Подписывать документы кодом из СМС-сообщений ‒ простой электронной подписью ‒ не всегда безопасно. Этот способ подписания документов предусмотрен российским законодательством, но имеет свои нюансы и уязвимости.
Это одноразовый код, который приходит на телефон пользователя после ввода данных на сайте. По сути, это способ подтверждения операции. Однако у этого метода есть уязвимость: СМС-сообщение могут перехватить, ввести код на другом устройстве и подтвердить операцию. В такой ситуации пользователю будет крайне сложно доказать, что это сделал не он.
Существует два основных типа электронных подписей, которые могут быть реализованы через СМС-код. Их юридическая сила зависит от наличия соглашения между сторонами.
Первый ‒ это простая электронная подпись (ПЭП). Это и есть тот самый код из СМС. Ее главный недостаток ‒ отсутствие гарантий авторства: нельзя со стопроцентной уверенностью доказать, что подпись поставил именно конкретный человек. Кроме того, в этом процессе не используется криптография, поэтому невозможно подтвердить, что документ не был изменён после подписания. Второй формат ‒ это неквалифицированная электронная подпись (НЭП). Здесь используются криптографические средства, которые не сертифицированы ФСБ России. Применение такой подписи ограничено рамками конкретной информационной системы или сервиса.
При этом важно отметить, что СМС-код не может быть использован для создания усиленной квалифицированной электронной подписи (УКЭП) ‒ самого надежного вида подписи с максимальными юридическими гарантиями.
Безопасность этого метода напрямую зависит от возможных юридических последствий. Главная проблема заключается в том, что спустя время может быть невозможно доказать, какой именно документ был подписан. Кроме того, юридическую силу такая подпись имеет только при наличии правильно оформленного соглашения между сторонами. Обычному пользователю сложно самостоятельно учесть все эти нюансы для защиты своих интересов в случае спора в суде.
Да, это обязательное условие. Чтобы СМС-код имел юридическую силу, стороны должны подписать соглашение о применении именно такого типа электронной подписи. Это соглашение должно быть оформлено в строгом соответствии с требованиями статьи 9 Федерального закона № 63-ФЗ «Об электронной подписи».
Это один из самых уязвимых способов. Как уже упоминалось, СМС могут перехватить. Если злоумышленник введет код и подпишет документ, пользователю будет практически невозможно доказать в суде, что он не совершал этого действия. Именно поэтому для юридически значимых сделок и передачи прав эксперты СберКорус настоятельно рекомендуют использовать более защищенные виды электронных подписей ‒ неквалифицированную (НЭП) или квалифицированную (УКЭП). Хоть в случае НЭП и используются криптографические средства, они не сертифицированы, поэтому применение такой подписи ограничено рамками конкретной информационной системы или сервиса. УКЭП же ‒ это высший стандарт безопасности, где и сам сертификат электронной подписи, и программное обеспечение для подписи прошли должны быть сертифицированными.
