Электронная подпись

Электронная подпись (ЭП) выступает основой для всей экосистемы цифрового взаимодействия: без неё невозможен ни обмен юридически значимыми документами с контрагентами, ни отчётность перед государственными органами, ни участие в электронных торгах. В статье рассмотрим, как работает ЭП в корпоративном документообороте и как обеспечить её безопасное использование.

Содержание:

• Цифровой аналог собственноручной подписи
• Виды электронных подписей по закону 63-ФЗ
• Из чего состоит электронная подпись: ключи, сертификат и средства ЭП
• Как и где получить электронную подпись
• Как пользоваться электронной подписью
• Сфера применения электронной подписи
• Срок действия, перевыпуск и отзыв сертификата ЭП
• Безопасность электронной подписи
• FAQ
• Главное по тексту

Цифровой аналог собственноручной подписи

Электронная подпись — это информация в цифровом формате, присоединённая к электронному документу и позволяющая идентифицировать лицо, его подписавшее.

Технически ЭП представляет собой уникальный закодированный набор символов, созданный с помощью криптографических алгоритмов. Юридически же это полноценный аналог собственноручной подписи, который по статье 6 закона 63-ФЗ признаётся равнозначным подписи на бумаге при соблюдении определённых условий.

Принципиальное значение имеет юридическая сила цифровых документов. За 2024 год среди всех судебных дел, связанных с оспариванием подписи, лишь 0,55% касались электронной подписи, тогда как 99,45% были связаны с рукописной. Годом ранее в судебном порядке пытались оспорить только 1,1% ЭП, что свидетельствует о высокой надёжности технологии. Все удачные попытки оспаривания цифровой подписи связаны либо с несоблюдением цифровой гигиены, либо со злонамеренным нарушением правил идентификации личности в цифровых сервисах.

Законодательное регулирование электронных подписей в России определяется Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи». При использовании квалифицированной электронной подписи от имени организации сотрудники обязаны применять машиночитаемые доверенности (МЧД).

Сегодня без электронной подписи невозможно представить работу ни одной компании среднего и крупного бизнеса. Отчётность в налоговую службу, Росстат, Социальный фонд России, взаимодействие с банками, участие в госзакупках — везде требуется ЭП.

Виды электронных подписей по закону 63-ФЗ

Российское законодательство классифицирует три типа электронных подписей, различающихся уровнем защиты и сферой применения.

Простая электронная подпись (ПЭП) — базовый вид, который сотрудники используют ежедневно. По сути, это логин и пароль для входа в информационную систему, СМС-код для подтверждения операции или код доступа к личному кабинету. ПЭП подтверждает факт формирования подписи определённым лицом, но не защищает документ от изменений. Такая подпись подходит для внутрикорпоративного документооборота, доступа к программным средствам, но не имеет юридической силы при взаимодействии с внешними контрагентами и госорганами.

Усиленная неквалифицированная электронная подпись (НЭП) — создаётся с применением криптографии и содержит пару ключей: закрытый (известен только владельцу) и открытый (доступен для проверки подлинности). НЭП позволяет зафиксировать любые изменения в документе после его подписания. Этот вид подписи применяется по соглашению сторон — например, для обмена документами между контрагентами, если они договорились о таком формате взаимодействия. Срок действия сертификата для юридических лиц — 12 месяцев.

Усиленная квалифицированная электронная подпись (УКЭП, КЭП) — наиболее защищённый и универсальный вид ЭП. Она создаётся с использованием сертифицированных средств криптографической защиты информации и выдаётся только аккредитованными удостоверяющими центрами. УКЭП имеет полную юридическую силу и может применяться в любых правоотношениях без дополнительных соглашений.

Квалифицированная подпись обязательна при работе с государственными информационными системами (ГИС), участии в электронных торгах по 44-ФЗ и 223-ФЗ, сдаче отчётности в ФНС, СФР и Росстат.

Из чего состоит электронная подпись: ключи, сертификат и средства ЭП

Электронная подпись представляет собой систему из взаимосвязанных компонентов: данных и средств для их проверки при пересылке.

Ключ электронной подписи — уникальная последовательность символов, которая используется для создания самой подписи. Это закрытый ключ, который должен храниться втайне и известен только владельцу. Именно с его помощью создаётся цифровая подпись документа. Если закрытый ключ станет известен злоумышленникам, они смогут совершать действия от имени владельца, подписывать договоры и создавать фальшивые документы.

Ключ проверки электронной подписи — открытая часть криптографической пары, которая доступна всем участникам документооборота. С его помощью получатель документа может проверить подлинность подписи и убедиться, что документ не был изменён после подписания.

Сертификат ключа проверки — цифровой документ, выданный удостоверяющим центром, который содержит информацию о владельце подписи (ФИО, СНИЛС, ИНН для физлиц; наименование, ОГРН, ИНН для юрлиц), открытый ключ проверки, данные об удостоверяющем центре и сроке действия сертификата. Для квалифицированной подписи это официальный документ, который подтверждает полномочия владельца.

Средства электронной подписи — программно-аппаратный комплекс для создания и проверки ЭП. К ним относится криптографическое программное обеспечение и защищённый носитель — токен или USB-ключ. Носители типа Рутокен или JaCarta сертифицированы ФСБ России или ФСТЭК. Токен обеспечивает безопасное хранение закрытого ключа: он не может быть скопирован или извлечён из устройства программными средствами.

Как и где получить электронную подпись

ЭП можно получить в удостоверяющем центре (УЦ), через Госуслуги, в ФНС или МФЦ. Процедура зависит от типа подписи и статуса заявителя.

Для руководителей организаций и индивидуальных предпринимателей оптимальный вариант — обратиться в удостоверяющий центр ФНС или к его доверенным лицам. Сертификат УКЭП выдаётся бесплатно, срок действия 15 месяцев. Процедура требует личного присутствия для идентификации, при себе необходимо иметь паспорт и СНИЛС. Токен для записи ключей приобретается отдельно.

Доступна дистанционная идентификация через приложение «Госключ» с использованием биометрии. Это позволяет не посещать офис удостоверяющего центра и получить сертификат, даже находясь за пределами России.

Сотрудники организаций должны получать сертификат УКЭП физического лица в коммерческом аккредитованном удостоверяющем центре, а для подписания документов от имени организации использовать машиночитаемую доверенность.

Список аккредитованных удостоверяющих центров опубликован на сайте Минцифры. Многие удостоверяющие центры предлагают выездное обслуживание: курьер приезжает в офис компании, проводит идентификацию сотрудников и выдаёт сертификаты на месте. Это особенно актуально для крупных организаций, где требуется массовый выпуск подписей.

Машиночитаемые доверенности оформляются в специализированных сервисах. Существует несколько форматов: версия 5.03 для ФНС, отдельная форма для СФР, единый формат 003 для Росстата, Росприроднадзора, Минтруда и других ведомств. С 1 мая 2025 года Росстат принимает отчётность только с МЧД формата 003, бумажные доверенности больше не действуют.

Для выпуска МЧД руководитель входит в сервис со своей УКЭП, указывает данные сотрудника, выбирает полномочия из классификатора (например, код ROSSTAT_STAT_001 для отчётности в Росстат) и подписывает доверенность своей квалифицированной подписью. Документ автоматически загружается в реестр ФНС и становится доступен для проверки.

Как пользоваться электронной подписью

Нужно правильно настроить программное обеспечение для руководства и сотрудников, а также разобраться в базовых принципах криптографической защиты.

Первоначальная настройка включает установку криптопровайдера, драйверов для токена, корневых и промежуточных сертификатов удостоверяющего центра. Многие УЦ предоставляют готовые дистрибутивы с автоматической настройкой, что упрощает процесс для пользователя без технических знаний.

После установки ключ проверяется на работоспособность: пользователь подписывает тестовый документ и проверяет подпись средствами криптопровайдера. Важно убедиться, что сертификат действителен, не отозван удостоверяющим центром и срок его действия не истёк.

Подписание документов осуществляется встроенными средствами информационных систем. В программах электронного документооборота процесс максимально автоматизирован: пользователь выбирает документ, нажимает кнопку «Подписать», вводит PIN-код токена — и подпись формируется автоматически.

При работе с офисными программами используются плагины КриптоПро Office Signature или встроенные возможности программ для создания невидимой подписи. Подписанный файл получает дополнительный файл с расширением .sig (откреплённая подпись) или подпись встраивается непосредственно в документ.

Проверка электронной подписи — критически важная процедура для получателя. Система автоматически проверяет: принадлежит ли подпись указанному лицу (по сертификату), не был ли изменён документ после подписания (целостность), действителен ли сертификат на момент подписания, не отозван ли он удостоверяющим центром.

При проверке документов, подписанных от имени организации, дополнительно проверяется наличие действующей МЧД в реестре ФНС. Если доверенность отозвана или срок её действия истёк, документ считается подписанным неуполномоченным лицом.

Безопасность использования требует соблюдения простых правил: никогда не передавать токен и PIN-код третьим лицам, не оставлять токен в компьютере без присмотра, хранить резервную копию ключа в защищённом месте, своевременно продлевать сертификат до истечения срока действия. При утере токена или компрометации ключа необходимо немедленно обратиться в удостоверяющий центр для отзыва сертификата.

Сфера применения электронной подписи

Электронную подпись используют для юридически значимого электронного документооборота во внешних взаимодействиях компании и во внутренних бизнес-процессах.

• Налоговая и бухгалтерская отчётность — основная область применения УКЭП для бизнеса. Сдача деклараций, расчётов по страховым взносам, отчётов в Росстат, СФР, Росприроднадзор невозможна без квалифицированной подписи.
• Электронный документооборот с контрагентами позволяет создавать, подписывать и хранить документы без бумаги с помощью специальных сервисов. Сервисы помогают автоматизировать процесс и снизить расходы на осуществление и поддержку документооборота.
• Участие в электронных торгах по 44-ФЗ (госзакупки) и 223-ФЗ (закупки отдельных видов юрлиц) требует специального расширенного сертификата УКЭП с аккредитацией на электронных торговых площадках. Для работы на федеральных ЭТП нужны дополнительные полномочия в сертификате.
• Корпоративное управление получило новый импульс после принятия в августе 2024 года поправок в законы об акционерных обществах и обществах с ограниченной ответственностью. Теперь возможны дистанционные собрания акционеров и участников с использованием электронной подписи, электронное голосование по бюллетеням, заверенным ЭП. С 1 сентября 2027 года такой формат станет обязательным для всех компаний.
• Взаимодействие с банками активно переходит на электронные рельсы. Открытие счетов, оформление кредитов, валютный контроль, зарплатные проекты — все эти операции выполняются с использованием УКЭП без посещения офиса банка.
• Маркировка товаров в системах «Честный знак», «Меркурий» (ветеринарный контроль) и других требует обязательного применения электронной подписи. Ежегодно расширяется перечень товарных категорий, подлежащих маркировке, что стимулирует спрос на ЭП.
• Регистрация прав на недвижимость, подача заявлений в ЗАГС, оформление виз и загранпаспортов через Госуслуги, регистрация юридических лиц и ИП — список государственных услуг, доступных с электронной подписью, постоянно расширяется.

Срок действия, перевыпуск и отзыв сертификата ЭП

По соображениям безопасности квалифицированный сертификат имеет срок действия от 12 до 15 месяцев.

ФНС выдаёт сертификаты на 15 месяцев, коммерческие УЦ — обычно на 12 месяцев. Простая электронная подпись действует бессрочно или до окончания соглашения о её использовании.

Ограничение срока действия связано с криптографической стойкостью алгоритмов: со временем вычислительные мощности растут, и теоретически появляется возможность взлома ключей. Регулярная смена сертификатов минимизирует этот риск.

По истечении срока действия или при изменении данных владельца (смене паспорта, изменении юридического адреса, смене руководителя организации) необходим перевыпуск сертификата. Его процедура упрощена: если данные владельца не изменились, достаточно дистанционной подачи заявки без личного присутствия. Новый сертификат выпускается на тот же токен или на новый носитель по желанию клиента.

Отзыв сертификата — принудительное прекращение его действия до окончания срока. Основания для отзыва: утрата или компрометация токена и закрытого ключа, увольнение сотрудника (для корпоративных подписей), изменение данных владельца, прекращение деятельности организации, заявление самого владельца.

Отзыв осуществляется через удостоверяющий центр: владелец подаёт заявление (лично, через личный кабинет или по доверенности), УЦ вносит сертификат в список отозванных (СОС), который публикуется в открытом доступе. С момента отзыва подпись перестаёт проходить проверку в информационных системах.

Важный момент: документы, подписанные до отзыва сертификата, сохраняют юридическую силу. Это подтверждается штампом времени (time-stamp), который фиксирует момент подписания. Поэтому при оспаривании подписанных документов суд проверяет, был ли сертификат действителен именно в момент подписания.

Машиночитаемые доверенности также имеют срок действия, который устанавливает доверитель при выпуске — от 1 дня до 5 лет. Отозвать МЧД можно в любой момент через сервис, в котором она была создана. Доверенность удаляется из реестра ФНС, и сотрудник теряет право подписывать документы от имени организации, даже если у него есть действующая УКЭП.

Безопасность электронной подписи

ЭП защищена разработчиками при помощи криптографии, но для полной защиты документооборота нужны также внутренние меры безопасности.

Криптографическая защита основана на алгоритмах шифрования, соответствующих российским стандартам ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012. С 1 апреля 2026 года налоговая служба работает только с двумя стандартами шифрования: ГОСТ 34.12-2018 и ГОСТ 34.13-2018. Эти алгоритмы сертифицированы ФСБ России и обеспечивают криптографическую стойкость, достаточную для защиты информации, содержащей государственную тайну.

Длина ключа составляет от 256 до 512 бит, что делает подбор ключа методом перебора практически невозможным при современном уровне вычислительных мощностей. Даже использование суперкомпьютеров потребовало бы миллионы лет для взлома одного ключа.

Защищённые носители (токены) представляют собой аппаратные модули безопасности, сертифицированные ФСБ или ФСТЭК. Закрытый ключ генерируется непосредственно внутри токена и физически не может быть извлечён или скопирован. Все операции подписания происходят внутри защищённого микропроцессора токена.

Токен защищён PIN-кодом (обычно от 6 до 8 символов). После трёх неправильных попыток ввода PIN-кода токен блокируется и требует разблокировки с помощью PUK-кода. После исчерпания попыток ввода PUK-кода токен необратимо блокируется.

Организационные меры безопасности включают: назначение ответственных лиц за работу с ЭП в организации, ведение журнала учёта выданных сертификатов, регламентацию процедур выдачи и отзыва подписей, обучение сотрудников правилам работы с ЭП и токенами, регулярный аудит использования подписей.

Согласно требованиям регуляторов, организации должны разработать внутренние регламенты работы с электронной подписью, определить порядок получения, использования, хранения и отзыва сертификатов. Особенно это актуально для компаний, где десятки и сотни сотрудников используют ЭП в повседневной работе.

Большинство инцидентов предотвращают простые правила: не оставлять токен в компьютере, не сообщать PIN-код, своевременно отзывать сертификаты при увольнении сотрудников.

Мониторинг и контроль ЭП осуществляется через систему удостоверяющего центра. Владелец может в личном кабинете отслеживать все операции, совершённые с использованием его подписи: когда, какие документы и в каких системах были подписаны. При обнаружении подозрительной активности сертификат немедленно отзывается.

Незаконное использование чужой электронной подписи квалифицируется как мошенничество и влечёт уголовную ответственность по статье 159.6 УК РФ. Владелец подписи обязан обеспечить сохранность ключа. В случае утраты и непринятия мер по отзыву сертификата он может нести ответственность за действия, совершённые злоумышленниками.

FAQ

1. Можно ли использовать одну электронную подпись для работы с разными государственными системами?
   Один сертификат УКЭП теоретически может использоваться для разных целей, но на практике для работы с различными информационными системами требуются специальные расширения в сертификате. Например, для участия в электронных торгах нужна аккредитация на конкретных торговых площадках, для работы с банками — отдельные полномочия, для маркировки товаров — специализированный сертификат. Удостоверяющие центры предлагают универсальные сертификаты с набором расширений.
2. Что делать, если сотрудник с электронной подписью уволился, а документы уже подписаны?
   Документы, подписанные до увольнения сотрудника и до отзыва его сертификата, сохраняют юридическую силу. Это гарантируется технологией квалифицированной штампа времени, которая подтверждает момент подписания. После увольнения работодатель обязан немедленно отозвать машиночитаемую доверенность сотрудника в реестре ФНС, с этого момента он потеряет возможность подписывать новые документы от имени организации. Сам сертификат УКЭП физического лица остаётся действительным, но без МЧД он не даёт права действовать от имени компании.
3. Обязательно ли переходить на машиночитаемые доверенности или можно продолжать использовать бумажные?
   С 1 сентября 2024 года для подписания документов от имени организации квалифицированной электронной подписью сотрудника обязательно требуется МЧД. Бумажные доверенности для этих целей не принимаются. Более того, с 1 мая 2025 года Росстат принимает отчётность только с машиночитаемыми доверенностями в формате 003. Другие ведомства также постепенно переходят на МЧД. Переход на МЧД — не опция, а обязательное требование для легальной работы с электронным документооборотом.
4. Сколько стоит внедрение электронного документооборота с использованием ЭП для компании?
   Стоимость зависит от масштаба компании и задач. Минимальный набор для малого бизнеса: сертификат УКЭП руководителя (бесплатно в УЦ ФНС или 1000–2000 рублей в коммерческом УЦ), токен (2000–3500 рублей), программное обеспечение (от 1500 рублей за рабочее место). Для средней компании с 20–50 сотрудниками добавляются: сертификаты УКЭП для ключевых сотрудников (по 2000–4000 рублей), платформа ЭДО (от 3000 до 15 000 рублей в месяц в зависимости от тарифа и объёма документооборота), машиночитаемые доверенности (сервис оформления обычно включён в стоимость платформы ЭДО). Крупному бизнесу требуется корпоративная система ЭДО, интеграция с учётными системами, что может составлять от 500 000 рублей до нескольких миллионов в год.
5. Что произойдёт, если не продлить сертификат вовремя?
   После истечения срока действия сертификата подписывать новые документы станет невозможно: подпись не пройдёт проверку в информационных системах. Это означает, что компания не сможет сдать отчётность в ФНС и другие государственные органы, участвовать в торгах, обмениваться юридически значимыми документами с контрагентами. Штрафы за несвоевременную сдачу отчётности начинаются от 200 рублей для организаций по статье 126 НК РФ, но могут достигать 5% от суммы налога, указанной в декларации. Рекомендуется начинать процедуру перевыпуска сертификата за 30–45 дней до истечения срока действия, чтобы избежать простоев в работе.

• Чтобы быть в курсе важных трендов и мнений ведущих экспертов, следите за нами в телеграм-канале. О развитии навыков управления, личностном росте пишем в «Дзене». Про технологии и развитие в IT — в блоге на VC.