ЭЛЕКТРОННАЯ ПОДПИСЬ: КАК ЗАЩИТИТЬ БИЗНЕС ОТ ФИНАНСОВЫХ ПОТЕРЬ И СУДЕБНЫХ ИСКОВ

Электронная подпись (ЭП) стала неотъемлемой частью делового оборота. Она ускоряет документооборот, упрощает взаимодействие с государственными органами и делает бизнес-процессы более эффективными. Заказать квалифицированную электронную подпись можно тут. Однако за кажущейся простотой использования скрываются серьезные риски. Передача электронной подписи третьим лицам, недостаточный контроль за ее применением и невнимание к организации работы с ЭП могут привести к многомиллионным убыткам, судебным искам и даже уголовной ответственности.

Как показывает судебная практика, вариантов попадания электронной подписи в руки злоумышленников всего два: владелец сам передает ЭП другому лицу (на хранение или для пользования) либо мошенники получают подпись за другое лицо. В обоих случаях последствия могут быть катастрофическими. Именно поэтому грамотная организация работы с ЭП — это не рекомендация, а жизненная необходимость для любого предпринимателя. .

Отношения в области использования электронной подписи регулируются Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи». Согласно закону, электронная подпись — это информация в электронной форме, присоединенная к подписываемым данным и используемая для определения лица, их подписавшего.

Законодательство не содержит прямого запрета на передачу электронной подписи другому лицу. Однако ключевой принцип идентификации подписанта при этом нарушается. При ошибочной или заведомо незаконной операции отвечать будет именно владелец ЭП, а не тот, кто ее фактически использовал. Даже если владелец избежит уголовной ответственности, именно к нему может быть выставлена претензия по возмещению убытков предприятия.

За последние годы законодательство претерпело ряд изменений, направленных на повышение безопасности использования электронной подписи. В криминальной практике это привело к отказу от старых схем и формированию новых.

Ранее были распространены технические способы, связанные с незаконным копированием ЭП с официальных носителей. Основой для этого была слабая защищенность как самих носителей, так и самой подписи от копирования. Бывали случаи, когда ЭП директора копировалась на несколько компьютеров в бухгалтерии якобы для удобства работы.

В настоящее время при выпуске сертификата усиленной квалифицированной электронной подписи (УКЭП), который выдается директорам юридических лиц в Удостоверяющем центре ФНС России, обязательным является наличие токена — специального защищенного носителя с повышенным уровнем защиты. Это существенно снизило риски копирования электронных подписей.

Однако при получении сертификата УКЭП физическими лицами в коммерческом удостоверяющем центре наличие токена не обязательно. С учетом того что с 2024 года работники предприятий работают на основании машиночитаемой доверенности с использованием своих личных ЭП, риски их копирования и использования третьими лицами сохранились. Для предотвращения неправомерного применения рекомендуется использовать защищенный носитель — токен, как самый безопасный способ хранения и использования ключей УКЭП.

Передача владельцем ЭП другому лицу является очень распространенной ситуацией и на первый взгляд не несет явных рисков. Часто экономисты или бухгалтеры собирают у себя ключи сертификатов ЭП директора и бухгалтера, объясняя это удобством. Однако на самом деле это может быть связано либо с ленью, либо с преступным умыслом.

Законодательство не содержит прямого запрета на передачу ЭП, однако это противоречит принципу идентификации подписанта. Ключевая проблема в том, что при ошибочной или незаконной операции виноватым признают владельца подписи. Даже если владелец избежит уголовной ответственности, именно к нему может быть выставлена претензия по возмещению убытков предприятия.

Часть 1 статьи 10 Закона об ЭП не предполагает передачу права использования усиленной электронной подписи другому лицу на основании какого-либо распорядительного документа (приказа, доверенности и т.п.), а указывает лишь на техническую возможность простановки подписи другим лицом с согласия и под контролем владельца сертификата. Функция иного лица может сводиться исключительно к техническому введению ключа и не предполагает делегирования полномочий.

Наиболее показательным является дело № А56-35890/2015, которое прошло все судебные инстанции вплоть до Верховного Суда РФ и стало прецедентным. По этому делу акционерное общество обратилось в суд с иском к бывшему генеральному директору о взыскании убытков в размере более 339 миллионов рублей, причиненных в результате мошеннических действий сотрудников бухгалтерии.

Суды первой инстанции отказали в иске, однако апелляция и кассация приняли противоположное решение, взыскав с бывшего директора более 254 миллионов рублей. Ключевыми факторами для пересмотра дела стали:

• Ненадлежащая организация бухгалтерского учета — генеральный директор не организовал учетную политику таким образом, чтобы осуществлять контроль за действиями работников бухгалтерии.
• Отсутствие контроля за деятельностью главного бухгалтера — руководитель несет прямую ответственность за выбор главного бухгалтера и контроль за его работой.
• Передача ЭП работникам бухгалтерии без контроля — передавая подпись иному лицу, директор сознательно допустил возможность совершения от его имени любых действий, в том числе противоречащих закону.
• Нарушение конфиденциальности — не проверяя длительное время правомерность использования ЭП, директор создал условия для незаконного использования подписи и вывода денежных средств.

Арбитражный суд Северо-Западного округа и Верховный Суд РФ поддержали эту позицию. Кассационный суд отметил, что генеральный директор не обеспечил соблюдение правил информационной безопасности при использовании его личной ЭП, что послужило основанием для возникновения убытков. То обстоятельство, что хищение непосредственно произведено другими лицами, не свидетельствует об отсутствии вины руководителя. В случае надлежащего исполнения своих обязанностей хищение было бы невозможным.

Незаконное получение электронной подписи за другое лицо встречается реже, но также имеет место в судебной практике. Показательным является дело № А17-11651/2021, рассмотренное Арбитражным судом Ивановской области.

В данном деле в ИФНС России по г. Иваново в электронном виде поступило заявление от имени директора общества, на основании которого в ЕГРЮЛ была внесена запись о недостоверности сведений о нем как о директоре и учредителе. Однако компания такое заявление не подавала и никого не уполномочивала на эти действия. Для удостоверения заявления была использована подложная электронная подпись.

Суд удовлетворил требования истца, признав недействительными как само заявление об изготовлении электронной подписи, так и саму подпись, а также запись в ЕГРЮЛ. Основными аргументами суда стали:

• Отсутствие заявления — директор истца не обращался к издателю ЭП с заявлением об изготовлении подписи.
• Отсутствие договора — договор на изготовление электронной подписи между сторонами не заключался.
• Отсутствие одобрения — не было доказательств того, что директор каким-либо образом одобрил сделку об изготовлении электронной подписи.

Подобные ситуации встречаются реже, но возможны на практике, особенно в случаях корпоративных захватов. Для минимизации рисков рекомендуется регулярно проверять информацию о своей компании и аффилированных лицах в ЕГРЮЛ на сайте ФНС России и иных доступных ресурсах.

Законодательство о хозяйственных обществах прямо устанавливает, что единоличный исполнительный орган общества (директор, генеральный директор) несет ответственность перед обществом за убытки, причиненные его виновными действиями (бездействием). Пленум ВАС РФ разъяснял, что лицо, входящее в состав органов компании, обязано действовать в интересах компании добросовестно и разумно.

Неразумность действий директора считается доказанной в следующих случаях:

• Принятие решения без учета известной информации, имеющей значение в данной ситуации.
• Отсутствие действий по получению необходимой информации, которые обычны для деловой практики при сходных обстоятельствах.

Директор отвечает перед юрлицом за причиненные убытки в случае недобросовестного или неразумного осуществления обязанностей по выбору и контролю за действиями представителей, контрагентов и работников, а также ненадлежащей организации системы управления компанией.

Для защиты бизнеса от финансовых потерь и судебных исков рекомендуется придерживаться следующих принципов организации работы с электронной подписью:

1. Не передавайте ЭП третьим лицам — даже сотрудникам, которым вы доверяете. Подписание документов должно осуществляться лично владельцем подписи.
2. Используйте защищенные носители (токены) — это самый безопасный способ хранения и использования ключей усиленной квалифицированной электронной подписи.
3. Внедрите систему контроля за использованием ЭП — регулярно проверяйте, кто и когда использовал подпись, сверяйте банковские выписки и движение денежных средств.
4. Разработайте внутренние регламенты — опишите в приказе или локальном акте порядок работы с электронной подписью, включая запрет на заверение документов без наличия бумажного аналога.
5. Организуйте учетную политику — настройте систему внутреннего контроля таким образом, чтобы исключить возможность бесконтрольного использования ЭП.
6. Регулярно проверяйте ЕГРЮЛ — отслеживайте изменения в сведениях о вашей компании и аффилированных лицах на сайте ФНС России.
7. Проводите обучение сотрудников — разъясняйте работникам риски, связанные с использованием электронной подписи, и правила работы с ней.

Электронная подпись — мощный и удобный инструмент, который при неправильном использовании может стать источником серьезных проблем для бизнеса. Судебная практика последних лет показывает, что передача ЭП третьим лицам, недостаточный контроль за ее использованием и невнимание к организации учетных процессов приводят к многомиллионным убыткам и привлечению руководителей к ответственности.

Правильная организация работы с электронной подписью включает не только технические меры защиты (использование токенов, криптографических средств), но и организационные (внутренние регламенты, контроль, обучение сотрудников). Только комплексный подход позволит минимизировать риски и защитить бизнес от мошенничества и судебных исков.

Руководителям компаний стоит помнить: безопасность использования электронной подписи начинается с осознания личной ответственности. Вложение времени и ресурсов в грамотную организацию работы с ЭП — это не дополнительные расходы, а необходимая инвестиция в стабильность и безопасность бизнеса.