Вчера 18 августа компании КРИПТО-ПРО исполнилось 25 лет, календарь мне сообщил об этом только сегодня 😄
25-летний юбилей лидера отечественной криптографии - значимое событие для всей отрасли информационной безопасности в России.
Криптопровайдер КриптоПро CSP является самым распространенным в нашей стране и известен всем пользователям средств электронной подписи, желаю компании, её сотрудникам (со многими из которых знаком и рад их видеть среди подписчиков канала), чтобы новые продукты также успешно внедрялись и закреплялись на рынке электронной подписи!
Please open Telegram to view this post
VIEW IN TELEGRAM
🛠️Восстановление доступа к учётной записи ЕСИА - новые правила в законопроекте об антифроде
Осенью будет принят второй закон в части борьбы с кибермошенничеством, вносящий изменения в статью 4 Федерального закона от 29.12.2022 № 572-ФЗ (о ЕБС).
Согласно проекту, если доступ физического лица к его учетной записи в Единой системе идентификации и аутентификации (ЕСИА) ограничен из-за несанкционированного доступа третьих лиц, восстановление возможно через:
🔹Единую биометрическую систему
🔹Официальный сайт банка или мобильное приложение, позволяющее открывать рублевые счета (вклады) или получать рублевые кредиты
🔹Многофункциональный сервис обмена сообщениями (госмессенджер)
🔹Личное посещение МФЦ
Правительство России определяет случаи, когда изменение сведений в ЕСИА возможно только одним из способов, перечисленных выше, а также перечень таких сведений.
Почему у законодателя такое недоверие к аутентификации по квалифицированным сертификатам для подтверждения личности? Этот способ удалённой идентификации выглядит куда удобнее и надежнее, чем некоторые из перечисленных выше способов. Получить новый квалифицированный сертификат по 63-ФЗ возможно, а восстановить доступ к учётной записи ЕСИА - нет, абсурд какой-то.
18 марта наш канал первым высказал идею использования КЭП для снятия замозапрета на кредит, норма была принята в рамках 41-ФЗ и вступила в силу 1 июня.
✍️ Об ЭП и УЦ
Осенью будет принят второй закон в части борьбы с кибермошенничеством, вносящий изменения в статью 4 Федерального закона от 29.12.2022 № 572-ФЗ (о ЕБС).
Согласно проекту, если доступ физического лица к его учетной записи в Единой системе идентификации и аутентификации (ЕСИА) ограничен из-за несанкционированного доступа третьих лиц, восстановление возможно через:
🔹Единую биометрическую систему
🔹Официальный сайт банка или мобильное приложение, позволяющее открывать рублевые счета (вклады) или получать рублевые кредиты
🔹Многофункциональный сервис обмена сообщениями (госмессенджер)
🔹Личное посещение МФЦ
Правительство России определяет случаи, когда изменение сведений в ЕСИА возможно только одним из способов, перечисленных выше, а также перечень таких сведений.
Почему у законодателя такое недоверие к аутентификации по квалифицированным сертификатам для подтверждения личности? Этот способ удалённой идентификации выглядит куда удобнее и надежнее, чем некоторые из перечисленных выше способов. Получить новый квалифицированный сертификат по 63-ФЗ возможно, а восстановить доступ к учётной записи ЕСИА - нет, абсурд какой-то.
18 марта наш канал первым высказал идею использования КЭП для снятия замозапрета на кредит, норма была принята в рамках 41-ФЗ и вступила в силу 1 июня.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Правительство России
Утвержден план мероприятий по реализации Концепции государственной системы противодействия ИТ-преступлениям
Документ включает комплекс мер по совершенствованию законодательства, техническому противодействию злоумышленникам и повышению цифровой грамотности населения.
⚡️ Среди ключевых направлений плана – совершенствование законодательства и межведомственное взаимодействие. Работа по подготовке антимошеннических мер ведется под кураторством вице-премьера Дмитрия Григоренко.
⚡️ Концепция государственной системы противодействия ИТ-преступлениям была утверждена в декабре 2024 года. Данное решение принято в соответствии с указом Президента о национальных целях развития.
Подробнее – в карточках и на сайте Правительства.
🇷🇺 Новости Правительства России
Документ включает комплекс мер по совершенствованию законодательства, техническому противодействию злоумышленникам и повышению цифровой грамотности населения.
«Правительство на системной основе усиливает меры по защите граждан от мошенников. Уже принят и реализуется комплекс из 30 первоочередных мер, вступил в силу закон об уголовной ответственности для дропперов. Утвержденный план – это еще один шаг в создании эффективной системы противодействия телефонным и интернет-мошенникам. Он синхронизирует работу всех ведомств для достижения общей цели – формирования комфортной и безопасной цифровой среды», – отметил Дмитрий Григоренко.
Подробнее – в карточках и на сайте Правительства.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Простая электронная подпись (ПЭП) стала неотъемлемой частью нашей цифровой жизни — от банковских операций до получения государственных услуг (часть 1). Однако за видимым удобством скрывается глубокий системный кризис, превративший этот инструмент из потенциально полезного механизма в опасный технологический суррогат, не обеспечивающий ни безопасности, ни юридической значимости.
У бизнеса просто отсутствуют стимулы делать процессы безопаснее, когда кажется, что закон позволяет делать их дешевле и быстрее. Все риски при этом несут конечный потребитель и судебная система. 63-ФЗ предъявляет требования, когда документ, подписанный ПЭП, признаётся равнозначным документу, подписанному собственноручной подписью. На практике это не соблюдается, о чем свидетельствуют решения Верховного Суда (1, 2)
Яркой иллюстрацией системных проблем ПЭП стала ситуация в Республике Алтай, где в одном районе наблюдается высокий уровень невозврата займов микрофинансовым организациям. Из 2047 гражданских дел, рассмотренных мировым судьей района в первом полугодии 2025 года, 97,4% касались взыскания задолженности по договорам займа, в основном микрозаймов.
Большинство этих договоров были оформлены онлайн с использованием простой электронной подписи. Для получения займа требовались паспортные данные, номер телефона и код подтверждения из SMS. Не разбираясь в вопросе региональный Минюст публикует свою ошибочную позицию:
при наличии идентификации личности, подтверждённого согласия на заключение договора (через SMS-код) и факта получения денежных средств, договор займа, заключённый в электронной форме, имеет юридическую силу и может быть основанием для обращения в суд о взыскании задолженности.
За 14 лет существования 63-ФЗ мы получили не отлаженный механизм, а системный сбой:
1. Законодатель создал гибкий инструмент и не выстроил защиты от злоупотреблений по трактовке норм 63-ФЗ.
2. Бизнес максимально использовал эту гибкость для удешевления процессов, переложив риски на потребителя.
3. Пользователь оказался в заведомо проигрышном положении, неся ответственность за безопасность технологии, которую не создавал.
4. Суды вынуждены латать дыры плохого закона, принимая противоречивые решения.
Классическая собственноручная подпись, а также НЭП или КЭП — это автономный артефакт, физическое свидетельство волеизъявления конкретного лица в конкретный момент. Их можно проверить независимо, они существует отдельно от системы, в которой был создан документ.
ПЭП — это не артефакт, а событие в системе. Это не пользователь лично фиксирует подпись, а платформа интерпретирует его действие (нажатие кнопки, ввод кода) как "подпись" на основе внутренних правил. Самих "подписей" как объектов не существует — есть лишь записи в логах: User_ID, IP, Timestamp, Action.
ПЭП — это не подпись, а юридический механизм атрибуции цифрового действия, облеченный в форму легального термина для обеспечения правовой определенности для массовой цифровой экономики.
ПЭП из потенциально полезного инструмента для низкорисковых операций превратилась в опасный суррогат, создающий иллюзию легальности для рискованных бизнес-моделей. Время не расставило всё по местам, а лишь усугубило перекос, требующий срочного законодательного вмешательства.
Please open Telegram to view this post
VIEW IN TELEGRAM
3
Please open Telegram to view this post
VIEW IN TELEGRAM
Осенью будет принят закон, который нормативно урегулирует деятельность национального удостоверяющего центра. Разберем особенности проектируемых норм в части введения платы за сертификаты:
🔹Отсрочка введения платы за сертификаты НУЦ
- Положение о плате за выдачу сертификатов безопасности национального удостоверяющего центра (НУЦ) вступает в силу с 1 января 2027 года.
- До этой даты сертификаты для коммерческих организаций и физлиц могут выдаваться бесплатно (если иное не предусмотрено соглашениями).
🔹Кто устанавливает плату?
- Оператор государственной информационной системы НУЦ определяет размер платы, но не может превышать предельный размер, установленный Правительством России.
🔹Для кого сертификаты остаются бесплатными?
- Государственные органы, муниципальные учреждения, Банка России и организации из перечня Правительства России получают сертификаты бесплатно (ч. 7 ст. 18.3).
🔹Почему введена отсрочка до 2027 года?
- Техническая и организационная подготовка: необходимо настроить процессы выдачи сертификатов.
- Постепенное внедрение: сначала сертификаты будут выдаваться бесплатно в тестовом режиме, затем, после отладки сервиса выдачи, вводится платная модель.
🔹Последствия для бизнеса и госсектора
- С 2027 года коммерческие организации (не входящие в бесплатный перечень) будут платить за сертификаты НУЦ.
- Размер платы пока не определен – его установит оператор НУЦ, но с верхним ограничением от Правительства.
- Для госструктур и определенных организаций сертификаты останутся бесплатными.
✅ Итого получаем:
🔹 До 2027 года – период бесплатного получения сертификатов НУЦ для всех (кроме случаев, когда плата вводится раньше по отдельным решениям).
🔹 С 2027 года – коммерческие пользователи начнут платить, но в рамках регулируемого тарифа.
🔹 Государственные и определенные организации сохранят бесплатное получение сертификатов.
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
Об ЭП и УЦ
Что наш канал помнит про Национальный удостоверяющий центр, самая полная хронология:
🔹июль 2016, начало создания НУЦ - поручение Президента Пр-1380: Обеспечьте разработку и реализацию комплекса мероприятий, необходимых для поэтапного перехода федеральных…
🔹июль 2016, начало создания НУЦ - поручение Президента Пр-1380: Обеспечьте разработку и реализацию комплекса мероприятий, необходимых для поэтапного перехода федеральных…
⚡️Судебная практика: первый прецедент привлечения доверенного лица УЦ к ответственности за нарушение процедуры идентификации личности заявители
Впервые в российской судебной практике к ответственности было привлечено доверенное лицо удостоверяющего центра за нарушение процедуры идентификации личности при выдаче квалифицированного сертификата (дело А40-163986/24-56-1193). Этот прецедент создает новые ориентиры для распределения ответственности в цепочке взаимоотношений между удостоверяющими центрами, их доверенными лицами и получателями сертификатов.
В роли доверенного лица УЦ выступал ИП, который проводил идентификацию удаленно через мессенджер, что является грубым нарушением п. 1 ч. 1 ст. 18 63-ФЗ. Мошенник в июне 2020 года предоставил поддельный паспорт (с замененной фотографией) и реальные данные ИНН и СНИЛС настоящего владельца недвижимости. Проверка через СМЭВ была пройдена успешно, так как система сверила данные с реальными данными. В результате был выдан сертификат на мошенника, который оформил договор займа (почти 2 млн. руб.) под залог чужой недвижимости и скрылся с деньгами.
Займодавец обратился в суд с иском к УЦ, так как по закону именно УЦ несет ответственность за действия своих доверенных лиц. Удостоверяющий центр возместил убытки займодавцу, но затем предъявил регрессный иск к компании-доверенному лицу, ссылаясь на нарушение договора и регламента идентификации. Доверенное лицо пыталось оспорить иск, предоставив видеозапись, где некий человек подтверждает прохождение идентификации. Суд отклонил это доказательство, указав, что запись могла быть создана кем угодно и не доказывает соблюдение процедуры.
Суд принял решение в пользу УЦ, постановив, что:
🔹Доверенное лицо нарушило закон и условия договора с УЦ, проведя идентификацию онлайн и не затребовав оригиналы документов.
🔹УЦ не виновен в непосредственном нарушении, так как принял все необходимые меры для контроля доверенного лица (имелся регламент, договор).
🔹Ответственность возложена на доверенное лицо, которое должно возместить УЦ все убытки, выплаченные потерпевшему займодавцу .
Рассмотренное дело знаменует собой важный момент в практике применения 63-ФЗ. Оно устанавливает важный прецедент персональной ответственности доверенных лиц за нарушения при идентификации, что способствует становлению более сбалансированной и справедливой системы ответственности.
✍️ Об ЭП и УЦ
Впервые в российской судебной практике к ответственности было привлечено доверенное лицо удостоверяющего центра за нарушение процедуры идентификации личности при выдаче квалифицированного сертификата (дело А40-163986/24-56-1193). Этот прецедент создает новые ориентиры для распределения ответственности в цепочке взаимоотношений между удостоверяющими центрами, их доверенными лицами и получателями сертификатов.
В роли доверенного лица УЦ выступал ИП, который проводил идентификацию удаленно через мессенджер, что является грубым нарушением п. 1 ч. 1 ст. 18 63-ФЗ. Мошенник в июне 2020 года предоставил поддельный паспорт (с замененной фотографией) и реальные данные ИНН и СНИЛС настоящего владельца недвижимости. Проверка через СМЭВ была пройдена успешно, так как система сверила данные с реальными данными. В результате был выдан сертификат на мошенника, который оформил договор займа (почти 2 млн. руб.) под залог чужой недвижимости и скрылся с деньгами.
Займодавец обратился в суд с иском к УЦ, так как по закону именно УЦ несет ответственность за действия своих доверенных лиц. Удостоверяющий центр возместил убытки займодавцу, но затем предъявил регрессный иск к компании-доверенному лицу, ссылаясь на нарушение договора и регламента идентификации. Доверенное лицо пыталось оспорить иск, предоставив видеозапись, где некий человек подтверждает прохождение идентификации. Суд отклонил это доказательство, указав, что запись могла быть создана кем угодно и не доказывает соблюдение процедуры.
Суд принял решение в пользу УЦ, постановив, что:
🔹Доверенное лицо нарушило закон и условия договора с УЦ, проведя идентификацию онлайн и не затребовав оригиналы документов.
🔹УЦ не виновен в непосредственном нарушении, так как принял все необходимые меры для контроля доверенного лица (имелся регламент, договор).
🔹Ответственность возложена на доверенное лицо, которое должно возместить УЦ все убытки, выплаченные потерпевшему займодавцу .
Рассмотренное дело знаменует собой важный момент в практике применения 63-ФЗ. Оно устанавливает важный прецедент персональной ответственности доверенных лиц за нарушения при идентификации, что способствует становлению более сбалансированной и справедливой системы ответственности.
Please open Telegram to view this post
VIEW IN TELEGRAM
Исторический пост. В 2013 году (12 лет назад, Карл!) приказами Минкомсвязи с разницей ровно в 4 месяца были созданы два экспертных совета по вопросам совершенствования:
🔹 электронного документооборота в органах государственной власти
🔹 правового регулирования в области использования электронных подписей
Оба совета являются совещательными (консультативными) органами, то есть их решения носят рекомендательный, а не обязательный характер. Оба созданы для совершенствования ключевых элементов цифровой трансформации государства: в области электронных подписей и электронного документооборота в органах госвласти. Один совет является составляющей другого, без ЭП не возможен ЭДО. Основная задача обоих советов — разработка предложений и рекомендаций по совершенствованию законодательства и практик в своей сфере. Оба призваны обеспечить регулярное взаимодействие Министерства с экспертным сообществом, бизнесом и другими заинтересованными сторонами.
За 12 лет сфера менялась не используя потенциал созданных советов, но состав членов совета - прежний, с председателем О.Б. Паком (в совете по ЭДО нынешний Глава Минцифры М.И. Шадаев в должности Советника Председателя Госдумы).
Итоги работы советов
🔹совет по ЭДО собирался два раза: 12 июля 2013 и 25 августа 2020 (1, 2)
🔹совет по ЭП собирался один раз в декабре 2013
Следующее заседание состоится в январе 2014 года
- не состоялся.
Про совет по ЭП Минцифры вспомнило к PKI-Форуму, про совет по ЭДО информации нет. Материалы заседания первого совета по ЭДО в первом комментарии.
Please open Telegram to view this post
VIEW IN TELEGRAM
🚨 Верховный Суд против банка: важное решение по кредитам через смс
Верховной Суд уже не первый раз выносит определение, отменяющие решения трех нижестоящих судебных инстанций (прошлое решение). Снова оспаривается кредитный договор, заключенный через смс.
В чем суть дела?
🔹Клиент обнаружил, что на него оформлен кредит и договор страхования, которые он якобы подписал через онлайн-банкинг.
🔹 Клиент утверждал, что не делал этого, и в тот же день заявил в полицию о мошенничестве.
🔹Банк настаивал: раз был доступ к онлайн-банку и использован смс-код — значит, клиент дал согласие. Сумма была выдана и переведена третьим лицам.
Что решили суды первой, апелляционной и кассационной инстанций?
Единогласно:«Клиент имел доступ, получил деньги, значит, договор заключен. Отказ от ознакомления с документами — его вина». В иске отказали.
Почему Верховный Суд все отменил?
ВС указал на грубые нарушения нижестоящих судов:
🔹«Смс-код ≠ подпись». Суды не выяснили, можно ли вообще считать ввод смс-кода аналогом собственноручной подписи по закону. Доступ к коду есть не только у клиента.
🔹«А кто же подписал?». Суды проигнорировали заявления истца о мошенничестве. Они обязаны были установить, кто конкретно совершал операции: сам заемщик или третьи лица.
🔹«Внутренние правила банка ≠ закон». Суды проверили, были ли действия по правилам Банка, но не проверили, соответствуют ли эти правила ФЗ «О потребительском кредите» и ФЗ «Об электронной подписи».
🔹Игнорирование позиции ЦБ. Банк России ранее разъяснял, что простое нажатие кнопки «согласен» или звонок по телефону не являются надлежащим подписанием договора. Суды это проигнорировали.
И что в итоге?
ВС отменил все решения и отправил дело на новое рассмотрение. Теперь первой инстанции суда придется скрупулезно разбираться: была ли воля клиента или его подписали мошенники.
💡 Важный вывод для всех: новое определение ещё один мощный сигнал для всех банков и судов, а также региональных Минюстов. Суды не могут слепо доверять внутренним процедурам банков. Нажатие кнопки или ввод смс-кода — еще не доказательство согласия клиента, если есть признаки мошенничества.
Верховной Суд уже не первый раз выносит определение, отменяющие решения трех нижестоящих судебных инстанций (прошлое решение). Снова оспаривается кредитный договор, заключенный через смс.
В чем суть дела?
🔹Клиент обнаружил, что на него оформлен кредит и договор страхования, которые он якобы подписал через онлайн-банкинг.
🔹 Клиент утверждал, что не делал этого, и в тот же день заявил в полицию о мошенничестве.
🔹Банк настаивал: раз был доступ к онлайн-банку и использован смс-код — значит, клиент дал согласие. Сумма была выдана и переведена третьим лицам.
Что решили суды первой, апелляционной и кассационной инстанций?
Единогласно:«Клиент имел доступ, получил деньги, значит, договор заключен. Отказ от ознакомления с документами — его вина». В иске отказали.
Почему Верховный Суд все отменил?
ВС указал на грубые нарушения нижестоящих судов:
🔹«Смс-код ≠ подпись». Суды не выяснили, можно ли вообще считать ввод смс-кода аналогом собственноручной подписи по закону. Доступ к коду есть не только у клиента.
🔹«А кто же подписал?». Суды проигнорировали заявления истца о мошенничестве. Они обязаны были установить, кто конкретно совершал операции: сам заемщик или третьи лица.
🔹«Внутренние правила банка ≠ закон». Суды проверили, были ли действия по правилам Банка, но не проверили, соответствуют ли эти правила ФЗ «О потребительском кредите» и ФЗ «Об электронной подписи».
🔹Игнорирование позиции ЦБ. Банк России ранее разъяснял, что простое нажатие кнопки «согласен» или звонок по телефону не являются надлежащим подписанием договора. Суды это проигнорировали.
И что в итоге?
ВС отменил все решения и отправил дело на новое рассмотрение. Теперь первой инстанции суда придется скрупулезно разбираться: была ли воля клиента или его подписали мошенники.
💡 Важный вывод для всех: новое определение ещё один мощный сигнал для всех банков и судов, а также региональных Минюстов. Суды не могут слепо доверять внутренним процедурам банков. Нажатие кнопки или ввод смс-кода — еще не доказательство согласия клиента, если есть признаки мошенничества.
Forwarded from ЭДО для бизнеса
Количество сертификатов на одного руководителя
Широка наша страна и не всегда информация в разных её частях одинакова.
В УФНС по Забайкальскому краю пока ещё считают, что
На самом деле уже пару лет как регламент УЦ ФНС допускает наличие у руководителя сертификатов по числу технологий хранения закрытого ключа. На текущий момент видится, что в пределе их может быть четыре: токен, "Моя подпись", "Подпись для бизнеса" и "Госключ".
P.S. Хочется напомнить информационным каналам, которые цитируют источники (пусть и государственные), что всегда стоит критически подходить к информации.
🚀 ЭДО для бизнеса
#эп #фнс
Широка наша страна и не всегда информация в разных её частях одинакова.
В УФНС по Забайкальскому краю пока ещё считают, что
юридические лица и индивидуальные предприниматели могут иметь только один квалифицированный ключ электронной подписи для одного владельца. При поступлении заявления о его получении ранее выданные сертификаты УЦ ФНС России аннулируются.
На самом деле уже пару лет как регламент УЦ ФНС допускает наличие у руководителя сертификатов по числу технологий хранения закрытого ключа. На текущий момент видится, что в пределе их может быть четыре: токен, "Моя подпись", "Подпись для бизнеса" и "Госключ".
P.S. Хочется напомнить информационным каналам, которые цитируют источники (пусть и государственные), что всегда стоит критически подходить к информации.
#эп #фнс
Please open Telegram to view this post
VIEW IN TELEGRAM
Спустя два года стрим канала возвращается, приглашаю вас принять участие в онлайн трансляции «Об электронной подписи: ключевые изменения и векторы развития», которая состоится 26 августа в 17:00 на нашем телеграм-канале.
В ходе предстоящего стрима будет проведен экспертный анализ событий, сформировавших текущую ситуацию в сфере электронной подписи.
Please open Telegram to view this post
VIEW IN TELEGRAM
Сегодня многие СМИ перепечатали пресс-релиз VK "МАХ завершил интеграцию с технологией мобильной электронной подписи «Госключ»".
Сам оператор мессенджера на релизы не способен, это же не картинки с интернета воровать.
Как цифровая платформа, информационная система которой не зарегистрирована в ЕСИА и не имеет даже своей мнемоники смогла интегрироваться с Госключом - большой вопрос.
Хотя ответ есть - ровно также, как интегрировался Telegram с Госключом😂 , проверено - работает.
Сам оператор мессенджера на релизы не способен, это же не картинки с интернета воровать.
Как цифровая платформа, информационная система которой не зарегистрирована в ЕСИА и не имеет даже своей мнемоники смогла интегрироваться с Госключом - большой вопрос.
Хотя ответ есть - ровно также, как интегрировался Telegram с Госключом
Please open Telegram to view this post
VIEW IN TELEGRAM