ЭЦП – еще один вид мошенничества

    Этот текст — продолжение обсуждения проблем, связанных с безопасностью использования ЭЦП.

    UPD1. (от 18 сентября): для тех кто добавил статью в закладки, кратко о предпринятых действиях и результатах за прошедшие два месяца: были написаны заявления в налоговую, прокуратуру, ОВД и Министерство связи. ОВД по результатам проверки направила данные в ОБЭП и прокуратуру. Прокуратура, по результатам проверки — в налоговую. Налоговая рекомендовала обратиться в минсвязи. Минсвязи ответило: на вас зарегистрировано два сертификата, за защитой ваших прав, свобод и законных интересов вы можете обратиться в ОВД и прокуратуру. Круг замкнулся. Пока нет ответа от ОБЭП, но, поскольку экономического преступления не совершено…

    UPD2. (от 10 октября): по первому случаю тоже есть «прогресс» — после более чем года разбирательств, человеку разблокировали счета.

    Суть проблемы в следующем: каждый УЦ может использовать свои правила удостоверения личности, в т.ч. по копиям документов через интернет. В результате для любого гражданина А появляется возможность получить и использовать ЭЦП гражданина Б без ведома Б. В предыдущих статьях приводились примеры мошеннического использования ЭЦП, полученной подобным образом и давались советы как защититься от этих конкретных видов мошенничества. Ответа на вопрос, как недопустить получение третьим лицом ЭЦП на ваше имя при существующем положении дел нет.

    В опубликованной недавно статье с Росреестр, фактически, признает возможность мошенничества с ЭЦП физических лиц и дает советы как, потратив свое время и деньги, попытаться от подобного мошенничества защититься.

    В другой недавней статье описана еще одна ситуация с мошенническим использованием ЭЦП, способы защиты непонятны.

    Цель этого текста, во-первых, показать, что существует, по крайней мере, еще один широко распространенный вид мошенничества с ЭЦП, жертвами которого становятся, как правило, небольшие компании, в т.ч. «нулевки», во-вторых, поделиться имеющимся опытом и обратиться к опыту аудитории с вопросом, что делать, если вы стали жертвой такого мошенничества.


    Я столкнулся с двумя подобными случаями за прошедшие года с небольшим. Схема примерно следующая – в конце отчетного периода, после успешной сдачи квартальной отчетности, когда бухгалтерия уже расслабилась и выдохнула, в налоговую приходит корректировка, в которой показаны большие обороты (десятки-сотни миллионов рублей) и большой же НДС к уплате. Возможны варианты, например, НДС показан небольшой, но обороты большие, причем часть из них даже бухгалтер со средним опытом с первого взгляда определяет как «левые».

    Удостоверяющий центр может находиться в любом конце страны. Компании контрагенты — в других любых концах, и на момент обнаружения проблемы могут уже не существовать или быть в процессе ликвидации.
    В лучшем случае, о проблеме становится известно до окончания отчетного периода и бухгалтерия может отправить свою корректировку. В худшем случае, о проблеме станет известно после того как счет компании будет заблокирован за неуплату налогов.

    Случай первый


    Первый случай, с которым я столкнулся (конец первого квартала 2018г) был «худшим». Проблема стала очевидна после блокировки счета и последующий процесс не закончился до сих пор.

    Позиция налоговой в этом вопросе предельно проста: подписи ваши, удостоверены в соответствии с законом, налоги должны быть уплачены. Любое обращение в налоговую рассматривается согласно регламенту (время рассмотрения письма – месяц).

    Следственные действия до сих пор продолжаются. А до их окончания у пострадавшего за неуплату налогов заблокированы счета компании и наложен арест на личное имущество.

    В обсуждении к предыдущей статье комментаторы писали, что самостоятельные попытки блокировки фиктивной ЭЦП могут быть впоследствии расценены следствием негативно. В первом случае пострадавший отказался самостоятельно предпринимать какие-либо действия, помимо обращений в следственные органы, в результате – следствие еще идет, до окончания следствия (по крайней мере), за неуплату налогов, повторюсь, заблокированы счета компании и наложен арест на личное имущество. Что было бы, если бы он самостоятельно заблокировал фиктивную ЭЦП, посетив УЦ на другом конце страны – неочевидно.

    Случай второй


    Второй случай свежий – конец 2-го квартала 2019г – и относится к категории «лучших». Факт подачи фальшивой отчетности был обнаружен до окончания периода сдачи отчетности.

    Директор и бухгалтер собрали документы и отправились в налоговую. Вкратце, позиция налоговой по этому вопросу – это не наша сфера компетенции, у нас есть регламент, мы можем заблокировать ЭЦП и не принять отчетность только в случае подозрения на незаконную деятельность, в вашем случае в присланной отчетности признаков незаконной деятельности и подозрительных операций нет; мы можем заблокировать ЭЦП, если директор напишет заявление о том что компания и ЭЦП зарегистрированы без его ведома, в вашем случае директор признает что регистрировал компанию и одну ЭЦП, но не регистрировал другую – эта ситуация выходит за рамки нашего регламента; в нашем регламенте ваша ситуация отсутствует. Что делать? Обратитесь в полицию. Куда именно в полицию? Позвоните 02, вас направят в нужный департамент. Что делать с незаконной отчетностью? Напишите корректировку. А если злоумышленники после нашей напишут свою? Это возможно, проверяйте почаще чтобы этого не произошло и напишите нам письмо, мы рассмотрим его в соответствии с регламентом. По регламенту срок ответа – месяц, за это время вы успеете заблокировать нам счет. Если налог не будет уплачен в установленные сроки, счет будет заблокирован.

    Поначалу все разговоры велись только по телефону из проходной, но как только прозвучало название компании, человек, говоривший по телефону, засуетился, выписал пропуска, лично встретил и провел в кабинет к кому-то из высокого руководства, которое встретило посетителей очень благожелательно. Впрочем, причина этого чудесного феномена быстро прояснилась – название компании совпадало до одной буквы и было созвучно названию компании, к которой был какой-то интерес у руководства налоговой. После этого благожелательности поубавилось, но факт нахождения в кабинете руководства позволил попасть еще в несколько кабинетов и получить частицы разной информации. В частности, в одном из кабинетов сказали, что подобные случаи настолько распространены, что существует даже некий внутренний рейтинг надежности УЦ разных компаний – такие-то компании наиболее часто оказываются замешаны в выдаче поддельных ЭЦП, а вот, к примеру. у этой (не подумайте, что я рекламирую их услуги) – у них все очень строго и случаев подделки не было.

    Удостоверяющий центр, выдавший поддельную ЭЦП находится недалеко от границы области. Туда был сделан звонок и разговор тоже был замечательным. Сотрудник УЦ сказал, что УЦ примерно месяц не занимается ЭЦП (поддельная ЭЦП была выдана больше месяца назад), но вот вам мобильный телефон нашего партнера они вам помогут. На вопрос была ли выпущена ЭЦП для такого-то человека и на каком основании, был получен ответ: да была, человек явился лично и у нас полный пакет документов, вот он передо мной, включая заявление с синей печатью и цветную копию паспорта. Что нужно сделать, чтобы получить копии этих документов и заблокировать данную ЭЦП? А продиктуйте мне свой e-mail и я вам немедленно вышлю копии документов, а ЭЦП, я прям сейчас, минутку … уже заблокировал. Вы заблокировали ЭЦП просто по звонку (неизвестно от кого)? Не беспокойтесь, это стандартная процедура, если возникает подозрение на незаконные действия, мы сразу так поступаем.

    Как ни странно, копии документов были получены, в т.ч. цветная копия настоящего паспорта с замененной фотографией и чужой подписью, в высоком качестве, с бликами от голограммок в нужных местах, аккуратным угловым штампом на фото и т.п. и заявление с синей поддельной печатью. Можно надеяться, что это поможет доказать, что вторая ЭЦП была действительно получена мошенническим путем.

    Что делать


    Очевидно, что ситуация широко распространена и прекрасно известна налоговым органам. Но это не делает жизнь пострадавших проще.

    Если факт мошенничества обнаружен до окончания отчетного периода, то по-видимому, правильными действиями будет оперативно отправить корректировку, предпринять действия для блокировки фиктивной ЭЦП, проверяя при этом отсутствие мошеннических корректировок «поверх» вашей и обратиться в правоохранительные органы. Каков будет результат – пока непонятно.

    Что делать если факт мошенничества обнаружен после того как счет уже заблокирован – непонятно. Росреестр дежурно говорит «полномочия… были подтверждены в установленном порядке» и доказать, что это действительно не ты оформил вторую ЭЦП и пытаешься уклониться от уплаты налогов – становится твоей личной проблемой. Следственные действия идут медленно, налоговая работает быстрее и четче – арест счетов, имущества, невыезд за границу и т.д.

    У кого есть опыт подобных ситуаций – делитесь, пожалуйста, потому что порядок действий не всегда очевиден, а неправильные действия могут усугубить ситуацию.
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 163

      +3

      Не очень понятен смысл такой махинации. Подставить компанию перед налоговой?

        +2
        Вероятнее всего отмывание денег. Думаю, что кроме корректировок налогов, по ЭЦП подписывается огромное количество различных счетов на имя компании.
          +1
          Смысл? Наверно слить на нее уплату НДС 20%, по цепочке ее платит последняя контора.
            0
            Каждая компания платит налог на свою добавленную стоимость…
            +2
            Компания-мошенник скрывает доход и не платит налоги, вместо нее «получает доход» и платит налоги компания-жертва.
              0

              Ну так это компании однодневки, которые быстро вычисляются, не?

                +3
                И что толку?
                В ситуации с продажей квартиры по фиктивной ЭЦП — мошенничество очевидно. Но с точки зрения закона — нарушений нет. И истинному владельцу придется тратить время и деньги, чтобы не остаться без квартиры.
                0
                Мне как не бухгалтеру всё равно не ясно. Корректировка каких отчетов/документов приходит в налоговую чтобы скрыть доход другой компании?
                  0
                  Счета-фактуры исходящие подаются. Якобы контора продала на 100 лямов с НДС и теперь этот НДС должна в бюджет. А та, что купила — получила 100 лямов расхода с 20 лямами расходного НДС и ничего не должна.
                    0
                    Спасибо. Думал речь идет про какие-то отчеты, а оказывается подделывается первичка. Теперь стало понятно.
                    +1

                    НДС это как указатели в с++. Мало кому понятно что это такое. А ещё их можно переводить на другой объект

                      +1
                      Компания Б имеет большой НДС к уплате. но если совершить большую покупку у компании А и указать в своей отчетности что Б купил у А на сумму Х, а в отчетности А указать что А продал Б на сумму Х, то Б получит налоговый вычет с суммы Х. Всю необходимую отчетность компания Б может оформить сама (без ведома А), если имеет ЭЦП компании А. Всё просто?

                      Конечно это самая линия попы, bottom line, как говорят шутники англичане, и в реальной жизни используются цепочки действий, но все дальнейшие действия уже могут быть вполне/почти законными, а компания А в итоге должна заплатить НДС с суммы Х.

                        0

                        Но Компании Б будет очень плохо, когда все выяснится. А возмещение НДС за сколько дней в России гарантируется? Я это к тому, что Б надо полюбе получить возмещение НДС, а иначе это не имеет смысла.
                        Но в Украине вроде, такие операции сразу поступают в раздел рисковых и автоматический возврат в этом случае не доступен, что по идее должно сводить на нет смысл такого мошенничества.

                          0
                          В теории это так, а на практике — по другому.

                          Сначала очень будет плохо компании А, надо доказать что отчетность подделана, это непросто. (См. случай 1 в статье — следственные действия идут больше года, у директора компании А арестованы счета компании и личное имущество.)

                          Компания Б за это время может перестать существовать. И ей необязательно получить возмещение, она может продать товар дальше компании В, та еще дальше, а последней в цепочке окажется очень уважаемая компания к которой у приличных людей вопросов не возникает, и ей даже не надо получать возмещение, она просто получит налоговый вычет.

                            0
                            она может продать товар дальше компании В

                            Так она получит еще больший НДС к уплате?

                              0
                              Нет, НДС платит первый продавший (А), вычет получает последний купивший (Б или В или кто-то дальше по цепочке). Звенья в цепочке могут платить/получать вычет на разницу сумм купли-продажи.
                            0
                            Там нет возмещения. Там есть неоплата.
                            То есть фирма из бюджета ничего не просит. Но и ничего не платит. В ноль отработала.
                      0
                      Слить НДС.
                      То есть вы принимаете от белых и пушистых НДС.
                      Гоните на 10 фирм, оттуда на 2-3-4-5 ступени и в конце НДС сливается вот на такую контору. Контора в жо, а все в шоколаде.
                        +1
                        1. Перемалывание компании на НДС. Судьба чьего то бизнеса налоговой пофиг, а вот а вот закрыть кучу недоимок от однодневок одним махом круто.
                        2. Рейдерство. Создаём проблемы у компании, недорого покупаем её, решаем проблему, у нас готовый бизнес задаром.
                          0
                          мошенничество с возвратом НДС.
                            0
                            Самое очевидное, что первым приходит на ум — конкуренты. Если жертве заблокируют счета (плохой вариант развития событий) — она просто вылетает из бизнеса…
                            0
                            А как проверить сколько ЭЦП на тебя выдано?
                              +3
                              Обратиться во все удостоверяющие центры, видимо.
                                +1
                                У — удобство цифровизации а-ля Рюс.
                                  +1

                                  Не У, а Б — блестящая возможность цифровой страны.


                                  Неужели никому никак не дойдет, что реестр ЭЦП должен быть ЕДИНЫМ на всю страну.

                                    0
                                    Ну почему же не дойдет. Недавно здесь была статья о проекте единого УЦ для всех юриков под контролем государства. Правда в коментах его закидали говном, потому что государству тут доверяют меньше, чем частникам.
                                      –3
                                      закидали гвном либо мошенники либо мамкины воины.
                                        +5
                                        Правда в коментах его закидали говном, потому что государству тут доверяют меньше, чем частникам.
                                        И это недоверие вполне обоснованно.
                                        Почему-то не рассмотрели промежуточный вариант: УЦ разные и частные, а вот реестр выданных ЭЦП с автоматическим уведомлением о выпуске новых подписей и возможностью отозвать/заблокировать из в любой момент — один и государственный.
                                        +2

                                        По идее, налоговая просто должна заключать договор с юриком что она будет принимать электронную отчетность от него, подписанную только конкретным ключем. Так в Украине работает, по крайней мере.

                                          0
                                          Это решило бы проблему с данным видом мошенничества. Но, не думаю, что это возможно.
                                          Точнее так: сейчас это невозможно. И не думаю что станет.
                                            +1
                                            А это идея. Ничто не мешает проверить. Надо предложить налоговой такой договор. Есть тут юрист сведущий, кто помог бы такой договор составить?
                                              0
                                              Юрист всегда есть, он не может не есть. А вот налоговая ответит что-нибудь в стиле «текущие регламенты взаимодействия со смердами не предусматривают заключение подобных договоров».
                                                0
                                                boroda_el прав, в статье я упомянул это тмомент: регламент действий налоговой подобного не предусматривает. ЭЦП может бытьо заблокирована налоговой по собственной инициативе, если налоговая усмотрит подозрительные действия в отчетности, заявления о том что подпись подделана и эта отчетность отправлена неизвестно кем такими действиями не является. Подпись может быть заблокирована, если директор напишет заявление, что он не регистрировал юрлицо и ЭЦП. Если директор регистрировал юрлицо и одну ЭЦП, но не регистрировал другую — эта ситуация в регламент не попадает. Вам посочувствуют, и посоветуют обратиться в милицию. В нагем случае — позвонить 02.
                                                Ну и спросите своего юриста, предусмотрена ли возможность заключать договоры с налоговой?
                                                0
                                                По идее, налоговая просто должна заключать договор с юриком что она будет принимать электронную отчетность от него, подписанную только конкретным ключем.

                                                Достаточно просто признавать поддельные подписи недействительными, как это делается с обычными подписями. Это сразу решает проблемы не только с налоговой, но в принципе.

                                                  0

                                                  Вот это как раз достаточно сложно. Подпись то фактически очень даже настоящая. В итоге, для признания недействительными подписанных ей документов нужно сначала доказать, что сертификат открытого ключа изначально был выдан не тому лицу, которому он принадлежит.
                                                  А вот что делать после мне самому интересно. Отзывать сертификат задним числом? Не уверен, что так можно...

                                                    0
                                                    Вот это как раз достаточно сложно.

                                                    Это как раз элементарно. Поддельная подпись => документы, ей подписанные, не подписаны. Схема отработана сотнями лет практики и замечательно работает, ничего нового изобретать не требуется.


                                                    Подпись то фактически очень даже настоящая.

                                                    Нет, подпись как раз поддельная.


                                                    нужно сначала доказать, что сертификат открытого ключа изначально был выдан не тому лицу, которому он принадлежит.

                                                    Это как раз элементарно — достаточно сканов поддельного паспорта. Ну и это не вы должны доказывать, что подпись поддельная, это тот кто считает подпись настоящей должен доказывать, что она настоящая. Нет доказательств — нет подписи. Вам достаточно сказать, что подпись не ваша.


                                                    Отзывать сертификат задним числом?

                                                    Зачем? Он просто недействителен. Вы можете хоть миллион сертификатов выпустить, но юридически значимой подпись с данным сертификатом становится только тогда, когда сертификат выпущен в рамках определенной процедуры. Если процедура была нарушена — подпись ничем не отличается от детских каляк-маляк.

                                                      0
                                                      1. Чем по-вашему поддельная электронная подпись отличается от настоящей?
                                                      2. Как вы предлагаете осуществить описанное технически и юридически не сломав полностью уже существующую и работающую схему работы с электронными подписями?
                                                        0
                                                        Чем по-вашему поддельная электронная подпись отличается от настоящей?

                                                        Поддельная подпись — это подпись, которую вы (или ваше доверенное лицо) не ставили. А настоящая — та, которую вы ставили.


                                                        Как вы предлагаете осуществить описанное технически и юридически не сломав полностью уже существующую и работающую схему работы с электронными подписями?

                                                        Так, как описано выше, и предлагаю. Ничего при этом не ломается. Если подпись поддельная — то ее нет, конец истории. Так работают обычные подписи, так должна работать и ЭЦП, что тут и как ломается?


                                                        Это вообще странно, что доказано поддельная ЭЦП является юридически значимой. Этот нонсенс, так изначально быть не должно.

                                                          +1

                                                          А, ну круто вы предложили, надо реализовать, чё.


                                                          Для меня это звучит примерно как "чтобы не было убийств, надо чтобы люди не умирали"

                                                            0
                                                            А, ну круто вы предложили, надо реализовать, чё.

                                                            Ничего реализовывать не надо, все уже реализовано. Достаточно просто поправить пару строчек в имеющемся законе об ЭЦП. На данный момент поддельная ЭЦП считается действительной. Надо прописать, что поддельные ЭЦП недействительны. В точности так, как это работает с обычными подписями.
                                                            Факт подделки может доказываться в точности так же, как и для обычной подписи — почерковедческой экспертизой. Тут, опять же, ничего нового не нужно. Все уже есть, все прекрасно функционирует, есть огромное количество наработанной практики не требуется ничего изобретать. Так что ваш сарказм тут совершенно неуместен.

                                                              +1

                                                              О какой почерковедческой экспертизе в случае ЭП может идти речь? Вы не понимаете как работает ассиметричная криптография и инфраструктура открытых ключей или просто троллите?

                                                                0
                                                                О какой почерковедческой экспертизе в случае ЭП может идти речь?

                                                                Об обычной. Когда вы получаете сертификат, то подписываете (обычной подписью) документ: "я, такой-то такой-то, пришел тогда-то тогда-то и получил такой-то такой-то сертификат". А многие центры еще и видео с подтверждением записывают. Если подпись на этом документе не ваша (или документа и вовсе нет) — сертификат (и любой договор, подписанный подписью с этим сертификатом) недействителен. Если за вас получали подпись по поддельным документам (что очевидно подтверждается сканами этих документов) — сертификат недействителен. Если вы в момент получения подписи были, банально, на другом конце страны (что элементарно подтверждается кучей свидетелей) — сертификат недействителен.
                                                                Факт выдачи вам сертификата должен иметь документальное, проверяемое подтверждение. Если этого подтверждения нет (или, более того, есть подтверждение обратного) — это не сертификат, это филькина грамота.


                                                                Все это прекрасно работает для обычных подписей, т.е. не надо ничего изобретать, надо просто применить уже проверенные методы решения старой и всем известной проблемы.

                                                                  0

                                                                  Ок, давайте так. Какие две строчки достаточно добавить в закон об ЭП, чтобы не требовалось большого количества времени, чтобы доказать поддельность подписи/сертификата?

                                                                    0
                                                                    Аккредитованный удостоверяющий центр с использованием инфраструктуры осуществляет проверку достоверности документов и сведений, представленных заявителем в соответствии с частями 2 и 2.1 настоящей статьи. Для заполнения квалифицированного сертификата в соответствии с частью 2 статьи 17 настоящего Федерального закона аккредитованный удостоверяющий центр запрашивает и получает из государственных информационных ресурсов

                                                                    Дополнить статью следующим пунктом:
                                                                    Выданный сертификат не является вступившим в действие, если невозможно убедиться в достоверности сведений, представленных заявителем в соответствии с частями 2 и 2.1, либо сведения не являются достоверными.


                                                                    Ну и еще, конечно, следует отменить норму о том, что эцп, поставленная неуполномоченным лицом, влечет юридические последствия. Следует уровнять здесь ЭЦП и обычную подпись.


                                                                    Хватит одного из двух вариантов, но оптимально — оба сразу.

                                                                      0
                                                                      Хорошо, с юридической стороной понятно. С технической, как проверить вступил сертификат в действие или нет? Как проверить поставлена ЭП уполномоченным лицом или нет?
                                                                        +1
                                                                        С технической, как проверить вступил сертификат в действие или нет? Как проверить поставлена ЭП уполномоченным лицом или нет?

                                                                        Все в точности так же, как в случае обычной подписи. Вы проверяете, поставлена ли обычная подпись уполномоченным лицом? Нет. Вы просто на нее смотрите и приблизительно оцениваете — ну, типа, похожа на то, что в паспорте. Аналогично и тут — делаете приблизительную оценку (т.е. убеждаетесь, что сертификат выдан на нужного человека аккредитованным центром).
                                                                        При этом лицо, от имени которого оставлена подпись, должно иметь понятную возможность это дело (как и в случае обычной подписи) опротестовать. И если это лицо доказывает, что сертификат выдан не ему — подпись становится тыквой


                                                                        Тут в чем штука -когда вы ставите обычную подпись, то важна не сама подпись, важен ее источник. Не важно чем подписывается документ — важно кем и как. Если на документе стоит обычная подпись, полностью идентичная вашей, но вы докажете, что вы ее не ставили, либо ставили, но, например, вас заставили под дулом пистолета — то документ этот можно в суде без каких-либо проблем отыквить. Равно как если вы вместо своей подписи поставите некую рандомную закорючку, то документ будет считаться подписанным, если будет доказано, что закорючку ставили вы.
                                                                        С другой стороны, если это эцп — то не важно, кто ее ставил и как. Непонятно совершенно, кто придумал сей бред, особенно учитывая тот факт, что подделать эцп на порядок проще, чем обычную подпись (т.е., по идее, защита эцп должна быть сильнее, а не слабее).
                                                                        Т.о. все что надо сделать — это уровнять в данном отношении эцп с обычными подписями, дав законную возможность отмены подписи, когда эта подпись очевидно и легко доказуема (а это так практически во всех случаях мошенничества) была получена (а как следствие — и поставлена) не вами, без вашего желания и без вашего ведома.

                                                                          0
                                                                          Все замечательно и правильно сказано. Одного не хватает. Надо, чтобы использование ЭПЦ было сугубо добровольным. Если кто-то считает, что ему удобнее декларацию в эл. виде сдавать, да еще и подписанную ЭПЦ, то пусть так и делает. А если кому-то удобнее «по старинке» (хотя бы из соображений безопасности), то пусть «по старинке».

                                                                          Проблема же в том, что всех загоняют добровольно-принудительно в электронное стойло. Если всех граждан посадить в тюрьму, то считается, что проблема с преступностью решиться раз и на всегда.
                                                                            +1
                                                                            Вот, вроде все правильно и понятно ровно до слов
                                                                            С другой стороны, если это эцп — то не важно, кто ее ставил и как. Непонятно совершенно, кто придумал сей бред, особенно учитывая тот факт, что подделать эцп на порядок проще, чем обычную подпись
                                                                            При правильном использовании ЭП «подделать» гораздо сложнее, чем обычную подпись. Необходимо либо заполучить закрытый ключ подписанта (который тот должен хранить как зеницу ока), либо используя преступные схемы выпустить для своего закрытого ключа сертификат с данными подписанта (это как раз та категория ситуаций, из-за которых в последнее время кипит бурное обсуждение в этой и подобных статьях).
                                                                            Тут в чем штука -когда вы ставите обычную подпись, то важна не сама подпись, важен ее источник. Не важно чем подписывается документ — важно кем и как.
                                                                            Учитывая вышесказанное, предполагается, что если ЭП прошла криптографическую проверку, а сертификат не числится в списках отозванных, мы можем с практически 100% уверенностью сказать, что данная подпись поставлена по воле подписанта. Собственно, в этом весь её смысл.
                                                                            Мы не можем узнать кто фактически её сформировал для данного документа, мы полагаемся на то, что закрытый ключ есть только у подписанта, а в плане проверки её принадлежности конкретному лицу полагаемся на инфраструктуру удостоверяющих центров. Если мы дадим подписанту возможность без достаточных доказательств опротестовать свою электронную подпись, то получим вероятно еще большее количество мошеннических схем работающих уже в направлении признания настоящих подписей недействительными. Тут достаточно тонкая грань на которой нужно держать баланс.
                                                                            Т.о. все что надо сделать — это уровнять в данном отношении эцп с обычными подписями, дав законную возможность отмены подписи, когда эта подпись очевидно и легко доказуема
                                                                            Деюро они и так сейчас равны, а то что может быть очевидно для вас, далеко не так же очевидно для всех остальных и требует доказательств.

                                                                            PS Собственно никаких технических вариантов проверки кто именно проставил подпись вы так и не предложили. Если сертификат выдан и зарегистрирован в ЕСИА считается, что УЦ в достаточной мере убедился и в достоверности сведений о получателе сертификата, и в достоверности его документов и полномочий. Таким образом вот этот абзац
                                                                            Аналогично и тут — делаете приблизительную оценку (т.е. убеждаетесь, что сертификат выдан на нужного человека аккредитованным центром).
                                                                            При этом лицо, от имени которого оставлена подпись, должно иметь понятную возможность это дело (как и в случае обычной подписи) опротестовать. И если это лицо доказывает, что сертификат выдан не ему — подпись становится тыквой
                                                                            не меняет ровным счетом ничего, сейчас все именно так и работает. Других способов «убедиться» у вас просто не существует.
                                                                              +1
                                                                              Необходимо либо заполучить закрытый ключ подписанта (который тот должен хранить как зеницу ока), либо используя преступные схемы выпустить для своего закрытого ключа сертификат с данными подписанта (это как раз та категория ситуаций, из-за которых в последнее время кипит бурное обсуждение в этой и подобных статьях).

                                                                              Так вот как раз это и есть гораздо проще, чем подделка обычной подписи. Разве нет? Как минимум, подделка ЭЦП не может быть сложнее подделки обычной подписи, т.к. вы можете подделать ЭЦП, подделав обычную подпись на доверенности (от доверенности на выпуск ЭЦП не требуется, чтобы она была нотариально заверенной). Т.к. задача подделки ЭЦП может быть сведена к подделке простой подписи. При этом для подделки ЭЦП у вас есть еще дополнительные вектора атаки. Значит, ЭЦП подделывать проще, следуя логике. Нет?


                                                                              Но в любом случае это не так существенно все.


                                                                              Учитывая вышесказанное, предполагается, что если ЭП прошла криптографическую проверку, а сертификат не числится в списках отозванных, мы можем с практически 100% уверенностью сказать, что данная подпись поставлена по воле подписанта.

                                                                              Так в этом проблем нет. Точно так же вы почти на 100% уверены, когда визуально осматриваете чью-то обычную подпись. Проблема начинается тогда, когда оказывается, что мы не можем быть 100% уверены или, вообще, можем быть на 100% уверенным в обратном. В случае с обычной подписью — вы просто через суд без каких-либо проблем доказываете, что подпись поддельная. В случае ЭЦП — ну у вас просто нет аутов, т.к. по закону даже тот факт, что подпись ставили не вы, не освобождает вас от юридических последствий этой подписи.


                                                                              Если мы дадим подписанту возможность без достаточных доказательств опротестовать свою электронную подпись

                                                                              Почему же без достаточных доказательств? С достаточными.
                                                                              Напоминаю, что обычные подписи работают именно так им всех это устраивает. Почему ЭЦП должны работать по-другому?


                                                                              получим вероятно еще большее количество мошеннических схем работающих уже в направлении признания настоящих подписей недействительными

                                                                              Не получим (иначе бы получили кучу мошеннических схем с обычными подписями). Штука в том, что для признания договора действительным де-факто ваша подпись не нужна.
                                                                              Т.е. если вы поставите какую-то кривую подпись и потом откажетесь выполнять свою часть договора, и в суд принесете результаты экспертизы, которые покажут, что подпись не ваша — то суд все равно обяжет вас свою часть договора исполнять, если будут аргументы в пользу того, что по факту вами условия договора были приняты (в случае наличия например соответствующей деловой переписки, показаний свидетелей и т.п. — т.е. если например вы обсуждали качество полученной услуги, а потом отказались за эту услугу по договору платить, т.к. подпись не ваша, то судь встанет на сторону того, кто оказывал услугу, несмотря на то, что подпись действительно не ваша).


                                                                              далеко не так же очевидно для всех остальных и требует доказательств.

                                                                              Для суда будет точно так же очевидно. Только на данный момент суд ничего сделать не может, т.к. закон такой. В случае с обычными подписями — может (и делает), в случае с ЭЦП в аналогичной ситуации — нет.


                                                                              PS Собственно никаких технических вариантов проверки кто именно проставил подпись вы так и не предложили.

                                                                              В том и смысл, что эти варианты не должны оговариваться и только в этом случае все будет работать! Именно это отличает предложенное от того, как оно работает сейчас.
                                                                              Если в результате любой проверки (какой угодно) будет установлена недостоверность сведений — сертификат признается не вступившим в действие и конец истории. Признаете в суде, конечно. Все в точности так, как это работает с обычными подписями.


                                                                              Еще раз, вся разница в том что обычную подпись вы в суде, приведя аргументы, можете признать поддельной, а ЭЦП — нет. Не в том проблема, что это трудно доказать — доказать это можно элементарно (по крайней мере вот в таких вот случаях мошенничества). Проблема в том что какие бы у вас ни были доказательства просто отсутствует соответствующая процедура.


                                                                              Других способов «убедиться» у вас просто не существует.

                                                                              Как же не существует? Существует. Напоминаю, что мне не в достоверности надо убедиться, а в недостоверности.
                                                                              Вот предоставляет мне центр скан с поддельной фотографией, я приношу его в суд, и все — мы наглядно убедились в недостоверности сведений.

                                                                                0
                                                                                от доверенности на выпуск ЭЦП не требуется, чтобы она была нотариально заверенной
                                                                                Это справедливо только для сертификатов юридических лиц, и, вероятно, как раз этот момент в законодательстве и стоило бы уточнить. Поэтому нет, в общем случае подделка электронной подписи не сводится к подделке обычной.
                                                                                В случае с обычной подписью — вы просто через суд без каких-либо проблем доказываете, что подпись поддельная. В случае ЭЦП — ну у вас просто нет аутов, т.к. по закону даже тот факт, что подпись ставили не вы, не освобождает вас от юридических последствий этой подписи.
                                                                                Ошибаетесь, точно также сейчас это работает и с электронной подписью.
                                                                                Почему же без достаточных доказательств? С достаточными.
                                                                                Вы же понимаете, что с достаточными означает долгий путь через суд с экспертизами и т. д. Ничего очевидного тут не будет, УЦ будет настаивать на том, что они регламент не нарушили. В общем, к сожалению, ничего нового этими изменениями вы не привнесете. Вы даже не описали что такое
                                                                                сертификат признается не вступившим в действие
                                                                                Как такой сертификат отличить от вступившего в действие? Где хранятся сведения о таких сертификатах?
                                                                                  0
                                                                                  Это справедливо только для сертификатов юридических лиц, и, вероятно, как раз этот момент в законодательстве и стоило бы уточнить.

                                                                                  Это уточнение ничего кардинально не изменит.


                                                                                  Ошибаетесь, точно также сейчас это работает и с электронной подписью.

                                                                                  Нет, не работает. Иначе бы ситуации обсуждаемого мошенничества были бы невозможны — как они невозможны для обычной подписи (т.е. формально они возможны, но поскольку с признанием обычной подписи поддельной никаких проблем нет, то такое мошенничество просто не выгодно).
                                                                                  От того что вы в суд придете и докажете, что подпись не ставили, ничего не изменится, если это ЭЦП. Т.к. в случае ЭЦП тот факт, что вы не ставили подпись не избавляет вас от ее юридических последствий.


                                                                                  Вы же понимаете, что с достаточными означает долгий путь через суд с экспертизами и т. д. Ничего очевидного тут не будет, УЦ будет настаивать на том, что они регламент не нарушили.

                                                                                  А при чем тут нарушение регламента? Речь как раз о том, что регламента никакого УЦ не нарушил — он выполнил все действия, которые должен был выполнить по закону. Но, поскольку сведения (пост-фактум) оказываются недостоверные, то сертификат признается не вступившим в действие. При чем тут регламент?
                                                                                  И во всех обсуждаемых случаях мошенничества все доказывалось совершенно тривиально. Зачастую там даже не надо никаких документов, а просто факт того, что вас не было и быть не могло в момент получения подписи в УЦ, т.к. вы находились в другом городе.


                                                                                  Вы даже не описали что такое

                                                                                  Понятие "действия сертификата" в законе и так используется:
                                                                                  "Сертификат ключа проверки электронной подписи действует с момента его выдачи, если иная дата начала действия такого сертификата не указана в самом сертификате ключа проверки электронной подписи. "


                                                                                  С-но если сведения недостоверны — то сертификат ни с какого момента не действует.


                                                                                  Как такой сертификат отличить от вступившего в действие? Где хранятся сведения о таких сертификатах?

                                                                                  Нигде, точно так же как нигде не хранятся сведения о поддельных подписях. Любая подпись может пост-фактум оказаться поддельной (с последующим превращением подписанного ей документа в тыкву), и у вас нет никакого способа гарантировать, что это не так. И не должно быть.


                                                                                  Естественно, по логике вещей, если окажется что сертификат — тыква, то его следует сразу отзывать. Но это уже несущественные детали.

                                                                                    0
                                                                                    Это уточнение ничего кардинально не изменит.
                                                                                    Изменит, если запретить выдачу сертификатов не по нотариальным доверенностям.
                                                                                    просто факт того, что вас не было и быть не могло в момент получения подписи в УЦ
                                                                                    Когда кто-то получает сертификат на ваше имя по доверенности, вас и не должно там быть, поэтому ваше отсутствие не доказывает ничего.
                                                                                    Нигде, точно так же как нигде не хранятся сведения о поддельных подписях.
                                                                                    Теряется смысл использования ЭП, открывается простор для мошенничества с признанием недействительными валидных ЭП

                                                                                    PS Я согласен, что в этой отрасли многое нужно менять, но я абсолютно не согласен, что это просто, ибо результат непродуманности закона об ЭП мы и наблюдаем. К тому же, я думаю вы просто к этой проблеме подходите не с той стороны, простого изменения закона будет недостаточно.
                                                                                      +1
                                                                                      Изменит, если запретить выдачу сертификатов не по нотариальным доверенностям.

                                                                                      Проблема не только в выдачах по доверенностям. Вы пытаетесь лечить симптомы, а не болезнь.
                                                                                      Проблема с ЭЦП на данный момент не в том, как она выдается, а в том, что ее, в отличии от обычной подписи, нельзя оспорить. Эту проблему и надо решать — надо дать возможность оспорить подпись. Что, само по себе, уже влечет неявно отмену нормы "не важно кто и как ставил, важно, что ваша".
                                                                                      Если же оспорить подпись нельзя, то это в любом случае будет приводить к проблемам, какие регламенты не придумывай.


                                                                                      Ну вот представьте себе, что нельзя было бы оспорить обычную подпись. Т.е., если на документе стоит подпись достаточно похожая на вашу — она считается вашей, вне зависимости от любых других фактов (а именно так сейчас это происходит с ЭЦП). И был бы такой же ворох проблем. Но, к счастью, для обычной подписи это не так. Вы можете пойти в суд, сказать что подпись не ваша и подтвердить это фактами. В случае с ЭЦП это не работает.


                                                                                      Когда кто-то получает сертификат на ваше имя по доверенности, вас и не должно там быть, поэтому ваше отсутствие не доказывает ничего.

                                                                                      При чем тут вообще доверенность? Получение по доверенности — лишь один из возможных кейсов.


                                                                                      Теряется смысл использования ЭП

                                                                                      В смысле, теряется, как? Обычная подпись обладает всеми теми же свойствами — в любой момент она может быть оспорена и признана тыквой. И смысл использования обычных подписей от этого не теряется. Смысл ЭЦП исключительно в удобстве применения (вы можете поставить ее электронно), во всем остальном (в том числе в "надежности", т.е. невозможности постфактум ее оспорить) она должна быть полностью эквивалентна обычной.


                                                                                      открывается простор для мошенничества с признанием недействительными валидных ЭП

                                                                                      Как я уже неоднократно говорил — все эти проблемы на практике давно решены законодательством связанным с обычными подписями.
                                                                                      Как вы можете заметить, у нас нет вала мошенников, которые занимаются отменой обычных подписей. Почему? Потому что я выше об этом говорил — в случае мошеннических схем суд признает договор заключенным и без подписи.


                                                                                      PS Я согласен, что в этой отрасли многое нужно менять, но я абсолютно не согласен, что это просто, ибо результат непродуманности закона об ЭП мы и наблюдаем.

                                                                                      Я напоминаю, что у нас уже имеется огромная законодательная практика работы с подписями — с обычными подписями. Что простая, что электронная подпись — это не более чем кусок информации, который клеится к документу. Просто обычная подпись — это "физический" кусок инфы, который клеится к "физическому" документу, а электронная — с-но, электронный кусок, который клеится к электронному.
                                                                                      Нет никаких причин, почему наличие электронной подписи должно за собой влечь последствия иные по сравнению с наличием обычной подписи.
                                                                                      Надо просто эти последствия уровнять, это все. Тогда электронная подпись во всех контекстах будет вести себя как обычная. А с обычной проблем нет.


                                                                                      простого изменения закона будет недостаточно.

                                                                                      Его бы тогда было недостаточно и для обычных подписей. Но с обычными подписями все окей.

                                                                                        0
                                                                                        Мне кажется ваша проблема в том, что вы мешаете в кучу понятия электронной подписи, сертификата открытого ключа и не уделяете внимания техническим деталям. В связи с этим не вижу какого либо смысла спорить на эту тему дальше.
                                                                                          0
                                                                                          Мне кажется ваша проблема в том, что вы мешаете в кучу понятия электронной подписи, сертификата открытого ключа

                                                                                          Нет, не мешаю.


                                                                                          и не уделяете внимания техническим деталям

                                                                                          Потому что проблема не в технических деталях. Она исключительно в юридической плоскости — в отсутствии эквивалентности между ЭЦП и обычной подписью. Как только вы устанавливаете эквивалентность, все сразу будет just works, это доказано практикой в десятки лет.

                                                                                            +1
                                                                                            Просто, в России нет деловой культуры, но есть культура максимизации бюрократии. Вот вас и не понимают. Расскажите людям, что существуют вполне себе законные устные сделки, или что переписка в каком-нибудь вконтактике может быть приравнена к договору, так вообще удивятся. Нам же печати везде подавай.
                                                                                              0

                                                                                              Штука как раз в том, что ЭЦП (как она понимается в современном законодательстве) не эквивалентна обычной подписи. Она эквивалентна "обычной подписи заверенной нотариусом". УЦ — "электронный эквивалент" нотариуса в данном случае. Представьте себе, что вы пытаетесь оспорить в суде свою подпись заверенную нотариусом, а тот заявляет: "да, вот этот самый человек поставил эту подпись. И вот мой журнал и вот в нем запись об этом". Какие у вас в этом случае шансы?
                                                                                              Проблема в том, что в законе уровень доверия к УЦ как к нотариусу, а вот ответственность увы, далеко не такая.

                                                                                                +1
                                                                                                Представьте себе, что вы пытаетесь оспорить в суде свою подпись заверенную нотариусом, а тот заявляет: "да, вот этот самый человек поставил эту подпись.

                                                                                                Но, смотрите, если я докажу, что не ставил (ну, например, докажу что меня просто не было в том месте в то время и, значит, я поставить подпись не мог, а, следовательно, нотариус врет), то таки подпись будет признана поддельной а нотариус — редиской (со всеми вытекающими).
                                                                                                Доказательство же того, что вы не ставили ЭЦП (и не получали) не влияет вообще ни на что.


                                                                                                Т.е., опять-таки, — нотариус сам по себе важен лишь как подтверждение вашего волеизлияния.
                                                                                                С другой стороны, ЭЦП не является подтверждением волеизлияния, она имеет самостоятельный юридический вес.

                                                                                                  0
                                                                                                  Т.е., опять-таки, — нотариус сам по себе важен лишь как подтверждение вашего волеизлияния.

                                                                                                  Это не совсем верно. Нотариус может подтвердить не сам документ, а только подпись на нем. То есть он свидетельствует, что "вот эту закорючку поставил именно тот, чье имя стоит перед закорючкой, и я в этом убедился". Это 100% эквивалент сертификата ЭЦП (или ЭП, как теперь модно выражаться), который подтверждает что (не совсем строго, но верно) "вот этот ключ принадлежит тому, чье имя в нем указано, и я (удостоверяющий центр) в этом убедился".
                                                                                                  Проблема в том, какую ответственность несет нортариус и какую УЦ.
                                                                                                  Вообще, я бы просто возложил выдачу сертификатов на нотариусов и все бы сразу встало на свои места. Тогда в сертификате УЦ стояло бы "УЦ нотариуса Пупкина" и описанная в статье проблема не возникла бы вообще.
                                                                                                  Вот в чем я с вами согласен, так это в том, что в названии "электронная подпись" законодателям бросилось в глаза слово "электронная" и они пошли плясать от технической стороны вопроса. А надо было начинать со слова "подпись", и идти со стороны юридической.

                                                                                                    +1
                                                                                                    Это 100% эквивалент сертификата ЭЦП (или ЭП, как теперь модно выражаться), который подтверждает что (не совсем строго, но верно) "вот этот ключ принадлежит тому, чье имя в нем указано, и я (удостоверяющий центр) в этом убедился".

                                                                                                    Нет, это не эквивалент. Еще раз — в случае с нотариусом вы можете доказать, что подпись ставили не вы, и тогда подпись превратится в тыкву. В случае с ЭЦП вы тоже можете доказать, что подпись ставили не вы — но это ни на что не повлияет, подпись останется вашей законной подписью.


                                                                                                    Однако такой процедуры (прописанной в регламентах) нет и для заверенной нотариусом полписи. И в том, и в другом случае придется идти в суд.

                                                                                                    Не "и в том и другом", а только в случае с нотариусом!
                                                                                                    ЭЦП признать "незаконной" в случаях, в которых незаконной была бы признана обычная подпаись, нельзя! Об этом и речь.
                                                                                                    С-но, если бы было можно — никакой проблемы бы не возникло. Об этом я и говорю — отменить существующую норму о "не важно кто ставил ЭЦП" и реализовать возможность признавать ЭЦП незаконной (поддельной, некорректной, недействительной, не важно) точно так же, как вы можете признать "незаконной" ручную подпись (пусть и нотариально заверенную).
                                                                                                    Каких-то "внесудебных" регламентов отыквивания подписи, конечно, не нужно, все через суд.


                                                                                                    Вообще, я бы просто возложил выдачу сертификатов на нотариусов и все бы сразу встало на свои места.

                                                                                                    Это вообще ничего не меняет. ДА, УЦ будут более ответственно подходить к своей работе — но не более того. Принципиально проблемы остаются.


                                                                                                    Тогда в сертификате УЦ стояло бы "УЦ нотариуса Пупкина" и описанная в статье проблема не возникла бы вообще.

                                                                                                    Почему бы не возникла? Было бы все ровно то же самое.


                                                                                                    Ну и самое главное, если такие случаи (признания ЭП недействительной после ее использования) станут массовыми, это просто подорвет доверие к самому институту ЭП.

                                                                                                    Доверие к институту ручной подписи же не было подорвано? Почему доверие к ЭП подорвет?


                                                                                                    А на том, что в случае фэйла с ЭЦП на стороне гаранта мы имеем неадекватные следствия.

                                                                                                    Именно! Фактически, если следовать этому сравнению с нотариусом — мы в суде доказали, что нотариус редиска, и что он обманывает, и что подпись на самом деле поддельная — и к нотариусу даже, возможно, применяют соответствующие санкции. Только подписанные документы как считались так и дальше считаются действительными.
                                                                                                    Не бред ли?

                                                                                                  0
                                                                                                  Тогда и требования к УЦ и процедуре должны быть, как к нотариусу. И последствия в случае факапа аналогичные.
                                                                                                    0

                                                                                                    Именно! Должны быть.

                                                                                                      0
                                                                                                      Так Druu об этом, по сути, и говорит.
                                                                                                        0

                                                                                                        Он говорит о том, что нужно предусмотреть процедуру признания электронной подписи недействительной. Однако такой процедуры (прописанной в регламентах) нет и для заверенной нотариусом полписи. И в том, и в другом случае придется идти в суд. Но вот последствия, даже в случае положительного решения, будут разные. С нотариуса можно взыскать вред, с УЦ вообще говоря проблематично. Для нотариуса серьезная ошибка скорее всего будет означать потерю бизнеса и возможности заниматься профессиональной деятельностью. УЦ можно просто закрыть и открыть новый.
                                                                                                        Ну и самое главное, если такие случаи (признания ЭП недействительной после ее использования) станут массовыми, это просто подорвет доверие к самому институту ЭП. Кто быдет доверить подписи, которая всеми средствами проверки определяется как "правильная", а потом внезапно оказывается, что это не так?

                                                                                                          0
                                                                                                          Нет проблемы сделать личную ЭП без всяких УЦ, только проверка подлинности будет вызывать вопросы. И нотариус и УЦ это лишь инструмент перекладывания доверия. Но принципиально это ничего не меняет. Есть 2 ситуации
                                                                                                          — нотариус (или суд) признал, что заверил подпись левого мужика под вашим видом.
                                                                                                          — УЦ признал (а в сабже он признал по крайней мере в одном из случаев), что выдал подпись левому мужику.
                                                                                                          Вот и сравните. Очевидно, ни о каком «100% эквиваленте» (как вы заявляете выше) речи не идет.
                                                                                                          всеми средствами проверки определяется как «правильная»
                                                                                                          Эти средства проверки эквивалентны вашей оценке обычных подписей «на глазок». Просто этот «глазок» машинный. ЭП не для людей же.
                                                                                                            0
                                                                                                            Эти средства проверки эквивалентны вашей оценке обычных подписей «на глазок»
                                                                                                            Нет, это скорее похоже на проверку нотариальной доверенности по реестру. То есть, как в случае реестра вы убеждаетесь, что конкретный нотариус действительно выдал эту конкретную доверенность, так и в случае с ЭП вы убеждаетесь, что определенный УЦ подтвердил, что сертификат в подписи принадлежит конкретному человеку.
                                                                                                              0
                                                                                                              Это одно и то же — проверка формальных признаков. Визуальное совпадение подписи с образцом, наличие записи нотариуса и наличие сертификата это проверки одного порядка. Отличается только обьект проверки. Обратите внимание, что о подлинности они ничего не говорят. Они лишь говорят, что некий гарант (которому вы в той или иной степени доверяете) назвал их подлинными.

                                                                                                              Но ваш пример рушится не на этом. А на том, что в случае фэйла с ЭЦП на стороне гаранта мы имеем неадекватные следствия.
                                                                                                                0
                                                                                                                Это одно и то же — проверка формальных признаков.
                                                                                                                До этого вы писали
                                                                                                                Эти средства проверки эквивалентны вашей оценке обычных подписей «на глазок».
                                                                                                                Хотя, согласитесь, что нотариально заверенная подпись которую можно проверить по реестру и обычная подпись далеко не одно и то же в плане надежности проверки.
                                                                                                                Но ваш пример рушится не на этом. А на том, что в случае фэйла с ЭЦП на стороне гаранта мы имеем неадекватные следствия.
                                                                                                                Мой пример ни на чем не рушится, последствия фальсификации заверения подписи никак не относятся к самому процессу проверки подписи.
                                                                                                                Я не знаю о каких конкретно неадекватных следствиях вы говорите, но, опять таки, сравнивая нотариусов и УЦ, а также уровень их ответственности, попробуйте сравнить в том числе стоимость предоставляемых ими услуг.
                                                                                                                  0
                                                                                                                  в плане надежности проверки.
                                                                                                                  В плане надежности гаранта. Но это не принципиально в контексте вопроса.
                                                                                                                  последствия фальсификации заверения подписи никак не относятся к самому процессу проверки подписи.
                                                                                                                  А обсуждаем-то мы тут как раз последствия.
                                                                                                                  Я не знаю о каких конкретно неадекватных следствиях вы говорите
                                                                                                                  Фактически, если следовать этому сравнению с нотариусом — мы в суде доказали, что нотариус редиска, и что он обманывает, и что подпись на самом деле поддельная — и к нотариусу даже, возможно, применяют соответствующие санкции. Только подписанные документы как считались так и дальше считаются действительными.
                                                                                                                  Не бред ли?
                                                                                                                    0
                                                                                                                    Только подписанные документы как считались так и дальше считаются действительными.
                                                                                                                    Не бред ли?
                                                                                                                    То есть нужен механизм позволяющий полностью отозвать сертификат, начиная с даты его выпуска. Я правильно понимаю?
                                                                                                                      0
                                                                                                                      В том числе.

                                                                                                                      И есть еще несоответствие в вашей аналогии. Нотариус заявляет акт подписания а не подпись. УЦ же заявляет саму подпись, как вы заверяете карточку с образцом подписей и печать при открытии рассчетного счета (например). Так что нет, ЭП эквивалентна именно обычной подписи, а не нотариальной. И ее проверка эквивалентна со сверкой подписи с ее образцом в паспорте подписывающего или на карточке с образцами и тд
                                                                                                                        +1
                                                                                                                        То есть нужен механизм позволяющий полностью отозвать сертификат, начиная с даты его выпуска. Я правильно понимаю?

                                                                                                                        Да. Фактически, признать его невыпущенным. На данный момент такой механизм просто отсутствует — если сертификат выпущен по регламенту, то он ваш, конец истории.
                                                                                                                        Если бы указанный механизм был — то проблемы из обсуждаемой статьи решались бы понятным способом (вы получаете из УЦ сканы с поддельными паспортом, идете с ними в суд, суд видит очевидно поддельный паспорт, и отменяет задним числом сертификат). Чтобы не было всяких злоупотреблений — хеш архива со сканами доков и т.п. вещами добавляем в сам сертификат, и кладем архив в ЕСИА вместе с сертификатом. Т.о. с одной стороны данные не потеряются (они будут в ЕСИА) с другой стороны — их нельзя будет подменить (хеш в сертификате, и его нельзя поменять, не заменив в целом сертификат).
                                                                                                                        Но это уже детали тех. реализации, важно само наличие юридического механизма отзыва.

                                                                        0
                                                                        На данный момент поддельная ЭЦП считается действительной

                                                                        Не существует поддельных ЭЦП. Существуют корректные ЭЦП, полученные мошенническим путём. Мошенничество нужно сперва доказать. Затем вам нужно придумать, что делать с отчётностью, которая уже прошла по всем инстанциям, будучи подписанной корректной ЭЦП, полученной мошенническим путём, некоторое время тому назад.
                                                                          0
                                                                          Не существует поддельных ЭЦП. Существуют корректные ЭЦП, полученные мошенническим путём.

                                                                          Вы путаете понятие "поддельный" и "корректный". Естественно, подпись корректная. Но при этом — поддельная. И корректность вообще ни на что не влияет (обычная подпись, например, корректна всегда, даже если это детские каляки-маляки).


                                                                          Мошенничество нужно сперва доказать.

                                                                          Зачем? Если подпись поддельная, то ничего больше доказывать не нужно, этого уже должно быть достаточно для того, чтобы признать договор незаключенным. Так это работает в случае обычной подписи, к которой ЭЦП должна быть приравнена. Совершенно непонятно, почему документ, подписанный обычной подписью, и документ, подписанный ЭЦП, не являются юридически эквивалентными. Это бред.


                                                                          Затем вам нужно придумать, что делать с отчётностью, которая уже прошла по всем инстанциям, будучи подписанной корректной ЭЦП, полученной мошенническим путём, некоторое время тому назад.

                                                                          Еще раз — ничего нового придумывать не надо, все эти проблемы уже давным-давно решены и набрана гигантская практика. С уже прошедшей по инстанциям отчетностью надо делать ровно то же самое, что вы делаете в том случае, если эта отчетность была подписана обычной (письменной) корректной подписью, оказавшейся пост-фактум поддельной — все подписанные документы становятся филькиной грамотой.

                                                                            0

                                                                            Путаете тут вы. Поддельная подпись отличается от настоящей и это доказывается графологической экспертизой этой подписи. ЭЦП не отличается ничем кроме серийного номера. Обладая настоящей ЭЦП и фиктивной, вы не сможете определить которая из них законная. Вам требуется провести экспертизу документов, по которым были оформлены эти ЭЦП, а не сами ЭЦП, которые технически эквивалентны. Только признав поддельными документы, по которым была оформлена ЭЦП, вы можете потребовать отозвать эту ЭЦП и требовать признать юридически ничтожными документы, подписанные этой ЭЦП.

                                                  +3

                                                  … а тем временем один известный банк с зелёным логотипом агрессивно называет сдачу биометрических данных.

                                                    +1
                                                    И вводит кастомные экраны банкоматов, привязанные к логину. Чтобы юзер всегда видел свои привычные операции.

                                                    А потом внезапно можно за денежку посмотреть, кто в каких банкоматах деньги снимает.
                                                    +44

                                                    Как неожиданно, что певцы и боксеры в Думе не смогли предусмотреть такой ситуации и мер для ее разрешения.

                                                      –8
                                                      Они не виноваты. Они здесь как покупатель на рынке краденного товара — просто покупают, что выгоднее, не задумываясь о предистории.
                                                        0
                                                        «Певцы и боксеры в Думе» неглядя подмахивают бумаги, предоставленные консалтинговой фирмой, в которой трудятся знакомые певцов и боксеров, их родственники и родственники нужных людей. Или вы думаете они сами ночи не спят, пишут законы.
                                                        И проблема эта не только российская. Во всём мире так.
                                                          0
                                                          Вроде бы думу консультируют ребята из компании, входящей в Big 4 (являтеся иностранным агентом на территории РФ) — а им показать красивый отчёт с красивыми цифрами важнее, тем более, красивые отчёты вызывают благостное настроение духа и продление контракта.
                                                          Говорят, цифры по московским парковкам презентовали они же.
                                                          Наверняка врут или источнику это снилось /irony
                                                            +1
                                                            Красивый отчет при капитализме — это красивые денежные потоки, которые можно направить в нужном направлении. И только это вызывает благостное настроение и продление контракта.
                                                        +11

                                                        Интересно, получается, что ЭЦП, полученная по подложным документам считается валидной. А, например, печать гендиректора, изготовленная по поддельным документам будет считаться поддельной печатью.


                                                        Где-то тут абстракция рвётся...

                                                          +5

                                                          Пока не все в верхах понимают, что такое ЭЦП, так и будет. Просто они не видят потенциальных проблем, это же прикол с регистрацией всех принтеров в стране, ту раньше все печатные машинки в МВД решались: старым мозгом новые проблемы не всегда решить.


                                                          Кое-где до сих пор электронной подписью считают приаттачить к письму скан подписи начальника!

                                                            0
                                                            да. Хоть ты для них бесплатные курсы открывай.
                                                              0
                                                              Нельзя так. Нужно объявить конкурс, пригласить участников, и только там, в честном соревновании, определится, кто будет учить.

                                                              Но — денег в бюджете на обучение не заложено!

                                                          +2
                                                          Если факт мошенничества обнаружен до окончания отчетного периода, то по-видимому, правильными действиями будет оперативно отправить корректировку, предпринять действия для блокировки фиктивной ЭЦП, проверяя при этом отсутствие мошеннических корректировок «поверх» вашей и обратиться в правоохранительные органы. Каков будет результат – пока непонятно.

                                                          Результата может быть только два: возбуждение уголовного дела по ст. 159 УК либо отказ в возбуждении. Чтобы однозначно возбудились вам надо собрать достоверную базу — записи переговоров с мошенниками, поддельные документы и факт их получения от них, переписка. Лучше сразу идти в органы, а не заниматься самостоятельными блокировками по телефону.
                                                          Далее имеет смысл написать жалобу в Министерство цифрового развития, связи и массовых коммуникаций РФ по факту выявления фальшивых ЭЦП. Получение лицензии для УЦ дело хлопотное (https://digital.gov.ru/ru/appeals/faq/36/), поэтому вылететь с этого рынка может дорогого стоить.
                                                          Что делать если факт мошенничества обнаружен после того как счет уже заблокирован – непонятно.

                                                          В принципе действия те же. В органы — с заявлением. Далее с постановлением следователя/дознавателя о возбуждении пишем в налоговую и пробуем разблокировать счета.
                                                            0
                                                            > имеет смысл написать жалобу в Министерство цифрового развития, связи и массовых коммуникаций РФ по факту выявления фальшивых ЭЦП.
                                                            Сначала должен быть зафиксирован факт выявления фальшивых ЭЦП. Возбуждение уголовного дела, это еще не фиксация факта.

                                                            >с постановлением следователя/дознавателя о возбуждении пишем в налоговую и пробуем разблокировать счета
                                                            Не прокатит, пока не доказано, что использованная подпись — фальшивая, владелец подписи должен платить налоги.
                                                              0
                                                              Сначала должен быть зафиксирован факт выявления фальшивых ЭЦП. Возбуждение уголовного дела, это еще не фиксация факта.

                                                              Верно, не фиксация факта. Но выявление его. Письмо необходимо для оптимизации процессов. Если вас завернут с возбуждением, у вас будет письмо и Министерства о проверке с их стороны.
                                                              Не прокатит, пока не доказано, что использованная подпись — фальшивая, владелец подписи должен платить налоги.

                                                              Так написано же, пробуем.
                                                                +1
                                                                использованная подпись — фальшивая
                                                                не подменяйте понятия, подпись настоящая, от этого столько проблем.
                                                                Она выдана незаконным путём, не авторизованному лицу.
                                                              0
                                                              Росреестр, фактически, признает возможность мошенничества с ЭЦП физических лиц и дает советы как, потратив свое время и деньги, попытаться от подобного мошенничества защититься.

                                                              а можно поподробнее про «деньги»? Про «время» понятно — нужно дойти до МФЦ, а вот причем тут «деньги» в аспекте подачи заявления на запрет регимстрационных действий без личного присутствия, мне пока непонятно
                                                                0

                                                                ЭЦП — личное присутствие.

                                                                  +3
                                                                  Попытаюсь объяснить. В статье говорится только о двух видах мошенничества с ЭЦП — продажа квартиры и регистрация юр. лица.
                                                                  Для защиты квартиры предлагается обратиться в МФЦ, требуется только время собственника на получение услуги в МФЦ.
                                                                  Для защиты от регистрации ЮЛ предлагается сдача в налоговою формы 38001, требуется время и оплата госпошлины от каждого, кто не желает, чтобы на него было что-то зарегистрировано.
                                                                  Так понятнее?
                                                                    0
                                                                    как выяснилось, приход в мфц ничего не даст, а защитить хату поможет только залоговые обязательства(ипотека) либо доля несовершеннолетного, то есть ребенка.
                                                                      0
                                                                      А вы говорите — государство ничего не делает для развития семьи! /irony
                                                                        0
                                                                        извольте, я такого не говорил =) но вот наличие ребенка в доле мне кажется так себе защита. тут надо изучить вопрос на тему.
                                                                          0
                                                                          А можно поподробнее — от чего это защитит? (если много владельцев)
                                                                            0
                                                                            не много владельцев, а обременения в виде залога(ипотека) чтобы снять обременения банка, надо сначала у банка получить документы, что кредит погашен. С наличием в доле детей, там тоже надо предоставлять какие-то бумаги, что дети не ущемлены в правах в результатах этой сделки. то есть это осложняет сделку, даже если кто-то так и купил, то эту сделку можно оспорить, так как нарушены права третьих лиц, как-то так.
                                                                            0
                                                                            На сколько помню, были десятки случаев, когда даже честную сделку купли-продажи квартиры откатывали из-за наличия прописанного ребенка.
                                                                            Погуглил, при прописанном ребёнке, баз штампа органов опёки квартиру не продать, а штамп обставлен ещё несколькими требованиями.
                                                                              0
                                                                              благодарю, выходит ипотека и ребенок в доле/прописанный это своего рода какая никакая, но бронь… =), не могу вам плюсик поставит за помощь в поисках инфы.
                                                                                0
                                                                                Комплексный подход для защиты — ипотека, несовершеннолетний ребёнок и заявление в МФЦ.
                                                                                Правда, если захотите продать такую квартиру — тоже изрядно задолбаетесь.
                                                                                  +2
                                                                                  поход в МФЦ ничего не дает, подпись по ЭП= личное присутствие.
                                                                                  Лучше задолбаться при продаже квартиры, чем при попытках вернуть ее себе.
                                                                          +1
                                                                          Вроде бы 24 июля ввели в Росреестре галку «Разрешаю применять ЭП к своей недвижимости», которая по умолчанию снята и которую надо ставить лично в бумажной форме: tass.ru/nedvizhimost/6697122
                                                                            0
                                                                            о круто, не даром общественный резонанс создавали. хотя нежные единороги не выдерживали и просили не негативить XD
                                                                      +4
                                                                      >Очевидно, что ситуация широко распространена и прекрасно известна налоговым органам.
                                                                      Но план по сбору налогов сам себя не выполнит.
                                                                        0
                                                                        Вы не проверяли по компаниям отчеты в пенсионный фонд, ФСС и прочее? Может, что-то интересное тоже «всплывет».

                                                                        У нас схожая ситуация — в компании из СПб сначала появился «левый» директор (нашего «услали» в Москву в непонятное юрлицо, занимающееся строительством — на этом моменте и обнаружилось), потом «всплыло» НДС (хотя никакого НДС не может быть) и миллиардные(!) обороты, потом непонятные СЗВ-М с неправильными данными сотрудников, поддельной подписью и печатью.
                                                                        И если в НДС может быть экономический смысл (возмещение НДС на «левые» счета, через которые проходили миллиарды денег, участие в цепочке «обнала»), то в СЗВ-М (формы, сдаваемые в пенсионный фонд на работников ежемесячно) смысл — по крайней мере, нам — неочевиден.
                                                                        Пока что написали в удостоверяющий центр, прокуратуру и МВД, по цепочке перенаправлений пришел ответ из МИ ФНС и от провайдера. Если Вам это интересно, напишите в личку, обсудим подробности.
                                                                          +15
                                                                          Опять этот синдром интернета «Ответил в личку».
                                                                          Раз начали, то пишите уже тут всем, всех же может коснуться, что за подход-то то такой?
                                                                            +1

                                                                            Пишите. Интересно!

                                                                              +2
                                                                              а давайте без вот этого вот «напишите в личку». Пишите тут, вместе и обсудим!
                                                                              0
                                                                              Сразу в суд на УЦ который выдал КЭП по поддельным документам.
                                                                                +2
                                                                                Почему если я укажу оборот меньше чем надо, налоговая пересчитает все, и скажет заплатить больше. А если больше чем надо, то они не будут пересчитывать?
                                                                                  +1
                                                                                  мы можем заблокировать ЭЦП и не принять отчетность только в случае подозрения на незаконную деятельность
                                                                                  Я правильно понимаю, у ФНС настолько «крутые» архитекторы и безопасники, что в их регламентах возможность компрометации подписи в принципе не учитывается? Но это же косяк, который даже в институтском курсовом проекте завалят и заставят всё переписывать. После такого уже возникают сомнения, а можно ли вообще при таком уровне бардака и профнепригодности что-то исправить?
                                                                                    –3
                                                                                    Когда люди, использующие КЭП, перестанут хранить приватные ключи на рабочих столах, то, безусловно, что-то исправить будет можно.
                                                                                      0
                                                                                      Простите, вы о чём сейчас? От того, что снизится количество утечек подписей, как-то изменится проблема, что утёкшую подпись принципиально невозможно отозвать?
                                                                                        0
                                                                                        Нет, я просто дополнил Ваши слова.
                                                                                          +2
                                                                                          Вы, извините слегка не в тему. Вы можете хранить свои ключи в банковской ячейке, это не помешает злоумышленнику оформить на вас вторую копию в не слишком внимательном УЦ и подписать что угодно без вашего ведома. А доказывать, что подпись оформлена незаконно придется вам, и возможно уже после того как ваш счет и имущество будут арестованы за долги.
                                                                                      0
                                                                                      В светлой теории, наверное, правильнее сначала заблокировать фиктивную ЭЦП и затем найти кто-же должен платить.

                                                                                      А напрактике, сначала назначают очевидного виноватого и взыскивают с него деньги.

                                                                                      Можно задать вопрос иначе. В чьих интересах написан ваш «инситутский» регламент, и в чьих интересах действующий.
                                                                                        0
                                                                                        действующий в интересах опг =)
                                                                                      0

                                                                                      У меня тут вот по прочтению закона об ЭЦП интересный вопрос возник. В соответствии с законом, сертификат действителен с момента выдачи. Порядок выдачи в законе прописан. Если есть документальное подтверждение тому, что порядок выдачи был нарушен, то можно ли считать сертификат выданным (и действительным, с-но)? Ну а если сертификат недействителен, то подпись — тоже не действительна.

                                                                                        0
                                                                                        Пишут, что для УЦ нет единого регламента удостоверения личности и каждый УЦ устанавливает свои правила удостоверения. В результате Петя может получить ЭЦП Васи и подписывать за Васю всё что угодно, и Вася об этом не узнает, пока жареный петух не клюнет.
                                                                                        После этого, перед Васей встает задача доказать, что ЭЦП выдана незаконно. В чем ему удачи и терпения.
                                                                                        +1
                                                                                        Вы заблокировали ЭЦП просто по звонку (неизвестно от кого)? Не беспокойтесь, это стандартная процедура, если возникает подозрение на незаконные действия, мы сразу так поступаем.
                                                                                        Ещё один вид мошенничества с ЭЦП: злоумышленник звонит и сообщает о своих подозрениях по поводу вашей настоящей ЭЦП?
                                                                                          +3
                                                                                          Причем где-нибудь за час до конкурса, в котором вы планировали участвовать.
                                                                                          0
                                                                                          Кстати, вот хотят эту брешь закрыть — www.law.ru/news/21518-kompaniyam-stanet-slojnee-poluchit-kvalifitsirovannuyu-elektronnuyu-podpis
                                                                                            +1
                                                                                            На самом деле эта проблема частично решаема, как и проблема утечки персональных данных и т.п. В какой-то момент даже был гостендер на это, но всё скатилось к попилу.
                                                                                            Решалось через заведение через те же Госуслуги единого реестра организаций, имеющих доступ к персональным данным и двойного подтверждения чувствительных действий.
                                                                                            Т.е. чтобы выпустить подпись, нужно было сначала в личном кабинете кликнуть подтверждение доступа к персональным данным, что должно было стать обязательным шагом выпуска ЭЦП. И даже для тех случаев, когда подтверждение не требовалось, в личном кабинете появлялась запись с указанием кто и зачем обращался для удостоверения личных данных. И реестры выданных действительных ЭЦП там же.
                                                                                            Но всё скатилось в попил, тем более что УЦ не хотят терять независимость, а у них сильное лобби.
                                                                                              0
                                                                                              Как вы считаете, какое лобби заинтересовано в отсутствии регламента и контроля за выдачей ЭЦП?
                                                                                                0
                                                                                                конечно, а иначе как дела за счет, как они называют рядовых граждан, терпил дела воротить?
                                                                                                а вот теперь пойди и докажи, что ты не верблюд? а ведь это способ не только бабло отмыть/получить, а еще конкурентов убрать, пока он там полгода/год бегает судится, он теряет доходы и так далее.
                                                                                                с другой стороны, если операций с фирмами подделками не было, это же можно доказать движением средств по расчетному счету в банке, не?
                                                                                              0
                                                                                              Цифровая экономика без кибербезопасности путь в никуда.
                                                                                              0

                                                                                              Порядок прописан в ФЗ-63 и в регламенте ГУЦ к котором в обязательном порядке присоединяются все УЦ при аттестации, оформление через интернет — нарушение со стороны УЦ.

                                                                                                0
                                                                                                Спасибо, исправил. Сути это не меняет, ЭЦП выдаются третьим лицам и способа защититься от этого нет.
                                                                                                  0
                                                                                                  От нарушений со стороны УЦ, да, крайне сложно защитится, система защиты заточена на защиту постфактум, в суде. Регулятор крайне слабо их мониторит. Сейчас есть инициативы по сокращению числа УЦ, так как по этому параметру мы впереди планеты всей на душу населения.
                                                                                                    0
                                                                                                    По вашему мнению подобная ситуация (отсутствие защиты/бездействие регулятора/впереди планеты по числу УЦ на душу населения) — это так и было задумано или случайно получилось?
                                                                                                      +1
                                                                                                      Исторически так сложилось, когда был еще ФЗ-1 вместо ФЗ-63 в нем забыли 2-3 абзаца записать о том, что должен сначала ГУЦ появится, а потом уже обычные УЦ проходить процедуру аккредитации. В итоге, мы получили ситуацию с феодальной раздробленностью.
                                                                                                +2

                                                                                                Мне кажется или что-то в России очень сильно сломалось? Недавно я отправил жалобу на то, что Фонд Содействия Инновациям не принимает электронные подписи, сделанные не в КриптоПро? и прямо требует в своей инструкции установки КриптоПро. Я отправил эту жалобу в ФАС, идентифицировавшись через ЕСИА, привел ссылку на документы, загрузил документы, привел пункты законов об электронно-цифровой подписи, которые по моему мнению нарушаются и получил отписку от ФАС (в которой даже моё отчество перепутали). Как Вам такое saipr?
                                                                                                До этого я подавал жалобу в МВД о шуме, на которую никто не отреагировал. Еще до этого на врача в минздрав, за то, что врач-стоматолог пыталась мне продать из под полы гомеопатическое средство от всего на свете, которое и воспаление десен снимет, а вообще "оно еще и от радиации избавляет, и от рака лечит". Минздрав написал, что обращение отклонено по какой-то причине, а через неделю пришел ответ, что врач (высшей категории) получит выговор.
                                                                                                Я сейчас делаю PhD в Германии, и Россия мне нравится гораздо больше по многим критериям, но, судя по всему, Россию лучше любить издалека.

                                                                                                  +1
                                                                                                  Мне кажется или что-то в России очень сильно сломалось?
                                                                                                  Вы это только сейчас начали замечать? Серьезно?
                                                                                                    +1
                                                                                                    А в ней что то было нормально с тех пор как от язычества отказались? )
                                                                                                    +1

                                                                                                    А чему вы удивляетесь? У нас нет виноватых среди власть придержищих (вернее стоящих у кормушки). Сам все через это прошел. Ответ один — обращайтесь в суд, только суд может решить правильно нет нет. А суд выносит решения, т которых волосы дыбом встают.Правильно ли у меня отняли имущество и т.д. и т.п. И никто не смотрит, что подпись поддельная, дарственная и вовсе не подписана, но заверена. Что мне рассказывать. А на кого уповать не понятно.
                                                                                                    Вы приняли решения и меня тоже вынуждают принять такое же решение. Удачи вам.

                                                                                                      0
                                                                                                      Чуть позже вы узнаете что контейнер ключа выданный в УЦ чаще всего ничем кроме КриптоПро не прочтешь — они делают только проприетарные контейнеры.
                                                                                                        0

                                                                                                        Я, к счастью, смог настоять в УЦ, чтобы сертификат выпускали по моей ключевой паре, зашитой в активный токен.

                                                                                                      +2
                                                                                                      Удостоверяющих центров много, но населенных пунктов еще больше. Никто не хочет ехать в соседний регион, а то и дальше, чтобы получить ЭЦП непосредственно в УЦ.
                                                                                                      Поэтому УЦ создают свою партнерскую сеть. Партнеры должны проверить документы, сгенерировать ключ на носителе, отправить запрос в УЦ, получить сертификат и выдать его клиенту. По хорошему, если Партнер серьёзный, то у него должны быть лицензии ФСБ на работу с криптографической информацией. Лицензии влекут за собой требования к помещениям, сотрудникам и периодические проверки ФСБ. Поэтому найти такого Партнера сложно. Некоторые УЦ находят Партнера попроще и заключают с ним не партнерский договор, а договор на аренду 2-х квадратных метров его помещения и «как-бы» берут на работу к себе его сотрудника. Это позволяет продавать ЭЦП от имени УЦ (я даже видел, когда УЦ дает такому партнеру свою печать №...) и прикрываться лицензиями УЦ. Такие конторки называют типа «Центр проверки документов».
                                                                                                      В итоге в такой центр проверки документов может запросто прийти «левое» лицо с подделанным паспортом, подделанной доверенностью. А может и просто договорится с сотрудником «по тихому». А может разведет на жалость «Ой я забыла, а ехать неохота. Я вам потом подвезу». В любом случае ЭЦП будет выпущена, а ксерокопии документов (в зависимости от договора) отправятся в УЦ почтой России раз в квартал.

                                                                                                      Это случай, когда могут создать действительно «другую» ЭЦП с реквизитами жертвы. Но не надо исключать и банальную кражу или внутрикорпоративный саботаж.

                                                                                                      Ключ с внедренной ЭЦП может быть создан на обычной флешке и в этом случае дублируется простым копированием. Ключ может быть установлен в реестр ноутбука, украденного или взятого «попользоваться» домой. Да и как-то не заметил заявок на отзыв сертификата после утери. На это просто «забивают». Если «левая» отчетность будет подписана этим сертификатом, то уже ничего не поможет. Подпись будет именно та, которую «жертва» получила лично.
                                                                                                        0
                                                                                                        Суть проблемы в следующем: каждый УЦ может использовать свои правила удостоверения личности, в т.ч. по копиям документов через интернет.


                                                                                                        Суть проблемы не в этом. УЦ не может использовать «свои правила». Согласно ФЗ-63 выдача сертификата квалифицированной ЭП должна проводиться только при личной явке.

                                                                                                        Суть проблемы я бы сказал в том, что ответственность за нарушение этого пункта закона либо не прописана (я не в курсе), либо органы не очень то следят и расследуют эти нарушения.

                                                                                                        Есть ли возможность подать в суд на УЦ? Гражданский иск. Доказать, что в момент выдачи сертификата (дата ведь известна) вы находились в другом месте, в другом городе (алиби, свидетели и тд), подпись на печатной форме не ваша (вот и графологам найдется применение). И привлечь за моральный и материальный ущерб.

                                                                                                        А потом на основании вынесенного решения уже в ту инстанцию которая вас терроризирует.
                                                                                                          0
                                                                                                          А потом окажется что это был ваш брат близнец и УЦ не имел возможности отличить вас от не вас.
                                                                                                          Или УЦ честно был введён в заблуждении использованием актёра с хорошо подделаны паспортом.
                                                                                                          И что? Преступные действия были выполнены мошенником, а не кристально честными людьми из УЦ.
                                                                                                          Хоть двадцать исков, они потерпевшие. Как и вы.
                                                                                                            0
                                                                                                            ОК. согласен.
                                                                                                            значит вся надежда на СК… ((
                                                                                                              +1
                                                                                                              Вот поэтому не надо ничего изобретать самодельного, достаточно просто задействовать НОТАРИУСА!
                                                                                                              Вот почему-то у нотариусов, лично несущих ответственность за свои удостоверения, в отличие от кристально чистых людей из УЦ, как-то не возникает больших проблем с актёрами и близнецами.
                                                                                                              0
                                                                                                              > привлечь за моральный и материальный ущерб
                                                                                                              > потом на основании
                                                                                                              У вас есть опыт подобных действий, или вы чисто теоретически? На практике, посмотрите предыдущую статью — у автора даже заявление не приняли, посмотрите то что я написал — следственные действия идут больше года, а пока арестованы счета компании и личное имущество. В гугле забейте в поиск «Цифроотъём» — первая ссылка, там еще один пример того как у человека заявление в правоохранительные органы не принимают. Там-же еще один случай продажи квартиры, помимо того что обсуждался тут.

                                                                                                              > Суть проблемы не в этом. УЦ не может использовать «свои правила». Согласно… выдача… должна
                                                                                                              А на заборе написано одно, а за забором лежит другое. По факту, УЦ могут и используют всё что хотят и никому ничего не должны. Должен потом потерпевший гражданин доказывать, что он не совершал противоправных действий. И жирность (и цвет) шрифта ситуации не меняют.
                                                                                                                0
                                                                                                                ну не надо сравнивать то что написано на заборе с тем что написано в законе… УЦ должны. И фраза в начале статьи неверная (про то что все уц делают что хотят и работают по своим правилам).
                                                                                                                Но и я тоже не совсем прав: гражданский иск ничего не решит.
                                                                                                                0
                                                                                                                Суть проблемы не в этом. УЦ не может использовать «свои правила». Согласно ФЗ-63 выдача сертификата квалифицированной ЭП должна проводиться только при личной явке.

                                                                                                                Она и производится при личной явке. Но вам ведь надо как-то удостовериться, что пришедшее лицо — это то самое лицо?

                                                                                                                –2
                                                                                                                Уважаемый автор!
                                                                                                                ЭЦП уже нет как 8 лет. Вместо нее ЭП.
                                                                                                                Забавно обсуждать законодательство, не зная что обсуждаем.
                                                                                                                  0
                                                                                                                  Уважаемый комментатор"
                                                                                                                  С советом по поводу корректности терминологии обратитесь, к примеру в КриптоПро, лидера, цитирую, «по распространению средств криптографической защиты информации и электронной цифровой подписи». Или в налоговую. Объясните им, насколько они не в курсе законодательства и забавны вам.
                                                                                                                    0
                                                                                                                    Объясните им, насколько они не в курсе законодательства и забавны вам.

                                                                                                                    Можете позвонить в КриптоПро и спросить, если у них продукты для формирования ЭЦП.

                                                                                                                    Вы проводите анализ ситуации в текущем законодательстве, но термины даже не изучили.
                                                                                                                    Суды не примут подпись с ЭЦП как достоверную, даже если она технически правильная. И никакого мошенничества с ЭЦП не может быть, т.к. она ничтожна. И ни один УЦ последние 5 лет карл не выдавал ЭЦП.

                                                                                                                    Вот ссылка на закон. Вот про ЭЦП: Документ утратил силу или отменен

                                                                                                                    Зачем вводить читателей в заблуждение?

                                                                                                                    КриптоПро:
                                                                                                                    Компания КриптоПро сегодня это:
                                                                                                                    полный спектр консалтинговых услуг по применению ЭП;
                                                                                                                    полный спектр услуг удостоверяющего центра;
                                                                                                                    полный спектр услуг по применению ЭП;
                                                                                                                    интеграция с ведущими российскими и зарубежными IT решениями;
                                                                                                                    квалифицированная компьютерно-техническая экспертиза ЭП в судах всех инстанций.

                                                                                                                    Компания КриптоПро является разработчиком и поставщиком средств применения ЭП в автоматизированных информационных системах. Используя накопленный богатый опыт разработки, внедрения и сопровождения средств применения ЭП, а также кадровый потенциал сотрудников компании, мы предлагаем консультационные услуги по обеспечению деятельности удостоверяющих центров и применению ЭП в автоматизированных информационных системах предприятий различных форм собственности.

                                                                                                                    Налоговая:
                                                                                                                    Раз
                                                                                                                    Два
                                                                                                                –1
                                                                                                                Извините, что не про суть, а про форму, но надеюсь, будет полезно.
                                                                                                                Вы, конечно, имели в виду двоеточие:
                                                                                                                «ЭЦП: еще один вид мошенничества»

                                                                                                                Потому что текущий вариант «ЭЦП – еще один вид мошенничества» означает другое, что, мол, ЭЦП сама и есть новый вид мошенничества.
                                                                                                                  0
                                                                                                                  Ну, судя по тому, что явление носит распространённый характер, и налоговая делает «морду кирпичом», то видимо весь это процесс и происходит по благословению или вообще по инициативе налоговой. Выгода-то для них очевидна, собираемость налогов растёт! Ну да, и ещё плюс мелкий гешефт для подручных мальчиков…
                                                                                                                    +1
                                                                                                                    Давайте на время забудем ЭЦП и представим, что налоговую отчетность сдают на бумаге, и отправляют обычной почтой. Подписывают соответственно рукой уполномоченного лица и ставят печать.

                                                                                                                    Предположим, вредители вместо вас на бумаге сдали кривой отчет. Подделав подписи и печати.

                                                                                                                    Что бы вы предложили в качестве меры по предотвращению подобных случаев в будущем?

                                                                                                                    Стали бы предлагать отказаться от ручных подписей и печатей?
                                                                                                                    Стали бы на налоговую вешать ответственность за проверку ручных подписей и печатей?
                                                                                                                      0
                                                                                                                      Можно придумать разные алгоритмы, но я лучше задам вопрос.

                                                                                                                      Почему раньше не было таких случаев? Подписи и печати подделывают со времен изобретения письменности. Какие другие обстоятельства в конце 2010-х сложились так, что можно что-то поиметь сдав за другого поддельную отчетность?
                                                                                                                        0
                                                                                                                        И что же произошло в 2010г?
                                                                                                                          0
                                                                                                                          Какие другие обстоятельства в конце 2010-х сложились так, что можно что-то поиметь сдав за другого поддельную отчетность?

                                                                                                                          Все очень просто — если кто-то чужой поставит на документе вашу ручную подпись, то вы за эту подпись ответственности по закону не несете (логично, она же поддельная). А если кто-то поставит вашу ЭЦП — несете.

                                                                                                                            0
                                                                                                                            Тут надо уточнить, что значит «ваша ЭЦП».
                                                                                                                            Если ЭЦП, которую вы получили лично, соблюдая все необходимые нормы, то такая ЭЦП ваша. И вы несете полную ответственность за подписанные с помощью нее документы.

                                                                                                                            Если ЭЦП получена на ваше имя без вашего законного волеизъявления, то такая ЭЦП условно ваша. Т.е. в ее реквизитах указано ваше имя, но т.к. получена эта ЭЦП была без соблюдения всех норм, то все подписанное с помощью нее, не является действительным. Да, доказать незаконность таких подписанных документов, это отдельная история. Да, техническая реализация решений, связанных с ЭЦП, в том числе по проверке валидности ЭЦП, хромает. Но в законодательстве все необходимое уже есть.
                                                                                                                              0
                                                                                                                              Тут надо уточнить, что значит «ваша ЭЦП».

                                                                                                                              Согласно закону — та, которая выдана на ваше имя. Кто ее получал и как — совершенно не важно до тех пор, пока она выдана согласно регламенту.
                                                                                                                              Закон не производит никакого разделения между подписями, полученными "с вашим волеизъявлением" и "без вашего волеизъявления" (а вот в случае с ручной подписью — производит).

                                                                                                                                0
                                                                                                                                Все-таки немного не так.
                                                                                                                                Примерно как с доверенностями.
                                                                                                                                Если доверенность выпущена без вашего участия от вашего имени, это недействительная доверенность (при этом у большинства участников нет возможности проверить ее валидность).
                                                                                                                                Ровно то же самое относится и к квалифицированному сертификату.

                                                                                                                                Кто ее получал и как — совершенно не важно до тех пор, пока она выдана согласно регламенту.

                                                                                                                                Важно. УЦ обязан удостовериться, что вы это вы.
                                                                                                                                Если это было выполнено с нарушением, что ЭЦП недействительна. Решение об этом выносит суд.
                                                                                                                        0
                                                                                                                        del
                                                                                                                          0
                                                                                                                          Можно считать, что история завершена. За прошедшие два месяца были написаны заявления в налоговую, прокуратуру, ОВД и Министерство связи. ОВД по результатам проверки направила данные в ОБЭП и прокуратуру. Прокуратура, по результатам проверки — в налоговую. Налоговая рекомендовала обратиться в минсвязи. Минсвязи ответило: на вас зарегистрировано два сертификата, за защитой ваших прав, свобод и законных интересов вы можете обратиться в ОВД и прокуратуру. Круг замкнулся. Пока нет ответа от ОБЭП, но, поскольку экономического преступления не совершено, очевидно, это тоже тупик.

                                                                                                                          По первому случаю, есть некоторый прогресс — счета разблокированы. Правда, за время следственных действий набежали пени на >10т.р.

                                                                                                                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                                                          Самое читаемое