Безопасна ли электронная подпись и как избежать рисков при её использовании

Как работает электронная подпись и почему её нельзя подделать

Электронная подпись — это не факсимиле и не скан вашего автографа. Это набор данных,, который однозначно связывает вас с подписанным документом. Безопаснее всего подписи, созданные с помощью криптографии.

Криптографическое шифрование простым языком

В основе электронной подписи лежит криптография — наука о шифровании информации. Для работы с ЭП используются два ключа:

• Закрытый ключ — известен только вам. Это ваш «секрет», с помощью которого создаётся подпись. Его нельзя никому передавать.
• Открытый ключ — доступен всем. С его помощью получатель проверяет, действительно ли документ подписали именно вы.

Ключи математически связаны друг с другом, но вычислить закрытый ключ по открытому невозможно.

Что происходит при подписании документа

1. Программа рассчитывает «отпечаток» (хеш) документа — уникальную строку символов, которая соответствует содержимому файла.
2. Ваш закрытый ключ применяется к этому хешу — так формируется электронная подпись.
3. Подпись прикрепляется к документу вместе с вашим открытым ключом.
4. Получатель использует открытый ключ для проверки: пересчитывает хеш документа и сравнивает с тем, что содержится в подписи.

Если хеши совпадают — документ подлинный, его подписали именно вы, и после подписания никто ничего не менял.

Если кто-то изменит хотя бы один символ в документе после подписания — хеш изменится, математическая связь с подписью нарушится, и подпись автоматически станет недействительной.

Можно ли подделать электронную подпись?

Нет. Подделка электронной подписи невозможна. Для взлома криптографической защиты усиленной ЭП потребовалось бы задействовать все существующие в мире компьютеры, и на это ушло бы более 10 000 лет. Это не теоретическая оценка — это свойство математических алгоритмов, на которых построена криптография.

Мошенники не могут подделать вашу подпись. Но они могут украсть ваш ключ — и это совсем другая история.

Виды электронной подписи и их уровень безопасности

Не все электронные подписи одинаково безопасны. Уровень защиты зависит от вида ЭП. Всего их три.

Простая электронная подпись (ПЭП): чем опасна СМС-подпись

ПЭП — это СМС-код, логин-пароль или код из push-уведомления. Самый незащищённый вид подписи.

Наверное, каждый из нас хотя бы раз получал звонок от «службы безопасности банка» с просьбой назвать код из СМС, чтобы «не заблокировали карту». Этот код — и есть простая электронная подпись.

«СМС-код знают банк, оператор сотовой связи, другие СМС-агрегаторы — и только потом клиент, на чьё устройство пришёл код. Он может быть перехвачен на любом этапе пути, даже с телефона самого клиента. А самое простое — через звонок мошенников»

— Дарья Верестникова, эксперт по безопасности SafeTech, сооснователь Nopaper

Почему ПЭП опасна:

• В СМС не видно, какой именно документ вы подписываете — приходит только «Код подтверждения: 1214»
• Код легко перехватить: через звонок мошенников, SIM-свопинг, вредоносное ПО на телефоне
• Возможна атака методом брутфорс — перебор всех возможных комбинаций кода
• После подписания документ может быть изменён в одностороннем порядке — и вы даже не узнаете

Простую электронную подпись мы не рекомендуем использовать для подписания важных документов. Она подходит только для базовых действий: подтверждение входа, подписка на рассылку.

Неквалифицированная электронная подпись (НЭП): баланс удобства и безопасности

НЭП создаётся с помощью криптографических методов — точно так же, как КЭП. Она подтверждает, что документ подписали именно вы и что после подписания никто не вносил изменений. При этом оформить НЭП можно удалённо — например, прямо в мобильном приложении Nopaper за пять минут.

НЭП имеет юридическую силу при наличии соглашения между участниками ЭДО о взаимном признании подписи — это закреплено в п.2 ст.6 Федерального закона 63-ФЗ «Об электронной подписи».

Квалифицированная электронная подпись (КЭП): максимальная защита

КЭП выдаётся только в ФНС и аккредитованных удостоверяющих центрах после личной идентификации. Имеет полную юридическую силу без дополнительных соглашений и применяется для работы с госорганами — сдача отчётности в ФНС, участие в торгах, работа в государственных информационных системах.

Хранится на защищённом носителе (токене) — это и преимущество (высокий уровень защиты), и неудобство (нужно носить с собой физический ключ).

Сравнение видов ЭП по безопасности

Подробнее о видах электронных подписей и о том, какие документы чем подписывать, читайте в статье «КЭП, НЭП, ПЭП и типы документов: что чем подписывать?».

Как выбрать подходящую подпись и лучший ЭДО?

Получите доступ к нашему сравнению сервисов ЭДО по 45 параметрам,
чтобы сделать правильный выбор

 

Получить исследование

Чем опасна электронная подпись: реальные риски для физических лиц и бизнеса

Усиленная электронная подпись защищена криптографией и не может быть подделана. Но риски всё равно существуют — и почти все они связаны с человеческим фактором.

Перехват СМС-кодов (только для ПЭП)

Если вы используете простую электронную подпись (СМС-код), злоумышленники могут перехватить его несколькими способами:

• Звонок от «банка» — мошенники звонят, представляются сотрудниками службы безопасности и просят назвать код из СМС
• SIM-свопинг — перевыпуск вашей SIM-карты на другое лицо, после чего все СМС приходят мошеннику
• Вредоносное ПО — вирус на телефоне, который перехватывает входящие СМС

Именно поэтому безопасность простой электронной подписи вызывает серьёзные вопросы. Для важных документов используйте усиленную подпись — НЭП или КЭП.

Кража носителя ЭП (токена или телефона)

Если злоумышленник получит физический доступ к вашему токену (для КЭП) или телефону (для мобильной подписи), он сможет подписывать документы от вашего имени. Это как если бы кто-то украл вашу банковскую карту — только последствия могут быть серьёзнее.

Защита: устанавливайте PIN-код на токен, используйте биометрию на телефоне, не оставляйте устройства без присмотра.

Передача электронной подписи другим лицам

Одна из самых распространённых и опасных ошибок — передача ЭП бухгалтеру, секретарю или другому сотруднику «для удобства». По закону, владелец электронной подписи обязан обеспечивать конфиденциальность ключа (ст. 10 63-ФЗ). Передача ЭП другому лицу — это как отдать свой паспорт незнакомцу и надеяться, что ничего плохого не произойдёт.

Социальная инженерия и фишинг

Мошенники могут звонить или писать, представляясь сотрудниками банка, удостоверяющего центра, ФНС или оператора связи. Их цель — получить доступ к вашему токену, ключу, паролю или убедить вас установить «обновление», которое окажется вирусом.

Как распознать: настоящие организации никогда не просят сообщить пароль от ЭП по телефону или в мессенджере.

Вредоносное ПО

Вирусы и программы-шпионы могут копировать файлы с компьютера — включая закрытый ключ электронной подписи. Если ключ хранится на жёстком диске компьютера (а не на защищённом токене), это особенно опасно. Также вредоносное ПО может подменить документ в момент подписания — вы думаете, что подписываете один файл, а на самом деле подписывается другой.

Что могут сделать мошенники с украденной электронной подписью

Если мошенники завладели вашей электронной подписью, последствия могут быть катастрофическими.

Для физических лиц

• Оформить кредит на ваше имя — и получить заёмные средства
• Провести сделку с недвижимостью — продать, подарить или заложить вашу квартиру
• Получить доступ к Госуслугам и личным кабинетам (ФНС, ПФР)
• Зарегистрировать фиктивную компанию на ваше имя
• Оформить ИП и назначить вас руководителем подставной фирмы

Для бизнеса

• Вывести деньги со счетов компании
• Оформить кредит на юридическое лицо
• Сдать поддельную отчётность в налоговую (например, для возмещения НДС)
• Продать имущество компании — офис, транспорт, оборудование
• Ликвидировать компанию — да, это тоже возможно

Реальные кейсы мошенничества с электронной подписью

Кейс 1: Кража квартиры через ЭП (2019)

Мошенники переоформили квартиру москвича на жителя Уфы через электронную подпись, полученную по поддельной доверенности. Владелец узнал, что его квартира больше ему не принадлежит, только когда увидел чужое имя в квитанции на оплату коммунальных услуг. После этого случая был принят Федеральный закон от 02.08.2019 № 286-ФЗ, который запретил электронные сделки с недвижимостью без специальной отметки в ЕГРН.

Кейс 2: Уголовное дело против сотрудников УЦ (2021)

Впервые в России возбудили уголовное дело против группы сотрудников удостоверяющих центров, которые оформляли подложные фирмы с помощью чужих персональных данных и электронных подписей.

Кейс 3: Кредит через ПЭП (Верховный Суд РФ)

Верховный Суд РФ рассмотрел дело, в котором мошенники оформили кредит через простую электронную подпись (СМС-код). Истец не подавала заявку и не подписывала кредитный договор, а СМС с кодом были отправлены на номер, который ей не принадлежит. Суд признал договор незаключённым — банк не смог доказать, что именно клиентка оформила кредит.

Этот кейс подтверждает: простая электронная подпись — ненадёжный инструмент. Для подписания важных документов используйте усиленную подпись (НЭП или КЭП).

Как защитить электронную подпись: 8 правил безопасности

Электронная подпись — мощный инструмент, и обращаться с ней нужно так же ответственно, как с паспортом. Вот правила безопасного использования электронной подписи, которые защитят вас от мошенников.

Правило 1: Никогда не передавайте ЭП другим лицам

Даже доверенному бухгалтеру, даже «на минутку». С тем же успехом можно отдать свой паспорт. Если нужно делегировать подписание — оформите машиночитаемую доверенность (МЧД), чтобы сотрудник подписывал документы своей личной ЭП и нёс за это персональную ответственность.

Правило 2: Используйте надёжный пароль

Установите сложный пароль на токен, телефон и компьютер, где хранится подпись. Не используйте простые комбинации вроде «123456» или дату рождения. Пароль должен содержать буквы, цифры и специальные символы. Регулярно меняйте пароли. Используйте двухфакторную аутентификацию.

Правило 3: Защитите устройства от вирусов

Установите проверенный антивирус на компьютер и телефон. Регулярно обновляйте операционную систему и программы — обновления часто закрывают уязвимости, которыми пользуются мошенники. Не подключайте к компьютеру непроверенные USB-носители.

Правило 4: Не переходите по подозрительным ссылкам

Фишинговые письма — один из основных инструментов мошенников. Не открывайте подозрительные вложения в электронной почте, не переходите по ссылкам из незнакомых сообщений, не скачивайте файлы из непроверенных источников.

Правило 5: Блокируйте рабочее место

Отходите от компьютера — блокируйте его. Даже если отлучаетесь на минуту. Даже если сидите в отдельном кабинете. Любой может получить доступ к вашей подписи, пока вас нет.

Правило 6: Регулярно проверяйте использование ЭП

Заходите на портал Госуслуги → «Настройки и безопасность» → «Электронная подпись». Здесь отображаются все сертификаты, выпущенные на ваше имя. Если видите незнакомый сертификат — немедленно обращайтесь в указанный удостоверяющий центр и отзывайте его.

Также проверяйте реестр юрлиц на сайте ФНС — не зарегистрирована ли компания на ваше имя без вашего ведома.

Правило 7: Отзывайте ЭП уволенных сотрудников

Как только сотрудник увольняется — немедленно отзывайте его сертификат ЭП. Не откладывайте это «на потом». Бывший сотрудник с действующей подписью может нанести серьёзный ущерб: вывести деньги, подписать невыгодный договор и даже ликвидировать компанию.

Правило 8: Выбирайте надёжный сервис ЭДО

Работайте только с проверенными сервисами электронного документооборота, которые используют сертифицированные средства криптографической защиты. Обращайте внимание на аккредитацию, репутацию и наличие лицензий. Для КЭП — выбирайте удостоверяющие центры из списка аккредитованных Минцифры.

Можно ли передавать электронную подпись бухгалтеру или другому сотруднику

Короткий ответ — нет. И вот почему.

Почему передача ЭП опасна

Согласно статье 10 Федерального закона 63-ФЗ «Об электронной подписи», участники электронного взаимодействия обязаны обеспечивать конфиденциальность ключей электронных подписей и не допускать использование своих ключей без своего согласия.

Передать ЭП бухгалтеру — это всё равно что отдать ему свой паспорт и право подписи от вашего имени. Сотрудник может:

• Подписать документ, который вы не одобряли
• Совершить финансовую операцию без вашего ведома
• Использовать ЭП в личных целях
• Случайно скомпрометировать ключ — потерять токен, подхватить вирус

При этом доказать в суде, что подпись поставил не владелец, а другое лицо, будет крайне сложно — криптографически подпись принадлежит вам.

Юридическая ответственность за передачу

Если сотрудник, которому вы передали ЭП, нанесёт ущерб третьим лицам — юридическая ответственность ляжет на вас как на владельца подписи. Это касается и гражданской, и уголовной ответственности.

За использование чужой электронной подписи предусмотрена ответственность по статьям:

• Ст. 159 УК РФ — мошенничество
• Ст. 327 УК РФ — подделка документов
• Ст. 272 УК РФ — неправомерный доступ к компьютерной информации

Как правильно делегировать подписание — МЧД

Если вам нужно, чтобы сотрудник подписывал документы от имени компании — оформите машиночитаемую доверенность (МЧД). В этом случае:

• Сотрудник получает собственную электронную подпись
• МЧД подтверждает его полномочия действовать от имени организации
• Каждый подписывает документы своей подписью и несёт персональную ответственность
• При увольнении достаточно отозвать МЧД — без риска компрометации ЭП руководителя

Что делать, если электронную подпись украли или скомпрометировали

Если вы подозреваете, что ваша электронная подпись скомпрометирована — действуйте немедленно. Каждая минута на счету.

Пошаговая инструкция при краже ЭП

Шаг 1: Немедленно заблокируйте подпись

Обратитесь в удостоверяющий центр, который выдал сертификат (для КЭП), или в сервис ЭДО (для НЭП). Попросите приостановить действие подписи. В Nopaper это можно сделать через приложение или по телефону горячей линии 8 (800) 550-65-30.

Шаг 2: Отзовите сертификат

После блокировки подайте заявление на отзыв (аннулирование) сертификата электронной подписи. Отозванная подпись не может быть использована для подписания новых документов.

Шаг 3: Напишите заявление в полицию

Подайте заявление в территориальное отделение полиции. Дата подачи заявления будет доказательством того, что после этого момента вы не подписывали никаких документов. Это важно, если мошенники уже успели что-то подписать от вашего имени.

Шаг 4: Проверьте действия, совершённые от вашего имени

• Госуслуги → «Настройки и безопасность» → «Электронная подпись» — не появились ли неизвестные сертификаты
• Сайт ФНС → реестр юрлиц — не зарегистрирована ли компания на ваше имя
• Росреестр → ЕГРН — не было ли сделок с вашей недвижимостью
• Кредитная история — запросите через Госуслуги или БКИ — не оформлялись ли кредиты

Шаг 5: Перевыпустите подпись

После устранения угрозы получите новую электронную подпись. Старая, отозванная подпись, использоваться больше не будет.

Как проверить, выпускалась ли ЭП на ваше имя

Зайдите на портал Госуслуги → «Настройки и безопасность» → «Электронная подпись». Здесь отображаются все сертификаты, выпущенные на ваше имя, с указанием удостоверяющего центра и даты выпуска. При малейших подозрениях — немедленно обращайтесь в указанный УЦ и отзывайте подпись.

Как заблокировать электронную подпись

Для блокировки ЭП обратитесь:

• Для КЭП — в удостоверяющий центр, который выдал сертификат
• Для НЭП — к сервису ЭДО (например, в Nopaper — через приложение или горячую линию)

На Госуслугах — можно запретить выпуск электронных подписей на ваше имя без личного присутствия

Безопасно ли подписывать документы в мобильном приложении

Да, подписывать документы в мобильном приложении безопасно и законно.Как работает мобильный документооборот

Согласовать документ давно уже можно и с телефона, но чтобы его подписать — раньше нужно было ехать в офис или искать принтер. Сервисы электронного документооборота решили эту проблему: документ приходит в систему и подписывается электронной подписью. Но для работы нужен компьютер и флешка-токен с подписью.

Мобильный документооборот — это то же самое, только сама подпись хранится в смартфоне. Документы можно подписывать нажатием кнопки в приложении — из любой точки мира, без токенов, компьютеров и бумаг.

Законность мобильной подписи

Всё, что касается электронной подписи, регулируется Федеральным законом № 63-ФЗ «Об электронной подписи» и контролируется ФСБ.

Согласно п.2 ст.6 закона, документы, подписанные электронной подписью, имеют такую же юридическую силу, как и подписанные собственноручно. Гражданский кодекс в ст.160 подтверждает эту норму.

Не важно, где хранится подпись — как раньше на флешке, на компьютере, или на телефоне. Всё это законно. Главное — использовать усиленную подпись (НЭП или КЭП), а при использовании НЭП — зафиксировать способ подписания в соглашении между участниками ЭДО.

Преимущества мобильной подписи с точки зрения безопасности

Хранение электронной подписи на смартфоне может быть даже безопаснее, чем на токене или компьютере:

• Телефон всегда при вас — его сложнее украсть незаметно, в отличие от токена, который может лежать на столе
• Биометрическая защита — отпечаток пальца, Face ID, сканирование лица — дополнительный уровень безопасности
• PIN-код приложения — дополнительная защита внутри самого приложения ЭДО
• Удалённая блокировка — при утере телефона подпись можно заблокировать дистанционно

Как Nopaper обеспечивает безопасность мобильной подписи

Nopaper использует неквалифицированную электронную подпись (НЭП), созданную с применением криптографических методов защиты:

1. При регистрации вы присоединяетесь к оферте — пользовательскому соглашению, в котором использование подписи Nopaper признаётся аналогом собственноручной подписи
2. До обмена документами с контрагентами вы прямо в сервисе заключаете Соглашение о правилах использования подписи и взаимном признании её юридической силы
3. Подпись формируется в результате криптографического шифрования — подделать её невозможно, а любые изменения в документе после подписания делают подпись недействительной

Nopaper разработан компаниями SafeTech и Abanking — резидентами инновационного центра «Сколково». Так что ваши документы имеют юридическую силу, и вы можете подписывать их в два клика из любой точки мира.

Подписывайте документы безопасно — прямо в смартфоне

Скачайте Nopaper, оформите подпись за пять минут и начните обмениваться документами с контрагентами. Всё в одном приложении.

Часто задаваемые вопросы (FAQ)

Можно ли передавать электронную подпись?

Нет. Согласно ст. 10 63-ФЗ, владелец обязан обеспечивать конфиденциальность ключей ЭП и не допускать использование другими лицами. Передача подписи — это риск финансовых потерь и юридической ответственности. Для делегирования подписания оформите машиночитаемую доверенность (МЧД) — сотрудник будет подписывать документы своей личной подписью.

Что делать, если украли электронную подпись?

Немедленно заблокируйте подпись — обратитесь в удостоверяющий центр (для КЭП) или к оператору ЭДО (для НЭП). Подайте заявление в полицию. Проверьте Госуслуги, реестр юрлиц ФНС и ЕГРН на несанкционированные действия. Запросите кредитную историю. После устранения угрозы — перевыпустите подпись.

Безопасно ли хранить электронную подпись на телефоне?

Да, при использовании надёжного сервиса ЭДО с криптографической защитой. Современные смартфоны защищены биометрией (отпечаток пальца, Face ID) и PIN-кодами. Телефон всегда при вас, что снижает риск кражи. При утере телефона подпись можно заблокировать удалённо. Мобильная подпись может быть даже безопаснее, чем токен, который легко забыть или потерять.

Как заблокировать электронную подпись?

Для КЭП — обратитесь в удостоверяющий центр, который выдал сертификат. Для НЭП — обратитесь к оператору ЭДО. В Nopaper блокировку можно выполнить через приложение или по телефону горячей линии 8 (800) 550-65-30. На Госуслугах можно запретить выпуск ЭП на ваше имя без личного присутствия.

Могут ли мошенники оформить кредит по электронной подписи?

К сожалению, такие случаи бывают — особенно при использовании простой электронной подписи (СМС-код). Однако Верховный Суд РФ формирует практику защиты граждан: если банк не может доказать, что именно вы подписали договор, кредит признаётся незаключённым. Для защиты используйте усиленную ЭП вместо ПЭП, не передавайте ключи и регулярно проверяйте кредитную историю.

Как проверить, использовалась ли электронная подпись без вашего ведома?

Зайдите на портал Госуслуги → «Настройки и безопасность» → «Электронная подпись». Здесь отображаются все сертификаты, выпущенные на ваше имя, с указанием удостоверяющего центра и даты. Также проверьте реестр юрлиц на сайте ФНС — не зарегистрирована ли компания на ваше имя. При обнаружении неизвестных сертификатов — немедленно отзовите их и обратитесь в полицию.

Оставьте заявку, чтобы получить консультацию у наших специалистов

Отправляя форму, я соглашаюсь на обработку персональных данных

Δ