Простая электронная подпись: риски, ограничения и способы с ними бороться

Вадим Дерюжинский

Руководитель юридического департамента IT-компании Sign.Me

специально для ГАРАНТ.РУ

Простой электронной подписью мы пользуемся ежедневно и не всегда догадываемся об этом. Например, когда заходим на сайт при помощи логина и пароля, сообщаем код из СМС, получая корреспонденцию, когда ставим галочку о согласии на обработку персональных данных или регистрируемся в сервисах, переходя по ссылке из письма в электронной почте. Но иногда простая электронная подпись становится причиной судебных разбирательств. 

Подпись "мокрая" и "сухая"

Прежде чем говорить о юридической практике, разберемся в терминологии сферы электронной подписи. Даже те, кто давно подписывают документы электронно, могут не знать некоторых определений, поскольку это непростая и относительно новая отрасль.

Электронная подпись (ЭП) – это цифровой аналог рукописной подписи, который позволяет подписывать документы в электронном виде. Согласно ст. 5 "Виды электронных подписей" 63-ФЗ "Об электронной подписи", в России существуют два вида электронной подписи: простая электронная подпись (ПЭП) и усиленная, которая делится на неквалифицированную (УНЭП) и квалифицированную (УКЭП).

ПЭП – вид ЭП с самой низкой степенью защиты. Ее создают с помощью логина и пароля при аутентификации на сайте или кода из СМС. ПЭП подходит для подтверждения действий, но не для документооборота.

УНЭП создается с использованием криптографических методов шифрования. С ее помощью можно подписывать большинство документов, кроме тех, что передают в государственные реестры, и тех, которые по закону нужно подписывать "от руки". Мокрая подпись требуется лишь в нескольких малочисленных кейсах – приказ об увольнении сотрудника, акт о несчастном случае на производстве, инструктаж по охране труда и некоторых других.

УКЭП – вид электронной подписи с самым большим объемом законодательных требований. Чтобы ее получить, нужно пройти очную идентификацию личности с представителем удостоверяющего центра (УЦ), аккредитованного Минцифры (cт. 18 Выдача квалифицированного сертификата). Документы, передаваемые в государственные реестры, можно подписывать только УКЭП (ст. 21 Требования к документам, представляемым для осуществления государственного кадастрового учета и (или) государственной регистрации прав).

УНЭП и УКЭП одинаково надежны благодаря криптографии – способу шифрования данных с помощью уникальной комбинации открытых и закрытых ключей (cт. 5 Виды электронных подписей). Усиленные подписи защищены именно таким образом: открытый ключ известен всем, с кем ведется документооборот, а закрытый – только владельцу ЭП. Алгоритмы криптографии настолько сложны, что их невозможно взломать – эти попытки потребуют мощность всех компьютеров мира и 10 тыс. лет. К тому времени срок действия ЭП, который обычно составляет 1 год, уже истечет. Неквалифицированную подпись используют для рутинных документов бизнеса, а квалифицированную – практически для любых. Но для ежедневного подписания удобнее использовать УНЭП, так как выпуск УКЭП требует очной идентификации личности в удостоверяющем центре (УЦ), аккредитованном Минцифры (ст. 15 Аккредитованный удостоверяющий центр). УНЭП можно выпустить онлайн, например, пройдя идентификацию с помощью Госуслуг. 

© milkos / Фотобанк 123RF.com

Зачем нужна простая электронная подпись

Простая электронная подпись обычно представляет собой код из СМС или логин и пароль, которые нужны для авторизации на сайтах. Она создается следующим образом: пользователь регистрируется на сайте, в приложении или мессенджере и придумывает уникальные логин и пароль, либо система генерирует их сама. После с помощью этих данных можно входить на сайт и пользоваться сервисом. Каждый раз, когда пользователь вводит комбинацию логин-пароль, он подтверждает сайту, что это именно он. То же самое происходит, если система просит ввести код из СМС или E-mail – так она получает доказательство, что действие совершает владелец номера телефона или электронной почты.

Закон не запрещает использовать ПЭП в качестве аналога рукописной подписи – при соблюдении определенных требований, таких как подписание соответствующего соглашения (ст. 6 Условия признания электронных документов, подписанных электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью), и в случаях, когда закон не предписывает использовать УНЭП или УКЭП. Однако судебная практика показывает, что документы, подписанные простой электронной подписью, могут быть признаны недействительными ввиду уязвимостей этого решения. 

Примеры из судебной практики

1.  Агентский договор с риелтором, дело № 2-255/2024 Пролетарского районного суда г. Ростова-на-Дону

Краткое описание дела
Риелтор заключил с клиентом агентский договор при помощи простой электронной подписи, оказал услуги по поиску недвижимости, но не получил вознаграждение и обратился в суд. В ходе разбирательства документ признали недействительным, потому что:

• в протоколах подписания не было согласия клиента на сделку при помощи простой электронной подписи. Это значит, что стороны предварительно не подписали договор о взаимном признании электронной подписи, пункта с соглашением не было в оферте или других документах;
• документы в виде скриншотов СМС на номер телефона ответчика, в том числе сообщений с текстом о регистрации в личном кабинете с указанием логина и пароля, не свидетельствуют о заключении агентского договора.

Порядок подписания документа
Фактом использования простой электронной подписи сторона истца посчитала авторизацию на сайте агентства недвижимости при помощи логина и пароля, проставление галочек о согласии с внутренними документами, направление на почту клиента ссылки с текстом договора, переход по ссылке и введение кода из СМС.

Итог
Факт заключения агентского договора не доказан, следовательно, риелтор не имеет права получить вознаграждение за проделанную работу.

2.  Договор доверительного управления ценными бумагами, дело №2-1860/2023 Октябрьского районного суда г. Красноярска

Краткое описание дела
Пенсионер лично пришел в отделение банка, чтобы открыть вклад. Вместо этого клиент электронно подписал договор доверительного управления ценными бумагами на сумму 500 000 рублей. Вскоре пенсионер направил претензию с требованием расторжения на основании того, что он был введен в заблуждение и рассчитывал на открытие банковского вклада. Ему вернули неполную сумму, и пенсионер обратился в суд за взысканием остатка.

Суд удовлетворил требования пенсионера, признал договор доверительного управления недействительным и указал банку вернуть все деньги, поскольку:

• не было необходимости использовать ПЭП, ведь пенсионер присутствовал в отделении банка лично, и мог собственноручно подписать документы;
• приложение банка было впервые установлено пенсионеру только в день обращения в отделение. А заявление, в котором физическое лицо проставляет определенные отметки (галочки) для присоединения к договору доверительного управления, сотрудник банка заполнил самостоятельно на компьютере, а не клиент лично в телефоне.

Порядок подписания документа
Договор был представлен в виде оферты, и фактом подписания считалось введение кода из СМС.

Итог
Суд признал документ, подписанный простой электронной подписью, неправомерным, потому что были допущены ошибки в процедуре подписания.

3.  Договор страхования, дело № 02-1562/2022 Симоновского районного суда г. Москвы

Краткое описание дела
Клиент согласовал условия страхования и внес оплату за услуги. Какие-либо бумажные документы не подписывал. Выяснилось, что за 2 года действия договора клиенту были выпущены полисы с несогласованными условиями. Узнал он об этом из личного кабинета, никакого волеизъявления на открытие спорных полисов у него не было. Страховая утверждала, что все оформлено надлежащим образом посредством ПЭП.

Порядок подписания документа
Документ был подписан при помощи кода, отправленного на электронную почту. Однако не удалось доказать, кому именно принадлежал адрес почты, и указывал ли ее клиент в качестве способа подписания.

Итог
Суд указал, что ответчик не представил доказательств, что адрес электронной почты принадлежит клиенту и был указан при заключении договоров страхования.

4.  Договор на почтовую ячейку, дело № 2-2328/2022 Волжского районного суда Самарской области

Краткое описание дела
Между истцом и почтой был заключен договор на почтовую ячейку. Без согласования почта выпустила клиентке ПЭП, по которой любое лицо может получить за нее корреспонденцию – нужно только сообщить код из СМС, который направят по номеру телефона, зарегистрированному в системе на имя истца. Из-за этого неустановленное лицо получило корреспонденцию, принадлежащую клиентке.

Порядок подписания документа
Истец в данном случае ничего не подписывал самостоятельно – ПЭП воспользовалась третья сторона.

Итог
Суд встал на сторону клиентки и удовлетворил требования о признании ПЭП недействительной.

5.  Договор лизинга, дело № 2-1360/2023 Волжского районного суда Самарской области

Краткое описание дела

Лизинговая компания заключила договор с клиентом при помощи простой электронной подписи. Он получил имущество – смартфон, пользовался им, но деньги не платил. Компания обратилась в суд для взыскания средств по договору.

Порядок подписания документа
Клиент подписал договор лизинга при помощи ПЭП, введя код из СМС.

Итог

Суд встал на сторону клиента, поскольку договор не был подписан ни собственноручно, ни с применением усиленной электронной подписи. Также истец не смог предоставить доказательства принадлежности номера телефона конкретному лицу. Следовательно, непонятно, клиент сам использовал ПЭП, или кто-то другой. 

Почему ПЭП часто не признают в суде?

Чтобы ответить на этот вопрос, нужно немного углубиться в способы создания простой и усиленных видов электронной подписи. Как формируется ПЭП, мы уже обсудили – пользователь или система устанавливают комбинацию логина и пароля для входа на сайт, ставит галочку, либо отправляет код из СМС. У ПЭП есть множество недостатков:

• низкий уровень защиты, поскольку код или пароль можно взломать или угадать методом подбора;
• уязвимость в судебных разбирательствах – как видно из практики, ПЭП может не признаваться в судах;
• ограниченные возможности – ПЭП подходит для совершения базовых операций, таких как авторизация на сайте, или для случаев, когда клиент регулярно взаимодействует с поставщиком услуг через принадлежащую ему информационную систему с высоким уровнем доверия, но не может использоваться для подписания важных документов. 

Усиленные виды электронной подписи

С усиленными видами ЭП все происходит по-другому. Первое и основное отличие – УНЭП и УКЭП создаются при помощи средств криптографической защиты информации (СКЗИ) (ст. 5 Виды электронных подписей). Благодаря криптографии усиленные виды ЭП невозможно взломать или подделать.

Также, чтобы использовать УНЭП или УКЭП, нужно провести идентификацию личности подписанта. В случае с неквалифицированной электронной подписью это можно сделать несколькими способами: очно в удостоверяющем центре, онлайн при помощи Госуслуг, и иногда бизнес может сам провести идентификацию, если у него есть такие полномочия. Для выпуска квалифицированной электронной подписи нужно лично встретиться с представителем УЦ, аккредитованного Минцифры России. Когда проводится идентификация личности, в случае судебных разбирательств собирается большая доказательная база того, что электронный документ подписал конкретный человек.

Из разбора судебных дел следует, что документы, подписанные ПЭП, признали недействительными из-за невозможности доказать, что подпись оставил конкретный человек. Также третья сторона могла легко завладеть чужой электронной подписью. В связи с этим суд признал подписание неправомерным. С усиленными видами ЭП таких проблем не возникает. 

Как правильно использовать электронную подпись

Для начала работы нужно определиться, какой вид электронной подписи соответствует вашим потребностям и уровню безопасности. ПЭП подходит для авторизации на сайтах, принятия пользовательских соглашений и других несложных процессов. УНЭП можно использовать для подписания большинства документов бизнеса. УКЭП можно подписывать практически все документы, кроме тех, для которых по закону нужно ставить "мокрую" подпись. При этом для рутинных документов бизнеса достаточно УНЭП – ее проще выпустить, но уровень надежности остается таким же, как у квалифицированной электронной подписи, так как для их создания применяется криптография.

Чтобы пользоваться любыми видами электронной подписи, кроме УКЭП, необходимо заключить соглашение о взаимном признании ЭП (ст. 6. Условия признания электронных документов, подписанных электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью). Соглашение можно подписать лично, часто в сервисах для электронного документооборота пункт о признании содержится в пользовательском соглашении. УКЭП автоматически приравнивается к собственноручной, поэтому заключать дополнительные соглашения не нужно.