Pull to refresh

Comments 163

Вероятнее всего отмывание денег. Думаю, что кроме корректировок налогов, по ЭЦП подписывается огромное количество различных счетов на имя компании.
Смысл? Наверно слить на нее уплату НДС 20%, по цепочке ее платит последняя контора.
Компания-мошенник скрывает доход и не платит налоги, вместо нее «получает доход» и платит налоги компания-жертва.

Ну так это компании однодневки, которые быстро вычисляются, не?

И что толку?
В ситуации с продажей квартиры по фиктивной ЭЦП — мошенничество очевидно. Но с точки зрения закона — нарушений нет. И истинному владельцу придется тратить время и деньги, чтобы не остаться без квартиры.
Мне как не бухгалтеру всё равно не ясно. Корректировка каких отчетов/документов приходит в налоговую чтобы скрыть доход другой компании?
UFO just landed and posted this here
Спасибо. Думал речь идет про какие-то отчеты, а оказывается подделывается первичка. Теперь стало понятно.

НДС это как указатели в с++. Мало кому понятно что это такое. А ещё их можно переводить на другой объект

Компания Б имеет большой НДС к уплате. но если совершить большую покупку у компании А и указать в своей отчетности что Б купил у А на сумму Х, а в отчетности А указать что А продал Б на сумму Х, то Б получит налоговый вычет с суммы Х. Всю необходимую отчетность компания Б может оформить сама (без ведома А), если имеет ЭЦП компании А. Всё просто?

Конечно это самая линия попы, bottom line, как говорят шутники англичане, и в реальной жизни используются цепочки действий, но все дальнейшие действия уже могут быть вполне/почти законными, а компания А в итоге должна заплатить НДС с суммы Х.

Но Компании Б будет очень плохо, когда все выяснится. А возмещение НДС за сколько дней в России гарантируется? Я это к тому, что Б надо полюбе получить возмещение НДС, а иначе это не имеет смысла.
Но в Украине вроде, такие операции сразу поступают в раздел рисковых и автоматический возврат в этом случае не доступен, что по идее должно сводить на нет смысл такого мошенничества.

В теории это так, а на практике — по другому.

Сначала очень будет плохо компании А, надо доказать что отчетность подделана, это непросто. (См. случай 1 в статье — следственные действия идут больше года, у директора компании А арестованы счета компании и личное имущество.)

Компания Б за это время может перестать существовать. И ей необязательно получить возмещение, она может продать товар дальше компании В, та еще дальше, а последней в цепочке окажется очень уважаемая компания к которой у приличных людей вопросов не возникает, и ей даже не надо получать возмещение, она просто получит налоговый вычет.

она может продать товар дальше компании В

Так она получит еще больший НДС к уплате?

Нет, НДС платит первый продавший (А), вычет получает последний купивший (Б или В или кто-то дальше по цепочке). Звенья в цепочке могут платить/получать вычет на разницу сумм купли-продажи.
UFO just landed and posted this here
UFO just landed and posted this here
  1. Перемалывание компании на НДС. Судьба чьего то бизнеса налоговой пофиг, а вот а вот закрыть кучу недоимок от однодневок одним махом круто.
  2. Рейдерство. Создаём проблемы у компании, недорого покупаем её, решаем проблему, у нас готовый бизнес задаром.
Самое очевидное, что первым приходит на ум — конкуренты. Если жертве заблокируют счета (плохой вариант развития событий) — она просто вылетает из бизнеса…
Обратиться во все удостоверяющие центры, видимо.

Не У, а Б — блестящая возможность цифровой страны.


Неужели никому никак не дойдет, что реестр ЭЦП должен быть ЕДИНЫМ на всю страну.

Ну почему же не дойдет. Недавно здесь была статья о проекте единого УЦ для всех юриков под контролем государства. Правда в коментах его закидали говном, потому что государству тут доверяют меньше, чем частникам.
закидали гвном либо мошенники либо мамкины воины.
UFO just landed and posted this here

По идее, налоговая просто должна заключать договор с юриком что она будет принимать электронную отчетность от него, подписанную только конкретным ключем. Так в Украине работает, по крайней мере.

Это решило бы проблему с данным видом мошенничества. Но, не думаю, что это возможно.
Точнее так: сейчас это невозможно. И не думаю что станет.
А это идея. Ничто не мешает проверить. Надо предложить налоговой такой договор. Есть тут юрист сведущий, кто помог бы такой договор составить?
Юрист всегда есть, он не может не есть. А вот налоговая ответит что-нибудь в стиле «текущие регламенты взаимодействия со смердами не предусматривают заключение подобных договоров».
boroda_el прав, в статье я упомянул это тмомент: регламент действий налоговой подобного не предусматривает. ЭЦП может бытьо заблокирована налоговой по собственной инициативе, если налоговая усмотрит подозрительные действия в отчетности, заявления о том что подпись подделана и эта отчетность отправлена неизвестно кем такими действиями не является. Подпись может быть заблокирована, если директор напишет заявление, что он не регистрировал юрлицо и ЭЦП. Если директор регистрировал юрлицо и одну ЭЦП, но не регистрировал другую — эта ситуация в регламент не попадает. Вам посочувствуют, и посоветуют обратиться в милицию. В нагем случае — позвонить 02.
Ну и спросите своего юриста, предусмотрена ли возможность заключать договоры с налоговой?
По идее, налоговая просто должна заключать договор с юриком что она будет принимать электронную отчетность от него, подписанную только конкретным ключем.

Достаточно просто признавать поддельные подписи недействительными, как это делается с обычными подписями. Это сразу решает проблемы не только с налоговой, но в принципе.

Вот это как раз достаточно сложно. Подпись то фактически очень даже настоящая. В итоге, для признания недействительными подписанных ей документов нужно сначала доказать, что сертификат открытого ключа изначально был выдан не тому лицу, которому он принадлежит.
А вот что делать после мне самому интересно. Отзывать сертификат задним числом? Не уверен, что так можно...

Вот это как раз достаточно сложно.

Это как раз элементарно. Поддельная подпись => документы, ей подписанные, не подписаны. Схема отработана сотнями лет практики и замечательно работает, ничего нового изобретать не требуется.


Подпись то фактически очень даже настоящая.

Нет, подпись как раз поддельная.


нужно сначала доказать, что сертификат открытого ключа изначально был выдан не тому лицу, которому он принадлежит.

Это как раз элементарно — достаточно сканов поддельного паспорта. Ну и это не вы должны доказывать, что подпись поддельная, это тот кто считает подпись настоящей должен доказывать, что она настоящая. Нет доказательств — нет подписи. Вам достаточно сказать, что подпись не ваша.


Отзывать сертификат задним числом?

Зачем? Он просто недействителен. Вы можете хоть миллион сертификатов выпустить, но юридически значимой подпись с данным сертификатом становится только тогда, когда сертификат выпущен в рамках определенной процедуры. Если процедура была нарушена — подпись ничем не отличается от детских каляк-маляк.

  1. Чем по-вашему поддельная электронная подпись отличается от настоящей?
  2. Как вы предлагаете осуществить описанное технически и юридически не сломав полностью уже существующую и работающую схему работы с электронными подписями?
Чем по-вашему поддельная электронная подпись отличается от настоящей?

Поддельная подпись — это подпись, которую вы (или ваше доверенное лицо) не ставили. А настоящая — та, которую вы ставили.


Как вы предлагаете осуществить описанное технически и юридически не сломав полностью уже существующую и работающую схему работы с электронными подписями?

Так, как описано выше, и предлагаю. Ничего при этом не ломается. Если подпись поддельная — то ее нет, конец истории. Так работают обычные подписи, так должна работать и ЭЦП, что тут и как ломается?


Это вообще странно, что доказано поддельная ЭЦП является юридически значимой. Этот нонсенс, так изначально быть не должно.

А, ну круто вы предложили, надо реализовать, чё.


Для меня это звучит примерно как "чтобы не было убийств, надо чтобы люди не умирали"

А, ну круто вы предложили, надо реализовать, чё.

Ничего реализовывать не надо, все уже реализовано. Достаточно просто поправить пару строчек в имеющемся законе об ЭЦП. На данный момент поддельная ЭЦП считается действительной. Надо прописать, что поддельные ЭЦП недействительны. В точности так, как это работает с обычными подписями.
Факт подделки может доказываться в точности так же, как и для обычной подписи — почерковедческой экспертизой. Тут, опять же, ничего нового не нужно. Все уже есть, все прекрасно функционирует, есть огромное количество наработанной практики не требуется ничего изобретать. Так что ваш сарказм тут совершенно неуместен.

О какой почерковедческой экспертизе в случае ЭП может идти речь? Вы не понимаете как работает ассиметричная криптография и инфраструктура открытых ключей или просто троллите?

О какой почерковедческой экспертизе в случае ЭП может идти речь?

Об обычной. Когда вы получаете сертификат, то подписываете (обычной подписью) документ: "я, такой-то такой-то, пришел тогда-то тогда-то и получил такой-то такой-то сертификат". А многие центры еще и видео с подтверждением записывают. Если подпись на этом документе не ваша (или документа и вовсе нет) — сертификат (и любой договор, подписанный подписью с этим сертификатом) недействителен. Если за вас получали подпись по поддельным документам (что очевидно подтверждается сканами этих документов) — сертификат недействителен. Если вы в момент получения подписи были, банально, на другом конце страны (что элементарно подтверждается кучей свидетелей) — сертификат недействителен.
Факт выдачи вам сертификата должен иметь документальное, проверяемое подтверждение. Если этого подтверждения нет (или, более того, есть подтверждение обратного) — это не сертификат, это филькина грамота.


Все это прекрасно работает для обычных подписей, т.е. не надо ничего изобретать, надо просто применить уже проверенные методы решения старой и всем известной проблемы.

Ок, давайте так. Какие две строчки достаточно добавить в закон об ЭП, чтобы не требовалось большого количества времени, чтобы доказать поддельность подписи/сертификата?

Аккредитованный удостоверяющий центр с использованием инфраструктуры осуществляет проверку достоверности документов и сведений, представленных заявителем в соответствии с частями 2 и 2.1 настоящей статьи. Для заполнения квалифицированного сертификата в соответствии с частью 2 статьи 17 настоящего Федерального закона аккредитованный удостоверяющий центр запрашивает и получает из государственных информационных ресурсов

Дополнить статью следующим пунктом:
Выданный сертификат не является вступившим в действие, если невозможно убедиться в достоверности сведений, представленных заявителем в соответствии с частями 2 и 2.1, либо сведения не являются достоверными.


Ну и еще, конечно, следует отменить норму о том, что эцп, поставленная неуполномоченным лицом, влечет юридические последствия. Следует уровнять здесь ЭЦП и обычную подпись.


Хватит одного из двух вариантов, но оптимально — оба сразу.

Хорошо, с юридической стороной понятно. С технической, как проверить вступил сертификат в действие или нет? Как проверить поставлена ЭП уполномоченным лицом или нет?
С технической, как проверить вступил сертификат в действие или нет? Как проверить поставлена ЭП уполномоченным лицом или нет?

Все в точности так же, как в случае обычной подписи. Вы проверяете, поставлена ли обычная подпись уполномоченным лицом? Нет. Вы просто на нее смотрите и приблизительно оцениваете — ну, типа, похожа на то, что в паспорте. Аналогично и тут — делаете приблизительную оценку (т.е. убеждаетесь, что сертификат выдан на нужного человека аккредитованным центром).
При этом лицо, от имени которого оставлена подпись, должно иметь понятную возможность это дело (как и в случае обычной подписи) опротестовать. И если это лицо доказывает, что сертификат выдан не ему — подпись становится тыквой


Тут в чем штука -когда вы ставите обычную подпись, то важна не сама подпись, важен ее источник. Не важно чем подписывается документ — важно кем и как. Если на документе стоит обычная подпись, полностью идентичная вашей, но вы докажете, что вы ее не ставили, либо ставили, но, например, вас заставили под дулом пистолета — то документ этот можно в суде без каких-либо проблем отыквить. Равно как если вы вместо своей подписи поставите некую рандомную закорючку, то документ будет считаться подписанным, если будет доказано, что закорючку ставили вы.
С другой стороны, если это эцп — то не важно, кто ее ставил и как. Непонятно совершенно, кто придумал сей бред, особенно учитывая тот факт, что подделать эцп на порядок проще, чем обычную подпись (т.е., по идее, защита эцп должна быть сильнее, а не слабее).
Т.о. все что надо сделать — это уровнять в данном отношении эцп с обычными подписями, дав законную возможность отмены подписи, когда эта подпись очевидно и легко доказуема (а это так практически во всех случаях мошенничества) была получена (а как следствие — и поставлена) не вами, без вашего желания и без вашего ведома.

Все замечательно и правильно сказано. Одного не хватает. Надо, чтобы использование ЭПЦ было сугубо добровольным. Если кто-то считает, что ему удобнее декларацию в эл. виде сдавать, да еще и подписанную ЭПЦ, то пусть так и делает. А если кому-то удобнее «по старинке» (хотя бы из соображений безопасности), то пусть «по старинке».

Проблема же в том, что всех загоняют добровольно-принудительно в электронное стойло. Если всех граждан посадить в тюрьму, то считается, что проблема с преступностью решиться раз и на всегда.
Вот, вроде все правильно и понятно ровно до слов
С другой стороны, если это эцп — то не важно, кто ее ставил и как. Непонятно совершенно, кто придумал сей бред, особенно учитывая тот факт, что подделать эцп на порядок проще, чем обычную подпись
При правильном использовании ЭП «подделать» гораздо сложнее, чем обычную подпись. Необходимо либо заполучить закрытый ключ подписанта (который тот должен хранить как зеницу ока), либо используя преступные схемы выпустить для своего закрытого ключа сертификат с данными подписанта (это как раз та категория ситуаций, из-за которых в последнее время кипит бурное обсуждение в этой и подобных статьях).
Тут в чем штука -когда вы ставите обычную подпись, то важна не сама подпись, важен ее источник. Не важно чем подписывается документ — важно кем и как.
Учитывая вышесказанное, предполагается, что если ЭП прошла криптографическую проверку, а сертификат не числится в списках отозванных, мы можем с практически 100% уверенностью сказать, что данная подпись поставлена по воле подписанта. Собственно, в этом весь её смысл.
Мы не можем узнать кто фактически её сформировал для данного документа, мы полагаемся на то, что закрытый ключ есть только у подписанта, а в плане проверки её принадлежности конкретному лицу полагаемся на инфраструктуру удостоверяющих центров. Если мы дадим подписанту возможность без достаточных доказательств опротестовать свою электронную подпись, то получим вероятно еще большее количество мошеннических схем работающих уже в направлении признания настоящих подписей недействительными. Тут достаточно тонкая грань на которой нужно держать баланс.
Т.о. все что надо сделать — это уровнять в данном отношении эцп с обычными подписями, дав законную возможность отмены подписи, когда эта подпись очевидно и легко доказуема
Деюро они и так сейчас равны, а то что может быть очевидно для вас, далеко не так же очевидно для всех остальных и требует доказательств.

PS Собственно никаких технических вариантов проверки кто именно проставил подпись вы так и не предложили. Если сертификат выдан и зарегистрирован в ЕСИА считается, что УЦ в достаточной мере убедился и в достоверности сведений о получателе сертификата, и в достоверности его документов и полномочий. Таким образом вот этот абзац
Аналогично и тут — делаете приблизительную оценку (т.е. убеждаетесь, что сертификат выдан на нужного человека аккредитованным центром).
При этом лицо, от имени которого оставлена подпись, должно иметь понятную возможность это дело (как и в случае обычной подписи) опротестовать. И если это лицо доказывает, что сертификат выдан не ему — подпись становится тыквой
не меняет ровным счетом ничего, сейчас все именно так и работает. Других способов «убедиться» у вас просто не существует.
Необходимо либо заполучить закрытый ключ подписанта (который тот должен хранить как зеницу ока), либо используя преступные схемы выпустить для своего закрытого ключа сертификат с данными подписанта (это как раз та категория ситуаций, из-за которых в последнее время кипит бурное обсуждение в этой и подобных статьях).

Так вот как раз это и есть гораздо проще, чем подделка обычной подписи. Разве нет? Как минимум, подделка ЭЦП не может быть сложнее подделки обычной подписи, т.к. вы можете подделать ЭЦП, подделав обычную подпись на доверенности (от доверенности на выпуск ЭЦП не требуется, чтобы она была нотариально заверенной). Т.к. задача подделки ЭЦП может быть сведена к подделке простой подписи. При этом для подделки ЭЦП у вас есть еще дополнительные вектора атаки. Значит, ЭЦП подделывать проще, следуя логике. Нет?


Но в любом случае это не так существенно все.


Учитывая вышесказанное, предполагается, что если ЭП прошла криптографическую проверку, а сертификат не числится в списках отозванных, мы можем с практически 100% уверенностью сказать, что данная подпись поставлена по воле подписанта.

Так в этом проблем нет. Точно так же вы почти на 100% уверены, когда визуально осматриваете чью-то обычную подпись. Проблема начинается тогда, когда оказывается, что мы не можем быть 100% уверены или, вообще, можем быть на 100% уверенным в обратном. В случае с обычной подписью — вы просто через суд без каких-либо проблем доказываете, что подпись поддельная. В случае ЭЦП — ну у вас просто нет аутов, т.к. по закону даже тот факт, что подпись ставили не вы, не освобождает вас от юридических последствий этой подписи.


Если мы дадим подписанту возможность без достаточных доказательств опротестовать свою электронную подпись

Почему же без достаточных доказательств? С достаточными.
Напоминаю, что обычные подписи работают именно так им всех это устраивает. Почему ЭЦП должны работать по-другому?


получим вероятно еще большее количество мошеннических схем работающих уже в направлении признания настоящих подписей недействительными

Не получим (иначе бы получили кучу мошеннических схем с обычными подписями). Штука в том, что для признания договора действительным де-факто ваша подпись не нужна.
Т.е. если вы поставите какую-то кривую подпись и потом откажетесь выполнять свою часть договора, и в суд принесете результаты экспертизы, которые покажут, что подпись не ваша — то суд все равно обяжет вас свою часть договора исполнять, если будут аргументы в пользу того, что по факту вами условия договора были приняты (в случае наличия например соответствующей деловой переписки, показаний свидетелей и т.п. — т.е. если например вы обсуждали качество полученной услуги, а потом отказались за эту услугу по договору платить, т.к. подпись не ваша, то судь встанет на сторону того, кто оказывал услугу, несмотря на то, что подпись действительно не ваша).


далеко не так же очевидно для всех остальных и требует доказательств.

Для суда будет точно так же очевидно. Только на данный момент суд ничего сделать не может, т.к. закон такой. В случае с обычными подписями — может (и делает), в случае с ЭЦП в аналогичной ситуации — нет.


PS Собственно никаких технических вариантов проверки кто именно проставил подпись вы так и не предложили.

В том и смысл, что эти варианты не должны оговариваться и только в этом случае все будет работать! Именно это отличает предложенное от того, как оно работает сейчас.
Если в результате любой проверки (какой угодно) будет установлена недостоверность сведений — сертификат признается не вступившим в действие и конец истории. Признаете в суде, конечно. Все в точности так, как это работает с обычными подписями.


Еще раз, вся разница в том что обычную подпись вы в суде, приведя аргументы, можете признать поддельной, а ЭЦП — нет. Не в том проблема, что это трудно доказать — доказать это можно элементарно (по крайней мере вот в таких вот случаях мошенничества). Проблема в том что какие бы у вас ни были доказательства просто отсутствует соответствующая процедура.


Других способов «убедиться» у вас просто не существует.

Как же не существует? Существует. Напоминаю, что мне не в достоверности надо убедиться, а в недостоверности.
Вот предоставляет мне центр скан с поддельной фотографией, я приношу его в суд, и все — мы наглядно убедились в недостоверности сведений.

от доверенности на выпуск ЭЦП не требуется, чтобы она была нотариально заверенной
Это справедливо только для сертификатов юридических лиц, и, вероятно, как раз этот момент в законодательстве и стоило бы уточнить. Поэтому нет, в общем случае подделка электронной подписи не сводится к подделке обычной.
В случае с обычной подписью — вы просто через суд без каких-либо проблем доказываете, что подпись поддельная. В случае ЭЦП — ну у вас просто нет аутов, т.к. по закону даже тот факт, что подпись ставили не вы, не освобождает вас от юридических последствий этой подписи.
Ошибаетесь, точно также сейчас это работает и с электронной подписью.
Почему же без достаточных доказательств? С достаточными.
Вы же понимаете, что с достаточными означает долгий путь через суд с экспертизами и т. д. Ничего очевидного тут не будет, УЦ будет настаивать на том, что они регламент не нарушили. В общем, к сожалению, ничего нового этими изменениями вы не привнесете. Вы даже не описали что такое
сертификат признается не вступившим в действие
Как такой сертификат отличить от вступившего в действие? Где хранятся сведения о таких сертификатах?
Это справедливо только для сертификатов юридических лиц, и, вероятно, как раз этот момент в законодательстве и стоило бы уточнить.

Это уточнение ничего кардинально не изменит.


Ошибаетесь, точно также сейчас это работает и с электронной подписью.

Нет, не работает. Иначе бы ситуации обсуждаемого мошенничества были бы невозможны — как они невозможны для обычной подписи (т.е. формально они возможны, но поскольку с признанием обычной подписи поддельной никаких проблем нет, то такое мошенничество просто не выгодно).
От того что вы в суд придете и докажете, что подпись не ставили, ничего не изменится, если это ЭЦП. Т.к. в случае ЭЦП тот факт, что вы не ставили подпись не избавляет вас от ее юридических последствий.


Вы же понимаете, что с достаточными означает долгий путь через суд с экспертизами и т. д. Ничего очевидного тут не будет, УЦ будет настаивать на том, что они регламент не нарушили.

А при чем тут нарушение регламента? Речь как раз о том, что регламента никакого УЦ не нарушил — он выполнил все действия, которые должен был выполнить по закону. Но, поскольку сведения (пост-фактум) оказываются недостоверные, то сертификат признается не вступившим в действие. При чем тут регламент?
И во всех обсуждаемых случаях мошенничества все доказывалось совершенно тривиально. Зачастую там даже не надо никаких документов, а просто факт того, что вас не было и быть не могло в момент получения подписи в УЦ, т.к. вы находились в другом городе.


Вы даже не описали что такое

Понятие "действия сертификата" в законе и так используется:
"Сертификат ключа проверки электронной подписи действует с момента его выдачи, если иная дата начала действия такого сертификата не указана в самом сертификате ключа проверки электронной подписи. "


С-но если сведения недостоверны — то сертификат ни с какого момента не действует.


Как такой сертификат отличить от вступившего в действие? Где хранятся сведения о таких сертификатах?

Нигде, точно так же как нигде не хранятся сведения о поддельных подписях. Любая подпись может пост-фактум оказаться поддельной (с последующим превращением подписанного ей документа в тыкву), и у вас нет никакого способа гарантировать, что это не так. И не должно быть.


Естественно, по логике вещей, если окажется что сертификат — тыква, то его следует сразу отзывать. Но это уже несущественные детали.

Это уточнение ничего кардинально не изменит.
Изменит, если запретить выдачу сертификатов не по нотариальным доверенностям.
просто факт того, что вас не было и быть не могло в момент получения подписи в УЦ
Когда кто-то получает сертификат на ваше имя по доверенности, вас и не должно там быть, поэтому ваше отсутствие не доказывает ничего.
Нигде, точно так же как нигде не хранятся сведения о поддельных подписях.
Теряется смысл использования ЭП, открывается простор для мошенничества с признанием недействительными валидных ЭП

PS Я согласен, что в этой отрасли многое нужно менять, но я абсолютно не согласен, что это просто, ибо результат непродуманности закона об ЭП мы и наблюдаем. К тому же, я думаю вы просто к этой проблеме подходите не с той стороны, простого изменения закона будет недостаточно.
Изменит, если запретить выдачу сертификатов не по нотариальным доверенностям.

Проблема не только в выдачах по доверенностям. Вы пытаетесь лечить симптомы, а не болезнь.
Проблема с ЭЦП на данный момент не в том, как она выдается, а в том, что ее, в отличии от обычной подписи, нельзя оспорить. Эту проблему и надо решать — надо дать возможность оспорить подпись. Что, само по себе, уже влечет неявно отмену нормы "не важно кто и как ставил, важно, что ваша".
Если же оспорить подпись нельзя, то это в любом случае будет приводить к проблемам, какие регламенты не придумывай.


Ну вот представьте себе, что нельзя было бы оспорить обычную подпись. Т.е., если на документе стоит подпись достаточно похожая на вашу — она считается вашей, вне зависимости от любых других фактов (а именно так сейчас это происходит с ЭЦП). И был бы такой же ворох проблем. Но, к счастью, для обычной подписи это не так. Вы можете пойти в суд, сказать что подпись не ваша и подтвердить это фактами. В случае с ЭЦП это не работает.


Когда кто-то получает сертификат на ваше имя по доверенности, вас и не должно там быть, поэтому ваше отсутствие не доказывает ничего.

При чем тут вообще доверенность? Получение по доверенности — лишь один из возможных кейсов.


Теряется смысл использования ЭП

В смысле, теряется, как? Обычная подпись обладает всеми теми же свойствами — в любой момент она может быть оспорена и признана тыквой. И смысл использования обычных подписей от этого не теряется. Смысл ЭЦП исключительно в удобстве применения (вы можете поставить ее электронно), во всем остальном (в том числе в "надежности", т.е. невозможности постфактум ее оспорить) она должна быть полностью эквивалентна обычной.


открывается простор для мошенничества с признанием недействительными валидных ЭП

Как я уже неоднократно говорил — все эти проблемы на практике давно решены законодательством связанным с обычными подписями.
Как вы можете заметить, у нас нет вала мошенников, которые занимаются отменой обычных подписей. Почему? Потому что я выше об этом говорил — в случае мошеннических схем суд признает договор заключенным и без подписи.


PS Я согласен, что в этой отрасли многое нужно менять, но я абсолютно не согласен, что это просто, ибо результат непродуманности закона об ЭП мы и наблюдаем.

Я напоминаю, что у нас уже имеется огромная законодательная практика работы с подписями — с обычными подписями. Что простая, что электронная подпись — это не более чем кусок информации, который клеится к документу. Просто обычная подпись — это "физический" кусок инфы, который клеится к "физическому" документу, а электронная — с-но, электронный кусок, который клеится к электронному.
Нет никаких причин, почему наличие электронной подписи должно за собой влечь последствия иные по сравнению с наличием обычной подписи.
Надо просто эти последствия уровнять, это все. Тогда электронная подпись во всех контекстах будет вести себя как обычная. А с обычной проблем нет.


простого изменения закона будет недостаточно.

Его бы тогда было недостаточно и для обычных подписей. Но с обычными подписями все окей.

Мне кажется ваша проблема в том, что вы мешаете в кучу понятия электронной подписи, сертификата открытого ключа и не уделяете внимания техническим деталям. В связи с этим не вижу какого либо смысла спорить на эту тему дальше.
Мне кажется ваша проблема в том, что вы мешаете в кучу понятия электронной подписи, сертификата открытого ключа

Нет, не мешаю.


и не уделяете внимания техническим деталям

Потому что проблема не в технических деталях. Она исключительно в юридической плоскости — в отсутствии эквивалентности между ЭЦП и обычной подписью. Как только вы устанавливаете эквивалентность, все сразу будет just works, это доказано практикой в десятки лет.

Просто, в России нет деловой культуры, но есть культура максимизации бюрократии. Вот вас и не понимают. Расскажите людям, что существуют вполне себе законные устные сделки, или что переписка в каком-нибудь вконтактике может быть приравнена к договору, так вообще удивятся. Нам же печати везде подавай.
UFO just landed and posted this here
Представьте себе, что вы пытаетесь оспорить в суде свою подпись заверенную нотариусом, а тот заявляет: "да, вот этот самый человек поставил эту подпись.

Но, смотрите, если я докажу, что не ставил (ну, например, докажу что меня просто не было в том месте в то время и, значит, я поставить подпись не мог, а, следовательно, нотариус врет), то таки подпись будет признана поддельной а нотариус — редиской (со всеми вытекающими).
Доказательство же того, что вы не ставили ЭЦП (и не получали) не влияет вообще ни на что.


Т.е., опять-таки, — нотариус сам по себе важен лишь как подтверждение вашего волеизлияния.
С другой стороны, ЭЦП не является подтверждением волеизлияния, она имеет самостоятельный юридический вес.

UFO just landed and posted this here
Это 100% эквивалент сертификата ЭЦП (или ЭП, как теперь модно выражаться), который подтверждает что (не совсем строго, но верно) "вот этот ключ принадлежит тому, чье имя в нем указано, и я (удостоверяющий центр) в этом убедился".

Нет, это не эквивалент. Еще раз — в случае с нотариусом вы можете доказать, что подпись ставили не вы, и тогда подпись превратится в тыкву. В случае с ЭЦП вы тоже можете доказать, что подпись ставили не вы — но это ни на что не повлияет, подпись останется вашей законной подписью.


Однако такой процедуры (прописанной в регламентах) нет и для заверенной нотариусом полписи. И в том, и в другом случае придется идти в суд.

Не "и в том и другом", а только в случае с нотариусом!
ЭЦП признать "незаконной" в случаях, в которых незаконной была бы признана обычная подпаись, нельзя! Об этом и речь.
С-но, если бы было можно — никакой проблемы бы не возникло. Об этом я и говорю — отменить существующую норму о "не важно кто ставил ЭЦП" и реализовать возможность признавать ЭЦП незаконной (поддельной, некорректной, недействительной, не важно) точно так же, как вы можете признать "незаконной" ручную подпись (пусть и нотариально заверенную).
Каких-то "внесудебных" регламентов отыквивания подписи, конечно, не нужно, все через суд.


Вообще, я бы просто возложил выдачу сертификатов на нотариусов и все бы сразу встало на свои места.

Это вообще ничего не меняет. ДА, УЦ будут более ответственно подходить к своей работе — но не более того. Принципиально проблемы остаются.


Тогда в сертификате УЦ стояло бы "УЦ нотариуса Пупкина" и описанная в статье проблема не возникла бы вообще.

Почему бы не возникла? Было бы все ровно то же самое.


Ну и самое главное, если такие случаи (признания ЭП недействительной после ее использования) станут массовыми, это просто подорвет доверие к самому институту ЭП.

Доверие к институту ручной подписи же не было подорвано? Почему доверие к ЭП подорвет?


А на том, что в случае фэйла с ЭЦП на стороне гаранта мы имеем неадекватные следствия.

Именно! Фактически, если следовать этому сравнению с нотариусом — мы в суде доказали, что нотариус редиска, и что он обманывает, и что подпись на самом деле поддельная — и к нотариусу даже, возможно, применяют соответствующие санкции. Только подписанные документы как считались так и дальше считаются действительными.
Не бред ли?

Тогда и требования к УЦ и процедуре должны быть, как к нотариусу. И последствия в случае факапа аналогичные.
UFO just landed and posted this here
UFO just landed and posted this here
Нет проблемы сделать личную ЭП без всяких УЦ, только проверка подлинности будет вызывать вопросы. И нотариус и УЦ это лишь инструмент перекладывания доверия. Но принципиально это ничего не меняет. Есть 2 ситуации
— нотариус (или суд) признал, что заверил подпись левого мужика под вашим видом.
— УЦ признал (а в сабже он признал по крайней мере в одном из случаев), что выдал подпись левому мужику.
Вот и сравните. Очевидно, ни о каком «100% эквиваленте» (как вы заявляете выше) речи не идет.
всеми средствами проверки определяется как «правильная»
Эти средства проверки эквивалентны вашей оценке обычных подписей «на глазок». Просто этот «глазок» машинный. ЭП не для людей же.
Эти средства проверки эквивалентны вашей оценке обычных подписей «на глазок»
Нет, это скорее похоже на проверку нотариальной доверенности по реестру. То есть, как в случае реестра вы убеждаетесь, что конкретный нотариус действительно выдал эту конкретную доверенность, так и в случае с ЭП вы убеждаетесь, что определенный УЦ подтвердил, что сертификат в подписи принадлежит конкретному человеку.
Это одно и то же — проверка формальных признаков. Визуальное совпадение подписи с образцом, наличие записи нотариуса и наличие сертификата это проверки одного порядка. Отличается только обьект проверки. Обратите внимание, что о подлинности они ничего не говорят. Они лишь говорят, что некий гарант (которому вы в той или иной степени доверяете) назвал их подлинными.

Но ваш пример рушится не на этом. А на том, что в случае фэйла с ЭЦП на стороне гаранта мы имеем неадекватные следствия.
Это одно и то же — проверка формальных признаков.
До этого вы писали
Эти средства проверки эквивалентны вашей оценке обычных подписей «на глазок».
Хотя, согласитесь, что нотариально заверенная подпись которую можно проверить по реестру и обычная подпись далеко не одно и то же в плане надежности проверки.
Но ваш пример рушится не на этом. А на том, что в случае фэйла с ЭЦП на стороне гаранта мы имеем неадекватные следствия.
Мой пример ни на чем не рушится, последствия фальсификации заверения подписи никак не относятся к самому процессу проверки подписи.
Я не знаю о каких конкретно неадекватных следствиях вы говорите, но, опять таки, сравнивая нотариусов и УЦ, а также уровень их ответственности, попробуйте сравнить в том числе стоимость предоставляемых ими услуг.
в плане надежности проверки.
В плане надежности гаранта. Но это не принципиально в контексте вопроса.
последствия фальсификации заверения подписи никак не относятся к самому процессу проверки подписи.
А обсуждаем-то мы тут как раз последствия.
Я не знаю о каких конкретно неадекватных следствиях вы говорите
Фактически, если следовать этому сравнению с нотариусом — мы в суде доказали, что нотариус редиска, и что он обманывает, и что подпись на самом деле поддельная — и к нотариусу даже, возможно, применяют соответствующие санкции. Только подписанные документы как считались так и дальше считаются действительными.
Не бред ли?
Только подписанные документы как считались так и дальше считаются действительными.
Не бред ли?
То есть нужен механизм позволяющий полностью отозвать сертификат, начиная с даты его выпуска. Я правильно понимаю?
В том числе.

И есть еще несоответствие в вашей аналогии. Нотариус заявляет акт подписания а не подпись. УЦ же заявляет саму подпись, как вы заверяете карточку с образцом подписей и печать при открытии рассчетного счета (например). Так что нет, ЭП эквивалентна именно обычной подписи, а не нотариальной. И ее проверка эквивалентна со сверкой подписи с ее образцом в паспорте подписывающего или на карточке с образцами и тд
То есть нужен механизм позволяющий полностью отозвать сертификат, начиная с даты его выпуска. Я правильно понимаю?

Да. Фактически, признать его невыпущенным. На данный момент такой механизм просто отсутствует — если сертификат выпущен по регламенту, то он ваш, конец истории.
Если бы указанный механизм был — то проблемы из обсуждаемой статьи решались бы понятным способом (вы получаете из УЦ сканы с поддельными паспортом, идете с ними в суд, суд видит очевидно поддельный паспорт, и отменяет задним числом сертификат). Чтобы не было всяких злоупотреблений — хеш архива со сканами доков и т.п. вещами добавляем в сам сертификат, и кладем архив в ЕСИА вместе с сертификатом. Т.о. с одной стороны данные не потеряются (они будут в ЕСИА) с другой стороны — их нельзя будет подменить (хеш в сертификате, и его нельзя поменять, не заменив в целом сертификат).
Но это уже детали тех. реализации, важно само наличие юридического механизма отзыва.

На данный момент поддельная ЭЦП считается действительной

Не существует поддельных ЭЦП. Существуют корректные ЭЦП, полученные мошенническим путём. Мошенничество нужно сперва доказать. Затем вам нужно придумать, что делать с отчётностью, которая уже прошла по всем инстанциям, будучи подписанной корректной ЭЦП, полученной мошенническим путём, некоторое время тому назад.
Не существует поддельных ЭЦП. Существуют корректные ЭЦП, полученные мошенническим путём.

Вы путаете понятие "поддельный" и "корректный". Естественно, подпись корректная. Но при этом — поддельная. И корректность вообще ни на что не влияет (обычная подпись, например, корректна всегда, даже если это детские каляки-маляки).


Мошенничество нужно сперва доказать.

Зачем? Если подпись поддельная, то ничего больше доказывать не нужно, этого уже должно быть достаточно для того, чтобы признать договор незаключенным. Так это работает в случае обычной подписи, к которой ЭЦП должна быть приравнена. Совершенно непонятно, почему документ, подписанный обычной подписью, и документ, подписанный ЭЦП, не являются юридически эквивалентными. Это бред.


Затем вам нужно придумать, что делать с отчётностью, которая уже прошла по всем инстанциям, будучи подписанной корректной ЭЦП, полученной мошенническим путём, некоторое время тому назад.

Еще раз — ничего нового придумывать не надо, все эти проблемы уже давным-давно решены и набрана гигантская практика. С уже прошедшей по инстанциям отчетностью надо делать ровно то же самое, что вы делаете в том случае, если эта отчетность была подписана обычной (письменной) корректной подписью, оказавшейся пост-фактум поддельной — все подписанные документы становятся филькиной грамотой.

Путаете тут вы. Поддельная подпись отличается от настоящей и это доказывается графологической экспертизой этой подписи. ЭЦП не отличается ничем кроме серийного номера. Обладая настоящей ЭЦП и фиктивной, вы не сможете определить которая из них законная. Вам требуется провести экспертизу документов, по которым были оформлены эти ЭЦП, а не сами ЭЦП, которые технически эквивалентны. Только признав поддельными документы, по которым была оформлена ЭЦП, вы можете потребовать отозвать эту ЭЦП и требовать признать юридически ничтожными документы, подписанные этой ЭЦП.

… а тем временем один известный банк с зелёным логотипом агрессивно называет сдачу биометрических данных.

UFO just landed and posted this here

Как неожиданно, что певцы и боксеры в Думе не смогли предусмотреть такой ситуации и мер для ее разрешения.

Они не виноваты. Они здесь как покупатель на рынке краденного товара — просто покупают, что выгоднее, не задумываясь о предистории.
«Певцы и боксеры в Думе» неглядя подмахивают бумаги, предоставленные консалтинговой фирмой, в которой трудятся знакомые певцов и боксеров, их родственники и родственники нужных людей. Или вы думаете они сами ночи не спят, пишут законы.
И проблема эта не только российская. Во всём мире так.
Вроде бы думу консультируют ребята из компании, входящей в Big 4 (являтеся иностранным агентом на территории РФ) — а им показать красивый отчёт с красивыми цифрами важнее, тем более, красивые отчёты вызывают благостное настроение духа и продление контракта.
Говорят, цифры по московским парковкам презентовали они же.
Наверняка врут или источнику это снилось /irony
Красивый отчет при капитализме — это красивые денежные потоки, которые можно направить в нужном направлении. И только это вызывает благостное настроение и продление контракта.

Интересно, получается, что ЭЦП, полученная по подложным документам считается валидной. А, например, печать гендиректора, изготовленная по поддельным документам будет считаться поддельной печатью.


Где-то тут абстракция рвётся...

Пока не все в верхах понимают, что такое ЭЦП, так и будет. Просто они не видят потенциальных проблем, это же прикол с регистрацией всех принтеров в стране, ту раньше все печатные машинки в МВД решались: старым мозгом новые проблемы не всегда решить.


Кое-где до сих пор электронной подписью считают приаттачить к письму скан подписи начальника!

да. Хоть ты для них бесплатные курсы открывай.
Нельзя так. Нужно объявить конкурс, пригласить участников, и только там, в честном соревновании, определится, кто будет учить.

Но — денег в бюджете на обучение не заложено!

Если факт мошенничества обнаружен до окончания отчетного периода, то по-видимому, правильными действиями будет оперативно отправить корректировку, предпринять действия для блокировки фиктивной ЭЦП, проверяя при этом отсутствие мошеннических корректировок «поверх» вашей и обратиться в правоохранительные органы. Каков будет результат – пока непонятно.

Результата может быть только два: возбуждение уголовного дела по ст. 159 УК либо отказ в возбуждении. Чтобы однозначно возбудились вам надо собрать достоверную базу — записи переговоров с мошенниками, поддельные документы и факт их получения от них, переписка. Лучше сразу идти в органы, а не заниматься самостоятельными блокировками по телефону.
Далее имеет смысл написать жалобу в Министерство цифрового развития, связи и массовых коммуникаций РФ по факту выявления фальшивых ЭЦП. Получение лицензии для УЦ дело хлопотное (https://digital.gov.ru/ru/appeals/faq/36/), поэтому вылететь с этого рынка может дорогого стоить.
Что делать если факт мошенничества обнаружен после того как счет уже заблокирован – непонятно.

В принципе действия те же. В органы — с заявлением. Далее с постановлением следователя/дознавателя о возбуждении пишем в налоговую и пробуем разблокировать счета.
> имеет смысл написать жалобу в Министерство цифрового развития, связи и массовых коммуникаций РФ по факту выявления фальшивых ЭЦП.
Сначала должен быть зафиксирован факт выявления фальшивых ЭЦП. Возбуждение уголовного дела, это еще не фиксация факта.

>с постановлением следователя/дознавателя о возбуждении пишем в налоговую и пробуем разблокировать счета
Не прокатит, пока не доказано, что использованная подпись — фальшивая, владелец подписи должен платить налоги.
Сначала должен быть зафиксирован факт выявления фальшивых ЭЦП. Возбуждение уголовного дела, это еще не фиксация факта.

Верно, не фиксация факта. Но выявление его. Письмо необходимо для оптимизации процессов. Если вас завернут с возбуждением, у вас будет письмо и Министерства о проверке с их стороны.
Не прокатит, пока не доказано, что использованная подпись — фальшивая, владелец подписи должен платить налоги.

Так написано же, пробуем.
использованная подпись — фальшивая
не подменяйте понятия, подпись настоящая, от этого столько проблем.
Она выдана незаконным путём, не авторизованному лицу.
Росреестр, фактически, признает возможность мошенничества с ЭЦП физических лиц и дает советы как, потратив свое время и деньги, попытаться от подобного мошенничества защититься.

а можно поподробнее про «деньги»? Про «время» понятно — нужно дойти до МФЦ, а вот причем тут «деньги» в аспекте подачи заявления на запрет регимстрационных действий без личного присутствия, мне пока непонятно
UFO just landed and posted this here
Попытаюсь объяснить. В статье говорится только о двух видах мошенничества с ЭЦП — продажа квартиры и регистрация юр. лица.
Для защиты квартиры предлагается обратиться в МФЦ, требуется только время собственника на получение услуги в МФЦ.
Для защиты от регистрации ЮЛ предлагается сдача в налоговою формы 38001, требуется время и оплата госпошлины от каждого, кто не желает, чтобы на него было что-то зарегистрировано.
Так понятнее?
как выяснилось, приход в мфц ничего не даст, а защитить хату поможет только залоговые обязательства(ипотека) либо доля несовершеннолетного, то есть ребенка.
А вы говорите — государство ничего не делает для развития семьи! /irony
извольте, я такого не говорил =) но вот наличие ребенка в доле мне кажется так себе защита. тут надо изучить вопрос на тему.
А можно поподробнее — от чего это защитит? (если много владельцев)
не много владельцев, а обременения в виде залога(ипотека) чтобы снять обременения банка, надо сначала у банка получить документы, что кредит погашен. С наличием в доле детей, там тоже надо предоставлять какие-то бумаги, что дети не ущемлены в правах в результатах этой сделки. то есть это осложняет сделку, даже если кто-то так и купил, то эту сделку можно оспорить, так как нарушены права третьих лиц, как-то так.
На сколько помню, были десятки случаев, когда даже честную сделку купли-продажи квартиры откатывали из-за наличия прописанного ребенка.
Погуглил, при прописанном ребёнке, баз штампа органов опёки квартиру не продать, а штамп обставлен ещё несколькими требованиями.
благодарю, выходит ипотека и ребенок в доле/прописанный это своего рода какая никакая, но бронь… =), не могу вам плюсик поставит за помощь в поисках инфы.
Комплексный подход для защиты — ипотека, несовершеннолетний ребёнок и заявление в МФЦ.
Правда, если захотите продать такую квартиру — тоже изрядно задолбаетесь.
поход в МФЦ ничего не дает, подпись по ЭП= личное присутствие.
Лучше задолбаться при продаже квартиры, чем при попытках вернуть ее себе.
Вроде бы 24 июля ввели в Росреестре галку «Разрешаю применять ЭП к своей недвижимости», которая по умолчанию снята и которую надо ставить лично в бумажной форме: tass.ru/nedvizhimost/6697122
о круто, не даром общественный резонанс создавали. хотя нежные единороги не выдерживали и просили не негативить XD
>Очевидно, что ситуация широко распространена и прекрасно известна налоговым органам.
Но план по сбору налогов сам себя не выполнит.
Вы не проверяли по компаниям отчеты в пенсионный фонд, ФСС и прочее? Может, что-то интересное тоже «всплывет».

У нас схожая ситуация — в компании из СПб сначала появился «левый» директор (нашего «услали» в Москву в непонятное юрлицо, занимающееся строительством — на этом моменте и обнаружилось), потом «всплыло» НДС (хотя никакого НДС не может быть) и миллиардные(!) обороты, потом непонятные СЗВ-М с неправильными данными сотрудников, поддельной подписью и печатью.
И если в НДС может быть экономический смысл (возмещение НДС на «левые» счета, через которые проходили миллиарды денег, участие в цепочке «обнала»), то в СЗВ-М (формы, сдаваемые в пенсионный фонд на работников ежемесячно) смысл — по крайней мере, нам — неочевиден.
Пока что написали в удостоверяющий центр, прокуратуру и МВД, по цепочке перенаправлений пришел ответ из МИ ФНС и от провайдера. Если Вам это интересно, напишите в личку, обсудим подробности.
Опять этот синдром интернета «Ответил в личку».
Раз начали, то пишите уже тут всем, всех же может коснуться, что за подход-то то такой?
а давайте без вот этого вот «напишите в личку». Пишите тут, вместе и обсудим!
Сразу в суд на УЦ который выдал КЭП по поддельным документам.
UFO just landed and posted this here
мы можем заблокировать ЭЦП и не принять отчетность только в случае подозрения на незаконную деятельность
Я правильно понимаю, у ФНС настолько «крутые» архитекторы и безопасники, что в их регламентах возможность компрометации подписи в принципе не учитывается? Но это же косяк, который даже в институтском курсовом проекте завалят и заставят всё переписывать. После такого уже возникают сомнения, а можно ли вообще при таком уровне бардака и профнепригодности что-то исправить?
UFO just landed and posted this here
Простите, вы о чём сейчас? От того, что снизится количество утечек подписей, как-то изменится проблема, что утёкшую подпись принципиально невозможно отозвать?
UFO just landed and posted this here
Вы, извините слегка не в тему. Вы можете хранить свои ключи в банковской ячейке, это не помешает злоумышленнику оформить на вас вторую копию в не слишком внимательном УЦ и подписать что угодно без вашего ведома. А доказывать, что подпись оформлена незаконно придется вам, и возможно уже после того как ваш счет и имущество будут арестованы за долги.
В светлой теории, наверное, правильнее сначала заблокировать фиктивную ЭЦП и затем найти кто-же должен платить.

А напрактике, сначала назначают очевидного виноватого и взыскивают с него деньги.

Можно задать вопрос иначе. В чьих интересах написан ваш «инситутский» регламент, и в чьих интересах действующий.

У меня тут вот по прочтению закона об ЭЦП интересный вопрос возник. В соответствии с законом, сертификат действителен с момента выдачи. Порядок выдачи в законе прописан. Если есть документальное подтверждение тому, что порядок выдачи был нарушен, то можно ли считать сертификат выданным (и действительным, с-но)? Ну а если сертификат недействителен, то подпись — тоже не действительна.

Пишут, что для УЦ нет единого регламента удостоверения личности и каждый УЦ устанавливает свои правила удостоверения. В результате Петя может получить ЭЦП Васи и подписывать за Васю всё что угодно, и Вася об этом не узнает, пока жареный петух не клюнет.
После этого, перед Васей встает задача доказать, что ЭЦП выдана незаконно. В чем ему удачи и терпения.
Вы заблокировали ЭЦП просто по звонку (неизвестно от кого)? Не беспокойтесь, это стандартная процедура, если возникает подозрение на незаконные действия, мы сразу так поступаем.
Ещё один вид мошенничества с ЭЦП: злоумышленник звонит и сообщает о своих подозрениях по поводу вашей настоящей ЭЦП?
Причем где-нибудь за час до конкурса, в котором вы планировали участвовать.
На самом деле эта проблема частично решаема, как и проблема утечки персональных данных и т.п. В какой-то момент даже был гостендер на это, но всё скатилось к попилу.
Решалось через заведение через те же Госуслуги единого реестра организаций, имеющих доступ к персональным данным и двойного подтверждения чувствительных действий.
Т.е. чтобы выпустить подпись, нужно было сначала в личном кабинете кликнуть подтверждение доступа к персональным данным, что должно было стать обязательным шагом выпуска ЭЦП. И даже для тех случаев, когда подтверждение не требовалось, в личном кабинете появлялась запись с указанием кто и зачем обращался для удостоверения личных данных. И реестры выданных действительных ЭЦП там же.
Но всё скатилось в попил, тем более что УЦ не хотят терять независимость, а у них сильное лобби.
Как вы считаете, какое лобби заинтересовано в отсутствии регламента и контроля за выдачей ЭЦП?
конечно, а иначе как дела за счет, как они называют рядовых граждан, терпил дела воротить?
а вот теперь пойди и докажи, что ты не верблюд? а ведь это способ не только бабло отмыть/получить, а еще конкурентов убрать, пока он там полгода/год бегает судится, он теряет доходы и так далее.
с другой стороны, если операций с фирмами подделками не было, это же можно доказать движением средств по расчетному счету в банке, не?
Цифровая экономика без кибербезопасности путь в никуда.
ну смотря для кого, для мошенников и прочих остапов бендеров самый что ни на есть «шелковый» путь

Порядок прописан в ФЗ-63 и в регламенте ГУЦ к котором в обязательном порядке присоединяются все УЦ при аттестации, оформление через интернет — нарушение со стороны УЦ.

Спасибо, исправил. Сути это не меняет, ЭЦП выдаются третьим лицам и способа защититься от этого нет.
От нарушений со стороны УЦ, да, крайне сложно защитится, система защиты заточена на защиту постфактум, в суде. Регулятор крайне слабо их мониторит. Сейчас есть инициативы по сокращению числа УЦ, так как по этому параметру мы впереди планеты всей на душу населения.
По вашему мнению подобная ситуация (отсутствие защиты/бездействие регулятора/впереди планеты по числу УЦ на душу населения) — это так и было задумано или случайно получилось?
Исторически так сложилось, когда был еще ФЗ-1 вместо ФЗ-63 в нем забыли 2-3 абзаца записать о том, что должен сначала ГУЦ появится, а потом уже обычные УЦ проходить процедуру аккредитации. В итоге, мы получили ситуацию с феодальной раздробленностью.
UFO just landed and posted this here
UFO just landed and posted this here
А в ней что то было нормально с тех пор как от язычества отказались? )

А чему вы удивляетесь? У нас нет виноватых среди власть придержищих (вернее стоящих у кормушки). Сам все через это прошел. Ответ один — обращайтесь в суд, только суд может решить правильно нет нет. А суд выносит решения, т которых волосы дыбом встают.Правильно ли у меня отняли имущество и т.д. и т.п. И никто не смотрит, что подпись поддельная, дарственная и вовсе не подписана, но заверена. Что мне рассказывать. А на кого уповать не понятно.
Вы приняли решения и меня тоже вынуждают принять такое же решение. Удачи вам.

Чуть позже вы узнаете что контейнер ключа выданный в УЦ чаще всего ничем кроме КриптоПро не прочтешь — они делают только проприетарные контейнеры.
UFO just landed and posted this here
Удостоверяющих центров много, но населенных пунктов еще больше. Никто не хочет ехать в соседний регион, а то и дальше, чтобы получить ЭЦП непосредственно в УЦ.
Поэтому УЦ создают свою партнерскую сеть. Партнеры должны проверить документы, сгенерировать ключ на носителе, отправить запрос в УЦ, получить сертификат и выдать его клиенту. По хорошему, если Партнер серьёзный, то у него должны быть лицензии ФСБ на работу с криптографической информацией. Лицензии влекут за собой требования к помещениям, сотрудникам и периодические проверки ФСБ. Поэтому найти такого Партнера сложно. Некоторые УЦ находят Партнера попроще и заключают с ним не партнерский договор, а договор на аренду 2-х квадратных метров его помещения и «как-бы» берут на работу к себе его сотрудника. Это позволяет продавать ЭЦП от имени УЦ (я даже видел, когда УЦ дает такому партнеру свою печать №...) и прикрываться лицензиями УЦ. Такие конторки называют типа «Центр проверки документов».
В итоге в такой центр проверки документов может запросто прийти «левое» лицо с подделанным паспортом, подделанной доверенностью. А может и просто договорится с сотрудником «по тихому». А может разведет на жалость «Ой я забыла, а ехать неохота. Я вам потом подвезу». В любом случае ЭЦП будет выпущена, а ксерокопии документов (в зависимости от договора) отправятся в УЦ почтой России раз в квартал.

Это случай, когда могут создать действительно «другую» ЭЦП с реквизитами жертвы. Но не надо исключать и банальную кражу или внутрикорпоративный саботаж.

Ключ с внедренной ЭЦП может быть создан на обычной флешке и в этом случае дублируется простым копированием. Ключ может быть установлен в реестр ноутбука, украденного или взятого «попользоваться» домой. Да и как-то не заметил заявок на отзыв сертификата после утери. На это просто «забивают». Если «левая» отчетность будет подписана этим сертификатом, то уже ничего не поможет. Подпись будет именно та, которую «жертва» получила лично.
Суть проблемы в следующем: каждый УЦ может использовать свои правила удостоверения личности, в т.ч. по копиям документов через интернет.


Суть проблемы не в этом. УЦ не может использовать «свои правила». Согласно ФЗ-63 выдача сертификата квалифицированной ЭП должна проводиться только при личной явке.

Суть проблемы я бы сказал в том, что ответственность за нарушение этого пункта закона либо не прописана (я не в курсе), либо органы не очень то следят и расследуют эти нарушения.

Есть ли возможность подать в суд на УЦ? Гражданский иск. Доказать, что в момент выдачи сертификата (дата ведь известна) вы находились в другом месте, в другом городе (алиби, свидетели и тд), подпись на печатной форме не ваша (вот и графологам найдется применение). И привлечь за моральный и материальный ущерб.

А потом на основании вынесенного решения уже в ту инстанцию которая вас терроризирует.
А потом окажется что это был ваш брат близнец и УЦ не имел возможности отличить вас от не вас.
Или УЦ честно был введён в заблуждении использованием актёра с хорошо подделаны паспортом.
И что? Преступные действия были выполнены мошенником, а не кристально честными людьми из УЦ.
Хоть двадцать исков, они потерпевшие. Как и вы.
ОК. согласен.
значит вся надежда на СК… ((
Вот поэтому не надо ничего изобретать самодельного, достаточно просто задействовать НОТАРИУСА!
Вот почему-то у нотариусов, лично несущих ответственность за свои удостоверения, в отличие от кристально чистых людей из УЦ, как-то не возникает больших проблем с актёрами и близнецами.
> привлечь за моральный и материальный ущерб
> потом на основании
У вас есть опыт подобных действий, или вы чисто теоретически? На практике, посмотрите предыдущую статью — у автора даже заявление не приняли, посмотрите то что я написал — следственные действия идут больше года, а пока арестованы счета компании и личное имущество. В гугле забейте в поиск «Цифроотъём» — первая ссылка, там еще один пример того как у человека заявление в правоохранительные органы не принимают. Там-же еще один случай продажи квартиры, помимо того что обсуждался тут.

> Суть проблемы не в этом. УЦ не может использовать «свои правила». Согласно… выдача… должна
А на заборе написано одно, а за забором лежит другое. По факту, УЦ могут и используют всё что хотят и никому ничего не должны. Должен потом потерпевший гражданин доказывать, что он не совершал противоправных действий. И жирность (и цвет) шрифта ситуации не меняют.
ну не надо сравнивать то что написано на заборе с тем что написано в законе… УЦ должны. И фраза в начале статьи неверная (про то что все уц делают что хотят и работают по своим правилам).
Но и я тоже не совсем прав: гражданский иск ничего не решит.
Суть проблемы не в этом. УЦ не может использовать «свои правила». Согласно ФЗ-63 выдача сертификата квалифицированной ЭП должна проводиться только при личной явке.

Она и производится при личной явке. Но вам ведь надо как-то удостовериться, что пришедшее лицо — это то самое лицо?

Уважаемый автор!
ЭЦП уже нет как 8 лет. Вместо нее ЭП.
Забавно обсуждать законодательство, не зная что обсуждаем.
Уважаемый комментатор"
С советом по поводу корректности терминологии обратитесь, к примеру в КриптоПро, лидера, цитирую, «по распространению средств криптографической защиты информации и электронной цифровой подписи». Или в налоговую. Объясните им, насколько они не в курсе законодательства и забавны вам.
Объясните им, насколько они не в курсе законодательства и забавны вам.

Можете позвонить в КриптоПро и спросить, если у них продукты для формирования ЭЦП.

Вы проводите анализ ситуации в текущем законодательстве, но термины даже не изучили.
Суды не примут подпись с ЭЦП как достоверную, даже если она технически правильная. И никакого мошенничества с ЭЦП не может быть, т.к. она ничтожна. И ни один УЦ последние 5 лет карл не выдавал ЭЦП.

Вот ссылка на закон. Вот про ЭЦП: Документ утратил силу или отменен

Зачем вводить читателей в заблуждение?

КриптоПро:
Компания КриптоПро сегодня это:
полный спектр консалтинговых услуг по применению ЭП;
полный спектр услуг удостоверяющего центра;
полный спектр услуг по применению ЭП;
интеграция с ведущими российскими и зарубежными IT решениями;
квалифицированная компьютерно-техническая экспертиза ЭП в судах всех инстанций.

Компания КриптоПро является разработчиком и поставщиком средств применения ЭП в автоматизированных информационных системах. Используя накопленный богатый опыт разработки, внедрения и сопровождения средств применения ЭП, а также кадровый потенциал сотрудников компании, мы предлагаем консультационные услуги по обеспечению деятельности удостоверяющих центров и применению ЭП в автоматизированных информационных системах предприятий различных форм собственности.

Налоговая:
Раз
Два
Извините, что не про суть, а про форму, но надеюсь, будет полезно.
Вы, конечно, имели в виду двоеточие:
«ЭЦП: еще один вид мошенничества»

Потому что текущий вариант «ЭЦП – еще один вид мошенничества» означает другое, что, мол, ЭЦП сама и есть новый вид мошенничества.
Ну, судя по тому, что явление носит распространённый характер, и налоговая делает «морду кирпичом», то видимо весь это процесс и происходит по благословению или вообще по инициативе налоговой. Выгода-то для них очевидна, собираемость налогов растёт! Ну да, и ещё плюс мелкий гешефт для подручных мальчиков…
Давайте на время забудем ЭЦП и представим, что налоговую отчетность сдают на бумаге, и отправляют обычной почтой. Подписывают соответственно рукой уполномоченного лица и ставят печать.

Предположим, вредители вместо вас на бумаге сдали кривой отчет. Подделав подписи и печати.

Что бы вы предложили в качестве меры по предотвращению подобных случаев в будущем?

Стали бы предлагать отказаться от ручных подписей и печатей?
Стали бы на налоговую вешать ответственность за проверку ручных подписей и печатей?
Можно придумать разные алгоритмы, но я лучше задам вопрос.

Почему раньше не было таких случаев? Подписи и печати подделывают со времен изобретения письменности. Какие другие обстоятельства в конце 2010-х сложились так, что можно что-то поиметь сдав за другого поддельную отчетность?
И что же произошло в 2010г?
Какие другие обстоятельства в конце 2010-х сложились так, что можно что-то поиметь сдав за другого поддельную отчетность?

Все очень просто — если кто-то чужой поставит на документе вашу ручную подпись, то вы за эту подпись ответственности по закону не несете (логично, она же поддельная). А если кто-то поставит вашу ЭЦП — несете.

Тут надо уточнить, что значит «ваша ЭЦП».
Если ЭЦП, которую вы получили лично, соблюдая все необходимые нормы, то такая ЭЦП ваша. И вы несете полную ответственность за подписанные с помощью нее документы.

Если ЭЦП получена на ваше имя без вашего законного волеизъявления, то такая ЭЦП условно ваша. Т.е. в ее реквизитах указано ваше имя, но т.к. получена эта ЭЦП была без соблюдения всех норм, то все подписанное с помощью нее, не является действительным. Да, доказать незаконность таких подписанных документов, это отдельная история. Да, техническая реализация решений, связанных с ЭЦП, в том числе по проверке валидности ЭЦП, хромает. Но в законодательстве все необходимое уже есть.
Тут надо уточнить, что значит «ваша ЭЦП».

Согласно закону — та, которая выдана на ваше имя. Кто ее получал и как — совершенно не важно до тех пор, пока она выдана согласно регламенту.
Закон не производит никакого разделения между подписями, полученными "с вашим волеизъявлением" и "без вашего волеизъявления" (а вот в случае с ручной подписью — производит).

Все-таки немного не так.
Примерно как с доверенностями.
Если доверенность выпущена без вашего участия от вашего имени, это недействительная доверенность (при этом у большинства участников нет возможности проверить ее валидность).
Ровно то же самое относится и к квалифицированному сертификату.

Кто ее получал и как — совершенно не важно до тех пор, пока она выдана согласно регламенту.

Важно. УЦ обязан удостовериться, что вы это вы.
Если это было выполнено с нарушением, что ЭЦП недействительна. Решение об этом выносит суд.
Можно считать, что история завершена. За прошедшие два месяца были написаны заявления в налоговую, прокуратуру, ОВД и Министерство связи. ОВД по результатам проверки направила данные в ОБЭП и прокуратуру. Прокуратура, по результатам проверки — в налоговую. Налоговая рекомендовала обратиться в минсвязи. Минсвязи ответило: на вас зарегистрировано два сертификата, за защитой ваших прав, свобод и законных интересов вы можете обратиться в ОВД и прокуратуру. Круг замкнулся. Пока нет ответа от ОБЭП, но, поскольку экономического преступления не совершено, очевидно, это тоже тупик.

По первому случаю, есть некоторый прогресс — счета разблокированы. Правда, за время следственных действий набежали пени на >10т.р.
Sign up to leave a comment.

Articles