Электронная подпись по доверенности?

Совсем недавно в кругу коллег обсуждали интересную и, признаться, достаточно распространенную ситуацию, когда директор компании передает секретарю свой сертификат электронной подписи, чтобы тот подписывал исходящие электронные документы в сервисе межкорпоративного документооборота. Или же аналогичный случай, когда бухгалтер на отправляемой по каналам связи в Федеральную налоговую службу или внебюджетные фонды отчетности ставит электронную подпись директора компании. Директор может даже никогда не узнать, какой документ он «подписал». Подпись документов от лица директора его заместителем – дело вполне житейское, особенно в России. Типичный российский руководитель редко сидит долго за компьютером.

Электронная подпись, кажется, органично вписывается в эту практику, если не брать в расчет тот факт, что закрытый ключ никому нельзя передавать, он всегда находится только у владельца сертификата электронной подписи и идентифицирует только его. Иначе, каким образом можно приравнять электронную подпись к собственноручной? Если проводить аналогию с обычным автографом, то получается, что директор компании передает заместителю свою собственную руку! Именно «собственноручность» является определяющим фактором доверия к электронной подписи.

Второй вопрос – безопасность. Формально, при передаче другому лицу тайна закрытого ключа нарушается, и невозможность подделки электронного документа и электронной подписи на нем автоматически ставится под сомнение. Получается, что, передавая свой токен другому человеку, владелец сертификата добровольно допускает компрометацию своего ключа электронной подписи. А это уже, согласно регламенту Удостоверяющего центра, основание для отзыва такого сертификата.

Является ли это проблемой для организаций, в которых часто приходится визировать документы без участия директора? Как оказалось, совсем не обязательно.

Во-первых, в законодательстве совершенно не регламентирован порядок передачи ключей электронной подписи для использования третьими лицами. Для всех это означает примерно следующее: «делай, что хочешь». Забавный, но достоверный факт: во многих российских компаниях даже выпускают внутренний приказ, передающий право пользоваться сертификатом электронной подписи директора какому-либо третьему лицу. В некоторой степени это даже придает определенной уверенности. Хотя гораздо более часто встречается ситуация, которую мы описали выше: бухгалтер пользуется сертификатом ЭП директора без ограничений, просто взяв токен с закрытым ключом в свои руки.

Во-вторых, сама по себе сохранность закрытого ключа – тема очень скользкая, которая в итоге ставит вопросы больше к обеспечению безопасности на всем предприятии в целом, а не к конкретной технологии. И тут на первый план выходит человеческий фактор, который, к сожалению, никак не исключить.

В-третьих, обращаемся непосредственно к ФЗ-63 «Об электронной подписи», статья 10:

    При использовании усиленных электронных подписей участники электронного взаимодействия обязаны:
  • обеспечивать конфиденциальность ключей электронных подписей, в частности не допускать использование принадлежащих им ключей электронных подписей без их согласия; <…>
  • не использовать ключ электронной подписи при наличии оснований полагать, что конфиденциальность данного ключа нарушена.

Эти формулировки встречаются в регламентах многих Удостоверяющих центров. То есть, фактического запрета на передачу закрытого ключа кому-то другому не оговаривается. Вот эти самые «без согласия» и «основания полагать» и дают формальную возможность передавать право на подпись документов от имени и за руководителя. Но тут возникает коллизия: что делать, если подпись будет обнаружена не там, где надо, как доказать в суде, что документ подписан не директором? Фактически определить, кто воспользовался подписью в этом случае нельзя – и принцип неотрекаемости в данном случае сработает полностью.

Что тут можно посоветовать? Если руководитель не опасается никого и ничего, то можно оставить все, как есть. Закон позволяет.

Если же проявлять хоть какую-то осторожность, то логичнее всего приобрести отдельные сертификаты ЭП для своего заместителя, бухгалтера или любого другого сотрудника. Для реализации данной возможности специалистами Деловой сети разработан специальный web-сервис – Личный кабинет. В нем директор компании может не только сгенерировать ключ электронной подписи для себя, но и создать необходимое количество сертификатов ЭП для своих сотрудников, разграничив их полномочия и области применения сертификатов. Таким образом будет решена проблема безопасности и минимизирован риск подписи важных документов неуполномоченным лицом.

Деловая сеть настоятельно рекомендует хранить закрытые ключи ЭП на специализированных носителях – токенах. Риск повреждения сертификата минимален, и такой носитель удобно всегда держать при себе – например, на связке обычных ключей.



Добавить комментарий

Войти через соцсети