✍️Простая электронная подпись -  иллюзия в цифровую эпоху (часть 2)

Простая электронная подпись (ПЭП) стала неотъемлемой частью нашей цифровой жизни — от банковских операций до получения государственных услуг (часть 1). Однако за видимым удобством скрывается глубокий системный кризис, превративший этот инструмент из потенциально полезного механизма в опасный технологический суррогат, не обеспечивающий ни безопасности, ни юридической значимости.

У бизнеса просто отсутствуют стимулы делать процессы безопаснее, когда кажется, что закон позволяет делать их дешевле и быстрее. Все риски при этом несут конечный потребитель и судебная система. 63-ФЗ предъявляет требования, когда документ, подписанный ПЭП, признаётся равнозначным документу, подписанному собственноручной подписью. На практике это не соблюдается, о чем свидетельствуют решения Верховного Суда (1, 2)

Яркой иллюстрацией системных проблем ПЭП стала ситуация в Республике Алтай, где в одном районе наблюдается высокий уровень невозврата займов микрофинансовым организациям. Из 2047 гражданских дел, рассмотренных мировым судьей района в первом полугодии 2025 года, 97,4% касались взыскания задолженности по договорам займа, в основном микрозаймов.
Большинство этих договоров были оформлены онлайн с использованием простой электронной подписи. Для получения займа требовались паспортные данные, номер телефона и код подтверждения из SMS. Не разбираясь в вопросе региональный Минюст публикует свою ошибочную позицию:

при наличии идентификации личности, подтверждённого согласия на заключение договора (через SMS-код) и факта получения денежных средств, договор займа, заключённый в электронной форме, имеет юридическую силу и может быть основанием для обращения в суд о взыскании задолженности.

За 14 лет существования 63-ФЗ мы получили не отлаженный механизм, а системный сбой:
1. Законодатель создал гибкий инструмент и не выстроил защиты от злоупотреблений по трактовке норм 63-ФЗ.
2. Бизнес максимально использовал эту гибкость для удешевления процессов, переложив риски на потребителя.
3. Пользователь оказался в заведомо проигрышном положении, неся ответственность за безопасность технологии, которую не создавал.
4. Суды вынуждены латать дыры плохого закона, принимая противоречивые решения.

Классическая собственноручная подпись, а также НЭП или КЭП — это автономный артефакт, физическое свидетельство волеизъявления конкретного лица в конкретный момент. Их можно проверить независимо, они существует отдельно от системы, в которой был создан документ.

ПЭП — это не артефакт, а событие в системе. Это не пользователь лично фиксирует подпись, а платформа интерпретирует его действие (нажатие кнопки, ввод кода) как "подпись" на основе внутренних правил. Самих "подписей" как объектов не существует — есть лишь записи в логах: User_ID, IP, Timestamp, Action.

ПЭП — это не подпись, а юридический механизм атрибуции цифрового действия, облеченный в форму легального термина для обеспечения правовой определенности для массовой цифровой экономики.

ПЭП из потенциально полезного инструмента для низкорисковых операций превратилась в опасный суррогат, создающий иллюзию легальности для рискованных бизнес-моделей. Время не расставило всё по местам, а лишь усугубило перекос, требующий срочного законодательного вмешательства.

✍️Об ЭП и УЦ

⚡️Браузер Google Chrome спустя год после предупреждения отключил поддержу расширения для старого плагина Госуслуг (расширения Госплагин это не коснулось)

✍️Национальный удостоверяющий центр и платы за сертификаты💰

Осенью будет принят закон, который нормативно урегулирует деятельность национального удостоверяющего центра. Разберем особенности проектируемых норм в части введения платы за сертификаты:
🔹Отсрочка введения платы за сертификаты НУЦ 
- Положение о плате за выдачу сертификатов безопасности национального удостоверяющего центра (НУЦ) вступает в силу с 1 января 2027 года. 
- До этой даты сертификаты для коммерческих организаций и физлиц могут выдаваться бесплатно (если иное не предусмотрено соглашениями). 

🔹Кто устанавливает плату? 
- Оператор государственной информационной системы НУЦ определяет размер платы, но не может превышать предельный размер, установленный Правительством России. 

🔹Для кого сертификаты остаются бесплатными? 
- Государственные органы, муниципальные учреждения, Банка России и организации из перечня Правительства России получают сертификаты бесплатно (ч. 7 ст. 18.3). 

🔹Почему введена отсрочка до 2027 года? 
- Техническая и организационная подготовка: необходимо настроить процессы выдачи сертификатов. 
- Постепенное внедрение: сначала сертификаты будут выдаваться бесплатно в тестовом режиме, затем, после отладки сервиса выдачи, вводится платная модель. 

🔹Последствия для бизнеса и госсектора 
- С 2027 года коммерческие организации (не входящие в бесплатный перечень) будут платить за сертификаты НУЦ. 
- Размер платы пока не определен – его установит оператор НУЦ, но с верхним ограничением от Правительства. 
- Для госструктур и определенных организаций сертификаты останутся бесплатными.

✅ Итого получаем:
🔹 До 2027 года – период бесплатного получения сертификатов НУЦ для всех (кроме случаев, когда плата вводится раньше по отдельным решениям). 
🔹 С 2027 года – коммерческие пользователи начнут платить, но в рамках регулируемого тарифа. 
🔹 Государственные и определенные организации сохранят бесплатное получение сертификатов.

✍️Об ЭП и УЦ

⚡️Судебная практика: первый прецедент привлечения доверенного лица УЦ к ответственности за нарушение процедуры идентификации личности заявители

Впервые в российской судебной практике к ответственности было привлечено доверенное лицо удостоверяющего центра за нарушение процедуры идентификации личности при выдаче квалифицированного сертификата (дело А40-163986/24-56-1193). Этот прецедент создает новые ориентиры для распределения ответственности в цепочке взаимоотношений между удостоверяющими центрами, их доверенными лицами и получателями сертификатов.

В роли доверенного лица УЦ выступал ИП, который проводил идентификацию удаленно через мессенджер, что является грубым нарушением п. 1 ч. 1 ст. 18 63-ФЗ. Мошенник в июне 2020 года предоставил поддельный паспорт (с замененной фотографией) и реальные данные ИНН и СНИЛС настоящего владельца недвижимости. Проверка через СМЭВ была пройдена успешно, так как система сверила данные с реальными данными. В результате был выдан сертификат на мошенника, который оформил договор займа (почти 2 млн. руб.) под залог чужой недвижимости и скрылся с деньгами.

Займодавец обратился в суд с иском к УЦ, так как по закону именно УЦ несет ответственность за действия своих доверенных лиц. Удостоверяющий центр возместил убытки займодавцу, но затем предъявил регрессный иск к компании-доверенному лицу, ссылаясь на нарушение договора и регламента идентификации. Доверенное лицо пыталось оспорить иск, предоставив видеозапись, где некий человек подтверждает прохождение идентификации. Суд отклонил это доказательство, указав, что запись могла быть создана кем угодно и не доказывает соблюдение процедуры.

Суд принял решение в пользу УЦ, постановив, что:
🔹Доверенное лицо нарушило закон и условия договора с УЦ, проведя идентификацию онлайн и не затребовав оригиналы документов.
🔹УЦ не виновен в непосредственном нарушении, так как принял все необходимые меры для контроля доверенного лица (имелся регламент, договор).
🔹Ответственность возложена на доверенное лицо, которое должно возместить УЦ все убытки, выплаченные потерпевшему займодавцу .

Рассмотренное дело знаменует собой важный момент в практике применения 63-ФЗ. Оно устанавливает важный прецедент персональной ответственности доверенных лиц за нарушения при идентификации, что способствует становлению более сбалансированной и справедливой системы ответственности.

✍️Об ЭП и УЦ

✍️Экспертные советы при Минцифры, бессмысленные и беспощадные

Исторический пост. В 2013 году (12 лет назад, Карл!) приказами Минкомсвязи с разницей ровно в 4 месяца были созданы два экспертных совета по вопросам совершенствования:
🔹 электронного документооборота в органах государственной власти
🔹 правового регулирования в области использования электронных подписей

Оба совета являются совещательными (консультативными) органами, то есть их решения носят рекомендательный, а не обязательный характер. Оба созданы для совершенствования ключевых элементов цифровой трансформации государства: в области электронных подписей и электронного документооборота в органах госвласти. Один совет является составляющей другого, без ЭП не возможен ЭДО. Основная задача обоих советов — разработка предложений и рекомендаций по совершенствованию законодательства и практик в своей сфере. Оба призваны обеспечить регулярное взаимодействие Министерства с экспертным сообществом, бизнесом и другими заинтересованными сторонами.

За 12 лет сфера менялась не используя потенциал созданных советов, но состав членов совета - прежний, с председателем О.Б. Паком (в совете по ЭДО нынешний Глава Минцифры М.И. Шадаев в должности Советника Председателя Госдумы).

Итоги работы советов
🔹совет по ЭДО собирался два раза: 12 июля 2013 и 25 августа 2020 (1, 2)
🔹совет по ЭП собирался один раз в декабре 2013

Следующее заседание состоится в январе 2014 года

- не состоялся.

Про совет по ЭП Минцифры вспомнило к PKI-Форуму, про совет по ЭДО информации нет. Материалы заседания первого совета по ЭДО в первом комментарии.

Количество сертификатов на одного руководителя

Широка наша страна и не всегда информация в разных её частях одинакова.

В УФНС по Забайкальскому краю пока ещё считают, что

юридические лица и индивидуальные предприниматели могут иметь только один квалифицированный ключ электронной подписи для одного владельца. При поступлении заявления о его получении ранее выданные сертификаты УЦ ФНС России аннулируются.

На самом деле уже пару лет как регламент УЦ ФНС допускает наличие у руководителя сертификатов по числу технологий хранения закрытого ключа. На текущий момент видится, что в пределе их может быть четыре: токен, "Моя подпись", "Подпись для бизнеса" и "Госключ".

P.S. Хочется напомнить информационным каналам, которые цитируют источники (пусть и государственные), что всегда стоит критически подходить к информации.

🚀 ЭДО для бизнеса

#эп #фнс

📣Уважаемые подписчики, коллеги и участники рынка электронной подписи!

Спустя два года стрим канала возвращается, приглашаю вас принять участие в онлайн трансляции «Об электронной подписи: ключевые изменения и векторы развития», которая состоится 26 августа в 17:00 на нашем телеграм-канале.

В ходе предстоящего стрима будет проведен экспертный анализ событий, сформировавших текущую ситуацию в сфере электронной подписи.

Сегодня многие СМИ перепечатали пресс-релиз VK "МАХ завершил интеграцию с технологией мобильной электронной подписи «Госключ»".

Сам оператор мессенджера на релизы не способен, это же не картинки с интернета воровать.

Как цифровая платформа, информационная система которой не зарегистрирована в ЕСИА и не имеет даже своей мнемоники смогла интегрироваться с Госключом - большой вопрос.

Хотя ответ есть - ровно также, как интегрировался Telegram с Госключом😂, проверено - работает.

🛡 Минцифры усиливает защиту граждан от киберпреступлений

Минцифры подготовило второй пакет мер по борьбе с кибермошенниками. Разработаны и размещены для общественного обсуждения соответствующие законопроекты. Предложенные инициативы направлены на усиление защиты граждан от мошенников в цифровой среде. Расскажем о некоторых из них подробнее.

Защита Госуслуг
Способы восстановления доступа к аккаунту на Госуслугах в случае его блокировки из-за действий мошенников предлагается закрепить на законодательном уровне. Восстановить доступ можно будет быстро и удобно следующими способами:
✔ с помощью биометрической идентификации
✔ через приложение или сайт банка
✔ с помощью национального мессенджера
✔ в МФЦ

Платформа согласий
На Госуслугах будет создана единая платформа согласий, где гражданин сможет увидеть согласия на обработку персональных данных, которые он ранее давал и онлайн, и офлайн. Можно будет не только узнать, кто, как и зачем обрабатывает ваши данные, но и отозвать ранее выданное согласие, а также сообщить о возможных нарушениях в уполномоченные органы.

Усиленное взаимодействие банков и операторов
Внедрение автоматизированного обмена данными через ГИС «Антифрод» поможет скоординировать действия операторов связи и банков. Также будет разработан механизм компенсации гражданам ущерба от мошеннических действий. Так, если в случае бездействия оператора связи мошенники украли средства с мобильного счёта, то оператор будет должен их возместить. Если же банк даже после предупреждения оператора о подозрительных действиях не принял мер по предотвращению хищения средств злоумышленниками, то возместить ущерб должна будет сама кредитная организация.

Маркировка иностранных вызовов
Абонент сможет запретить входящие вызовы с иностранных номеров. В остальных случаях все международные звонки будут помечаться специальным индикатором. Мера позволит защитить пользователей от мошеннических звонков из-за рубежа.

Блокировка фишинга
Для фишинговых сайтов и ресурсов, распространяющих вредоносное ПО или содержащих сведения о продаже несертифицированных средств связи, будет действовать внесудебный механизм блокировки.

Почему это важно
Предложенные меры создадут многоуровневую систему защиты граждан в цифровой среде. Все инициативы разрабатываются с учётом баланса безопасности и прав пользователей.

🏢 Подписывайтесь на Минцифры в MAX

@mintsifry #безопасность

🔥Текст второго законопроекта об антифроде, норма про создание Национального УЦ присутствут.

✍️Об ЭП и УЦ

📣Через год, с 1 сентября 2026 года СФР не будет принимать отчётность страхователей, подписанную с использованием квалифицированных сертификатов, если они не содержат следующие атрибуты:
🔹«Согласование ключей» (keyAgreement)
🔹«Шифрование данных» (Data encipherment)
🔹«Шифрование ключа» (Key encipherment)

Наличие возможности шифрования данных на сертификате зависит от наличия в нем данных атрибутов.

Друзья, спасибо всем подключившимся!
Помехи в телеграм не помешали провести наш стрим👍