Бизнес в Татарстане столкнулся с всплеском краж электронных подписей
Рост преступлений — общероссийский тренд, а у жителей республики ЭЦП теперь «крадут» и злоумышленники из других регионов
В Татарстане, как и по всей России, резко выросло количество махинаций с электронными цифровыми подписями, которые изначально были призваны облегчить жизнь предпринимателей и граждан. Информацию «Реальному времени» подтвердили в МВД по РТ, где ранее уже предсказывали эту негативную тенденцию, добавив, что несколько стабилизировать ситуацию удалось лишь в последние месяцы, однако расслабляться еще рано — преступления не прекратились. Если в республике выдачу ЭЦП жестко ограничили, то теперь подписи наших бизнесменов воруют из других регионов. В правоохранительных органах видят выход в ужесточении требований к выдаче электронных подписей и усилении ответственности за махинации, а депутаты Госдумы настаивают — процесс цифровизации необратим, но нужно ужесточать закон. Как легко можно утратить контроль за собственной подписью, какими последствиями это грозит и как предлагается решать проблему — подробнее в нашем материале.
Я — не я, и подпись не моя
Казанский предприниматель Леонид Борисов рассказал «Реальному времени» как оказался в числе жертв воров электронных цифровых подписей. Ему на электронную почту пришло уведомление от налоговой службы о выдаче ЭЦП на его имя.
— Это совпало по времени с внесением ряда изменений в учредительные документы моей компании, и я воспринял эту информацию как приятный бонус, дескать, ФНС позаботилась о моем удобстве, а я, как будет время, зайду туда и получу ЭЦП. Купил токен, но только на днях зашел с ним в свою инспекцию. А там меня огорошили: оказывается, еще 21 января мою подпись получил какой-то житель Иркутска, и выдали ему ЭЦП в Межрайонной ИФНС России №24 по Свердловской области — в Екатеринбурге!
На вопрос, как это могло произойти, сотрудники ФНС лишь удивленно пожали плечами и сказали, что вообще-то при выдаче ЭЦП они и паспорт спрашивают, и фото на нем с оригиналом сверяют и вообще весь процесс получения электронной подписи снимают на видео.
Предприниматель электронную подпись тут же отозвал и написал заявление в полицию о краже ЭЦП. Сам тоже занялся расследованием и через интернет-сервисы выяснил, что обладателем подписи без его ведома стал 32-летний предприниматель из Иркутска. Теперь этим гражданином будут заниматься правоохранительные органы.
А вот казанскому бизнесмену предстоит еще большая нервотрепка: кто знает, какие обязательства на него и на его компанию за полгода пользования его электронной цифровой подписью «повесил» ловкий иркутянин?
Всплеск краж ЭЦП
Случай с татарстанцем далеко не уникальный. Как сообщили «Реальному времени» в МВД по РТ, одной из проблем за последние 3 года стал всплеск уголовных дел, возбужденных по статье 173.1 УК РФ «Незаконное образование (создание, реорганизация) юридического лица» и статье 173.2 УК РФ «Незаконное использование документов для образования (создания, реорганизации) юридического лица». При этом основной причиной резкого роста количества преступлений, по словам правоохранителей, стала незаконная регистрация юрлиц на граждан с использованием электронной цифровой подписи (ЭЦП).
— Это не мошенничество, а другая статья, — уточнили в МВД по РТ и добавили, что сейчас негативную тенденцию удалось переломить. — По итогам первого полугодия 2022 года в Татарстане было выявлено 145 преступлений по статье 173 прим. 1, 2 УК РФ. В том числе по статье 173.1 УК РФ «Незаконное образование (создание, реорганизация) юридического лица» — 125 преступлений; по статье 173.2 УК РФ «Незаконное использование документов для образования (создания, реорганизации) юридического лица») — 20 преступлений. За аналогичный период прошлого года — 362, в том числе по статье 173.1 УК РФ — 341, по статье 173.2 УК РФ — 21. Направлено в суд 15 уголовных дел по 42 преступлениям. За аналогичный период прошлого года в суд ушло 12 уголовных дел по 25 преступлениям.
Полиция просит ужесточить закон
Мошенничества с использованием ЭЦП — электронной цифровой подписи — ожидаемо начались с момента их появления. Еще в 2018—2019 годах, по данным ФНС, в России было совершено более 43 тысяч нарушений с использованием электронной подписи, самое распространенное из них — получение ЭЦП по поддельным документам.
Самым громким скандалом о краже ЭЦП в тот период стало уголовное дело пострадавшего москвича Романа Салтовского, от имени которого в 2018 году мошенники заключили договор дарения квартиры. Законному владельцу недвижимости пришлось долго доказывать, что он электронную подпись даже не получал, и лишь год спустя по решению Бабушкинского райсуда Москвы он вернул свою жилплощадь.
Электронная подпись позволяет на расстоянии купить-продать-подарить имущество гражданина без его ведома, открыть на его имя ИП или ООО, взять кредит, заключить кабальный договор. ФНС, сообщая гражданину о выдаче на его имя ЭЦП по электронной почте, сразу же предупреждает: если вы подпись не получали — немедленно заблокируйте ее использование. Но у кого-то нет электронной почты, кто-то не сообразил, как Леонид Борисов, что ЭЦП на его имя не просто изготовили, но и выдали постороннему лицу.
С пандемией коронавируса и переходом на удаленку мошенничества такого рода предсказуемо участились. И в мае 2021 года МВД России выступило с инициативой — предложило ввести уголовную ответственность за махинации с электронной подписью. На выездном заседании межфракционной рабочей группы Госдумы начальник договорно-правового департамента МВД России Александр Авдейко сказал, что в ряде случаев усиленную электронную подпись используют для совершения преступления и сообщил, что ведомство работает над законопроектом, целью которого является ужесточение наказания за неправомерное владение ключом электронной подписи или сертификатом ключа проверки электронной подписи. Законопроектом предлагалось ввести ответственность в виде штрафа в размере от 100 до 300 тыс. рублей либо лишения свободы на срок до 3 лет, а для сотрудников удостоверяющих центров, которые умышленно не проверили подлинность документов при выдаче усиленной электронной подписи, предусмотреть штраф в размере до 300 тыс. рублей или лишение свободы на 3—4 года.
Между тем и министр внутренних дел по Татарстану Артем Хохорин еще 2 года назад предлагал ввести уголовную ответственность за незаконное предоставление электронной цифровой подписи, если эти действия совершены для внесения в ЕГРЮЛ сведений о подставных лицах. 2022 год — переломный?
Все стало плохо, когда ЭЦП «подешевела»
В республиканском МВД подчеркнули, что тремя годами раньше рост преступлений сдерживало то, что прием документов осуществлялся только на бумажных носителях (подача лично, через доверенное лицо либо по почте), и рассказали, каким образом «открылись шлюзы» для желающих подписывать документы от имени ничего не подозревающих граждан:
— С 1 января 2019 года государственная пошлина в размере 4 000 рублей при регистрации фирмы была отменена, в связи с чем документы на подставное лицо в регистрирующий налоговый орган в 80 процентах случаев стали направляться через электронные каналы связи, подписанными электронной цифровой подписью.
Далее, пояснили татарстанские правоохранители, последовал рост числа юрлиц, которые оказывают услуги по изготовлению ЭЦП, а порядок получения подписи оказался настолько «оцифрован», что завладеть ею мошенникам стало не просто легко, а невероятно легко:
— Данные центры, помимо самостоятельной деятельности, имели право заключать агентские договоры с любыми индивидуальными предпринимателями или юридическими лицами на право принятия заявлений и выдачу электронных подписей от имени лицензиата. Число агентов было не ограничено и их деятельность никем не контролировалась. Для получения ЭЦП документы в агентский пункт просто направлялись посредством курьерской доставки (связь с курьером поддерживалась с помощью электронной почты, оплата — безналичным способом с обезличенным кошельком), либо с электронного ящика с расширением *.gmail.com. После получения ЭЦП документы в ФНС направлялись с использованием программ, маскирующих ip-адрес отправителя (т. н. «анонимайзеров»). А для получения готовых документов указывался электронный почтовый ящик, зарегистрированный на несуществующее лицо. Абонентский номер, указанный при регистрации данного почтового ящика, был зарегистрирован либо на подставное лицо, либо на юридическое лицо.
Ситуацию должны были изменить вышедшие в декабре 2019 года поправки в федеральный закон «Об электронной цифровой подписи», согласно которым с 01.07.2020 полномочиями по выдаче электронной цифровой подписи для юридических лиц и индивидуальных предпринимателей наделялись только налоговые органы, Центробанк РФ и Федеральное казначейство. Удостоверяющие центры, уполномоченные для выдачи электронной цифровой подписи физическим лицам, должны были иметь уставный капитал не менее 1 млрд рублей или 500 млн рублей при наличии не менее чем в ¾ субъектах Российской Федерации одного или более филиала или представительства, а подтвердить личность при получении подписи следовало, посетив удостоверяющий центр лично, либо с помощью действующей ЭЦП, либо биометрическими данными, содержащимися в загранпаспорте или в Единой биометрической системе (ЕБС).
Но коронавирус отодвинул сроки вступления в силу двух из трех поправок: полномочия по выдаче электронной цифровой подписи перешли к налоговым органам, Центробанку РФ и Федеральному казначейству только с 1 января 2022 года, а полномочия существующих удостоверяющих центров по выдаче ЭЦП были продлены до 31 декабря 2021 года. С 1 июля 2020 года вступили в законную силу лишь изменения в части обязательного подтверждения личности при получении ЭЦП. Но этот барьер, как подтверждает случай с казанским бизнесменом Леонидом Борисовым, мошенники умеют обходить.
— Данные изменения до 1 января 2022 года на ситуацию никак не влияли, — говорят в МВД по РТ. — Имелись факты незаконной регистрации с помощью ЭЦП, полученной после 01.07.2020, когда заявители поясняли, что за получением ЭЦП лично не обращались. Лишь начиная с 1 января 2022 года, после вступления в силу законодательных изменений в части наделения полномочиями по выдаче ЭЦП юридическим лицам и индивидуальным предпринимателям налоговых органов, Центробанка РФ и Федерального казначейства, а также ужесточения требований к коммерческим удостоверяющим центрам число приостановленных преступлений данной категории сильно снизилось.
Сейчас, говорят в МВД по РТ, граждане все реже подают заявления о том, что их паспортными данными кто-то воспользовался с целью образования юридического лица:
— Основной причиной снижения стало то, что налоговый орган выдает ЭЦП только при условии личного посещения лица, обратившегося за получением ЭЦП. Никакие доверенности не принимаются. УФНС России по РТ осуществляет выдачу ЭЦП только через территориальные налоговые инспекции и филиалы банков Сбербанк и ВТБ. Уполномоченное представительство АО «Аналитический центр» (г. Москва) филиалов в Татарстане не имеет. В России начиная с 01.01.2022 по 06.06.2022 (по данным сайта Минцифры России) аккредитовано 42 коммерческих удостоверяющих центра. В Татарстане центры отсутствуют.
Могут вывести деньги, повесить кредит или испортить репутацию
«Реальное время» направило запрос в пресс-службу ФНС России с запросом, в котором попросило разъяснить, каким образом при выдаче ЭЦП сотрудниками ФНС проверяется личность получателя, достоверность доверенности и как гарантируется истинному обладателю ЭЦП невозможность выдачи ее мошеннику, какие противоправные действия могут совершить мошенники, получив ЭЦП предпринимателя или физлица, какие меры должен предпринять гражданин, узнавший, что его ЭЦП получило неизвестное ему лицо. Также мы поинтересовались, какие меры предпринимает ФНС для предотвращения подобных противоправных действий и сколько случаев выдачи ЭЦП предпринимателей и физлиц третьим лицам без ведома самих обладателей ЭЦП выявлено в 2021 году и с начала 2022 года. Однако в ФНС на запрос издания так и не ответили.
На сайте удостоверяющего центра «СКБ Контур» есть подробное описание последствий такой вот «кражи» электронной подписи: «С такой подписью злоумышленники могут открыть фиктивные фирмы или ИП, оформить кредит и подписать любые документы вместо владельца. Чаще всего мошенникам интересны ЭП руководителя, бухгалтера или сотрудника с генеральной доверенностью — с ними можно провести махинации на большие суммы: вывести деньги со счета компании или продать ее имущество, незаконно возместить НДС, оформить микрозаем на компанию и вывести эти деньги, выиграть торги, но не заключить контракт и испортить репутацию, сменить руководителя компании или добавить нового учредителя».
«Провернуть такое без помощи на местах нельзя»
— В одном деле в ходе выездной налоговой проверки кто-то подал «нулевые» уточненные декларации за налогоплательщика. Последний, конечно, вовремя опомнился. Написал письмо в инспекцию, снова подал декларации. Одновременно он сделал запрос в инспекцию — попросил предоставить информацию (документы) по приему инспекцией налоговой отчетности от неуполномоченного лица: ИНН, ФИО, сведения об операторе, IP адрес и так далее). Но налоговый орган включил режим «налоговой тайны» и отказался раскрывать такие сведения, — рассказала эксперт.
Речь идет, пояснила Валеева, о владивостокском ООО «Ипон-Логистик» — точку в деле этой компании 29 июня поставил Арбитражный суд Дальневосточного округа, признавший, что налоговики не обязаны предоставлять такие сведения.
— Посмотреть, какие ЭЦП выпущены на ваше имя, можно на сайте госуслуг в соответствующем разделе, — говорит Валеева. — Если вы ЭЦП не получали, а она была выдана, необходимо обратиться в правоохранительные органы с заявлением о мошеннических действиях. Такое обращение поможет в будущем, если всплывут незаконные сделки и операции.
«За сохранность подписи отвечает владелец»
«Удостоверить личность, чтобы получить сертификат ключа проверки электронной подписи, можно и иначе — с помощью действующего сертификата КЭП, загранпаспорта нового поколения или Единой биометрической системы, в соответствии со статьями 13 и 18 Федерального закона «Об электронной подписи», добавил эксперт.
Казаков добавил, что с 1 января 2022 года руководители юрлиц и ИП могут выпускать сертификаты подписи только в государственных удостоверяющих центрах — ФНС, Казначействе и Центробанке и подчеркнул:
— Если заявитель получает сертификат КЭП впервые, то визит в организацию, которая выдает сертификаты, обязателен.
В ответ на вопрос «Реального времени» как собственник ЭЦП может выяснить, не заключили ли мошенники. укравшие подпись от имени компании или его имени кредитный договор с каким-либо банком, или договор поставки с штрафными санкциями за непоставку в оговоренный срок, или договор поручительства, Казаков напомнил, что информацию обо всех выданных сертификатах КЭП можно найти на портале Госуслуг, а владельцу сертификата на Госуслугах приходит оповещение, где сказано, какой сертификат, когда и какая организация выпустила.
— Чтобы узнать о выданных кредитах, можно отправить запрос в Бюро кредитных историй, — сказал он. — И надо помнить, что, согласно статье 10 закона «Об электронной подписи», за сохранение конфиденциальности ключей электронной подписи, в том числе недопущение использования подписи без согласия владельца, отвечает он сам. Поэтому если есть подозрения, что подписью завладел другой человек, сертификат нужно срочно отозвать.
«Цифровизацию не остановить, надо увеличивать ответственность»
Фаррахов напомнил о волне мошенничества, связанной с появлением банковских карт, о всплеске махинаций, вызванном появлением онлайн-счетов, и заметил, что сейчас «это все постепенно спало».
— Надо еще сильнее увеличить ответственность за кибермошенничество, — заявил он. — Мы все равно обречены на дальнейшую цифровизацию, на то, что цифровая подпись будет требоваться все чаще — при оформлении пенсий, пособий и так далее. И нужно, чтобы соблазн у мошенников не возникал.
Однако, как выяснилось, глава думского комитета… ничего не знает о законопроекте, который начало год назад продвигать российское МВД:
— Пока, насколько мне известно, такой законопроект не внесен в Государственную Думу. А я сам хотел бы посмотреть динамику в этой сфере. Я лично не получал обращений от пострадавших от преступлений с электронной подписью, но если эти правонарушения носят массовый характер, а динамика по ним увеличивается, я обязательно поддержу такой закон, потому что их деятельность дискредитирует всю работу государства, подрывает к нему доверие.
Подписывайтесь на телеграм-канал, группу «ВКонтакте» и страницу в «Одноклассниках» «Реального времени». Ежедневные видео на Rutube, «Дзене» и Youtube.