За последние годы электронная подпись из узкоспециализированного инструмента превратилась в повседневный элемент юридически значимых действий. С ее помощью подписываются сделки с недвижимостью, заявления в госорганы, корпоративные, банковские и иные документы, и сфера ее применения продолжает расширяться. Государство поддерживает активное развитие технологии: последовательно модернизирует регулирование и формирует цифровую инфраструктуру, создавая нормативную среду для широкого применения электронной подписи.
Договоры, подписанные с использованием электронной подписи, защищены гораздо лучше, нежели традиционные, «бумажные». Однако по мере расширения сфер применения этого инструмента неизбежно возникают отдельные случаи его недобросовестного использования, влекущие судебные споры. При их рассмотрении нередко выявляется, что мошеннические схемы порой оказываются более адаптированы к современным технологическим реалиям, нежели правоприменительная практика. Судьи, не всегда обладая специальными знаниями, касающимися технологической специфики электронной подписи, порой возлагают на аккредитованные удостоверяющие центры объем ответственности, не коррелирующий с их обязанностями, установленными Федеральным законом от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи».
Парадоксально, но наиболее резонансные споры связаны с усиленной квалифицированной электронной подписью (УКЭП) – наиболее регламентированным и формализованным видом цифровой подписи. Сертификаты ключа проверки ЭП выпускаются аккредитованными удостоверяющими центрами после очной идентификации личности заявителя и обязательной проверки его данных через государственную информационную систему межведомственного электронного взаимодействия (далее – СМЭВ). СМЭВ используется для подтверждения актуальности сведений о заявителе путем направления автоматизированных запросов в госорганы. Проведение такой проверки в силу закона является обязательным для многих процессов, в том числе при выдаче квалифицированных сертификатов. Этот автоматизированный комплаенс данных направлен на минимизацию рисков неправомерного получения сертификатов и последующего мошенничества с учетом того, что УКЭП применяется в работе с документами повышенной чувствительности.
Однако практика показывает, что даже соблюдение удостоверяющим центром регламента проверки данных не всегда позволяет полностью исключить риски мошенничества, что обусловливает возникновение основных судебных споров относительно объема ответственности УЦ.
В описанном контексте чаще всего к удостоверяющим центрам предъявляют иски о взыскании убытков. В одном из примеров, как следует из судебного акта, в 2020 г. в аккредитованный УЦ обратился гражданин для выпуска сертификата ключа проверки ЭП. При выпуске была соблюдена установленная процедура: очная идентификация заявителя, проверка оригинала паспорта, через СМЭВ проверены сведения об ИНН, СНИЛС и паспорте с положительным результатом. Был выдан сертификат КЭП и с его помощью заключен договор купли-продажи квартиры; переход права собственности зарегистрирован в установленном порядке.
Позднее выяснилось, что в сделке от имени собственника участвовало иное лицо, которое ранее получило сертификат на основании высококачественной подделки паспорта с реальными и действительными персональными данными владельца квартиры, но иной фотографией. Сделка была оспорена, квартира возвращена реальному собственнику, а покупатель обратился в суд с иском к удостоверяющему центру о взыскании убытков в размере оплаченной цены договора. Иск к УЦ был предъявлен на том основании, что именно он проводил процедуру идентификации при выдаче квалифицированного сертификата.
Суды первой и апелляционной инстанций пришли к выводу, что ответчик выполнил все требования закона и не допустил нарушений при идентификации клиента. В удовлетворении исковых требований о взыскании убытков было отказано.
Однако кассационная инстанция заняла иную позицию, указав на недоказанность проведения проверки отдельных данных заявителя со стороны УЦ. Одним из аргументов суда было то, что ответчик не подтвердил проведение проверки сведений об ИНН клиента.
Такой подход представляется чрезмерно формализованным, и вот почему.
Во-первых, ст. 18 Закона об электронной подписи не предусматривает для УЦ необходимость приобщать к досье клиента выписку об ИНН. Мне, например, не удалось обнаружить подобных требований и в иных подзаконных актах или разъяснениях Минцифры России.
Во-вторых, представляется разумным, что получение удостоверяющим центром сведений об ИНН при наличии в досье копии паспорта клиента должно презюмироваться, поскольку при наличии паспортных данных установление ИНН не представляет трудности не только для УЦ, но и для любого, кто владеет этой частью персональных данных (информация доступна в режиме онлайн в специальном сервисе ФНС).
В-третьих, полагаю, что для взвешенного решения об ответственности УЦ необходимо понимать техническую базу процедуры проверки сведений. Так, удостоверяющий центр вносит данные клиента в специальный интерфейс, интегрированный со СМЭВ; далее в автоматическом режиме запросы направляются в госорганы: по паспортным данным – в МВД, по ИНН – в ФНС, по СНИЛС – в СФР. Если от всех трех адресатов получен автоматический ответ success, проверка считается пройденной.
Каких-либо протоколов проверок СМЭВ не предоставляет – вся информация отображается в интерфейсе программы. То есть УЦ принимает решение на основании данных СМЭВ, которая не предоставляет ему техническую возможность подтвердить (например, путем предоставления архивного протокола), что на момент обработки заявки клиента проверка данных была проведена. Видится, что за ограниченные возможности СМЭВ, как и за правильность работы системы, удостоверяющий центр не может нести ответственность, поскольку это выходит за пределы его полномочий.
Таким образом, складывается ситуация, при которой:
– с одной стороны, УЦ должен подтвердить проведение проверки документов заявителя, перечисленных в ст. 18 Закона об электронной подписи, чтобы освободить себя от бремени неосторожного деликвента;
– с другой, для УЦ не установлены регламентные правила хранения документов, подтверждающих проведение проверки сведений о заявителе, в частности факт обращения УЦ к СМЭВ (кроме того, такие документы по результату проверки отсутствуют).
Вероятно, в данном случае удостоверяющему центру стоило обратиться в Минцифры для подтверждения того, что при принятии решения о выдаче сертификата заявителю УЦ запрашивал необходимую информацию в СМЭВ и получал подтверждение в интерфейсе (success). Однако если с момента проверки прошло более трех лет, такие сведения не будут предоставлены ввиду истечения срока хранения данных. В связи с этим представляется, что в ситуации, когда удостоверяющий центр объективно лишается возможности подтвердить проведение проверки, возложение на него бремени ответственности является несоразмерным и не соотносящимся с установленным законом объемом его обязанностей.
Аналогичным образом спорным представляется вывод судов при повторном рассмотрении дела о том, что в УЦ был представлен паспорт с поддельной фотографией. На мой взгляд, претензия судов заключается в том, что удостоверяющий центр должен был выявить подделку паспорта на основании одного лишь факта – реальный паспорт принадлежит человеку с иной внешностью.
Как мог УЦ выявить этот факт, неясно. Какой-либо базы, доступной УЦ для сравнения фото из представленного (поддельного) паспорта с фото из оригинального документа, не существует. Отсутствует также регламент проверки защитных символов документа, как и обязанность зафиксировать эту проверку путем составления, к примеру, протокола осмотра.
С учетом изложенных причин представляется, что в отсутствие объективной возможности удостоверяющего центра выявить факт поддельной фотографии в действиях ответчика не усматривается даже неосторожный деликт.
Примечательно, что в других делах с аналогичной или схожей фактурой суды выносят противоположные решения. Так, в данном деле суд признал действия удостоверяющего центра не влекущими деликт, указав, что при выпуске сертификата были выполнены требования закона, проведены очная идентификация и фотофиксация заявителя. Отмечу, что к такому выводу суд пришел при повторном рассмотрении дела после его возврата из кассационной инстанции.
В другом деле при схожих обстоятельствах суд пришел к противоположному выводу: не принял во внимание результаты проверки через СМЭВ и возложил ответственность исключительно на УЦ. Банк, проводивший процедуру идентификации лица для открытия счета, ответственности избежал.
Анализ подобных дел свидетельствует, с одной стороны, об отсутствии единообразия судебной практики при схожей фактуре, с другой – о расхождении между ожидаемым от удостоверяющего центра поведением и его обязанностями, установленными законом. Неоднозначная логика судов во многих делах сводится к следующему: если сертификат в итоге оказался у злоумышленника, значит, удостоверяющий центр должен был распознать поддельные документы и предотвратить его выдачу. Тем самым на УЦ возлагается не установленная нормативно обязанность выявлять высокотехнологичные подделки и отвечать за преступные деликты третьих лиц, несмотря на соблюдение требований закона.
Приведенные дела – далеко не единственный пример правовой неопределенности в вопросах объема обязанностей УЦ. Подобная проблема судебной практики наблюдается и по другим аспектам деятельности удостоверяющих центров
Характерный пример – фотофиксация заявителя с заявлением. К этой процедуре УЦ прибегает как к дополнительной мере, фиксирующей факты личного обращения клиента и его волеизъявления. Отмечу, что в законе такой процедуры нет. Однако при возникновении споров с участием УЦ доказательства фотофиксации также оцениваются судами по-разному: одни принимают такие фотографии как подтверждение личного присутствия и волеизъявления заявителя 1, другие указывают, что фотофиксация не входит в перечень регламентированных процедур ст. 18 Закона об электронной подписи, в связи с чем самостоятельного правового значения не имеет2.
Более того, в судебной практике встречаются ситуации, когда суд на основании подобной фотографии и скан-копии заявления признает соблюдение удостоверяющим центром правил проведения проверки клиента даже в отсутствие его очной идентификации. Например, суды трех инстанций посчитали, что волеизъявление обманутого клиента на выпуск сертификата было выражено однозначно, в то время как объем обязанностей удостоверяющего центра в соответствии со ст. 18 Закона об электронной подписи не получил должной оценки.
Такая противоречивая практика не отвечает принципу правовой определенности в вопросе о том, какой объем обязанностей несет удостоверяющий центр при проверке представляемых заявителем сведений. Возникает правовой парадокс: на УЦ возлагается бремя деликвента вопреки соблюдению им требований закона, тогда как при обычной «бумажной» сделке, совершенной с использованием поддельного паспорта, эту ответственность нес бы исключительно злоумышленник. Получается, что для потерпевших возложение ответственности на УЦ – это способ перераспределить ответственность в условиях, когда правоохранительные органы не могут установить реального причинителя вреда. Считаю, что такой способ защиты прав не должен поощряться, особенно при условии выполнения удостоверяющим центром установленных законом требований для идентификации клиента.
В настоящее время, к сожалению, ни одно из проанализированных дел не дошло до Верховного Суда, который мог бы сформировать соответствующую правовую позицию, внеся правовую определенность в вопрос объема ответственности УЦ. С учетом активного развития инфраструктуры «цифры» наличие правильного правового ориентира представляется критически важным для правоприменения при разрешении споров, связанных с электронной подписью.
Игнорирование технических аспектов и ограниченных возможностей удостоверяющего центра при выполнении требований ст. 18 Закона об электронной подписи, критическая оценка дополнительных мер, применяемых УЦ при работе с клиентом, дисбаланс в вопросе объема обязанностей УЦ, возложение на него ответственности в условиях добросовестного выполнения обязанностей, «подмена» ответственности преступного деликвента (лицо, совершившее мошеннические действия) ответственностью неосторожного деликвента (удостоверяющий центр) – эти и другие вопросы требуют правовой формулы, нивелирующей противоречивость судебной практики.
1 Дело № 2-22/2025, рассматривалось Вяземским районным судом Смоленской области.
2Дело № 2-1417/2023, рассматривалось Кинешемским районного суда Ивановской области.
