УЦ и мошенничество с электронной подписью

В последнее время участились публикации о мошенничествах с применением электронной подписи (далее ЭП). Проблема не нова. Еще три года назад на отраслевых форумах представители регулятора рассказывали про такие случаи. Почему именно сейчас опять вспомнили?

 

Авторы публикаций видят главную причину, по которой такие схемы становятся возможными, в том, что Удостоверяющие Центры (далее УЦ) не выполняют требования. Однако закон, существующий уже без малого 8 лет, до сих пор позволяет трактовать его по разному. Что собственно и происходит: рынок и регуляторы трактуют его каждый в свою сторону.

 

За время существования закона об электронной подписи (№63-ФЗ) регуляторами выпущено несколько поправок и дополнительных НПА, но нигде так и не прописано четко, как правильно выдавать сертификаты ЭП. УЦ в попытках прояснить нюансы применения закона, задают вопросы регулятору. Но вместо разъяснений получают в ответ ссылки на закон, отписки, переадресации от регулятора к регулятору, и никакой конкретики.

 

Приведу пример: истребование удостоверяющими центрами уставов при выпуске квалифицированного сертификата (да, УЦ выпускает именно сертификаты, а не ЭП и не там более ЭЦП). Большинство УЦ устав у клиентов не запрашивает, ведь в законе про это ни слова. Но вот с проверкой приходит Минцифры. И оказывается, что УЦ должен был запрашивать в числе прочего и копию устава. По результатам проверки деятельность УЦ приостанавливается. Но централизовано довести (и обосновать) информацию о необходимости запрашивать у клиентов копию устава до всего рынка, регулятор до сих пор не удосужился…

 

Главная идея изменений в действующем законодательстве - это  увеличение требований к активам УЦ и увеличение страховой суммы. При этом никто не приводит конкретных примеров, когда пострадавшим от незаконного выпуска сертификата ЭП была выплачена страховая сумма. Если бы такие суммы действительно выплачивались, то уже давно страховые компании повысили бы свои тарифы по страхованию ответственности УЦ. А этого не происходит. Сейчас страхование ответственности УЦ стоит от 45 тысяч рублей при сумме возмещения в 30 млн. рублей. Если сравнить с тем же ОСАГО, то получаются цены отличающиеся на порядок…

 

Уже не первый год на различных уровнях власти идет речь об увеличении требований к активам УЦ и увеличении страховой суммы. Ведь это гораздо проще, чем разобраться и начать по настоящему управлять рынком, начать корректно контролировать рынок. У Минцифры есть множество рычагов, но регулятор ими не пользуется. Например, каждый УЦ ежедневно предоставляет им все выпущенные сертификаты, так почему бы не создать общий реестр выпущенных сертификатов? На основе такого реестра можно было бы реализовать информирование в личном кабинете госуслуг о всех случаях, когда на человека выпускается сертификат. Человек, получив уведомление, узнает о факте выпуска сертификата на свое имя и сможет предпринять своевременные шаги по защите своих интересов в случае если имело место мошенничество.

 

Если регуляторам не хватает полномочий для контроля, эти полномочия было бы правильным увеличить. Уверен, такие изменения в закон прошли бы совершенно спокойно и никто бы им не противился. Главное, пусть контролируют правильно и обеспечивают поддержку удостоверяющих центров, в том числе и методическую.

 

А те меры, которые прописаны в последней редакции поправок к закону об электронной подписи, едва ли смогут эффективно защитить пользователей ЭП. Произойдет банальное переформатирование рынка. Многие УЦ уже сейчас ищут себе партнера, который обладает необходимыми активами. Например, Удостоверяющий центр «Основание» (ООО «ЦБКИ»), который, согласно опубликованному релизу, подписал соглашение о сотрудничестве, где вероятнее всего Ростех будет просто обеспечивать Удостоверяющий центр «Основание» необходимыми активами (https://rostec.ru/media/pressrelease/rostekh-i-seldon-sozdayut-krupneyshiy-v-rossii-udostoveryayushchiy-tsentr-/).

 

И есть все основания полагать, что качественных изменений во внутренних бизнес-процессах при этом не произойдет. То же самое относится к УЦ, деятельность которых будет обеспечиваться уставным капиталом крупных родительских компаний: банки, операторы сотовых сетей и т.п.

 

Анализ мошеннических схем, описанных в вышеупомянутых статьях, позволяет увидеть, что главная проблема - это сговор с сотрудниками в точках касания с клиентом (иногда их называют точками выдачи или идентификации), либо недобросовестное исполнение своих обязанностей все теми же сотрудниками. И не важно: большой УЦ или маленький, принадлежит государству или частным владельцам.

 

Сотрудники государственных аппаратов рассказывали, что сейчас даже в УЦ федерального казначейства им могут выпустить сертификат без личного присутствия, например, Министра, ссылаясь на его занятость… Также, очень распространена схема, когда взаимодействием с клиентом занимается не сам УЦ, а его партнеры в различных городах. То есть халатность и преступный сговор возможен в любом из вариантов. И нарушающему сотруднику нет никакого дела ни до размеров уставного капитала компании, в которой он работает, ни до цифр в договоре страхования, который он в глаза не видел.

 

Именно поэтому предложенные изменения скорее всего не вызовут ожидаемых положительных изменений. И именно поэтому правильный путь - это путь более тонкого, грамотного и эффективного регулирования существующей экосистемы УЦ, в том числе за счет активного взаимодействия с его участниками, вместо основательного "перекапывание" этой экосистемы.

03 июня 2019