Неправомерное использование ЭП: уголовные и административные риски

Электронная подпись (ЭП) — мощный инструмент, который упрощает документооборот и экономит время. Но вместе с удобством приходит и серьёзная ответственность: неправомерное использование ЭП может привести к административным штрафам, уголовной ответственности и многомиллионным убыткам. Разберёмся, какие риски подстерегают владельца подписи, как злоумышленники эксплуатируют ЭП и как защитить себя от неприятностей.

Что считается неправомерным использованием ЭП?

Неправомерное использование — это любое действие с электронной подписью без согласия её законного владельца или в целях обмана. Вот типичные сценарии:

• Кража ключа ЭП. Злоумышленник получает доступ к токену или паролю и подписывает документы от чужого имени.
• Подделка сертификата. Создание фальшивого сертификата подписи для имитации действий должностного лица.
• Использование после увольнения. Бывший сотрудник продолжает подписывать документы, хотя право на ЭП утрачено.
• Махинации с отчётностью. Подача ложных налоговых деклараций или фиктивных договоров с использованием чужой ЭП.
• Мошенничество в госзакупках. Участие в тендерах с поддельной подписью руководителя компании.

Обязанности владельца ЭП по 63‑ФЗ «Об электронной подписи»

Владелец (организация/уполномоченное лицо) обязан обеспечивать сохранность средств ЭП и конфиденциальность ключевой информации, не допускать использования ЭП неуполномоченными лицами. При признаках компрометации ключа требуется незамедлительно принять меры (в т. ч. инициировать отзыв/блокирование сертификата через удостоверяющий центр/оператора).

Нарушение этих обязанностей само по себе не всегда образует «универсальный» состав КоАП, но создаёт правовые риски: оспаривание юридической силы документов, убытки, претензии контрагентов/регуляторов, а при злоупотреблениях — риск иных видов ответственности по обстоятельствам дела.

Законы, которые применяются к неправомерному использованию ЭП

1. Федеральный закон от 06.04.2011 № 63‑ФЗ «Об электронной подписи». Базовый закон: виды ЭП (простая/усиленная), требования к сертификатам, обязанности владельца ключа/сертификата, правила использования, отзыв сертификата, роль удостоверяющих центров.
2. Гражданский кодекс РФ (в части формы сделок и использования аналога собственноручной подписи). Применяется при спорах о действительности/заключённости сделок и распределении рисков при подписании электронных документов (в т.ч. если подпись использовали неуполномоченные лица).
3. Федеральный закон от 27.07.2006 № 149‑ФЗ «Об информации, информационных технологиях и о защите информации» Общие требования к защите информации. Используется, когда злоупотребление ЭП связано с неправомерным доступом, нарушением режима защиты, инцидентами информационной безопасности.
4. Федеральный закон от 27.07.2006 № 152‑ФЗ «О персональных данных». Подключается, если при неправомерном использовании ЭП происходит незаконная обработка/передача персональных данных (например, доступ к личным кабинетам, подписание кадровых/банковских/госуслуг-документов).
5. Сопутствующие «профильные» законы — по ситуации. Например, если ЭП применялась в финансовых операциях/банке, могут дополнительно иметь значение нормы Федерального закона № 161‑ФЗ «О национальной платёжной системе» и внутренние регламенты/требования Банка России (как правило, это уже не «про ЭП вообще», а про безопасность переводов/аутентификацию).

Виды ответственности

Административная (КоАП РФ)

Типовые составы, которые часто «ложатся» на кейсы с ЭП. Их применяют в зависимости от фактических обстоятельств:

• Ст. 13.11 КоАП РФ — нарушения законодательства о персональных данных. Если при злоупотреблении ЭП незаконно обрабатывались/передавались ПДн.
• Ст. 13.12 КоАП РФ — нарушение правил защиты информации. Когда организация не обеспечила требуемый режим защиты/контроля доступа, что привело к инциденту.
• Ст. 13.13 КоАП РФ — незаконная деятельность в области защиты информации. Например, нарушения в сфере применения/оборота средств защиты информации — по конкретике дела.
• Ст. 13.14 КоАП РФ — разглашение информации с ограниченным доступом. Если имела место утечка коммерческой/служебной тайны и т. п.
• Ст. 19.7 КоАП РФ — непредставление сведений (информации) в госорган. Если после инцидента не исполнялись законные требования о предоставлении информации/документов.

Также, если неправомерное использование ЭП повлекло нарушения в налоговой/отчётности, могут применяться «отраслевые» составы (например, для должностных лиц — ст. 15.5 КоАП РФ за нарушение сроков представления декларации), но это уже ответственность за последствия, а не за сам факт использования ЭП.

Уголовная (УК РФ)

Когда есть взлом, хищение, подделка, ущерб. Чаще всего неправомерное использование ЭП квалифицируют по следующим статьям (иногда — в совокупности):

• Ст. 272 УК РФ — неправомерный доступ к компьютерной информации. Например, злоумышленники получили доступ к носителю/аккаунту/ключу/системе, где используется ЭП.
• Ст. 273 УК РФ — создание/использование/распространение вредоносных программ. Если ключ ЭП/доступ похищали через вредоносное ПО.
• Ст. 274 УК РФ — нарушение правил эксплуатации средств хранения/обработки/передачи компьютерной информации. Обычно относится к лицам, ответственным за эксплуатацию, если нарушение повлекло тяжкие последствия.
• Ст. 159 УК РФ — мошенничество. Если с помощью ЭП похитили деньги/имущество или получили права на имущество.
• Ст. 159.6 УК РФ — мошенничество в сфере компьютерной информации. Типично для схем, где ключевую роль играет ИТ-компонента: подмена данных, использование электронных систем и т.п.
• Ст. 327 УК РФ — подделка, изготовление или оборот поддельных документов. Может применяться, если действия фактически направлены на изготовление/использование «подложных» документов. Применимость к электронным документам зависит от конкретики и правовой оценки.
• Ст. 183 УК РФ — незаконное получение/разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну. Если через ЭП добывали охраняемую тайну.
• Ст. 187 УК РФ — неправомерный оборот средств платежей. Актуально, если ЭП использовали для неправомерного инициирования платежей, особенно в банковской/платёжной инфраструктуре — квалификация зависит от схемы.

Кто несёт ответственность: владелец ЭП или злоумышленник?

По общему правилу уголовную/административную ответственность за неправомерные действия несёт злоумышленник, а владелец ЭП может нести ответственность только при наличии своей вины (небрежность, нарушение обязанностей по хранению ключа, участие/пособничество) и/или гражданско‑правовые риски по последствиям подписания.

Уголовная и административная ответственность

• Если ЭП использовал посторонний (взлом, кража ключа, фишинг и т.п.), то субъект ответственности обычно злоумышленник (по соответствующим статьям УК/КоАП — неправомерный доступ, мошенничество и т.д.).
• Владелец ЭП может попасть под ответственность, если установят его вину:
  – сам передал ключ/носитель/пароль, сознательно дал пользоваться;
  – грубо нарушил правила хранения/доступа, что прямо привело к инциденту (особенно актуально для должностных лиц и организаций в контуре ИБ/ПДн);
  – участвовал в схеме (тогда возможно соучастие).

Гражданско‑правовые последствия: самая частая «боль»

Даже если уголовно виновен злоумышленник, спор с контрагентом часто упирается в вопрос: считается ли документ подписанным владельцем сертификата и кто несёт риск компрометации.

По логике 63‑ФЗ «Об электронной подписи» и практики: подпись, проверенная действующим сертификатом, обычно презюмируется исходящей от владельца, пока не доказано иное (компрометация ключа, отсутствие воли на сделку и т.п.).

Итог распределения рисков зависит от фактов: как хранился ключ, кто имел доступ, были ли регламенты, журналирование, своевременный отзыв сертификата, уведомление контрагентов.

Если ЭП «корпоративная» (сотрудник/организация)

• Если документ подписан ЭП сотрудника в рамках его полномочий, последствия обычно несёт организация как сторона сделки.
• Если сотрудник/третье лицо действовал вне полномочий или ключ был украден, дальше всё решают доказательства: была ли у организации надлежащая система контроля доступа и реагирование.

Как защитить себя от рисков

1. Храните токен правильно. Не оставляйте его в компьютере, не передавайте другим людям. Используйте PIN‑код, который сложно угадать.
2. Блокируйте подпись при утрате. Если токен потерян или вы подозреваете взлом, немедленно обратитесь в УЦ для аннулирования сертификата.
3. Используйте двухфакторную аутентификацию. Дополнительные меры защиты (SMS‑коды, биометрия) усложнят злоумышленникам доступ.
4. Заключайте соглашения. Если ЭП используют сотрудники, зафиксируйте в договоре их ответственность за неправомерные действия.
5. Следите за почтой и SMS. Подозрительные сообщения о смене пароля или запросе на подпись — сигнал к проверке безопасности.
6. Обновляйте ПО. Используйте только сертифицированные программы для работы с ЭП и вовремя устанавливайте обновления.
7. Отзывайте МЧД и доступы уволенных сотрудников. Полномочия на подпись документов должны быть прекращены незамедлительно по факту увольнения.

Что делать, если ЭП использовали без вашего ведома

1. Незамедлительно заблокируйте сертификат через УЦ.
2. Обратитесь в полицию с заявлением о мошенничестве. Приложите выписки из банка, скриншоты подозрительных операций.
3. Уведомьте контрагентов о компрометации подписи, чтобы они не принимали документы от вашего имени.
4. Проведите внутреннюю проверку. Если ЭП использовали сотрудники, выясните, как произошёл доступ.
5. Обратитесь к юристу для защиты в суде, если требуется взыскать ущерб.

Резюме

Электронная подпись — юридически значимый инструмент, и его использование регулируется законом. Злоумышленники могут нанести ущерб в миллионы рублей, а владелец подписи рискует потерять деньги, репутацию и даже свободу.

Чтобы избежать проблем:

• относитесь к ЭП как к паспорту или банковской карте — не доверяйте её посторонним;
• соблюдайте правила безопасности;
• реагируйте на подозрительные действия мгновенно.

Помните: профилактика всегда дешевле, чем борьба с последствиями.