Зараз виникає чимало ситуацій, коли ведуться розгляди з приводу визнання (невизнання) документа, підписаного ЕП. Хочеться себе убезпечити і уникнути судових позовів, тому мене цікавить питання: в яких випадках відбувається визнання підпису недійсною? А то виходить, що на електронний документообіг перейшли, а документ визнається дійсним тільки за наявності печатки на папері.
В даному питанні велике значення має те, на якій правовій підставі використовуються електронні підписи (ЕП).
Якщо ЕП використовуються в рамках корпоративної системи (зараз це найбільш поширений варіант), то правила їх використання і порядок розбору конфліктних ситуацій визначаються організатором системи і включаються в підписуються учасниками договору. У таких ситуаціях ЕП може бути визнана недійсною у разі порушення однієї зі сторін встановлених в корпоративній системі правил, які зазвичай формулюються таким чином, щоб всі ризики, пов'язані з неналежним зберіганням і використанням ключових носіїв, із зараженням комп'ютера вірусами і т.п. ніс відповідний учасник інформаційного обміну.
Перевагою корпоративних систем є те, що в них можна використовувати технології перевірки «історичних» підписів (тобто після закінчення терміну дії сертифіката відкритого ключа, на основі якого була сформована підпис), які законодавством не підтримуються.
Наприклад, можливе використання позначок часу перепідписання документів, створення довіреної архівного сховища або реєстру документів, що підтверджують справжність документа вже не шляхом повторного огляду підписів, а на основі реєстраційних даних і т.д.
У загальному ж випадку ситуація виглядає поки значно менше радісною. Вимоги щодо ЕЦП та посиленою кваліфікованої підпису встановлені законодавством, а саме:
1. Електронний цифровий підпис в електронному документі рівнозначна власноручного підпису в документі на паперовому носії при одночасному дотриманні наступних умов:
- сертифікат ключа підпису, що відноситься до цієї електронного цифрового підпису, не втратив силу (діє) на момент перевірки або на момент підписання електронного документа при наявності доказів, що визначають момент підписання;
- підтверджена справжність електронного цифрового підпису в електронному документі;
- електронний цифровий підпис використовується відповідно до відомостей, зазначених у сертифікаті ключа підпису.
Кваліфікована електронний підпис визнається дійсною до тих пір, поки рішенням суду не встановлено інше. при одночасному дотриманні наступних умов:
1) кваліфікований сертифікат створений і виданий акредитованим центром, що засвідчує, акредитація якого дійсна на день видачі зазначеного сертифіката;
2) кваліфікований сертифікат дійсний на момент підписання електронного документа (за наявності достовірної інформації про момент підписання електронного документа) або на день перевірки дійсності зазначеного сертифіката, якщо момент підписання електронного документа не визначений;
3) є позитивний результат перевірки приналежності власнику кваліфікованого сертифіката кваліфікованої електронного підпису, за допомогою якої підписаний електронний документ, і підтверджено відсутність змін, внесених в цей документ після його підписання. При цьому перевірка здійснюється з використанням засобів електронного підпису, які отримали підтвердження відповідності вимогам, встановленим відповідно до цього Закону, і з використанням кваліфікованого сертифіката особи, яка підписала електронний документ;
4) кваліфікована електронний підпис використовується з урахуванням обмежень. містяться в кваліфікованому сертифікаті особи підписувача електронного документа (якщо такі обмеження встановлені).
Таким чином, по відношенню до «історичних» підписів необхідно, в першу чергу, мати можливість довести момент підписання документа - і це може виявитися для організації серйозною проблемою. Потім вже можна, на підставі наявних в засвідчувальному центрі даних, доводити, що на момент підписання сертифікат ключа підпису був дійсний.
Якщо, наприклад, документ був підписаний ЕЦП і ніде не був зареєстрований і нікуди не посилався, довести час його підписання в разі спору буде проблематично (оскільки відомості про час, зафіксованому в документі і / або підписи по годинах комп'ютера, не є надійними, т. к. цей годинник нескладно «підкрутити»). Якщо документ був посланий особі, яка не є учасником корпоративної системи, то ця особа може наполягати на невизнання в якості доказів додаткових заходів, що здійснюються в корпоративній системі, але не спираються на закони і нормативні акти.
Окремою проблемою є те, що поширене програмне забезпечення не розраховане на перевірку «історичних» підписів і видаватиме «червоні прапори». Можна доопрацювати програмне забезпечення так, щоб воно могло здійснювати таку перевірку, але це потребує чималих витрат і серйозних зусиль зі створення належної правової бази.
У зв'язку з цим на сьогоднішній день рекомендується по можливості не використовувати ЕЦП і посилені ЕП при роботі з документами тривалого і постійного терміну зберігання (або, якщо без цього не можна обійтися, подумати про створення дублікатів документів на паперових носіях).
Крім того, слід враховувати і ризики, пов'язані з тим, що підпис може бути визнана недійсною через те, що використовувалася з порушенням зазначених в сертифікаті ключа підпису обмежень.
Потрібно знати, що ЕЦП / посилена ЕП буде визнана недійсною, якщо в підписаному документі змінився хоча б один біт. Відповідно, підписані такими підписами документи потрібно зберігати в їх первинному вигляді.
Але все вищесказане не означає, що електронними підписами не варто користуватися. Просто слід пам'ятати про проблеми цих технологій, ретельно опрацьовувати внутрішні нормативні документи, що регламентують їх використання, і неухильно їх дотримуватися, особливо в тому, що стосується безпеки ключових носіїв і обладнання, на якому виконується підписання документів.
В якості одного з важливих приватних моментів хотілося б відзначити, що вкрай не рекомендується видавати користувачам готові пари ключів, оскільки в цьому випадку неможливо довести, що з них не були зняті копії в процесі виготовлення і доставки. Бажано, щоб пари ключів виготовляв сам власник сертифіката ключа або, в крайньому випадку, щоб він був присутній при їх виготовленні і розписувався в відсутність у нього претензій.
Анонси майбутніх номерів