Как защитить электронную подпись от мошенников: правила безопасности

24.06.2025

Электронная подпись — надежный инструмент для работы. Но при неаккуратном обращении она открывает возможности для злоумышленников. Расскажем, какие правила нужно соблюдать при работе с электронной подписью, чтобы уберечься от мошенничества.

Что такое ЭП, КЭП и зачем они нужны

Электронная подпись (ЭП) — это электронные данные в документе, которые заменяют собственноручную подпись. Больше всего возможностей у квалифицированной электронной подписи (КЭП). Предприниматели и физлица используют ее, чтобы отправлять отчетность в налоговую, участвовать в электронных торгах, получать госуслуги и вести электронный документооборот.

КЭП подтверждает, что документ подписан конкретным человеком и придает ему юридическую силу. Она также гарантирует, что в документ никто не вносил изменения после подписания.

КЭП выдают только удостоверяющие центры (УЦ), которые аккредитованы по требованиям закона. Например, к таким относится Удостоверяющий центр Контура. УЦ по требованиям закона и госорганов соблюдают правила безопасности: удостоверяют личность будущего владельца ЭП, проверяют его документы через государственные базы. А в случае нарушений они несут материальную ответственность.

Важные вопросы про аккредитацию УЦ

В УЦ владелец электронной подписи получает компоненты, из которых состоит электронная подпись: закрытый ключ, открытый ключ и сертификат. Их записывают на токен — устройство, похожее на флешку — или в память компьютера. С помощью закрытого ключа пользователь подписывает документы, а открытый ключ и сертификат позволяют убедиться, что подпись поставил конкретный человек.

Закрытый ключ ЭП доступен только владельцу, и он должен держать его в тайне (п.1 ч.1 ст. 10 63-ФЗ). Именно из-за того, что владельцы передают закрытый ключ другим людям, возникают злоупотребления электронной подписью.

У Артема было несколько продуктовых магазинов. Он не нарушал закон и вовремя закрывал кредиты. Однажды бизнесмену позвонили из банка, а потом звонок продублировали коллекторы. Они утверждали, что у компании миллионный долг. Артем не поверил и пошел проверять кредитные истории: свою и компании. Выяснилось, что долг существует.

Два месяца назад бывший бухгалтер Артема оформил на компанию микрозайм на 1,2 миллиона рублей, перевел деньги себе и уволился. Оформить займ бухгалтер смог с помощью электронной подписи директора — Артем сам отдал ее, чтобы избавиться от рутинного подписания бумаг.

Как происходит мошенничество с электронной подписью

Злоумышленники могут получить доступ к чужой ЭП разными способами. Первый вариант — завладеть токеном, на котором хранится закрытый ключ. Его могут как украсть, так и просто забрать, потому что владелец ЭП потерял носитель.

Есть и другой вариант. Владелец ЭП может сам доверить закрытый ключ ЭП постороннему лицу, чтобы снять с себя часть нагрузки. Так было с Артемом из нашего примера: он не знал, что нужно обезопасить себя, поэтому передал ЭП бухгалтеру, а потом получил миллионный долг.

Риски использования чужого сертификата ЭП

Использование чужой ЭП по значимости сравнимо с использованием чужого паспорта. Она подтверждает личность человека и дает право совершать юридически значимые действия. Если ЭП попадет в руки злоумышленников, они смогут выдать себя за другое лицо и заключить сделку. Например:

  • оформить кредит на компанию;
  • вывести деньги из фирмы, а потом ликвидировать ее;
  • подать в налоговую поддельные декларации с баснословными суммами, чтобы получить возмещение НДС в размере нескольких миллионов.

Кроме этого, сертификат ЭП можно использовать для личных задач — подробнее о них рассказали в статье. В эти процессы злоумышленники также могут вмешаться: например, если у них будет доступ к носителю с ключами электронной подписи, им будет проще взять микрозайм. Риски увеличиваются, если мошенники знают пароли от важных для физлиц аккаунтов — например, на порталах ФНС и Госуслуг. Поэтому рекомендуем позаботиться и об их безопасности.

Тем не менее, возможности для мошенничества с использованием ЭП не безграничны: например, злоумышленники не смогут с ее помощью продать чужие квартиру или офис. Всё потому, что Росреестр ужесточил правила онлайн-сделок: их нельзя провести без согласия собственника на сделки с недвижимостью с использованием электронной подписи.

Можно ли взломать электронную подпись

Подделать саму ЭП нельзя. В ее основе лежат криптографические технологии, которые не поддаются взлому. Переживать о том, как защитить свою подпись от подделки, не нужно, потому что мошенники действуют примитивнее — они фальсифицируют документы или крадут носитель с ключами ЭП.

Как обеспечить безопасность электронной подписи

Рекомендуем соблюдать правила, которые помогут избежать мошенничества с электронной подписью.

  • Не передавайте ЭП другим людям. Бухгалтер, заместитель и другие сотрудники не должны иметь доступа к вашему закрытому ключу подписи. Вместо этого им нужно подписывать документы своими сертификатами физлиц. Подтвердить полномочия им помогут машиночитаемые доверенности (МЧД).
  • Токен с подписью и компьютер, где она используется, должны быть защищены паролем. Иначе злоумышленник сможет воспользоваться чужой ЭП, если украдет токен или получит доступ к компьютеру. Если у защищенного носителя уже есть стандартный пароль, его нужно сменить.
  • Если нужно отойти от компьютера, его лучше блокировать. Это гарантирует, что никто не воспользуется подписью в отсутствие владельца.
  • Если ЭП хранится на компьютере, он должен быть защищен от вирусов. Подозрительный файл, который пришел на почту, лучше не открывать: он может оказаться шпионской программой, которая скопирует все файлы, в том числе электронную подпись.
  • Нельзя передавать сканы и реквизиты паспорта ненадежным фирмам или оставлять их на подозрительных сайтах. Если сканы попадут в руки мошенников, они могут получить по ним электронную подпись от чужого имени. Скорее всего, сотрудники удостоверяющего центра увидят подделку и сертификат не выдадут, но лучше не рисковать. Если паспорт пропадет, об этом нужно сразу сообщить в полицию — заявление станет аргументом, если потребуется доказать, что ЭП на документ поставили мошенники.

    Электронная подпись не гарантирует защиту компании от мошенников и воров. Но она создает для них серьезное препятствие — завладеть ключами чужой ЭП намного сложнее, чем подделать подпись и печать на бумаге. Кроме того, с электронной подписью шансы остановить преступников и вычислить их намного выше.
  • Если у вас пропал носитель с ключами ЭП, то нужно как можно быстрее отозвать сертификат в Удостоверяющем центре. Тогда злоумышленники не успеют им воспользоваться.
  • Проверить, что никто не выпустил на ваше имя электронную подпись, можно на портале Госуслуг — в личном кабинете в разделе «Настройки и безопасность» найдите вкладку «Электронная подпись». Госуслуги покажут, какие сертификаты подписи были выпущены на вас, когда и каким удостоверяющим центром. Если увидите электронную подпись, которую не получали, обратитесь в техподдержку портала и в удостоверяющий центр, который указан в этой подписи. УЦ по вашему заявлению отзовет сертификат подписи, и тогда им больше никто не сможет воспользоваться.
  • Если мошенник все-таки смог без вашего ведома получить электронную подпись на ваше имя, то найти его будет проще, чем того, кто подделывает рукописные подписи. Ведь из сертификата электронной подписи можно узнать, кто, когда и в каком УЦ его получил. Также все удостоверяющие центры хранят копии документов, по которым выдавалась подпись, делают фото будущего владельца ЭП с паспортом. Благодаря таким зацепкам, правоохранителям будет проще поймать мошенников.

Авторы: Иван Быков, Ольга Кураева


Все новости

Получить сертификат

© 2011-2024 АО «ГК «НБС» Все права защищены. Карта сайта
Изготовление сайта – НБС-Медиа