Да и вообще можно ли передавать ЭЦП третьим лицам по любым другим поводам.
Напомним, с 1 января 2021 года заявители регистрируют декларации самостоятельно с помощью ФГИС Росаккредитации. И сделать это они могут только с помощью квалифицированной электронной цифровой подписи (ЭЦП).
У многих она есть уже давно, и вместе с ней есть корпоративные правила по её использованию.
Но некоторые заявители, особенно те, кто недавно её получил, могут столкнуться с предложениями передать свою ЭЦП подрядчику для того, чтобы тот с её помощью зарегистрировал декларацию о соответствии (иногда и не только для этого).
В этой статьей мы расскажем, почему передавать ЭЦП другому человеку — это очень плохая идея.
Ответственность за использование чужой ЭЦП
По закону (а именно по 63-ФЗ «Об электронной подписи» от 06 апреля 2011 года) передавать ЭЦП не запрещено явно, однако и не описаны механизмы её передачи. Единственное упоминание об этом содержится в первом пункте десятой статьи, описывающей обязанности участников:
1. При использовании усиленных электронных подписей участники электронного взаимодействия обязаны:
1) обеспечивать конфиденциальность ключей электронных подписей, в частности не допускать использование принадлежащих им ключей электронных подписей без их согласия;
То есть, законом запрещено использовать ЭЦП без согласия её держателя. Всё. Больше о её передаче третьим лицам в 63-ФЗ не говорится ни слова.
На практике это означает, что, во-первых, ответственность возникает не за сам факт передачи ЭЦП, а за последствия, возникшие от этого. А, во-вторых, что ответственность эта будет только на держателе цифровой подписи, и ему не помогут никакие доверенности и соглашения.
Проще говоря, на законодательном уровне закреплена позиция «передал ЭЦП — сам виноват». И по закону с подрядчика ничего не взыскать, и к ответственности его не привлечь.
Возможные последствия для держателя ЭЦП
Самая банальная ситуация — Ваш подрядчик ошибся во вносимых сведениях при регистрации декларации. А к ответственности за недостоверное декларирование соответствия будете привлечены Вы.
Более "серый" вариант — у подрядчика появляется клиент, у которого, например, нет юрлица в ЕАЭС, а поэтому он не может быть заявителем. Имея на руках Вашу ЭЦП и желание удовлетворить специфический клиентский запрос, подрядчик может вовлечь Вашу компанию в не самые приятные схемы. В лучшем случае, Вы ничего не узнаете.
Совсем уж явный криминал — контракты и платёжные документы, подписанные Вами, но руками подрядчика — тоже возможен, но в реальной практике скорее гипотетически. Однако, не стоит недооценивать харизму современных Остапов.
Доверяете ли Вы подрядчику настолько, чтобы отдать ему ключи от своего офиса, склада и сейфа с деньгами? А передать ЭЦП — это передать ещё больше ключей.
Возможные последствия для подрядчика
Да, негативные последствия от передачи ЭЦП возможны и для него. Они будут несколько в иной плоскости, но всё же будут.
Как уже сказали выше, передать цифровую подпись можно только тому подрядчику, которому доверяешь на 200%, и с которым официально договорился на использование ЭЦП. Именно доверие в подобных ситуациях может пострадать больше всего.
Потому что, если возникнет какая-то спорная ситуация, то под подозрением будут в первую очередь те, кто имел доступ к ЭЦП. И подрядчику в этом случае придётся оправдываться, почему это был не он. И даже если потом «ложечки найдутся», то всё равно «осадочек останется».
Стоит ли так рисковать доверием клиента?
