Эксперты СберКорус рассказали, безопасно ли подписывать документы кодом из СМС-сообщений
Подписывать документы кодом из СМС-сообщений ‒ простой электронной подписью ‒ не всегда безопасно. Этот способ подписания документов предусмотрен российским законодательством, но имеет свои нюансы и уязвимости.
Что такое СМС-подпись и как она работает?
Это одноразовый код, который приходит на телефон пользователя после ввода данных на сайте. По сути, это способ подтверждения операции. Однако у этого метода есть уязвимость: СМС-сообщение могут перехватить, ввести код на другом устройстве и подтвердить операцию. В такой ситуации пользователю будет крайне сложно доказать, что это сделал не он.
Существует два основных типа электронных подписей, которые могут быть реализованы через СМС-код. Их юридическая сила зависит от наличия соглашения между сторонами.
Первый ‒ это простая электронная подпись (ПЭП). Это и есть тот самый код из СМС. Её главный недостаток ‒ отсутствие гарантий авторства: нельзя со стопроцентной уверенностью доказать, что подпись поставил именно конкретный человек. Кроме того, в этом процессе не используется криптография, поэтому невозможно подтвердить, что документ не был изменён после подписания. Второй формат ‒ это неквалифицированная электронная подпись (НЭП). Здесь используются криптографические средства, которые не сертифицированы ФСБ России. Применение такой подписи ограничено рамками конкретной информационной системы или сервиса.
При этом важно отметить, что СМС-код не может быть использован для создания усиленной квалифицированной электронной подписи (УКЭП) ‒ самого надёжного вида подписи с максимальными юридическими гарантиями.
Насколько безопасно подписывать документы кодом из СМС?
Безопасность этого метода напрямую зависит от возможных юридических последствий. Главная проблема заключается в том, что спустя время может быть невозможно доказать, какой именно документ был подписан. Кроме того, юридическую силу такая подпись имеет только при наличии правильно оформленного соглашения между сторонами. Обычному пользователю сложно самостоятельно учесть все эти нюансы для защиты своих интересов в случае спора в суде.
Нужно ли как-то специально оформлять использование СМС-подписи?
Да, это обязательное условие. Чтобы СМС-код имел юридическую силу, стороны должны подписать соглашение о применении именно такого типа электронной подписи. Это соглашение должно быть оформлено в строгом соответствии с требованиями статьи 9 Федерального закона № 63-ФЗ «Об электронной подписи».
Насколько вообще безопасно использовать СМС-код для подписания документов?
Это один из самых уязвимых способов. Как уже упоминалось, СМС могут перехватить. Если злоумышленник введёт код и подпишет документ, пользователю будет практически невозможно доказать в суде, что он не совершал этого действия. Именно поэтому для юридически значимых сделок и передачи прав эксперты СберКорус настоятельно рекомендуют использовать более защищённые виды электронных подписей ‒ неквалифицированную (НЭП) или квалифицированную (УКЭП). Хоть в случае НЭП и используются криптографические средства, они не сертифицированы, поэтому применение такой подписи ограничено рамками конкретной информационной системы или сервиса. УКЭП же ‒ это высший стандарт безопасности, где и сам сертификат электронной подписи, и программное обеспечение для подписи прошли должны быть сертифицированными.
