Дубровин Олег Николаевич

В настоящее время достаточно широкое распространение получили системы клиент-банк, позволяющие совершать платежи посредством электронного платёжного документа, подписанного электронной цифровой подписью (далее - ЭЦП).

Известные мне реализации этой системы у банков имеют юридическую слабость, которая может быть использована для попыток мошенничества

Сначала начнём с технических подробностей. Системы “Банк-клиент” - это частный случай системы обмена электронными юридически значимымиы документами. Другой пример подобной системы - это система обмена документами с налоговыми органами, предоставляющая налогоплательщику возможность сдачи деклараций и расчетов в электронном виде.

В подобных системах используется криптография с ассиметричными ключами. Каждая сторона документооборота при помощи програмного обеспечения генерирует пару ключей - открытый (публичный) и закрытый (секретный). (Ключ в данном случае - это некий набор данных. Упрощённо можно считать что это отдельный файл, хотя это не всегда таки не совсем так). Ключи генерируются одновременно и представляют собой неразрывную пару - каждому закрытому ключу соответствует свой открытый ключ, и наоборот.

Закрытый ключ позволяет только зашифровать электронный документ и подписать его электронно-цифровой подписью. Понятно, что его нужно хранить в секрете и оберегать - он позволяет владельцу подписать документ ЭЦП, и тем самым придать документу юридическую силу. Потому и называется закрытым (секретным) ключом.

Открытый (публичный) ключ - позволяет только расшифровать электронный документ и проверить корректность ЭЦП.

По открытому ключу невозможно воостановить закрытый за разумное время и с учётом доступных вычислительных мощностей (теоретически, то есть при правильной реализации криптоалгоритмов).

До начала документооборота стороны генерируют свои пары ключей и обмениваются открытыми ключами. В процессе обмена отправитель подписывает электронный документ закрытым ключом, а получатель электронного документа проверяет ЭЦП при помощи открытого ключа отправителя. Если при помощи открытого ключа отправителя электронный документ расшифровывается и ЭЦП на нём корректна - значит, документ был подписан соответствующим закрытым ключом, значит, исходит от отправителя.

Из этих технических подробностей становится понятно, что в случае спора - исходит ли документ от отправителя или нет - наболее важно будет подтвердить/опровергнуть только один момент: действительно ли данный открытый ключ исходит от данного отправителя (принадлежит данному отправителю).

Ещё раз - прежде всего необходимо будет доказать что именно вот этот открытый ключ (вот эта последовательность данных, являющихся открытым ключом) исходит от отправителя.

Единственный способ это доказать - иметь распечатку открытого ключа, подписанную оригинальной (”синей”) подписью уполномоченного лица отправителя ( в случае ЧП и юридического лица - ещё и с приложением оттиска печати). (Сделать такую распечатку технически очень просто.)

Важный момент - поскольку обмен открытыми ключами является юридически значимым действием, подписана распечатка открытого ключа должна быть именно упролномоченным лицом отправителя: для физичского лица/предпринимателя - самим таким лицом или лицом, действующим на основании доверенности с соответствующим полномочием, для юридического лица - открытый ключ должне быть подписан руководителем юридического лица, либо также представителем по доверенности, имеющим соответствующие полномочия.
Ни одна из известных мне реализаций систем “Банк-клиент” у банков такого механизма - не содержит. Как правило, просто происходит передача носителя с открытым ключом (дискеты, CD-диска) и стороны составляют акт что-то типа :”Стороны обменялись открытыми ключами”.

Нечётка процедура обмена открытыми ключами прежде всего противоречит интересам банка. Поскольку в случае спора о том, действительно ли клиент подписал с помощью ЭЦП платёжное поручение, или нет, обязанность по доказыванию того, что клиент сделал распоряжение по счету будет возложена на банк.
На мой взгляд, банки проявляют поразительную беспечность в этом вопросе. Точнее, банковские юристы - скорее всего, из-за нежелания вдаваться в технические подробности. Это вообще проблема юридической профессии - правильное понимание и применение норм , регулирующих конкретную сферу деятельности (медицину, перевозки, любую другую), невозможно без знания и понимания конкретной практической жизни в этой сфере, со всеми специфическими подробностями.

Прогноз. Рано или поздно банки столкнуться с мошенничеством, основанным на использовании этой слабости. По закону банк такое дело должен проиграть.

P.S. Есть ещё один способ обмена открытыми ключами, дающий впоследствии возможность почти также чётко установить содержание открытого ключа - об этом в другой раз.