Нарушение идентификации личности при выпуске УКЭП: первый кейс о привлечении к ответственности доверенного лица

Вадим Дерюжинский

Руководитель юридического департамента IT-компании Sign.Me

специально для ГАРАНТ.РУ

Между удостоверяющим центром (УЦ) и компанией-доверенным лицом произошла спорная ситуация: доверенное лицо провело идентификацию будущего владельца усиленной квалифицированной электронной подписи (ЭП) онлайн и не получило от заявителя необходимые по регламенту документы, нарушив тем самым Федеральный закон от 6 апреля 2011 г. № 63-ФЗ "Об электронной подписи" (далее – Закон об электронной подписи) и условия договора с УЦ. Таким образом, ЭП выпустили на мошенника, но ответственность понесло доверенное лицо.

Этот кейс уникален и создает новый судебный прецедент, так как раньше за ошибки доверенных лиц все риски и убытки ложились на плечи УЦ.

Рассмотрим теоретическую часть вопроса, а затем подробнее остановимся на кейсе.

Виды электронных подписей и их отличия

Перед погружением в юридическую часть важно познакомиться с главными определениями отрасли.

Электронная подпись (ЭП) – это цифровой аналог рукописной подписи.

Российское законодательство определяет следующие виды ЭП:

• ПЭП – простая подпись – зачастую применяется для подписки на рассылки при проставлении галочки в чекбоксе, для авторизации с использованием учетных данных и для подтверждения банковских операций посредством СМС-кодов (ч. 2 ст. 5 Закона об электронной подписи).
• УНЭП – усиленная неквалифицированная подпись – это золотой стандарт для работы с повседневными документами онлайн. С ее помощью бизнес может подписывать документы с клиентами или сотрудниками. УНЭП создается с помощью криптографии, а выпустить ее можно как онлайн, так и при личной встрече с представителем удостоверяющего центра (УЦ) (ч. 3 ст. 5 Закона об электронной подписи).
• УКЭП – усиленная квалифицированная подпись – этот вид подписи также содержит криптографическую защиту, как и УНЭП, но более строго регламентируется законом. Этот вид применим для документов, которые необходимо передавать в госорганы. Выпуск УКЭП возможен после очной идентификации доверенным лицом УЦ, аккредитованного Минцифры России. В нашем деле речь пойдет именно об этом виде подписи (ч. 4 ст. 5 Закона об электронной подписи).

Сертификат ключа проверки электронной подписи – электронный или бумажный документ, выданный УЦ и подтверждающий принадлежность ключа проверки ЭП ее владельцу (ст. 14 Закона об электронной подписи).

Удостоверяющий центр (УЦ) – организация, которая имеет право выпускать сертификаты ЭП юридическим и физическим лицам. Для выпуска УКЭП УЦ должен быть аккредитован Минцифры России (ст. 13 Закона об электронной подписи).

Доверенное лицо УЦ – это лицо, уполномоченное принимать заявления на выпуск сертификата ЭП и проводить идентификацию будущих владельцев такого сертификата от имени УЦ. Такая ответственная работа требует четкого соблюдения регламентов. (ч. 4 ст. 13 Закона об электронной подписи).

Как создается УКЭП

УКЭП создается с помощью средств криптографической защиты информации (СКЗИ). В основе работы СКЗИ лежит принцип использования двух взаимосвязанных криптографических ключей – открытого и закрытого, которые образуют уникальную математическую пару. Открытый ключ доступен всем участникам документооборота и используется для проверки подлинности ЭП. Закрытый ключ доступен только владельцу подписи. Он необходим для создания подписи к документу. Выпуск УКЭП подразумевает создание сертификата ЭП, который нужен для подтверждения, что данная ЭП принадлежит конкретному человеку. За выпуск сертификата ЭП отвечает УЦ. В случае с УКЭП один из этапов получения сертификата – идентификация личности представителем УЦ или доверенным лицом.

Как проходит идентификация личности при выпуске УКЭП

Для выпуска УКЭП и создания той самой ключевой пары и сертификата ЭП по закону каждый будущий владелец (заявитель) должен пройти очную идентификацию, которая включает в себя сбор и сличение документов, удостоверяющих личность, с данными и внешностью заявителя, а также проверку этих данных удостоверяющим центром через систему межведомственного электронного взаимодействия (СМЭВ) по базам данных МВД России, СФР и ФНС России (п. 2 ч. 1.1. ст. 18 Закона об электронной подписи).

Система межведомственного электронного взаимодействия (СМЭВ) – это федеральная государственная информационная система, которая включает в себя информационные базы данных. Основная задача СМЭВ – проверка подлинности сведений, предоставленных будущим владельцем ЭП. Проверка СМЭВ осуществляется по следующим параметрам: серии и номеру паспорта, СНИЛС и ИНН.

Процесс идентификации

1. Представитель УЦ проверяет паспорт будущего владельца ЭП и сверяет информацию с данными в заявлении.
2. Осуществляется проверка предоставленных данных через СМЭВ.
3. Доверенное лицо проверяет соответствие внешности заявителя фотографии в документе.
4. После успешной проверки пользователь подписывает заявление на выпуск УКЭП.

Дополнительный контур защиты

Фотофиксация – дополнительная мера предосторожности, которая не обязательна по закону, но может быть предусмотрена в регламентах компаний, которые отвечают за выпуск УКЭП. Представитель УЦ в процессе идентификации фотографирует будущего владельца с подписанным заявлением на выпуск сертификата ЭП в руках. Фото должно обеспечивать читаемость всех данных на заявлении. Наличие фото необходимо, чтобы зафиксировать личность, которая подписывает заявление, обеспечить высокий уровень надежности и предотвратить попытки мошеннических схем.

Завершив формальные этапы, доверенное лицо рассказывает будущему пользователю о способах применения и хранения ЭП, а также отдает памятку по безопасности.

Ошибки при идентификации личности при выпуске УКЭП

Важно выбрать надежный сервис, который соблюдает все требования закона. Главные ошибки, которые нельзя допускать:

• Онлайн

Идентификация УКЭП не должна проводиться без личного присутствия владельца или его законного представителя. Доверенное лицо УЦ не может проводить идентификацию в мессенджере или по видеосвязи. Исключением является биометрия, с помощью которой даже УКЭП можно выпустить онлайн при наличии биометрического загранпаспорта и чипа NFC (технология беспроводной передачи данных на короткие расстояния) в смартфоне или при наличии загруженных биометрических данных в Единую биометрическую систему (ЕБС) (п. 1 ч. 1 ст. 18 Закона об электронной подписи). Есть лишь один УЦ на рынке, который позволяет выпустить УКЭП при помощи биометрии. Также идентификация может быть осуществлена удаленно по действующему сертификату УКЭП.

• Без заявления на выпуск УКЭП

Каждый будущий пользователь УКЭП должен ознакомиться и подписать заявление на выпуск ЭП в присутствии лица, проводящего идентификацию, или онлайн в случае с биометрией (п. 1 ч. 1 ст. 18 Закона об электронной подписи). В первом случае такое заявление подписывается на бумаге, а его отсутствие может стать поводом для оспаривания ЭП и признания всех подписанных документов недействительными в будущем.

Первое в российской практике дело с привлечением доверенного лица к ответственности за нарушение идентификации

Данный прецедент представляет особую значимость в судебной практике, поскольку впервые было применено взыскание именно к доверенному лицу за нарушение идентификации.

В чем суть

Ранее на рынке уже были кейсы, когда УЦ лишали аккредитации за нарушение процедуры идентификации. В нашей практике это первая ситуация, когда не УЦ, а доверенное лицо нарушает идентификацию и само несет ответственность.

Дело № А40-163986/24-56-1193

Судебное разбирательство произошло между компанией, занимающейся займами под залог недвижимости в качестве посредника между заемщиками и займодавцами, представители которой выступали в качестве доверенных лиц, и УЦ, который предоставлял сервис ЭП. Доверенное лицо нарушило процедуру идентификации пользователя при выпуске ЭП. Так, мошенник с поддельным паспортом смог выпустить УКЭП и взять займ под залог недвижимости. Настоящий владелец паспорта и переданной в залог квартиры обратился в суд, признал сделку недействительной, доказав, что сертификат ЭП был выпущен мошенником, и смог вернуть недвижимость. Займодавец остался без денег – их получил мошенник, подделавший паспорт, – и предмета залога. Займодавец обратился к УЦ, так как по закону именно УЦ несет ответственность за действия доверенных лиц. Он взыскал с УЦ убытки, а УЦ в порядке регресса привлек к ответственности доверенное лицо.

Такое правонарушение со стороны доверенного лица может повлечь за собой лишение аккредитации УЦ, финансовые и репутационные риски в виде больших штрафов, возмещения убытков потерпевшим лицам и потери клиентов. При этом доверенное лицо может остаться безнаказанным и продолжать нарушать требования закона и удостоверяющего центра.

Ход дела

В ходе дела выяснилось, что доверенное лицо проводило идентификацию пользователя онлайн, что является грубым нарушением п. 1 ч. 1 ст. 18 Закона об электронной подписи. Идентификация была проведена удаленно, что подтверждалось скриншотом доверенного лица из мессенджера. Также в деле отсутствовал оригинал заявления на выпуск сертификата ЭП. Доверенное лицо не сохранило его и не направляло в УЦ. Ответчик предоставил видеозапись, где участник говорит, что подтверждает прохождение идентификации. Суд решил, что эта видеозапись – не доказательство, потому что ее может создать любое постороннее лицо, а не только сотрудник компании доверенного лица или УЦ.

Доверенное лицо нарушило регламент УЦ: не получило от заявителя необходимые оригиналы документов. УЦ утверждал, что в процессе идентификации заявителя доверенное лицо должно было запросить оригиналы документов, необходимых для выпуска УКЭП в соответствии с Законом об электронной подписи и регламентом УЦ: паспорт, ИНН, СНИЛС. Мошенник предоставил высокотехнологичную подделку паспорта, в котором была заменена только фотография, а также данные ИНН и СНИЛС настоящего владельца недвижимости, и с их помощью прошел проверку СМЭВ и смог выпустить ЭП. Также в деле отсутствовали оригиналы и сканы документов, протоколы и почтовая квитанция, которые могли бы подтвердить отправку оригинала заявления.

Так, УКЭП выдали мошеннику, который воспользовался наличием собственности у реального владельца паспортных данных, заключил договор займа и скрылся с деньгами, заложив недвижимость ничего не подозревающего собственника.

В процессе разбирательства ЭП, выпущенная с нарушением закона, и все подписанные документы были оспорены. Законный владелец смог защитить свою недвижимость от мошенника и вернуть законные права, а займодавец и УЦ – возместить свои убытки, понесенные из-за нарушения закона и регламента доверенным лицом.

Суд признал, что УЦ не несет ответственности за нарушение идентификации доверенным лицом. УЦ защитил свою деловую репутацию и взыскал убытки с доверенного лица.

Итог

Это первый кейс, когда виновное лицо, которое нарушило процедуру идентификации и регламент УЦ, несет ответственность. То есть не УЦ является виновником и рискует своей аккредитацией, несет финансовые и репутационные риски, а лицо, которое допустило правонарушение.

Ранее существовала определенная диспропорция в распределении ответственности: несмотря на то что ошибки допускались сотрудниками доверенного лица – порой даже умышленно, в целях оптимизации рабочих процессов – материальный ущерб возлагался на УЦ. Такая ситуация несправедлива, поскольку именно доверенное лицо получало доход от обслуживания клиентов, в то время как финансовые риски ложились на УЦ.

Принятое судебное решение способствует установлению более сбалансированного механизма ответственности в отношениях между удостоверяющим центром и доверенным лицом, что в перспективе должно привести к повышению качества предоставляемых услуг и снижению количества нарушений в процессе идентификации.

Из этого дела можно сделать вывод, что, в первую очередь, необходимо усилить контроль над деятельностью доверенных лиц, установив более строгие требования к их профессиональной подготовке и компетенции, а также важно внести в законодательство нормы, регламентирующие ответственность доверенных лиц за нарушения при осуществлении их деятельности. Все это станет эффективным инструментом противодействия возможным злоупотреблениям доверенных лиц и повысит защищенность электронного документооборота в целом.

Источник: garant.ru