Проблемы развития уголовного законодательства в сфере использования ключей усиленной квалифицированной электронной цифровой подписи

Жизнь современного человека тесно связана с информационными технологиями, которые значительно облегчают совершение юридически значимых действий. К таким технологиям относится использование усиленной электронной цифровой подписи1 (далее – УЭЦП). Однако информационные технологии несут различные риски и угрозы. В частности, в последнее время значительное распространение получили преступления, совершаемые с использованием усиленной квалифицированной электронной подписи, что требует адекватного уголовно-правового реагирования.

В соответствии с Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи» на удостоверяющий центр возложены обязанности соблюдения порядка выдачи (вручения) квалифицированного сертификата ключа проверки электронной подписи (далее – квалифицированный сертификат), который обязан проводить идентификацию заявителя при его личном присутствии либо безеголичногоприсутствия2.Онтакжевправенаде-лить третьих лиц (далее – доверенные лица) полномочиями по приему заявлений на выдачу и вручение сертификатов ключей проверки электронной подписи, от имени этого удостоверяющего центра, идентифицировав при этом заявителя3.

Законом установлены требования к порядку аккредитации и деятельности удостоверяющих центров, в том числе предусматривается высокий порог собственного капитала, высокий порог страховой ответственности деятельности, оговорен порядок проверки их деятельности. При этом какие-либо требования к доверенным лицам отсут-ствуют,чтопорождаетразличныезлоупотребления.

Обзор литературы

Гражданско-правовые аспекты электронного документооборота, применение электронной подписи при совершении юридически значимых действий исследовали в своих работах М.П. Бобылева [1], А.А. Кирилловых [2], Е.А. Шелепина [3] и др.

В настоящее время сложилась достаточно широкая судебная практика, связанная с преступным использованием усиленной квалифицированной электронной цифровой подписи, что не осталось без внимания таких ученых-специалистов, как Ю.А. Бондаренко [4], А.И. Жуланова [5], З.Д. Рожавский [6] и др.

Проведенный анализ этих публикаций свидетельствует, что электронная цифровая подпись (ЭЦП) в них рассматривается, как правило, в качестве орудия совершения преступления, то есть как материальный предмет, который использован виновным лицом для воздействия на объект уголовно-правовой охраны, незаконное получение и использование ЭЦП квалифицируется как прием совершения иного преступления4 либо как способ сокрытия следов совершения преступления5. С этой целью злоумышленники регистрируют электронную подпись в налоговых органах на подставное лицо и затем получают в банках электронные ключи, банковские карты с ПИН-кодами, электронные носители информации системы «Банк-Клиент», которые передают лицу, создавшему такую юридическую фирму. Этими средствами злоумышленник пользуется в дальнейшем от имени подставного лица. С использованием этой схемы совершаются различные виды преступлений, квалифицируемых по ст. 159, 172, 173.1, 173.2, 187, 193, 193.1, ч. 2 ст. 226.1, 327, 171.2, 176, 322.1. Уголовного кодекса Российской Федерации (далее – УК РФ).

Преступления, совершаемые с использованием УЭЦП, достаточно разнообразны. Их можно классифицировать на несколько групп:

преступления против собственности;

преступления в сфере экономической деятельности;

иные преступления.

Между тем необходимо отметить, что процессуальным результатом указанных деяний явились уголовные дела, возбужденные по ст. 173.1 и другим статьям УК РФ, из чего можно сделать выводы, что непосредственно незаконная деятельность удостоверяющих центров процессуальной оценки не получила.

Материалы и методы

К материалам исследования относятся нормативные правовые акты, регламентирующие применение УЭЦП. Методологическую основу исследования составляют всеобщий диалектический метод познания особенностей, специфики примененияусиленнойквалифицированнойэлек-тронной цифровой подписи. Были применены общенаучные методы познания: историко-правовой метод, обобщение, сравнение и частнонаучные методы познания, представленные анализом данных уголовной статистики, изучением арбитражной практики1.

Результаты исследования

Несмотря на то, что действия злоумышленников квалифицируются по различным статьям УК РФ, даже при установлении факта изготовления и использования подложной ЭЦП такие действия квалифицируются не как подделка квалифициро-ванногосертификата,акакизготовлениеспомощью ЭЦП подложного документа2.

В указанном выше Федеральном законе отмечается, что за неисполнение обязанностей аккредитованный удостоверяющий центр (работник аккредитованного удостоверяющего центра, доверенные лица и их работники) несут гражданско-правовую, административную и (или) уголовную ответствен-ность3. Однако указанная норма носит, по сути, декларативный характер.

Учитывая значительное распространение преступлений, совершаемых с использованием УЭЦП, в 2018 году Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации выступало с инициативой законопроекта, согласно которому за подделку электронных цифровых подписей вводилась уголовная ответ-ственность4. Предлагалось установить уголовную ответственность за умышленное нарушение обязанностей, предусмотренных законодательством Российской Федерации в области электронной подписи (ст. 200.6 УК РФ). Указанный законопроект принят не был, поэтому к настоящему времени отсутствует специальная норма уголовного права, обеспечивающая уголовно-правовую защиты правоотношений в рассматриваемой сфере.

В 2020 – 2021 гг. в СМИ достаточно широко освещались мероприятия, проводимые налоговыми органами и полицией по противодействию лицам, задействованным в незаконном обороте ключей электронных подписей. Как указано в открытых источниках, количество выданных недостоверных ключей в этих случаях исчислялось тысячами5.

В условиях отсутствия реального наказания за нарушения порядка выдачи электронных подписей можно конституировать формирование целого рынка нелегальных услуг в этой сфере. Сеть Интернет переполнена предложениями подобного содержания. УЭЦП в этих случаях выдаются «анонимными» или подставными организациями, все общениескоторымпроисходитдистанционночерез сеть Интернет. Никакие требования по личному присутствию заявителя либо его идентификации не исполняются. Вся передача документов осуществляется через Интернет, выдача ключа подписи и сертификата осуществляется путем направления файла по электронной почте или передается на USB-носителе через курьера. Однако при этом УЭЦП иквалифицированный сертификатявляются действующими и выданы реально существующим удостоверяющим центром. Подобным образом возможно получение электронной подписи не только на чужие персональные данные, но и на вымышленного человека.

Схема противоправной деятельности выглядит следующим образом. Пользуясь неопределенным статусом доверенных лиц, предусмотренных частью 4 статьи 13 Федерального закона от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи», недобросовестные удостоверяющие центры создают сеть посредников, с которыми заключают агентские договоры на предоставление услуг по подысканию и идентификации заявителей. В реальности указанные «агенты» нередко сами является организациями, созданными на подставных лиц, не имеют офисных помещений и штата работников, изначально предполагается, что никаких реальных действий по идентификации они осуществлять не будут. Основной задачей «агентов» является подыскание клиентов, готовых заплатить повышенную цену за выдачу УЭЦП в обход установленных процедур. Нередко «агенты» сами являются оптовым заказчиком ключей электронных подписей, которые впоследствии используют для регистрации фирм-однодневок и создания схем по уклонению от уплаты налогов.

Лица,нуждающиесявполученииключаподписи («клиент»), обращаются к «агенту» и передают по средствам электронной почты ему паспортные данные и копии документов заявителя – лица, на чье имя должна быть оформлена УЭЦП.

«Агент» направляет в удостоверяющий центр заявку на выдачу квалифицированного сертификата на имя заявителя, формально сообщая удостоверяющему центру о проведенной идентификации заявителя.

Удостоверяющий центр без фактической явки заявителя в центр создает ключ электронной подписи, ключ проверки электронной подписи, квалифицированный сертификат ключа проверки электронной подписи, направляя их «агенту» по электронной почте.

«Агент» передает файлы«клиенту»поэлектрон-ной почте и получает от него оплату.

В случае установления незаконной выдачи квалифицированного сертификата удостоверяющий центр ссылается на то, что непосредственно с заявителем никаких контактов не имел, идентификацию производил «агент», в наличии у удостоверяющего центра есть весь комплект документов, формально соответствующих закону. Ссылаясь на обман со стороны «агента», удостоверяющий центр снимает с себя любую ответственность и продолжает деятельность. Самого «агента» и его работников в силу изначальной фиктивности, как правило, установить к этому времени не удается.

Незаконные действия удостоверяющих центров по выдаче сертификатов и ключей электронных подписей без ведома заявителя неоднократно явля-лисьпредметомрассмотренияарбитражных судов1, однако единственным результатом таких разбирательств является признание недействительным конкретного ЭЦП и квалифицированного сертификата без санкций в отношении удостоверяющего центра.

С учетом изложенного представляется допустимым сделать вывод, что действующее законодательство в сфере УЭЦП содержит целый ряд условий, создающих условия для злоупотреблений в указанной сфере со стороны работников удостоверяющих центров.

Обсуждение и заключения

Подводя итоги изложенному, отметим, что отно-сительнаяпростотаидоступностьнезаконногопри-обретения и использование УЭЦП способствуют росту целого ряда экономических преступлений, что сформировало противоправную инфраструктуру, ориентированную на его удовлетворение.

Решение указанной проблемы не представляется возможным без создания отдельной уголовно-правовой нормы, устанавливающей ответственность за указанные нарушения.

В 2021 году МВД России выступило с инициативой ввести уголовную ответственность за неправомерные действия с усиленной электронной подписью2.

В соответствии с законопроектом предлагается ввести в Уголовный кодекс Российской Федерации статью 327.3 «Неправомерные действия в отношении усиленной электронной подписи».

При этом первая часть статьи криминализирует выдачу работником аккредитованного удостоверяющего центра сертификата ключа проверки квалифицированной электронной подписи, заведомо содержащего недостоверную информацию о его владельце, а равно выдачу работником аккредитованного удостоверяющего центра сертификата ключа проверки квалифицированной электронной подписи лицу, заведомо не имеющему права на его получение.

Вторая часть устанавливает ответственность за неправомерное завладение ключом усиленной электронной подписи или сертификатом ключа проверки усиленной электронной подписи, совершенное из корыстной заинтересованности.

В качестве предмета совершения преступления, предусмотренного частью первой проекта статьи, предлагается рассматривать исключительно сертификат ключа проверки квалифицированной электронной подписи. При этом во второй части также указывается ключ усиленной электронной подписи.

По нашему мнению, к предмету преступления более правильно отнести не только сертификат ключа проверки электронной подписи, но и ключ электронной подписи и ключ проверки электронной подписи. Поскольку именно их совокупность позволяет совершать действия, связанные с использованием электронной подписи.

Дискуссионной представляется формулировка «выдача сертификата ключа проверки квалифицированной электронной подписи, заведомо содержащего недостоверную информацию о его владельце».

Содержание сведений, подлежащих отражению в сертификате, и его форма регламентированы федеральным законодательством и ведомственными нормативными актами1. Сведения о владельце сертификата по своей сути являются персональными данными лица, от имени которого ставится подпись. При незаконных манипуляциях не выполняются либо обходятся процедуры идентификации заявителя, при этом сведения о владельце сертификата с формальной точки зрения не будут содержать ложные сведения. Однако будут незаконно использованы персональные данные владельца сертификата.

Применительнокпредлагаемомуспособусовер-шения преступления необходимо отметить, что общественную опасность представляет в первую очередь неправомерное создание сертификата и ключей.

При этом следует учитывать, что законом предусмотрены несколько способов их создания2. В первом случае заявитель создает ключ электронной подписи и ключ проверки электронной подписи в соответствии с правилами пользования средствами криптографической защиты информации, согласованными с Федеральной службой безопасности Российской Федерации3. Во втором случае в соответствии с теми же правилами удостоверяющий центр создает ключ электронной подписи и ключ проверки электронной подписи для заявителя.

В следующую группу противоправных действий необходимо выделить незаконное приобретение, сбыт и использование ключа электронной подписи, ключа проверки электронной подписи, сертификата ключа проверки электронной подписи.

Признакомпротивоправностиуказанныхдей-ствий должно быть прямое нарушение запретов и невыполнение обязанностей, установленных Федеральным закономот 6апреля 2011г.№ 63-ФЗ «Об электронной подписи». При этом предлагается установить корыстный мотив в качестве обязательного признака подобных действий.

При такой диспозиции нормы к лицам, подпадающим по действие нормы, будут относиться, в первую очередь, участники указанных выше схем незаконного оборота УЭЦП, которые имеют целью извлечение незаконного дохода.

При этом от необоснованного уголовного преследования должны быть защищены лица, передавшие УЭЦП иному лицу без противоправных целей. Например, использование ключа подписи директора лицом, официально не устроенным в штат организации,но фактически выполняющим обязанности бухгалтера, формально нарушает требования конфиденциальности ключей электронных подписей4, но без корыстного умысла не будет содержать признаков преступления. С другой стороны, получение на собственное имя подставным лицом ключей и передача их за вознаграждение третьим лицам будет подпадать под уголовную ответственность.

Весь спектр описанных выше противоправных действий на практике совершается как работниками аккредитованного удостоверяющего центра и доверенными лицами, так и лицами, не имеющими к ним официально никакого отношения.

При этом очевидно, что совершение противоправных действий лицами первой группы является более общественно опасным. В связи с этим считаем необходимым рассматриваемые действия отнести к категории тяжких преступлений.

На основании изложенного предлагаем следующее изложение проекта статьи 327.3 «Неправомерные действия в отношении усиленной электронной подписи».

• 1.    Создание либо получение ключа электронной подписи, ключа проверки электронной подписи, квалифицированного сертификата ключа проверки электронной подписи, связанные с заведомо неза-коннымиспользованиемперсональных данныхили незаконным использованием документа, удостоверяющего личность.

• 2.    Незаконные приобретение, использование, сбыт ключа электронной подписи, ключа проверки электроннойподписи, сертификатаключапроверки электронной подписи, совершенные из корыстной заинтересованности.

В свою очередь, вид и размер санкций за указанные деяния могут являться предметом дальнейшей научной дискуссии.