Электронная подпись через ФНС. Страшилки из Госдумы
В этом году Госдума прониклась Хеллоуином и решила напугать российский бизнес. Депутаты приняли в первом чтении изменения в ФЗ №63 «Об электронной подписи». И они реально страшные.
Законы бесполезны как для хороших людей, так и для дурных:
первые не нуждаются в законах, вторые от них не становятся лучше.
Демокрит
31 октября на Западе отметили Хэллоуин, а спустя неделю повод ужаснуться подарила российскому бизнесу Госдума. Депутаты приняли в первом чтении проект изменений в Федеральный закон №63-ФЗ «Об электронной подписи». Почему эти предложения пугают? Давайте рассмотрим подробнее.
Канва предлагаемых изменений – борьба с мошенничеством, в котором используется электронная подпись (далее – ЭП). В уходящем 2019 году многим запомнилась история продажи квартиры с помощью «поддельной» ЭП. На самом деле в этом случае не были соблюдены нормы уже действующего закона «Об электронной подписи» – сотрудник удостоверяющего центра (далее – УЦ) нарушил процедуру идентификации. Но законодатели всё равно предложили улучшить текущие правила, чтобы такого точно никогда не повторялось. Вот что из этого вышло.
Что появилось нового?
1. Законопроектом вводится понятие доверенной третьей стороны (далее – ДТС). Теперь иностранные электронные подписи будут подтверждать с помощью этого нового участника электронного обмена. Причем услугу можно и нужно оказывать зарубежным контрагентам, ведь они не могут использовать актуальную отечественную криптографию.
Что мешало делать это раньше? Ничего. Просто сейчас обмен документами с иностранцами регламентируется соглашениями и договорами. Теперь же порядок признания электронных подписей разного происхождения будет закреплен в законе. По идее, это должно помочь иностранным компаниям – упростить начало обмена электронными документами (далее – ЭД).
Но нельзя просто назваться доверенной третьей стороной и начать признавать или подвергать сомнению факты подписания документов. Такое право надо получить – для этого вводится институт аккредитации ДТС.
2. Впервые предлагается закрепить в законе понятие облачной квалифицированной ЭП (далее – ОЭП) – создание электронной подписи по поручению владельцев квалифицированных сертификатов. Эта технология достаточно жизнеспособна в бизнесе и уже используется в электронном обмене.
Кстати, чтобы стать облачным УЦ, теперь придется получить дополнительную аккредитацию. Такой удостоверяющий центр должен иметь полномочия продавать сертификаты КЭП и отдельно – на право создавать ЭП по поручению владельцев этих сертификатов.
3. Законодатели подготовили новое требование к программному обеспечению электронных подписей – теперь нужно отображать факт подписания ЭП.
Так визуализируется факт подписания ЭП в сервисе Synerdocs
Таким образом законодатели хотят упростить процедуру рассмотрения в судах электронных документов в качестве доказательств. Если операторы информационных систем раньше создавали такую функциональность по своей воле, то теперь это обязаны будут делать все.
4. В законе появляется КЭП юридического лица без указания физического лица. То есть сертификат могут выдать на компанию без указания ответственного сотрудника. Однако ограничиваются возможности применения таких ЭП – только для автоматизированного подписания электронных документов.
Бизнес давно нуждался в возможности массового машинного визирования электронных документов. Но ранее это было невозможным, так как закон запрещает использовать сертификат без участия его владельца. Сейчас же подписантом может быть компания, значит, формировать ЭП можно без человека. |
Что изменилось?
Законопроектом предусмотрены варианты идентификации физического лица без его личного присутствия. Это можно будет сделать удаленно с использованием информации из следующих источников:
● паспортно-визового документа нового поколения;
● Единой биометрической системы (ЕБС). Актуально для клиентов банков;
● Единой системы идентификации и аутентификации (ЕСИА);
● КЭП. Здесь логичное развитие мысли – возможность «продлевать» сертификаты без личного присутствия. И это разумно, ведь однажды лицо прошло процедуру идентификации, и если его данные не изменились, то нет смысла повторять ее каждый раз.
Предлагается запретить устанавливать ограничения на признание квалифицированных ЭП в различных системах. В некоторых сервисах было затруднительно использовать такую электронную подпись. Например, на электронных торговых площадках применяются особые сертификаты, не совместимые с теми, что используются для подачи отчетности в контролирующие органы. Допускаю, что законодатели пытаются таким образом закрепить функции и ограничения КЭП исключительно в рамках ФЗ-63.
Что вызвало критику?
Законодательные изменения кажутся довольно прогрессивными и полезными. Подвох скрывается в статьях 17.1, 17.2 и 17.3. Именно они вызывают наибольшую критику.
В законопроекте предлагают ввести понятие удостоверяющих центров в составе ФНС, Центробанка и Казначейства РФ, то есть появятся фактически государственные УЦ. В этом не было бы ничего страшного, если бы за ними не закрепили исключительное право выдавать сертификаты КЭП для юридических лиц и индивидуальных предпринимателей. А что должно стать с коммерческими удостоверяющими центрами?
● Во-первых, останутся только крупные УЦ. Для получения аккредитации необходимо обладать собственными средствами в размере не менее 1 млрд рублей или полумиллиарда – при условии наличия филиалов не менее чем в 75% регионов страны.
● Во-вторых, эти и прочие жесткие требования надо соблюсти только ради того, чтобы обслуживать физических лиц. А много ли мы знаем кейсов применения КЭП рядовыми гражданами? Сколько людей понимают, что такое вообще электронная подпись?
Получается, что остаться должны только крупные коммерческие УЦ, но уместиться им придется на маленьком «рыночке», при этом принося прибыль. |
Считаю, что может закрыться большинство коммерческих удостоверяющих центров, которые не являются единственным и основным бизнесом ИТ-компаний, а мелкие будут поглощены оставшимися.
«Большие рыбы поедают малых» Питер ван дер Брейгель Старший, гравюра, 1556 г.
Пострадают и пользователи – теперь подписывать документы от имени сотрудника компании придется с использованием двух КЭП – юридического и физического лица. Смысл требования не раскрыт, ведь сертификаты содержат достаточные сведения о подписанте.
При этом усложнится работа пользователя – представьте директора, визирующего каждый документ своим личным сертификатом. Скорее в таком случае компания совсем откажется от применения КЭП там, где это возможно.
Для поддержки двойного подписания придется перестроить свою работу и операторам ЭДО. Новая инициатива приведет к изменениям в Налоговом кодексе РФ и Приказе Министерства финансов РФ № 174н, где описан регламент обмена электронных счетов-фактур, множестве подзаконных актов ФНС России о прочих типах электронных документов.
Насколько оправданы такие изменения в законе и каким образом новые механизмы должны усилить безопасность электронного обмена? Возможно, должно сократиться количество недобросовестных УЦ? Но почему же сейчас Минкомсвязь РФ выдает им аккредитацию? |
На мой взгляд, создание государственных УЦ не решат проблему с мошенничеством. Сотрудники могут злоупотреблять положением независимо от того, в какой организации работают. Но есть плюс для государства – стоимость сертификатов для пользователей теперь будет контролироваться им.
Послесловие
Сейчас мало кого удивляет, с какой легкостью новые законы рубят с плеча, ставя под удар целые отрасли. Но критика изменений ФЗ-63 звучит не только со стороны ИТ-компаний, но и тех, кто использует электронный обмен документами, например, ритейлеров.
Законопроект уже принят в первом чтении. Насколько мне известно, изменения должны утвердить до конца текущего года. Посмотрим, учтут ли в Госдуме критику и предложения бизнеса ко второму чтению и по каким правилам мы начнем работать в 2020 году.
Комментарии 4
Александр, интересный обзор получился, спасибо. Что-то мне подсказывает, что описанные изменения в законе будут приняты и в ближайшее время мы увидим перераспределение рынка. Как вы правильно отметили, останутся крупные "игроки", а более мелкие будут поглощены/объединены или уйдут с рынка. Есть ли у вас информация о том, какое количество удостоверяющих центров функционирует у нас в стране и о каком объеме рынка услуг мы говорим?
Айрат, по данным Минкомсвязь РФ, аккредитация действительна у четырехсот удостоверяющих центров. Большинство из них коммерческие. Об объеме рынка не располагаю информацией
Спасибо за обзор! Очень спорные изменения получились, к которым возникает множество вопросов. Как при двойной подписи будет проверяться связь между юридическим лицом и физическим лицом, подписавшим документ? Индивидуальным предпринимателям также необходимо будет подписывать документы двумя КЭП? Надеюсь, всё-таки критика и предложения бизнеса ко второму чтению будут учтены.
При таких условиях интересно разобраться, будет ли все-таки сохраняться срок действия текущих сертификатов и УКЭП, если УЦ не пройдут или не подадут на аккредитацию? И будут ли они соответствовать новым правилам. Согласно действующей редакции закона в случае прекращения срока аккредитации УЦ квалифицированный сертификат, выданный аккредитованным удостоверяющим центром заявителю, прекращает свое действие.
интересно, планируется ли экспериментальный период и участие операторов эдо в пилотных испытаниях?