В соответствии с №63-ФЗ «Об электронной подписи» (Федеральный закон от 06 апреля 2011 года) различают простую электронную подпись (ПЭП), усиленную неквалифицированную электронную подпись (УНЭП), усиленную квалифицированную электронную подпись (КЭП). В чем их отличия? Где и для решения каких задач их можно использовать? Попробуем разобраться.
ПЭП стоит на низшей ступени иерархии, что подтверждает само название. Пункт 2 статьи 5 в №63-ФЗ так определяет ее: «…подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом». То есть ПЭП подтверждает только то, что Вы что-то подписали. Только это.
УНЭП определяется в пункте 3 статьи 5:«…Неквалифицированной электронной подписью является электронная подпись, которая:1) получена в результате криптографического преобразования информации с использованием ключа электронной подписи;2) позволяет определить лицо, подписавшее электронный документ;3) позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;4) создается с использованием средств электронной подписи».
Итак, «классическая» ПЭП формируется без «привязки» к документу (например, те самые одноразовые коды, которые передаются через SMS или Push), а УНЭП формируется «с привязкой», на основе подписываемого документа. УНЭП защитит вас от внесения злоумышленником изменений в документ уже после его подписания, а также от попытки выдать свою несанкционированную подпись за вашу легальную. ПЭП и УНЭП признаются двумя участниками электронного взаимодействия только при наличии заранее согласованного и подписанного документа, который обычно называется «Соглашение о признании электронной подписи». Но в случае возникновения инцидента (например, несанкционированного списания со счета клиента) УНЭП позволит провести подробный разбор конфликтной ситуации, для чего при использовании «классической» ПЭП возможностей будет меньше.
Но главное – это не то, как де-юре называется ваша подпись (ПЭП или НЭП), а то, как она технически реализована. Существуют решения, которые обеспечивают подписи все свойства УНЭП, ту же юридическую значимость, тот же уровень безопасности, но де-юре прописываются банками, как ПЭП. Это не противоречит законодательству и не несет никаких рисков. Главное – суть технологии. Если подпись реализована технически как УНЭП, обеспечивает контроль целостности и авторства, формируется в результате криптографических преобразований, то это – единственный верный путь. А одноразовые коды в SMS и PUSH технически никогда УНЭП не станут.
В следующий раз мы подробнее поговорим об УНЭП и КЭП, сравним эти два вида подписи, определим где и для каких клиентов они могут использоваться.