Комментарии 163
Не очень понятен смысл такой махинации. Подставить компанию перед налоговой?
Ну так это компании однодневки, которые быстро вычисляются, не?
НДС это как указатели в с++. Мало кому понятно что это такое. А ещё их можно переводить на другой объект
Конечно это самая линия попы, bottom line, как говорят шутники англичане, и в реальной жизни используются цепочки действий, но все дальнейшие действия уже могут быть вполне/почти законными, а компания А в итоге должна заплатить НДС с суммы Х.
Но Компании Б будет очень плохо, когда все выяснится. А возмещение НДС за сколько дней в России гарантируется? Я это к тому, что Б надо полюбе получить возмещение НДС, а иначе это не имеет смысла.
Но в Украине вроде, такие операции сразу поступают в раздел рисковых и автоматический возврат в этом случае не доступен, что по идее должно сводить на нет смысл такого мошенничества.
Сначала очень будет плохо компании А, надо доказать что отчетность подделана, это непросто. (См. случай 1 в статье — следственные действия идут больше года, у директора компании А арестованы счета компании и личное имущество.)
Компания Б за это время может перестать существовать. И ей необязательно получить возмещение, она может продать товар дальше компании В, та еще дальше, а последней в цепочке окажется очень уважаемая компания к которой у приличных людей вопросов не возникает, и ей даже не надо получать возмещение, она просто получит налоговый вычет.
- Перемалывание компании на НДС. Судьба чьего то бизнеса налоговой пофиг, а вот а вот закрыть кучу недоимок от однодневок одним махом круто.
- Рейдерство. Создаём проблемы у компании, недорого покупаем её, решаем проблему, у нас готовый бизнес задаром.
Не У, а Б — блестящая возможность цифровой страны.
Неужели никому никак не дойдет, что реестр ЭЦП должен быть ЕДИНЫМ на всю страну.
По идее, налоговая просто должна заключать договор с юриком что она будет принимать электронную отчетность от него, подписанную только конкретным ключем. Так в Украине работает, по крайней мере.
Точнее так: сейчас это невозможно. И не думаю что станет.
Ну и спросите своего юриста, предусмотрена ли возможность заключать договоры с налоговой?
По идее, налоговая просто должна заключать договор с юриком что она будет принимать электронную отчетность от него, подписанную только конкретным ключем.
Достаточно просто признавать поддельные подписи недействительными, как это делается с обычными подписями. Это сразу решает проблемы не только с налоговой, но в принципе.
Вот это как раз достаточно сложно. Подпись то фактически очень даже настоящая. В итоге, для признания недействительными подписанных ей документов нужно сначала доказать, что сертификат открытого ключа изначально был выдан не тому лицу, которому он принадлежит.
А вот что делать после мне самому интересно. Отзывать сертификат задним числом? Не уверен, что так можно...
Вот это как раз достаточно сложно.
Это как раз элементарно. Поддельная подпись => документы, ей подписанные, не подписаны. Схема отработана сотнями лет практики и замечательно работает, ничего нового изобретать не требуется.
Подпись то фактически очень даже настоящая.
Нет, подпись как раз поддельная.
нужно сначала доказать, что сертификат открытого ключа изначально был выдан не тому лицу, которому он принадлежит.
Это как раз элементарно — достаточно сканов поддельного паспорта. Ну и это не вы должны доказывать, что подпись поддельная, это тот кто считает подпись настоящей должен доказывать, что она настоящая. Нет доказательств — нет подписи. Вам достаточно сказать, что подпись не ваша.
Отзывать сертификат задним числом?
Зачем? Он просто недействителен. Вы можете хоть миллион сертификатов выпустить, но юридически значимой подпись с данным сертификатом становится только тогда, когда сертификат выпущен в рамках определенной процедуры. Если процедура была нарушена — подпись ничем не отличается от детских каляк-маляк.
- Чем по-вашему поддельная электронная подпись отличается от настоящей?
- Как вы предлагаете осуществить описанное технически и юридически не сломав полностью уже существующую и работающую схему работы с электронными подписями?
Чем по-вашему поддельная электронная подпись отличается от настоящей?
Поддельная подпись — это подпись, которую вы (или ваше доверенное лицо) не ставили. А настоящая — та, которую вы ставили.
Как вы предлагаете осуществить описанное технически и юридически не сломав полностью уже существующую и работающую схему работы с электронными подписями?
Так, как описано выше, и предлагаю. Ничего при этом не ломается. Если подпись поддельная — то ее нет, конец истории. Так работают обычные подписи, так должна работать и ЭЦП, что тут и как ломается?
Это вообще странно, что доказано поддельная ЭЦП является юридически значимой. Этот нонсенс, так изначально быть не должно.
А, ну круто вы предложили, надо реализовать, чё.
Для меня это звучит примерно как "чтобы не было убийств, надо чтобы люди не умирали"
А, ну круто вы предложили, надо реализовать, чё.
Ничего реализовывать не надо, все уже реализовано. Достаточно просто поправить пару строчек в имеющемся законе об ЭЦП. На данный момент поддельная ЭЦП считается действительной. Надо прописать, что поддельные ЭЦП недействительны. В точности так, как это работает с обычными подписями.
Факт подделки может доказываться в точности так же, как и для обычной подписи — почерковедческой экспертизой. Тут, опять же, ничего нового не нужно. Все уже есть, все прекрасно функционирует, есть огромное количество наработанной практики не требуется ничего изобретать. Так что ваш сарказм тут совершенно неуместен.
О какой почерковедческой экспертизе в случае ЭП может идти речь? Вы не понимаете как работает ассиметричная криптография и инфраструктура открытых ключей или просто троллите?
О какой почерковедческой экспертизе в случае ЭП может идти речь?
Об обычной. Когда вы получаете сертификат, то подписываете (обычной подписью) документ: "я, такой-то такой-то, пришел тогда-то тогда-то и получил такой-то такой-то сертификат". А многие центры еще и видео с подтверждением записывают. Если подпись на этом документе не ваша (или документа и вовсе нет) — сертификат (и любой договор, подписанный подписью с этим сертификатом) недействителен. Если за вас получали подпись по поддельным документам (что очевидно подтверждается сканами этих документов) — сертификат недействителен. Если вы в момент получения подписи были, банально, на другом конце страны (что элементарно подтверждается кучей свидетелей) — сертификат недействителен.
Факт выдачи вам сертификата должен иметь документальное, проверяемое подтверждение. Если этого подтверждения нет (или, более того, есть подтверждение обратного) — это не сертификат, это филькина грамота.
Все это прекрасно работает для обычных подписей, т.е. не надо ничего изобретать, надо просто применить уже проверенные методы решения старой и всем известной проблемы.
Ок, давайте так. Какие две строчки достаточно добавить в закон об ЭП, чтобы не требовалось большого количества времени, чтобы доказать поддельность подписи/сертификата?
Аккредитованный удостоверяющий центр с использованием инфраструктуры осуществляет проверку достоверности документов и сведений, представленных заявителем в соответствии с частями 2 и 2.1 настоящей статьи. Для заполнения квалифицированного сертификата в соответствии с частью 2 статьи 17 настоящего Федерального закона аккредитованный удостоверяющий центр запрашивает и получает из государственных информационных ресурсов
Дополнить статью следующим пунктом:
Выданный сертификат не является вступившим в действие, если невозможно убедиться в достоверности сведений, представленных заявителем в соответствии с частями 2 и 2.1, либо сведения не являются достоверными.
Ну и еще, конечно, следует отменить норму о том, что эцп, поставленная неуполномоченным лицом, влечет юридические последствия. Следует уровнять здесь ЭЦП и обычную подпись.
Хватит одного из двух вариантов, но оптимально — оба сразу.
С технической, как проверить вступил сертификат в действие или нет? Как проверить поставлена ЭП уполномоченным лицом или нет?
Все в точности так же, как в случае обычной подписи. Вы проверяете, поставлена ли обычная подпись уполномоченным лицом? Нет. Вы просто на нее смотрите и приблизительно оцениваете — ну, типа, похожа на то, что в паспорте. Аналогично и тут — делаете приблизительную оценку (т.е. убеждаетесь, что сертификат выдан на нужного человека аккредитованным центром).
При этом лицо, от имени которого оставлена подпись, должно иметь понятную возможность это дело (как и в случае обычной подписи) опротестовать. И если это лицо доказывает, что сертификат выдан не ему — подпись становится тыквой
Тут в чем штука -когда вы ставите обычную подпись, то важна не сама подпись, важен ее источник. Не важно чем подписывается документ — важно кем и как. Если на документе стоит обычная подпись, полностью идентичная вашей, но вы докажете, что вы ее не ставили, либо ставили, но, например, вас заставили под дулом пистолета — то документ этот можно в суде без каких-либо проблем отыквить. Равно как если вы вместо своей подписи поставите некую рандомную закорючку, то документ будет считаться подписанным, если будет доказано, что закорючку ставили вы.
С другой стороны, если это эцп — то не важно, кто ее ставил и как. Непонятно совершенно, кто придумал сей бред, особенно учитывая тот факт, что подделать эцп на порядок проще, чем обычную подпись (т.е., по идее, защита эцп должна быть сильнее, а не слабее).
Т.о. все что надо сделать — это уровнять в данном отношении эцп с обычными подписями, дав законную возможность отмены подписи, когда эта подпись очевидно и легко доказуема (а это так практически во всех случаях мошенничества) была получена (а как следствие — и поставлена) не вами, без вашего желания и без вашего ведома.
Проблема же в том, что всех загоняют добровольно-принудительно в электронное стойло. Если всех граждан посадить в тюрьму, то считается, что проблема с преступностью решиться раз и на всегда.
С другой стороны, если это эцп — то не важно, кто ее ставил и как. Непонятно совершенно, кто придумал сей бред, особенно учитывая тот факт, что подделать эцп на порядок проще, чем обычную подписьПри правильном использовании ЭП «подделать» гораздо сложнее, чем обычную подпись. Необходимо либо заполучить закрытый ключ подписанта (который тот должен хранить как зеницу ока), либо используя преступные схемы выпустить для своего закрытого ключа сертификат с данными подписанта (это как раз та категория ситуаций, из-за которых в последнее время кипит бурное обсуждение в этой и подобных статьях).
Тут в чем штука -когда вы ставите обычную подпись, то важна не сама подпись, важен ее источник. Не важно чем подписывается документ — важно кем и как.Учитывая вышесказанное, предполагается, что если ЭП прошла криптографическую проверку, а сертификат не числится в списках отозванных, мы можем с практически 100% уверенностью сказать, что данная подпись поставлена по воле подписанта. Собственно, в этом весь её смысл.
Мы не можем узнать кто фактически её сформировал для данного документа, мы полагаемся на то, что закрытый ключ есть только у подписанта, а в плане проверки её принадлежности конкретному лицу полагаемся на инфраструктуру удостоверяющих центров. Если мы дадим подписанту возможность без достаточных доказательств опротестовать свою электронную подпись, то получим вероятно еще большее количество мошеннических схем работающих уже в направлении признания настоящих подписей недействительными. Тут достаточно тонкая грань на которой нужно держать баланс.
Т.о. все что надо сделать — это уровнять в данном отношении эцп с обычными подписями, дав законную возможность отмены подписи, когда эта подпись очевидно и легко доказуемаДеюро они и так сейчас равны, а то что может быть очевидно для вас, далеко не так же очевидно для всех остальных и требует доказательств.
PS Собственно никаких технических вариантов проверки кто именно проставил подпись вы так и не предложили. Если сертификат выдан и зарегистрирован в ЕСИА считается, что УЦ в достаточной мере убедился и в достоверности сведений о получателе сертификата, и в достоверности его документов и полномочий. Таким образом вот этот абзац
Аналогично и тут — делаете приблизительную оценку (т.е. убеждаетесь, что сертификат выдан на нужного человека аккредитованным центром).не меняет ровным счетом ничего, сейчас все именно так и работает. Других способов «убедиться» у вас просто не существует.
При этом лицо, от имени которого оставлена подпись, должно иметь понятную возможность это дело (как и в случае обычной подписи) опротестовать. И если это лицо доказывает, что сертификат выдан не ему — подпись становится тыквой
Необходимо либо заполучить закрытый ключ подписанта (который тот должен хранить как зеницу ока), либо используя преступные схемы выпустить для своего закрытого ключа сертификат с данными подписанта (это как раз та категория ситуаций, из-за которых в последнее время кипит бурное обсуждение в этой и подобных статьях).
Так вот как раз это и есть гораздо проще, чем подделка обычной подписи. Разве нет? Как минимум, подделка ЭЦП не может быть сложнее подделки обычной подписи, т.к. вы можете подделать ЭЦП, подделав обычную подпись на доверенности (от доверенности на выпуск ЭЦП не требуется, чтобы она была нотариально заверенной). Т.к. задача подделки ЭЦП может быть сведена к подделке простой подписи. При этом для подделки ЭЦП у вас есть еще дополнительные вектора атаки. Значит, ЭЦП подделывать проще, следуя логике. Нет?
Но в любом случае это не так существенно все.
Учитывая вышесказанное, предполагается, что если ЭП прошла криптографическую проверку, а сертификат не числится в списках отозванных, мы можем с практически 100% уверенностью сказать, что данная подпись поставлена по воле подписанта.
Так в этом проблем нет. Точно так же вы почти на 100% уверены, когда визуально осматриваете чью-то обычную подпись. Проблема начинается тогда, когда оказывается, что мы не можем быть 100% уверены или, вообще, можем быть на 100% уверенным в обратном. В случае с обычной подписью — вы просто через суд без каких-либо проблем доказываете, что подпись поддельная. В случае ЭЦП — ну у вас просто нет аутов, т.к. по закону даже тот факт, что подпись ставили не вы, не освобождает вас от юридических последствий этой подписи.
Если мы дадим подписанту возможность без достаточных доказательств опротестовать свою электронную подпись
Почему же без достаточных доказательств? С достаточными.
Напоминаю, что обычные подписи работают именно так им всех это устраивает. Почему ЭЦП должны работать по-другому?
получим вероятно еще большее количество мошеннических схем работающих уже в направлении признания настоящих подписей недействительными
Не получим (иначе бы получили кучу мошеннических схем с обычными подписями). Штука в том, что для признания договора действительным де-факто ваша подпись не нужна.
Т.е. если вы поставите какую-то кривую подпись и потом откажетесь выполнять свою часть договора, и в суд принесете результаты экспертизы, которые покажут, что подпись не ваша — то суд все равно обяжет вас свою часть договора исполнять, если будут аргументы в пользу того, что по факту вами условия договора были приняты (в случае наличия например соответствующей деловой переписки, показаний свидетелей и т.п. — т.е. если например вы обсуждали качество полученной услуги, а потом отказались за эту услугу по договору платить, т.к. подпись не ваша, то судь встанет на сторону того, кто оказывал услугу, несмотря на то, что подпись действительно не ваша).
далеко не так же очевидно для всех остальных и требует доказательств.
Для суда будет точно так же очевидно. Только на данный момент суд ничего сделать не может, т.к. закон такой. В случае с обычными подписями — может (и делает), в случае с ЭЦП в аналогичной ситуации — нет.
PS Собственно никаких технических вариантов проверки кто именно проставил подпись вы так и не предложили.
В том и смысл, что эти варианты не должны оговариваться и только в этом случае все будет работать! Именно это отличает предложенное от того, как оно работает сейчас.
Если в результате любой проверки (какой угодно) будет установлена недостоверность сведений — сертификат признается не вступившим в действие и конец истории. Признаете в суде, конечно. Все в точности так, как это работает с обычными подписями.
Еще раз, вся разница в том что обычную подпись вы в суде, приведя аргументы, можете признать поддельной, а ЭЦП — нет. Не в том проблема, что это трудно доказать — доказать это можно элементарно (по крайней мере вот в таких вот случаях мошенничества). Проблема в том что какие бы у вас ни были доказательства просто отсутствует соответствующая процедура.
Других способов «убедиться» у вас просто не существует.
Как же не существует? Существует. Напоминаю, что мне не в достоверности надо убедиться, а в недостоверности.
Вот предоставляет мне центр скан с поддельной фотографией, я приношу его в суд, и все — мы наглядно убедились в недостоверности сведений.
от доверенности на выпуск ЭЦП не требуется, чтобы она была нотариально завереннойЭто справедливо только для сертификатов юридических лиц, и, вероятно, как раз этот момент в законодательстве и стоило бы уточнить. Поэтому нет, в общем случае подделка электронной подписи не сводится к подделке обычной.
В случае с обычной подписью — вы просто через суд без каких-либо проблем доказываете, что подпись поддельная. В случае ЭЦП — ну у вас просто нет аутов, т.к. по закону даже тот факт, что подпись ставили не вы, не освобождает вас от юридических последствий этой подписи.Ошибаетесь, точно также сейчас это работает и с электронной подписью.
Почему же без достаточных доказательств? С достаточными.Вы же понимаете, что с достаточными означает долгий путь через суд с экспертизами и т. д. Ничего очевидного тут не будет, УЦ будет настаивать на том, что они регламент не нарушили. В общем, к сожалению, ничего нового этими изменениями вы не привнесете. Вы даже не описали что такое
сертификат признается не вступившим в действиеКак такой сертификат отличить от вступившего в действие? Где хранятся сведения о таких сертификатах?
Это справедливо только для сертификатов юридических лиц, и, вероятно, как раз этот момент в законодательстве и стоило бы уточнить.
Это уточнение ничего кардинально не изменит.
Ошибаетесь, точно также сейчас это работает и с электронной подписью.
Нет, не работает. Иначе бы ситуации обсуждаемого мошенничества были бы невозможны — как они невозможны для обычной подписи (т.е. формально они возможны, но поскольку с признанием обычной подписи поддельной никаких проблем нет, то такое мошенничество просто не выгодно).
От того что вы в суд придете и докажете, что подпись не ставили, ничего не изменится, если это ЭЦП. Т.к. в случае ЭЦП тот факт, что вы не ставили подпись не избавляет вас от ее юридических последствий.
Вы же понимаете, что с достаточными означает долгий путь через суд с экспертизами и т. д. Ничего очевидного тут не будет, УЦ будет настаивать на том, что они регламент не нарушили.
А при чем тут нарушение регламента? Речь как раз о том, что регламента никакого УЦ не нарушил — он выполнил все действия, которые должен был выполнить по закону. Но, поскольку сведения (пост-фактум) оказываются недостоверные, то сертификат признается не вступившим в действие. При чем тут регламент?
И во всех обсуждаемых случаях мошенничества все доказывалось совершенно тривиально. Зачастую там даже не надо никаких документов, а просто факт того, что вас не было и быть не могло в момент получения подписи в УЦ, т.к. вы находились в другом городе.
Вы даже не описали что такое
Понятие "действия сертификата" в законе и так используется:
"Сертификат ключа проверки электронной подписи действует с момента его выдачи, если иная дата начала действия такого сертификата не указана в самом сертификате ключа проверки электронной подписи. "
С-но если сведения недостоверны — то сертификат ни с какого момента не действует.
Как такой сертификат отличить от вступившего в действие? Где хранятся сведения о таких сертификатах?
Нигде, точно так же как нигде не хранятся сведения о поддельных подписях. Любая подпись может пост-фактум оказаться поддельной (с последующим превращением подписанного ей документа в тыкву), и у вас нет никакого способа гарантировать, что это не так. И не должно быть.
Естественно, по логике вещей, если окажется что сертификат — тыква, то его следует сразу отзывать. Но это уже несущественные детали.
Это уточнение ничего кардинально не изменит.Изменит, если запретить выдачу сертификатов не по нотариальным доверенностям.
просто факт того, что вас не было и быть не могло в момент получения подписи в УЦКогда кто-то получает сертификат на ваше имя по доверенности, вас и не должно там быть, поэтому ваше отсутствие не доказывает ничего.
Нигде, точно так же как нигде не хранятся сведения о поддельных подписях.Теряется смысл использования ЭП, открывается простор для мошенничества с признанием недействительными валидных ЭП
PS Я согласен, что в этой отрасли многое нужно менять, но я абсолютно не согласен, что это просто, ибо результат непродуманности закона об ЭП мы и наблюдаем. К тому же, я думаю вы просто к этой проблеме подходите не с той стороны, простого изменения закона будет недостаточно.
Изменит, если запретить выдачу сертификатов не по нотариальным доверенностям.
Проблема не только в выдачах по доверенностям. Вы пытаетесь лечить симптомы, а не болезнь.
Проблема с ЭЦП на данный момент не в том, как она выдается, а в том, что ее, в отличии от обычной подписи, нельзя оспорить. Эту проблему и надо решать — надо дать возможность оспорить подпись. Что, само по себе, уже влечет неявно отмену нормы "не важно кто и как ставил, важно, что ваша".
Если же оспорить подпись нельзя, то это в любом случае будет приводить к проблемам, какие регламенты не придумывай.
Ну вот представьте себе, что нельзя было бы оспорить обычную подпись. Т.е., если на документе стоит подпись достаточно похожая на вашу — она считается вашей, вне зависимости от любых других фактов (а именно так сейчас это происходит с ЭЦП). И был бы такой же ворох проблем. Но, к счастью, для обычной подписи это не так. Вы можете пойти в суд, сказать что подпись не ваша и подтвердить это фактами. В случае с ЭЦП это не работает.
Когда кто-то получает сертификат на ваше имя по доверенности, вас и не должно там быть, поэтому ваше отсутствие не доказывает ничего.
При чем тут вообще доверенность? Получение по доверенности — лишь один из возможных кейсов.
Теряется смысл использования ЭП
В смысле, теряется, как? Обычная подпись обладает всеми теми же свойствами — в любой момент она может быть оспорена и признана тыквой. И смысл использования обычных подписей от этого не теряется. Смысл ЭЦП исключительно в удобстве применения (вы можете поставить ее электронно), во всем остальном (в том числе в "надежности", т.е. невозможности постфактум ее оспорить) она должна быть полностью эквивалентна обычной.
открывается простор для мошенничества с признанием недействительными валидных ЭП
Как я уже неоднократно говорил — все эти проблемы на практике давно решены законодательством связанным с обычными подписями.
Как вы можете заметить, у нас нет вала мошенников, которые занимаются отменой обычных подписей. Почему? Потому что я выше об этом говорил — в случае мошеннических схем суд признает договор заключенным и без подписи.
PS Я согласен, что в этой отрасли многое нужно менять, но я абсолютно не согласен, что это просто, ибо результат непродуманности закона об ЭП мы и наблюдаем.
Я напоминаю, что у нас уже имеется огромная законодательная практика работы с подписями — с обычными подписями. Что простая, что электронная подпись — это не более чем кусок информации, который клеится к документу. Просто обычная подпись — это "физический" кусок инфы, который клеится к "физическому" документу, а электронная — с-но, электронный кусок, который клеится к электронному.
Нет никаких причин, почему наличие электронной подписи должно за собой влечь последствия иные по сравнению с наличием обычной подписи.
Надо просто эти последствия уровнять, это все. Тогда электронная подпись во всех контекстах будет вести себя как обычная. А с обычной проблем нет.
простого изменения закона будет недостаточно.
Его бы тогда было недостаточно и для обычных подписей. Но с обычными подписями все окей.
Мне кажется ваша проблема в том, что вы мешаете в кучу понятия электронной подписи, сертификата открытого ключа
Нет, не мешаю.
и не уделяете внимания техническим деталям
Потому что проблема не в технических деталях. Она исключительно в юридической плоскости — в отсутствии эквивалентности между ЭЦП и обычной подписью. Как только вы устанавливаете эквивалентность, все сразу будет just works, это доказано практикой в десятки лет.
Представьте себе, что вы пытаетесь оспорить в суде свою подпись заверенную нотариусом, а тот заявляет: "да, вот этот самый человек поставил эту подпись.
Но, смотрите, если я докажу, что не ставил (ну, например, докажу что меня просто не было в том месте в то время и, значит, я поставить подпись не мог, а, следовательно, нотариус врет), то таки подпись будет признана поддельной а нотариус — редиской (со всеми вытекающими).
Доказательство же того, что вы не ставили ЭЦП (и не получали) не влияет вообще ни на что.
Т.е., опять-таки, — нотариус сам по себе важен лишь как подтверждение вашего волеизлияния.
С другой стороны, ЭЦП не является подтверждением волеизлияния, она имеет самостоятельный юридический вес.
Это 100% эквивалент сертификата ЭЦП (или ЭП, как теперь модно выражаться), который подтверждает что (не совсем строго, но верно) "вот этот ключ принадлежит тому, чье имя в нем указано, и я (удостоверяющий центр) в этом убедился".
Нет, это не эквивалент. Еще раз — в случае с нотариусом вы можете доказать, что подпись ставили не вы, и тогда подпись превратится в тыкву. В случае с ЭЦП вы тоже можете доказать, что подпись ставили не вы — но это ни на что не повлияет, подпись останется вашей законной подписью.
Однако такой процедуры (прописанной в регламентах) нет и для заверенной нотариусом полписи. И в том, и в другом случае придется идти в суд.
Не "и в том и другом", а только в случае с нотариусом!
ЭЦП признать "незаконной" в случаях, в которых незаконной была бы признана обычная подпаись, нельзя! Об этом и речь.
С-но, если бы было можно — никакой проблемы бы не возникло. Об этом я и говорю — отменить существующую норму о "не важно кто ставил ЭЦП" и реализовать возможность признавать ЭЦП незаконной (поддельной, некорректной, недействительной, не важно) точно так же, как вы можете признать "незаконной" ручную подпись (пусть и нотариально заверенную).
Каких-то "внесудебных" регламентов отыквивания подписи, конечно, не нужно, все через суд.
Вообще, я бы просто возложил выдачу сертификатов на нотариусов и все бы сразу встало на свои места.
Это вообще ничего не меняет. ДА, УЦ будут более ответственно подходить к своей работе — но не более того. Принципиально проблемы остаются.
Тогда в сертификате УЦ стояло бы "УЦ нотариуса Пупкина" и описанная в статье проблема не возникла бы вообще.
Почему бы не возникла? Было бы все ровно то же самое.
Ну и самое главное, если такие случаи (признания ЭП недействительной после ее использования) станут массовыми, это просто подорвет доверие к самому институту ЭП.
Доверие к институту ручной подписи же не было подорвано? Почему доверие к ЭП подорвет?
А на том, что в случае фэйла с ЭЦП на стороне гаранта мы имеем неадекватные следствия.
Именно! Фактически, если следовать этому сравнению с нотариусом — мы в суде доказали, что нотариус редиска, и что он обманывает, и что подпись на самом деле поддельная — и к нотариусу даже, возможно, применяют соответствующие санкции. Только подписанные документы как считались так и дальше считаются действительными.
Не бред ли?
— нотариус (или суд) признал, что заверил подпись левого мужика под вашим видом.
— УЦ признал (а в сабже он признал по крайней мере в одном из случаев), что выдал подпись левому мужику.
Вот и сравните. Очевидно, ни о каком «100% эквиваленте» (как вы заявляете выше) речи не идет.
всеми средствами проверки определяется как «правильная»Эти средства проверки эквивалентны вашей оценке обычных подписей «на глазок». Просто этот «глазок» машинный. ЭП не для людей же.
Эти средства проверки эквивалентны вашей оценке обычных подписей «на глазок»Нет, это скорее похоже на проверку нотариальной доверенности по реестру. То есть, как в случае реестра вы убеждаетесь, что конкретный нотариус действительно выдал эту конкретную доверенность, так и в случае с ЭП вы убеждаетесь, что определенный УЦ подтвердил, что сертификат в подписи принадлежит конкретному человеку.
Но ваш пример рушится не на этом. А на том, что в случае фэйла с ЭЦП на стороне гаранта мы имеем неадекватные следствия.
Это одно и то же — проверка формальных признаков.До этого вы писали
Эти средства проверки эквивалентны вашей оценке обычных подписей «на глазок».Хотя, согласитесь, что нотариально заверенная подпись которую можно проверить по реестру и обычная подпись далеко не одно и то же в плане надежности проверки.
Но ваш пример рушится не на этом. А на том, что в случае фэйла с ЭЦП на стороне гаранта мы имеем неадекватные следствия.Мой пример ни на чем не рушится, последствия фальсификации заверения подписи никак не относятся к самому процессу проверки подписи.
Я не знаю о каких конкретно неадекватных следствиях вы говорите, но, опять таки, сравнивая нотариусов и УЦ, а также уровень их ответственности, попробуйте сравнить в том числе стоимость предоставляемых ими услуг.
в плане надежности проверки.В плане надежности гаранта. Но это не принципиально в контексте вопроса.
последствия фальсификации заверения подписи никак не относятся к самому процессу проверки подписи.А обсуждаем-то мы тут как раз последствия.
Я не знаю о каких конкретно неадекватных следствиях вы говорите
Фактически, если следовать этому сравнению с нотариусом — мы в суде доказали, что нотариус редиска, и что он обманывает, и что подпись на самом деле поддельная — и к нотариусу даже, возможно, применяют соответствующие санкции. Только подписанные документы как считались так и дальше считаются действительными.
Не бред ли?
Только подписанные документы как считались так и дальше считаются действительными.То есть нужен механизм позволяющий полностью отозвать сертификат, начиная с даты его выпуска. Я правильно понимаю?
Не бред ли?
И есть еще несоответствие в вашей аналогии. Нотариус заявляет акт подписания а не подпись. УЦ же заявляет саму подпись, как вы заверяете карточку с образцом подписей и печать при открытии рассчетного счета (например). Так что нет, ЭП эквивалентна именно обычной подписи, а не нотариальной. И ее проверка эквивалентна со сверкой подписи с ее образцом в паспорте подписывающего или на карточке с образцами и тд
То есть нужен механизм позволяющий полностью отозвать сертификат, начиная с даты его выпуска. Я правильно понимаю?
Да. Фактически, признать его невыпущенным. На данный момент такой механизм просто отсутствует — если сертификат выпущен по регламенту, то он ваш, конец истории.
Если бы указанный механизм был — то проблемы из обсуждаемой статьи решались бы понятным способом (вы получаете из УЦ сканы с поддельными паспортом, идете с ними в суд, суд видит очевидно поддельный паспорт, и отменяет задним числом сертификат). Чтобы не было всяких злоупотреблений — хеш архива со сканами доков и т.п. вещами добавляем в сам сертификат, и кладем архив в ЕСИА вместе с сертификатом. Т.о. с одной стороны данные не потеряются (они будут в ЕСИА) с другой стороны — их нельзя будет подменить (хеш в сертификате, и его нельзя поменять, не заменив в целом сертификат).
Но это уже детали тех. реализации, важно само наличие юридического механизма отзыва.
На данный момент поддельная ЭЦП считается действительной
Не существует поддельных ЭЦП. Существуют корректные ЭЦП, полученные мошенническим путём. Мошенничество нужно сперва доказать. Затем вам нужно придумать, что делать с отчётностью, которая уже прошла по всем инстанциям, будучи подписанной корректной ЭЦП, полученной мошенническим путём, некоторое время тому назад.
Не существует поддельных ЭЦП. Существуют корректные ЭЦП, полученные мошенническим путём.
Вы путаете понятие "поддельный" и "корректный". Естественно, подпись корректная. Но при этом — поддельная. И корректность вообще ни на что не влияет (обычная подпись, например, корректна всегда, даже если это детские каляки-маляки).
Мошенничество нужно сперва доказать.
Зачем? Если подпись поддельная, то ничего больше доказывать не нужно, этого уже должно быть достаточно для того, чтобы признать договор незаключенным. Так это работает в случае обычной подписи, к которой ЭЦП должна быть приравнена. Совершенно непонятно, почему документ, подписанный обычной подписью, и документ, подписанный ЭЦП, не являются юридически эквивалентными. Это бред.
Затем вам нужно придумать, что делать с отчётностью, которая уже прошла по всем инстанциям, будучи подписанной корректной ЭЦП, полученной мошенническим путём, некоторое время тому назад.
Еще раз — ничего нового придумывать не надо, все эти проблемы уже давным-давно решены и набрана гигантская практика. С уже прошедшей по инстанциям отчетностью надо делать ровно то же самое, что вы делаете в том случае, если эта отчетность была подписана обычной (письменной) корректной подписью, оказавшейся пост-фактум поддельной — все подписанные документы становятся филькиной грамотой.
Путаете тут вы. Поддельная подпись отличается от настоящей и это доказывается графологической экспертизой этой подписи. ЭЦП не отличается ничем кроме серийного номера. Обладая настоящей ЭЦП и фиктивной, вы не сможете определить которая из них законная. Вам требуется провести экспертизу документов, по которым были оформлены эти ЭЦП, а не сами ЭЦП, которые технически эквивалентны. Только признав поддельными документы, по которым была оформлена ЭЦП, вы можете потребовать отозвать эту ЭЦП и требовать признать юридически ничтожными документы, подписанные этой ЭЦП.
… а тем временем один известный банк с зелёным логотипом агрессивно называет сдачу биометрических данных.
Как неожиданно, что певцы и боксеры в Думе не смогли предусмотреть такой ситуации и мер для ее разрешения.
И проблема эта не только российская. Во всём мире так.
Говорят, цифры по московским парковкам презентовали они же.
Наверняка врут или источнику это снилось /irony
Интересно, получается, что ЭЦП, полученная по подложным документам считается валидной. А, например, печать гендиректора, изготовленная по поддельным документам будет считаться поддельной печатью.
Где-то тут абстракция рвётся...
Пока не все в верхах понимают, что такое ЭЦП, так и будет. Просто они не видят потенциальных проблем, это же прикол с регистрацией всех принтеров в стране, ту раньше все печатные машинки в МВД решались: старым мозгом новые проблемы не всегда решить.
Кое-где до сих пор электронной подписью считают приаттачить к письму скан подписи начальника!
Если факт мошенничества обнаружен до окончания отчетного периода, то по-видимому, правильными действиями будет оперативно отправить корректировку, предпринять действия для блокировки фиктивной ЭЦП, проверяя при этом отсутствие мошеннических корректировок «поверх» вашей и обратиться в правоохранительные органы. Каков будет результат – пока непонятно.
Результата может быть только два: возбуждение уголовного дела по ст. 159 УК либо отказ в возбуждении. Чтобы однозначно возбудились вам надо собрать достоверную базу — записи переговоров с мошенниками, поддельные документы и факт их получения от них, переписка. Лучше сразу идти в органы, а не заниматься самостоятельными блокировками по телефону.
Далее имеет смысл написать жалобу в Министерство цифрового развития, связи и массовых коммуникаций РФ по факту выявления фальшивых ЭЦП. Получение лицензии для УЦ дело хлопотное (https://digital.gov.ru/ru/appeals/faq/36/), поэтому вылететь с этого рынка может дорогого стоить.
Что делать если факт мошенничества обнаружен после того как счет уже заблокирован – непонятно.
В принципе действия те же. В органы — с заявлением. Далее с постановлением следователя/дознавателя о возбуждении пишем в налоговую и пробуем разблокировать счета.
Сначала должен быть зафиксирован факт выявления фальшивых ЭЦП. Возбуждение уголовного дела, это еще не фиксация факта.
>с постановлением следователя/дознавателя о возбуждении пишем в налоговую и пробуем разблокировать счета
Не прокатит, пока не доказано, что использованная подпись — фальшивая, владелец подписи должен платить налоги.
Сначала должен быть зафиксирован факт выявления фальшивых ЭЦП. Возбуждение уголовного дела, это еще не фиксация факта.
Верно, не фиксация факта. Но выявление его. Письмо необходимо для оптимизации процессов. Если вас завернут с возбуждением, у вас будет письмо и Министерства о проверке с их стороны.
Не прокатит, пока не доказано, что использованная подпись — фальшивая, владелец подписи должен платить налоги.
Так написано же, пробуем.
использованная подпись — фальшиваяне подменяйте понятия, подпись настоящая, от этого столько проблем.
Она выдана незаконным путём, не авторизованному лицу.
Росреестр, фактически, признает возможность мошенничества с ЭЦП физических лиц и дает советы как, потратив свое время и деньги, попытаться от подобного мошенничества защититься.
а можно поподробнее про «деньги»? Про «время» понятно — нужно дойти до МФЦ, а вот причем тут «деньги» в аспекте подачи заявления на запрет регимстрационных действий без личного присутствия, мне пока непонятно
Для защиты квартиры предлагается обратиться в МФЦ, требуется только время собственника на получение услуги в МФЦ.
Для защиты от регистрации ЮЛ предлагается сдача в налоговою формы 38001, требуется время и оплата госпошлины от каждого, кто не желает, чтобы на него было что-то зарегистрировано.
Так понятнее?
Погуглил, при прописанном ребёнке, баз штампа органов опёки квартиру не продать, а штамп обставлен ещё несколькими требованиями.
Но план по сбору налогов сам себя не выполнит.
У нас схожая ситуация — в компании из СПб сначала появился «левый» директор (нашего «услали» в Москву в непонятное юрлицо, занимающееся строительством — на этом моменте и обнаружилось), потом «всплыло» НДС (хотя никакого НДС не может быть) и миллиардные(!) обороты, потом непонятные СЗВ-М с неправильными данными сотрудников, поддельной подписью и печатью.
И если в НДС может быть экономический смысл (возмещение НДС на «левые» счета, через которые проходили миллиарды денег, участие в цепочке «обнала»), то в СЗВ-М (формы, сдаваемые в пенсионный фонд на работников ежемесячно) смысл — по крайней мере, нам — неочевиден.
Пока что написали в удостоверяющий центр, прокуратуру и МВД, по цепочке перенаправлений пришел ответ из МИ ФНС и от провайдера. Если Вам это интересно, напишите в личку, обсудим подробности.
мы можем заблокировать ЭЦП и не принять отчетность только в случае подозрения на незаконную деятельностьЯ правильно понимаю, у ФНС настолько «крутые» архитекторы и безопасники, что в их регламентах возможность компрометации подписи в принципе не учитывается? Но это же косяк, который даже в институтском курсовом проекте завалят и заставят всё переписывать. После такого уже возникают сомнения, а можно ли вообще при таком уровне бардака и профнепригодности что-то исправить?
А напрактике, сначала назначают очевидного виноватого и взыскивают с него деньги.
Можно задать вопрос иначе. В чьих интересах написан ваш «инситутский» регламент, и в чьих интересах действующий.
У меня тут вот по прочтению закона об ЭЦП интересный вопрос возник. В соответствии с законом, сертификат действителен с момента выдачи. Порядок выдачи в законе прописан. Если есть документальное подтверждение тому, что порядок выдачи был нарушен, то можно ли считать сертификат выданным (и действительным, с-но)? Ну а если сертификат недействителен, то подпись — тоже не действительна.
После этого, перед Васей встает задача доказать, что ЭЦП выдана незаконно. В чем ему удачи и терпения.
Вы заблокировали ЭЦП просто по звонку (неизвестно от кого)? Не беспокойтесь, это стандартная процедура, если возникает подозрение на незаконные действия, мы сразу так поступаем.Ещё один вид мошенничества с ЭЦП: злоумышленник звонит и сообщает о своих подозрениях по поводу вашей настоящей ЭЦП?
Решалось через заведение через те же Госуслуги единого реестра организаций, имеющих доступ к персональным данным и двойного подтверждения чувствительных действий.
Т.е. чтобы выпустить подпись, нужно было сначала в личном кабинете кликнуть подтверждение доступа к персональным данным, что должно было стать обязательным шагом выпуска ЭЦП. И даже для тех случаев, когда подтверждение не требовалось, в личном кабинете появлялась запись с указанием кто и зачем обращался для удостоверения личных данных. И реестры выданных действительных ЭЦП там же.
Но всё скатилось в попил, тем более что УЦ не хотят терять независимость, а у них сильное лобби.
а вот теперь пойди и докажи, что ты не верблюд? а ведь это способ не только бабло отмыть/получить, а еще конкурентов убрать, пока он там полгода/год бегает судится, он теряет доходы и так далее.
с другой стороны, если операций с фирмами подделками не было, это же можно доказать движением средств по расчетному счету в банке, не?
www.computerworld.com.au/article/664459/machine-learning-can-find-heavily-sampled-anonymised-dataset
Порядок прописан в ФЗ-63 и в регламенте ГУЦ к котором в обязательном порядке присоединяются все УЦ при аттестации, оформление через интернет — нарушение со стороны УЦ.
А чему вы удивляетесь? У нас нет виноватых среди власть придержищих (вернее стоящих у кормушки). Сам все через это прошел. Ответ один — обращайтесь в суд, только суд может решить правильно нет нет. А суд выносит решения, т которых волосы дыбом встают.Правильно ли у меня отняли имущество и т.д. и т.п. И никто не смотрит, что подпись поддельная, дарственная и вовсе не подписана, но заверена. Что мне рассказывать. А на кого уповать не понятно.
Вы приняли решения и меня тоже вынуждают принять такое же решение. Удачи вам.
Поэтому УЦ создают свою партнерскую сеть. Партнеры должны проверить документы, сгенерировать ключ на носителе, отправить запрос в УЦ, получить сертификат и выдать его клиенту. По хорошему, если Партнер серьёзный, то у него должны быть лицензии ФСБ на работу с криптографической информацией. Лицензии влекут за собой требования к помещениям, сотрудникам и периодические проверки ФСБ. Поэтому найти такого Партнера сложно. Некоторые УЦ находят Партнера попроще и заключают с ним не партнерский договор, а договор на аренду 2-х квадратных метров его помещения и «как-бы» берут на работу к себе его сотрудника. Это позволяет продавать ЭЦП от имени УЦ (я даже видел, когда УЦ дает такому партнеру свою печать №...) и прикрываться лицензиями УЦ. Такие конторки называют типа «Центр проверки документов».
В итоге в такой центр проверки документов может запросто прийти «левое» лицо с подделанным паспортом, подделанной доверенностью. А может и просто договорится с сотрудником «по тихому». А может разведет на жалость «Ой я забыла, а ехать неохота. Я вам потом подвезу». В любом случае ЭЦП будет выпущена, а ксерокопии документов (в зависимости от договора) отправятся в УЦ почтой России раз в квартал.
Это случай, когда могут создать действительно «другую» ЭЦП с реквизитами жертвы. Но не надо исключать и банальную кражу или внутрикорпоративный саботаж.
Ключ с внедренной ЭЦП может быть создан на обычной флешке и в этом случае дублируется простым копированием. Ключ может быть установлен в реестр ноутбука, украденного или взятого «попользоваться» домой. Да и как-то не заметил заявок на отзыв сертификата после утери. На это просто «забивают». Если «левая» отчетность будет подписана этим сертификатом, то уже ничего не поможет. Подпись будет именно та, которую «жертва» получила лично.
Суть проблемы в следующем: каждый УЦ может использовать свои правила удостоверения личности, в т.ч. по копиям документов через интернет.
Суть проблемы не в этом. УЦ не может использовать «свои правила». Согласно ФЗ-63 выдача сертификата квалифицированной ЭП должна проводиться только при личной явке.
Суть проблемы я бы сказал в том, что ответственность за нарушение этого пункта закона либо не прописана (я не в курсе), либо органы не очень то следят и расследуют эти нарушения.
Есть ли возможность подать в суд на УЦ? Гражданский иск. Доказать, что в момент выдачи сертификата (дата ведь известна) вы находились в другом месте, в другом городе (алиби, свидетели и тд), подпись на печатной форме не ваша (вот и графологам найдется применение). И привлечь за моральный и материальный ущерб.
А потом на основании вынесенного решения уже в ту инстанцию которая вас терроризирует.
Или УЦ честно был введён в заблуждении использованием актёра с хорошо подделаны паспортом.
И что? Преступные действия были выполнены мошенником, а не кристально честными людьми из УЦ.
Хоть двадцать исков, они потерпевшие. Как и вы.
значит вся надежда на СК… ((
Вот почему-то у нотариусов, лично несущих ответственность за свои удостоверения, в отличие от кристально чистых людей из УЦ, как-то не возникает больших проблем с актёрами и близнецами.
> потом на основании
У вас есть опыт подобных действий, или вы чисто теоретически? На практике, посмотрите предыдущую статью — у автора даже заявление не приняли, посмотрите то что я написал — следственные действия идут больше года, а пока арестованы счета компании и личное имущество. В гугле забейте в поиск «Цифроотъём» — первая ссылка, там еще один пример того как у человека заявление в правоохранительные органы не принимают. Там-же еще один случай продажи квартиры, помимо того что обсуждался тут.
> Суть проблемы не в этом. УЦ не может использовать «свои правила». Согласно… выдача… должна
А на заборе написано одно, а за забором лежит другое. По факту, УЦ могут и используют всё что хотят и никому ничего не должны. Должен потом потерпевший гражданин доказывать, что он не совершал противоправных действий. И жирность (и цвет) шрифта ситуации не меняют.
Суть проблемы не в этом. УЦ не может использовать «свои правила». Согласно ФЗ-63 выдача сертификата квалифицированной ЭП должна проводиться только при личной явке.
Она и производится при личной явке. Но вам ведь надо как-то удостовериться, что пришедшее лицо — это то самое лицо?
ЭЦП уже нет как 8 лет. Вместо нее ЭП.
Забавно обсуждать законодательство, не зная что обсуждаем.
С советом по поводу корректности терминологии обратитесь, к примеру в КриптоПро, лидера, цитирую, «по распространению средств криптографической защиты информации и электронной цифровой подписи». Или в налоговую. Объясните им, насколько они не в курсе законодательства и забавны вам.
Объясните им, насколько они не в курсе законодательства и забавны вам.
Можете позвонить в КриптоПро и спросить, если у них продукты для формирования ЭЦП.
Вы проводите анализ ситуации в текущем законодательстве, но термины даже не изучили.
Суды не примут подпись с ЭЦП как достоверную, даже если она технически правильная. И никакого мошенничества с ЭЦП не может быть, т.к. она ничтожна. И ни один УЦ последние 5 лет
Вот ссылка на закон. Вот про ЭЦП: Документ утратил силу или отменен
Зачем вводить читателей в заблуждение?
КриптоПро:
Компания КриптоПро сегодня это:
полный спектр консалтинговых услуг по применению ЭП;
полный спектр услуг удостоверяющего центра;
полный спектр услуг по применению ЭП;
интеграция с ведущими российскими и зарубежными IT решениями;
квалифицированная компьютерно-техническая экспертиза ЭП в судах всех инстанций.
Компания КриптоПро является разработчиком и поставщиком средств применения ЭП в автоматизированных информационных системах. Используя накопленный богатый опыт разработки, внедрения и сопровождения средств применения ЭП, а также кадровый потенциал сотрудников компании, мы предлагаем консультационные услуги по обеспечению деятельности удостоверяющих центров и применению ЭП в автоматизированных информационных системах предприятий различных форм собственности.
Налоговая:
Раз
Два
Вы, конечно, имели в виду двоеточие:
«ЭЦП: еще один вид мошенничества»
Потому что текущий вариант «ЭЦП – еще один вид мошенничества» означает другое, что, мол, ЭЦП сама и есть новый вид мошенничества.
Предположим, вредители вместо вас на бумаге сдали кривой отчет. Подделав подписи и печати.
Что бы вы предложили в качестве меры по предотвращению подобных случаев в будущем?
Стали бы предлагать отказаться от ручных подписей и печатей?
Стали бы на налоговую вешать ответственность за проверку ручных подписей и печатей?
Почему раньше не было таких случаев? Подписи и печати подделывают со времен изобретения письменности. Какие другие обстоятельства в конце 2010-х сложились так, что можно что-то поиметь сдав за другого поддельную отчетность?
Какие другие обстоятельства в конце 2010-х сложились так, что можно что-то поиметь сдав за другого поддельную отчетность?
Все очень просто — если кто-то чужой поставит на документе вашу ручную подпись, то вы за эту подпись ответственности по закону не несете (логично, она же поддельная). А если кто-то поставит вашу ЭЦП — несете.
Если ЭЦП, которую вы получили лично, соблюдая все необходимые нормы, то такая ЭЦП ваша. И вы несете полную ответственность за подписанные с помощью нее документы.
Если ЭЦП получена на ваше имя без вашего законного волеизъявления, то такая ЭЦП условно ваша. Т.е. в ее реквизитах указано ваше имя, но т.к. получена эта ЭЦП была без соблюдения всех норм, то все подписанное с помощью нее, не является действительным. Да, доказать незаконность таких подписанных документов, это отдельная история. Да, техническая реализация решений, связанных с ЭЦП, в том числе по проверке валидности ЭЦП, хромает. Но в законодательстве все необходимое уже есть.
Тут надо уточнить, что значит «ваша ЭЦП».
Согласно закону — та, которая выдана на ваше имя. Кто ее получал и как — совершенно не важно до тех пор, пока она выдана согласно регламенту.
Закон не производит никакого разделения между подписями, полученными "с вашим волеизъявлением" и "без вашего волеизъявления" (а вот в случае с ручной подписью — производит).
Примерно как с доверенностями.
Если доверенность выпущена без вашего участия от вашего имени, это недействительная доверенность (при этом у большинства участников нет возможности проверить ее валидность).
Ровно то же самое относится и к квалифицированному сертификату.
Кто ее получал и как — совершенно не важно до тех пор, пока она выдана согласно регламенту.
Важно. УЦ обязан удостовериться, что вы это вы.
Если это было выполнено с нарушением, что ЭЦП недействительна. Решение об этом выносит суд.
По первому случаю, есть некоторый прогресс — счета разблокированы. Правда, за время следственных действий набежали пени на >10т.р.
ЭЦП – еще один вид мошенничества