-П15-085-13646).

Последствия использования ключа другим лицом

Аннулирование УКЭП производится на определенную дату. Что, если при попустительстве владельца до этого момента его подписью пользовался кто-то другой? Удастся ли, например, потом откреститься от ответственности, сославшись на утрату контроля над ключом подписи?

Безусловно, нет! Не случайно закон предписывает как действовать, если владелец обнаружил неладное. Могут иметь место мошеннические действия или действия, которые повлекли негативные последствия для бизнеса со стороны лиц, в распоряжении которых оказался ключ ЭП.

Именно поэтому и нужно внимательно следить за сохранностью ключа и немедленно информировать о его компрометации. Не случайно еще в начале мы подчеркнули, что УКЭП приравнивается к собственноручной подписи и, как следствие, именно на владельца ключа ложится ответственность за подписанный документ вне зависимости от того, кем указанная подпись была использована фактически (см., например, Постановление АС Дальневосточного округа от 26.06.2020 № Ф03-781/2020 по делу № А51-20242/2018, Постановление АС Дальневосточного округа от 23.12.2019 № Ф03-6040/2019 по делу № А51-26035/2018 (Определением Верховного Суда РФ от 07.05.2020 № 303-ЭС20-4234 отказано в передаче дела № А51-26035/2018 в Судебную коллегию по экономическим спорам Верховного Суда РФ для пересмотра в порядке кассационного производства данного постановления)).

Приведем несколько примеров.

Пример 1

Организация представила уточненную налоговую декларацию по НДС, при проверке которой налоговый орган выявил неправомерное принятие к вычету налога на крупную сумму. Решение о привлечении к ответственности за налоговое правонарушение попытались оспорить, сославшись на то, что налоговая декларация была направлена в инспекцию бывшим главным бухгалтером, которая воспользовалась электронной цифровой подписью директора без его уполномочия.

Суд, куда обратилась организация с соответствующим заявлением, возразил, что поскольку электронная подпись является аналогом собственноручной подписи, ответственность за ее исполнение лежит на ее владельце. Использование электронной подписи с нарушением конфиденциальности соответствующего ключа не освобождает владельца от ответственности за неблагоприятные последствия, наступившие в результате такого использования. Директор не представил доказательств нарушения конфиденциальности ключа электронной подписи и уведомления об этом удостоверяющего центра.

Как следствие, уточненная декларация была признана подписанной уполномоченным лицом – руководителем организации – и штраф за искажение суммы налога суд счел наложенным правомерно (см. Постановление 9 ААС от 05.08.2019 № 09АП-31911/2019 по делу № А40-42134/19).

К подобным выводам суды приходили многократно, см., например, также Постановление АС Московского округа от 03.10.2018 № А40-179170/16, Постановление 9 ААС от 25.06.2018 № 09АП-7/2018, 09АП-13779/2018, 09АП-14757/2018 по делу № А40-179170/16 и др.

Пример 2

Клиент обратился в банк с жалобой на несанкционированное списание средств со счета. В ходе проверки выяснилось, что во время работы компьютера, на котором оборудовано автоматизированное рабочее место системы «Клиент-Банк», произошло его внезапное отключение, а на следующий рабочий день было установлено, что в этот момент с расчетного счета ООО была списана денежная сумма в размере 1 760 000 руб. в пользу другой организации в качестве оплаты за аренду автомобилей по платежному поручению, подписанному подлинной электронной подписью директора.

При этом АРМ «Клиент-Банк» ООО было установлено на персональном компьютере главного бухгалтера, доступ в его кабинет был свободным для персонала организации; приказа о предоставлении доступа и о назначении администратора и оператора АРМ «Клиент-Банк» не было, носитель USB с электронной подписью директора ООО был передан директором главному бухгалтеру и хранился в сейфе последнего.

Все обстоятельства свидетельствуют о том, что в ООО не выполнялись условия договора с банком о соблюдении требований по обеспечению безопасности в процессе эксплуатации АРМ «Клиент-Банк», в результате чего имелась возможность использования ключа УКЭП руководителя лицами, не имеющим таких полномочий, как со стороны работников организации, так и со стороны сети Интернет. Владелец подписи не обращался ни в удостоверяющий центр, ни в банк с информацией о том, что ключ скомпрометирован.

В таких условиях ООО не удалось доказать, что названное платежное поручение было несанкционированным. Банк выполнил распоряжение клиента без нарушений, и требовать возмещение потерь от банка оснований нет (см. Постановление ФАС Центрального округа от 03.09.2013 по делу № А35-10589/12 (Определением ВАС РФ от 18.11.2013 № ВАС-15780/13 отказано в передаче дела № А35-10589/2012 в Президиум ВАС РФ для пересмотра в порядке надзора данного постановления)).

Пример 3

Организация обанкротилась. Конкурсный управляющий попросил суд привлечь к субсидиарной ответственности по долгам банкрота директора организации, мотивируя это тем, что данные бухгалтерской отчетности организации за подписью директора были искажены, в результате чего существенно затруднено проведение процедур, применяемых в деле о банкротстве, в том числе формирование и реализация конкурсной массы. Это в силу п. 1 и 2 ст. 61.11 Федерального закона от 26.10.2002 № 127-ФЗ «О несостоятельности (банкротстве)» является основанием для привлечения контролирующего должника лица (в данном случае — директора) к субсидиарной ответственности по обязательствам должника.

В суде директор возразил, что он являлся номинальным руководителем, фактически обязанности по управлению организацией не исполнял, а его электронной подписью воспользовалось другое лицо (судьба ключа подписи ему неизвестна). При этом директор не представил доказательств нарушения конфиденциальности ключа электронной подписи и уведомления об этом соответствующего центра.

Суд отклонил эти аргументы и одобрил привлечение директора организации к субсидиарной ответственности по ее долгам, указав, что поскольку электронная подпись является аналогом собственноручной подписи, ответственность за ее исполнение лежит на ее владельце. Использование электронной подписи с нарушением конфиденциальности соответствующего ключа не освобождает владельца от ответственности за неблагоприятные последствия, наступившие в результате такого использования (см. Постановление АС Московского округа от 03.10.2018 № Ф05-14276/2018 по делу № А40-179170/16).

Решение по другому делу с похожими обстоятельствами и таким же результатом оформлено Постановлением АС Поволжского округа от 15.03.2021 № Ф06-42411/2018 по делу № А12-35538/2017.

Пример 4

Тендерный специалист. Уволился из компании, имея доступ к электронной подписи директора. Устроился на работу к конкуренту. Директор – бывший работодатель после увольнения сотрудника не провел никакой цифровой гигиены в компании и никак не отреагировал на возможный риск компрометации своей электронной подписи. Бывший сотрудник организовал участие в торгах от имени бывшего работодателя и «благополучно» отправил компанию в Реестр недобросовестных поставщиков (РНП). Тем самым отстранил от участия прямого конкурента.

Ответственность за копирование (подделку) и незаконное использование ЭП
Электронная подпись, выданная УЦ ФНС РФ, не экспортируемая. Т.е. ее нельзя скопировать. Однако появляются случаи, когда одна и та же электронная подпись руководителя одновременно содержится на нескольких носителях. Это нарушение закона. Если выяснится, что электронная сделка в компании сопровождалась скопированной электронной подписью директора и без его участия, это грозит статьей Уголовного кодекса № 327 «Подделка, изготовление или оборот поддельных документов». По этой ст. 327 наказывают ограничением свободы на срок до двух лет за подделку подписи в официальных документах — предоставляющих права или освобождающих от обязанностей (ч. 1 ст. 327 УК РФ). По логике 63-ФЗ, ЭЦП является аналогом рукописной подписи, но в цифровом формате и ответственность лежит на владельце ЭЦП. Директору нужно очень постараться и доказать, что его подпись скомпрометировали. Так зачем доводить до этого! Достаточно выпустить электронную подпись на сотрудника и наделить его полномочиями в рамках доверенности.
Фактически добровольная передача ЭЦП не наказуема — наказуемы действия, которые совершает лицо, владеющее подписью. Например, если в результате применения чужой ЭЦП злоумышленник получил финансовую выгоду, его можно привлечь по статье 159 УК РФ (хищение чужого имущества или приобретение права на чужое имущество путем обмана или злоупотребления доверием). Но этого надо доказать. В любом случае директор – владелец ЭЦП – ставит себя под удар, передавая или не ведая о том, что его подпись может находиться у третьих лиц.

Уважаемый владелец электронной подписи!

Будь бдителен и не передавай свою электронную подпись третьим лицам!