Что делать, если украли электронную подпись

Утрата ключей электронной подписи и неправомерное использование ЭП называется компрометацией. Мошенники могут завладеть ключами вашей электронной подписи и подписывать от вашего имени любые документы, и вам может не быть об этом известно. Если вы владели ЭП сотрудника или на вас была оформлена машиночитаемая доверенность (МЧД), то вред могут причинить не только вам, но и компании, в которой вы работаете. Поэтому каждый владелец электронной подписи должен соблюдать базовые правила безопасности, благодаря которым риск того, что ваша ЭП окажется у мошенников, будет минимизирован. Рассмотрим, что делать, если подпись всё-таки украли.

Как понять, что вашей электронной подписью воспользовались злоумышленники

Если ваша электронная подпись хранилась на токене, а вы обнаружили, что токен пропал, то велик шанс того, что произошла кража ЭЦП. Вероятность этого сильно повышается, если на токене установлены стандартные пин-коды. Информация о том, как установить другие пин-коды на токен, есть в нашем материале.

Первая рекомендация: не оставляйте токен в компьютере надолго, особенно когда вы с ним не работаете. Носите токен с собой на связке ключей и подключайте его к ПК по необходимости. На ночь уносите токен с собой или храните в сейфе, ключи и пароль от которого есть только у вас. Множество случаев неправомерного использования электронной подписи связано с тем, что пользователи оставляли свои компьютеры на ночь включёнными, и токены при этом были подключены к ПК.

Заметить утрату ключа электронной подписи гораздо сложнее, если он хранился в реестре вашего компьютера и был оттуда скопирован без вашего ведома. Такая кража чаще всего обнаруживается лишь тогда, когда мошенники воспользуются подписью. Например, вы увидите в интернет-банке платёжку, которую вы не подписывали.

Ранее мошенники могли выпустить сертификат и ключи электронной подписи на имя человека, который не давал своего согласия на создание ЭП или вообще не знал о том, что подпись оформляют по поддельной доверенности. Сейчас это почти невозможно. Согласно закону № 63-ФЗ, сотрудники удостоверяющих центров (УЦ) обязаны проводить идентификацию заявителя. Таким образом, теперь получить подпись в первый раз может только будущий владелец ЭП, а не его представитель с доверенностью. Человек, на имя которого выписывается сертификат, моментально получает уведомление о выпущенном сертификате через Госуслуги. Поэтому более реальный сценарий сейчас — это кража ключа электронной подписи из-за его неаккуратного хранения самим пользователем.

Существует ряд способов, позволяющих проверить, не используют ли вашу подпись другие люди:

• регулярная проверка своего профиля на «Госуслугах». Просмотреть все сертификаты ЭП можно, перейдя из Личного кабинета в раздел «Электронная подпись». Чтобы увидеть сведения о ваших ЭП, откройте Личный кабинет, зайдите в раздел «Профиль» и перейдите в подраздел «Электронная подпись». Кроме того, вы можете настроить уведомления, чтобы знать, когда на ваше имя выпускается новая электронная подпись;
• проверка личного кабинета на ресурсе nalog.ru. Если мошенники попытаются продать ваше имущество или сдать подложную отчётность от лица компании, данные об этом появятся в Личном кабинете на сайте ФНС. Откройте свой профиль на портале, зайдите в раздел «Обращения» и кликните по кнопке «Перейти в раздел», чтобы узнать подробности;
• проверка своих действий на тех сервисах, где ранее использовалась ваша ЭП, например, в интернет-банках. Если вы видите подписанные вами операции, которые вы не создавали, то, возможно, вашей подписью пользуется кто-то ещё.

Если вы считаете, что вашей электронной подписью пользуются злоумышленники, нужно как можно скорее обратиться за помощью в удостоверяющий центр, который выдал эту электронную подпись.

Если вы считаете, что вашей электронной подписью пользуются злоумышленники, нужно как можно скорее обратиться за помощью в удостоверяющий центр, который выдал эту электронную подпись.

Как мошенники могут украсть ключи электронной подписи

Злоумышленники используют разные способы для похищения ключей ЭП. Преступники могут:

• украсть токен — носитель, на который записан ключ электронной подписи. Но если токен и закрытый ключ ЭП защищены пин-кодом, то потеря не страшна;
• получить несанкционированный доступ к компьютеру владельца и к хранящемуся на нём ключу подписи;
• выпустить электронную подпись без вашего ведома, подделав документы и обманув представителя удостоверяющего центра. Однако все удостоверяющие центры берегут свою репутацию и тщательно проверяют документы лица перед тем, как выпустить ЭП.
  Удостоверяющий центр «Калуга Астрал» по праву считается одним из самых авторитетных и надёжных удостоверяющих центров. Получить электронную подпись на другое лицо в УЦ «Калуга Астрал» невозможно.

Что нужно сделать, если вашу электронную подпись украли

Отозвать сертификат в УЦ

Написать заявление в налоговую службу

Обратиться в полицию

Отозвать сертификат в УЦ

Обратитесь в удостоверяющий центр, который выдал вам сертификат электронной подписи, и подайте заявление на отзыв ключа ЭП. Сотрудники УЦ предоставят вам бланк заявления о прекращении действия сертификата ключа проверки электронной подписи.

Если вы обращаетесь в удостоверяющий центр лично, сотрудники проверят ваш паспорт (или другой документ, удостоверяющий личность) и самостоятельно заполнят бланк. Вам останется только подписать заявление и получить отметку о его принятии от сотрудника удостоверяющего центра. Если вы хотите решить вопрос удалённо и у вас нет возможности оперативно посетить точку выдачи удостоверяющего центра, то полученный от специалистов удостоверяющего центра бланк нужно распечатать, подписать и отправить в УЦ по адресу, который вам сообщат.

Каждый аккредитованный удостоверяющий центр имеет регламент, согласно которому он выполняет свои функции. Обычно регламент размещён на сайте центра. Бланк заявления на отзыв сертификата вы также можете найти в этом документе. Также в регламенте описан порядок отзыва сертификатов.

Помните: чем быстрее вы подадите заявление на отзыв сертификата, тем быстрее сертификат отзовут и тем меньше действий недоброжелатели успеют совершить от вашего имени. Как правило, аккредитованные удостоверяющие центры производят отзыв квалифицированного сертификата в течение 12 часов с момента получения соответствующего заявления.

У разных удостоверяющих центров способы отправки заявлений на отзыв отличаются друг от друга. В качестве примера мы привели порядок процедуры, принятый в УЦ «Калуга Астрал».

Образец заявления на отзыв ЭП приведён ниже. Получить бланк заявления можно, взяв его из регламента удостоверяющего центра. Заявления в разных удостоверяющий центрах внешне и по содержанию очень похожи.

Если вы получали электронную подпись в удостоверяющем центре «Калуга Астрал», заполните заявление и обратитесь в ближайший офис или представительство нашего удостоверяющего центра.

Написать заявление в налоговую службу

Если вы опасаетесь, что злоумышленники могли открыть на ваше имя новую компанию, обязательно обратитесь в ФНС.

Мы рекомендуем посетить отделение лично, чтобы быстрее предотвратить неприятности. Если мошенники уже зарегистрировали фирму и поставили её на учёт в налоговой, прийти в офис ФНС нужно незамедлительно. Опишите свою проблему инспектору и подайте заявление. В документе укажите, что вы не регистрировали эту компанию, а про электронную подпись, которой, возможно, было подписано заявление на регистрацию, вы ничего не знаете.

Обратиться в полицию

Если мошенники уже успели причинить вам материальный ущерб, обратитесь в полицию и сообщите, что ваша электронная подпись скомпрометирована. Если подпись выпускали вы, то приложите к заявлению копии документов, которые вам выдали в удостоверяющем центре при выпуске. Если от вашего имени уже совершили сделку, то обратитесь к адвокату: возможно, сделку получится аннулировать в судебном порядке.

Почему важно отозвать сертификат как можно быстрее

У физических лиц ключи электронных подписей воруют существенно реже, чем у юридических. Это связано с тем, что ЭП физического лица даёт мошенникам не так много возможностей, а риск получить штраф и тюремный срок за кражу всё равно остаётся.

С помощью украденной подписи физлица злоумышленники могут завладеть вашей собственностью, подписав документы вашей ЭП. Однако с недавних пор этого можно избежать, подав специальное заявление на Госуслугах и запретив тем самым подтверждать сделки с недвижимостью электронной подписью.

Украв ключи ЭП директора юридического лица или ИП, мошенник получает ещё больше преимуществ. Имея подпись руководителя организации, злоумышленник может:

• вывести деньги со счёта компании;
• продать имущество предприятия;
• оформить микрозайм на организацию и моментально его вывести;
• принять участие в торгах и уклониться от заключения контракта в случае выигрыша. Так мошенник испортит репутацию компании.

В том случае, если подписью завладели конкуренты, они могут сменить руководителя вашей фирмы или добавить нового учредителя. Возможны и другие действия, способные навредить вашему бизнесу.

Первые лица организаций могут передавать свои ЭП сотрудникам: например, бухгалтерам, которые сдают отчётность от лица компании. Это несёт для юрлиц такие же риски, как и в том случае, если к подписи получили доступ конкуренты. Передавать подпись работникам нельзя. Все сотрудники должны пользоваться своими ЭП и при необходимости получать от руководителя МЧД.

Чтобы снизить такие риски, нужно быстро отозвать сертификат подписи, как только у вас возникло подозрение в краже. Также нужно помнить, что действия недоброжелателей часто можно аннулировать через суд. В большинстве случаев суды принимают сторону потерпевших, признавая поддельные контракты недействительными.

Обладатель электронной подписи должен максимально ответственно отнестись к хранению электронных ключей и соблюдать простые правила безопасности:

не передавать носитель ключа посторонним лицам;

не оставлять токен без присмотра;

хранить токен в сейфе или в запертом ящике стола;

заподозрив пропажу, незамедлительно сообщить о ней в УЦ;

поменять пин-коды на токене.

Как выбрать удостоверяющий центр

Руководители юридических лиц и бюджетных учреждений, индивидуальные предприниматели и нотариусы получают ключи и сертификат электронной подписи в УЦ ФНС и в офисах их доверенных лиц. Физические лица, в том числе сотрудники организаций, могут получить подпись в аккредитованных удостоверяющих центрах. Удостоверяющий центр «Калуга Астрал» выпускает электронные подписи и машиночитаемые доверенности (МЧД) для физических лиц, а также помогает выпустить электронную подпись ИП и предпринимателям.