#нпа #фз63 #эп #укэп #всёпроэдо
(@edob2b)

Изменения в ФЗ "Об электронной подписи"

В адрес органов исполнительной власти разосланы предложения по изменениям в 63-ФЗ и 476-ФЗ.

Можно заметить, что эта редакция законопроекта отличается от ранее подготовленной Минцифры России.

Новость 2019 года - "Мошенники с помощью электронной подписи лишили людей квартир. Один самый громкий случай произошел в Москве, когда её житель неожиданно выяснил: его квартира на Тверской улице принадлежит жителю Уфы. Сделка произошла без его ведома, но по его ЭП (которую, впрочем, он никогда не делал — за него мошенники постарались)".

Якобы сделка по отчуждению квартиры была произведена в электронном виде с использованием усиленной квалифицированной электронной подписи. Сложно представить, чтобы Управление Росреестра осуществило регистрацию данной сделки только на основании того, что им на почту был получен договор дарения с ЭП. Сложно представить, что они вообще бы стали проверять ЭП документа, полученного таким способом, а не отправили в "спам".

Хорошая аналитическая справка с динамикой распространения информационной атаки по системе квалифицированной электронной подписи была подготовлена Ассоциацией РОСЭУ.

Но не хватало одной детали - самого судебного решения. И оно было найдено, в картотеке Портала судов общей юрисдикции г. Москвы - дело № 02-3237/2019. Но решение не даёт ответа на вопрос - какой УЦ выдал данный сертификат? Суд вообще не изучал данный вопрос, просто признал недействительным договор дарения квартиры от 28.09.2018. При этом с использованием незаконно выданного сертификата могли осуществляться и другие сделки, почему решением суда сертификат не был аннулирован? Согласно части 9 статьи 14 63-ФЗ использование аннулированного сертификата не влечет юридических последствий, за исключением тех, которые связаны с его аннулированием.
Поэтому и возникает вопрос, а был ли в этой истории мальчик незаконно выданный сертификат и ЭП?

Текст публикуется с согласия автора из тематического чата про УЦ:
Вводная - Работодатель несёт расходы на получение работником электронной подписи.

Работник – работодателю: дай электронную подпись!
Работодатель (не хочет нести расходы!) берёт какой-нибудь файл, подписывает его каким-нибудь сертификатом и даёт файл с электронной подписью работнику: на!
Работник: а на фига мне эта фигня? Ты мне электронную подпись (ЭЦП))) дай!

Работодатель открывает Федеральный закон от 06.04.2011 г. № 63-ФЗ «Об электронной подписи», ст. 2 и читает (вслух): 1) электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию. Вот тебе «информация в электронной форме, которая присоединена…», кушай на здоровье.
Работник (немая сцена). На лице крупными буквами проступают русские матюки.

Госключ переходит на квалифицированную подпись

В тестовой среде СМЭВ 3.0 зарегистрирован Вид сведений АО "ИнфоТеКС Интернет Траст" - "Подписание документов УКЭП в МП Госключ" версии 1.0.0.

С каналом поделились отпиской ответом Минцифры России (датирован 2020 годом) на жалобу о незаконной выдаче сертификата.

Удостоверяющие центры, получившие аккредитацию до дня вступления в силу Федерального закона № 476-ФЗ (01.07.2020), вправе создавать и выдавать квалифицированные сертификаты в течение всего срока действия аккредитации, но не позднее чем до 1 июля 2021 года.

В СМЭВ есть отчет по виду сведений "Регистрация квалифицированного сертификата ключа проверки электронной подписи в ЕСИА", который представляет статистику по количеству зарегистрированных сертификатов удостоверяющими центрами. УЦ, получившие аккредитацию по "новым требованиям" выделены зеленым цветом.

Прилагаемая таблица наглядно демонстрирует, кто и как выполняет данную норму закона.
Такое ощущение, что некоторые организации, например, ГКУ Ленинградской области "Оператор" электронного правительства", ФГБУ «Информационно-аналитический центр поддержки ГАС «Правосудие», ФГБУ "Федеральный институт промышленной собственности" вообще не в курсе изменений 63-ФЗ.

И ещё, на что хотелось бы обратить внимание, в октября УЦ Банка России зарегистрировал в ЕСИА первые созданные 217 сертификатов. Таким образом, третий гос.УЦ начал свою работу.

Минцифры России в адрес субъектов Российской Федерации направлена информация о завершении в 4 квартале 2021 г. работ по созданию Национального удостоверяющего центра (НУЦ).

Согласно письму получить сертификат безопасности НУЦ будет возможно с использованием вида сведений НУЦ ОГВ/ОМСУ (обратим внимание, что в настоящее время данный сервис не зарегистрирован в тестовой среде).

Информация о завершении работ по созданию НУЦ и его готовности к выпуску сертификатов безопасности будет направлена дополнительно.

В тестовой среде СМЭВ 3.0 зарегистрирована новая версия 1.2.0 вида сведений МВД России "Сведения о действительности паспорта гражданина Российской Федерации, предъявленного на определённое имя". Только добавлена причина недействительности паспорта: 609 – Утрачен.

Таким образом все коды причин недействительности паспорта:
601 Истёк срок действия
602 Заменен на новый
603 Выдан с нарушением
604 Числится в розыске
605 Изъят, уничтожен
606 В связи со смертью владельца
607 Технический брак
609 Утрачен

Версия - новая, а вот руководство пользователя - старое, с уволенными сотрудниками в контактных данных и отсутствием УЦ в потребителях.

Минцифры России в целях повышения надежности и отказоустойчивости СМЭВ 3 с 29 ноября 2021 года по 29 декабря 2021 года планирует проведение работ по модернизации транспортной подсистемы.

В период проведения работ с 09:00 до 13:00 в Личном кабинете участника взаимодействия по ряду видов сведений будет отсутствовать возможность пройти процедуру подтверждения технической готовности (ПТГ). Пройти процедуру ПТГ можно будет только через Ситуационный центр в установленном методическими рекомендациями порядке.

Модернизация СМЭВ 3 будет осуществлена в соответствии с требованиями документа «Методические рекомендации по работе с Единой системой межведомственного электронного взаимодействия» и документа «Требования к XML-схемам, регистрируемым в СМЭВ версия 1.3.8», размещенными на информационном ресурсе «Технологический портал системы межведомственного электронного взаимодействия».

В случае если при осуществлении информационного взаимодействия посредством СМЭВ 3 в информационных системах участников взаимодействия (далее – ИС) были использованы приемы, игнорирующие требования стандартов HTTP/1.1, SOAP (Simple Object Access Protocol (SOAP) 1.1 ), xml (http://www.w3.org/TR/2008/REC-xml-20081126/), например, применен посимвольный разбор (парсинг) синхронных ответов от СМЭВ3, то существует риск полной или частичной утраты ИС технической готовности для участия в обменах в СМЭВ3.

Ещё одна история мошенничества с использованием электронной подписи произошла летом на Урале.

Схема обмана следующая: при первом собеседовании студентку направили подписать трудовой договор… в удостоверяющий центр. При этом накануне мошенник приходил в офис УЦ, чтобы оплатить услугу по выдаче квалифицированного сертификата, сказав, что сам «заявитель» задерживается и подойдет позже. Студентка действительно подошла позже. Оператор УЦ принял от неё заявление, вернул на подпись пакет документов для получения сертификата. Подписанные документы она передала мошеннику, будучи уверенной, что это договор о трудоустройстве.
Далее мошенники с использованием ключа ЭП и полученного сертификата зарегистрировали на имя девушки ИП.

В статье указан адрес - г. Екатеринбург, ул. Первомайская, 15, по которому действительно находится точка выдачи сертификатов УЦ "Мостинфо".

Напомним, что УЦ обязан информировать в письменной форме заявителей об условиях и о порядке использования электронных подписей и средств электронной подписи, о рисках, связанных с использованием электронных подписей, и о мерах, необходимых для обеспечения безопасности электронных подписей и их проверки.

Что тут можно ещё добавить - внимательно нужно читать документы при подписании и понимать последствия от их подписания.

Из судебной практики в сфере электронной подписи:

- Заявления от гр. Шарипова И.Т. в Аккредитованный удостоверяющий центр ООО « Электронный город+» об аннулировании СКПЭП поступило после ДД.ММ.ГГГГ, на тот момент СКПЭП на имя гр. Шарипова И.Т. уже был аннулирован ДД.ММ.ГГГГ по заявлению, поступившему в УЦ ООО « Электронный город+» от ООО «Информационные технологии и коммуникации» на основании п.п. 1 п. 6.1 ст. 14 ФЗ №63 «Об электронной подписи» (решение от 25 января 2019 г. по делу № 2-5301/2018)

- Обращаясь в суд с названным выше иском, ФИО1 нарушение своих прав обосновала тем, что ни заявление о досрочном переходе из Пенсионного фонда РФ в негосударственный пенсионный фонд от ДД.ММ.ГГГГ, ни договор об обязательном пенсионном страховании от ДД.ММ.ГГГГ № не подписывала , следовательно, пенсионные накопления неправомерно переведены из ПФР в негосударственный пенсионный фонд (решение от 6 февраля 2019 г. по делу № 2-15/2019)

- На момент совершения регистрационных действий основания для отказа в их совершении, а именно решения суда о недействительности электронно -цифровой подписи Киро А.В. и аннулировании сертификата ключа ЭПЦ, у налогового органа не имелось. Не представлено такое решение и на момент рассмотрения настоящего иска (решение от 13 марта 2019 г. по делу № 2-970/2019)

- На момент совершения регистрационных действий ответчиком основание - решение суда о недействительности ЭЦП и аннулировании сертификата ключа ЭЦП как основание для отказа в их совершении отсутствовали (решение от 5 августа 2019 г. по делу № 2-1626/2019)

- Оценив представленные доказательства по правилам ст. 67 ГПК РФ, учитывая, что в заявлениях на изготовление сертификатов ключа проверки электронной подписи от дд.мм.гггг., листах ознакомления с информацией, содержащейся в квалифицированном сертификате , проставлены подписи Бикмуллина Р.Т., которые не оспорены надлежащим образом, суд приходит к выводу о том, что доказательств отсутствия волезъявления истца на изготовление сертификатов ключа проверки электронной подписи последним не представлено, а потому в удовлетворении исковых требований Бикмуллина Р.Т. о признании недействительным заявления на изготовление сертификата ключа проверки усиленной электронной подписи , усиленной квалифицированной подписи и сертификата ключа проверки усиленной подписи , должно быть отказано в полном объеме (решение от 26 мая 2020 г. по делу № 2-203/2020)

- На момент совершения регистрационных действий основания (решение суда о недействительности электронно -цифровой подписи и аннулировании сертификата ключа электронно -цифровой подписи ) для отказа в их совершении отсутствовали. Таким образом, сертификат ключа проверки электронной подписи исполненной ФИО6, является действительным на момент совершения оспариваемого действия по смыслу ст. 11 ФЗ № 63-ФЗ.
В связи с чем, довод представителя административного истца о том, что данное административное дело следует рассматривать с обязательным участием в качестве заинтересованного лица общества «Тензор» (правообладателя программы ЭВМ СБиС), суд признает несостоятельным (решение от 23 января 2019 г. по делу № 2А-2-12204/2018)

Ни одного решения суда об аннулировании сертификата ЭП. Таким образом, если на гражданина какой-либо УЦ незаконно, без его согласия, по подложным документам выдал сертификат - доказать это суду не представляется возможным. Возможно, если бы исковые заявления были поданы на УЦ, решения судов были бы другими.

3 карточки, размещенные на портале общественного обсуждения с проектами постановлений Правительства РФ, с 10.11.2021 имеют статус: На этом этапе документы направляются на рассмотрение в Правительство Российской Федерации.

О порядке предоставления документа, подтверждающего полномочия, при участии в правоотношениях физического лица в электронной форме

О порядке предоставления доверенности, подтверждающей полномочия физического лица действовать от имени индивидуального предпринимателя или юридического лица, при участии в правоотношениях индивидуальных предпринимателей и юридических лиц в электронной форме

Об утверждении организационно-технических требований к порядку хранения, использования и отмены машиночитаемых доверенностей, используемых для подтверждения полномочий в электронной форме

Прикладываем направленные в Правительство редакции проектов, которые вероятно ещё уточняются.

Проект постановления Правительства «Об утверждении требований к машиночитаемым формам документов, подтверждающих полномочия физического лица, не предусмотренные статьями 17.2 и 17.3 Федерального закона от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи» - не проходил оценку регулирующего воздействия и был забыт.

Продолжаем анализ случаев мошенничества.

На основании материалов Роскомнадзора МВД России проведены проверки по факту незаконного использования персональных данных при регистрации юридических лиц, новость от 16 марта 2020
В Роскомнадзор поступил ряд жалоб от граждан на то, что в отсутствие их согласия и участия неустановленными лицами на их имя была оформлена электронная подпись, а также осуществлена регистрация юридических лиц.

Мошенники зарегистрировали юрлица с помощью ЭЦП без ведома граждан, новость от 17 марта 2020
Рос­комнад­зор по­лучил жа­лобы от граж­дан на то, что неус­та­нов­ленные ли­ца без их ве­дома за­регис­три­рова­ли на них юри­дичес­кие ли­ца с ис­поль­зо­ванием элек­трон­ной циф­ро­вой под­пи­си (ЭЦП). МВД Рос­сии уже воз­бу­дило уголов­ные де­ла.

В Москве пресечена противоправная деятельность по созданию фиктивных фирм, новость от 23 апреля 2021
Оперативники установили, что работники нескольких удостоверяющих центров незаконно изготавливали цифровые подписи, используя персональные данные физических лиц.
Созданные электронные подписи без ведома граждан использовались для регистрации и реорганизации в налоговых органах юридических фирм, реквизиты которых в дальнейшем могли участвовать в различных противоправных схемах.
Незаконная деятельность была организована на территории Москвы и Свердловской области.

Хозяин, он же директор, якобы заявляет о собственной недостоверности. Коммерция встает. В новом бизнес-кошмаре подозревают конкурентов, хулиганов и даже налоговиков, новость от 13 октября 2021.
"Электронная подпись на имя Ковалевой, с использованием которой представлены документы на регистрацию по форме [...], внесение в ЕГРЮЛ сведений о недостоверности сведений в отношении ООО "Техновуд" [...], изготовлена ООО "Солар", адрес местонахождения удостоверяющего центра: ул. Вилонова, д. 6, кв. 49, город Екатеринбург, Свердловская область", - прочитала героиня в письме из МИФНС-15.

А вот этой статье с Хабра стоит уделить отдельный пост.

Её автору удалась выиграть суд, который признал неправомерными действия Федерального государственного бюджетного образовательного учреждения высшего образования “Томский государственный университет систем управления и радиоэлектроники” по обработке персональных данных, а также признал недействительной регистрацию электронно-цифровой подписи, выданной Федеральным государственным бюджетным образовательным учреждением высшего образования “Томский государственный университет систем управления и радиоэлектроники”.

Удивительное решение, суд по факту принял решение об аннулировании сертификата без единой ссылки на нормы 63-ФЗ, в тексте Федеральный закон "Об электронной подписи" вообще не упоминается.

P.S. Аккредитация данного удостоверяющего центра была приостановлена в соответствии с актом проверки от 07.05.2021