Руководитель «Сбербанка» Герман Греф предлагает внести изменения в законопроект об электронной цифровой подписи, который Госдума приняла в первом чтении в ноябре 2019 года.

Новый закон сильно ужесточает требования к выдаче усиленных квалифицированных электронных подписей (УКЭП) — цифрового аналога собственноручной подписи и печати, который создаётся с помощью сертифицированных ФСБ средств шифрования. С помощью УКЭП организации и граждане обмениваются юридически значимыми документами в электронном виде, заключают сделки, в том числе о купле-продаже недвижимости.

Сегодня КЭП выдаются повсеместно: в России насчитывается почти 500 удостоверяющих центров (УЦ), в том числе банки, страховые компании, биржи, брокеры, «Почта России», частные ИТ-компании и т. д. Главная проблема — недостаточная идентификация клиентов удостоверяющими центрами. Сотни коммерческих УЦ предлагают получить цифровую подпись по копии паспорта или в офлайне по ксерокопии. Триггером для внесения изменений в закон «Об электронной подписи», возможно, стали недавние истории, как с помощью электронной подписи воруют квартиры и как мошенники оформляют на ничего не подозревающих граждан фиктивные фирмы.

Напомним, что в мае 2019 года в России был зафиксирован первый случай отъёма квартиры путём фальсификации электронной цифровой подписи. Владелец квартиры на Тверской улице г. Москва по имени Роман обнаружил, что в очередной квитанции за коммунальные услуги у квартиры указан уже новый владелец. Гражданин обратился в Росреестр и выяснил, что осенью он подарил свою квартиру некоему жителю Уфы. Причём сделал это дистанционно, подписав документы своей электронной цифровой подписью.

Требования нового законопроекта


Законопроектом предлагается наделить УЦ полномочиями по хранению ключа электронной подписи, ключ проверки которой содержится в квалифицированном сертификате с обеспечением его защиты от компрометации и (или) несанкционированного использования, в том числе созданию при помощи указанного ключа по поручению владельца квалифицированного сертификата электронной подписи с использованием средств электронной подписи, имеющих подтверждение соответствия требованиям, установленным в соответствии с ФЗ «Об электронной подписи».

Юрлица. Согласно новому законопроекту, выдавать электронные подписи юридическим лицам сможет только ФНС.

Физлица. Уполномоченные центры продолжат работать только с физическими лицами.

Законопроектом вносятся изменения в статью 16 ФЗ «Об электронной подписи», устанавливаются требования к порядку аккредитации УЦ и деятельности УЦ, в том числе предусматривается:

  • высокий порог собственного капитала УЦ: не менее 1 млрд руб. вместо текущих 7 млн руб., или не меньше 500 млн руб., если у центра есть филиалы не менее чем в 75% регионов страны;
  • высокий порог страховой ответственности деятельности УЦ;
  • сокращение срока аккредитации УЦ до трёх лет;
  • введение административной ответственности за нарушения работы УЦ технического характера;
  • введение уголовной ответственности за заведомо умышленные действия сотрудников УЦ.

Кроме того, законопроектом предлагается создание нового института доверенных третьих сторон — организаций, уполномоченных осуществлять деятельность по проверке электронных подписей в электронных документах в фиксированный момент времени, а также осуществлять документальное подтверждение результатов такой проверки. Данные организации будут осуществлять деятельность после получения соответствующей аккредитации в Минкомсвязи России. Прогнозируемое количество доверенных третьих сторон — порядка двадцати.

Проектируемые законопроектом изменения приведут к повышению качества работы УЦ и сокращению мошеннических действий с использованием электронных подписей, считают авторы законопроекта.

Предложение «Сбербанка»


«Сбербанк» предлагает наделить ФНС правом определять уполномоченные организации, которые смогут выполнять функции по созданию, идентификации и хранению электронных подписей юридических лиц. Уполномоченные организации, по мнению Германа Грефа, должны соответствовать следующим критериям:

  • иметь чистые активы в размере более 500 млрд руб.;
  • иметь филиалы или представительства не менее чем в 87,5% регионов России;
  • попадать под действие законодательства о противодействии отмыванию доходов и финансированию терроризма (оно регулирует деятельность банков, страховых компаний, профучастников рынка ценных бумаг, организаций почтовой связи).

«Данные дополнительные требования распространяются только на доверенные лица УЦ ФНС и не возлагаются на обычные аккредитованные УЦ, которые согласно законопроекту будут выпускать сертификаты для граждан. Таким образом, они не ограничивают конкуренцию аккредитованных удостоверяющих центров», — рассказал источник РБК.

Обозначенным критериям для уполномоченных организаций соответствуют лишь несколько компаний в России. Из нынешних удостоверяющих центров это «Сбербанк», ВТБ и «Альфа-банк».

Монополия государства


С начала 2018 года по II квартал 2019 года одна лишь ФНС зафиксировала примерно 43 300 случаев неправомерного использования квалифицированной электронной подписи. Самое распространённое нарушение неоднократно описано на Хабре — КЭП выдается по фиктивным документам, используется для регистрации юрлиц и ИП.

Причина этих нарушений понятна — коммерческих УЦ слишком много и они зарабатывают с количества проданных электронных подписей. А люди хотят пройти процедуру как можно проще и быстрее: «Человек, получающий подпись, как правило, получает её не для себя, а для директора или бухгалтера той компании, где он работает. У человека, кроме получения подписи, ещё уйма дел. Если человеку говорят, что доверенность, по которой он хочет получить подпись, должна быть нотариально заверенной, то человек считает это жуткой бюрократией. В следующий раз, когда человек захочет получить новую электронную подпись, он постарается обратиться в другой, более „клиентоориентированный” удостоверяющий центр, — пишет imbasoft, автор статьи «Что не так с федеральным законом „Об электронной подписи” (63-ФЗ), и как это можно исправить», — Таким образом, мы получаем ситуацию, когда быть правильным удостоверяющим центром, проводящим строгую идентификацию клиентов, невыгодно. Всегда найдется другой удостоверяющий центр, относящийся к данному вопросу менее трепетно, чем и будет завлекать ленивых клиентов. Оформление злоумышленниками поддельных сертификатов это не проблема какого-то конкретного удостоверяющего центра, а системный кризис уровня федерального законодательства. Можно сказать даже больше — это глобальная проблема (примеры тут и тут) самой технологии инфраструктуры открытых ключей, лежащей в основе закона.

Аудитория Хабра положительно относится к монополии государства на выдачу квалифицированных электронных подписей юрлицам (за 61,1%, против 38,8%), но некоторые представители бизнеса и нынешние УЦ выступают против этого законопроекта.

Советник гендиректора СКБ «Контур» (выдаёт электронные подписи) Анастасия Лабуцкая рассказала, что после вступления в силу нового законопроекта коммерческие УЦ лишаются 95% бизнеса: ежегодно в России выдаётся около 5,5 млн КЭП, из них 95% получают юрлица.

По её словам, централизованная система будет уязвима для неумышленных сбоев, деятельность всех юрлиц в России может быть парализована: не только приостановится документооборот, но будут сорваны торги и хозяйственная деятельность.

На законопроект уже жаловалось председателю правительства Дмитрию Медведеву некоммерческое партнёрство ECR (объединяет X5 Retail Group, Unilever, L’Oreal, Metro Cash & Carry и еще более 70 компаний). Эти компании не причастны к выдаче КЭП, но они волнуются, что принятие законопроекта может парализовать бизнес.

Кроме того, реализация законопроекта потребует дополнительных затрат, которые не предусмотрены авторами законопроекта и правительством. Ассоциация РОСЭУ («Разработчики и операторы систем электронных услуг») подсчитала, что монополизация рынка приведёт к увеличению расходов компаний на электронный документооборот более чем на 30 млрд руб.

Ещё 20 млрд руб. из бюджета уйдёт на доработку государственных систем электронного документооборота. Кроме того, государству придётся вложиться в создание инфраструктуры УЦ в ФНС, считают в ассоциации: это потребует разовых расходов в размере 5 млрд руб. и ежегодно еще 20 млрд руб. на её содержание.

Вдобавок, бизнес боится повышения цен: сейчас средняя рыночная стоимость сертификата электронной подписи составляет 1500 руб., а предполагаемая госпошлина за получение квалифицированного сертификата будет составлять 2500 руб.

Комментарии (8)


  1. WinLin2
    04.12.2019 12:24

    >иметь чистые активы в размере более 500 млрд руб.;
    Неплохой удостоверяющий центр.


    1. Mykola_Von_Raybokobylko
      06.12.2019 14:08

      Хммм, это он про себя любимых или ПР и росинкассацию?


      иметь филиалы или представительства не менее чем в 87,5% регионов России;


  1. achekalin
    04.12.2019 12:44

    тоже хочет выдавать

    А отвечать хоть за что-то, желательно рублем, они не хотят?

    Впрочем, что в России значит репутация, «куда они денутся-то», правда? Попавшим под последние две утечки компенсация была, или нет, а то я как-то пропустил?

    Утечка или ошибочно («не тому не на того») выданный ЭЦП — наверное, такие же «богатые» компенсации в бизнесплан заложены? Мне кажется, один вариант возможен: если Сбер случайно левому человеку на имя Грефа ЭЦП выдаст — вот тогда (оставшиеся) задумаются об ответственности.


    1. Ndochp
      04.12.2019 13:19

      Так про это же абзацем выше

      введение административной ответственности за нарушения работы УЦ технического характера;
      введение уголовной ответственности за заведомо умышленные действия сотрудников УЦ.

      Или вы про обязательное страхование?


      1. achekalin
        04.12.2019 13:53

        Нет, я про именно применение наказания. Сбер, при желании сказать «сами виноваты», так и скажет. И прошлые его действия не особо показывают желания примерно наказать виновных и дистанцироваться от них. Греф как бы взял вину на себя — но с поста при этом, конечно, не ушел.


  1. tvr
    04.12.2019 13:59

    На КДПВ — Греф, виновный в утечках?


  1. Hab_Reader
    04.12.2019 14:28

    А в случае очередной массовой утечки данных из Сбербанка, если утекут не просто персональные данные, а ЭЦП, какая ответственность будет у Сбербанка?


    1. tvr
      04.12.2019 15:12

      если утекут не просто персональные данные, а ЭЦП

      Не если, а когда.
      Они извинятся, возможно.