З підписанням 14 березня 2014 р. Угоди про асоціацію з ЄС Україна взяла на себе зобов’язання впровадити ряд європейських норм, зокрема регламент (ЄС) № 910/2014 від 23 липня 2014 р. про електронну ідентифікацію (electronic IDentification, Authentication and trust Services). В національне законодавство цей регламент було імплементовано шляхом прийняття 5 жовтня 2017 р. Закону України «Про електронні довірчі послуги» № 2155-VIII (далі — Закон), який став заміною досить архаїчному Закону «Про електронний цифровий підпис». Однак прийняття підзаконних нормативно-правових актів для повноцінного впровадження Закону не проходить без певних труднощів.
 |
Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час! |
По-перше, мало хто розуміє, що електронні підписи не накладаються, а створюються
Кваліфікований електронний підпис (далі — КЕП) — це результат криптографічного перетворення даних з файлом, пов’язаним з цим підписом. Тобто КЕП — це всі дані, отримані після використання засобу кваліфікованого електронного підпису (підписання документа).
Станом на сьогодні для використання у межах України електронні підписи створюються та перевіряються згідно ДСТУ 4145-2002, затвердженого наказом Державного комітету України з питань технічного регулювання та споживчої політики від 28 грудня 2002 р. № 31 (далі — ДСТУ 4145-2002), який не приводився у відповідність з новими реаліями.
Оскільки технологія кардинально не змінювалася з 2002 р., імплементація нового Закону в нормативно-правових документах здебільшого обмежилась заміною фрази «Електронний цифровий підпис» на «Кваліфікований електронний підпис». Не в останню чергу це зумовлено залишеною без змін нормою ст. 6 Закону України «Про електронні документи та електронний документообіг», згідно якої створення електронного документа завершується накладенням електронного підпису.
Отже, важливо пам’ятати, що КЕП — це не інструмент для підписання документів, а результат їх підписання. Це файл, що містить підписаний документ та реквізити для перевірки підпису. Відповідно, такі досить часто вживані фрази, як «накласти КЕП», «підписати КЕП», не відповідають суті довірчих послуг.
По-друге, довірчими послугами в Україні незручно користуватись
На поточний момент чинний ДСТУ 4145-2002 не дозволяє зберігати підписаний файл у зручному для користувача форматі. Після створення КЕП підписаний файл має зберігатися виключно в архіві, зазвичай формату *.p7s. Для перегляду змісту підписаного документа необхідно провести процедуру перевірки підпису лише з використанням спеціального програмного забезпечення, в т.ч. це можливо через сайт центрального засвідчувального органу Міністерства цифрової трансформації https://czo.gov.ua/.
Не додає зручності і той факт, що можливість одночасного створення КЕП двома суб’єктами (підписання документа двома сторонами) реалізована лише у деяких системах електронного документообігу. Недопустимим є підхід деяких суб’єктів господарювання, коли первинна господарська документація підписується шляхом створення КЕП однією стороною з наступним створенням другою стороною підпису з КЕП, отриманим від першої сторони, адже в такому випадку друга сторона підписує вже перетворені дані, а не сам документ. При підписанні документа двома сторонами має створюватись один КЕП з реквізитами підписантів обох сторін, що без використання спеціального платного програмного забезпечення неможливо.
Наведені аспекти роблять процедуру створення КЕП дуже незручною.
Зазначу, що наказом державного підприємства «Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості» від 18.12.2015 р. № 193 «Про прийняття нормативних документів України, гармонізованих з міжнародними та європейськими нормативними документами, скасування національних стандартів України» було прийнято національний стандарт, гармонізований з міжнародними та європейськими нормативними документами, з набранням чинності з 1 січня 2017 р., під назвою ДСТУ ETSI TS 102 778-1:2015 «Електронні підписи та інфраструктура (ESI). Профілі розширених електронних підписів PDF. Частина 1. Огляд серії PAdES — базові принципи PAdES». Саме цей стандарт діє в Європейському Союзі та використовується при підписанні документів у таких популярних сервісах, як Docusign eSignature тощо. Він дає можливість додавати дані підпису безпосередньо до файлу в форматі PDF та зберігати підписаний файл у такому ж форматі. Тобто в країнах Євросоюзу немає необхідності здійснювати розшифрування файлу для його перегляду, а перевірка підписів проводиться за декілька секунд після відкриття PDF-файлу. Однак адміністрація Державної служби спеціального зв’язку та захисту інформації України Міністерства цифрової трансформації не дозволяє у межах нашої держави використовувати засоби кваліфікованого електронного підпису, що працюють на таких стандартах. Наразі є лише надія, що в майбутньому це буде виправлено.
Зараз вже винайдені технічні засоби полегшення роботи з КЕП в Україні, але при роботі з ними слід бути уважними. Деякі системи електронного документообігу мають функціонал перевірки підписів, генерації візуалізації електронного документа шляхом накладення поверх переформатованого у PDF підписаного документа даних перевірки підпису. На практиці юридичної сили оригіналу така візуалізація не має, тому що є лише копією електронного документа на папері. А зараз досліджувати необхідно саме оригінал файлу через описану вище процедуру перевірки підпису.
По-третє, не всі підписи, що мають силу кваліфікованого, насправді такими є
Згідно нового Закону, підписи бувають звичайними електронними, удосконаленими та кваліфікованими. Раніше не допускалося використання технології криптографічного перетворення даних без отримання акредитації адміністрації Держспецзв'язку. За новим Законом, для того, щоб підпис вважався кваліфікованим, необхідно, щоб він був створений за допомогою кваліфікованого засобу електронного підпису і базувався на кваліфікованому сертифікаті відкритого ключа. Якщо простіше, відкритий та особисті ключі мають бути видані акредитованим центром сертифікації та зберігатися на захищених носіях інформації, таких як фізичні токени (захищені флеш-носії). Недоліком захищених носіїв є їх висока ціна та USB-інтерфейс, що на даний час є не в кожному пристрої користувача. Відтак, більшість користувачів зберігають ключі електронного підпису не на захищених носіях, а на жорстких дисках персональних комп’ютерів, що є грубим порушенням Закону.
У зв’язку з зазначеним та з метою забезпечення доступності електронних довірчих послуг Кабінетом міністрів України було прийнято постанову від 3 березня 2020 р. No193 «Про реалізацію експериментального проєкту щодо забезпечення можливості використання удосконалених електронних підписів і печаток, які базуються на кваліфікованих сертифікатах відкритих ключів», якою фактично дозволено до кінця 2021 р. не виконувати положення Закону щодо місця зберігання ключів. Отже, в країні в цілому склалася ситуація, коли левова частка підписів створюються ключами, збереженими не на захищених носіях, і всі вони фактично є удосконаленими електронними підписами, але мають силу кваліфікованих. На даний момент невідомо, чи продовжиться такий експеримент на 2022 р. та чи встигнуть користувачі довірчих послуг перенести свої ключі на захищені носії.
Станом на сьогодні на ринку вже запущені рішення, які дозволяють зберігати ключі КЕП в хмарних сховищах, таких як martID від АТ «КБ ПРИВАТБАНК» та застосунок «ДІЯ» Міністерства цифрової трансформації. З іншого боку, від трьох найбільших операторів мобільного зв’язку надійшли заяви про припинення підтримки технології створення КЕП MobileID та залучення нових користувачів до неї.
По-четверте, відсутні схеми електронної ідентифікації
Згідно ст. 15 Закону, існує 3 рівні довіри до засобів електронної ідентифікації: низький, середній та високий. Рівень довіри визначається відповідно до схеми електронної ідентифікації, яка має бути затверджена Кабінетом міністрів України. Однак станом на сьогодні жодної схеми електронної ідентифікації затверджено не було. Законом передбачено, що використання кваліфікованих електронних підписів та печаток забезпечує високий рівень довіри до схем електронної ідентифікації, а удосконалених електронних підписів та печаток — середній рівень.
По-п’яте, відсутня можливість онлайн-ідентифікації для отримання сертифіката відкритого ключа
Згідно положень ст. 22 Закону, ідентифікація фізичної особи, яка звернулася за отриманням послуги формування кваліфікованого сертифіката відкритого ключа, здійснюється за умови її особистої присутності за паспортом громадянина України або за документами, які унеможливлюють виникнення будь-яких сумнівів щодо особи. Отже, для повноцінного отримання довірчих послуг для початку необхідно особисто звернутися з ідентифікаційним документом до надавача таких послуг для отримання приватного відкритого ключа та сертифіката відкритого ключа. Як ми всі переконалися, в умовах тотального карантину похід до установи, яка надала б такі послуги, є проблемним, а іноді взагалі неможливим. А за умови дистанційної ідентифікації особи сертифікат відкритого ключа не буде мати статус кваліфікованого, підпис, створений за допомогою виданих онлайн ключів, буде вважатись удосконаленим, а отже, рівень довіри до таких засобів електронної ідентифікації буде середнім.
Зазначу, що в рамках всеукраїнського експериментального проєкту, який триває вже понад рік, середній рівень довіри до засобів електронної ідентифікації влаштовує всіх користувачів електронних довірчих послуг. Незважаючи на це, використання засобів удосконалених електронних підписів поки не має широкого розповсюдження у сфері надання послуг споживачам дистанційними каналами зв’язку, тому переважна більшість суб’єктів електронної комерції продовжують використовувати Закон України «Про електронну комерцію», в т.ч. для дистанційного надання послуг. Підписання договорів відбувається за допомогою електронних підписів одноразовим ідентифікатором під час обміну інформацією в інформаційно-телекомунікаційних системах.
Варте уваги досить специфічне регулювання НБУ використання електронних підписів у банківській системі України. Так, згідно п. 14 «Положення про застосування електронного підпису та електронної печатки в банківській системі України», затвердженого постановою правління НБУ від 14.08.2017 р. № 78, банк та клієнт мають право у відносинах між собою використовувати удосконалені та звичайні електронні підписи виключно за умови наявності попередньої домовленості про це у вигляді паперового документа з власноручним підписом або у вигляді КЕП.
На практиці банки обходять цю норму з використанням «Положення про застосування цифрового власноручного підпису в банківській системі України», затвердженого постановою правління НБУ від 13.12.2019 р. № 151. Цифровий власноручний підпис — це власноручний підпис фізичної особи, створений на екрані електронного сенсорного пристрою та нерозривно пов'язаний з електронним документом, підписаним цим підписом. Такий підпис має силу, рівну власноручному підпису, та не має обмежень щодо його використання за допомогою дистанційних каналів зв’язку. Однак таке ноу-хау можуть використовувати лише банки.
Зауважу, що регламент (ЄС) № 910/2014 від 23 липня 2014 р. про електронну ідентифікацію надає можливість віддаленої ідентифікації, в т.ч. з використанням технології розпізнавання реальності особи та інших технічних засобів, що, на жаль, не ввійшло у текст Закону. Цікаво, що такі технічні засоби віддаленої ідентифікації, як метод розпізнавання реальності особи, знайшли втілення в положеннях НБУ про здійснення фінансового моніторингу для банків (№ 65 від 19.05.2020 р.) та небанківських фінансових установ (№ 107 від 28.07.2020 р.). Якщо ж дослідити директиву 2018/843/EU Європейського парламенту та Ради Європейського Союзу про внесення поправок у директиву 2015/849/ЕU про запобігання використанню фінансової системи з метою відмивання коштів та фінансування тероризму, а також про внесення поправок до директив 2009/138/EC і 2013/36/EU (англ. The Fifth Anti-Money Laundering Directive, скор. 5AMLD), ми побачимо, що проведення віддаленої верифікації в країнах ЄС передбачається виключно засобами удосконаленого чи кваліфікованого електронного підпису.
Підсумовуючи, зазначу, що вбачається відсутність єдиного підходу до використання електронних підписів. Зараз паралельно діють декілька профільних законів, які по-різному регулюють це питання. Перепонами для впровадження у своїй діяльності довірчих послуг для бізнесу є відсутність дозволених державою та зручних у використанні технологій створення електронних підписів, надійних сховищ для зберігання ключів та затверджених процедур дистанційного отримання сертифікатів відкритого ключа. Однак вже багато зроблено для подолання кожної з наведених перепон, тож маємо надію, що найближчим часом Україна гармонізує своє законодавство з європейським, і ми отримаємо довірчі послуги, які у зручності використання не буде поступатися європейським.